A Microsoft Sentinel SAP-adatösszekötő-ügynökének frissítése

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk bemutatja, hogyan frissíthet egy már meglévő Microsoft Sentinel for SAP-adatösszekötőt a legújabb verzióra.

A legújabb funkciók eléréséhez engedélyezheti az SAP-adatösszekötő-ügynök automatikus frissítéseit, vagy manuálisan frissítheti az ügynököt.

A cikkben ismertetett automatikus vagy manuális frissítések csak az SAP-összekötőügynökre, és nem az SAP-hoz készült Microsoft Sentinel-megoldásra vonatkozóak. A megoldás sikeres frissítéséhez az ügynöknek naprakésznek kell lennie. A megoldás külön frissül.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy rendelkezik a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezésének összes előfeltételével.

További információ: A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei.

Az SAP-adatösszekötő-ügynök automatikus frissítése (előzetes verzió)

Engedélyezheti az összekötő-ügynök automatikus frissítéseit az összes meglévő tárolón vagy egy adott tárolón.

Fontos

Az SAP-adatösszekötő-ügynök automatikus frissítése jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Automatikus frissítések engedélyezése az összes meglévő tárolón

Ha az összes meglévő tárolón (minden csatlakoztatott SAP-ügynökkel rendelkező tárolón) engedélyezni szeretné az automatikus frissítéseket, futtassa a következő parancsot a gyűjtő gépen:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

A parancs létrehoz egy cron feladatot, amely naponta fut, és frissítéseket keres. Ha a feladat észleli az ügynök új verzióját, a fenti parancs futtatásakor minden tárolón frissíti az ügynököt. Ha egy tároló a legújabb verziónál (a feladat által telepített verziónál) újabb előzetes verziót futtat, a feladat nem frissíti a tárolót.

Ha a cron feladat futtatása után tárolókat ad hozzá, az új tárolók nem frissülnek automatikusan. A tárolók frissítéséhez az /opt/sapcon/[SID vagy Agent GUID]/settings.json fájlban adja meg az auto_update egyes tárolók paraméterét a következőképpen true.

A frissítés naplói a var/log/sapcon-sentinel-register-autoupdate.log/alatt találhatók.

Automatikus frissítések engedélyezése egy adott tárolón

Ha engedélyezni szeretné az automatikus frissítéseket egy adott tárolón vagy tárolón, futtassa a következő parancsot:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

A frissítés naplói a /var/log/sapcon-sentinel-register-autoupdate.log alatt találhatók.

Automatikus frissítések letiltása

A tárolók vagy tárolók automatikus frissítéseinek letiltásához adja meg az auto_update egyes tárolók paraméterét.false

SAP-adatösszekötő-ügynök manuális frissítése

Az összekötő-ügynök manuális frissítéséhez győződjön meg arról, hogy a Microsoft Sentinel GitHub-adattárból a megfelelő üzembehelyezési szkriptek legújabb verzióival rendelkezik.

Futtatás:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

A számítógépen található SAP-adatösszekötő Docker-tárolója frissül.

Mindenképpen ellenőrizze, hogy vannak-e további elérhető frissítések, például:

• Vonatkozó SAP-változáskérések a Microsoft Sentinel GitHub-adattárban.
• Microsoft Sentinel-megoldás AZ SAP-alkalmazások® biztonsági tartalmához, az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásban.
• Releváns figyelőlisták a Microsoft Sentinel GitHub-adattárban.

A rendszer frissítése támadási zavar esetén

Az SAP automatikus támadási zavarai a Microsoft Defender portál egységesített biztonsági üzemeltetési platformjával támogatottak, és az alábbiakat igénylik:

• Az egyesített biztonsági üzemeltetési platformra előkészített munkaterület.

• Microsoft Sentinel SAP-adatösszekötő-ügynök, 90847355 vagy újabb verziójú. Ellenőrizze az aktuális ügynökverziót , és szükség esetén frissítse azt.

• A Microsoft Sentinel Business Applications Agent Operator Azure-szerepkörhöz rendelt adatösszekötő-ügynök virtuális gép identitása. Ha ez a szerepkör nincs hozzárendelve, győződjön meg arról, hogy manuálisan rendeli hozzá ezeket a szerepköröket.

• A /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkör az SAP-rendszerre alkalmazva és a Microsoft Sentinel SAP-adatösszekötő-ügynöke által használt SAP-felhasználói fiókhoz van rendelve.

Az adatösszekötő ügynökének aktuális verziójának ellenőrzése

Az ügynök aktuális verziójának ellenőrzéséhez futtassa a következő lekérdezést a Microsoft Sentinel Naplók lapján:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

A szükséges Azure-szerepkörök ellenőrzése

Az SAP támadási zavarához az ügynök virtuálisgép-identitásának adott engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen a Microsoft Sentinel üzleti alkalmazások ügynök-operátori és olvasói szerepköreinek használatával.

Először ellenőrizze, hogy a szerepkörök már ki vannak-e rendelve:

1. Keresse meg a virtuálisgép-identitásobjektum-azonosítót az Azure-ban:

   1. Nyissa meg a Vállalati alkalmazás>Minden alkalmazást, és válassza ki a virtuális gépet vagy a regisztrált alkalmazásnevet attól függően, hogy milyen identitást használ a kulcstartó eléréséhez.
   2. Másolja ki az Objektumazonosító mező értékét a másolt paranccsal való használathoz.

2. Futtassa a következő parancsot annak ellenőrzéséhez, hogy ezek a szerepkörök már ki vannak-e rendelve, és szükség szerint cserélje le a helyőrző értékeket.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   A kimenet az objektumazonosítóhoz rendelt szerepkörök listáját jeleníti meg.

A szükséges Azure-szerepkörök manuális hozzárendelése

Ha a Microsoft Sentinel Üzleti alkalmazásügynök operátori és olvasói szerepkörei még nincsenek hozzárendelve az ügynök virtuálisgép-identitásához, az alábbi lépésekkel rendelje hozzá őket manuálisan. Az ügynök üzembe helyezésétől függően válassza az Azure Portal vagy a parancssor lapját. A parancssorból üzembe helyezett ügynökök nem jelennek meg az Azure Portalon, és a szerepkörök hozzárendeléséhez a parancssort kell használnia.

Az eljárás végrehajtásához erőforráscsoport-tulajdonosnak kell lennie a Microsoft Sentinel-munkaterületen.

Azure Portalra

1. A Microsoft Sentinel Konfigurációs > adatösszekötők lapján nyissa meg az SAP-adatösszekötőhöz készült Microsoft Sentinelt, és válassza az Összekötő lap megnyitása lehetőséget.

2. A Konfiguráció területen, az 1. lépés alatt. Adjon hozzá egy API-alapú gyűjtőügynököt, keresse meg a frissíteni kívánt ügynököt, és válassza a Parancsok megjelenítése gombot.

3. Másolja ki a megjelenített szerepkör-hozzárendelési parancsokat . Futtassa őket az ügynök virtuális gépén, és cserélje le a Object_ID helyőrzőket a virtuális gép identitásobjektum-azonosítójára.

   Ezek a parancsok hozzárendelik a Microsoft Sentinel Üzleti alkalmazások ügynök operátora és az Olvasó Azure-szerepköröket a virtuális gép felügyelt identitásához, beleértve csak a megadott ügynök adatainak hatókörét a munkaterületen.

Fontos

A Microsoft Sentinel Business Applications Agent Operátor és Olvasó szerepkörök cli-n keresztüli hozzárendelése csak a munkaterületen megadott ügynök adatainak hatókörébe rendeli hozzá a szerepköröket. Ez a legbiztonságosabb, ezért ajánlott lehetőség.

Ha a szerepköröket az Azure Portalon kell hozzárendelnie, javasoljuk, hogy a szerepköröket egy kis hatókörben, például csak a Microsoft Sentinel-munkaterületen rendelje hozzá.

Parancssor

1. Az ügynökazonosító lekéréséhez futtassa a következő parancsot, és cserélje le a <container_name> helyőrzőt a Docker-tároló nevére:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Például egy visszaadott ügynökazonosító lehet 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Rendelje hozzá a Microsoft Sentinel Business Applications Agent operátori és olvasói szerepköreit az alábbi parancsok futtatásával:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Cserélje le a helyőrző értékeket az alábbiak szerint:

   Helyőrző	Érték
   <OBJ_ID>	A virtuális gép identitásobjektum-azonosítója.
   <SUB_ID>	A Microsoft Sentinel-munkaterület előfizetés-azonosítója
   <RESOURCE_GROUP_NAME>	A Microsoft Sentinel-munkaterület erőforráscsoportjának neve
   <WS_NAME>	A Microsoft Sentinel-munkaterület neve
   <AGENT_IDENTIFIER>	Az ügynök azonosítója az előző lépésben a parancs futtatása után jelenik meg.

A SENTINEL_RESPONDER SAP-szerepkör alkalmazása és hozzárendelése az SAP-rendszerhez

Alkalmazza az /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkört az SAP-rendszerre, és rendelje hozzá a Microsoft Sentinel SAP-adatösszekötő-ügynöke által használt SAP-felhasználói fiókhoz.

Az /MSFTSEN/SENTINEL_RESPONDER SAP-szerepkör alkalmazása és hozzárendelése:

1. Töltse fel a szerepkördefiníciókat az /MSFTSEN/SENTINEL_RESPONDER fájlból a GitHubon.

2. Rendelje hozzá az /MSFTSEN/SENTINEL_RESPONDER szerepkört a Microsoft Sentinel SAP-adatösszekötő-ügynöke által használt SAP-felhasználói fiókhoz. További információ: SAP Change Requests üzembe helyezése és engedélyezés konfigurálása.

Másik lehetőségként manuálisan rendelje hozzá a következő engedélyeket a Microsoft Sentinel SAP-adatösszekötője által használt SAP-felhasználói fiókhoz már hozzárendelt aktuális szerepkörhöz. Ezeket az engedélyeket az /MSFTSEN/SENTINEL_RESPONDER SAP szerepkör tartalmazza, kifejezetten a támadáskimaradási válaszműveletek esetében.

Engedélyezési objektum	Mező	Érték
S_RFC	RFC_TYPE	Függvénymodul
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER A nevével ellentétben ez a függvény nem törli a felhasználókat, hanem befejezi az aktív felhasználói munkamenetet.
S_USER_GRP	OSZTÁLY	* Javasoljuk, hogy cserélje le a S_USER_GRP OSZTÁLYt a szervezet azon megfelelő osztályaival, amelyek a párbeszédpanel felhasználóit képviselik.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

További információ: Kötelező ABAP-engedélyek.

Következő lépések

További információ az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásról:

• Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
• A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
• SAP Change Requests (CRs) üzembe helyezése és az engedélyezés konfigurálása
• A megoldás tartalmának üzembe helyezése a tartalomközpontból
• Az SAP-adatösszekötő-ügynököt üzemeltető tároló üzembe helyezése és konfigurálása
• Az SAP-rendszer állapotának monitorozása
• A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése az SNC-vel
• SAP-naplózás engedélyezése és konfigurálása
• SAP HANA-naplózási naplók gyűjtése

Hibaelhárítás:

• Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások® üzembe helyezéséhez

Referenciafájlok:

• Microsoft Sentinel-megoldás SAP-alkalmazások® adatreferenciájához
• Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalomra vonatkozó referencia
• Indítási szkript referenciája
• Szkripthivatkozás frissítése
• Systemconfig.ini fájlhivatkozás

További információ: Microsoft Sentinel-megoldások.