Aktualisieren des Datenconnector-Agents für Microsoft Sentinel für SAP-Anwendungen

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel erfahren Sie, wie Sie einen bereits vorhandenen Microsoft Sentinel für SAP-Datenconnector auf die aktuelle Version aktualisieren, damit Sie die neuesten Features und Verbesserungen verwenden können.

Es kann während des Updatevorgangs des Datenconnector-Agents zu einer kurzen Downtime von ca. 10 Sekunden kommen. Um die Datenintegrität sicherzustellen, der Zeitstempel des letzten abgerufenen Protokolls in einem Datenbankeintrag gespeichert. Nach Abschluss des Updates wird der Datenabruf mit dem letzten abgerufenen Protokoll fortgesetzt, sodass Duplikate verhindert werden und ein nahtloser Datenfluss sichergestellt wird.

Die in diesem Artikel beschriebenen automatischen oder manuellen Updates sind nur für den SAP-Connector-Agent und nicht für die Microsoft Sentinel-Lösung für SAP-Anwendungen relevant. Um die Lösung erfolgreich zu aktualisieren, muss Ihr Agent auf dem neuesten Stand sein. Die Lösung wird separat aktualisiert, so wie jede andere Microsoft Sentinel-Lösung.

Die Inhalte in diesem Artikel sind für Ihre Sicherheits-, Infrastruktur- und SAP BASIS-Teams relevant.

Voraussetzungen

Vorbereitungen:

• Stellen Sie sicher, dass Sie alle Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen erfüllt sind. Weitere Informationen finden Sie unter Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.

• Sie sollten Ihre SAP- und Microsoft Sentinel-Umgebungen und deren Architektur verstehen, einschließlich der Computer, auf denen Ihre Connector-Agents und Sammler installiert sind.

Konfigurieren automatischer Updates für den SAP-Datenconnector-Agent (Vorschau)

Konfigurieren Sie automatische Updates für den Connector-Agent, entweder für alle vorhandenen Container oder einen bestimmten Container.

Die in diesem Abschnitt beschriebenen Befehle erstellen einen Cronjob, der täglich ausgeführt wird, nach Updates sucht und den Agent auf die aktuelle GA-Version aktualisiert. Container, in denen eine Vorschauversion des Agents ausgeführt wird, die neuer als die aktuelle GA-Version ist, werden nicht aktualisiert. Die Protokolldateien für automatische Updates befinden sich auf dem Sammlercomputer unter /var/log/sapcon-sentinel-register-autoupdate.log.

Nachdem Sie einmal automatische Updates für einen Agent konfiguriert haben, ist er immer für automatische Updates konfiguriert.

Wichtig

Die automatische Aktualisierung des SAP-Datenconnectors-Agents befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Konfigurieren automatischer Updates für alle vorhandenen Container

Um automatische Updates für alle vorhandenen Container mit einem verbundenen SAP-Agent zu aktivieren, führen Sie den folgenden Befehl auf dem Sammlercomputer aus:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Wenn Sie mehrere Containern verwenden, aktualisiert der Cronjob den Agent in allen Containern, die zum Zeitpunkt der Ausführung des ursprünglichen Befehls vorhanden waren. Wenn Sie nach der Ausführung des Cronjobs Container hinzufügen, werden diese nicht automatisch aktualisiert. Um diese Container zu aktualisieren, führen Sie einen zusätzlichen Befehl aus, um sie hinzuzufügen.

Konfigurieren automatischer Updates für einen bestimmten Container

Um automatische Updates für einen oder mehrere spezifische Container zu konfigurieren (z. B. wenn Sie Container nach dem Ausführen des ursprünglichen Automatisierungsbefehls hinzugefügt haben), führen Sie den folgenden Befehl auf dem Sammlercomputer aus:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Definieren Sie alternativ in der Datei /opt/sapcon/[SID oder Agent-GUID]/settings.json den auto_update-Parameter für jeden Container mit true.

Deaktivieren automatischer Updates

Um automatische Updates für einen oder mehrere Container zu deaktivieren, öffnen Sie die Datei /opt/sapcon/[SID oder Agent-GUID]/settings.json für die Bearbeitung und definieren den auto_update-Parameter für jeden Container mit false.

Manuelle Aktualisierung des SAP-Datenconnector-Agents

Um den Connector-Agent manuell zu aktualisieren, vergewissern Sie sich, dass Sie über die aktuellen Versionen der relevanten Bereitstellungsskripts aus dem GitHub-Repository für Microsoft Sentinel verfügen.

Weitere Informationen finden Sie in Referenz zur Updatedatei für den Datenconnector für die Microsoft Sentinel-Lösung für SAP-Anwendungen.

Führen Sie auf dem Computer des Datenconnector-Agents Folgendes aus:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Der Docker-Container des SAP-Datenconnectors auf Ihrem Computer wird aktualisiert.

Suchen Sie unbedingt nach allen verfügbaren Updates suchen, z. B. SAP-Änderungsanforderungen.

Aktualisieren Ihres Systems für Angriffsunterbrechungen

Automatische Angriffsunterbrechungen für SAP werden mit der einheitlichen Security Operations-Plattform im Microsoft Defender-Portal unterstützt und erfordert:

• Einen Arbeitsbereich, für den ein Onboarding in die einheitliche Security Operations-Plattform durchgeführt wurde.

• Einen Microsoft Sentinel-Datenconnector-Agent für SAP, Version 90847355 oder höher. Überprüfen Sie Ihre aktuelle Agent-Version, und aktualisieren Sie diese, falls erforderlich.

• Die folgenden Rollen in Azure und SAP:

  • Azure-Rollenanforderung: Der Identität Ihrer Datenconnector-Agent-VM muss die Azure-Rolle Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen zugewiesen werden. Überprüfen Sie diese Zuweisung, und weisen Sie diese Rolle bei Bedarf manuell zu.

  • SAP-Rollenanforderung: Die SAP-Rolle /MSFTSEN/SENTINEL_RESPONDER muss auf Ihr SAP-System angewandt und dem SAP-Benutzerkonto zugewiesen werden, das vom Datenconnector-Agent verwendet wird. Überprüfen Sie diese Zuweisung, und führen Sie bei Bedarf die Anwendung und Zuweisung der Rolle manuell durch.

In den folgenden Verfahren wird beschrieben, wie Sie diese Anforderungen erfüllen, falls sie noch nicht erfüllt sind.

Überprüfen der aktuellen Version Ihres Datenkonnektor-Agents

Führen Sie die folgende Abfrage auf der Microsoft Sentinel-Seite Protokolle aus, um die aktuelle Version Ihres Agents zu überprüfen:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Überprüfen auf erforderliche Azure-Rollen

Für die Angriffsunterbrechung für SAP müssen Sie der VM-Identität Ihres Agents bestimmte Berechtigungen für den Log Analytics-Arbeitsbereich zuweisen, der für Microsoft Sentinel aktiviert wurde, indem Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser verwenden.

Überprüfen Sie als erstes, ob Ihre Rollen bereits zugewiesen sind:

1. Suchen Sie die Objekt-ID Ihrer VM-Identität in Azure:

   1. Wechseln Sie zu Unternehmensanwendung>Alle Anwendungen, und wählen Sie Ihre VM oder den Namen der registrierten Anwendung aus, je nachdem, welche Art der Identität Sie für den Zugriff auf Ihren Schlüsseltresor verwenden.
   2. Kopieren Sie den Wert des Felds Objekt-ID, das mit dem kopierten Befehl verwendet werden soll.

2. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob diese Rollen bereits zugewiesen sind, und ersetzen Sie die Platzhalterwerte nach Bedarf.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Die Ausgabe zeigt eine Liste der Rollen, die der Objekt-ID zugewiesen sind.

Manuelles Zuweisen der erforderlichen Azure-Rollen

Wenn die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser der VM-Identität Ihres Agents noch nicht zugewiesen sind, führen Sie die folgenden Schritte aus, um sie manuell zuzuweisen. Wählen Sie die Registerkarte für das Azure-Portal oder die Befehlszeile aus, je nachdem, wie Ihr Agent bereitgestellt ist. Über die Befehlszeile bereitgestellte Agents werden nicht im Azure-Portal angezeigt, und Sie müssen die Befehlszeile verwenden, um die Rollen zuzuweisen.

Um dieses Verfahren auszuführen, benötigen Sie die Rolle „Ressourcengruppenbesitzer“ in Ihrem Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist.

Portal

1. Wechseln Sie in Microsoft Sentinel auf der Seite Konfiguration > Datenconnectors zu Ihrem Microsoft Sentinel für SAP-Datenconnector, und wählen Sie Connectorseite öffnen aus.

2. Suchen Sie im Bereich Konfiguration unter Schritt 1. Hinzufügen eines API-basierten Collector-Agents den Agent, den Sie aktualisieren, und wählen Sie die Schaltfläche Befehle anzeigen aus.

3. Kopieren Sie die angezeigten Rollenzuweisungsbefehle. Führen Sie diese auf Ihrer Agent-VM aus, und ersetzen Sie dabei die Object_ID-Platzhalter durch die Objekt-ID Ihrer VM-Identität.

   Mit diesen Befehlen werden die Azure-Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser der verwalteten Identität Ihrer VM zugewiesen, wobei nur der Bereich der Daten des angegebenen Agenten im Arbeitsbereich eingeschlossen wird.

Wichtig

Durch Zuweisen der Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser über die CLI werden die Rollen nur für den Bereich der Daten des angegebenen Agents im Arbeitsbereich zugewiesen. Dies ist die sicherste und daher die empfohlene Option.

Wenn Sie die Rollen über das Azure-Portal zuweisen möchten, wird empfohlen, die Rollen für einen kleinen Geltungsbereich (z. B. nur für den Microsoft Sentinel-Arbeitsbereich) zuzuweisen.

Befehlszeile

1. Rufen Sie die Agent-ID ab, indem Sie den folgenden Befehl ausführen und den <container_name>-Platzhalter durch den Namen Ihres Docker-Containers ersetzen:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Eine zurückgegebene Agent-ID kann z. B. 234fba02-3b34-4c55-8c0e-e6423ceb405b sein.

2. Weisen Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser zu, indem Sie die folgenden Befehle ausführen:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Ersetzen Sie Platzhalterwerte wie folgt:

   Platzhalter	Wert
   <OBJ_ID>	Die Objekt-ID Ihrer VM-Identität.
   <SUB_ID>	Die Abonnement-ID für den Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist
   <RESOURCE_GROUP_NAME>	Der Ressourcengruppenname für Ihren Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist
   <WS_NAME>	Der Name Ihres Log Analytics-Arbeitsbereichs, der für Microsoft Sentinel aktiviert ist
   <AGENT_IDENTIFIER>	Die Agent-ID, die nach dem Ausführen des Befehls im vorherigen Schritt angezeigt wird.

Anwenden und Zuweisen der SAP-Rolle „SENTINEL_RESPONDER“ zu Ihrem SAP-System

Wenden Sie die SAP-Rolle /MSFTSEN/SENTINEL_RESPONDER auf Ihr SAP-System an, und weisen Sie diese dem SAP-Benutzerkonto zu, das vom SAP-Datenconnector-Agent von Microsoft Sentinel verwendet wird.

So wenden Sie die SAP-Rolle /MSFTSEN/SENTINEL_RESPONDER an und weisen sie zu:

1. Laden Sie Rollendefinitionen aus der Datei /MSFTSEN/SENTINEL_RESPONDER in GitHub hoch.

2. Weisen Sie die Rolle /MSFTSEN/SENTINEL_RESPONDER dem SAP-Benutzerkonto zu, das vom SAP-Datenconnector-Agent von Microsoft Sentinel verwendet wird. Weitere Informationen finden Sie unter Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung.

   Alternativ können Sie die folgenden Autorisierungen manuell der aktuellen Rolle zuweisen, die bereits dem SAP-Benutzerkonto zugewiesen ist, das vom SAP-Datenconnector von Microsoft Sentinel verwendet wird. Diese Autorisierungen sind in der SAP-Rolle /MSFTSEN/SENTINEL_RESPONDER speziell für Angriffsunterbrechungsreaktionsaktionen enthalten.

   Autorisierungsobjekt	Feld	Wert
   S_RFC	RFC_TYPE	Funktionsmodul
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER Diese Funktion löscht keine Benutzer, sondern beendet die aktive Benutzersitzung (auch wenn der Name anderes vermuten lässt).
   S_USER_GRP	CLASS	* Es wird empfohlen, „S_USER_GRP CLASS“ durch die relevanten Klassen in Ihrer Organisation zu ersetzen, die Dialogbenutzer darstellen.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Weitere Informationen finden Sie unter Erforderliche ABAP-Autorisierungen.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

• Microsoft Sentinel-Lösung für SAP-Anwendungen bereitstellen
• Überwachen der Integrität Ihres SAP-Systems
• Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen