Memperbarui agen konektor data SAP Microsoft Sentinel
Artikel ini menunjukkan cara memperbarui konektor data Microsoft Sentinel untuk SAP yang sudah ada ke versi terbaru.
Untuk mendapatkan fitur terbaru, Anda dapat mengaktifkan pembaruan otomatis untuk agen konektor data SAP, atau memperbarui agen secara manual.
Pembaruan otomatis atau manual yang dijelaskan dalam artikel ini hanya relevan dengan agen konektor SAP, dan bukan untuk solusi Microsoft Sentinel untuk SAP. Agar berhasil memperbarui solusi, agen Anda harus diperbarui. Solusi diperbarui secara terpisah.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Prasyarat
Sebelum memulai, pastikan Anda memiliki semua prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.
Untuk informasi selengkapnya, lihat Prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP®.
Memperbarui agen konektor data SAP secara otomatis (Pratinjau)
Anda dapat memilih untuk mengaktifkan pembaruan otomatis untuk agen konektor pada semua kontainer yang ada atau kontainer tertentu.
Penting
Memperbarui agen konektor data SAP secara otomatis saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Mengaktifkan pembaruan otomatis pada semua kontainer yang ada
Untuk mengaktifkan pembaruan otomatis pada semua kontainer yang ada (semua kontainer dengan agen SAP yang terhubung), jalankan perintah berikut pada komputer pengumpul:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
Perintah membuat pekerjaan cron yang berjalan setiap hari dan memeriksa pembaruan. Jika pekerjaan mendeteksi versi baru agen, pekerjaan akan memperbarui agen pada semua kontainer yang ada saat Anda menjalankan perintah di atas. Jika kontainer menjalankan versi Pratinjau yang lebih baru dari versi terbaru (versi yang diinstal pekerjaan), pekerjaan tidak memperbarui kontainer tersebut.
Jika Anda menambahkan kontainer setelah menjalankan pekerjaan cron, kontainer baru tidak diperbarui secara otomatis. Untuk memperbarui kontainer ini, dalam file /opt/sapcon/[SID atau Agent GUID]/settings.json , tentukan auto_update
parameter untuk setiap kontainer sebagai true
.
Log untuk pembaruan ini berada di bawah var/log/sapcon-sentinel-register-autoupdate.log/.
Mengaktifkan pembaruan otomatis pada kontainer tertentu
Untuk mengaktifkan pembaruan otomatis pada kontainer atau kontainer tertentu, jalankan perintah berikut:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
Log untuk pembaruan ini berada di bawah /var/log/sapcon-sentinel-register-autoupdate.log.
Menonaktifkan pembaruan otomatis
Untuk menonaktifkan pembaruan otomatis untuk kontainer atau kontainer, tentukan auto_update
parameter untuk setiap kontainer sebagai false
.
Memperbarui agen konektor data SAP secara manual
Untuk memperbarui agen konektor secara manual, pastikan Anda memiliki versi terbaru dari skrip penyebaran yang relevan dari repositori GitHub Microsoft Sentinel.
Jalankan:
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
Kontainer Docker konektor data SAP pada komputer Anda diperbarui.
Pastikan untuk memeriksa pembaruan lain yang tersedia, seperti:
- Permintaan perubahan SAP yang relevan, di Repositori GitHub Microsoft Sentinel.
- Solusi Microsoft Azure Sentinel untuk konten keamanan aplikasi SAP®, dalam solusi Microsoft Sentinel untuk solusi aplikasi SAP®.
- Daftar tonton yang relevan, di Repositori GitHub Microsoft Sentinel.
Memperbarui sistem Anda untuk gangguan serangan
Gangguan serangan otomatis untuk SAP didukung dengan platform operasi keamanan terpadu di portal Pertahanan Microsoft, dan memerlukan:
Ruang kerja yang di-onboard ke platform operasi keamanan terpadu.
Agen konektor data SAP Microsoft Sentinel, versi 90847355 atau yang lebih tinggi. Periksa versi agen Anda saat ini dan perbarui jika perlu.
Identitas VM agen konektor data Anda yang ditetapkan ke peran Microsoft Azure Operator Agen Aplikasi Bisnis Microsoft Sentinel. Jika peran ini tidak ditetapkan, pastikan untuk menetapkan peran ini secara manual.
Peran SAP /MSFTSEN/SENTINEL_RESPONDER diterapkan ke sistem SAP Anda dan ditetapkan ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel.
Memverifikasi versi agen konektor data Anda saat ini
Untuk memverifikasi versi agen Anda saat ini, jalankan kueri berikut dari halaman Log Microsoft Azure Sentinel:
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
Periksa peran Azure yang diperlukan
Gangguan serangan untuk SAP mengharuskan Anda memberikan identitas VM agen Anda dengan izin tertentu ke ruang kerja Microsoft Azure Sentinel, menggunakan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel.
Pertama periksa untuk melihat apakah peran Anda sudah ditetapkan:
Temukan ID objek identitas VM Anda di Azure:
- Buka Aplikasi>perusahaan Semua aplikasi, dan pilih VM atau nama aplikasi terdaftar Anda, tergantung pada jenis identitas yang Anda gunakan untuk mengakses brankas kunci Anda.
- Salin nilai bidang ID Objek untuk digunakan dengan perintah yang disalin.
Jalankan perintah berikut untuk memverifikasi apakah peran ini sudah ditetapkan, menggantikan nilai tempat penampung sesuai kebutuhan.
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
Output menunjukkan daftar peran yang ditetapkan ke ID objek.
Menetapkan peran Azure yang diperlukan secara manual
Jika peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel belum ditetapkan ke identitas VM agen Anda, gunakan langkah-langkah berikut untuk menetapkannya secara manual. Pilih tab untuk portal Azure atau baris perintah, tergantung pada cara agen Anda disebarkan. Agen yang disebarkan dari baris perintah tidak ditampilkan di portal Azure, dan Anda harus menggunakan baris perintah untuk menetapkan peran.
Untuk melakukan prosedur ini, Anda harus menjadi pemilik grup sumber daya di ruang kerja Microsoft Azure Sentinel Anda.
Di Microsoft Azure Sentinel, pada halaman Konektor Data Konfigurasi>, buka konektor data Microsoft Azure Sentinel untuk SAP Anda dan pilih Buka halaman konektor.
Di area Konfigurasi, di bawah langkah 1. Tambahkan agen kolektor berbasis API, temukan agen yang Anda perbarui dan pilih tombol Tampilkan perintah.
Salin perintah Penetapan peran yang ditampilkan. Jalankan di VM agen Anda, ganti
Object_ID
tempat penampung dengan ID objek identitas VM Anda.Perintah ini menetapkan peran Operator Agen Aplikasi Bisnis Microsoft Sentinel dan Pembaca Azure ke identitas terkelola VM Anda, termasuk hanya cakupan data agen yang ditentukan di ruang kerja.
Penting
Menetapkan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel melalui CLI menetapkan peran hanya pada cakupan data agen yang ditentukan di ruang kerja. Ini adalah opsi yang paling aman, dan oleh karena itu direkomendasikan.
Jika Anda harus menetapkan peran melalui portal Azure, sebaiknya tetapkan peran pada cakupan kecil, seperti hanya di ruang kerja Microsoft Azure Sentinel.
Menerapkan dan menetapkan peran SAP SENTINEL_RESPONDER ke sistem SAP Anda
Terapkan peran SAP /MSFTSEN/SENTINEL_RESPONDER ke sistem SAP Anda dan tetapkan ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel.
Untuk menerapkan dan menetapkan peran /MSFTSEN/SENTINEL_RESPONDER SAP:
Unggah definisi peran dari file /MSFTSEN/SENTINEL_RESPONDER di GitHub.
Tetapkan peran /MSFTSEN/SENTINEL_RESPONDER ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel. Untuk informasi selengkapnya, lihat Menyebarkan Permintaan Perubahan SAP dan mengonfigurasi otorisasi.
Secara bergantian, tetapkan otorisasi berikut secara manual ke peran saat ini yang sudah ditetapkan ke akun pengguna SAP yang digunakan oleh konektor data SAP Microsoft Sentinel. Otorisasi ini disertakan dalam peran SAP /MSFTSEN/SENTINEL_RESPONDER khusus untuk tindakan respons gangguan serangan.
Obyek otorisasi | Bidang | Nilai |
---|---|---|
S_RFC | RFC_TYPE | Modul Fungsi |
S_RFC | RFC_NAME | BAPI_USER_LOCK |
S_RFC | RFC_NAME | BAPI_USER_UNLOCK |
S_RFC | RFC_NAME | TH_DELETE_USER Berbeda dengan namanya, fungsi ini tidak menghapus pengguna, tetapi mengakhiri sesi pengguna aktif. |
S_USER_GRP | KELAS | * Sebaiknya ganti S_USER_GRP CLASS dengan kelas yang relevan di organisasi Anda yang mewakili pengguna dialog. |
S_USER_GRP | ACTVT | 03 |
S_USER_GRP | ACTVT | 05 |
Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan.
Langkah berikutnya
Pelajari selengkapnya tentang solusi Microsoft Azure Sentinel untuk aplikasi SAP®:
- Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Prasyarat untuk menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Menyebarkan Permintaan Perubahan (CR) SAP dan mengonfigurasi otorisasi
- Menyebarkan konten solusi dari hub konten
- Menyebarkan dan mengonfigurasikan kontainer yang menghosting agen konektor data SAP
- Memantau kesehatan sistem SAP Anda
- Menyebarkan konektor data Microsoft Sentinel untuk SAP dengan SNC
- Mengaktifkan dan mengonfigurasi audit SAP
- Mengumpulkan log audit SAP Hana
Pemecahan Masalah:
File referensi:
- Solusi Microsoft Azure Sentinel untuk referensi data aplikasi SAP®
- Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: referensi konten keamanan
- Referensi skrip awal
- Referensi skrip pembaruan
- Referensi file systemconfig.ini
Untuk mengetahui informasi selengkapnya, lihat Solusi Microsoft Sentinel.