تحديث Microsoft Sentinel لعامل موصل بيانات تطبيقات SAP

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توضح لك هذه المقالة كيفية تحديث موصل بيانات Microsoft Sentinel موجود بالفعل ل SAP إلى أحدث إصداراته بحيث يمكنك استخدام أحدث الميزات والتحسينات.

أثناء عملية تحديث عامل موصل البيانات، قد يكون هناك وقت توقف قصير من حوالي 10 ثوان. لضمان تكامل البيانات، يخزن إدخال قاعدة البيانات الطابع الزمني لآخر سجل تم جلبه. بعد اكتمال التحديث، تستأنف عملية إحضار البيانات من السجل الأخير الذي تم جلبه، مما يمنع التكرارات ويضمن تدفق البيانات السلس.

التحديثات التلقائية أو اليدوية الموضحة في هذه المقالة ذات صلة بعامل موصل SAP فقط، وليس بحل Microsoft Sentinel لتطبيقات SAP. لتحديث الحل بنجاح، يجب أن يكون وكيلك محدثا. يتم تحديث الحل بشكل منفصل، كما تفعل مع أي حل Microsoft Sentinel آخر.

المحتوى في هذه المقالة ذو صلة بفرق الأمان والبنية الأساسية وSAP BASIS .

المتطلبات الأساسية

قبل البدء:

• تأكد من أن لديك جميع المتطلبات الأساسية لنشر حل Microsoft Sentinel لتطبيقات SAP. لمزيد من المعلومات، راجع المتطلبات الأساسية لنشر حل Microsoft Sentinel لتطبيقات SAP.

• تأكد من فهم بيئات وبنية SAP وMicrosoft Sentinel، بما في ذلك الأجهزة التي تم تثبيت وكلاء الموصلات وجامعي الوصلات عليها.

تكوين التحديثات التلقائية لعامل موصل بيانات SAP (معاينة)

تكوين التحديثات التلقائية لعامل الموصل، إما لجميع الحاويات الموجودة أو حاوية معينة.

تنشئ الأوامر الموضحة في هذا القسم مهمة cron التي تعمل يوميا، وتتحقق من وجود تحديثات، وتحدث العامل إلى أحدث إصدار من GA. لا يتم تحديث الحاويات التي تعمل بإصدار معاينة للعامل الأحدث من أحدث إصدار GA. توجد ملفات السجل للتحديثات التلقائية على جهاز المجمع، في /var/log/sapcon-sentinel-register-autoupdate.log.

بعد تكوين التحديثات التلقائية لعامل مرة واحدة، يتم تكوينه دائما للتحديثات التلقائية.

هام

تحديث عامل موصل بيانات SAP تلقائيا قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

تكوين التحديثات التلقائية لجميع الحاويات الموجودة

لتشغيل التحديثات التلقائية لجميع الحاويات الموجودة مع عامل SAP متصل، قم بتشغيل الأمر التالي على جهاز المجمع:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

إذا كنت تعمل مع حاويات متعددة، تقوم مهمة cron بتحديث العامل على جميع الحاويات الموجودة في الوقت الذي قمت فيه بتشغيل الأمر الأصلي. إذا أضفت حاويات بعد إنشاء مهمة cron الأولية، فلن يتم تحديث الحاويات الجديدة تلقائيا. لتحديث هذه الحاويات، قم بتشغيل أمر إضافي لإضافتها.

تكوين التحديثات التلقائية على حاوية معينة

لتكوين التحديثات التلقائية لحاوية أو حاويات معينة، مثل إذا قمت بإضافة حاويات بعد تشغيل أمر التنفيذ التلقائي الأصلي، قم بتشغيل الأمر التالي على جهاز المجمع:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

بدلا من ذلك، في ملف /opt/sapcon/[SID أو Agent GUID]/settings.json ، حدد المعلمة auto_update لكل حاوية على أنها true.

إيقاف تشغيل التحديثات التلقائية

لإيقاف تشغيل التحديثات التلقائية لحاوية أو حاويات، افتح الملف /opt/sapcon/[SID أو Agent GUID]/settings.json لتحرير المعلمة لكل من الحاويات وتعريفها auto_update على أنها false.

تحديث عامل موصل بيانات SAP يدويا

لتحديث عامل الموصل يدويا، تأكد من أن لديك أحدث إصدارات البرامج النصية للتوزيع ذات الصلة من مستودع Microsoft Sentinel GitHub.

لمزيد من المعلومات، راجع حل Microsoft Sentinel لمرجع ملف تحديث عامل تحديث موصل بيانات تطبيقات SAP.

على جهاز عامل موصل البيانات، قم بتشغيل:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

إن حاوية Docker لموصل بيانات SAP على جهازك مُحدثة.

تأكد من التحقق من وجود أي تحديثات أخرى متوفرة، مثل طلبات تغيير SAP.

تحديث النظام الخاص بك لتعطل الهجوم

يتم دعم تعطيل الهجوم التلقائي ل SAP مع النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، ويتطلب:

• مساحة عمل تم إلحاقها بالنظام الأساسي لعمليات الأمان الموحدة.

• عامل موصل بيانات Microsoft Sentinel SAP، 90847355 الإصدار أو أعلى. تحقق من إصدار الوكيل الحالي وقم بتحديثه إذا كنت بحاجة إلى ذلك.

• الأدوار التالية في Azure وSAP:

  • متطلبات دور Azure: يجب تعيين هوية الجهاز الظاهري لعامل موصل البيانات إلى دور عامل Microsoft Sentinel Business Applications Agent Azure. تحقق من هذا التعيين وقم بتعيين هذا الدور يدويا إذا كنت بحاجة إلى ذلك.

  • متطلبات دور SAP: يجب تطبيق دور /MSFTSEN/SENTINEL_RESPONDER SAP على نظام SAP الخاص بك وتعيينه إلى حساب مستخدم SAP المستخدم من قبل عامل موصل البيانات. تحقق من هذا التعيين وقم بتطبيق الدور وتعيينه إذا كنت بحاجة إلى ذلك.

تصف الإجراءات التالية كيفية استيفاء هذه المتطلبات إذا لم يتم الوفاء بها بالفعل.

تحقق من إصدار عامل موصل البيانات الحالي

للتحقق من إصدار العامل الحالي، قم بتشغيل الاستعلام التالي من صفحة سجلات Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

التحقق من أدوار Azure المطلوبة

يتطلب تعطيل الهجوم ل SAP منح هوية الجهاز الظاهري لعاملك بأذونات محددة لمساحة عمل Log Analytics الممكنة ل Microsoft Sentinel، باستخدام أدوار عامل عامل تطبيقات الأعمال Microsoft Sentinel وأدوار القارئ .

تحقق أولا لمعرفة ما إذا كانت أدوارك معينة بالفعل:

1. ابحث عن معرف كائن هوية الجهاز الظاهري في Azure:

   1. انتقل إلى تطبيق>المؤسسة جميع التطبيقات، وحدد الجهاز الظاهري أو اسم التطبيق المسجل، اعتمادا على نوع الهوية التي تستخدمها للوصول إلى مخزن المفاتيح الخاص بك.
   2. انسخ قيمة حقل معرف الكائن لاستخدامه مع الأمر المنسوخ.

2. قم بتشغيل الأمر التالي للتحقق مما إذا كانت هذه الأدوار معينة بالفعل، واستبدال قيم العنصر النائب حسب الحاجة.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   يظهر الإخراج قائمة الأدوار المعينة لمعرف الكائن.

تعيين أدوار Azure المطلوبة يدويا

إذا لم يتم تعيين أدوار عامل عامل Microsoft Sentinel Business Applications وقارئها إلى هوية الجهاز الظاهري لعاملك، فاستخدم الخطوات التالية لتعيينها يدويا. حدد علامة التبويب لمدخل Microsoft Azure أو سطر الأوامر، اعتمادا على كيفية نشر العامل الخاص بك. لا يتم عرض العوامل التي تم نشرها من سطر الأوامر في مدخل Microsoft Azure، ويجب عليك استخدام سطر الأوامر لتعيين الأدوار.

لتنفيذ هذا الإجراء، يجب أن تكون مالك مجموعة موارد على مساحة عمل Log Analytics التي تم تمكينها ل Microsoft Sentinel.

بوابة

1. في Microsoft Sentinel، في صفحة موصلات بيانات التكوين>، انتقل إلى موصل بيانات Microsoft Sentinel ل SAP وحدد فتح صفحة الموصل.

2. في منطقة التكوين ، ضمن الخطوة 1. أضف عامل مجمع يستند إلى واجهة برمجة التطبيقات، وحدد موقع العامل الذي تقوم بتحديثه وحدد الزر إظهار الأوامر .

3. انسخ أوامر تعيين الدور المعروضة. قم بتشغيلها على الجهاز الظاهري للعامل الخاص بك، واستبدل Object_ID العناصر النائبة بمعرف كائن هوية الجهاز الظاهري.

   تعين هذه الأوامر عامل Microsoft Sentinel Business Applications Agent وأدوار Reader Azure إلى الهوية المدارة للجهاز الظاهري الخاص بك، بما في ذلك نطاق بيانات العامل المحدد فقط في مساحة العمل.

هام

تعيين عامل Microsoft Sentinel Business Applications Agent وأدوار القارئ عبر CLI يعين الأدوار فقط على نطاق بيانات العامل المحدد في مساحة العمل. هذا هو الخيار الأكثر أمانا، وبالتالي يوصى به.

إذا كان يجب عليك تعيين الأدوار عبر مدخل Microsoft Azure، نوصي بتعيين الأدوار على نطاق صغير، مثل فقط على مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel.

سطر الأوامر

1. احصل على معرف العامل عن طريق تشغيل الأمر التالي، واستبدال <container_name> العنصر النائب باسم حاوية Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   على سبيل المثال، قد يكون 234fba02-3b34-4c55-8c0e-e6423ceb405bمعرف العامل الذي تم إرجاعه هو .

2. قم بتعيين أدوار عامل عامل Microsoft Sentinel Business Applications وأدوار القارئ عن طريق تشغيل الأوامر التالية:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   استبدل قيم العنصر النائب كما يلي:

   Placeholder	القيمة‬
   <OBJ_ID>	معرف كائن هوية الجهاز الظاهري الخاص بك.
   <SUB_ID>	تم تمكين معرف الاشتراك لمساحة عمل Log Analytics ل Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	تم تمكين اسم مجموعة الموارد لمساحة عمل Log Analytics ل Microsoft Sentinel
   <WS_NAME>	اسم مساحة عمل Log Analytics التي تم تمكينها ل Microsoft Sentinel
   <AGENT_IDENTIFIER>	يتم عرض معرف العامل بعد تشغيل الأمر في الخطوة السابقة.

تطبيق وتعيين دور SENTINEL_RESPONDER SAP لنظام SAP الخاص بك

تطبيق /MSFTSEN/SENTINEL_RESPONDER دور SAP على نظام SAP الخاص بك وتعيينه إلى حساب مستخدم SAP المستخدم من قبل عامل موصل بيانات SAP ل Microsoft Sentinel.

لتطبيق وتعيين دور /MSFTSEN/SENTINEL_RESPONDER SAP:

1. تحميل تعريفات الأدوار من ملف /MSFTSEN/SENTINEL_RESPONDER في GitHub.

2. قم بتعيين دور /MSFTSEN/SENTINEL_RESPONDER لحساب مستخدم SAP المستخدم من قبل عامل موصل بيانات SAP ل Microsoft Sentinel. لمزيد من المعلومات، راجع تكوين نظام SAP لحل Microsoft Sentinel.

   بدلا من ذلك، قم بتعيين التخويلات التالية يدويا إلى الدور الحالي المعين بالفعل لحساب مستخدم SAP المستخدم من قبل موصل بيانات SAP الخاص ب Microsoft Sentinel. يتم تضمين هذه التخويلات في دور /MSFTSEN/SENTINEL_RESPONDER SAP خصيصا لإجراءات الاستجابة لتعطل الهجوم.

   عنصر التخويل	الحقل	القيمة
   S_RFC	RFC_TYPE	الوحدة النمطية للدالة
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER على النقيض من اسمها، لا تحذف هذه الدالة المستخدمين، ولكنها تنهي جلسة عمل المستخدم النشط.
   S_USER_GRP	CLASS	* نوصي باستبدال S_USER_GRP CLASS بالفئات ذات الصلة في مؤسستك التي تمثل مستخدمي مربع الحوار.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

لمزيد من المعلومات، راجع تخويلات ABAP المطلوبة.

المحتوى ذو الصلة

لمزيد من المعلومات، راجع:

• نشر حل Microsoft Sentinel لتطبيقات SAP
• مراقبة صحة نظام SAP الخاص بك
• استكشاف أخطاء حل Microsoft Sentinel الخاص بك لتوزيع تطبيقات SAP وإصلاحها