Atualizar o agente do conector de dados SAP do Microsoft Sentinel
Este artigo mostra como atualizar um conector de dados do Microsoft Sentinel for SAP já existente para sua versão mais recente.
Para obter os recursos mais recentes, você pode habilitar atualizações automáticas para o agente do conector de dados SAP ou atualizar manualmente o agente.
As atualizações automáticas ou manuais descritas neste artigo são relevantes apenas para o agente do conector SAP e não para a solução Microsoft Sentinel para SAP. Para atualizar a solução com êxito, seu agente precisa estar atualizado. A solução é atualizada separadamente.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
Antes de começar, verifique se você tem todos os pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP.
Para obter mais informações, consulte Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®.
Atualizar automaticamente o agente do conector de dados SAP (Visualização)
Você pode optar por habilitar as atualizações automáticas para o agente de conector em todos os contêineres existentes ou em um contêiner específico.
Importante
A atualização automática do agente do conector de dados SAP está atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Habilitar atualizações automáticas em todos os contêineres existentes
Para habilitar as atualizações automáticas em todos os contêineres existentes (todos os contêineres com um agente SAP conectado), execute o seguinte comando na máquina coletora:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
O comando cria um trabalho cron que é executado diariamente e verifica se há atualizações. Se o trabalho detetar uma nova versão do agente, ele atualizará o agente em todos os contêineres existentes quando você executar o comando acima. Se um contêiner estiver executando uma versão de visualização mais recente do que a versão mais recente (a versão que o trabalho instala), o trabalho não atualizará esse contêiner.
Se você adicionar contêineres depois de executar o trabalho cron, os novos contêineres não serão atualizados automaticamente. Para atualizar esses contêineres, no arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json , defina o auto_update
parâmetro para cada um dos contêineres como true
.
Os logs para esta atualização estão em var/log/sapcon-sentinel-register-autoupdate.log/.
Habilitar atualizações automáticas em um contêiner específico
Para habilitar as atualizações automáticas em um contêiner ou contêineres específicos, execute o seguinte comando:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
Os logs para esta atualização estão em /var/log/sapcon-sentinel-register-autoupdate.log.
Desativar atualizações automáticas
Para desabilitar as atualizações automáticas para um contêiner ou contêineres, defina o auto_update
parâmetro para cada um dos contêineres como false
.
Atualizar manualmente o agente do conector de dados SAP
Para atualizar manualmente o agente do conector, verifique se você tem as versões mais recentes dos scripts de implantação relevantes do repositório GitHub do Microsoft Sentinel.
Executar:
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
O contêiner do Docker do conector de dados SAP em sua máquina é atualizado.
Certifique-se de verificar se há outras atualizações disponíveis, como:
- Solicitações de alteração SAP relevantes, no repositório Microsoft Sentinel GitHub.
- Solução Microsoft Sentinel para conteúdo de segurança de aplicações SAP®, na solução Microsoft Sentinel para aplicações SAP®.
- Listas de observação relevantes, no repositório GitHub do Microsoft Sentinel.
Atualize seu sistema para interrupção de ataques
A interrupção automática de ataques para SAP é suportada com a plataforma unificada de operações de segurança no portal Microsoft Defender e requer:
Um espaço de trabalho integrado à plataforma unificada de operações de segurança.
Um agente de conector de dados SAP do Microsoft Sentinel, versão 90847355 ou superior. Verifique a versão atual do agente e atualize-a, se necessário.
A identidade da VM do agente do conector de dados atribuída à função do Azure do Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel. Se essa função não estiver atribuída, certifique-se de atribuir essas funções manualmente.
A função SAP /MSFTSEN/SENTINEL_RESPONDER aplicada ao seu sistema SAP e atribuída à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.
Verifique a versão atual do agente do conector de dados
Para verificar a versão atual do agente, execute a seguinte consulta na página Logs do Microsoft Sentinel:
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
Verificar se há funções necessárias do Azure
A interrupção de ataque para SAP requer que você conceda a identidade de VM do seu agente com permissões específicas para o espaço de trabalho do Microsoft Sentinel, usando as funções Microsoft Sentinel Business Applications Agent Operator e Reader .
Primeiro, verifique se as suas funções já estão atribuídas:
Encontre sua ID de objeto de identidade de VM no Azure:
- Vá para Aplicativo>corporativo Todos os aplicativos e selecione sua VM ou nome de aplicativo registrado, dependendo do tipo de identidade que você está usando para acessar seu cofre de chaves.
- Copie o valor do campo ID do objeto para usar com o comando copiado.
Execute o comando a seguir para verificar se essas funções já estão atribuídas, substituindo os valores de espaço reservado conforme necessário.
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
A saída mostra uma lista das funções atribuídas ao ID do objeto.
Atribuir funções necessárias do Azure manualmente
Se as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent ainda não estiverem atribuídas à identidade da VM do agente, use as etapas a seguir para atribuí-las manualmente. Selecione a guia para o portal do Azure ou a linha de comando, dependendo de como seu agente é implantado. Os agentes implantados a partir da linha de comando não são mostrados no portal do Azure e você deve usar a linha de comando para atribuir as funções.
Para executar este procedimento, você deve ser proprietário de um grupo de recursos em seu espaço de trabalho do Microsoft Sentinel.
No Microsoft Sentinel, na página Conectores de dados de configuração>, vá para o conector de dados do Microsoft Sentinel for SAP e selecione Abrir a página do conector.
Na área Configuração, na etapa 1. Adicione um agente de coletor baseado em API, localize o agente que você está atualizando e selecione o botão Mostrar comandos.
Copie os comandos de atribuição de função exibidos . Execute-os na VM do agente, substituindo os espaços reservados pelo ID do
Object_ID
objeto de identidade da VM.Esses comandos atribuem as funções Microsoft Sentinel Business Applications Agent Operator e Reader Azure à identidade gerenciada da sua VM, incluindo apenas o escopo dos dados do agente especificado no espaço de trabalho.
Importante
A atribuição das funções de Operador e Leitor do Microsoft Sentinel Business Applications Agent por meio da CLI atribui as funções somente no escopo dos dados do agente especificado no espaço de trabalho. Esta é a opção mais segura e, portanto, recomendada.
Se você precisar atribuir as funções por meio do portal do Azure, recomendamos atribuir as funções em um escopo pequeno, como apenas no espaço de trabalho do Microsoft Sentinel.
Aplicar e atribuir a função SAP SENTINEL_RESPONDER ao seu sistema SAP
Aplique a função /MSFTSEN/SENTINEL_RESPONDER SAP ao seu sistema SAP e atribua-a à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.
Para aplicar e atribuir a função /MSFTSEN/SENTINEL_RESPONDER SAP:
Carregue definições de função do arquivo /MSFTSEN/SENTINEL_RESPONDER no GitHub.
Atribua a função /MSFTSEN/SENTINEL_RESPONDER à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel. Para obter mais informações, consulte Implantar solicitações de alteração SAP e configurar autorização.
Como alternativa, atribua manualmente as seguintes autorizações à função atual já atribuída à conta de usuário SAP usada pelo conector de dados SAP do Microsoft Sentinel. Essas autorizações estão incluídas na função SAP /MSFTSEN/SENTINEL_RESPONDER especificamente para ações de resposta a interrupções de ataques.
Objeto de autorização | Campo | Value |
---|---|---|
S_RFC | RFC_TYPE | Módulo de função |
S_RFC | RFC_NAME | BAPI_USER_LOCK |
S_RFC | RFC_NAME | BAPI_USER_UNLOCK |
S_RFC | RFC_NAME | TH_DELETE_USER Ao contrário do seu nome, esta função não elimina utilizadores, mas termina a sessão de utilizador ativa. |
S_USER_GRP | CLASSE | * Recomendamos substituir S_USER_GRP CLASS pelas classes relevantes em sua organização que representam usuários de diálogo. |
S_USER_GRP | ACTVT | 03 |
S_USER_GRP | ACTVT | 05 |
Para obter mais informações, consulte Autorizações ABAP necessárias.
Próximos passos
Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP®:
- Implantar a solução Microsoft Sentinel para aplicativos SAP®
- Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
- Implantar solicitações de alteração (CRs) SAP e configurar a autorização
- Implantar o conteúdo da solução a partir do hub de conteúdo
- Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP
- Monitore a integridade do seu sistema SAP
- Implantar o conector de dados do Microsoft Sentinel for SAP com SNC
- Habilitar e configurar a auditoria SAP
- Coletar logs de auditoria do SAP HANA
Resolução de problemas:
Ficheiros de referência:
- Referência de dados da solução Microsoft Sentinel para aplicativos SAP®
- Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança
- Referência de script do Kickstart
- Referência de script de atualização
- Systemconfig.ini referência de arquivo
Para obter mais informações, consulte Soluções do Microsoft Sentinel.