Aggiornare l'agente del connettore dati SAP di Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come aggiornare un connettore dati di Microsoft Sentinel per SAP già esistente alla versione più recente.

Per ottenere le funzionalità più recenti, è possibile abilitare gli aggiornamenti automatici per l'agente del connettore dati SAP o aggiornare manualmente l'agente.

Gli aggiornamenti automatici o manuali descritti in questo articolo sono rilevanti solo per l'agente connettore SAP e non per la soluzione Microsoft Sentinel per SAP. Per aggiornare correttamente la soluzione, l'agente deve essere aggiornato. La soluzione viene aggiornata separatamente.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Prima di iniziare, assicurarsi di disporre di tutti i prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.

Per altre informazioni, vedere Prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®.

Aggiornare automaticamente l'agente del connettore dati SAP (anteprima)

È possibile scegliere di abilitare gli aggiornamenti automatici per l'agente connettore in tutti i contenitori esistenti o in un contenitore specifico.

Importante

L'aggiornamento automatico dell'agente del connettore dati SAP è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Abilitare gli aggiornamenti automatici in tutti i contenitori esistenti

Per abilitare gli aggiornamenti automatici in tutti i contenitori esistenti (tutti i contenitori con un agente SAP connesso), eseguire il comando seguente nel computer dell'agente di raccolta:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Il comando crea un processo cron che esegue ogni giorno e verifica la disponibilità di aggiornamenti. Se il processo rileva una nuova versione dell'agente, aggiorna l'agente in tutti i contenitori esistenti quando si esegue il comando precedente. Se un contenitore esegue una versione di anteprima più recente della versione più recente (la versione installata dal processo), il processo non aggiorna tale contenitore.

Se si aggiungono contenitori dopo aver eseguito il processo cron, i nuovi contenitori non vengono aggiornati automaticamente. Per aggiornare questi contenitori, nel file /opt/sapcon/[SID o Agent GUID]/settings.json definire il auto_update parametro per ognuno dei contenitori come true.

I log per questo aggiornamento sono in var/log/sapcon-sentinel-register-autoupdate.log/.

Abilitare gli aggiornamenti automatici in un contenitore specifico

Per abilitare gli aggiornamenti automatici in un contenitore o in contenitori specifici, eseguire il comando seguente:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

I log per questo aggiornamento si trovano in /var/log/sapcon-sentinel-register-autoupdate.log.

Disabilitare gli aggiornamenti automatici

Per disabilitare gli aggiornamenti automatici per un contenitore o contenitori, definire il auto_update parametro per ognuno dei contenitori come false.

Aggiornare manualmente l'agente del connettore dati SAP

Per aggiornare manualmente l'agente connettore, assicurarsi di avere le versioni più recenti degli script di distribuzione pertinenti dal repository GitHub di Microsoft Sentinel.

Eseguire:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Il contenitore Docker del connettore dati SAP nel computer viene aggiornato.

Assicurarsi di verificare la presenza di altri aggiornamenti disponibili, ad esempio:

• Richieste di modifica SAP pertinenti, nel repository GitHub di Microsoft Sentinel.
• La soluzione Microsoft Sentinel per il contenuto della sicurezza delle applicazioni SAP®, nella soluzione Microsoft Sentinel per le applicazioni SAP®.
• Elenchi di controllo pertinenti, nel repository GitHub di Microsoft Sentinel.

Aggiornare il sistema per l'interruzione degli attacchi

L'interruzione automatica degli attacchi per SAP è supportata con la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender e richiede:

• Un'area di lavoro di cui è stato eseguito l'onboarding nella piattaforma unificata per le operazioni di sicurezza.

• Agente del connettore dati SAP di Microsoft Sentinel, versione 90847355 o versione successiva. Controllare la versione corrente dell'agente e aggiornarla se necessario.

• Identità della macchina virtuale dell'agente del connettore dati assegnata al ruolo Operatore agente applicazioni aziendali di Microsoft Sentinel. Se questo ruolo non è assegnato, assicurarsi di assegnare questi ruoli manualmente.

• Il ruolo SAP /MSFT edizione Standard N/edizione Standard NTINEL_RESPONDER applicato al sistema SAP e assegnato all'account utente SAP usato dall'agente del connettore dati SAP di Microsoft Sentinel.

Verificare la versione corrente dell'agente del connettore dati

Per verificare la versione corrente dell'agente, eseguire la query seguente dalla pagina Log di Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Verificare la presenza di ruoli di Azure necessari

L'interruzione degli attacchi per SAP richiede di concedere all'identità della macchina virtuale dell'agente autorizzazioni specifiche per l'area di lavoro di Microsoft Sentinel, usando i ruoli Operatore agente applicazioni aziendali e lettore di Microsoft Sentinel.

Controllare prima di tutto se i ruoli sono già assegnati:

1. Trovare l'ID oggetto identità della macchina virtuale in Azure:

   1. Passare a Applicazione aziendale>Tutte le applicazioni e selezionare la macchina virtuale o il nome dell'applicazione registrata, a seconda del tipo di identità in uso per accedere all'insieme di credenziali delle chiavi.
   2. Copiare il valore del campo ID oggetto da usare con il comando copiato.

2. Eseguire il comando seguente per verificare se questi ruoli sono già assegnati, sostituendo i valori segnaposto in base alle esigenze.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   L'output mostra un elenco dei ruoli assegnati all'ID oggetto.

Assegnare manualmente i ruoli di Azure necessari

Se i ruoli Operatore agente applicazioni aziendali e lettore di Microsoft Sentinel non sono ancora assegnati all'identità della macchina virtuale dell'agente, seguire questa procedura per assegnarli manualmente. Selezionare la scheda per il portale di Azure o la riga di comando, a seconda della modalità di distribuzione dell'agente. Gli agenti distribuiti dalla riga di comando non vengono visualizzati nella portale di Azure ed è necessario usare la riga di comando per assegnare i ruoli.

Per eseguire questa procedura, è necessario essere un proprietario del gruppo di risorse nell'area di lavoro di Microsoft Sentinel.

Azure portal

1. Nella pagina Connettori dati di configurazione > di Microsoft Sentinel passare al connettore dati di Microsoft Sentinel per SAP e selezionare Apri la pagina del connettore.

2. Nell'area Configurazione , nel passaggio 1. Aggiungere un agente agente di raccolta basato su API, individuare l'agente che si sta aggiornando e selezionare il pulsante Mostra comandi .

3. Copiare i comandi di assegnazione di ruolo visualizzati. Eseguirli nella macchina virtuale dell'agente, sostituendo i segnaposto con l'ID Object_ID oggetto identità della macchina virtuale.

   Questi comandi assegnano i ruoli agente di Microsoft Sentinel Business Applications Agent e Lettore di Azure all'identità gestita della macchina virtuale, incluso solo l'ambito dei dati dell'agente specificato nell'area di lavoro.

Importante

L'assegnazione dei ruoli agente e lettore di Microsoft Sentinel Business Applications Tramite l'interfaccia della riga di comando assegna i ruoli solo nell'ambito dei dati dell'agente specificato nell'area di lavoro. Questa è l'opzione più sicura e pertanto consigliata.

Se è necessario assegnare i ruoli tramite il portale di Azure, è consigliabile assegnare i ruoli in un ambito di piccole dimensioni, ad esempio solo nell'area di lavoro di Microsoft Sentinel.

Riga di comando

1. Ottenere l'ID agente eseguendo il comando seguente, sostituendo il <container_name> segnaposto con il nome del contenitore Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Ad esempio, un ID agente restituito potrebbe essere 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Assegnare i ruoli Operatore e lettore dell'agente di applicazioni aziendali di Microsoft Sentinel eseguendo i comandi seguenti:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Sostituire i valori segnaposto come segue:

   Segnaposto	Valore
   <OBJ_ID>	ID oggetto identità della macchina virtuale.
   <SUB_ID>	ID sottoscrizione dell'area di lavoro di Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Nome del gruppo di risorse dell'area di lavoro di Microsoft Sentinel
   <WS_NAME>	Nome dell'area di lavoro di Microsoft Sentinel
   <AGENT_IDENTIFIER>	ID agente visualizzato dopo l'esecuzione del comando nel passaggio precedente.

Applicare e assegnare il ruolo SAP edizione Standard NTINEL_RESPONDER al sistema SAP

Applicare /MSFT edizione Standard N/edizione Standard NTINEL_RESPONDER ruolo SAP al sistema SAP e assegnarlo all'account utente SAP usato dall'agente del connettore dati SAP di Microsoft Sentinel.

Per applicare e assegnare il ruolo SAP /MSFT edizione Standard N/edizione Standard NTINEL_RESPONDER:

1. Caricare definizioni di ruolo dal file /MSFT edizione Standard N/edizione Standard NTINEL_RESPONDER in GitHub.

2. Assegnare il ruolo /MSFT edizione Standard N/edizione Standard NTINEL_RESPONDER all'account utente SAP usato dall'agente del connettore dati SAP di Microsoft Sentinel. Per altre informazioni, vedere Distribuire richieste di modifica SAP e configurare l'autorizzazione.

In alternativa, assegnare manualmente le autorizzazioni seguenti al ruolo corrente già assegnato all'account utente SAP usato dal connettore dati SAP di Microsoft Sentinel. Queste autorizzazioni sono incluse nel ruolo SAP /MSFT edizione Standard N/edizione Standard NTINEL_RESPONDER specificamente per le azioni di risposta alle interruzioni degli attacchi.

Oggetto Autorizzazione	Campo	valore
S_RFC	RFC_TYPE	Modulo funzione
S_RFC	RFC_NAME	BAPI_U edizione Standard R_LOCK
S_RFC	RFC_NAME	BAPI_U edizione Standard R_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_U edizione Standard R A differenza del nome, questa funzione non elimina gli utenti, ma termina la sessione utente attiva.
S_U edizione Standard R_GRP	CLASS	* È consigliabile sostituire S_U edizione Standard R_GRP CLASS con le classi pertinenti nell'organizzazione che rappresentano gli utenti del dialogo.
S_U edizione Standard R_GRP	ACTVT	03
S_U edizione Standard R_GRP	ACTVT	05

Per altre informazioni, vedere Autorizzazioni ABAP necessarie.

Passaggi successivi

Altre informazioni sulla soluzione Microsoft Sentinel per le applicazioni SAP®:

• Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP®
• Prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®
• Distribuire richieste di modifica SAP (CR) e configurare l'autorizzazione
• Distribuire il contenuto della soluzione dall'hub del contenuto
• Distribuire e configurare il contenitore che ospita l'agente del connettore dati SAP
• Monitorare l'integrità del sistema SAP
• Distribuire microsoft Sentinel per il connettore dati SAP con SNC
• Abilitare e configurare il controllo SAP
• Raccogliere i log di controllo di SAP HANA

Risoluzione dei problemi:

• Risolvere i problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP®

File di riferimento:

• Informazioni di riferimento sulla soluzione Microsoft Sentinel per i dati delle applicazioni SAP®
• Soluzione Microsoft Sentinel per le applicazioni SAP®: informazioni di riferimento sul contenuto di sicurezza
• Informazioni di riferimento sullo script Kickstart
• Informazioni di riferimento sullo script di aggiornamento
• Informazioni di riferimento sul file Systemconfig.ini

Per altre informazioni, vedere Soluzioni di Microsoft Sentinel.