Aktualizace agenta datového konektoru SAP pro Microsoft Sentinel
V tomto článku se dozvíte, jak aktualizovat již existující datový konektor Microsoft Sentinel pro SAP na nejnovější verzi.
Pokud chcete získat nejnovější funkce, můžete povolit automatické aktualizace agenta datového konektoru SAP nebo agenta aktualizovat ručně.
Automatické nebo ruční aktualizace popsané v tomto článku jsou relevantní jenom pro agenta konektoru SAP, a ne pro řešení Microsoft Sentinel pro SAP. Aby bylo možné úspěšně aktualizovat řešení, musí být váš agent aktuální. Řešení se aktualizuje samostatně.
Důležité
Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Požadavky
Než začnete, ujistěte se, že máte všechny požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP.
Další informace najdete v tématu Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®.
Automatická aktualizace agenta datového konektoru SAP (Preview)
U všech existujících kontejnerů nebo konkrétního kontejneru můžete povolit automatické aktualizace agenta konektoru.
Důležité
Automatická aktualizace agenta datového konektoru SAP je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Povolení automatických aktualizací pro všechny existující kontejnery
Pokud chcete povolit automatické aktualizace pro všechny existující kontejnery (všechny kontejnery s připojeným agentem SAP), spusťte na počítači kolektoru následující příkaz:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
Příkaz vytvoří úlohu cron, která se spouští každý den a kontroluje aktualizace. Pokud úloha zjistí novou verzi agenta, aktualizuje agenta ve všech kontejnerech, které existují při spuštění výše uvedeného příkazu. Pokud kontejner používá verzi Preview, která je novější než nejnovější verze (verze, kterou úloha nainstaluje), úloha tento kontejner neaktualizuje.
Pokud přidáte kontejnery po spuštění úlohy cron, nové kontejnery se automaticky neaktualizují. Chcete-li tyto kontejnery aktualizovat, definujte v souboru /opt/sapcon/[IDENTIFIKÁTOR GUID agenta]/settings.json parametr pro každý kontejner jako true
.auto_update
Protokoly pro tuto aktualizaci jsou v části var/log/sapcon-sentinel-register-autoupdate.log/.
Povolení automatických aktualizací v konkrétním kontejneru
Pokud chcete povolit automatické aktualizace pro konkrétní kontejner nebo kontejnery, spusťte následující příkaz:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
Protokoly pro tuto aktualizaci jsou v části /var/log/sapcon-sentinel-register-autoupdate.log.
Zakázání automatických aktualizací
Chcete-li zakázat automatické aktualizace kontejneru nebo kontejnerů, definujte auto_update
parametr pro každý kontejner jako false
.
Ruční aktualizace agenta datového konektoru SAP
Pokud chcete agenta konektoru aktualizovat ručně, ujistěte se, že máte nejnovější verze příslušných skriptů nasazení z úložiště GitHub služby Microsoft Sentinel.
Run (Spuštění):
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
Aktualizuje se kontejner Dockeru datového konektoru SAP na vašem počítači.
Nezapomeňte zkontrolovat všechny další dostupné aktualizace, například:
- Relevantní žádosti o změnu SAP v úložišti Microsoft Sentinel Na GitHubu
- Řešení Microsoft Sentinel pro obsah zabezpečení aplikací SAP® v řešení Microsoft Sentinel pro aplikace SAP®.
- Relevantní seznamy ke zhlédnutí v úložišti Microsoft Sentinel Na GitHubu
Aktualizace systému kvůli přerušení útoku
Automatické přerušení útoku pro SAP je podporováno s jednotnou platformou operací zabezpečení na portálu Microsoft Defender a vyžaduje:
Pracovní prostor nasazený na sjednocenou platformu operací zabezpečení.
Agent datového konektoru SAP služby Microsoft Sentinel, verze 90847355 nebo vyšší. Zkontrolujte aktuální verzi agenta a aktualizujte ji, pokud potřebujete.
Identita virtuálního počítače agenta datového konektoru přiřazená k roli operátora agenta obchodních aplikací Microsoft Sentinelu v Azure. Pokud tato role není přiřazená, nezapomeňte tyto role přiřadit ručně.
Role SAP /MSFTSEN/SENTINEL_RESPONDER použitá pro váš systém SAP a přiřazená k uživatelskému účtu SAP používanému agentem datového konektoru Microsoft Sentinelu.
Ověření aktuální verze agenta datového konektoru
Pokud chcete ověřit aktuální verzi agenta, spusťte na stránce Protokolů Microsoft Sentinelu následující dotaz:
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
Kontrola požadovaných rolí Azure
Přerušení útoku pro SAP vyžaduje, abyste identitě virtuálního počítače vašeho agenta udělili konkrétní oprávnění k pracovnímu prostoru Služby Microsoft Sentinel pomocí rolí operátora a čtenáře agenta obchodních aplikací Microsoft Sentinelu.
Nejprve zkontrolujte, jestli už máte přiřazené role:
Vyhledejte ID objektu identity virtuálního počítače v Azure:
- Přejděte do podnikové aplikace>Všechny aplikace a v závislosti na typu identity, kterou používáte pro přístup k trezoru klíčů, vyberte svůj virtuální počítač nebo registrovaný název aplikace.
- Zkopírujte hodnotu pole ID objektu, které chcete použít s zkopírovaným příkazem.
Spuštěním následujícího příkazu ověřte, jestli už jsou tyto role přiřazené, a podle potřeby nahraďte zástupné hodnoty.
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
Výstup zobrazuje seznam rolí přiřazených k ID objektu.
Ruční přiřazení požadovaných rolí Azure
Pokud se k identitě virtuálního počítače vašeho agenta ještě nepřiřazují role agenta obchodních aplikací a čtenáře microsoft Sentinelu, přiřaďte je ručně pomocí následujících kroků. V závislosti na způsobu nasazení agenta vyberte kartu webu Azure Portal nebo příkazového řádku. Agenti nasazení z příkazového řádku se na webu Azure Portal nezobrazují a k přiřazení rolí musíte použít příkazový řádek.
Pokud chcete tento postup provést, musíte být vlastníkem skupiny prostředků v pracovním prostoru Služby Microsoft Sentinel.
V Microsoft Sentinelu přejděte na stránce Konektory konfiguračních> dat do služby Microsoft Sentinel pro datový konektor SAP a vyberte Otevřít stránku konektoru.
V oblasti Konfigurace v kroku 1. Přidejte agenta kolektoru založeného na rozhraní API, vyhledejte agenta, kterého aktualizujete, a vyberte tlačítko Zobrazit příkazy.
Zkopírujte zobrazené příkazy přiřazení role. Spusťte je na virtuálním počítači agenta a nahraďte
Object_ID
zástupné symboly ID objektu identity virtuálního počítače.Tyto příkazy přiřazují roli operátora obchodních aplikací Microsoft Sentinel a čtenáře Azure spravované identitě virtuálního počítače, včetně pouze rozsahu dat zadaného agenta v pracovním prostoru.
Důležité
Přiřazení rolí operátora a čtenáře obchodních aplikací služby Microsoft Sentinel prostřednictvím rozhraní příkazového řádku přiřadí role pouze v rozsahu dat zadaného agenta v pracovním prostoru. Jedná se o nejbezpečnější a proto doporučenou možnost.
Pokud musíte role přiřadit prostřednictvím webu Azure Portal, doporučujeme přiřadit role v malém rozsahu, například jenom v pracovním prostoru Služby Microsoft Sentinel.
Použití a přiřazení role SENTINEL_RESPONDER SAP k systému SAP
Použijte roli SAP /MSFTSEN/SENTINEL_RESPONDER pro váš systém SAP a přiřaďte ji k uživatelskému účtu SAP používanému agentem datového konektoru SAP služby Microsoft Sentinel.
Použití a přiřazení role SAP /MSFTSEN/SENTINEL_RESPONDER :
Nahrajte definice rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER na GitHubu.
Přiřaďte roli /MSFTSEN/SENTINEL_RESPONDER k uživatelskému účtu SAP používanému agentem datového konektoru Microsoft Sentinelu. Další informace najdete v tématu Nasazení žádostí o změnu SAP a konfigurace autorizace.
Případně ručně přiřaďte aktuální roli přiřazené k uživatelskému účtu SAP používanému datovým konektorem SAP služby Microsoft Sentinel následující autorizace. Tato autorizace jsou součástí role /MSFTSEN/SENTINEL_RESPONDER SAP speciálně pro akce reakce na přerušení útoku.
Objekt autorizace | Pole | Hodnota |
---|---|---|
S_RFC | RFC_TYPE | Modul funkcí |
S_RFC | RFC_NAME | BAPI_USER_LOCK |
S_RFC | RFC_NAME | BAPI_USER_UNLOCK |
S_RFC | RFC_NAME | TH_DELETE_USER Na rozdíl od názvu tato funkce neodstraní uživatele, ale ukončí aktivní relaci uživatele. |
S_USER_GRP | TŘÍDA | * Doporučujeme nahradit S_USER_GRP CLASS příslušnými třídami ve vaší organizaci, které představují uživatele dialogů. |
S_USER_GRP | ACTVT | 03 |
S_USER_GRP | ACTVT | 05 |
Další informace naleznete v tématu Povinné jazyk ABAP autorizace.
Další kroky
Další informace o řešení Microsoft Sentinel pro aplikace SAP®:
- Nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Nasazení žádostí o změnu SAP (CRS) a konfigurace autorizace
- Nasazení obsahu řešení z centra obsahu
- Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP
- Monitorování stavu systému SAP
- Nasazení datového konektoru Microsoft Sentinel pro SAP pomocí SNC
- Povolení a konfigurace auditování SAP
- Shromažďování protokolů auditu SAP HANA
Řešení potíží:
Referenční soubory:
- Referenční informace k datům aplikací SAP® pro řešení Microsoft Sentinel
- Řešení Microsoft Sentinel pro aplikace SAP®: Referenční informace k obsahu zabezpečení
- Úvodní referenční informace ke skriptu
- Referenční informace k aktualizačnímu skriptu
- Referenční informace k souboru Systemconfig.ini
Další informace najdete v tématu Řešení Microsoft Sentinel.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro