Aktualisieren des SAP-Datenconnector-Agents von Microsoft Sentinel

• Gilt für:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel wird gezeigt, wie Sie einen bereits vorhandenen Datenconnector von Microsoft Sentinel für SAP auf seine neueste Version aktualisieren.

Um die neuesten Features zu erhalten, können Sie automatische Updates für den SAP-Datenconnector-Agent aktivieren oder den Agent manuell aktualisieren.

Die in diesem Artikel beschriebenen automatischen oder manuellen Updates sind nur für den SAP-Connector-Agent relevant und nicht für die Microsoft Sentinel-Lösung für SAP. Um die Lösung erfolgreich zu aktualisieren, muss Ihr Agent auf dem neuesten Stand sein. Die Lösung wird separat aktualisiert.

Wichtig

Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Verwendung in der Produktion unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie alle Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen haben.

Weitere Informationen finden Sie unter Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen.

Automatisches Aktualisieren des SAP-Datenconnector-Agents (Vorschau)

Sie können automatische Updates für den Connector-Agent für alle vorhandenen Container oder einen bestimmten Container aktivieren.

Wichtig

Die automatische Aktualisierung des SAP-Datenconnectors-Agents befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Aktivieren automatischer Updates für alle vorhandenen Container

Um automatische Updates für alle vorhandenen Container (alle Container mit einem verbundenen SAP-Agent) zu aktivieren, führen Sie den folgenden Befehl auf dem Collector-Computer aus:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Der Befehl erstellt einen Cronjob, der täglich ausgeführt wird und nach Updates sucht. Wenn der Job eine neue Version des Agents erkennt, aktualisiert er den Agent für alle Container, die vorhanden sind, wenn Sie den obigen Befehl ausführen. Wenn in einem Container eine Vorschauversion ausgeführt wird, die neuer als die neueste Version ist (die Version, die der Job installiert), aktualisiert der Job diesen Container nicht.

Wenn Sie Container hinzufügen, nachdem Sie den Cronjob ausgeführt haben, werden die neuen Container nicht automatisch aktualisiert. Um diese Container zu aktualisieren, definieren Sie in der Datei /opt/sapcon/[SID oder Agent GUID]/settings.json den Parameter auto_update für jeden Container als true.

Die Protokolle für dieses Update befinden sich unter var/log/sapcon-sentinel-register-autoupdate.log/.

Aktivieren automatischer Updates für einen bestimmten Container

Um automatische Updates für bestimmte Container zu aktivieren, führen Sie den folgenden Befehl aus:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Die Protokolle für dieses Update befinden sich unter /var/log/sapcon-sentinel-register-autoupdate.log.

Deaktivieren automatischer Updates

Um automatische Updates für einen Container oder Container zu deaktivieren, definieren Sie den Parameter auto_update für jeden der Container als false.

Manuelle Aktualisierung des SAP-Datenconnector-Agents

Um den Connector-Agent manuell zu aktualisieren, stellen Sie sicher, dass Sie über die neuesten Versionen der relevanten Bereitstellungsskripts aus dem Microsoft Sentinel-GitHub-Repository verfügen.

Führen Sie folgenden Befehl aus:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Der Docker-Container des SAP-Datenconnectors auf Ihrem Computer wird aktualisiert.

Achten Sie darauf, dass Sie nach anderen verfügbaren Updates suchen, z. B.:

• Relevante SAP-Änderungsanforderungen im GitHub-Repository für Microsoft Sentinel.
• Sicherheitsinhalte zur Microsoft Sentinel-Lösung für SAP®-Anwendungen in der Lösung Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Relevante Watchlists im GitHub-Repository für Microsoft Sentinel.

Aktualisieren Ihres Systems für Angriffsunterbrechungen

Automatische Angriffsunterbrechungen für SAP werden mit der einheitlichen Security Operations-Plattform im Microsoft Defender-Portal unterstützt und erfordert:

• Einen Arbeitsbereich, für den ein Onboarding in die einheitliche Security Operations-Plattform durchgeführt wurde.

• Einen Microsoft Sentinel-Datenconnector-Agent für SAP, Version 90847355 oder höher. Überprüfen Sie Ihre aktuelle Agent-Version, und aktualisieren Sie diese, falls erforderlich.

• Der Identität der VM Ihres Datenconnector-Agents, die der Azure-Rolle Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen zugewiesen ist. Wenn diese Rolle nicht zugewiesen ist, stellen Sie sicher, dass Sie diese Rollen manuell zuweisen.

• Die SAP-Rolle /MSFTSEN/SENTINEL_RESPONDER, angewendet auf Ihr SAP-System und dem SAP-Benutzerkonto zugewiesen, das vom SAP-Datenconnector-Agent von Microsoft Sentinel verwendet wird.

Überprüfen der aktuellen Version Ihres Datenkonnektor-Agents

Führen Sie die folgende Abfrage auf der Microsoft Sentinel-Seite Protokolle aus, um die aktuelle Version Ihres Agents zu überprüfen:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Überprüfen auf erforderliche Azure-Rollen

Für die Angriffsunterbrechung für SAP müssen Sie der VM-Identität Ihres Agents bestimmte Berechtigungen für den Microsoft Sentinel-Arbeitsbereich gewähren, indem Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser verwenden.

Überprüfen Sie als erstes, ob Ihre Rollen bereits zugewiesen sind:

1. Suchen Sie die Objekt-ID Ihrer VM-Identität in Azure:

   1. Wechseln Sie zu Unternehmensanwendung>Alle Anwendungen, und wählen Sie Ihre VM oder den Namen der registrierten Anwendung aus, je nachdem, welche Art der Identität Sie für den Zugriff auf Ihren Schlüsseltresor verwenden.
   2. Kopieren Sie den Wert des Felds Objekt-ID, das mit dem kopierten Befehl verwendet werden soll.

2. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob diese Rollen bereits zugewiesen sind, und ersetzen Sie die Platzhalterwerte nach Bedarf.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Die Ausgabe zeigt eine Liste der Rollen, die der Objekt-ID zugewiesen sind.

Manuelles Zuweisen der erforderlichen Azure-Rollen

Wenn die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser der VM-Identität Ihres Agents noch nicht zugewiesen sind, führen Sie die folgenden Schritte aus, um sie manuell zuzuweisen. Wählen Sie die Registerkarte für das Azure-Portal oder die Befehlszeile aus, je nachdem, wie Ihr Agent bereitgestellt ist. Über die Befehlszeile bereitgestellte Agents werden nicht im Azure-Portal angezeigt, und Sie müssen die Befehlszeile verwenden, um die Rollen zuzuweisen.

Um diese Prozedur auszuführen, müssen Sie ein Ressourcengruppenbesitzer in Ihrem Microsoft Sentinel-Arbeitsbereich sein.

Azure portal

1. Wechseln Sie in Microsoft Sentinel auf der Seite Konfiguration > Datenconnectors zu Ihrem Microsoft Sentinel für SAP-Datenconnector, und wählen Sie Connectorseite öffnen aus.

2. Suchen Sie im Bereich Konfiguration unter Schritt 1. Hinzufügen eines API-basierten Collector-Agents den Agent, den Sie aktualisieren, und wählen Sie die Schaltfläche Befehle anzeigen aus.

3. Kopieren Sie die angezeigten Rollenzuweisungsbefehle. Führen Sie diese auf Ihrer Agent-VM aus, und ersetzen Sie dabei die Object_ID-Platzhalter durch die Objekt-ID Ihrer VM-Identität.

   Mit diesen Befehlen werden die Azure-Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser der verwalteten Identität Ihrer VM zugewiesen, wobei nur der Bereich der Daten des angegebenen Agenten im Arbeitsbereich eingeschlossen wird.

Wichtig

Durch Zuweisen der Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser über die CLI werden die Rollen nur für den Bereich der Daten des angegebenen Agents im Arbeitsbereich zugewiesen. Dies ist die sicherste und daher die empfohlene Option.

Wenn Sie die Rollen über das Azure-Portal zuweisen müssen, empfehlen wir die Zuweisung der Rollen für einen kleinen Bereich, z. B. nur für den Microsoft Sentinel-Arbeitsbereich.

Befehlszeile

1. Rufen Sie die Agent-ID ab, indem Sie den folgenden Befehl ausführen und den <container_name>-Platzhalter durch den Namen Ihres Docker-Containers ersetzen:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Eine zurückgegebene Agent-ID kann z. B. 234fba02-3b34-4c55-8c0e-e6423ceb405b sein.

2. Weisen Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser zu, indem Sie die folgenden Befehle ausführen:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Ersetzen Sie Platzhalterwerte wie folgt:

   Platzhalter	Wert
   <OBJ_ID>	Die Objekt-ID Ihrer VM-Identität.
   <SUB_ID>	Die Abonnement-ID für Ihren Microsoft Sentinel-Arbeitsbereich
   <RESOURCE_GROUP_NAME>	Der Ressourcengruppenname Ihres Microsoft Sentinel-Arbeitsbereichs
   <WS_NAME>	Der Name Ihres Microsoft Sentinel-Arbeitsbereichs
   <AGENT_IDENTIFIER>	Die Agent-ID, die nach dem Ausführen des Befehls im vorherigen Schritt angezeigt wird.

Anwenden und Zuweisen der SAP-Rolle „SENTINEL_RESPONDER“ zu Ihrem SAP-System

Wenden Sie die SAP-Rolle /MSFTSEN/SENTINEL_RESPONDER auf Ihr SAP-System an, und weisen Sie diese dem SAP-Benutzerkonto zu, das vom SAP-Datenconnector-Agent von Microsoft Sentinel verwendet wird.

So wenden Sie die SAP-Rolle /MSFTSEN/SENTINEL_RESPONDER an und weisen sie zu:

1. Laden Sie Rollendefinitionen aus der Datei /MSFTSEN/SENTINEL_RESPONDER in GitHub hoch.

2. Weisen Sie die Rolle /MSFTSEN/SENTINEL_RESPONDER dem SAP-Benutzerkonto zu, das vom SAP-Datenconnector-Agent von Microsoft Sentinel verwendet wird. Weitere Informationen finden Sie unter Bereitstellen von SAP-Änderungsanforderungen und Konfigurieren der Autorisierung.

Alternativ können Sie die folgenden Autorisierungen manuell der aktuellen Rolle zuweisen, die bereits dem SAP-Benutzerkonto zugewiesen ist, das vom SAP-Datenconnector von Microsoft Sentinel verwendet wird. Diese Autorisierungen sind in der SAP-Rolle /MSFTSEN/SENTINEL_RESPONDER speziell für Angriffsunterbrechungsreaktionsaktionen enthalten.

Autorisierungsobjekt	Feld	Wert
S_RFC	RFC_TYPE	Funktionsmodul
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER Diese Funktion löscht keine Benutzer, sondern beendet die aktive Benutzersitzung (auch wenn der Name anderes vermuten lässt).
S_USER_GRP	CLASS	* Es wird empfohlen, „S_USER_GRP CLASS“ durch die relevanten Klassen in Ihrer Organisation zu ersetzen, die Dialogbenutzer darstellen.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Weitere Informationen finden Sie unter Erforderliche ABAP-Autorisierungen.

Nächste Schritte

Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:

• Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
• Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Bereitstellen von SAP-Änderungsanforderungen (CRs) und Konfigurieren der Autorisierung
• Bereitstellen des Lösungsinhalts über den Inhaltshub
• Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
• Überwachen der Integrität Ihres SAP-Systems
• Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP mit SNC
• Aktivieren und Konfigurieren von SAP-Überwachung
• Erfassen von SAP HANA-Überwachungsprotokollen

Problembehandlung:

• Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen

Referenzdateien:

• Datenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
• Referenz zum Kickstartskript
• Referenz zum Updateskript
• Referenz zur Datei „Systemconfig.ini“

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.