De Microsoft Sentinel-agent voor SAP-toepassingen voor gegevensconnector bijwerken

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel leest u hoe u een al bestaande Microsoft Sentinel voor SAP-gegevensconnector bijwerkt naar de nieuwste versie, zodat u de nieuwste functies en verbeteringen kunt gebruiken.

Tijdens het updateproces van de gegevensconnectoragent is er mogelijk een korte downtime van ongeveer 10 seconden. Om de gegevensintegriteit te garanderen, slaat een databasevermelding de tijdstempel van het laatst opgehaalde logboek op. Nadat de update is voltooid, wordt het proces voor het ophalen van gegevens hervat van het laatste opgehaalde logboek, waardoor duplicaten worden voorkomen en een naadloze gegevensstroom wordt gegarandeerd.

De automatische of handmatige updates die in dit artikel worden beschreven, zijn alleen relevant voor de SAP-connectoragent en niet voor de Microsoft Sentinel-oplossing voor SAP-toepassingen. Als u de oplossing wilt bijwerken, moet uw agent up-to-date zijn. De oplossing wordt afzonderlijk bijgewerkt, net zoals elke andere Microsoft Sentinel-oplossing.

Inhoud in dit artikel is relevant voor uw beveiligings-, infrastructuur- en SAP BASIS-teams .

Vereisten

Voordat u begint:

• Zorg ervoor dat u beschikt over alle vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Zie Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen voor meer informatie.

• Zorg ervoor dat u inzicht hebt in uw SAP- en Microsoft Sentinel-omgevingen en -architectuur, inclusief de machines waarop uw connectoragents en collectors zijn geïnstalleerd.

Automatische updates configureren voor de SAP-gegevensconnectoragent (preview)

Configureer automatische updates voor de connectoragent, voor alle bestaande containers of een specifieke container.

De opdrachten die in deze sectie worden beschreven, maken een cron-taak die dagelijks wordt uitgevoerd, controleert op updates en werkt de agent bij naar de nieuwste GA-versie. Containers met een preview-versie van de agent die nieuwer is dan de nieuwste GA-versie, worden niet bijgewerkt. Logboekbestanden voor automatische updates bevinden zich op de collectorcomputer op /var/log/sapcon-sentinel-register-autoupdate.log.

Nadat u automatische updates voor een agent eenmaal hebt geconfigureerd, wordt deze altijd geconfigureerd voor automatische updates.

Belangrijk

Het automatisch bijwerken van de SAP-gegevensconnectoragent bevindt zich momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Automatische updates configureren voor alle bestaande containers

Als u automatische updates wilt inschakelen voor alle bestaande containers met een verbonden SAP-agent, voert u de volgende opdracht uit op de collectorcomputer:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Als u met meerdere containers werkt, werkt de cron-taak de agent bij op alle containers die bestonden op het moment dat u de oorspronkelijke opdracht hebt uitgevoerd. Als u containers toevoegt nadat u de eerste cron-taak hebt gemaakt, worden de nieuwe containers niet automatisch bijgewerkt. Voer een extra opdracht uit om deze containers bij te werken.

Automatische updates voor een specifieke container configureren

Als u automatische updates wilt configureren voor een specifieke container of containers, bijvoorbeeld als u containers hebt toegevoegd nadat u de oorspronkelijke automatiseringsopdracht hebt uitgevoerd, voert u de volgende opdracht uit op de collectorcomputer:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

In het bestand /opt/sapcon/[SID of agent-GUID]/settings.json definieert u de auto_update parameter voor elk van de containers als true.

Automatische updates uitschakelen

Als u automatische updates voor een container of containers wilt uitschakelen, opent u het bestand /opt/sapcon/[SID of Agent GUID]/settings.json voor bewerking en definieert u de auto_update parameter voor elk van de containers als false.

Sap-gegevensconnectoragent handmatig bijwerken

Als u de connectoragent handmatig wilt bijwerken, moet u ervoor zorgen dat u de meest recente versies van de relevante implementatiescripts hebt uit de GitHub-opslagplaats van Microsoft Sentinel.

Zie de Microsoft Sentinel-oplossing voor het bijwerken van bestanden van SAP-toepassingen voor de agent voor gegevensconnector voor SAP-toepassingen voor meer informatie.

Voer op de machine van de gegevensconnectoragent het volgende uit:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

De Docker-container van de SAP-gegevensconnector op uw computer wordt bijgewerkt.

Zorg ervoor dat u controleert op andere beschikbare updates, zoals SAP-wijzigingsaanvragen.

Uw systeem bijwerken voor onderbreking van aanvallen

Automatische aanvalsonderbreking voor SAP wordt ondersteund met het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal en vereist:

• Een werkruimte die is toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen.

• Een Microsoft Sentinel SAP-gegevensconnectoragent, versie 90847355 of hoger. Controleer uw huidige agentversie en werk deze bij als dat nodig is.

• De volgende rollen in Azure en SAP:

  • Azure-rolvereiste: de identiteit van uw gegevensconnectoragent-VM moet worden toegewezen aan de Azure-rol Agent operator voor Microsoft Sentinel Business Applications. Controleer deze toewijzing en wijs deze rol handmatig toe als dat nodig is.

  • SAP-rolvereiste: de SAP-rol /MSFTSEN/SENTINEL_RESPONDER moet worden toegepast op uw SAP-systeem en worden toegewezen aan het SAP-gebruikersaccount dat wordt gebruikt door de agent voor de gegevensconnector. Controleer deze toewijzing en pas de rol toe als dat nodig is.

In de volgende procedures wordt beschreven hoe u aan deze vereisten voldoet als nog niet aan deze vereisten wordt voldaan.

De huidige versie van de gegevensconnectoragent controleren

Als u de huidige agentversie wilt controleren, voert u de volgende query uit vanaf de pagina Microsoft Sentinel-logboeken:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Controleren op vereiste Azure-rollen

Voor onderbreking van aanvallen voor SAP moet u de VM-identiteit van uw agent met specifieke machtigingen verlenen aan de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel, met behulp van de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer .

Controleer eerst of uw rollen al zijn toegewezen:

1. Zoek de id van uw VM-id in Azure:

   1. Ga naar Enterprise-toepassing>Alle toepassingen en selecteer de naam van uw VIRTUELE machine of geregistreerde toepassing, afhankelijk van het type identiteit dat u gebruikt voor toegang tot uw sleutelkluis.
   2. Kopieer de waarde van het veld Object-id die u wilt gebruiken met de gekopieerde opdracht.

2. Voer de volgende opdracht uit om te controleren of deze rollen al zijn toegewezen, waarbij u de waarden van de tijdelijke aanduiding indien nodig vervangt.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   In de uitvoer ziet u een lijst met de rollen die zijn toegewezen aan de object-id.

Vereiste Azure-rollen handmatig toewijzen

Als de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer nog niet zijn toegewezen aan de VM-identiteit van uw agent, gebruikt u de volgende stappen om ze handmatig toe te wijzen. Selecteer het tabblad voor Azure Portal of de opdrachtregel, afhankelijk van hoe uw agent is geïmplementeerd. Agents die vanaf de opdrachtregel zijn geïmplementeerd, worden niet weergegeven in Azure Portal en u moet de opdrachtregel gebruiken om de rollen toe te wijzen.

Als u deze procedure wilt uitvoeren, moet u de eigenaar van de resourcegroep zijn in uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel.

Portal

1. Ga in Microsoft Sentinel op de pagina Configuratiegegevensconnectors > naar uw Microsoft Sentinel voor SAP-gegevensconnector en selecteer De connectorpagina openen.

2. In het gebied Configuratie , onder stap 1. Voeg een op API gebaseerde collectoragent toe, zoek de agent die u bijwerkt en selecteer de knop Opdrachten weergeven .

3. Kopieer de opdrachten voor roltoewijzing die worden weergegeven. Voer deze uit op uw agent-VM, waarbij u de tijdelijke aanduidingen vervangt door de Object_ID id van uw VM-id.

   Met deze opdrachten wordt de Azure-rol agent voor Microsoft Sentinel Business Applications en Lezer toegewezen aan de beheerde identiteit van uw VIRTUELE machine, inclusief alleen het bereik van de opgegeven agentgegevens in de werkruimte.

Belangrijk

Als u de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer toewijst via de CLI, worden de rollen alleen toegewezen aan het bereik van de opgegeven agentgegevens in de werkruimte. Dit is de veiligste en daarom aanbevolen optie.

Als u de rollen moet toewijzen via Azure Portal, raden we u aan de rollen toe te wijzen voor een klein bereik, zoals alleen in de Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel.

Opdrachtregel

1. Haal de agent-id op door de volgende opdracht uit te voeren, waarbij u de <container_name> tijdelijke aanduiding vervangt door de naam van uw Docker-container:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Een geretourneerde agent-id kan bijvoorbeeld zijn 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Wijs de rollen Agent voor Microsoft Sentinel Business Applications Agent en Lezer toe door de volgende opdrachten uit te voeren:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Vervang de waarden van tijdelijke aanduidingen als volgt:

   Tijdelijke aanduiding	Weergegeven als
   <OBJ_ID>	De id van uw VM-identiteitsobject.
   <SUB_ID>	De abonnements-id voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	De naam van de resourcegroep voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel
   <WS_NAME>	De naam van uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel
   <AGENT_IDENTIFIER>	De agent-id die wordt weergegeven na het uitvoeren van de opdracht in de vorige stap.

De SENTINEL_RESPONDER SAP-rol toepassen en toewijzen aan uw SAP-systeem

Pas /MSFTSEN/SENTINEL_RESPONDER SAP-rol toe op uw SAP-systeem en wijs deze toe aan het SAP-gebruikersaccount dat wordt gebruikt door de SAP-gegevensconnectoragent van Microsoft Sentinel.

De SAP-rol /MSFTSEN/SENTINEL_RESPONDER toepassen en toewijzen:

1. Upload roldefinities uit het /MSFTSEN/SENTINEL_RESPONDER-bestand in GitHub.

2. Wijs de rol /MSFTSEN/SENTINEL_RESPONDER toe aan het SAP-gebruikersaccount dat wordt gebruikt door de SAP-gegevensconnectoragent van Microsoft Sentinel. Zie Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing voor meer informatie.

   U kunt ook handmatig de volgende autorisaties toewijzen aan de huidige rol die al is toegewezen aan het SAP-gebruikersaccount dat wordt gebruikt door de SAP-gegevensconnector van Microsoft Sentinel. Deze autorisaties zijn opgenomen in de SAP-rol /MSFTSEN/SENTINEL_RESPONDER specifiek voor acties voor het reageren op aanvallen.

   Autorisatieobject	Veld	Waarde
   S_RFC	RFC_TYPE	Functiemodule
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER In tegenstelling tot de naam van deze functie worden gebruikers niet verwijderd, maar wordt de actieve gebruikerssessie beëindigd.
   S_USER_GRP	KLAS	* We raden u aan S_USER_GRP CLASS te vervangen door de relevante klassen in uw organisatie die dialoogvenstergebruikers vertegenwoordigen.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Zie Vereiste ABAP-autorisaties voor meer informatie.

Gerelateerde inhoud

Zie voor meer informatie:

• Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen
• De status van uw SAP-systeem bewaken
• Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen