Aggiornare l'agente del connettore dati di Microsoft Sentinel per applicazioni SAP

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra come aggiornare un connettore dati di Microsoft Sentinel per SAP già esistente alla versione più recente in modo da poter usare le funzionalità e i miglioramenti più recenti.

Durante il processo di aggiornamento dell'agente del connettore dati, potrebbe verificarsi un breve tempo di inattività di circa 10 secondi. Per garantire l'integrità dei dati, una voce di database archivia il timestamp dell'ultimo log recuperato. Al termine dell'aggiornamento, il processo di recupero dei dati riprende dall'ultimo log recuperato, impedendo i duplicati e garantendo un flusso di dati senza interruzioni.

Gli aggiornamenti automatici o manuali descritti in questo articolo sono rilevanti solo per l'agente connettore SAP e non per la soluzione Microsoft Sentinel per le applicazioni SAP. Per aggiornare correttamente la soluzione, l'agente deve essere aggiornato. La soluzione viene aggiornata separatamente, come qualsiasi altra soluzione di Microsoft Sentinel.

Il contenuto di questo articolo è rilevante per i team di sicurezza, infrastruttura e SAP BASIS .

Nota

Questo articolo è rilevante solo per l'agente del connettore dati e non è rilevante per la soluzione SAP senza agente (anteprima limitata).

Prerequisiti

Prima di iniziare:

• Assicurarsi di avere tutti i prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP. Per altre informazioni, vedere Prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.

• Assicurarsi di comprendere l'architettura e gli ambienti SAP e Microsoft Sentinel, inclusi i computer in cui sono installati gli agenti e gli agenti di raccolta del connettore.

Configurare gli aggiornamenti automatici per l'agente del connettore dati SAP (anteprima)

Configurare gli aggiornamenti automatici per l'agente connettore, per tutti i contenitori esistenti o per un contenitore specifico.

I comandi descritti in questa sezione creano un processo cron che viene eseguito ogni giorno, verifica la disponibilità di aggiornamenti e aggiorna l'agente alla versione disponibile a livello generale più recente. I contenitori che eseguono una versione di anteprima dell'agente più recente rispetto alla versione ga più recente non vengono aggiornati. I file di log per gli aggiornamenti automatici si trovano nel computer dell'agente di raccolta, in /var/log/sapcon-sentinel-register-autoupdate.log.

Dopo aver configurato gli aggiornamenti automatici per un agente una sola volta, viene sempre configurato per gli aggiornamenti automatici.

Importante

L'aggiornamento automatico dell'agente del connettore dati SAP è attualmente in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Configurare gli aggiornamenti automatici per tutti i contenitori esistenti

Per attivare gli aggiornamenti automatici per tutti i contenitori esistenti con un agente SAP connesso, eseguire il comando seguente nel computer dell'agente di raccolta:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Se si usano più contenitori, il processo cron aggiorna l'agente in tutti i contenitori esistenti al momento dell'esecuzione del comando originale. Se si aggiungono contenitori dopo aver creato il processo cron iniziale, i nuovi contenitori non vengono aggiornati automaticamente. Per aggiornare questi contenitori, eseguire un comando aggiuntivo per aggiungerli.

Configurare gli aggiornamenti automatici in un contenitore specifico

Per configurare gli aggiornamenti automatici per un contenitore o contenitori specifici, ad esempio se sono stati aggiunti contenitori dopo l'esecuzione del comando di automazione originale, eseguire il comando seguente nel computer dell'agente di raccolta:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

In alternativa, nel file /opt/sapcon/[SID o AGENT GUID]/settings.json definire il auto_update parametro per ognuno dei contenitori come true.

Disattivare gli aggiornamenti automatici

Per disattivare gli aggiornamenti automatici per un contenitore o contenitori, aprire il file /opt/sapcon/[SID o AGENT GUID]/settings.json per la modifica e definire il auto_update parametro per ognuno dei contenitori come false.

Aggiornare manualmente l'agente del connettore dati SAP

Per aggiornare manualmente l'agente connettore, assicurarsi di avere le versioni più recenti degli script di distribuzione pertinenti dal repository GitHub di Microsoft Sentinel.

Per altre informazioni, vedere La soluzione Microsoft Sentinel per informazioni di riferimento sui file di aggiornamento dell'agente del connettore dati delle applicazioni SAP.

Nel computer agente del connettore dati eseguire:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Il contenitore Docker del connettore dati SAP nel computer viene aggiornato.

Assicurarsi di verificare la presenza di altri aggiornamenti disponibili, ad esempio le richieste di modifica SAP.

Aggiornare il sistema per l'interruzione degli attacchi

L'interruzione automatica degli attacchi per SAP è supportata con la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender e richiede:

• Un'area di lavoro di cui è stato eseguito l'onboarding nella piattaforma unificata per le operazioni di sicurezza.

• Agente del connettore dati SAP di Microsoft Sentinel, versione 90847355 o versione successiva. Controllare la versione corrente dell'agente e aggiornarla, se necessario.

• I ruoli seguenti in Azure e SAP:

  • Requisito del ruolo di Azure: l'identità della macchina virtuale dell'agente del connettore dati deve essere assegnata al ruolo Operatore agente applicazioni aziendali di Microsoft Sentinel. Verificare questa assegnazione e assegnare questo ruolo manualmente , se necessario.

  • Requisito del ruolo SAP: il ruolo SAP /MSFTSEN/SENTINEL_RESPONDER deve essere applicato al sistema SAP e assegnato all'account utente SAP usato dall'agente del connettore dati. Verificare questa assegnazione e applicare e assegnare il ruolo , se necessario.

Le procedure seguenti descrivono come soddisfare questi requisiti se non sono già soddisfatti.

Verificare la versione corrente dell'agente del connettore dati

Per verificare la versione corrente dell'agente, eseguire la query seguente dalla pagina Log di Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Per altre informazioni sugli elementi seguenti usati nell'esempio precedente, vedere la documentazione di Kusto:

• Operatore where
• Operatore summarize
• Operatore project
• Funzione di aggregazione arg_max()
• Funzione di aggregazione make_set()

Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).

Altre risorse:

• Riferimento rapido sul linguaggio KQL
• Risorse formative del linguaggio di query Kusto

Verificare la presenza dei ruoli di Azure necessari

L'interruzione degli attacchi per SAP richiede di concedere all'identità della macchina virtuale dell'agente autorizzazioni specifiche per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel, usando i ruoli Agente di applicazioni aziendali di Microsoft Sentinel e Lettore .

Controllare prima di tutto se i ruoli sono già assegnati:

1. Trovare l'ID oggetto identità della VM in Azure:

   1. Passare a Applicazione aziendale>Tutte le applicazionie selezionare la macchina virtuale o il nome dell'applicazione registrata, a seconda del tipo di identità usato per accedere all'insieme di credenziali delle chiavi.
   2. Copiare il valore del campo ID oggetto da usare con il comando copiato.

2. Eseguire il comando seguente per verificare se questi ruoli sono già assegnati, sostituendo i valori segnaposto in base alle esigenze.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   L'output mostra un elenco dei ruoli assegnati all'ID oggetto.

Assegnare manualmente i ruoli di Azure necessari

Se l'operatore dell'agente di applicazioni aziendali di Microsoft Sentinel e il Lettore non sono ancora assegnati all'identità della macchina virtuale dell'agente, seguire questa procedura per assegnarli manualmente. Selezionare la scheda per il portale di Azure o la riga di comando, a seconda della modalità di distribuzione dell'agente. Gli agenti distribuiti dalla riga di comando non vengono visualizzati nel portale di Azure ed è necessario usare la riga di comando per assegnare i ruoli.

Per eseguire questa procedura, è necessario essere un proprietario del gruppo di risorse nell'area di lavoro Log Analytics abilitata per Microsoft Sentinel.

Portale

1. In Microsoft Sentinel, nella pagina Configurazione > connettori dati passare al connettore dati Microsoft Sentinel per SAP e selezionare Aprire la pagina del connettore.

2. Nell'area Configurazione, nel passaggio 1. Aggiungere un agente dell'agente di raccolta basato su API, individuare l'agente che si sta aggiornando e selezionare il pulsante Mostra comandi.

3. Copiare i comandi assegnazione di ruolo visualizzati. Eseguirli nella macchina virtuale dell'agente, sostituendo i segnaposto Object_ID con l'ID oggetto identità della VM.

   Questi comandi assegnano i ruoli di Azure Agente e Lettore di applicazioni aziendali di Microsoft Sentinel all'identità gestita della VM, incluso solo l'ambito dei dati dell'agente specificato nell'area di lavoro.

Importante

L'assegnazione dei ruoli Operatore agente e Lettore di applicazioni aziendali di Microsoft Sentinel Business Applications tramite l'interfaccia della riga di comando assegna i ruoli solo nell'ambito dei dati dell'agente specificato nell'area di lavoro. Questa è l'opzione più sicura e pertanto consigliata.

Se è necessario assegnare i ruoli tramite il portale di Azure, è consigliabile assegnare i ruoli in un ambito di piccole dimensioni, ad esempio solo nell'area di lavoro Log Analytics abilitata per Microsoft Sentinel.

Riga di comando

1. Ottenere l'ID agente eseguendo il comando seguente, sostituendo il segnaposto <container_name> con il nome del contenitore Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Ad esempio, un ID agente restituito potrebbe essere 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Assegnare i ruoli Operatore e Lettore dell'agente di applicazioni aziendali di Microsoft Sentinel eseguendo i seguenti comandi:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Sostituire i valori segnaposto come segue:

   Segnaposto	Valore
   <OBJ_ID>	ID oggetto identità della VM.
   <SUB_ID>	ID sottoscrizione per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Nome del gruppo di risorse per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel
   <WS_NAME>	Nome dell'area di lavoro Log Analytics abilitata per Microsoft Sentinel
   <AGENT_IDENTIFIER>	ID agente visualizzato dopo l'esecuzione del comando nel passaggio precedente.

Applicare e assegnare il ruolo SAP SENTINEL_RESPONDER al sistema SAP

Applicare il ruolo SAP /MSFTSEN/SENTINEL_RESPONDER al sistema SAP e assegnarlo all'account utente SAP usato dall'agente del connettore dati SAP di Microsoft Sentinel.

Per applicare e assegnare il ruolo SAP /MSFTSEN/SENTINEL_RESPONDER:

1. Caricare definizioni di ruolo dal file /MSFTSEN/SENTINEL_RESPONDER in GitHub.

2. Assegnare il ruolo /MSFTSEN/SENTINEL_RESPONDER all'account utente SAP usato dall'agente del connettore dati SAP di Microsoft Sentinel. Per altre informazioni, vedere Configurare il sistema SAP per la soluzione Microsoft Sentinel.

   In alternativa, assegnare manualmente le autorizzazioni seguenti al ruolo corrente già assegnato all'account utente SAP usato dal connettore dati SAP di Microsoft Sentinel. Queste autorizzazioni sono incluse nel ruolo SAP /MSFTSEN/SENTINEL_RESPONDER specificamente per le azioni di risposta alle interruzioni degli attacchi.

   Oggetto Autorizzazione	Campo	valore
   S_RFC	RFC_TYPE	Modulo funzione
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER A differenza del nome, questa funzione non elimina gli utenti, ma termina la sessione utente attiva.
   S_USER_GRP	CLASS	* È consigliabile sostituire S_USER_GRP CLASS con le classi pertinenti nell'organizzazione che rappresentano gli utenti del dialogo.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Per altre informazioni, vedere Autorizzazioni ABAP necessarie.

Contenuto correlato

Per altre informazioni, vedi:

• Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP
• Monitorare l'integrità del sistema SAP
• Risolvere i problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP