Microsoft Sentinel의 SAP 데이터 커넥터 에이전트 업데이트

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 기존 SAP용 Microsoft Sentinel 데이터 커넥터를 최신 버전으로 업데이트하는 방법을 보여 줍니다.

최신 기능을 사용하려면 SAP 데이터 커넥터 에이전트에 대해 자동 업데이트를 사용하도록 설정하거나 에이전트를 수동으로 업데이트할 수 있습니다.

이 문서에서 설명하는 자동 또는 수동 업데이트는 SAP용 Microsoft Sentinel Solution이 아닌 SAP 커넥터 에이전트에만 해당됩니다. 솔루션을 성공적으로 업데이트하려면 에이전트가 최신 상태여야 합니다. 솔루션은 별도로 업데이트됩니다.

Important

이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

시작하기 전에 SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포를 위한 필수 조건이 모두 충족되어 있어야 합니다.

자세한 내용은 SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포를 위한 필수 조건을 참조하세요.

SAP 데이터 커넥터 에이전트 자동 업데이트(미리 보기)

모든 기존 컨테이너 또는 특정 컨테이너에서 커넥터 에이전트에 대한 자동 업데이트를 사용하도록 선택할 수 있습니다.

Important

SAP 데이터 커넥터 에이전트 자동 업데이트는 현재 미리 보기에 있습니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

모든 기존 컨테이너에서 자동 업데이트 사용

모든 기존 컨테이너(연결된 SAP 에이전트가 있는 모든 컨테이너)에서 자동 업데이트를 사용하도록 설정하려면 수집기 컴퓨터에서 다음 명령을 실행합니다.

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh

이 명령은 매일 실행되고 업데이트를 확인하는 cron 작업을 만듭니다. 작업이 에이전트의 새 버전을 검색하면 위의 명령을 실행할 때 존재하는 모든 컨테이너에서 에이전트를 업데이트합니다. 컨테이너가 최신 버전(작업이 설치하는 버전)보다 새로운 미리 보기 버전을 실행 중인 경우 작업은 해당 컨테이너를 업데이트하지 않습니다.

cron 작업을 실행한 후 컨테이너를 추가하면 새 컨테이너가 자동으로 업데이트되지 않습니다. 이러한 컨테이너를 업데이트하려면 /opt/sapcon/[SID 또는 에이전트 GUID]/settings.json 파일에서 각 컨테이너의 auto_update 매개 변수를 true로 정의합니다.

이 업데이트에 대한 로그는 var/log/sapcon-sentinel-register-autoupdate.log/에 있습니다.

특정 컨테이너에서 자동 업데이트 사용

특정 컨테이너에서 자동 업데이트를 사용하도록 설정하려면 다음 명령을 실행합니다.

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

이 업데이트에 대한 로그는 /var/log/sapcon-sentinel-register-autoupdate.log에 있습니다.

자동 업데이트 사용 안 함

컨테이너에 대한 자동 업데이트를 사용하지 않도록 설정하려면 각 컨테이너에 대한 auto_update 매개 변수를 false로 정의합니다.

수동으로 SAP 데이터 커넥터 에이전트 업데이트

커넥터 에이전트를 수동으로 업데이트하려면 Microsoft Sentinel GitHub 리포지토리에서 관련 배포 스크립트의 최신 버전이 있는지 확인합니다.

다음을 실행합니다.

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

머신의 SAP 데이터 커넥터 Docker 컨테이너가 업데이트됩니다.

다음과 같은 사용 가능한 다른 업데이트를 확인해야 합니다.

공격 중단에 대비해 시스템 업데이트

SAP에 대한 자동 공격 중단은 Microsoft Defender 포털의 통합 보안 운영 플랫폼을 통해 지원되며 다음이 필요합니다.

현재 데이터 커넥터 에이전트 버전을 확인합니다.

현재 에이전트 버전을 확인하려면 Microsoft Sentinel 로그 페이지에서 다음 쿼리를 실행하세요.

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

필수 Azure 역할 확인

SAP에 대한 공격을 중단하려면 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할을 사용하여 Microsoft Sentinel 작업 영역에 대한 특정 권한이 있는 에이전트의 VM ID를 부여해야 합니다.

먼저 역할이 이미 할당되었는지 확인합니다.

  1. Azure에서 VM ID 개체 ID를 찾습니다.

    1. 엔터프라이즈 애플리케이션>모든 애플리케이션으로 이동하여 키 자격 증명 모음에 액세스하는 데 사용하는 ID 유형에 따라 VM 또는 등록된 애플리케이션 이름을 선택합니다.
    2. 복사한 명령에 사용할 개체 ID 필드의 값을 복사합니다.

  2. 다음 명령을 실행하여 이러한 역할이 이미 할당되었는지 확인하고 필요에 따라 자리 표시자 값을 바꿉니다.

    az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>

    출력에는 개체 ID에 할당된 역할 목록이 표시됩니다.

필요한 Azure 역할을 수동으로 할당

Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할이 아직 에이전트의 VM ID에 할당되지 않은 경우 다음 단계에서 수동으로 할당합니다. 에이전트 배포 방법에 따라 Azure Portal 또는 명령줄 탭을 선택합니다. 명령줄에서 배포된 에이전트는 Azure Portal에 표시되지 않으며 역할을 할당하려면 명령줄을 사용해야 합니다.

이 절차를 수행하려면 Microsoft Sentinel 작업 영역의 리소스 그룹 소유자여야 합니다.

  1. Microsoft Sentinel의 구성 > 데이터 커넥터 페이지에서 SAP용 Microsoft Sentinel 데이터 커넥터로 이동하여 커넥터 페이지 열기를 선택합니다.

  2. 구성 영역의 1. API 기반 수집기 에이전트 추가 단계에서 업데이트 중인 에이전트를 찾아 명령 표시 단추를 선택합니다.

  3. 표시된 역할 할당 명령을 복사합니다. 에이전트 VM에서 실행하고 Object_ID 자리 표시자를 VM ID 개체 ID로 바꿉니다.

    이 명령은 작업 영역에 있는 할당된 에이전트 데이터의 범위만 포함하여 VM의 관리 ID에 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 Azure 역할을 할당합니다.

Important

CLI를 통해 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할을 할당하면 작업 영역에서 할당된 에이전트의 데이터 범위에만 역할이 할당됩니다. 가장 안전하므로 권장되는 옵션입니다.

Azure Portal을 통해 역할을 할당해야 하는 경우 Microsoft Sentinel 작업 영역과 같은 작은 범위에서만 역할을 할당하는 것이 좋습니다.

SENTINEL_RESPONDER SAP 역할을 SAP 시스템에 적용 및 할당

SAP 시스템에 /MSFTSEN/SENTINEL_RESPONDER SAP 역할을 적용하고 이를 Microsoft Sentinel의 SAP 데이터 커넥터 에이전트에서 사용하는 SAP 사용자 계정에 할당합니다.

/MSFTSEN/SENTINEL_RESPONDER SAP 역할을 적용하고 할당하려면 다음 안내를 따릅니다.

  1. GitHub의 /MSFTSEN/SENTINEL_RESPONDER 파일에서 역할 정의를 업로드합니다.

  2. Microsoft Sentinel의 SAP 데이터 커넥터 에이전트에서 사용하는 SAP 사용자 계정에 /MSFTSEN/SENTINEL_RESPONDER 역할을 할당합니다. 자세한 내용은 SAP 변경 요청 배포 및 권한 구성을 참조하세요.

또는 Microsoft Sentinel의 SAP 데이터 커넥터에서 사용하는 SAP 사용자 계정에 이미 할당된 현재 역할에 다음 권한을 수동으로 할당합니다. 이러한 권한 부여는 특히 공격 중단 대응 작업을 위한 /MSFTSEN/SENTINEL_RESPONDER SAP 역할에 포함되어 있습니다.

권한 부여 개체 필드
S_RFC RFC_TYPE 함수 모듈
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
이름과 달리 이 함수는 사용자를 삭제하지 않고 활성 사용자 세션을 종료합니다.
S_USER_GRP CLASS *
S_USER_GRP 클래스를 대화 상자를 나타내는 조직의 관련 클래스로 바꾸는 것이 좋습니다.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

자세한 내용은 필요한 ABAP 권한 부여를 참조하세요.

다음 단계

SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대해 자세히 알아봅니다.

문제 해결:

참조 파일:

자세한 내용은 Microsoft Sentinel 솔루션을 참조하세요.