Обновление агента соединителя данных microsoft Sentinel для приложений SAP

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье показано, как обновить уже существующий соединитель данных Microsoft Sentinel для SAP до последней версии, чтобы можно было использовать последние функции и улучшения.

Во время процесса обновления агента соединителя данных может быть краткое время простоя примерно в 10 секунд. Чтобы обеспечить целостность данных, запись базы данных сохраняет метку времени последнего извлекаемого журнала. После завершения обновления процесс получения данных возобновляется из последнего получения журнала, предотвращая дубликаты и обеспечивая простой поток данных.

Автоматическое или ручное обновление, описанное в этой статье, относится только к агенту соединителя SAP, а не к решению Microsoft Sentinel для приложений SAP. Чтобы успешно обновить решение, агент должен быть обновлен. Решение обновляется отдельно, как и любое другое решение Microsoft Sentinel.

Содержимое этой статьи относится к группам безопасности, инфраструктуры и SAP BASIS .

Необходимые компоненты

Перед началом:

• Убедитесь, что у вас есть все необходимые условия для развертывания решения Microsoft Sentinel для приложений SAP. Дополнительные сведения см. в статье "Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP".

• Убедитесь, что вы понимаете среды и архитектуру SAP и Microsoft Sentinel, включая компьютеры, на которых установлены агенты соединителя и сборщики.

Настройка автоматических обновлений для агента соединителя данных SAP (предварительная версия)

Настройте автоматические обновления для агента соединителя для всех существующих контейнеров или определенного контейнера.

Команды, описанные в этом разделе, создают задание cron, которое выполняется ежедневно, проверяет наличие обновлений и обновляет агент до последней версии общедоступной версии. Контейнеры с предварительной версией агента, более новой, чем последняя версия общедоступной версии, не обновляются. Файлы журналов для автоматического обновления находятся на компьютере сборщика по адресу /var/log/sapcon-sentinel-register-autoupdate.log.

После настройки автоматических обновлений для агента он всегда настраивается для автоматического обновления.

Внимание

Автоматическое обновление агента соединителя данных SAP в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Настройка автоматических обновлений для всех существующих контейнеров

Чтобы включить автоматическое обновление для всех существующих контейнеров с подключенным агентом SAP, выполните следующую команду на компьютере сборщика:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Если вы работаете с несколькими контейнерами, задание cron обновляет агент на всех контейнерах, которые существовали во время выполнения исходной команды. При добавлении контейнеров после создания начального задания cron новые контейнеры не обновляются автоматически. Чтобы обновить эти контейнеры, выполните дополнительную команду, чтобы добавить их.

Настройка автоматических обновлений для определенного контейнера

Чтобы настроить автоматическое обновление для определенного контейнера или контейнера, например при добавлении контейнеров после выполнения исходной команды автоматизации, выполните следующую команду на компьютере сборщика:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Кроме того, в файле /opt/sapcon/[SID или GUID агента]/settings.json определите auto_update параметр для каждого контейнера как true.

Отключение автоматических обновлений

Чтобы отключить автоматическое обновление для контейнера или контейнеров, откройте файл /opt/sapcon/[SID или GUID агента]/settings.json для редактирования и определения auto_update параметра для каждого контейнера как false.

Обновление агента соединителя данных SAP вручную

Чтобы вручную обновить агент соединителя, убедитесь, что у вас есть последние версии соответствующих сценариев развертывания из репозитория Microsoft Sentinel GitHub.

Дополнительные сведения см. в решении Microsoft Sentinel для агента обновления агента соединителя данных SAP для приложений SAP.

На компьютере агента соединителя данных выполните следующую команду:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Контейнер Docker соединителя данных SAP на компьютере будет обновлен.

Обязательно проверьте наличие других доступных обновлений, таких как запросы на изменение SAP.

Обновление системы для нарушения атак

Автоматическое нарушение атак для SAP поддерживается с помощью единой платформы операций безопасности на портале Microsoft Defender и требует:

• Рабочая область , подключенная к единой платформе операций безопасности.

• Агент соединителя данных SAP Microsoft Sentinel, версия 90847355 или более поздней версии. Проверьте текущую версию агента и обновите ее, если вам нужно.

• Следующие роли в Azure и SAP:

  • Требование роли Azure. Удостоверение виртуальной машины агента соединителя данных должно быть назначено роли агента microsoft Sentinel Business Application Agent Azure. Проверьте это назначение и назначьте эту роль вручную , если вам нужно.

  • Требование роли SAP. Роль SAP /MSFTSEN/SENTINEL_RESPONDER sap должна быть применена к системе SAP и назначена учетной записи пользователя SAP, используемой агентом соединителя данных. Проверьте это назначение и примените и назначьте роль , если это необходимо.

В следующих процедурах описано, как выполнить эти требования, если они еще не выполнены.

Проверка текущей версии агента соединителя данных

Чтобы проверить текущую версию агента, выполните следующий запрос на странице журналов Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Проверка обязательных ролей Azure

Для сбоя атак для SAP требуется предоставить удостоверение виртуальной машины агента с определенными разрешениями для рабочей области Log Analytics, включенной для Microsoft Sentinel, с помощью ролей агента microsoft Sentinel business Application Agent и читателя .

Сначала проверьте, назначены ли роли:

1. Найдите идентификатор объекта удостоверения виртуальной машины в Azure:

   1. Перейдите к корпоративным приложениям> и выберите виртуальную машину или зарегистрированное имя приложения в зависимости от типа удостоверения, используемого для доступа к хранилищу ключей.
   2. Скопируйте значение поля идентификатора объекта для использования с скопированной командой.

2. Выполните следующую команду, чтобы проверить, назначены ли эти роли, заменив значения заполнителей по мере необходимости.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   В выходных данных показан список ролей, назначенных идентификатору объекта.

Назначение необходимых ролей Azure вручную

Если роли агента бизнес-приложений Microsoft Sentinel и читателя еще не назначены удостоверению виртуальной машины вашего агента, выполните следующие действия, чтобы назначить их вручную. Выберите вкладку для портал Azure или командной строки в зависимости от способа развертывания агента. Агенты, развернутые из командной строки, не отображаются в портал Azure, и для назначения ролей необходимо использовать командную строку.

Для выполнения этой процедуры необходимо быть владельцем группы ресурсов в рабочей области Log Analytics, включенной для Microsoft Sentinel.

Портал

1. На странице соединителей данных конфигурации в Microsoft Sentinel перейдите к соединителю данных Microsoft Sentinel для соединителя данных SAP и выберите "Открыть страницу соединителя".>

2. В области конфигурации на шаге 1. Добавьте агент сборщика на основе API, найдите агент, который вы обновляете, и нажмите кнопку "Показать команды".

3. Скопируйте отображаемые команды назначения ролей. Запустите их на виртуальной машине агента, заменив Object_ID заполнители идентификатором объекта удостоверения виртуальной машины.

   Эти команды назначают оператору агента бизнес-приложений Microsoft Sentinel и ролям Azure читателя Azure управляемому удостоверению виртуальной машины, включая только область данных указанного агента в рабочей области.

Внимание

Назначение ролей агента агента бизнес-приложений Microsoft Sentinel и читателя через ИНТЕРФЕЙС командной строки назначает роли только в области данных указанного агента в рабочей области. Это самый безопасный и, следовательно, рекомендуемый вариант.

Если необходимо назначить роли через портал Azure, рекомендуется назначать роли в небольшой области, например только в рабочей области Log Analytics, включенной для Microsoft Sentinel.

Командная строка

1. Получите идентификатор агента, выполнив следующую команду, заменив <container_name> заполнитель именем контейнера Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Например, возвращаемый идентификатор агента может быть 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Назначьте роли агента бизнес-приложений Microsoft Sentinel и читателя, выполнив следующие команды:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Замените значения заполнителей следующим образом:

   Заполнитель	Значение
   <OBJ_ID>	Идентификатор объекта удостоверения виртуальной машины.
   <SUB_ID>	Идентификатор подписки для рабочей области Log Analytics, включенной для Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Имя группы ресурсов для рабочей области Log Analytics, включенной для Microsoft Sentinel
   <WS_NAME>	Имя рабочей области Log Analytics, включенной для Microsoft Sentinel
   <AGENT_IDENTIFIER>	Идентификатор агента, отображаемый после выполнения команды на предыдущем шаге.

Применение и назначение роли SAP SENTINEL_RESPONDER системе SAP

Примените роль SAP /MSFTSEN/SENTINEL_RESPONDER к системе SAP и назначьте ее учетной записи пользователя SAP, используемой агентом соединителя данных SAP в Microsoft Sentinel.

Чтобы применить и назначить роль SAP /MSFTSEN/SENTINEL_RESPONDER :

1. Отправьте определения ролей из файла /MSFTSEN/SENTINEL_RESPONDER в GitHub.

2. Назначьте роль /MSFTSEN/SENTINEL_RESPONDER учетной записи пользователя SAP, используемой агентом соединителя данных SAP в Microsoft Sentinel. Дополнительные сведения см. в статье "Настройка системы SAP для решения Microsoft Sentinel".

   Кроме того, вручную назначьте следующие авторизации текущей роли, уже назначенной учетной записи пользователя SAP, используемой соединителем данных SAP Sentinel в Microsoft Sentinel. Эти авторизации включены в роль SAP /MSFTSEN/SENTINEL_RESPONDER специально для действий реагирования на нарушения атаки.

   Объект авторизации	Поле	значение
   S_RFC	RFC_TYPE	Модуль функции
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER В отличие от его имени, эта функция не удаляет пользователей, но заканчивает активный сеанс пользователя.
   S_USER_GRP	КЛАССИЧЕСКАЯ…	* Рекомендуется заменить класс S_USER_GRP соответствующими классами в организации, представляющими пользователей диалоговых окон.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Дополнительные сведения см. в разделе "Обязательные разрешения ABAP".

Связанный контент

Дополнительные сведения см. в разделе:

• Развертывание решения Microsoft Sentinel для приложений SAP
• Мониторинг работоспособности системы SAP
• Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP