Az SAP-alkalmazásokhoz készült Microsoft Sentinel adatösszekötő-ügynök frissítése

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogyan frissíthet egy már meglévő Microsoft Sentinel for SAP-adatösszekötőt a legújabb verzióra, hogy a legújabb funkciókat és fejlesztéseket használhassa.

Az adatösszekötő-ügynök frissítési folyamata során előfordulhat, hogy egy rövid állásidő körülbelül 10 másodperc. Az adatintegritás biztosítása érdekében egy adatbázis-bejegyzés tárolja az utolsó beolvasott napló időbélyegét. A frissítés befejezése után az adatlekérési folyamat az utolsó beolvasott naplóból folytatódik, megelőzve az ismétlődéseket, és zökkenőmentes adatfolyamot biztosít.

Az ebben a cikkben ismertetett automatikus vagy manuális frissítések csak az SAP-összekötő-ügynökre, az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldásra nem vonatkozik. A megoldás sikeres frissítéséhez az ügynöknek naprakésznek kell lennie. A megoldás külön frissül, mint bármely más Microsoft Sentinel-megoldás.

A cikk tartalma a biztonsági, az infrastruktúra- és az SAP BASIS-csapatok szempontjából releváns.

Előfeltételek

Előkészületek:

• Győződjön meg arról, hogy rendelkezik az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezésének összes előfeltételével. További információ: A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezésének előfeltételei.

• Győződjön meg arról, hogy ismeri az SAP- és a Microsoft Sentinel-környezeteket és -architektúrát, beleértve azokat a gépeket is, amelyeken az összekötőügynökök és -gyűjtők telepítve vannak.

Az SAP-adatösszekötő-ügynök automatikus frissítéseinek konfigurálása (előzetes verzió)

Konfigurálja az összekötő-ügynök automatikus frissítéseit az összes meglévő vagy egy adott tárolóhoz.

Az ebben a szakaszban ismertetett parancsok létrehoznak egy cron feladatot, amely naponta fut, frissítéseket keres, és frissíti az ügynököt a legújabb GA-verzióra. A legújabb GA-verziónál újabb ügynök előzetes verzióját futtató tárolók nem frissülnek. Az automatikus frissítések naplófájljai a gyűjtőgépen találhatók a /var/log/sapcon-sentinel-register-autoupdate.log címen.

Miután egyszer konfigurálta az ügynök automatikus frissítéseit, az mindig automatikus frissítésekre lesz konfigurálva.

Fontos

Az SAP-adatösszekötő-ügynök automatikus frissítése jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Az összes meglévő tároló automatikus frissítéseinek konfigurálása

A csatlakoztatott SAP-ügynökkel rendelkező összes meglévő tároló automatikus frissítéseinek bekapcsolásához futtassa a következő parancsot a gyűjtőgépen:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Ha több tárolóval dolgozik, a cron feladat frissíti az ügynököt az összes olyan tárolón, amely az eredeti parancs futtatásakor létezett. Ha a kezdeti cron-feladat létrehozása után tárolókat ad hozzá, az új tárolók nem frissülnek automatikusan. A tárolók frissítéséhez futtasson egy további parancsot a hozzáadásukhoz.

Automatikus frissítések konfigurálása egy adott tárolón

Ha egy adott tárolóhoz vagy tárolóhoz szeretne automatikus frissítéseket konfigurálni, például ha az eredeti automatizálási parancs futtatása után hozzáadott tárolókat, futtassa a következő parancsot a gyűjtőgépen:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Másik lehetőségként az /opt/sapcon/[SID vagy Agent GUID]/settings.json fájlban adja meg az auto_update egyes tárolók trueparaméterét.

Automatikus frissítések kikapcsolása

A tárolók vagy tárolók automatikus frissítéseinek kikapcsolásához nyissa meg a /opt/sapcon/[SID vagy Agent GUID]/settings.json fájlt szerkesztésre, és adja meg az auto_update egyes tárolók paraméterét.false

SAP-adatösszekötő-ügynök manuális frissítése

Az összekötő-ügynök manuális frissítéséhez győződjön meg arról, hogy a Microsoft Sentinel GitHub-adattárból a megfelelő üzembehelyezési szkriptek legújabb verzióival rendelkezik.

További információ: Microsoft Sentinel megoldás SAP-alkalmazások adatösszekötő ügynökének frissítési fájlhivatkozásához.

Az adatösszekötő-ügynök gépén futtassa a következőt:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

A számítógépen található SAP-adatösszekötő Docker-tárolója frissül.

Mindenképpen ellenőrizze az egyéb elérhető frissítéseket, például az SAP változáskéréseit.

A rendszer frissítése támadási zavar esetén

Az SAP automatikus támadási zavarai a Microsoft Defender portál egységesített biztonsági üzemeltetési platformjával támogatottak, és az alábbiakat igénylik:

• Az egyesített biztonsági üzemeltetési platformra előkészített munkaterület.

• Microsoft Sentinel SAP-adatösszekötő-ügynök, 90847355 vagy újabb verziójú. Ellenőrizze az aktuális ügynökverziót , és szükség esetén frissítse azt.

• Az Azure-ban és az SAP-ban a következő szerepkörök:

  • Azure-szerepkörkövetelmény: Az adatösszekötő-ügynök virtuális gépének identitását a Microsoft Sentinel Business Applications Agent Operator Azure-szerepkörhöz kell hozzárendelni. Ellenőrizze ezt a hozzárendelést, és szükség esetén manuálisan rendelje hozzá ezt a szerepkört.

  • SAP-szerepkörkövetelmény: Az /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkört alkalmazni kell az SAP-rendszerre, és hozzá kell rendelni az adatösszekötő-ügynök által használt SAP-felhasználói fiókhoz. Ellenőrizze ezt a hozzárendelést, és szükség esetén alkalmazza és rendelje hozzá a szerepkört .

Az alábbi eljárások ismertetik, hogyan teljesíthetik ezeket a követelményeket, ha még nem teljesülnek.

Az adatösszekötő ügynökének aktuális verziójának ellenőrzése

Az ügynök aktuális verziójának ellenőrzéséhez futtassa a következő lekérdezést a Microsoft Sentinel Naplók lapján:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

A szükséges Azure-szerepkörök ellenőrzése

Az SAP támadási zavarához az ügynök virtuálisgép-identitásának adott engedélyekkel kell rendelkeznie a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterülethez a Microsoft Sentinel üzletialkalmazás-ügynök operátori és olvasói szerepköreinek használatával.

Először ellenőrizze, hogy a szerepkörök már ki vannak-e rendelve:

1. Keresse meg a virtuálisgép-identitásobjektum-azonosítót az Azure-ban:

   1. Nyissa meg a Vállalati alkalmazás>Minden alkalmazást, és válassza ki a virtuális gépet vagy a regisztrált alkalmazásnevet attól függően, hogy milyen identitást használ a kulcstartó eléréséhez.
   2. Másolja ki az Objektumazonosító mező értékét a másolt paranccsal való használathoz.

2. Futtassa a következő parancsot annak ellenőrzéséhez, hogy ezek a szerepkörök már ki vannak-e rendelve, és szükség szerint cserélje le a helyőrző értékeket.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   A kimenet az objektumazonosítóhoz rendelt szerepkörök listáját jeleníti meg.

A szükséges Azure-szerepkörök manuális hozzárendelése

Ha a Microsoft Sentinel Üzleti alkalmazásügynök operátori és olvasói szerepkörei még nincsenek hozzárendelve az ügynök virtuálisgép-identitásához, az alábbi lépésekkel rendelje hozzá őket manuálisan. Az ügynök üzembe helyezésétől függően válassza az Azure Portal vagy a parancssor lapját. A parancssorból üzembe helyezett ügynökök nem jelennek meg az Azure Portalon, és a szerepkörök hozzárendeléséhez a parancssort kell használnia.

Az eljárás végrehajtásához erőforráscsoport-tulajdonosnak kell lennie a Microsoft Sentinelhez engedélyezett Log Analytics-munkaterületen.

Portál

1. A Microsoft Sentinel Konfigurációs > adatösszekötők lapján nyissa meg az SAP-adatösszekötőhöz készült Microsoft Sentinelt, és válassza az Összekötő lap megnyitása lehetőséget.

2. A Konfiguráció területen, az 1. lépés alatt. Adjon hozzá egy API-alapú gyűjtőügynököt, keresse meg a frissíteni kívánt ügynököt, és válassza a Parancsok megjelenítése gombot.

3. Másolja ki a megjelenített szerepkör-hozzárendelési parancsokat . Futtassa őket az ügynök virtuális gépén, és cserélje le a Object_ID helyőrzőket a virtuális gép identitásobjektum-azonosítójára.

   Ezek a parancsok hozzárendelik a Microsoft Sentinel Üzleti alkalmazások ügynök operátora és az Olvasó Azure-szerepköröket a virtuális gép felügyelt identitásához, beleértve csak a megadott ügynök adatainak hatókörét a munkaterületen.

Fontos

A Microsoft Sentinel Business Applications Agent Operátor és Olvasó szerepkörök cli-n keresztüli hozzárendelése csak a munkaterületen megadott ügynök adatainak hatókörébe rendeli hozzá a szerepköröket. Ez a legbiztonságosabb, ezért ajánlott lehetőség.

Ha a szerepköröket az Azure Portalon kell hozzárendelnie, javasoljuk, hogy a szerepköröket egy kis hatókörbe rendelje, például csak a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterületen.

Parancssor

1. Az ügynökazonosító lekéréséhez futtassa a következő parancsot, és cserélje le a <container_name> helyőrzőt a Docker-tároló nevére:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Például egy visszaadott ügynökazonosító lehet 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Rendelje hozzá a Microsoft Sentinel Business Applications Agent operátori és olvasói szerepköreit az alábbi parancsok futtatásával:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Cserélje le a helyőrző értékeket az alábbiak szerint:

   Helyőrző	Érték
   <OBJ_ID>	A virtuális gép identitásobjektum-azonosítója.
   <SUB_ID>	A Log Analytics-munkaterület előfizetés-azonosítója engedélyezve van a Microsoft Sentinelhez
   <RESOURCE_GROUP_NAME>	A Log Analytics-munkaterület erőforráscsoportjának neve engedélyezve van a Microsoft Sentinelhez
   <WS_NAME>	A Microsoft Sentinelhez engedélyezett Log Analytics-munkaterület neve
   <AGENT_IDENTIFIER>	Az ügynök azonosítója az előző lépésben a parancs futtatása után jelenik meg.

A SENTINEL_RESPONDER SAP-szerepkör alkalmazása és hozzárendelése az SAP-rendszerhez

Alkalmazza az /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkört az SAP-rendszerre, és rendelje hozzá a Microsoft Sentinel SAP-adatösszekötő-ügynöke által használt SAP-felhasználói fiókhoz.

Az /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkör alkalmazása és hozzárendelése:

1. Töltse fel a szerepkördefiníciókat az /MSFTSEN/SENTINEL_RESPONDER fájlból a GitHubon.

2. Rendelje hozzá az /MSFTSEN/SENTINEL_RESPONDER szerepkört a Microsoft Sentinel SAP-adatösszekötő-ügynöke által használt SAP-felhasználói fiókhoz. További információ: SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz.

   Másik lehetőségként manuálisan rendelje hozzá a következő engedélyeket a Microsoft Sentinel SAP-adatösszekötője által használt SAP-felhasználói fiókhoz már hozzárendelt aktuális szerepkörhöz. Ezeket az engedélyeket az /MSFTSEN/SENTINEL_RESPONDER SAP szerepkör tartalmazza, kifejezetten a támadáskimaradási válaszműveletek esetében.

   Engedélyezési objektum	Mező	Érték
   S_RFC	RFC_TYPE	Függvénymodul
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER A nevével ellentétben ez a függvény nem törli a felhasználókat, hanem befejezi az aktív felhasználói munkamenetet.
   S_USER_GRP	OSZTÁLY	* Javasoljuk, hogy cserélje le a S_USER_GRP OSZTÁLYt a szervezet azon megfelelő osztályaival, amelyek a párbeszédpanel felhasználóit képviselik.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

További információ: Kötelező ABAP-engedélyek.

Kapcsolódó tartalom

További információk:

• Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz
• Az SAP-rendszer állapotának monitorozása
• Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások üzembe helyezéséhez