Обновление агента соединителя данных SAP для Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье показано, как обновить уже существующий Microsoft Sentinel для соединителя данных SAP до последней версии.

Чтобы получить последние функции, можно включить автоматическое обновление агента соединителя данных SAP или вручную обновить агент.

Автоматическое или ручное обновление, описанное в этой статье, относится только к агенту соединителя SAP, а не к решению Microsoft Sentinel для SAP. Чтобы успешно обновить решение, агент должен быть обновлен. Решение обновляется отдельно.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

Перед началом работы убедитесь, что у вас есть все необходимые условия для развертывания решения Microsoft Sentinel для приложений SAP.

Дополнительные сведения см. в статье "Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®".

Автоматическое обновление агента соединителя данных SAP (предварительная версия)

Вы можете включить автоматическое обновление агента соединителя во всех существующих контейнерах или определенном контейнере.

Внимание

Автоматическое обновление агента соединителя данных SAP в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Включение автоматических обновлений для всех существующих контейнеров

Чтобы включить автоматическое обновление для всех существующих контейнеров (все контейнеры с подключенным агентом SAP), выполните следующую команду на компьютере сборщика:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Команда создает задание cron, которое выполняется ежедневно и проверка для обновлений. Если задание обнаруживает новую версию агента, он обновляет агент на всех контейнерах, которые существуют при выполнении приведенной выше команды. Если контейнер работает под управлением предварительной версии, которая является более новой (версия, которая устанавливается заданием), задание не обновляет этот контейнер.

При добавлении контейнеров после запуска задания cron новые контейнеры не обновляются автоматически. Чтобы обновить эти контейнеры, в файле /opt/sapcon/[SID или AGENT GUID]/settings.json определите auto_update параметр для каждого контейнера как true.

Журналы для этого обновления находятся в файле var/log/sapcon-sentinel-register-autoupdate.log/.

Включение автоматических обновлений для определенного контейнера

Чтобы включить автоматическое обновление для определенного контейнера или контейнеров, выполните следующую команду:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Журналы для этого обновления находятся в разделе /var/log/sapcon-sentinel-register-autoupdate.log.

Отключение автоматических обновлений

Чтобы отключить автоматическое обновление для контейнера или контейнеров, определите auto_update параметр для каждого контейнера как false.

Обновление агента соединителя данных SAP вручную

Чтобы вручную обновить агент соединителя, убедитесь, что у вас есть последние версии соответствующих сценариев развертывания из репозитория Microsoft Sentinel GitHub.

Запустить:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Контейнер Docker соединителя данных SAP на компьютере будет обновлен.

Обязательно проверьте наличие других доступных обновлений, например следующих:

• соответствующие запросы на изменение SAP в репозитории Microsoft Sentinel на сайте GitHub;
• Решение Microsoft Sentinel для содержимого безопасности приложений SAP в решении Microsoft Sentinel для приложений SAP®®.
• соответствующие списки видео к просмотру в репозитории Microsoft Sentinel на сайте GitHub.

Обновление системы для нарушения атак

Автоматическое нарушение атак для SAP поддерживается с помощью единой платформы операций безопасности на портале Microsoft Defender и требует:

• Рабочая область , подключенная к единой платформе операций безопасности.

• Агент соединителя данных SAP Microsoft Sentinel, версия 90847355 или более поздней версии. Проверьте текущую версию агента и обновите ее, если вам нужно.

• Удостоверение виртуальной машины агента соединителя данных, назначенной роли агента microsoft Sentinel Business Application Agent Azure. Если эта роль не назначена, обязательно назначьте эти роли вручную.

• Роль SAP /MSFTSEN/SENTINEL_RESPONDER применяется к системе SAP и назначается учетной записи пользователя SAP, используемой агентом соединителя данных SAP Sentinel в Microsoft Sentinel.

Проверка текущей версии агента соединителя данных

Чтобы проверить текущую версию агента, выполните следующий запрос на странице журналов Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Проверка обязательных ролей Azure

Для сбоя атак для SAP требуется предоставить удостоверению виртуальной машины агента определенные разрешения для рабочей области Microsoft Sentinel с помощью ролей агента microsoft Sentinel business Applications и читателя .

Сначала проверка, чтобы узнать, назначены ли ваши роли:

1. Найдите идентификатор объекта удостоверения виртуальной машины в Azure:

   1. Перейдите к корпоративным приложениям> и выберите виртуальную машину или зарегистрированное имя приложения в зависимости от типа удостоверения, используемого для доступа к хранилищу ключей.
   2. Скопируйте значение поля идентификатора объекта для использования с скопированной командой.

2. Выполните следующую команду, чтобы проверить, назначены ли эти роли, заменив значения заполнителей по мере необходимости.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   В выходных данных показан список ролей, назначенных идентификатору объекта.

Назначение необходимых ролей Azure вручную

Если роли агента бизнес-приложений Microsoft Sentinel ичитателя еще не назначены удостоверению виртуальной машины вашего агента, выполните следующие действия, чтобы назначить их вручную. Выберите вкладку для портал Azure или командной строки в зависимости от способа развертывания агента. Агенты, развернутые из командной строки, не отображаются в портал Azure, и для назначения ролей необходимо использовать командную строку.

Для выполнения этой процедуры необходимо быть владельцем группы ресурсов в рабочей области Microsoft Sentinel.

Портал Azure

1. На странице соединителей данных конфигурации в Microsoft Sentinel перейдите к соединителю данных Microsoft Sentinel для соединителя данных SAP и выберите "Открыть страницу соединителя".>

2. В области конфигурации на шаге 1. Добавьте агент сборщика на основе API, найдите агент, который вы обновляете, и нажмите кнопку "Показать команды".

3. Скопируйте отображаемые команды назначения ролей. Запустите их на виртуальной машине агента, заменив Object_ID заполнители идентификатором объекта удостоверения виртуальной машины.

   Эти команды назначают оператору агента бизнес-приложений Microsoft Sentinel и роли читателя Azure управляемому удостоверению виртуальной машины, включая только область данных указанного агента в рабочей области.

Внимание

Назначение ролей агента бизнес-приложений Microsoft Sentinel и читателя через интерфейс командной строки назначает роли только в область данных указанного агента в рабочей области. Это самый безопасный и, следовательно, рекомендуемый вариант.

Если необходимо назначить роли через портал Azure, рекомендуется назначить роли на небольшой область, например только в рабочей области Microsoft Sentinel.

Командная строка

1. Получите идентификатор агента, выполнив следующую команду, заменив <container_name> заполнитель именем контейнера Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Например, возвращаемый идентификатор агента может быть 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Назначьте роли агента бизнес-приложений Microsoft Sentinel и читателя, выполнив следующие команды:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Замените значения заполнителей следующим образом:

   Заполнитель	Значение
   <OBJ_ID>	Идентификатор объекта удостоверения виртуальной машины.
   <SUB_ID>	Идентификатор подписки рабочей области Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Имя группы ресурсов рабочей области Microsoft Sentinel
   <WS_NAME>	Имя рабочей области Microsoft Sentinel
   <AGENT_IDENTIFIER>	Идентификатор агента, отображаемый после выполнения команды на предыдущем шаге.

Применение и назначение роли SAP SENTINEL_RESPONDER системе SAP

Примените роль SAP /MSFTSEN/SENTINEL_RESPONDER к системе SAP и назначьте ее учетной записи пользователя SAP, используемой агентом соединителя данных SAP в Microsoft Sentinel.

Чтобы применить и назначить роль SAP /MSFTSEN/SENTINEL_RESPONDER :

1. Отправьте определения ролей из файла /MSFTSEN/SENTINEL_RESPONDER в GitHub.

2. Назначьте роль /MSFTSEN/SENTINEL_RESPONDER учетной записи пользователя SAP, используемой агентом соединителя данных SAP в Microsoft Sentinel. Дополнительные сведения см. в разделе "Развертывание запросов на изменение SAP" и настройка авторизации.

Кроме того, вручную назначьте следующие авторизации текущей роли, уже назначенной учетной записи пользователя SAP, используемой соединителем данных SAP Sentinel в Microsoft Sentinel. Эти авторизации включены в роль SAP /MSFTSEN/SENTINEL_RESPONDER специально для действий реагирования на нарушения атаки.

Объект авторизации	Поле	значение
S_RFC	RFC_TYPE	Модуль функции
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER В отличие от его имени, эта функция не удаляет пользователей, но заканчивает активный сеанс пользователя.
S_USER_GRP	КЛАССИЧЕСКАЯ…	* Рекомендуется заменить класс S_USER_GRP соответствующими классами в организации, представляющими пользователей диалоговых окон.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Дополнительные сведения см. в разделе "Обязательные разрешения ABAP".

Следующие шаги

Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:

• Развертывание решения Microsoft Sentinel для приложений SAP®
• Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
• Развертывание запросов на изменение (CR) SAP и настройка авторизации
• Развертывание содержимого решения из концентратора содержимого
• Развертывание и настройка контейнера для размещения агента соединителя данных SAP
• Мониторинг работоспособности системы SAP
• Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
• Включение и настройка аудита SAP
• Сбор журналов аудита SAP HANA

Устранение неполадок:

• Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP®

Справочные файлы:

• Решение Microsoft Sentinel для данных приложений SAP®
• Решение Microsoft Sentinel для приложений SAP®: справочник по содержимому безопасности
• Справочные материалы по скрипту Kickstart
• Справочные материалы по обновлению скриптов
• Справочные материалы по файлу systemconfig.ini

Дополнительные сведения см. в статье Решения Microsoft Sentinel.