Mettre à jour l’agent du connecteur de données Microsoft Sentinel pour SAP

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article vous montre comment mettre à jour un connecteur de données Microsoft Sentinel pour SAP déjà existant vers sa dernière version afin que vous puissiez utiliser les fonctionnalités et améliorations les plus récentes.

Pendant le processus de mise à jour de l’agent du connecteur de données, il est possible qu’il y ait un court temps d’arrêt d’environ 10 secondes. Pour veiller à l’intégrité des données, une entrée de base de données stocke le timestamp du dernier journal récupéré. Une fois la mise à jour terminée, le processus de récupération des données reprend à partir du dernier journal récupéré, ce qui empêche les doublons et assure un flux de données fluide.

Les mises à jour automatiques ou manuelles décrites dans cet article s’appliquent uniquement à l’agent du connecteur SAP, et non aux applications de Solution Microsoft Sentinel pour SAP. Pour réussir la mise à jour de la solution, votre agent doit être à jour. La solution est mise à jour séparément, comme vous le feriez pour toute autre solution Microsoft Sentinel.

Le contenu de cet article est pertinent pour vos équipes en charge de la sécurité, de l’infrastructure et de SAP BASIS.

Prérequis

Avant de commencer :

• Veillez à avoir tous les prérequis pour le déploiement des applications de Solution Microsoft Sentinel pour SAP. Pour plus d’informations, consultez Prérequis pour le déploiement des applications de solution Microsoft Sentinel pour SAP.

• Veillez à comprendre votre architecture et vos environnements SAP et Microsoft Sentinel, notamment les machines sur lesquelles vos collecteurs et agents de connecteur sont installées.

Configurer les mises à jour automatiques pour l’agent du connecteur de données SAP (Préversion)

Configurez les mises à jour automatiques pour l’agent du connecteur sur tous les conteneurs existants ou sur un conteneur spécifique.

Les commandes décrites dans cette section créent une tâche cron qui s’exécute quotidiennement, recherche les mises à jour et met à jour l’agent vers la version en disponibilité générale la plus récente. Les conteneurs exécutant une préversion de l’agent plus récente que la dernière version en disponibilité générale ne sont pas mis à jour. Les fichiers de journal pour les mises à jour automatiques se trouvent sur l’ordinateur collecteur, sur /var/log/sapcon-sentinel-register-autoupdate.log.

Après avoir configuré une fois les mises à jour automatiques pour un agent, elles sont y toujours configurées.

Important

La mise à jour automatique de l’agent de connecteur de données SAP est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Configurer les mises à jour automatiques pour tous les conteneurs existants

Pour activer les mises à jour automatiques pour tous les conteneurs existants avec un agent SAP connecté, exécutez la commande suivante sur l’ordinateur collecteur :

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Si vous travaillez avec plusieurs conteneurs, la tâche cron met à jour l’agent sur tous les conteneurs existant au moment où vous avez exécuté la commande d’origine. Si vous ajoutez des conteneurs après avoir créé la tâche cron initiale, les nouveaux conteneurs ne sont pas automatiquement mis à jour. Pour mettre à jour ces conteneurs, exécutez une commande supplémentaire pour les ajouter.

Configurer des mises à jour automatiques sur un conteneur spécifique

Pour configurer les mises à jour automatiques pour un conteneur spécifique ou plusieurs conteneurs, comme si vous aviez ajouté des conteneurs après exécution de la commande d’automatisation d’origine, exécutez la commande suivante sur l’ordinateur collecteur :

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Dans le fichier /opt/sapcon/[SID ou GUID de l’agent]/settings.json, vous pouvez également définir le paramètre auto_update pour chacun des conteneurs sur true.

Désactiver les mises à jour automatiques

Pour désactiver les mises à jour automatiques pour un ou plusieurs conteneurs, ouvrez le fichier /opt/sapcon/[SID or Agent GUID]/settings.json pour modifier et définir le paramètre auto_update pour chacun des conteneurs sur false.

Mettre à jour manuellement l’agent de connecteur de données SAP

Pour mettre à jour manuellement l’agent de connecteur, vérifiez que vous avez les versions les plus récentes des scripts de déploiement appropriés du référentiel GitHub Microsoft Sentinel.

Pour découvrir plus d’informations, consultez les Informations de référence sur le fichier de mise à jour de l’agent du connecteur de données des applications Solution Microsoft Sentinel pour SAP.

Sur l’ordinateur de l’agent du connecteur de données, exécutez :

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Le conteneur Docker du connecteur de données SAP sur votre ordinateur est mis à jour.

Veillez à rechercher d’autres mises à jour disponibles, telles que les demandes de modification SAP.

Mise à jour de votre système en cas d’interruption de l’attaque

L’interruption d’attaque automatique pour SAP est prise en charge par la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender et nécessite :

• Un espace de travail intégré à la plateforme d’opérations de sécurité unifiée.

• Un agent du connecteur de données SAP Microsoft Sentinel, version 90847355 ou version ultérieure. Vérifiez votre version actuelle de l’agent et mettez-la à jour si nécessaire.

• Les rôles suivants dans Azure et SAP :

  • Exigence de rôle Azure : l’identité de votre machine virtuelle d’agent du connecteur de données doit se voir attribuer le rôle Azure Opérateur d’agent d’applications métiers Microsoft Sentinel. Vérifiez l’affectation et attribuez ce rôle manuellement si nécessaire.

  • Exigence de rôle SAP : le rôle SAP /MSFTSEN/SENTINEL_RESPONDER doit être appliqué à votre système SAP et attribué au compte d’utilisateur SAP utilisé par l’agent du connecteur de données. Vérifiez cette affectation et appliquez et attribuez le rôle manuellement si nécessaire.

Les procédures suivantes décrivent comment répondre à ces exigences si elles ne sont pas encore satisfaites.

Vérifiez la version actuelle de l’agent du connecteur de données

Pour vérifier la version actuelle de votre agent, exécutez la requête suivante à partir de la page Journaux de Microsoft Sentinel :

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Vérifiez les rôles Azure requis

L’interruption des attaques pour SAP nécessite d’accorder à l’identité de la machine virtuelle de votre agent des autorisations spécifiques pour l’espace de travail Log Analytics activé pour Microsoft Sentinel, en utilisant les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur.

Commencez par vérifier si vos rôles sont déjà attribués :

1. Recherchez votre identifiant d’objet d’identité de machine virtuelle dans Azure :

   1. Accédez à Application d'entreprise>Toutes les applications, puis sélectionnez votre machine virtuelle ou votre nom d’application inscrit, en fonction du type d’identité que vous utilisez pour accéder à votre coffre de clés.
   2. Copiez la valeur du champ ID d’objet à utiliser avec votre commande copiée.

2. Exécutez la commande suivante pour vérifier si ces rôles sont déjà attribués, en remplaçant les valeurs de remplacement si nécessaire.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   La sortie affiche une liste des rôles affectés à l’identifiant d’objet.

Attribuer manuellement les rôles Azure requis

Si les rôles Opérateur de l’Agent d’applications métiers Microsoft Sentinel et Lecteur ne sont pas encore attribués à l’identité de machine virtuelle de votre agent, procédez comme suit pour les affecter manuellement. Sélectionnez l'onglet du Portail Microsoft Azure ou de la ligne de commande, en fonction de la manière dont votre agent est déployé. Les agents déployés à partir de la ligne de commande ne sont pas affichés dans le Portail Microsoft Azure et vous devez utiliser la ligne de commande pour attribuer les rôles.

Pour effectuer cette procédure, vous devez être propriétaire du groupe de ressources sur votre espace de travail Log Analytics activé pour Microsoft Sentinel.

Portail

1. Dans Microsoft Sentinel, dans la page Configuration > Connecteurs de données, accédez à votre connecteur de données Microsoft Sentinel pour SAP, puis sélectionnez Ouvrir la page du connecteur.

2. Dans la zone Configuration, sous l’étape 1. Ajoutez un agent collecteur basé sur l’API, recherchez l’agent que vous mettez à jour et sélectionnez le bouton Afficher les commandes.

3. Copiez les Commandes d’attribution de rôle affichées. Exécutez-les sur votre machine virtuelle agent, en remplaçant les espaces réservés Object_ID par votre identifiant d’objet d’identité de machine virtuelle.

   Ces commandes affectent les rôles Azure Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur à l’identité managée de votre machine virtuelle, y compris uniquement l’étendue des données de l’agent spécifié dans l’espace de travail.

Important

L’attribution des rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur via l’interface CLI attribue les rôles uniquement dans l’étendue des données de l’agent spécifié dans l’espace de travail. Il s’agit de l’option la plus sécurisée et donc recommandée.

Si vous devez attribuer les rôles via le Portail Azure, nous vous recommandons d’attribuer les rôles sur une petite étendue, par exemple uniquement sur l’espace de travail Log Analytics activé pour Microsoft Sentinel.

Ligne de commande

1. Obtenez l’identifiant de l’agent en exécutant la commande suivante, en remplaçant l’espace réservé <container_name> par le nom de votre conteneur Docker :

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Par exemple, un ID d’agent retourné peut être 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Attribuez les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur en exécutant les commandes suivantes :

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Remplacez les valeurs d’espace réservé comme suit :

   Paramètre substituable	Valeur
   <OBJ_ID>	L’ID d’objet d’identité de votre machine virtuelle.
   <SUB_ID>	L’ID d’abonnement pour votre espace de travail Log Analytics activé pour Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Le nom du groupe de ressources pour votre espace de travail Log Analytics activé pour Microsoft Sentinel
   <WS_NAME>	Le nom de votre espace de travail Log Analytics activé pour Microsoft Sentinel
   <AGENT_IDENTIFIER>	L’ID de l’agent affiché après avoir exécuté la commande de l’étape précédente.

Appliquer et attribuer le rôle SAP SENTINEL_RESPONDER à votre système SAP

Appliquez le rôle SAP /MSFTSEN/SENTINEL_RESPONDER à votre système SAP et attribuez-le au compte d’utilisateur SAP utilisé par l’agent du connecteur de données SAP de Microsoft Sentinel.

Appliquer et attribuer le rôle SAP /MSFTSEN/SENTINEL_RESPONDER :

1. Chargez les définitions de rôle à partir du fichier /MSFTSEN/SENTINEL_RESPONDER dans GitHub.

2. Attribuez le rôle /MSFTSEN/SENTINEL_RESPONDER au compte d’utilisateur SAP utilisé par l’agent du connecteur de données SAP de Microsoft Sentinel. Pour découvrir plus d’informations, consultez Configurer votre système SAP pour la solution Microsoft Sentinel.

   Vous pouvez également attribuer manuellement les autorisations suivantes au rôle actuel déjà attribué au compte d’utilisateur SAP utilisé par le connecteur de données SAP de Microsoft Sentinel. Ces autorisations sont incluses dans le rôle SAP /MSFTSEN/SENTINEL_RESPONDER spécifiquement pour les actions de réponse aux interruptions d’attaque.

   Objet d’autorisation	Champ	Valeur
   S_RFC	RFC_TYPE	Module de fonction
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER Contrairement à son nom, cette fonction ne supprime pas les utilisateurs, mais met fin à la session utilisateur active.
   S_USER_GRP	CLASS	* Nous vous recommandons de remplacer S_USER_GRP CLASS par les classes pertinentes de votre organisation qui représentent les utilisateurs du dialogue.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Pour plus d’informations, consultez Autorisations ABAP requises.

Contenu connexe

Pour plus d’informations, consultez l’article suivant :

• Déployer des applications Solution Microsoft Sentinel pour SAP
• Surveiller l’intégrité de votre système SAP
• Résoudre les problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP