Aktualizowanie agenta łącznika danych aplikacji SAP dla usługi Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule pokazano, jak zaktualizować już istniejącą usługę Microsoft Sentinel dla łącznika danych SAP do najnowszej wersji, aby można było korzystać z najnowszych funkcji i ulepszeń.

Podczas procesu aktualizacji agenta łącznika danych może wystąpić krótki przestój około 10 sekund. Aby zapewnić integralność danych, wpis bazy danych przechowuje sygnaturę czasową ostatniego pobranego dziennika. Po zakończeniu aktualizacji proces pobierania danych zostanie wznowiony z ostatniego pobranego dziennika, zapobiegając duplikatom i zapewniając bezproblemowy przepływ danych.

Aktualizacje automatyczne lub ręczne opisane w tym artykule dotyczą tylko agenta łącznika SAP, a nie rozwiązania Microsoft Sentinel dla aplikacji SAP. Aby pomyślnie zaktualizować rozwiązanie, agent musi być aktualny. Rozwiązanie jest aktualizowane oddzielnie, tak jak każde inne rozwiązanie usługi Microsoft Sentinel.

Zawartość tego artykułu jest odpowiednia dla zespołów ds . zabezpieczeń, infrastruktury i platformy SAP BASIS .

Wymagania wstępne

Przed rozpoczęciem:

• Upewnij się, że masz wszystkie wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP.

• Upewnij się, że rozumiesz środowiska i architekturę systemów SAP i Microsoft Sentinel, w tym maszyny, na których są instalowani agenci łącznika i moduły zbierające.

Konfigurowanie automatycznych aktualizacji agenta łącznika danych SAP (wersja zapoznawcza)

Skonfiguruj automatyczne aktualizacje agenta łącznika dla wszystkich istniejących kontenerów lub określonego kontenera.

Polecenia opisane w tej sekcji tworzą zadanie cron, które jest uruchamiane codziennie, sprawdza dostępność aktualizacji i aktualizuje agenta do najnowszej wersji ogólnie dostępnej. Kontenery z uruchomioną wersją zapoznawcza agenta nowszej niż najnowsza wersja ogólnie dostępna nie są aktualizowane. Pliki dziennika aktualizacji automatycznych znajdują się na maszynie modułu zbierającego w lokalizacji /var/log/sapcon-sentinel-register-autoupdate.log.

Po skonfigurowaniu aktualizacji automatycznych dla agenta zawsze jest on skonfigurowany pod kątem aktualizacji automatycznych.

Ważne

Automatyczne aktualizowanie agenta łącznika danych SAP jest obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Konfigurowanie automatycznych aktualizacji dla wszystkich istniejących kontenerów

Aby włączyć aktualizacje automatyczne dla wszystkich istniejących kontenerów z połączonym agentem SAP, uruchom następujące polecenie na maszynie modułu zbierającego:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Jeśli pracujesz z wieloma kontenerami, zadanie cron aktualizuje agenta we wszystkich kontenerach, które istniały w momencie uruchomienia oryginalnego polecenia. W przypadku dodawania kontenerów po utworzeniu początkowego zadania cron nowe kontenery nie zostaną automatycznie zaktualizowane. Aby zaktualizować te kontenery, uruchom dodatkowe polecenie, aby je dodać.

Konfigurowanie automatycznych aktualizacji dla określonego kontenera

Aby skonfigurować aktualizacje automatyczne dla określonego kontenera lub kontenerów, na przykład w przypadku dodania kontenerów po uruchomieniu oryginalnego polecenia automatyzacji, uruchom następujące polecenie na maszynie modułu zbierającego:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Alternatywnie w pliku /opt/sapcon/[SID lub GUID agenta]/settings.json zdefiniuj auto_update parametr dla każdego kontenera jako true.

Wyłączanie aktualizacji automatycznych

Aby wyłączyć automatyczne aktualizacje kontenera lub kontenerów, otwórz plik /opt/sapcon/[SID lub IDENTYFIKATOR GUID agenta]/settings.json pliku do edycji i zdefiniuj auto_update parametr dla każdego kontenera jako false.

Ręczne aktualizowanie agenta łącznika danych SAP

Aby ręcznie zaktualizować agenta łącznika, upewnij się, że masz najnowsze wersje odpowiednich skryptów wdrażania z repozytorium GitHub usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Microsoft Sentinel solution for SAP applications data connector data connector update file reference (Rozwiązanie Microsoft Sentinel dla pliku aktualizacji agenta łącznika danych aplikacji SAP).

Na maszynie agenta łącznika danych uruchom polecenie:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Kontener platformy Docker łącznika danych SAP na maszynie jest aktualizowany.

Pamiętaj, aby sprawdzić dostępność innych dostępnych aktualizacji, takich jak żądania zmian SAP.

Aktualizowanie systemu pod kątem zakłóceń w ataku

Automatyczne zakłócenia ataków w oprogramowaniu SAP są obsługiwane przez ujednoliconą platformę operacji zabezpieczeń w portalu Microsoft Defender i wymagają:

• Obszar roboczy dołączony do ujednoliconej platformy operacji zabezpieczeń.

• Agent łącznika danych SAP usługi Microsoft Sentinel, wersja 90847355 lub nowsza. Sprawdź bieżącą wersję agenta i zaktualizuj ją, jeśli chcesz.

• Następujące role na platformie Azure i oprogramowaniu SAP:

  • Wymaganie roli platformy Azure: Tożsamość maszyny wirtualnej agenta łącznika danych musi być przypisana do roli platformy Azure agenta aplikacji biznesowych usługi Microsoft Sentinel. Sprawdź to przypisanie i przypisz tę rolę ręcznie , jeśli chcesz.

  • Wymaganie roli SAP: rola /MSFTSEN/SENTINEL_RESPONDER SAP musi zostać zastosowana do systemu SAP i przypisana do konta użytkownika SAP używanego przez agenta łącznika danych. Sprawdź to przypisanie i zastosuj i przypisz rolę , jeśli chcesz.

Poniższe procedury opisują sposób spełnienia tych wymagań, jeśli nie zostały jeszcze spełnione.

Weryfikowanie bieżącej wersji agenta łącznika danych

Aby sprawdzić bieżącą wersję agenta, uruchom następujące zapytanie na stronie Dzienniki usługi Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Sprawdzanie wymaganych ról platformy Azure

Zakłócenia ataków w oprogramowaniu SAP wymagają udzielenia tożsamości maszyny wirtualnej agenta z określonymi uprawnieniami do obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel przy użyciu ról operatora i czytelnika agenta aplikacji biznesowych usługi Microsoft Sentinel.

Najpierw sprawdź, czy twoje role są już przypisane:

1. Znajdź identyfikator obiektu tożsamości maszyny wirtualnej na platformie Azure:

   1. Przejdź do pozycji Aplikacja>dla przedsiębiorstw Wszystkie aplikacje i wybierz maszynę wirtualną lub zarejestrowaną nazwę aplikacji w zależności od typu tożsamości używanej do uzyskiwania dostępu do magazynu kluczy.
   2. Skopiuj wartość pola Identyfikator obiektu do użycia z skopiowanymi poleceniami.

2. Uruchom następujące polecenie, aby sprawdzić, czy te role są już przypisane, zastępując wartości symboli zastępczych zgodnie z potrzebami.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Dane wyjściowe zawierają listę ról przypisanych do identyfikatora obiektu.

Ręczne przypisywanie wymaganych ról platformy Azure

Jeśli role agenta aplikacji biznesowych i czytelnika usługi Microsoft Sentinel nie są jeszcze przypisane do tożsamości maszyny wirtualnej agenta, wykonaj następujące kroki, aby przypisać je ręcznie. Wybierz kartę witryny Azure Portal lub wiersza polecenia w zależności od sposobu wdrażania agenta. Agenci wdrożeni z wiersza polecenia nie są wyświetlani w witrynie Azure Portal i musisz użyć wiersza polecenia, aby przypisać role.

Aby wykonać tę procedurę, musisz być właścicielem grupy zasobów w obszarze roboczym usługi Log Analytics włączonym dla usługi Microsoft Sentinel.

Portal

1. W usłudze Microsoft Sentinel na stronie Łączniki danych konfiguracji > przejdź do łącznika danych SAP w usłudze Microsoft Sentinel i wybierz pozycję Otwórz stronę łącznika.

2. W obszarze Konfiguracja w kroku 1. Dodaj agenta modułu zbierającego opartego na interfejsie API, znajdź aktualizowanego agenta i wybierz przycisk Pokaż polecenia.

3. Skopiuj wyświetlone polecenia przypisania roli. Uruchom je na maszynie wirtualnej agenta, zastępując Object_ID symbole zastępcze identyfikatorem obiektu tożsamości maszyny wirtualnej.

   Te polecenia przypisują operatorowi agenta aplikacji biznesowych usługi Microsoft Sentinel i czytelnikowi role platformy Azure do tożsamości zarządzanej maszyny wirtualnej, w tym tylko zakresu danych określonego agenta w obszarze roboczym.

Ważne

Przypisywanie ról agenta aplikacji biznesowych i czytelnika usługi Microsoft Sentinel za pośrednictwem interfejsu wiersza polecenia przypisuje role tylko w zakresie danych określonego agenta w obszarze roboczym. Jest to najbezpieczniejsza i dlatego zalecana opcja.

Jeśli musisz przypisać role za pośrednictwem witryny Azure Portal, zalecamy przypisanie ról w małym zakresie, takich jak tylko w obszarze roboczym usługi Log Analytics włączonym dla usługi Microsoft Sentinel.

Wiersz polecenia

1. Pobierz identyfikator agenta, uruchamiając <container_name> następujące polecenie, zastępując symbol zastępczy nazwą kontenera platformy Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Na przykład zwrócony identyfikator agenta może mieć wartość 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Przypisz role agenta aplikacji biznesowych i czytelnika usługi Microsoft Sentinel, uruchamiając następujące polecenia:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Zastąp wartości symboli zastępczych w następujący sposób:

   Symbol zastępczy	Wartość
   <OBJ_ID>	Identyfikator obiektu tożsamości maszyny wirtualnej.
   <SUB_ID>	Identyfikator subskrypcji obszaru roboczego usługi Log Analytics włączony dla usługi Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Nazwa grupy zasobów dla obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel
   <WS_NAME>	Nazwa obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel
   <AGENT_IDENTIFIER>	Identyfikator agenta wyświetlany po uruchomieniu polecenia w poprzednim kroku.

Stosowanie i przypisywanie roli SENTINEL_RESPONDER SAP do systemu SAP

Zastosuj rolę /MSFTSEN/SENTINEL_RESPONDER SAP do systemu SAP i przypisz ją do konta użytkownika SAP używanego przez agenta łącznika danych SAP usługi Microsoft Sentinel.

Aby zastosować i przypisać rolę /MSFTSEN/SENTINEL_RESPONDER SAP:

1. Przekazywanie definicji ról z pliku /MSFTSEN/SENTINEL_RESPONDER w usłudze GitHub.

2. Przypisz rolę /MSFTSEN/SENTINEL_RESPONDER do konta użytkownika SAP używanego przez agenta łącznika danych SAP usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Konfigurowanie systemu SAP dla rozwiązania Microsoft Sentinel.

   Alternatywnie ręcznie przypisz następujące autoryzacje do bieżącej roli przypisanej już do konta użytkownika SAP używanego przez łącznik danych SAP usługi Microsoft Sentinel. Te autoryzacje są uwzględniane w roli /MSFTSEN/SENTINEL_RESPONDER SAP specjalnie dla akcji reagowania na zakłócenia ataków.

   Obiekt autoryzacji	Pole	Wartość
   S_RFC	RFC_TYPE	Moduł funkcji
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER W przeciwieństwie do jej nazwy ta funkcja nie usuwa użytkowników, ale kończy aktywną sesję użytkownika.
   S_USER_GRP	KLASA	* Zalecamy zastąpienie S_USER_GRP CLASS odpowiednimi klasami w organizacji reprezentującymi użytkowników okien dialogowych.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Aby uzyskać więcej informacji, zobacz Wymagane autoryzacje ABAP.

Powiązana zawartość

Aby uzyskać więcej informacji, zobacz:

• Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP
• Monitorowanie kondycji systemu SAP
• Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania aplikacji SAP