SAP アプリケーション向け Microsoft Sentinel データ コネクタ エージェントを更新する
この記事では、最新の機能と機能強化を使用できるように、既存の SAP 向け Microsoft Sentinel データ コネクタを最新バージョンに更新する方法について説明します。
データ コネクタ エージェントの更新プロセス中、約 10 秒の短いダウンタイムが発生する可能性があります。 データ整合性を確保するために、データベース エントリには、最後にフェッチされたログのタイムスタンプが格納されます。 更新が完了すると、データ フェッチ プロセスは、最後にフェッチされたログから再開され、重複を防ぎ、シームレスなデータ フローが確保されます。
この記事で説明する自動または手動の更新は、SAP コネクタ エージェントにのみ関係し、SAP アプリケーション向け Microsoft Sentinel ソリューションには関係しません。 ソリューションを正常に更新するには、エージェントが最新である必要があります。 他の Microsoft Sentinel ソリューションと同様、このソリューションは個別に更新されます。
この記事の内容は、セキュリティ、インフラストラクチャ、SAP BASIS チームに関係します。
前提条件
開始する前に次の操作を実行してください。
SAP アプリケーション向け Microsoft Sentinel ソリューションをデプロイするための前提条件をすべて満たしていることを確認してください。 詳しくは、「SAP アプリケーション用の Microsoft Sentinel ソリューションをデプロイするための前提条件」をご覧ください。
必ず、コネクタ エージェントとコレクターがインストールされているマシンを含め、SAP および Microsoft Sentinel の環境とアーキテクチャを理解しておいてください。
SAP データ コネクタ エージェントの自動更新 (プレビュー) を構成する
既存のすべてのコンテナーまたは 特定のコンテナーに対して、コネクタ エージェントの自動更新を構成します。
このセクションで説明するコマンドは、毎日実行され、更新プログラムをチェックし、エージェントを最新の GA バージョンに更新する cron ジョブを作成します。 最新の GA バージョンよりも新しいエージェントのプレビュー バージョンを実行しているコンテナーは更新されません。 自動更新のログ ファイルは、コレクター マシンの /var/log/sapcon-sentinel-register-autoupdate.log にあります。
エージェントの自動更新を 1 回構成すると、常に自動更新用に構成されます。
重要
SAP データ コネクタ エージェントの自動更新は現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
既存のすべてのコンテナーに対して自動更新を構成する
SAP エージェントが接続されている既存のすべてのコンテナーに対して自動更新を有効にするには、コレクター マシンで次のコマンドを実行します。
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
複数のコンテナーを使用している場合、cron ジョブにより、元のコマンドを実行した時点で存在していたすべてのコンテナーでエージェントが更新されます。 最初の cron ジョブを作成した後にコンテナーを追加すると、新しいコンテナーは自動的に更新されません。 これらのコンテナーを更新するには、追加のコマンドを実行して、それらを追加します。
特定のコンテナーで自動更新を構成する
元のオートメーション コマンドを実行した後にコンテナーを追加した場合などに、1 つまたは複数の特定のコンテナーに対して自動更新を構成するには、コレクター マシンで次のコマンドを実行します。
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
または、"/opt/sapcon/[SID または Agent GUID]/settings.json" ファイルで、各コンテナーの auto_update パラメーターを true として定義します。
自動更新を無効にする
1 つまたは複数のコンテナーに対して自動更新を無効にするには、編集用に "/opt/sapcon/[SID または Agent GUID]/settings.json" ファイルを開き、各コンテナーの auto_update パラメーターを false として定義します。
SAP データ コネクタ エージェントを手動で更新する
コネクタ エージェントを手動で更新するには、Microsoft Sentinel GitHub リポジトリから関連するデプロイ スクリプトの最新バージョンを入手していることを確認します。
詳細については、「SAP アプリケーション向け Microsoft Sentinel ソリューションデータ コネクタ エージェントの更新ファイル リファレンス」を参照してください。
データ コネクタ エージェント マシンで、次のコマンドを実行します。
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
マシン上の SAP データ コネクタ Docker コンテナーが更新されます。
SAP 変更要求など、他の使用可能な更新プログラムがないかどうかを必ず確認してください。
攻撃の中断のためにシステムを更新する
SAP の自動攻撃中断は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームでサポートされていて、次のものが必要です。
Microsoft Sentinel SAP データ コネクタ エージェント、バージョンは 90847355 以降。 現在のエージェントのバージョンを確認し、必要に応じて更新してください。
Azure と SAP の次のロール:
Azure のロール要件: データ コネクタ エージェント VM の ID を Microsoft Sentinel Business Applications エージェント オペレーター Azure ロールに割り当てる必要があります。 この割り当てを確認し、必要に応じて、このロールを手動で割り当てます。
SAP のロール要件: /MSFTSEN/SENTINEL_RESPONDER SAP ロールが、SAP システムに適用されており、データ コネクタ エージェントによって使用されている SAP ユーザー アカウントに割り当てられている必要があります。 この割り当てを確認し、必要に応じて、このロールを適用して割り当てます。
次の手順では、これらの要件がまだ満たされていない場合に、それらを満たす方法について説明します。
現在のデータ コネクタ エージェントのバージョンを確認する
現在のエージェントのバージョンを確認するには、Microsoft Sentinel の [ログ] ページから次のクエリを実行します。
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
必要な Azure ロールを確認する
SAP の攻撃中断には、Microsoft Sentinel Business Applications エージェント オペレーターと閲覧者のロールを使用して、Microsoft Sentinel に対して有効になっている Log Analytics ワークスペースへの特定のアクセス許可をエージェントの VM ID に付与する必要があります。
まず、次のようにロールが既に割り当てられているかどうかを確認します。
Azure で、次のように VM ID のオブジェクト ID を見つけます。
- [エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動し、キー コンテナーへのアクセスに使用する ID の種類に応じて、VM または登録済みのアプリケーション名を選びます。
- コピーしたコマンドで使うため、[オブジェクト ID] フィールドの値をコピーします。
必要に応じてプレースホルダーの値を置き換えて次のコマンドを実行することで、これらのロールが既に割り当てられているかどうかを確認します。
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>出力には、オブジェクト ID に割り当てられているロールの一覧が表示されます。
必要な Azure ロールを手動で割り当てる
Microsoft Sentinel Business Applications エージェント オペレーター ロールと閲覧者ロールがまだエージェントの VM ID に割り当てられていない場合は、次の手順を使用して手動で割り当てます。 エージェントのデプロイ方法に応じて、Azure portal またはコマンド ラインのタブを選択してください。 コマンド ラインからデプロイされたエージェントについては、Azure portal に表示されないためコマンド ラインを使用してロールを割り当てる必要があります。
この手順を実行するには、Microsoft Sentinel に対して有効になっている Log Analytics ワークスペースのリソース グループ所有者である必要があります。
Microsoft Sentinel の [構成] > [データ コネクタ] ページで、[SAP 向け Microsoft Sentinel] データ コネクタに移動し、[コネクタ ページを開く] を選びます。
[構成] 領域の [1.Add an API based collector agent] (1. API ベースのコレクター エージェントを追加) で、更新するエージェントを見つけて、[Show commands] (コマンドを表示する) ボタンを選びます。
表示されたロールの割り当てコマンドをコピーします。 それを、
Object_IDプレースホルダーをご使用の VM ID オブジェクト ID に置き換えてから、エージェント VM で実行します。このコマンドは、Microsoft Sentinel Business Applications エージェント オペレーターと閲覧者の Azure ロールを、VM のマネージド ID に割り当てます。これは、ワークスペース内の指定されたエージェントのデータのスコープのみが対象です。
重要
CLI 経由で Microsoft Sentinel Business Applications エージェント オペレーター ロールと閲覧者ロールを割り当てると、ワークスペース内の指定されたエージェントのデータのスコープに対してのみ、ロールが割り当てられます。 これは最も安全であるため、推奨されるオプションです。
Azure portal を使用してロールを割り当てる必要がある場合は、小さなスコープ (Microsoft Sentinel に対して有効になっている Log Analytics ワークスペースのみなど) にロールを割り当てることをお勧めします。
SAP システムに SENTINEL_RESPONDER SAP ロールを適用して割り当てる
SAP システムに /MSFTSEN/SENTINEL_RESPONDER SAP ロールを適用し、それを Microsoft Sentinel の SAP データ コネクタ エージェントが使用する SAP ユーザー アカウントに割り当てます。
/MSFTSEN/SENTINEL_RESPONDER SAP ロールを適用して割り当てるには、次のようにします。
GitHub の /MSFTSEN/SENTINEL_RESPONDER ファイルからロール定義をアップロードします。
/MSFTSEN/SENTINEL_RESPONDER ロールを、Microsoft Sentinel の SAP データ コネクタ エージェントによって使用されている SAP ユーザー アカウントに割り当てます。 詳細については、「Microsoft Sentinel ソリューション用に SAP システムを構成する」を参照してください。
または、Microsoft Sentinel の SAP データ コネクタによって使用されている SAP ユーザー アカウントに既に割り当てられている現在のロールに、次の承認を手動で割り当てます。 これらの承認は、攻撃中断対応アクション専用の /MSFTSEN/SENTINEL_RESPONDER SAP ロールに含まれています。
認可オブジェクト フィールド 値 S_RFC RFC_TYPE 関数モジュール S_RFC RFC_NAME BAPI_USER_LOCK S_RFC RFC_NAME BAPI_USER_UNLOCK S_RFC RFC_NAME TH_DELETE_USER
名前とは対照的に、この関数を使用してもユーザーは削除されませんが、アクティブなユーザー セッションは終了します。S_USER_GRP CLASS *
S_USER_GRP CLASS は、ダイアログ ユーザーを表す組織内の関連クラスに置き換えることをお勧めします。S_USER_GRP ACTVT 03 S_USER_GRP ACTVT 05
詳細については、「必要な ABAP 承認」を参照してください。
関連するコンテンツ
詳細については、以下を参照してください: