次の方法で共有

Microsoft Sentinel の SAP データ コネクタ エージェントを更新する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

このアーティクルでは、既存の Microsoft Sentinel for SAP データ コネクタを最新バージョンに更新する方法について説明します。

最新の機能を取得するには、SAP データ コネクタ エージェントの自動更新を有効にするか、エージェントを手動で更新します

この記事で説明する自動更新や手動更新は、SAP コネクタ エージェントにのみ関連しており、SAP 向け Microsoft Sentinel ソリューションには関連していないことに注意してください。 ソリューションを正常に更新するには、エージェントが最新である必要があります。 ソリューションは個別に更新されます。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームの一部として利用できます。 Defender ポータルの Microsoft Sentinel は、運用環境での使用がサポートされるようになりました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

作業を開始する前に、SAP 向け Microsoft Sentinel ソリューション アプリケーションをデプロイするための前提条件をすべて満たしていることを確認してください。

詳細については、「SAP 向け Microsoft Sentinel ソリューション® アプリケーションをデプロイするための前提条件」を参照してください。

SAP データ コネクタ エージェントの自動更新 (プレビュー)

既存のすべてのコンテナー または 特定のコンテナーで、コネクタ エージェントの自動更新を有効にすることを選択できます。

重要

SAP データ コネクタ エージェントの自動更新は現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

既存のすべてのコンテナーで自動更新を有効にする

既存のすべてのコンテナー (SAP エージェントが接続されているすべてのコンテナー) で自動更新を有効にするには、コレクター マシンで次のコマンドを実行します。

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh

コマンドは cron ジョブを作成し、ジョブは毎日実行され、更新プログラムをチェックします。 ジョブが新しいバージョンのエージェントを検出すると、上記のコマンドを実行した際に存在するすべてのコンテナーでエージェントが更新されます。 コンテナーで最新バージョン (ジョブがインストールするバージョン) よりも新しいプレビュー バージョンが実行されている場合、そのコンテナーはジョブによって更新されません。

cron ジョブの実行後にコンテナーを追加する場合、その新しいコンテナーは自動的には更新されません。 これらのコンテナーを更新するには、/opt/sapcon/[SID またはエージェント GUID]/settings.json ファイルで、各コンテナーの auto_update パラメーターを true に定義します。

この更新プログラムのログは、var/log/sapcon-sentinel-register-autoupdate.log/ にあります。

特定のコンテナーで自動更新を有効にする

特定の 1 つの コンテナーまたは複数のコンテナーで自動更新を有効にするには、次のコマンドを実行します:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

この更新プログラムのログは、var/log/sapcon-sentinel-register-autoupdate.log にあります。

自動更新を無効にする

1 つのコンテナーまたは複数のコンテナーで自動更新を無効にするには、各コンテナーの auto_update パラメーターを false に定義します。

SAP データ コネクタ エージェントを手動で更新する

SAP データ コネクタ エージェントを手動で更新するには、Microsoft Sentinel GitHub リポジトリから、関連するデプロイ スクリプトの最新バージョンがインストールされていることを確認します。

次を実行します。

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

マシン上の SAP データ コネクタ Docker コンテナーが更新されます。

次に示すものなど、使用可能な他の更新プログラムがないか必ず確認してください。

攻撃の中断のためにシステムを更新する

SAP の自動攻撃中断は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームでサポートされていて、次のものが必要です。

現在のデータ コネクタ エージェントのバージョンを確認する

現在のエージェントのバージョンを確認するには、Microsoft Sentinel の [ログ] ページから次のクエリを実行します。

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

必要な Azure ロールを確認する

SAP の自動攻撃中断には、Microsoft Sentinel Business Applications エージェント オペレーター ロールと閲覧者ロールを使って、エージェントの VM ID に Microsoft Sentinel ワークスペースへの特定のアクセス許可を付与することが必要です。

まず、次のようにロールが既に割り当てられているかどうかを確認します。

  1. Azure で、次のように VM ID のオブジェクト ID を見つけます。

    1. [エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動し、キー コンテナーへのアクセスに使用する ID の種類に応じて、VM または登録済みのアプリケーション名を選びます。
    2. コピーしたコマンドで使うため、[オブジェクト ID] フィールドの値をコピーします。

  2. 必要に応じてプレースホルダーの値を置き換えて次のコマンドを実行することで、これらのロールが既に割り当てられているかどうかを確認します。

    az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>

    出力には、オブジェクト ID に割り当てられているロールの一覧が表示されます。

必要な Azure ロールを手動で割り当てる

Microsoft Sentinel Business Applications エージェント オペレーター ロールと閲覧者ロールがまだエージェントの VM ID に割り当てられていない場合は、次の手順を使用して手動で割り当てます。 エージェントのデプロイ方法に応じて、Azure portal またはコマンド ラインのタブを選択してください。 コマンド ラインからデプロイされたエージェントについては、Azure portal に表示されないためコマンド ラインを使用してロールを割り当てる必要があります。

この手順を実行するには、Microsoft Sentinel ワークスペースのリソース グループ所有者である必要があります。

  1. Microsoft Sentinel の [構成] > [データ コネクタ] ページで、[SAP 向け Microsoft Sentinel] データ コネクタに移動し、[コネクタ ページを開く] を選びます。

  2. [構成] 領域の [1.Add an API based collector agent] (1. API ベースのコレクター エージェントを追加) で、更新するエージェントを見つけて、[Show commands] (コマンドを表示する) ボタンを選びます。

  3. 表示されたロールの割り当てコマンドをコピーします。 それを、Object_ID プレースホルダーをご使用の VM ID オブジェクト ID に置き換えてから、エージェント VM で実行します。

    このコマンドは、Microsoft Sentinel Business Applications エージェント オペレーター閲覧者の Azure ロールを、VM のマネージド ID に割り当てます。これは、ワークスペース内の指定されたエージェントのデータのスコープのみが対象です。

重要

CLI 経由で Microsoft Sentinel Business Applications エージェント オペレーター ロールと閲覧者ロールを割り当てると、ワークスペース内の指定されたエージェントのデータのスコープに対してのみ、ロールが割り当てられます。 これは最も安全であるため、推奨されるオプションです。

Azure portal 経由でロールを割り当てる必要がある場合は、Microsoft Sentinel ワークスペースのみなどの小さなスコープでロールを割り当てることをお勧めします。

SAP システムに SENTINEL_RESPONDER SAP ロールを適用して割り当てる

SAP システムに /MSFTSEN/SENTINEL_RESPONDER SAP ロールを適用し、それを Microsoft Sentinel の SAP データ コネクタ エージェントが使用する SAP ユーザー アカウントに割り当てます。

/MSFTSEN/SENTINEL_RESPONDER SAP ロールを適用して割り当てるには、次のようにします。

  1. GitHub の /MSFTSEN/SENTINEL_RESPONDER ファイルからロール定義をアップロードします。

  2. /MSFTSEN/SENTINEL_RESPONDER ロールを、Microsoft Sentinel の SAP データ コネクタ エージェントによって使用されている SAP ユーザー アカウントに割り当てます。 詳細については、SAP 変更要求のデプロイと承認の構成に関する記事を参照してください。

または、Microsoft Sentinel の SAP データ コネクタによって使用されている SAP ユーザー アカウントに既に割り当てられている現在のロールに、次の承認を手動で割り当てます。 これらの承認は、攻撃中断対応アクション専用の /MSFTSEN/SENTINEL_RESPONDER SAP ロールに含まれています。

認可オブジェクト フィールド
S_RFC RFC_TYPE 関数モジュール
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
名前とは対照的に、この関数を使用してもユーザーは削除されませんが、アクティブなユーザー セッションは終了します。
S_USER_GRP CLASS *
S_USER_GRP CLASS は、ダイアログ ユーザーを表す組織内の関連クラスに置き換えることをお勧めします。
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

詳細については、「必要な ABAP 承認」を参照してください。

次のステップ

SAP® 向け Microsoft Sentinel ソリューション アプリケーションについて詳しくは、以下を参照してください。

トラブルシューティング:

参照ファイル:

詳細については、Microsoft Sentinel ソリューションに関する記事を参照してください。