Atualizar o agente do conector de dados SAP do Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo mostra como atualizar um conector de dados do Microsoft Sentinel for SAP já existente para sua versão mais recente.

Para obter os recursos mais recentes, você pode habilitar atualizações automáticas para o agente do conector de dados SAP ou atualizar manualmente o agente.

As atualizações automáticas ou manuais descritas neste artigo são relevantes apenas para o agente do conector SAP e não para a solução Microsoft Sentinel para SAP. Para atualizar a solução com êxito, seu agente precisa estar atualizado. A solução é atualizada separadamente.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Antes de começar, verifique se você tem todos os pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP.

Para obter mais informações, consulte Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®.

Atualizar automaticamente o agente do conector de dados SAP (Visualização)

Você pode optar por habilitar as atualizações automáticas para o agente de conector em todos os contêineres existentes ou em um contêiner específico.

Importante

A atualização automática do agente do conector de dados SAP está atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Habilitar atualizações automáticas em todos os contêineres existentes

Para habilitar as atualizações automáticas em todos os contêineres existentes (todos os contêineres com um agente SAP conectado), execute o seguinte comando na máquina coletora:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

O comando cria um trabalho cron que é executado diariamente e verifica se há atualizações. Se o trabalho detetar uma nova versão do agente, ele atualizará o agente em todos os contêineres existentes quando você executar o comando acima. Se um contêiner estiver executando uma versão de visualização mais recente do que a versão mais recente (a versão que o trabalho instala), o trabalho não atualizará esse contêiner.

Se você adicionar contêineres depois de executar o trabalho cron, os novos contêineres não serão atualizados automaticamente. Para atualizar esses contêineres, no arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json , defina o auto_update parâmetro para cada um dos contêineres como true.

Os logs para esta atualização estão em var/log/sapcon-sentinel-register-autoupdate.log/.

Habilitar atualizações automáticas em um contêiner específico

Para habilitar as atualizações automáticas em um contêiner ou contêineres específicos, execute o seguinte comando:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Os logs para esta atualização estão em /var/log/sapcon-sentinel-register-autoupdate.log.

Desativar atualizações automáticas

Para desabilitar as atualizações automáticas para um contêiner ou contêineres, defina o auto_update parâmetro para cada um dos contêineres como false.

Atualizar manualmente o agente do conector de dados SAP

Para atualizar manualmente o agente do conector, verifique se você tem as versões mais recentes dos scripts de implantação relevantes do repositório GitHub do Microsoft Sentinel.

Executar:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

O contêiner do Docker do conector de dados SAP em sua máquina é atualizado.

Certifique-se de verificar se há outras atualizações disponíveis, como:

• Solicitações de alteração SAP relevantes, no repositório Microsoft Sentinel GitHub.
• Solução Microsoft Sentinel para conteúdo de segurança de aplicações SAP®, na solução Microsoft Sentinel para aplicações SAP®.
• Listas de observação relevantes, no repositório GitHub do Microsoft Sentinel.

Atualize seu sistema para interrupção de ataques

A interrupção automática de ataques para SAP é suportada com a plataforma unificada de operações de segurança no portal Microsoft Defender e requer:

• Um espaço de trabalho integrado à plataforma unificada de operações de segurança.

• Um agente de conector de dados SAP do Microsoft Sentinel, versão 90847355 ou superior. Verifique a versão atual do agente e atualize-a, se necessário.

• A identidade da VM do agente do conector de dados atribuída à função do Azure do Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel. Se essa função não estiver atribuída, certifique-se de atribuir essas funções manualmente.

• A função SAP /MSFTSEN/SENTINEL_RESPONDER aplicada ao seu sistema SAP e atribuída à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.

Verifique a versão atual do agente do conector de dados

Para verificar a versão atual do agente, execute a seguinte consulta na página Logs do Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Verificar se há funções necessárias do Azure

A interrupção de ataque para SAP requer que você conceda a identidade de VM do seu agente com permissões específicas para o espaço de trabalho do Microsoft Sentinel, usando as funções Microsoft Sentinel Business Applications Agent Operator e Reader .

Primeiro, verifique se as suas funções já estão atribuídas:

1. Encontre sua ID de objeto de identidade de VM no Azure:

   1. Vá para Aplicativo>corporativo Todos os aplicativos e selecione sua VM ou nome de aplicativo registrado, dependendo do tipo de identidade que você está usando para acessar seu cofre de chaves.
   2. Copie o valor do campo ID do objeto para usar com o comando copiado.

2. Execute o comando a seguir para verificar se essas funções já estão atribuídas, substituindo os valores de espaço reservado conforme necessário.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   A saída mostra uma lista das funções atribuídas ao ID do objeto.

Atribuir funções necessárias do Azure manualmente

Se as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent ainda não estiverem atribuídas à identidade da VM do agente, use as etapas a seguir para atribuí-las manualmente. Selecione a guia para o portal do Azure ou a linha de comando, dependendo de como seu agente é implantado. Os agentes implantados a partir da linha de comando não são mostrados no portal do Azure e você deve usar a linha de comando para atribuir as funções.

Para executar este procedimento, você deve ser proprietário de um grupo de recursos em seu espaço de trabalho do Microsoft Sentinel.

Portal do Azure

1. No Microsoft Sentinel, na página Conectores de dados de configuração>, vá para o conector de dados do Microsoft Sentinel for SAP e selecione Abrir a página do conector.

2. Na área Configuração, na etapa 1. Adicione um agente de coletor baseado em API, localize o agente que você está atualizando e selecione o botão Mostrar comandos.

3. Copie os comandos de atribuição de função exibidos . Execute-os na VM do agente, substituindo os espaços reservados pelo ID do Object_ID objeto de identidade da VM.

   Esses comandos atribuem as funções Microsoft Sentinel Business Applications Agent Operator e Reader Azure à identidade gerenciada da sua VM, incluindo apenas o escopo dos dados do agente especificado no espaço de trabalho.

Importante

A atribuição das funções de Operador e Leitor do Microsoft Sentinel Business Applications Agent por meio da CLI atribui as funções somente no escopo dos dados do agente especificado no espaço de trabalho. Esta é a opção mais segura e, portanto, recomendada.

Se você precisar atribuir as funções por meio do portal do Azure, recomendamos atribuir as funções em um escopo pequeno, como apenas no espaço de trabalho do Microsoft Sentinel.

Linha de comandos

1. Obtenha o ID do agente executando o seguinte comando, substituindo o espaço reservado <container_name> pelo nome do contêiner do Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Por exemplo, um ID de agente retornado pode ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Atribua as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent executando os seguintes comandos:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Substitua os valores de espaço reservado da seguinte maneira:

   Marcador de Posição	Value
   <OBJ_ID>	Sua ID de objeto de identidade da VM.
   <SUB_ID>	Sua ID de assinatura do espaço de trabalho do Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	O nome do grupo de recursos do espaço de trabalho do Microsoft Sentinel
   <WS_NAME>	O nome do espaço de trabalho do Microsoft Sentinel
   <AGENT_IDENTIFIER>	O ID do agente exibido após a execução do comando na etapa anterior.

Aplicar e atribuir a função SAP SENTINEL_RESPONDER ao seu sistema SAP

Aplique a função /MSFTSEN/SENTINEL_RESPONDER SAP ao seu sistema SAP e atribua-a à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.

Para aplicar e atribuir a função /MSFTSEN/SENTINEL_RESPONDER SAP:

1. Carregue definições de função do arquivo /MSFTSEN/SENTINEL_RESPONDER no GitHub.

2. Atribua a função /MSFTSEN/SENTINEL_RESPONDER à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel. Para obter mais informações, consulte Implantar solicitações de alteração SAP e configurar autorização.

Como alternativa, atribua manualmente as seguintes autorizações à função atual já atribuída à conta de usuário SAP usada pelo conector de dados SAP do Microsoft Sentinel. Essas autorizações estão incluídas na função SAP /MSFTSEN/SENTINEL_RESPONDER especificamente para ações de resposta a interrupções de ataques.

Objeto de autorização	Campo	Value
S_RFC	RFC_TYPE	Módulo de função
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER Ao contrário do seu nome, esta função não elimina utilizadores, mas termina a sessão de utilizador ativa.
S_USER_GRP	CLASSE	* Recomendamos substituir S_USER_GRP CLASS pelas classes relevantes em sua organização que representam usuários de diálogo.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Para obter mais informações, consulte Autorizações ABAP necessárias.

Próximos passos

Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP®:

• Implantar a solução Microsoft Sentinel para aplicativos SAP®
• Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
• Implantar solicitações de alteração (CRs) SAP e configurar a autorização
• Implantar o conteúdo da solução a partir do hub de conteúdo
• Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP
• Monitore a integridade do seu sistema SAP
• Implantar o conector de dados do Microsoft Sentinel for SAP com SNC
• Habilitar e configurar a auditoria SAP
• Coletar logs de auditoria do SAP HANA

Resolução de problemas:

• Solucionar problemas de implantação da solução Microsoft Sentinel para aplicativos SAP®

Ficheiros de referência:

• Referência de dados da solução Microsoft Sentinel para aplicativos SAP®
• Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança
• Referência de script do Kickstart
• Referência de script de atualização
• Systemconfig.ini referência de arquivo

Para obter mais informações, consulte Soluções do Microsoft Sentinel.