Actualización del agente del conector de datos de aplicaciones de SAP para Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se muestra cómo actualizar un conector de datos de Microsoft Sentinel para SAP ya existente a su versión más reciente para poder usar las características y mejoras más recientes.

Durante el proceso de actualización del agente del conector de datos, puede haber un breve tiempo de inactividad de aproximadamente 10 segundos. Para garantizar la integridad de los datos, una entrada de base de datos almacena la marca de tiempo del último registro capturado. Una vez completada la actualización, el proceso de captura de datos se reanuda desde el último registro capturado, lo que impide duplicados y garantiza un flujo de datos sin problemas.

Las actualizaciones automáticas o manuales descritas en este artículo son relevantes solo para el agente del conector de SAP y no para la solución de Microsoft Sentinel para SAP. Para actualizar correctamente la solución, el agente debe estar actualizado. La solución se actualiza por separado, como lo haría con cualquier otra solución de Microsoft Sentinel.

El contenido de este artículo es relevante para los equipos de seguridad, infraestructura y SAP BASIS.

Requisitos previos

Antes de comenzar:

• Asegúrese de que tiene todos los requisitos previos para implementar la solución de Microsoft Sentinel para aplicaciones SAP. Para más información, vea Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP.

• Asegúrese de que comprende los entornos y la arquitectura de SAP y Microsoft Sentinel, incluidas las máquinas donde están instalados los agentes y recopiladores del conector.

Configuración de actualizaciones automáticas para el agente del conector de datos de SAP (versión preliminar)

Configure las actualizaciones automáticas para el agente del conector, ya sea para todos los contenedores existentes o para un contenedor específico.

Los comandos descritos en esta sección crean un trabajo cron que se ejecuta diariamente, comprueba si hay actualizaciones y actualiza el agente a la versión más reciente de disponibilidad general. Los contenedores que ejecutan una versión preliminar del agente que es más reciente que la versión de disponibilidad general más reciente no se actualizan. Los archivos de registro de las actualizaciones automáticas se encuentran en la máquina del recopilador, en /var/log/sapcon-sentinel-register-autoupdate.log.

Después de configurar las actualizaciones automáticas de un agente una vez, siempre está configurado para las actualizaciones automáticas.

Importante

La actualización automática del agente del conector de datos de SAP se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Configuración de actualizaciones automáticas para todos los contenedores existentes

Para activar las actualizaciones automáticas de todos los contenedores existentes con un agente SAP conectado, ejecute el siguiente comando en la máquina del recopilador:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Si trabaja con varios contenedores, el trabajo cron actualiza el agente en todos los contenedores que existían en el momento en que ejecutó el comando original. Si agrega contenedores después de crear el trabajo cron inicial, los nuevos contenedores no se actualizan automáticamente. Para actualizar estos contenedores, ejecute un comando adicional para agregarlos.

Configuración de actualizaciones automáticas en un contenedor específico

Para configurar las actualizaciones automáticas de un contenedor o contenedores específicos, como si agregó contenedores después de ejecutar el comando de automatización original, ejecute el siguiente comando en la máquina del recopilador:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Como alternativa, en el archivo /opt/sapcon/[GUID del agente o SID]/settings.json, defina el parámetro auto_update para cada uno de los contenedores como true.

Desactivar las actualizaciones automáticas

Para desactivar las actualizaciones automáticas de un contenedor o contenedores, abra el archivo /opt/sapcon/[SID o GUID del agente]/settings.json para editar y definir el parámetro auto_update para cada uno de los contenedores como false.

Actualización manual del agente del conector de datos de SAP

Para actualizar manualmente el agente del conector, asegúrese de que tiene las versiones más recientes de los scripts de implementación correspondientes del repositorio de GitHub de Microsoft Sentinel.

Para obtener más información, consulte la Referencia del archivo de actualización del agente del conector de datos de la solución Microsoft Sentinel para aplicaciones SAP.

En la máquina del agente del conector de datos, ejecute:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

El contenedor de Docker del conector de datos de SAP en la máquina está actualizado.

Asegúrese de comprobar si hay otras actualizaciones disponibles, como solicitudes de cambio de SAP.

Actualización del sistema para la interrupción de ataques

La interrupción automática de ataques para SAP se admite con la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender y requiere:

• Un área de trabajo incorporada a la plataforma unificada de operaciones de seguridad.

• Un agente conector de datos Microsoft Sentinel SAP, versión 90847355 o superior. Compruebe la versión actual del agente y actualícela si es necesario.

• Los siguientes roles en Azure y SAP:

  • Requisito de rol de Azure: la identidad de la máquina virtual del agente del conector de datos debe asignarse al rol de Azure Operador del agente de aplicaciones empresariales de Microsoft Sentinel. Compruebe esta asignación y asigne este rol manualmente si es necesario.

  • Requisito de rol de SAP: el rol SAP /MSFTSEN/SENTINEL_RESPONDER debe aplicarse al sistema SAP y asignarse a la cuenta de usuario SAP que usa el agente conector de datos. Compruebe esta asignación y aplique y asigne el rol si es necesario.

Los procedimientos siguientes describen cómo cumplir estos requisitos si aún no se cumplen.

Compruebe la versión actual del agente de conector de datos

Para comprobar la versión actual de su agente, ejecute la siguiente consulta desde la página de Registros de Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Compruebe los roles de Azure necesarios

La interrupción de ataques para SAP requiere que conceda a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Log Analytics habilitada para Microsoft Sentinel mediante los roles de Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector.

En primer lugar, compruebe si los roles ya están asignados:

1. Busque el id. del objeto de identidad de máquina virtual en Azure:

   1. Vaya a Aplicación empresarial>Todas las aplicaciones y seleccione el nombre de la máquina virtual o de la aplicación registrada, en función del tipo de identidad que usa para acceder al almacén de claves.
   2. Copie el valor del campo Id. de objeto para usarlo con su comando copiado.

2. Ejecute el siguiente comando para comprobar si estos roles ya están asignados, reemplazando los valores del marcador de posición según sea necesario.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   La salida muestra una lista de los roles asignados al id. de objeto.

Asigne manualmente los roles de Azure necesarios

Si los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector aún no están asignados a la identidad de máquina virtual del agente, siga estos pasos para asignarlos manualmente. Seleccione la pestaña de Azure Portal o la línea de comandos, en función de cómo se implemente el agente. Los agentes implementados desde la línea de comandos no se muestran en Azure Portal, y debe usar la línea de comandos para asignar los roles.

Para realizar este procedimiento, debe ser propietario del grupo de recursos en el área de trabajo de Log Analytics habilitada para Microsoft Sentinel.

Portal

1. En Microsoft Sentinel, en la página Configuración > Conectores de datos, vaya a su conector de datos de Microsoft Sentinel para SAP y seleccione Abrir la página del conector.

2. En el área Configuración, en el paso 1. Agregue un agente recopilador basado en API, busque el agente que va a actualizar y seleccione el botón Mostrar comandos.

3. Copie los comandos de asignación de roles que se muestran. Ejecútelos en la máquina virtual del agente remplazando los marcadores de posición Object_ID por el id. de objeto de identidad de su máquina virtual.

   Estos comandos asignan los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector de Azure a la identidad administrada de su máquina virtual, incluyendo solo el ámbito de los datos del agente especificado en el área de trabajo.

Importante

La asignación de los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector a través de la CLI asigna los roles solo en el ámbito de los datos del agente especificado en el área de trabajo. Esta es la opción más segura y, por tanto, recomendada.

Si debe asignar los roles a través de Azure Portal, se recomienda asignar los roles en un ámbito pequeño, como solo en el área de trabajo de Log Analytics habilitada para Microsoft Sentinel.

Línea de comandos

1. Para obtener el id. del agente, ejecute el comando siguiente remplazando el marcador de posición <container_name> por el nombre de su contenedor Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Por ejemplo, un identificador de agente devuelto podría ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Asigne los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector ejecutando los siguientes comandos:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Reemplace los valores de marcador de posición como se indica a continuación:

   Marcador	Valor
   <OBJ_ID>	Identificador del objeto de identidad de la máquina virtual.
   <SUB_ID>	El identificador de suscripción del área de trabajo de Log Analytics habilitada para Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Nombre del grupo de recursos para el área de trabajo de Log Analytics habilitada para Microsoft Sentinel
   <WS_NAME>	Nombre del área de trabajo de Log Analytics habilitada para Microsoft Sentinel
   <AGENT_IDENTIFIER>	El identificador del agente que se muestra después de ejecutar el comando en el paso anterior.

Aplicar y asignar el rol de SAP SENTINEL_RESPONDER al sistema SAP

Aplique el rol de SAP /MSFTSEN/SENTINEL_RESPONDER a su sistema SAP y asígnelo a la cuenta de usuario de SAP utilizada por el agente de conector de datos de SAP de Microsoft Sentinel.

Para aplicar y asignar el rol de SAP /MSFTSEN/SENTINEL_RESPONDER:

1. Cargue las definiciones de la función del archivo /MSFTSEN/SENTINEL_RESPONDER en GitHub.

2. Asigne la función /MSFTSEN/SENTINEL_RESPONDER a la cuenta de usuario SAP utilizada por el agente conector de datos SAP de Microsoft Sentinel. Para obtener más información, consulte Configuración del sistema SAP para la solución Microsoft Sentinel.

   Como alternativa, asigne manualmente las siguientes autorizaciones a la función actual ya asignada a la cuenta de usuario SAP utilizada por el conector de datos SAP de Microsoft Sentinel. Estas autorizaciones se incluyen en la función SAP /MSFTSEN/SENTINEL_RESPONDER específicamente para acciones de respuesta a la interrupción de ataques.

   Objeto de autorización	Campo	Value
   S_RFC	RFC_TYPE	Módulo de función
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER A diferencia de su nombre, esta función no elimina usuarios, sino que finaliza la sesión de usuario activa.
   S_USER_GRP	CLASS	* Recomendamos sustituir S_USER_GRP CLASS por las clases relevantes de su organización que representen a los usuarios de diálogo.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Para obtener más información, consulta Autorizaciones de ABAP necesarias.

Contenido relacionado

Para más información, vea:

• Implementación de Solución Microsoft Sentinel para aplicaciones de SAP
• Supervisar el estado del sistema SAP
• Solución de problemas de implementación de la Solución Microsoft Sentinel para aplicaciones de SAP