SAP 애플리케이션용 Microsoft Sentinel 데이터 커넥터 에이전트 업데이트

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 최신 기능 및 향상된 기능을 사용할 수 있도록 SAP 데이터 커넥터용 기존 Microsoft Sentinel을 최신 버전으로 업데이트하는 방법을 보여 줍니다.

데이터 커넥터 에이전트 업데이트 프로세스 중에 약 10초의 짧은 가동 중지 시간이 있을 수 있습니다. 데이터 무결성을 보장하기 위해 데이터베이스 항목은 마지막으로 가져온 로그의 타임스탬프를 저장합니다. 업데이트가 완료되면 데이터 페치 프로세스가 인출된 마지막 로그에서 다시 시작되어 중복을 방지하고 원활한 데이터 흐름을 보장합니다.

이 문서에 설명된 자동 또는 수동 업데이트는 SAP 애플리케이션용 Microsoft Sentinel 솔루션이 아니라 SAP 커넥터 에이전트와만 관련이 있습니다. 솔루션을 성공적으로 업데이트하려면 에이전트가 최신 상태여야 합니다. 솔루션은 다른 Microsoft Sentinel 솔루션과 마찬가지로 별도로 업데이트됩니다.

이 문서의 콘텐츠는 보안, 인프라 및 SAP BASIS 팀과 관련이 있습니다.

필수 조건

시작하기 전에:

• SAP 애플리케이션용 Microsoft Sentinel 솔루션을 배포하기 위한 모든 필수 구성 요소가 있는지 확인합니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포를 위한 필수 조건을 참조하세요.

• 커넥터 에이전트 및 수집기가 설치된 컴퓨터를 포함하여 SAP 및 Microsoft Sentinel 환경 및 아키텍처를 이해해야 합니다.

SAP 데이터 커넥터 에이전트에 대한 자동 업데이트 구성(미리 보기)

모든 기존 컨테이너 또는 특정 컨테이너에 대해 커넥터 에이전트에 대한 자동 업데이트를 구성합니다.

이 섹션에 설명된 명령은 매일 실행되고, 업데이트를 확인하고, 에이전트를 최신 GA 버전으로 업데이트하는 cron 작업을 만듭니다. 최신 GA 버전보다 최신 에이전트의 미리 보기 버전을 실행하는 컨테이너는 업데이트되지 않습니다. 자동 업데이트에 대한 로그 파일은 수집기 컴퓨터 의 /var/log/sapcon-sentinel-register-autoupdate.log 있습니다.

에이전트에 대한 자동 업데이트를 한 번 구성한 후에는 항상 자동 업데이트에 대해 구성됩니다.

Important

SAP 데이터 커넥터 에이전트 자동 업데이트는 현재 미리 보기에 있습니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

모든 기존 컨테이너에 대한 자동 업데이트 구성

연결된 SAP 에이전트를 사용하여 모든 기존 컨테이너에 대해 자동 업데이트를 설정하려면 수집기 컴퓨터에서 다음 명령을 실행합니다.

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

여러 컨테이너로 작업하는 경우 cron 작업은 원래 명령을 실행했을 때 존재했던 모든 컨테이너에서 에이전트를 업데이트합니다. 초기 cron 작업을 만든 후 컨테이너를 추가하면 새 컨테이너가 자동으로 업데이트되지 않습니다. 이러한 컨테이너를 업데이트하려면 추가 명령을 실행하여 추가합니다.

특정 컨테이너에서 자동 업데이트 구성

원래 자동화 명령을 실행한 후 컨테이너를 추가한 경우와 같이 특정 컨테이너 또는 컨테이너에 대한 자동 업데이트를 구성하려면 수집기 컴퓨터에서 다음 명령을 실행합니다.

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

또는 /opt/sapcon/[SID 또는 에이전트 GUID]/settings.json 파일에서 각 컨테이너에 대한 매개 변수를 다음과 같이 true정의 auto_update 합니다.

자동 업데이트 끄기

컨테이너 또는 컨테이너에 대한 자동 업데이트를 해제하려면 편집을 위해 /opt/sapcon/[SID 또는 에이전트 GUID]/settings.json 파일을 열고 각 컨테이너에 대한 매개 변수를 다음과 같이 false정의 auto_update 합니다.

수동으로 SAP 데이터 커넥터 에이전트 업데이트

커넥터 에이전트를 수동으로 업데이트하려면 Microsoft Sentinel GitHub 리포지토리의 최신 버전의 관련 배포 스크립트가 있는지 확인합니다.

자세한 내용은 SAP 애플리케이션 데이터 커넥터 에이전트 업데이트 파일 참조에 대한 Microsoft Sentinel 솔루션을 참조하세요.

데이터 커넥터 에이전트 컴퓨터에서 다음을 실행합니다.

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

머신의 SAP 데이터 커넥터 Docker 컨테이너가 업데이트됩니다.

SAP 변경 요청과 같은 사용 가능한 다른 업데이트를 확인해야 합니다.

공격 중단에 대비해 시스템 업데이트

SAP에 대한 자동 공격 중단은 Microsoft Defender 포털의 통합 보안 운영 플랫폼을 통해 지원되며 다음이 필요합니다.

• 통합 보안 운영 플랫폼에 온보딩된 작업 영역.

• Microsoft Sentinel SAP 데이터 커넥터 에이전트, 버전 90847355 이상. 현재 에이전트 버전을 확인하고 필요한 경우 업데이트합니다.

• Azure 및 SAP에서 다음 역할을 수행합니다.

  • Azure 역할 요구 사항: 데이터 커넥터 에이전트 VM의 ID를 Microsoft Sentinel Business Applications 에이전트 운영자 Azure 역할에 할당해야 합니다. 필요한 경우 이 할당을 확인하고 이 역할을 수동으로 할당합니다.

  • SAP 역할 요구 사항: /MSFTSEN/SENTINEL_RESPONDER SAP 역할은 SAP 시스템에 적용되고 데이터 커넥터 에이전트에서 사용하는 SAP 사용자 계정에 할당되어야 합니다. 필요한 경우 이 할당 을 확인하고 역할을 적용하고 할당합니다.

다음 절차에서는 아직 충족되지 않은 경우 이러한 요구 사항을 충족하는 방법을 설명합니다.

현재 데이터 커넥터 에이전트 버전을 확인합니다.

현재 에이전트 버전을 확인하려면 Microsoft Sentinel 로그 페이지에서 다음 쿼리를 실행하세요.

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

필수 Azure 역할 확인

SAP에 대한 공격 중단을 위해서는 Microsoft Sentinel Business Applications 에이전트 운영자 및 판독기 역할을 사용하여 Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역에 대한 특정 권한으로 에이전트의 VM ID를 부여해야 합니다.

먼저 역할이 이미 할당되었는지 확인합니다.

1. Azure에서 VM ID 개체 ID를 찾습니다.

   1. 엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동하여 키 자격 증명 모음에 액세스하는 데 사용하는 ID 유형에 따라 VM 또는 등록된 애플리케이션 이름을 선택합니다.
   2. 복사한 명령에 사용할 개체 ID 필드의 값을 복사합니다.

2. 다음 명령을 실행하여 이러한 역할이 이미 할당되었는지 확인하고 필요에 따라 자리 표시자 값을 바꿉니다.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   출력에는 개체 ID에 할당된 역할 목록이 표시됩니다.

필요한 Azure 역할을 수동으로 할당

Microsoft Sentinel Business Applications 에이전트 운영자 및 읽기 권한자 역할이 아직 에이전트의 VM ID에 할당되지 않은 경우 다음 단계에서 수동으로 할당합니다. 에이전트 배포 방법에 따라 Azure Portal 또는 명령줄 탭을 선택합니다. 명령줄에서 배포된 에이전트는 Azure Portal에 표시되지 않으며 역할을 할당하려면 명령줄을 사용해야 합니다.

이 절차를 수행하려면 Microsoft Sentinel에 대해 사용하도록 설정된 Log Analytics 작업 영역에서 리소스 그룹 소유자여야 합니다.

포털

1. Microsoft Sentinel의 구성 > 데이터 커넥터 페이지에서 SAP용 Microsoft Sentinel 데이터 커넥터로 이동하여 커넥터 페이지 열기를 선택합니다.

2. 구성 영역의 1. API 기반 수집기 에이전트 추가 단계에서 업데이트 중인 에이전트를 찾아 명령 표시 단추를 선택합니다.

3. 표시된 역할 할당 명령을 복사합니다. 에이전트 VM에서 실행하고 Object_ID 자리 표시자를 VM ID 개체 ID로 바꿉니다.

   이 명령은 작업 영역에 있는 할당된 에이전트 데이터의 범위만 포함하여 VM의 관리 ID에 Microsoft Sentinel Business Applications 에이전트 운영자 및 읽기 권한자 Azure 역할을 할당합니다.

Important

CLI를 통해 Microsoft Sentinel Business Applications 에이전트 운영자 및 읽기 권한자 역할을 할당하면 작업 영역에서 할당된 에이전트의 데이터 범위에만 역할이 할당됩니다. 가장 안전하므로 권장되는 옵션입니다.

Azure Portal을 통해 역할을 할당해야 하는 경우 Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역과 같은 작은 범위에서 역할을 할당하는 것이 좋습니다.

명령줄

1. 다음 명령을 실행하여 에이전트 ID를 가져옵니다. 이때 <container_name> 자리 표시자를 Docker 컨테이너 이름으로 바꿉니다.

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   예를 들어 반환된 에이전트 ID는 234fba02-3b34-4c55-8c0e-e6423ceb405b일 수 있습니다.

2. 다음 명령을 실행하여 Microsoft Sentinel Business Applications 에이전트 운영자 및 읽기 권한자 역할을 할당합니다.

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   자리 표시자 값을 다음과 같이 바꿉니다.

   자리 표시자	값
   <OBJ_ID>	VM 관리 ID 개체 ID.
   <SUB_ID>	Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역에 대한 구독 ID
   <RESOURCE_GROUP_NAME>	Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역의 리소스 그룹 이름
   <WS_NAME>	Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역의 이름
   <AGENT_IDENTIFIER>	이전 단계에서 명령을 실행한 후 표시되는 에이전트 ID.

SENTINEL_RESPONDER SAP 역할을 SAP 시스템에 적용 및 할당

SAP 시스템에 /MSFTSEN/SENTINEL_RESPONDER SAP 역할을 적용하고 이를 Microsoft Sentinel의 SAP 데이터 커넥터 에이전트에서 사용하는 SAP 사용자 계정에 할당합니다.

/MSFTSEN/SENTINEL_RESPONDER SAP 역할을 적용하고 할당하려면 다음 안내를 따릅니다.

1. GitHub의 /MSFTSEN/SENTINEL_RESPONDER 파일에서 역할 정의를 업로드합니다.

2. Microsoft Sentinel의 SAP 데이터 커넥터 에이전트에서 사용하는 SAP 사용자 계정에 /MSFTSEN/SENTINEL_RESPONDER 역할을 할당합니다. 자세한 내용은 Microsoft Sentinel 솔루션에 대한 SAP 시스템 구성을 참조하세요.

   또는 Microsoft Sentinel의 SAP 데이터 커넥터에서 사용하는 SAP 사용자 계정에 이미 할당된 현재 역할에 다음 권한을 수동으로 할당합니다. 이러한 권한 부여는 특히 공격 중단 대응 작업을 위한 /MSFTSEN/SENTINEL_RESPONDER SAP 역할에 포함되어 있습니다.

   권한 부여 개체	필드	값
   S_RFC	RFC_TYPE	함수 모듈
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER 이름과 달리 이 함수는 사용자를 삭제하지 않고 활성 사용자 세션을 종료합니다.
   S_USER_GRP	CLASS	* S_USER_GRP 클래스를 대화 상자를 나타내는 조직의 관련 클래스로 바꾸는 것이 좋습니다.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

자세한 내용은 필요한 ABAP 권한 부여를 참조하세요.

관련 콘텐츠

자세한 내용은 다음을 참조하세요.

• SAP용 Microsoft Sentinel 솔루션 애플리케이션 배포
• SAP 시스템 상태 모니터링
• SAP 애플리케이션 배포를 위한 Microsoft Sentinel 솔루션 문제 해결