Freigeben über

Migrationsleitfaden für den Container-SAP-Agent zum Datenconnector ohne Agent

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel werden die Schritte beschrieben, die für die Migration vom containerisierten SAP-Agent zum Agentless-Datenconnector für Microsoft Sentinel Solution for SAP-Anwendungen erforderlich sind.

Wichtig

Der Datenconnector-Agent für SAP ist veraltet und wird bis zum 14. September 2026 dauerhaft deaktiviert. Es wird empfohlen, zum Datenconnector ohne Agent zu migrieren. Erfahren Sie mehr über den Agentless-Ansatz in unserem Blogbeitrag.

Gründe für die Umstellung auf den Datenconnector ohne Agent?

Die Migration vom containerisierten SAP-Agent zum Datenconnector ohne Agent ist eine einfache Übung, die in wenigen Schritten durchgeführt werden kann. Der Agentless-Connector bietet mehrere Vorteile:

  • Vereinfachte Bereitstellung (kein Speicherbedarf in SAP NetWeaver)
  • Geringerer Wartungsaufwand (keine Containerverwaltung und SAP-Standardupdates mehr)
  • Zukunftssichere Architektur basierend auf SAP Integration Suite und SAP Cloud Connector
  • Verbesserte Skalierbarkeit

In einer Nut-Shell umfasst der Migrationsprozess die Bereitstellung des neuen Agents ohne Agent parallel zum vorhandenen containerisierten Agent, das Überprüfen des Protokollabrufs vom neuen Connector und schließlich die Außerbetriebnahme des veralteten Container-Agents.

Ihre vorhandene Investition in die Microsoft Sentinel-Lösung für SAP-Analyseregeln, -Arbeitsmappen und -Playbooks bleibt mit dem Datenconnector ohne Agent funktionsfähig. Die in der Lösung verwendeten kql-Funktionen wurden erweitert, um beide Datenerfassungsmethoden parallel zu unterstützen. Sie verwenden den Fuzzy-Union-Operator, um Daten aus beiden Quellen zu kombinieren, unabhängig davon, ob sie vorhanden sind.

Migrationspfad

  1. Bewerten: Überprüfen Sie Ihre vorhandene Bereitstellung des SAP-Agents in Containern, um überwachte SAP-Systeme, gesammelte Protokolltypen und benutzerdefinierte Konfigurationen zu identifizieren.
  2. Überprüfen: Machen Sie sich mit den Ansätzen für die Featureparität zwischen dem containerisierten Agent und dem Datenconnector ohne Agent vertraut, einschließlich Konfigurationsoptionen und -funktionen.
  3. Bereitstellen: Richten Sie den Datenconnector ohne Agent gemäß dem Bereitstellungshandbuch ein.
  4. Überprüfen: Stellen Sie sicher, dass Protokolle ordnungsgemäß von Ihren SAP-Systemen erfasst werden, indem Sie den Datenconnector ohne Agent verwenden. Verwenden Sie kql-Abfragen, um die Protokollerfassung zu überprüfen. 
    let startTime = ago(1h);
let endTime = now();
ABAPAuditLog
| where TimeGenerated between (startTime .. endTime)
| summarize Count = count() by SourceSystem, bin(TimeGenerated, 5m)
| order by TimeGenerated desc
  5. Überwachen: Führen Sie sowohl den containerisierten Agent als auch den Datenconnector ohne Agent für einen definierten Zeitraum parallel aus, um die Stabilität und Vollständigkeit der Protokollsammlung sicherzustellen.
  6. Außerbetriebnahme: Nachdem Sie überprüft haben, dass der Datenconnector ohne Agent ordnungsgemäß funktioniert, setzen Sie den containerisierten SAP-Agent außer Betrieb. Weitere Informationen finden Sie im Artikel "Beenden der SAP-Datensammlung".

Tipp

Folgen Sie der Videowiedergabeliste für die Migration ohne Agent , um die neuesten Erkenntnisse für einen reibungslosen Übergang zu erhalten.

Wichtig

Überprüfen Sie die Autorisierungen der Sentinel Benutzer und Rolle auf Ihren SAP-Systemen, die mit dem containerisierten Agent verwendet werden. Der Datenconnector ohne Agent erfordert im Vergleich zum containerisierten SAP-Agent weniger, aber unterschiedliche Autorisierungen. Weitere Informationen finden Sie im Konfigurationshandbuch und im SAP-Rollenbeispiel für Mindestberechtigungen.

Featureparität

Der Datenconnector ohne Agent bietet integrierte Featureparität mit dem containerisierten SAP-Agent für die wichtigsten Anwendungsfälle in Bezug auf Analyseregeln und Arbeitsmappen. Ausführliche Informationen finden Sie in der Inhaltsreferenz .

Alle Analyseregeln und Arbeitsmappen, die auf den zugrunde liegenden SAP-Quellen basieren, die in der Tabellenreferenz erwähnt werden, bleiben ohne Änderungen funktionsfähig.

Zu diesen Quellen gehören unter anderem die folgenden Protokolle:

  • SAPcon – Überwachungsprotokoll
  • SAPcon – Änderungsdokumentprotokoll
  • Details zur Benutzer- und Benutzerautorisierung

Der Lösungsbereich kann durch Erweiterungsmuster erweitert werden, die für den Datenconnector ohne Agent verfügbar sind. Watchlists und Playbooks bleiben ohne Änderungen voll funktionsfähig.

Erkennungen auf SAP HANA-Datenbank- oder Betriebssystemebene liegen außerhalb des Bereichs für den Vergleich, da sie von ihren eigenen Connectors in Microsoft Sentinel abgedeckt werden.

Nächste Schritte

  • Last updated on