Aktualizace agenta datového konektoru SAP pro Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

V tomto článku se dozvíte, jak aktualizovat již existující datový konektor Microsoft Sentinel pro SAP na nejnovější verzi.

Pokud chcete získat nejnovější funkce, můžete povolit automatické aktualizace agenta datového konektoru SAP nebo agenta aktualizovat ručně.

Automatické nebo ruční aktualizace popsané v tomto článku jsou relevantní jenom pro agenta konektoru SAP, a ne pro řešení Microsoft Sentinel pro SAP. Aby bylo možné úspěšně aktualizovat řešení, musí být váš agent aktuální. Řešení se aktualizuje samostatně.

Důležité

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Než začnete, ujistěte se, že máte všechny požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP.

Další informace najdete v tématu Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®.

Automatická aktualizace agenta datového konektoru SAP (Preview)

U všech existujících kontejnerů nebo konkrétního kontejneru můžete povolit automatické aktualizace agenta konektoru.

Důležité

Automatická aktualizace agenta datového konektoru SAP je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Povolení automatických aktualizací pro všechny existující kontejnery

Pokud chcete povolit automatické aktualizace pro všechny existující kontejnery (všechny kontejnery s připojeným agentem SAP), spusťte na počítači kolektoru následující příkaz:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Příkaz vytvoří úlohu cron, která se spouští každý den a kontroluje aktualizace. Pokud úloha zjistí novou verzi agenta, aktualizuje agenta ve všech kontejnerech, které existují při spuštění výše uvedeného příkazu. Pokud kontejner používá verzi Preview, která je novější než nejnovější verze (verze, kterou úloha nainstaluje), úloha tento kontejner neaktualizuje.

Pokud přidáte kontejnery po spuštění úlohy cron, nové kontejnery se automaticky neaktualizují. Chcete-li tyto kontejnery aktualizovat, definujte v souboru /opt/sapcon/[IDENTIFIKÁTOR GUID agenta]/settings.json parametr pro každý kontejner jako true.auto_update

Protokoly pro tuto aktualizaci jsou v části var/log/sapcon-sentinel-register-autoupdate.log/.

Povolení automatických aktualizací v konkrétním kontejneru

Pokud chcete povolit automatické aktualizace pro konkrétní kontejner nebo kontejnery, spusťte následující příkaz:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Protokoly pro tuto aktualizaci jsou v části /var/log/sapcon-sentinel-register-autoupdate.log.

Zakázání automatických aktualizací

Chcete-li zakázat automatické aktualizace kontejneru nebo kontejnerů, definujte auto_update parametr pro každý kontejner jako false.

Ruční aktualizace agenta datového konektoru SAP

Pokud chcete agenta konektoru aktualizovat ručně, ujistěte se, že máte nejnovější verze příslušných skriptů nasazení z úložiště GitHub služby Microsoft Sentinel.

Run (Spuštění):

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Aktualizuje se kontejner Dockeru datového konektoru SAP na vašem počítači.

Nezapomeňte zkontrolovat všechny další dostupné aktualizace, například:

• Relevantní žádosti o změnu SAP v úložišti Microsoft Sentinel Na GitHubu
• Řešení Microsoft Sentinel pro obsah zabezpečení aplikací SAP® v řešení Microsoft Sentinel pro aplikace SAP®.
• Relevantní seznamy ke zhlédnutí v úložišti Microsoft Sentinel Na GitHubu

Aktualizace systému kvůli přerušení útoku

Automatické přerušení útoku pro SAP je podporováno s jednotnou platformou operací zabezpečení na portálu Microsoft Defender a vyžaduje:

• Pracovní prostor nasazený na sjednocenou platformu operací zabezpečení.

• Agent datového konektoru SAP služby Microsoft Sentinel, verze 90847355 nebo vyšší. Zkontrolujte aktuální verzi agenta a aktualizujte ji, pokud potřebujete.

• Identita virtuálního počítače agenta datového konektoru přiřazená k roli operátora agenta obchodních aplikací Microsoft Sentinelu v Azure. Pokud tato role není přiřazená, nezapomeňte tyto role přiřadit ručně.

• Role SAP /MSFTSEN/SENTINEL_RESPONDER použitá pro váš systém SAP a přiřazená k uživatelskému účtu SAP používanému agentem datového konektoru Microsoft Sentinelu.

Ověření aktuální verze agenta datového konektoru

Pokud chcete ověřit aktuální verzi agenta, spusťte na stránce Protokolů Microsoft Sentinelu následující dotaz:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Kontrola požadovaných rolí Azure

Přerušení útoku pro SAP vyžaduje, abyste identitě virtuálního počítače vašeho agenta udělili konkrétní oprávnění k pracovnímu prostoru Služby Microsoft Sentinel pomocí rolí operátora a čtenáře agenta obchodních aplikací Microsoft Sentinelu.

Nejprve zkontrolujte, jestli už máte přiřazené role:

1. Vyhledejte ID objektu identity virtuálního počítače v Azure:

   1. Přejděte do podnikové aplikace>Všechny aplikace a v závislosti na typu identity, kterou používáte pro přístup k trezoru klíčů, vyberte svůj virtuální počítač nebo registrovaný název aplikace.
   2. Zkopírujte hodnotu pole ID objektu, které chcete použít s zkopírovaným příkazem.

2. Spuštěním následujícího příkazu ověřte, jestli už jsou tyto role přiřazené, a podle potřeby nahraďte zástupné hodnoty.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Výstup zobrazuje seznam rolí přiřazených k ID objektu.

Ruční přiřazení požadovaných rolí Azure

Pokud se k identitě virtuálního počítače vašeho agenta ještě nepřiřazují role agenta obchodních aplikací a čtenáře microsoft Sentinelu, přiřaďte je ručně pomocí následujících kroků. V závislosti na způsobu nasazení agenta vyberte kartu webu Azure Portal nebo příkazového řádku. Agenti nasazení z příkazového řádku se na webu Azure Portal nezobrazují a k přiřazení rolí musíte použít příkazový řádek.

Pokud chcete tento postup provést, musíte být vlastníkem skupiny prostředků v pracovním prostoru Služby Microsoft Sentinel.

Azure Portal

1. V Microsoft Sentinelu přejděte na stránce Konektory konfiguračních> dat do služby Microsoft Sentinel pro datový konektor SAP a vyberte Otevřít stránku konektoru.

2. V oblasti Konfigurace v kroku 1. Přidejte agenta kolektoru založeného na rozhraní API, vyhledejte agenta, kterého aktualizujete, a vyberte tlačítko Zobrazit příkazy.

3. Zkopírujte zobrazené příkazy přiřazení role. Spusťte je na virtuálním počítači agenta a nahraďte Object_ID zástupné symboly ID objektu identity virtuálního počítače.

   Tyto příkazy přiřazují roli operátora obchodních aplikací Microsoft Sentinel a čtenáře Azure spravované identitě virtuálního počítače, včetně pouze rozsahu dat zadaného agenta v pracovním prostoru.

Důležité

Přiřazení rolí operátora a čtenáře obchodních aplikací služby Microsoft Sentinel prostřednictvím rozhraní příkazového řádku přiřadí role pouze v rozsahu dat zadaného agenta v pracovním prostoru. Jedná se o nejbezpečnější a proto doporučenou možnost.

Pokud musíte role přiřadit prostřednictvím webu Azure Portal, doporučujeme přiřadit role v malém rozsahu, například jenom v pracovním prostoru Služby Microsoft Sentinel.

Příkazový řádek

1. Získejte ID agenta spuštěním následujícího příkazu a nahraďte <container_name> zástupný text názvem kontejneru Dockeru:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Vrácené ID agenta může být 234fba02-3b34-4c55-8c0e-e6423ceb405bnapříklad .

2. Spuštěním následujících příkazů přiřaďte roli operátora a čtenáře obchodních aplikací služby Microsoft Sentinel:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Zástupné hodnoty nahraďte následujícím způsobem:

   Zástupný symbol	Hodnota
   <OBJ_ID>	ID objektu identity virtuálního počítače.
   <SUB_ID>	ID vašeho předplatného pracovního prostoru Služby Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Název vaší skupiny prostředků pracovního prostoru Služby Microsoft Sentinel
   <WS_NAME>	Název vašeho pracovního prostoru Microsoft Sentinelu
   <AGENT_IDENTIFIER>	ID agenta se zobrazí po spuštění příkazu v předchozím kroku.

Použití a přiřazení role SENTINEL_RESPONDER SAP k systému SAP

Použijte roli SAP /MSFTSEN/SENTINEL_RESPONDER pro váš systém SAP a přiřaďte ji k uživatelskému účtu SAP používanému agentem datového konektoru SAP služby Microsoft Sentinel.

Použití a přiřazení role SAP /MSFTSEN/SENTINEL_RESPONDER :

1. Nahrajte definice rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER na GitHubu.

2. Přiřaďte roli /MSFTSEN/SENTINEL_RESPONDER k uživatelskému účtu SAP používanému agentem datového konektoru Microsoft Sentinelu. Další informace najdete v tématu Nasazení žádostí o změnu SAP a konfigurace autorizace.

Případně ručně přiřaďte aktuální roli přiřazené k uživatelskému účtu SAP používanému datovým konektorem SAP služby Microsoft Sentinel následující autorizace. Tato autorizace jsou součástí role /MSFTSEN/SENTINEL_RESPONDER SAP speciálně pro akce reakce na přerušení útoku.

Objekt autorizace	Pole	Hodnota
S_RFC	RFC_TYPE	Modul funkcí
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER Na rozdíl od názvu tato funkce neodstraní uživatele, ale ukončí aktivní relaci uživatele.
S_USER_GRP	TŘÍDA	* Doporučujeme nahradit S_USER_GRP CLASS příslušnými třídami ve vaší organizaci, které představují uživatele dialogů.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Další informace naleznete v tématu Povinné jazyk ABAP autorizace.

Další kroky

Další informace o řešení Microsoft Sentinel pro aplikace SAP®:

• Nasazení řešení Microsoft Sentinel pro aplikace SAP®
• Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
• Nasazení žádostí o změnu SAP (CRS) a konfigurace autorizace
• Nasazení obsahu řešení z centra obsahu
• Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP
• Monitorování stavu systému SAP
• Nasazení datového konektoru Microsoft Sentinel pro SAP pomocí SNC
• Povolení a konfigurace auditování SAP
• Shromažďování protokolů auditu SAP HANA

Řešení potíží:

• Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP®

Referenční soubory:

• Referenční informace k datům aplikací SAP® pro řešení Microsoft Sentinel
• Řešení Microsoft Sentinel pro aplikace SAP®: Referenční informace k obsahu zabezpečení
• Úvodní referenční informace ke skriptu
• Referenční informace k aktualizačnímu skriptu
• Referenční informace k souboru Systemconfig.ini

Další informace najdete v tématu Řešení Microsoft Sentinel.