Uppdatera dataanslutningsagenten för Microsoft Sentinel för SAP-program

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den här artikeln visar hur du uppdaterar en redan befintlig Microsoft Sentinel för SAP-dataanslutning till den senaste versionen så att du kan använda de senaste funktionerna och förbättringarna.

Under uppdateringsprocessen för dataanslutningsagenten kan det uppstå en kort stilleståndstid på cirka 10 sekunder. För att säkerställa dataintegriteten lagrar en databaspost tidsstämpeln för den senast hämtade loggen. När uppdateringen är klar återupptas datahämtningsprocessen från den senaste loggen som hämtades, vilket förhindrar dubbletter och säkerställer ett sömlöst dataflöde.

De automatiska eller manuella uppdateringar som beskrivs i den här artikeln är endast relevanta för SAP-anslutningsagenten och inte för Microsoft Sentinel-lösningen för SAP-program. Om du vill uppdatera lösningen måste agenten vara uppdaterad. Lösningen uppdateras separat, precis som med andra Microsoft Sentinel-lösningar.

Innehållet i den här artikeln är relevant för dina säkerhets-, infrastruktur- och SAP BASIS-team .

Förutsättningar

Innan du börjar:

• Kontrollera att du har alla förutsättningar för att distribuera Microsoft Sentinel-lösningen för SAP-program. Mer information finns i Krav för att distribuera Microsoft Sentinel-lösning för SAP-program.

• Se till att du förstår dina SAP- och Microsoft Sentinel-miljöer och -arkitektur, inklusive de datorer där dina anslutningsagenter och insamlare är installerade.

Konfigurera automatiska uppdateringar för SAP-dataanslutningsagenten (förhandsversion)

Konfigurera automatiska uppdateringar för anslutningsagenten, antingen för alla befintliga containrar eller en specifik container.

Kommandona som beskrivs i det här avsnittet skapar ett cron-jobb som körs dagligen, söker efter uppdateringar och uppdaterar agenten till den senaste GA-versionen. Containrar som kör en förhandsversion av agenten som är nyare än den senaste GA-versionen uppdateras inte. Loggfiler för automatiska uppdateringar finns på insamlingsdatorn på /var/log/sapcon-sentinel-register-autoupdate.log.

När du har konfigurerat automatiska uppdateringar för en agent en gång konfigureras den alltid för automatiska uppdateringar.

Viktigt!

Automatisk uppdatering av SAP-dataanslutningsagenten finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Konfigurera automatiska uppdateringar för alla befintliga containrar

Om du vill aktivera automatiska uppdateringar för alla befintliga containrar med en ansluten SAP-agent kör du följande kommando på insamlingsdatorn:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Om du arbetar med flera containrar uppdaterar cron-jobbet agenten på alla containrar som fanns vid den tidpunkt då du körde det ursprungliga kommandot. Om du lägger till containrar när du har skapat det första cron-jobbet uppdateras inte de nya containrarna automatiskt. Om du vill uppdatera dessa containrar kör du ett extra kommando för att lägga till dem.

Konfigurera automatiska uppdateringar för en specifik container

Om du vill konfigurera automatiska uppdateringar för en specifik container eller containrar, till exempel om du har lagt till containrar efter att du har kört det ursprungliga automationskommandot, kör du följande kommando på insamlard dator:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Alternativt kan du i filen /opt/sapcon/[SID eller Agent GUID]/settings.json definiera parametern auto_update för var och en av containrarna som true.

Inaktivera automatiska uppdateringar

Om du vill inaktivera automatiska uppdateringar för en container eller containrar öppnar du filen /opt/sapcon/[SID eller Agent GUID]/settings.json för redigering och definierar parametern auto_update för var och en av containrarna som false.

Uppdatera SAP-dataanslutningsagenten manuellt

Om du vill uppdatera anslutningsagenten manuellt kontrollerar du att du har de senaste versionerna av relevanta distributionsskript från Microsoft Sentinel GitHub-lagringsplatsen.

Mer information finns i Microsoft Sentinel-lösningen för SAP-program dataanslutningsagentens uppdateringsfilreferens.

På dataanslutningsagentdatorn kör du:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Docker-containern för SAP-dataanslutningen på datorn uppdateras.

Kontrollera om det finns andra tillgängliga uppdateringar, till exempel SAP-ändringsbegäranden.

Uppdatera systemet för angreppsstörningar

Automatisk attackavbrott för SAP stöds med den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen och kräver:

• En arbetsyta som är registrerad på den enhetliga säkerhetsåtgärdsplattformen.

• En Microsoft Sentinel SAP-dataanslutningsagent, version 90847355 eller senare. Kontrollera din aktuella agentversion och uppdatera den om du behöver det.

• Följande roller i Azure och SAP:

  • Krav på Azure-roll: Identiteten för din virtuella dator för dataanslutningsagenten måste tilldelas rollen Microsoft Sentinel Business Applications Agent Operator Azure. Verifiera den här tilldelningen och tilldela den här rollen manuellt om du behöver det.

  • SAP-rollkrav: SAP-rollen /MSFTSEN/SENTINEL_RESPONDER måste tillämpas på ditt SAP-system och tilldelas till DET SAP-användarkonto som används av dataanslutningsagenten. Verifiera den här tilldelningen och tillämpa och tilldela rollen om du behöver det.

Följande procedurer beskriver hur du uppfyller dessa krav om de inte redan är uppfyllda.

Verifiera din aktuella dataanslutningsagentversion

Om du vill verifiera din aktuella agentversion kör du följande fråga från sidan Microsoft Sentinel-loggar:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Sök efter nödvändiga Azure-roller

Attackavbrott för SAP kräver att du beviljar agentens VM-identitet med specifika behörigheter till Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel med hjälp av agentoperator- och läsarrollerna för Microsoft Sentinel Business Applications Agent.

Kontrollera först om dina roller redan har tilldelats:

1. Hitta objekt-ID:t för den virtuella datorns identitet i Azure:

   1. Gå till Företagsprogram>Alla program och välj den virtuella datorn eller det registrerade programnamnet, beroende på vilken typ av identitet du använder för att få åtkomst till ditt nyckelvalv.
   2. Kopiera värdet för fältet Objekt-ID som ska användas med det kopierade kommandot.

2. Kör följande kommando för att kontrollera om dessa roller redan har tilldelats och ersätt platshållarvärdena efter behov.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Utdata visar en lista över de roller som tilldelats objekt-ID:t.

Tilldela nödvändiga Azure-roller manuellt

Om agentoperator- och läsarrollerna för Microsoft Sentinel-företagsprogram ännu inte har tilldelats agentens VM-identitet använder du följande steg för att tilldela dem manuellt. Välj fliken för Azure Portal eller kommandoraden, beroende på hur din agent distribueras. Agenter som distribueras från kommandoraden visas inte i Azure Portal och du måste använda kommandoraden för att tilldela rollerna.

Om du vill utföra den här proceduren måste du vara resursgruppsägare på din Log Analytics-arbetsyta som är aktiverad för Microsoft Sentinel.

Portal

1. På sidan Konfigurationsdataanslutningar i Microsoft Sentinel går du till din Microsoft Sentinel för SAP-dataanslutning och väljer Öppna anslutningssidan.>

2. I området Konfiguration under steg 1. Lägg till en API-baserad insamlaragent, leta upp agenten som du uppdaterar och välj knappen Visa kommandon .

3. Kopiera de rolltilldelningskommandon som visas. Kör dem på den virtuella agentdatorn och Object_ID ersätt platshållarna med objekt-ID:t för den virtuella datorns identitet.

   Dessa kommandon tilldelar Azure-rollerna Microsoft Sentinel Business Applications Agent Operator och Reader till den virtuella datorns hanterade identitet, inklusive endast omfattningen för den angivna agentens data på arbetsytan.

Viktigt!

När du tilldelar rollerna Microsoft Sentinel Business Applications Agent Operator och Reader via CLI tilldelas rollerna endast i omfånget för den angivna agentens data på arbetsytan. Detta är det säkraste och därför rekommenderade alternativet.

Om du måste tilldela rollerna via Azure Portal rekommenderar vi att du tilldelar rollerna i ett litet omfång, till exempel endast på Log Analytics-arbetsytan som är aktiverad för Microsoft Sentinel.

Kommandorad

1. Hämta agent-ID:t genom att köra följande kommando och ersätta <container_name> platshållaren med namnet på Docker-containern:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Ett agent-ID som returneras kan till exempel vara 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Tilldela rollerna Microsoft Sentinel Business Applications Agent Operator och Reader genom att köra följande kommandon:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Ersätt platshållarvärden på följande sätt:

   Platshållare	Värde
   <OBJ_ID>	Objekt-ID för den virtuella datorns identitet.
   <SUB_ID>	Prenumerations-ID:t för din Log Analytics-arbetsyta aktiverad för Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Resursgruppens namn för din Log Analytics-arbetsyta aktiverad för Microsoft Sentinel
   <WS_NAME>	Namnet på din Log Analytics-arbetsyta har aktiverats för Microsoft Sentinel
   <AGENT_IDENTIFIER>	Agent-ID:t visas när kommandot har körts i föregående steg.

Tillämpa och tilldela SENTINEL_RESPONDER SAP-rollen till ditt SAP-system

Tillämpa /MSFTSEN/SENTINEL_RESPONDER SAP-rollen på ditt SAP-system och tilldela den till DET SAP-användarkonto som används av Microsoft Sentinels SAP-dataanslutningsagent.

Så här tillämpar och tilldelar du SAP-rollen /MSFTSEN/SENTINEL_RESPONDER :

1. Ladda upp rolldefinitioner från filen /MSFTSEN/SENTINEL_RESPONDER i GitHub.

2. Tilldela rollen /MSFTSEN/SENTINEL_RESPONDER till DET SAP-användarkonto som används av Microsoft Sentinels SAP-dataanslutningsagent. Mer information finns i Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen.

   Alternativt kan du tilldela följande auktoriseringar manuellt till den aktuella rollen som redan har tilldelats det SAP-användarkonto som används av Microsoft Sentinels SAP-dataanslutning. Dessa auktoriseringar ingår i SAP-rollen /MSFTSEN/SENTINEL_RESPONDER specifikt för åtgärder för angreppsavbrott.

   Auktoriseringsobjekt	Fält	Värde
   S_RFC	RFC_TYPE	Funktionsmodul
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER Till skillnad från dess namn tar den här funktionen inte bort användare, men avslutar den aktiva användarsessionen.
   S_USER_GRP	KLASS	* Vi rekommenderar att du ersätter S_USER_GRP CLASS med relevanta klasser i din organisation som representerar dialoganvändare.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Mer information finns i Nödvändiga ABAP-auktoriseringar.

Relaterat innehåll

Mer information finns i:

• Distribuera Microsoft Sentinel-lösning för SAP-program
• Övervaka hälsotillståndet för ditt SAP-system
• Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program