A Microsoft Sentinel SAP-adatösszekötő-ügynökének frissítése
Ez a cikk bemutatja, hogyan frissíthet egy már meglévő Microsoft Sentinel for SAP-adatösszekötőt a legújabb verzióra.
A legújabb funkciók eléréséhez engedélyezheti az SAP-adatösszekötő-ügynök automatikus frissítéseit, vagy manuálisan frissítheti az ügynököt.
A cikkben ismertetett automatikus vagy manuális frissítések csak az SAP-összekötőügynökre, és nem az SAP-hoz készült Microsoft Sentinel-megoldásra vonatkozóak. A megoldás sikeres frissítéséhez az ügynöknek naprakésznek kell lennie. A megoldás külön frissül.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezésének összes előfeltételével.
További információ: A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei.
Az SAP-adatösszekötő-ügynök automatikus frissítése (előzetes verzió)
Engedélyezheti az összekötő-ügynök automatikus frissítéseit az összes meglévő tárolón vagy egy adott tárolón.
Fontos
Az SAP-adatösszekötő-ügynök automatikus frissítése jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Automatikus frissítések engedélyezése az összes meglévő tárolón
Ha az összes meglévő tárolón (minden csatlakoztatott SAP-ügynökkel rendelkező tárolón) engedélyezni szeretné az automatikus frissítéseket, futtassa a következő parancsot a gyűjtő gépen:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
A parancs létrehoz egy cron feladatot, amely naponta fut, és frissítéseket keres. Ha a feladat észleli az ügynök új verzióját, a fenti parancs futtatásakor minden tárolón frissíti az ügynököt. Ha egy tároló a legújabb verziónál (a feladat által telepített verziónál) újabb előzetes verziót futtat, a feladat nem frissíti a tárolót.
Ha a cron feladat futtatása után tárolókat ad hozzá, az új tárolók nem frissülnek automatikusan. A tárolók frissítéséhez az /opt/sapcon/[SID vagy Agent GUID]/settings.json fájlban adja meg az auto_update
egyes tárolók paraméterét a következőképpen true
.
A frissítés naplói a var/log/sapcon-sentinel-register-autoupdate.log/alatt találhatók.
Automatikus frissítések engedélyezése egy adott tárolón
Ha engedélyezni szeretné az automatikus frissítéseket egy adott tárolón vagy tárolón, futtassa a következő parancsot:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
A frissítés naplói a /var/log/sapcon-sentinel-register-autoupdate.log alatt találhatók.
Automatikus frissítések letiltása
A tárolók vagy tárolók automatikus frissítéseinek letiltásához adja meg az auto_update
egyes tárolók paraméterét.false
SAP-adatösszekötő-ügynök manuális frissítése
Az összekötő-ügynök manuális frissítéséhez győződjön meg arról, hogy a Microsoft Sentinel GitHub-adattárból a megfelelő üzembehelyezési szkriptek legújabb verzióival rendelkezik.
Futtatás:
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
A számítógépen található SAP-adatösszekötő Docker-tárolója frissül.
Mindenképpen ellenőrizze, hogy vannak-e további elérhető frissítések, például:
- Vonatkozó SAP-változáskérések a Microsoft Sentinel GitHub-adattárban.
- Microsoft Sentinel-megoldás AZ SAP-alkalmazások® biztonsági tartalmához, az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásban.
- Releváns figyelőlisták a Microsoft Sentinel GitHub-adattárban.
A rendszer frissítése támadási zavar esetén
Az SAP automatikus támadási zavarai a Microsoft Defender portál egységesített biztonsági üzemeltetési platformjával támogatottak, és az alábbiakat igénylik:
Az egyesített biztonsági üzemeltetési platformra előkészített munkaterület.
Microsoft Sentinel SAP-adatösszekötő-ügynök, 90847355 vagy újabb verziójú. Ellenőrizze az aktuális ügynökverziót , és szükség esetén frissítse azt.
A Microsoft Sentinel Business Applications Agent Operator Azure-szerepkörhöz rendelt adatösszekötő-ügynök virtuális gép identitása. Ha ez a szerepkör nincs hozzárendelve, győződjön meg arról, hogy manuálisan rendeli hozzá ezeket a szerepköröket.
A /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkör az SAP-rendszerre alkalmazva és a Microsoft Sentinel SAP-adatösszekötő-ügynöke által használt SAP-felhasználói fiókhoz van rendelve.
Az adatösszekötő ügynökének aktuális verziójának ellenőrzése
Az ügynök aktuális verziójának ellenőrzéséhez futtassa a következő lekérdezést a Microsoft Sentinel Naplók lapján:
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
A szükséges Azure-szerepkörök ellenőrzése
Az SAP támadási zavarához az ügynök virtuálisgép-identitásának adott engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen a Microsoft Sentinel üzleti alkalmazások ügynök-operátori és olvasói szerepköreinek használatával.
Először ellenőrizze, hogy a szerepkörök már ki vannak-e rendelve:
Keresse meg a virtuálisgép-identitásobjektum-azonosítót az Azure-ban:
- Nyissa meg a Vállalati alkalmazás>Minden alkalmazást, és válassza ki a virtuális gépet vagy a regisztrált alkalmazásnevet attól függően, hogy milyen identitást használ a kulcstartó eléréséhez.
- Másolja ki az Objektumazonosító mező értékét a másolt paranccsal való használathoz.
Futtassa a következő parancsot annak ellenőrzéséhez, hogy ezek a szerepkörök már ki vannak-e rendelve, és szükség szerint cserélje le a helyőrző értékeket.
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
A kimenet az objektumazonosítóhoz rendelt szerepkörök listáját jeleníti meg.
A szükséges Azure-szerepkörök manuális hozzárendelése
Ha a Microsoft Sentinel Üzleti alkalmazásügynök operátori és olvasói szerepkörei még nincsenek hozzárendelve az ügynök virtuálisgép-identitásához, az alábbi lépésekkel rendelje hozzá őket manuálisan. Az ügynök üzembe helyezésétől függően válassza az Azure Portal vagy a parancssor lapját. A parancssorból üzembe helyezett ügynökök nem jelennek meg az Azure Portalon, és a szerepkörök hozzárendeléséhez a parancssort kell használnia.
Az eljárás végrehajtásához erőforráscsoport-tulajdonosnak kell lennie a Microsoft Sentinel-munkaterületen.
A Microsoft Sentinel Konfigurációs > adatösszekötők lapján nyissa meg az SAP-adatösszekötőhöz készült Microsoft Sentinelt, és válassza az Összekötő lap megnyitása lehetőséget.
A Konfiguráció területen, az 1. lépés alatt. Adjon hozzá egy API-alapú gyűjtőügynököt, keresse meg a frissíteni kívánt ügynököt, és válassza a Parancsok megjelenítése gombot.
Másolja ki a megjelenített szerepkör-hozzárendelési parancsokat . Futtassa őket az ügynök virtuális gépén, és cserélje le a
Object_ID
helyőrzőket a virtuális gép identitásobjektum-azonosítójára.Ezek a parancsok hozzárendelik a Microsoft Sentinel Üzleti alkalmazások ügynök operátora és az Olvasó Azure-szerepköröket a virtuális gép felügyelt identitásához, beleértve csak a megadott ügynök adatainak hatókörét a munkaterületen.
Fontos
A Microsoft Sentinel Business Applications Agent Operátor és Olvasó szerepkörök cli-n keresztüli hozzárendelése csak a munkaterületen megadott ügynök adatainak hatókörébe rendeli hozzá a szerepköröket. Ez a legbiztonságosabb, ezért ajánlott lehetőség.
Ha a szerepköröket az Azure Portalon kell hozzárendelnie, javasoljuk, hogy a szerepköröket egy kis hatókörben, például csak a Microsoft Sentinel-munkaterületen rendelje hozzá.
A SENTINEL_RESPONDER SAP-szerepkör alkalmazása és hozzárendelése az SAP-rendszerhez
Alkalmazza az /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkört az SAP-rendszerre, és rendelje hozzá a Microsoft Sentinel SAP-adatösszekötő-ügynöke által használt SAP-felhasználói fiókhoz.
Az /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkör alkalmazása és hozzárendelése:
Töltse fel a szerepkördefiníciókat az /MSFTSEN/SENTINEL_RESPONDER fájlból a GitHubon.
Rendelje hozzá az /MSFTSEN/SENTINEL_RESPONDER szerepkört a Microsoft Sentinel SAP-adatösszekötő-ügynöke által használt SAP-felhasználói fiókhoz. További információ: SAP Change Requests üzembe helyezése és engedélyezés konfigurálása.
Másik lehetőségként manuálisan rendelje hozzá a következő engedélyeket a Microsoft Sentinel SAP-adatösszekötője által használt SAP-felhasználói fiókhoz már hozzárendelt aktuális szerepkörhöz. Ezeket az engedélyeket az /MSFTSEN/SENTINEL_RESPONDER SAP szerepkör tartalmazza, kifejezetten a támadáskimaradási válaszműveletek esetében.
Engedélyezési objektum | Mező | Érték |
---|---|---|
S_RFC | RFC_TYPE | Függvénymodul |
S_RFC | RFC_NAME | BAPI_USER_LOCK |
S_RFC | RFC_NAME | BAPI_USER_UNLOCK |
S_RFC | RFC_NAME | TH_DELETE_USER A nevével ellentétben ez a függvény nem törli a felhasználókat, hanem befejezi az aktív felhasználói munkamenetet. |
S_USER_GRP | OSZTÁLY | * Javasoljuk, hogy cserélje le a S_USER_GRP OSZTÁLYt a szervezet azon megfelelő osztályaival, amelyek a párbeszédpanel felhasználóit képviselik. |
S_USER_GRP | ACTVT | 03 |
S_USER_GRP | ACTVT | 05 |
További információ: Kötelező ABAP-engedélyek.
Következő lépések
További információ az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásról:
- Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
- SAP Change Requests (CRs) üzembe helyezése és az engedélyezés konfigurálása
- A megoldás tartalmának üzembe helyezése a tartalomközpontból
- Az SAP-adatösszekötő-ügynököt üzemeltető tároló üzembe helyezése és konfigurálása
- Az SAP-rendszer állapotának monitorozása
- A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése az SNC-vel
- SAP-naplózás engedélyezése és konfigurálása
- SAP HANA-naplózási naplók gyűjtése
Hibaelhárítás:
Referenciafájlok:
- Microsoft Sentinel-megoldás SAP-alkalmazások® adatreferenciájához
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalomra vonatkozó referencia
- Indítási szkript referenciája
- Szkripthivatkozás frissítése
- Systemconfig.ini fájlhivatkozás
További információ: Microsoft Sentinel-megoldások.