Memperbarui agen konektor data SAP Microsoft Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menunjukkan cara memperbarui konektor data Microsoft Sentinel untuk SAP yang sudah ada ke versi terbaru.

Untuk mendapatkan fitur terbaru, Anda dapat mengaktifkan pembaruan otomatis untuk agen konektor data SAP, atau memperbarui agen secara manual.

Pembaruan otomatis atau manual yang dijelaskan dalam artikel ini hanya relevan dengan agen konektor SAP, dan bukan untuk solusi Microsoft Sentinel untuk SAP. Agar berhasil memperbarui solusi, agen Anda harus diperbarui. Solusi diperbarui secara terpisah.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

Sebelum memulai, pastikan Anda memiliki semua prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.

Untuk informasi selengkapnya, lihat Prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP®.

Memperbarui agen konektor data SAP secara otomatis (Pratinjau)

Anda dapat memilih untuk mengaktifkan pembaruan otomatis untuk agen konektor pada semua kontainer yang ada atau kontainer tertentu.

Penting

Memperbarui agen konektor data SAP secara otomatis saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Mengaktifkan pembaruan otomatis pada semua kontainer yang ada

Untuk mengaktifkan pembaruan otomatis pada semua kontainer yang ada (semua kontainer dengan agen SAP yang terhubung), jalankan perintah berikut pada komputer pengumpul:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Perintah membuat pekerjaan cron yang berjalan setiap hari dan memeriksa pembaruan. Jika pekerjaan mendeteksi versi baru agen, pekerjaan akan memperbarui agen pada semua kontainer yang ada saat Anda menjalankan perintah di atas. Jika kontainer menjalankan versi Pratinjau yang lebih baru dari versi terbaru (versi yang diinstal pekerjaan), pekerjaan tidak memperbarui kontainer tersebut.

Jika Anda menambahkan kontainer setelah menjalankan pekerjaan cron, kontainer baru tidak diperbarui secara otomatis. Untuk memperbarui kontainer ini, dalam file /opt/sapcon/[SID atau Agent GUID]/settings.json , tentukan auto_update parameter untuk setiap kontainer sebagai true.

Log untuk pembaruan ini berada di bawah var/log/sapcon-sentinel-register-autoupdate.log/.

Mengaktifkan pembaruan otomatis pada kontainer tertentu

Untuk mengaktifkan pembaruan otomatis pada kontainer atau kontainer tertentu, jalankan perintah berikut:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Log untuk pembaruan ini berada di bawah /var/log/sapcon-sentinel-register-autoupdate.log.

Menonaktifkan pembaruan otomatis

Untuk menonaktifkan pembaruan otomatis untuk kontainer atau kontainer, tentukan auto_update parameter untuk setiap kontainer sebagai false.

Memperbarui agen konektor data SAP secara manual

Untuk memperbarui agen konektor secara manual, pastikan Anda memiliki versi terbaru dari skrip penyebaran yang relevan dari repositori GitHub Microsoft Sentinel.

Jalankan:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Kontainer Docker konektor data SAP pada komputer Anda diperbarui.

Pastikan untuk memeriksa pembaruan lain yang tersedia, seperti:

• Permintaan perubahan SAP yang relevan, di Repositori GitHub Microsoft Sentinel.
• Solusi Microsoft Azure Sentinel untuk konten keamanan aplikasi SAP®, dalam solusi Microsoft Sentinel untuk solusi aplikasi SAP®.
• Daftar tonton yang relevan, di Repositori GitHub Microsoft Sentinel.

Memperbarui sistem Anda untuk gangguan serangan

Gangguan serangan otomatis untuk SAP didukung dengan platform operasi keamanan terpadu di portal Pertahanan Microsoft, dan memerlukan:

• Ruang kerja yang di-onboard ke platform operasi keamanan terpadu.

• Agen konektor data SAP Microsoft Sentinel, versi 90847355 atau yang lebih tinggi. Periksa versi agen Anda saat ini dan perbarui jika perlu.

• Identitas VM agen konektor data Anda yang ditetapkan ke peran Microsoft Azure Operator Agen Aplikasi Bisnis Microsoft Sentinel. Jika peran ini tidak ditetapkan, pastikan untuk menetapkan peran ini secara manual.

• Peran SAP /MSFTSEN/SENTINEL_RESPONDER diterapkan ke sistem SAP Anda dan ditetapkan ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel.

Memverifikasi versi agen konektor data Anda saat ini

Untuk memverifikasi versi agen Anda saat ini, jalankan kueri berikut dari halaman Log Microsoft Azure Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Periksa peran Azure yang diperlukan

Gangguan serangan untuk SAP mengharuskan Anda memberikan identitas VM agen Anda dengan izin tertentu ke ruang kerja Microsoft Azure Sentinel, menggunakan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel.

Pertama periksa untuk melihat apakah peran Anda sudah ditetapkan:

1. Temukan ID objek identitas VM Anda di Azure:

   1. Buka Aplikasi>perusahaan Semua aplikasi, dan pilih VM atau nama aplikasi terdaftar Anda, tergantung pada jenis identitas yang Anda gunakan untuk mengakses brankas kunci Anda.
   2. Salin nilai bidang ID Objek untuk digunakan dengan perintah yang disalin.

2. Jalankan perintah berikut untuk memverifikasi apakah peran ini sudah ditetapkan, menggantikan nilai tempat penampung sesuai kebutuhan.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Output menunjukkan daftar peran yang ditetapkan ke ID objek.

Menetapkan peran Azure yang diperlukan secara manual

Jika peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel belum ditetapkan ke identitas VM agen Anda, gunakan langkah-langkah berikut untuk menetapkannya secara manual. Pilih tab untuk portal Azure atau baris perintah, tergantung pada cara agen Anda disebarkan. Agen yang disebarkan dari baris perintah tidak ditampilkan di portal Azure, dan Anda harus menggunakan baris perintah untuk menetapkan peran.

Untuk melakukan prosedur ini, Anda harus menjadi pemilik grup sumber daya di ruang kerja Microsoft Azure Sentinel Anda.

Portal Azure

1. Di Microsoft Azure Sentinel, pada halaman Konektor Data Konfigurasi>, buka konektor data Microsoft Azure Sentinel untuk SAP Anda dan pilih Buka halaman konektor.

2. Di area Konfigurasi, di bawah langkah 1. Tambahkan agen kolektor berbasis API, temukan agen yang Anda perbarui dan pilih tombol Tampilkan perintah.

3. Salin perintah Penetapan peran yang ditampilkan. Jalankan di VM agen Anda, ganti Object_ID tempat penampung dengan ID objek identitas VM Anda.

   Perintah ini menetapkan peran Operator Agen Aplikasi Bisnis Microsoft Sentinel dan Pembaca Azure ke identitas terkelola VM Anda, termasuk hanya cakupan data agen yang ditentukan di ruang kerja.

Penting

Menetapkan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel melalui CLI menetapkan peran hanya pada cakupan data agen yang ditentukan di ruang kerja. Ini adalah opsi yang paling aman, dan oleh karena itu direkomendasikan.

Jika Anda harus menetapkan peran melalui portal Azure, sebaiknya tetapkan peran pada cakupan kecil, seperti hanya di ruang kerja Microsoft Azure Sentinel.

Baris perintah

1. Dapatkan ID agen dengan menjalankan perintah berikut, mengganti <container_name> tempat penampung dengan nama kontainer Docker Anda:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Misalnya, ID agen yang dikembalikan mungkin .234fba02-3b34-4c55-8c0e-e6423ceb405b

2. Tetapkan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel dengan menjalankan perintah berikut:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Ganti nilai tempat penampung sebagai berikut:

   Placeholder	Nilai
   <OBJ_ID>	ID objek identitas VM Anda.
   <SUB_ID>	ID langganan ruang kerja Microsoft Azure Sentinel Anda
   <RESOURCE_GROUP_NAME>	Nama grup sumber daya ruang kerja Microsoft Azure Sentinel Anda
   <WS_NAME>	Nama ruang kerja Microsoft Azure Sentinel Anda
   <AGENT_IDENTIFIER>	ID agen ditampilkan setelah menjalankan perintah di langkah sebelumnya.

Menerapkan dan menetapkan peran SAP SENTINEL_RESPONDER ke sistem SAP Anda

Terapkan peran SAP /MSFTSEN/SENTINEL_RESPONDER ke sistem SAP Anda dan tetapkan ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel.

Untuk menerapkan dan menetapkan peran /MSFTSEN/SENTINEL_RESPONDER SAP:

1. Unggah definisi peran dari file /MSFTSEN/SENTINEL_RESPONDER di GitHub.

2. Tetapkan peran /MSFTSEN/SENTINEL_RESPONDER ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel. Untuk informasi selengkapnya, lihat Menyebarkan Permintaan Perubahan SAP dan mengonfigurasi otorisasi.

Secara bergantian, tetapkan otorisasi berikut secara manual ke peran saat ini yang sudah ditetapkan ke akun pengguna SAP yang digunakan oleh konektor data SAP Microsoft Sentinel. Otorisasi ini disertakan dalam peran SAP /MSFTSEN/SENTINEL_RESPONDER khusus untuk tindakan respons gangguan serangan.

Obyek otorisasi	Bidang	Nilai
S_RFC	RFC_TYPE	Modul Fungsi
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER Berbeda dengan namanya, fungsi ini tidak menghapus pengguna, tetapi mengakhiri sesi pengguna aktif.
S_USER_GRP	KELAS	* Sebaiknya ganti S_USER_GRP CLASS dengan kelas yang relevan di organisasi Anda yang mewakili pengguna dialog.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan.

Langkah berikutnya

Pelajari selengkapnya tentang solusi Microsoft Azure Sentinel untuk aplikasi SAP®:

• Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
• Prasyarat untuk menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
• Menyebarkan Permintaan Perubahan (CR) SAP dan mengonfigurasi otorisasi
• Menyebarkan konten solusi dari hub konten
• Menyebarkan dan mengonfigurasikan kontainer yang menghosting agen konektor data SAP
• Memantau kesehatan sistem SAP Anda
• Menyebarkan konektor data Microsoft Sentinel untuk SAP dengan SNC
• Mengaktifkan dan mengonfigurasi audit SAP
• Mengumpulkan log audit SAP Hana

Pemecahan Masalah:

• Memecahkan masalah solusi Microsoft Azure Sentinel Anda untuk penyebaran aplikasi SAP®

File referensi:

• Solusi Microsoft Azure Sentinel untuk referensi data aplikasi SAP®
• Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: referensi konten keamanan
• Referensi skrip awal
• Referensi skrip pembaruan
• Referensi file systemconfig.ini

Untuk mengetahui informasi selengkapnya, lihat Solusi Microsoft Sentinel.