Aktualizace agenta datového konektoru pro aplikace SAP v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

V tomto článku se dozvíte, jak aktualizovat již existující datový konektor Microsoft Sentinel pro SAP na nejnovější verzi, abyste mohli používat nejnovější funkce a vylepšení.

Během procesu aktualizace agenta datového konektoru může dojít k krátkému výpadku přibližně 10 sekund. Aby byla zajištěna integrita dat, uloží položka databáze časové razítko posledního načteného protokolu. Po dokončení aktualizace se proces načítání dat obnoví z posledního načteného protokolu, který brání duplicitám a zajišťuje bezproblémový tok dat.

Automatické nebo ruční aktualizace popsané v tomto článku jsou relevantní jenom pro agenta konektoru SAP, a ne pro řešení Microsoft Sentinel pro aplikace SAP. Aby bylo možné úspěšně aktualizovat řešení, musí být váš agent aktuální. Řešení se aktualizuje samostatně stejně jako jakékoli jiné řešení Microsoft Sentinelu.

Obsah v tomto článku je relevantní pro vaše týmy zabezpečení, infrastruktury a SAP BASIS .

Požadavky

Než začnete, potřebujete:

• Ujistěte se, že máte všechny požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP. Další informace najdete v tématu Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP.

• Ujistěte se, že rozumíte prostředím a architektuře SAP a Microsoft Sentinelu, včetně počítačů, na kterých jsou nainstalovaní agenti a kolektory konektorů.

Konfigurace automatických aktualizací pro agenta datového konektoru SAP (Preview)

Nakonfigurujte automatické aktualizace pro agenta konektoru, a to buď pro všechny existující kontejnery , nebo pro konkrétní kontejner.

Příkazy popsané v této části vytvoří úlohu cron, která se spouští každý den, kontroluje aktualizace a aktualizuje agenta na nejnovější verzi GA. Kontejnery s verzí Preview agenta, která je novější než nejnovější verze GA, se neaktualizují. Soubory protokolů pro automatické aktualizace se nacházejí na počítači kolektoru v umístění /var/log/sapcon-sentinel-register-autoupdate.log.

Po nakonfigurování automatických aktualizací pro agenta je vždy nakonfigurovaná pro automatické aktualizace.

Důležité

Automatická aktualizace agenta datového konektoru SAP je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Konfigurace automatických aktualizací pro všechny existující kontejnery

Pokud chcete zapnout automatické aktualizace pro všechny existující kontejnery s připojeným agentem SAP, spusťte na počítači kolektoru následující příkaz:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Pokud pracujete s více kontejnery, úloha cron aktualizuje agenta na všech kontejnerech, které existovaly v době, kdy jste spustili původní příkaz. Pokud přidáte kontejnery po vytvoření počáteční úlohy cron, nové kontejnery se automaticky neaktualizují. Pokud chcete tyto kontejnery aktualizovat, spusťte další příkaz, který je přidá.

Konfigurace automatických aktualizací pro konkrétní kontejner

Pokud chcete nakonfigurovat automatické aktualizace pro konkrétní kontejner nebo kontejnery, například pokud jste kontejnery přidali po spuštění původního příkazu automation, spusťte na počítači kolektoru následující příkaz:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Alternativně v souboru /opt/sapcon/[SID nebo GUID agenta]/settings.json definujte auto_update parametr pro každý kontejner jako true.

Vypnutí automatických aktualizací

Pokud chcete vypnout automatické aktualizace kontejneru nebo kontejnerů, otevřete soubor /opt/sapcon/[IDENTIFIKÁTOR GUID identifikátoru SID nebo agenta]/settings.json pro úpravy a definujte auto_update parametr pro každý kontejner jako false.

Ruční aktualizace agenta datového konektoru SAP

Pokud chcete agenta konektoru aktualizovat ručně, ujistěte se, že máte nejnovější verze příslušných skriptů nasazení z úložiště GitHub služby Microsoft Sentinel.

Další informace najdete v tématu Řešení Microsoft Sentinel pro aktualizace souboru agenta datového konektoru aplikací SAP.

Na počítači agenta datového konektoru spusťte:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Aktualizuje se kontejner Dockeru datového konektoru SAP na vašem počítači.

Nezapomeňte zkontrolovat všechny další dostupné aktualizace, jako jsou žádosti o změnu SAP.

Aktualizace systému kvůli přerušení útoku

Automatické přerušení útoku pro SAP je podporováno s jednotnou platformou operací zabezpečení na portálu Microsoft Defender a vyžaduje:

• Pracovní prostor nasazený na sjednocenou platformu operací zabezpečení.

• Agent datového konektoru SAP služby Microsoft Sentinel, verze 90847355 nebo vyšší. Zkontrolujte aktuální verzi agenta a aktualizujte ji, pokud potřebujete.

• Následující role v Azure a SAP:

  • Požadavek na roli Azure: Identita virtuálního počítače agenta datového konektoru musí být přiřazena k roli operátora agenta obchodních aplikací Microsoft Sentinelu v Azure. Pokud potřebujete, ověřte toto přiřazení a přiřaďte tuto roli ručně .

  • Požadavek na roli SAP: Role /MSFTSEN/SENTINEL_RESPONDER SAP musí být použita pro váš systém SAP a přiřazena k uživatelskému účtu SAP používanému agentem datového konektoru. Ověřte toto přiřazení a použijte a přiřaďte roli , pokud potřebujete.

Následující postupy popisují, jak tyto požadavky splnit, pokud ještě nejsou splněné.

Ověření aktuální verze agenta datového konektoru

Pokud chcete ověřit aktuální verzi agenta, spusťte na stránce Protokolů Microsoft Sentinelu následující dotaz:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Kontrola požadovaných rolí Azure

Přerušení útoku pro SAP vyžaduje, abyste identitě virtuálního počítače vašeho agenta udělili specifická oprávnění k pracovnímu prostoru služby Log Analytics povolenému pro Microsoft Sentinel pomocí rolí operátora agenta obchodních aplikací a čtenáře služby Microsoft Sentinel.

Nejprve zkontrolujte, jestli už máte přiřazené role:

1. Vyhledejte ID objektu identity virtuálního počítače v Azure:

   1. Přejděte do podnikové aplikace>Všechny aplikace a v závislosti na typu identity, kterou používáte pro přístup k trezoru klíčů, vyberte svůj virtuální počítač nebo registrovaný název aplikace.
   2. Zkopírujte hodnotu pole ID objektu, které chcete použít s zkopírovaným příkazem.

2. Spuštěním následujícího příkazu ověřte, jestli už jsou tyto role přiřazené, a podle potřeby nahraďte zástupné hodnoty.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Výstup zobrazuje seznam rolí přiřazených k ID objektu.

Ruční přiřazení požadovaných rolí Azure

Pokud se k identitě virtuálního počítače vašeho agenta ještě nepřiřazují role agenta obchodních aplikací a čtenáře microsoft Sentinelu, přiřaďte je ručně pomocí následujících kroků. V závislosti na způsobu nasazení agenta vyberte kartu webu Azure Portal nebo příkazového řádku. Agenti nasazení z příkazového řádku se na webu Azure Portal nezobrazují a k přiřazení rolí musíte použít příkazový řádek.

Abyste mohli tento postup provést, musíte být vlastníkem skupiny prostředků ve vašem pracovním prostoru služby Log Analytics, který je povolený pro Microsoft Sentinel.

Azure Portal

1. V Microsoft Sentinelu přejděte na stránce Konektory konfiguračních > dat do služby Microsoft Sentinel pro datový konektor SAP a vyberte Otevřít stránku konektoru.

2. V oblasti Konfigurace v kroku 1. Přidejte agenta kolektoru založeného na rozhraní API, vyhledejte agenta, kterého aktualizujete, a vyberte tlačítko Zobrazit příkazy.

3. Zkopírujte zobrazené příkazy přiřazení role. Spusťte je na virtuálním počítači agenta a nahraďte Object_ID zástupné symboly ID objektu identity virtuálního počítače.

   Tyto příkazy přiřazují roli operátora obchodních aplikací Microsoft Sentinel a čtenáře Azure spravované identitě virtuálního počítače, včetně pouze rozsahu dat zadaného agenta v pracovním prostoru.

Důležité

Přiřazení rolí operátora a čtenáře obchodních aplikací služby Microsoft Sentinel prostřednictvím rozhraní příkazového řádku přiřadí role pouze v rozsahu dat zadaného agenta v pracovním prostoru. Jedná se o nejbezpečnější a proto doporučenou možnost.

Pokud musíte role přiřadit prostřednictvím webu Azure Portal, doporučujeme přiřadit role v malém rozsahu, například jenom v pracovním prostoru služby Log Analytics povoleném pro Microsoft Sentinel.

Příkazový řádek

1. Získejte ID agenta spuštěním následujícího příkazu a nahraďte <container_name> zástupný text názvem kontejneru Dockeru:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Vrácené ID agenta může být 234fba02-3b34-4c55-8c0e-e6423ceb405bnapříklad .

2. Spuštěním následujících příkazů přiřaďte roli operátora a čtenáře obchodních aplikací služby Microsoft Sentinel:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Zástupné hodnoty nahraďte následujícím způsobem:

   Zástupný symbol	Hodnota
   <OBJ_ID>	ID objektu identity virtuálního počítače.
   <SUB_ID>	ID předplatného pro váš pracovní prostor služby Log Analytics povolené pro Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Název skupiny prostředků pro váš pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel
   <WS_NAME>	Název pracovního prostoru služby Log Analytics povolený pro Microsoft Sentinel
   <AGENT_IDENTIFIER>	ID agenta se zobrazí po spuštění příkazu v předchozím kroku.

Použití a přiřazení role SENTINEL_RESPONDER SAP k systému SAP

Použijte roli SAP /MSFTSEN/SENTINEL_RESPONDER pro váš systém SAP a přiřaďte ji k uživatelskému účtu SAP používanému agentem datového konektoru SAP služby Microsoft Sentinel.

Použití a přiřazení role SAP /MSFTSEN/SENTINEL_RESPONDER :

1. Nahrajte definice rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER na GitHubu.

2. Přiřaďte roli /MSFTSEN/SENTINEL_RESPONDER k uživatelskému účtu SAP používanému agentem datového konektoru Microsoft Sentinelu. Další informace najdete v tématu Konfigurace systému SAP pro řešení Microsoft Sentinel.

   Případně ručně přiřaďte aktuální roli přiřazené k uživatelskému účtu SAP používanému datovým konektorem SAP služby Microsoft Sentinel následující autorizace. Tato autorizace jsou součástí role /MSFTSEN/SENTINEL_RESPONDER SAP speciálně pro akce reakce na přerušení útoku.

   Objekt autorizace	Pole	Hodnota
   S_RFC	RFC_TYPE	Modul funkcí
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER Na rozdíl od názvu tato funkce neodstraní uživatele, ale ukončí aktivní relaci uživatele.
   S_USER_GRP	TŘÍDA	* Doporučujeme nahradit S_USER_GRP CLASS příslušnými třídami ve vaší organizaci, které představují uživatele dialogů.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Další informace naleznete v tématu Povinné autorizace ABAP.

Související obsah

Další informace naleznete v tématu:

• Nasazení řešení Microsoft Sentinel pro aplikace SAP
• Monitorování stavu systému SAP
• Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP