共用方式為

更新 SAP 應用程式資料連接器代理程式Microsoft Sentinel

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文說明如何將已存在的 Microsoft Sentinel for SAP 數據連接器更新為其最新版本,以便使用最新的功能和改進功能。

在數據連接器代理程式更新程序期間,可能會短暫停機約 10 秒。 為了確保數據完整性,資料庫專案會儲存上次擷取記錄的時間戳。 更新完成之後,數據擷取程式會從最後一個擷取的記錄繼續,防止重複專案,並確保順暢的數據流。

本文所述的自動或手動更新僅與 SAP 連接器代理程序相關,而不是 SAP 應用程式的 Microsoft Sentinel 解決方案。 若要成功更新解決方案,您的代理程式需要保持最新的狀態。 解決方案會個別更新,就像任何其他 Microsoft Sentinel 解決方案一樣。

本文中的內容與您的 安全性基礎結構SAP BASIS 小組相關。

必要條件

在開始之前:

設定 SAP 資料連接器代理程式的自動更新 (預覽)

針對所有現有的容器或特定容器設定連接器代理程序的自動更新。

本節所述的命令會建立 cron 作業,每天執行、檢查更新,並將代理程式更新為最新的 GA 版本。 執行比最新 GA 版本更新之代理程式的預覽版本的容器不會更新。 自動更新的記錄檔位於收集器計算機上,位於 /var/log/sapcon-sentinel-register-autoupdate.log

設定代理程式的自動更新一次之後,一律會針對自動更新進行設定。

重要

自動更新 SAP 資料連接器代理程式目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

設定所有現有容器的自動更新

若要開啟具有已連線 SAP 代理程式之所有現有容器的自動更新,請在收集器電腦上執行下列命令:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh

如果您正在使用多個容器,cron 作業會在執行原始命令時,更新存在於所有容器上的代理程式。 如果您在建立初始cron作業之後新增容器,則不會自動更新新的容器。 若要更新這些容器, 請執行額外的命令來新增這些容器。

在特定容器上設定自動更新

若要設定特定容器或容器的 自動更新,例如,如果您在執行原始自動化命令之後新增容器,請在收集器計算機上執行下列命令:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

或者,在 /opt/sapcon/[SID 或 Agent GUID]/settings.json 檔案中,將每個容器true的參數定義為 auto_update

關閉自動更新

若要關閉容器或容器的自動更新,請開啟 /opt/sapcon/[SID 或 Agent GUID]/settings.json 檔案進行編輯,並將每個容器false的參數定義為 auto_update

手動更新 SAP 資料連接器代理程式

若要手動更新連接器代理程式,請確定您有來自 sentinel GitHub 存放庫Microsoft最新版的相關部署腳本。

如需詳細資訊,請參閱 sap 應用程式資料連接器代理程式更新檔案參考Microsoft Sentinel 解決方案。

在資料連接器代理程式電腦上,執行

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

電腦上的 SAP 資料連接器 Docker 容器已更新。

請務必檢查是否有任何其他可用的更新,例如 SAP 變更要求。

更新您的系統以防止攻擊

SAP 的自動攻擊中斷在 Microsoft Defender 入口網站中的整合安全性作業平台受到支援,並且需要:

  • 已加入整合安全性作業平台的工作區。

  • Microsoft Sentinel SAP 資料連接器代理程式 90847355 版或更高版本。 檢查您目前的代理程式版本並根據需要進行更新。

  • Azure 和 SAP 中的下列角色:

    • Azure 角色需求:數據連接器代理程式 VM 的身分識別必須指派給 Microsoft Sentinel Business Applications Agent 操作員 Azure 角色。 如果您需要,請確認此指派並 手動 指派此角色。

    • SAP 角色需求/MSFTSEN/SENTINEL_RESPONDER SAP 角色必須套用至您的 SAP 系統,並指派給數據連接器代理程式所使用的 SAP 用戶帳戶。 如果您需要,請確認此指派並 套用並指派角色

下列程序說明如果尚未符合這些需求,如何滿足這些需求。

驗證您目前的資料連接器代理程式版本

若要驗證您目前的代理程式版本,請從 Microsoft Sentinel 記錄頁面執行下列查詢:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

檢查所需的 Azure 角色

SAP 的攻擊中斷需要您使用 Microsoft Sentinel Business Applications Agent 操作員讀取者角色,將特定許可權授與代理程式的 VM 身分識別給已啟用 Microsoft Sentinel 的 Log Analytics 工作區。

首先查看您的角色是否已指派:

  1. 在 Azure 中尋找您的 VM 身分識別物件識別碼:

    1. 移至 [企業應用程式]>[所有應用程式],然後根據您用於存取金鑰保存庫的身分識別類型選取您的 VM 或已註冊的應用程式名稱。
    2. 複製 [物件識別碼] 欄位的值,以用於您先前複製的命令。

  2. 執行以下命令來驗證是否已指派這些角色,並根據需要取代預留位置值。

    az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>

    輸出會顯示指派給物件識別碼的角色清單。

手動指派必要的 Azure 角色

如果尚未將 Microsoft Sentinel Business Applications 代理程式操作員讀取者角色指派給代理程式的 VM 身分識別,請使用下列步驟手動指派它們。 根據代理程式的部署方式,選取 Azure 入口網站或命令列的索引標籤。 從命令列部署的代理程式不會顯示在 Azure 入口網站中,您必須使用命令列來指派角色。

若要執行此程式,您必須是已啟用 Microsoft Sentinel 之 Log Analytics 工作區的資源群組擁有者。

  1. 在 Microsoft Sentinel 的 [組態] > [資料連接器] 頁面上,移至您的「適用於 SAP 的 Microsoft Sentinel」資料連接器,然後選取 [開啟連接器頁面]

  2. 在 [組態] 區域的步驟 1.新增基於 API 的收集器代理程式,找到您要更新的代理程式,然後選取 [顯示命令] 按鈕。

  3. 複製所顯示的角色指派命令。 在您的代理程式 VM 上執行它們,並以您的 VM 身分識別物件識別碼取代 Object_ID 預留位置。

    這些命令會將 Microsoft Sentinel Business Applications 代理程式操作員讀者 Azure 角色指派給 VM 的受控識別,僅包括工作區中指定代理程式的資料範圍。

重要

透過 CLI 指派 Microsoft Sentinel Business Applications 代理程式操作員讀者角色時,只會在工作區中指定代理程式的資料範圍內指派該角色。 這是最安全的選項,因此建議使用。

如果您必須透過 Azure 入口網站 指派角色,建議您在小型範圍上指派角色,例如只在已啟用 Microsoft Sentinel 的 Log Analytics 工作區上。

將 SENTINEL_RESPONDER SAP 角色套用並指派到您的 SAP 系統

/MSFTSEN/SENTINEL_RESPONDER SAP 角色套用到您的 SAP 系統,並將其指派給 Microsoft Sentinel 的 SAP 資料連接器代理程式所使用的 SAP 使用者帳戶。

若要套用並指派 /MSFTSEN/SENTINEL_RESPONDER SAP 角色:

  1. 從 GitHub 中的 /MSFTSEN/SENTINEL_RESPONDER 檔案上傳角色定義。

  2. /MSFTSEN/SENTINEL_RESPONDER 角色指派給 Microsoft Sentinel 的 SAP 資料連接器代理程式所使用的 SAP 使用者帳戶。 如需詳細資訊,請參閱 為Microsoft Sentinel 解決方案設定 SAP 系統。

    或者,手動將下列授權指派給已指派給 Microsoft Sentinel 的 SAP 資料連接器所使用的 SAP 使用者帳戶的目前角色。 這些授權包含在專門用於攻擊中斷回應動作的 /MSFTSEN/SENTINEL_RESPONDER SAP 角色中。

    授權物件 欄位
    S_RFC RFC_TYPE 函式模組
    S_RFC RFC_NAME BAPI_USER_LOCK
    S_RFC RFC_NAME BAPI_USER_UNLOCK
    S_RFC RFC_NAME TH_DELETE_USER
    與它的名稱相反,此函式不會刪除使用者,而是結束作用中使用者工作階段。
    S_USER_GRP CLASS *
    我們建議將 S_USER_GRP CLASS 取代為組織中代表對話方塊使用者的相關類別。
    S_USER_GRP ACTVT 03
    S_USER_GRP ACTVT 05

如需詳細資訊,請參閱必要的 ABAP 授權 (部分機器翻譯)。

相關內容

如需詳細資訊,請參閱