Atualizar o agente do conector de dados de aplicativos Microsoft Sentinel for SAP
Este artigo mostra como atualizar um conector de dados do Microsoft Sentinel for SAP já existente para sua versão mais recente para que você possa usar os recursos e melhorias mais recentes.
Durante o processo de atualização do agente do conector de dados, pode haver um breve tempo de inatividade de aproximadamente 10 segundos. Para garantir a integridade dos dados, uma entrada de banco de dados armazena o carimbo de data/hora do último log buscado. Após a conclusão da atualização, o processo de busca de dados é retomado a partir do último log buscado, evitando duplicações e garantindo um fluxo de dados contínuo.
As atualizações automáticas ou manuais descritas neste artigo são relevantes apenas para o agente do conector SAP e não para a solução Microsoft Sentinel para aplicativos SAP. Para atualizar a solução com êxito, seu agente precisa estar atualizado. A solução é atualizada separadamente, como faria com qualquer outra solução Microsoft Sentinel.
O conteúdo deste artigo é relevante para suas equipes de segurança, infraestrutura e SAP BASIS .
Pré-requisitos
Antes de começar:
Verifique se você tem todos os pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP. Para obter mais informações, consulte Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP.
Certifique-se de entender seus ambientes e arquitetura SAP e Microsoft Sentinel, incluindo as máquinas onde seus agentes de conector e coletores estão instalados.
Configurar atualizações automáticas para o agente do conector de dados SAP (Visualização)
Configure atualizações automáticas para o agente do conector, seja para todos os contêineres existentes ou para um contêiner específico.
Os comandos descritos nesta seção criam um trabalho cron que é executado diariamente, verifica se há atualizações e atualiza o agente para a versão mais recente do GA. Os contêineres que executam uma versão de visualização do agente mais recente do que a versão mais recente do GA não são atualizados. Os arquivos de log para atualizações automáticas estão localizados na máquina coletora, em /var/log/sapcon-sentinel-register-autoupdate.log.
Depois de configurar as atualizações automáticas para um agente uma vez, ele é sempre configurado para atualizações automáticas.
Importante
A atualização automática do agente do conector de dados SAP está atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Configurar atualizações automáticas para todos os contêineres existentes
Para ativar as atualizações automáticas para todos os contêineres existentes com um agente SAP conectado, execute o seguinte comando na máquina coletora:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
Se você estiver trabalhando com vários contêineres, o trabalho cron atualiza o agente em todos os contêineres que existiam no momento em que você executou o comando original. Se você adicionar contêineres depois de criar o trabalho cron inicial, os novos contêineres não serão atualizados automaticamente. Para atualizar esses contêineres, execute um comando extra para adicioná-los.
Configurar atualizações automáticas em um contêiner específico
Para configurar atualizações automáticas para um contêiner ou contêineres específicos, como se você adicionou contêineres depois de executar o comando de automação original, execute o seguinte comando na máquina coletora:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
Como alternativa, no arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json , defina o auto_update parâmetro para cada um dos contêineres como true.
Desativar atualizações automáticas
Para desativar as atualizações automáticas para um contêiner ou contêineres, abra o arquivo /opt/sapcon/[SID ou Agent GUID]/settings.json para edição e defina o auto_update parâmetro para cada um dos contêineres como false.
Atualizar manualmente o agente do conector de dados SAP
Para atualizar manualmente o agente do conector, verifique se você tem as versões mais recentes dos scripts de implantação relevantes do repositório GitHub do Microsoft Sentinel.
Para obter mais informações, consulte Microsoft Sentinel solution for SAP applications data connector agent update file reference.
Na máquina do agente do conector de dados, execute:
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
O contêiner do Docker do conector de dados SAP em sua máquina é atualizado.
Certifique-se de verificar se há outras atualizações disponíveis, como solicitações de alteração do SAP.
Atualize seu sistema para interrupção de ataques
A interrupção automática de ataques para SAP é suportada com a plataforma unificada de operações de segurança no portal Microsoft Defender e requer:
Um espaço de trabalho integrado à plataforma unificada de operações de segurança.
Um agente de conector de dados SAP do Microsoft Sentinel, versão 90847355 ou superior. Verifique a versão atual do agente e atualize-a, se necessário.
As seguintes funções no Azure e no SAP:
Requisito de função do Azure: a identidade da VM do agente do conector de dados deve ser atribuída à função do Azure do Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel. Verifique essa atribuição e atribua essa função manualmente , se necessário.
Requisito da função SAP: A função SAP /MSFTSEN/SENTINEL_RESPONDER deve ser aplicada ao seu sistema SAP e atribuída à conta de usuário SAP usada pelo agente do conector de dados. Verifique esta atribuição e aplique e atribua a função , se necessário.
Os procedimentos a seguir descrevem como cumprir esses requisitos se eles ainda não forem atendidos.
Verifique a versão atual do agente do conector de dados
Para verificar a versão atual do agente, execute a seguinte consulta na página Logs do Microsoft Sentinel:
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
Verificar se há funções necessárias do Azure
A interrupção de ataque para SAP requer que você conceda a identidade de VM do seu agente com permissões específicas para o espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel, usando as funções Operador e Leitor do Agente de Aplicativos de Negócios do Microsoft Sentinel.
Primeiro, verifique se as suas funções já estão atribuídas:
Encontre sua ID de objeto de identidade de VM no Azure:
- Vá para Aplicativo>corporativo Todos os aplicativos e selecione sua VM ou nome de aplicativo registrado, dependendo do tipo de identidade que você está usando para acessar seu cofre de chaves.
- Copie o valor do campo ID do objeto para usar com o comando copiado.
Execute o comando a seguir para verificar se essas funções já estão atribuídas, substituindo os valores de espaço reservado conforme necessário.
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>A saída mostra uma lista das funções atribuídas ao ID do objeto.
Atribuir funções necessárias do Azure manualmente
Se as funções Operador e Leitor do Microsoft Sentinel Business Applications Agent ainda não estiverem atribuídas à identidade da VM do agente, use as etapas a seguir para atribuí-las manualmente. Selecione a guia para o portal do Azure ou a linha de comando, dependendo de como seu agente é implantado. Os agentes implantados a partir da linha de comando não são mostrados no portal do Azure e você deve usar a linha de comando para atribuir as funções.
Para executar este procedimento, você deve ser proprietário de um grupo de recursos no espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel.
No Microsoft Sentinel, na página Conectores de dados de configuração>, vá para o conector de dados do Microsoft Sentinel for SAP e selecione Abrir a página do conector.
Na área Configuração, na etapa 1. Adicione um agente de coletor baseado em API, localize o agente que você está atualizando e selecione o botão Mostrar comandos.
Copie os comandos de atribuição de função exibidos . Execute-os na VM do agente, substituindo os espaços reservados pelo ID do
Object_IDobjeto de identidade da VM.Esses comandos atribuem as funções Microsoft Sentinel Business Applications Agent Operator e Reader Azure à identidade gerenciada da sua VM, incluindo apenas o escopo dos dados do agente especificado no espaço de trabalho.
Importante
A atribuição das funções de Operador e Leitor do Microsoft Sentinel Business Applications Agent por meio da CLI atribui as funções somente no escopo dos dados do agente especificado no espaço de trabalho. Esta é a opção mais segura e, portanto, recomendada.
Se você precisar atribuir as funções por meio do portal do Azure, recomendamos atribuir as funções em um escopo pequeno, como apenas no espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel.
Aplicar e atribuir a função SAP SENTINEL_RESPONDER ao seu sistema SAP
Aplique a função /MSFTSEN/SENTINEL_RESPONDER SAP ao seu sistema SAP e atribua-a à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel.
Para aplicar e atribuir a função /MSFTSEN/SENTINEL_RESPONDER SAP:
Carregue definições de função do arquivo /MSFTSEN/SENTINEL_RESPONDER no GitHub.
Atribua a função /MSFTSEN/SENTINEL_RESPONDER à conta de usuário SAP usada pelo agente do conector de dados SAP do Microsoft Sentinel. Para obter mais informações, consulte Configurar seu sistema SAP para a solução Microsoft Sentinel.
Como alternativa, atribua manualmente as seguintes autorizações à função atual já atribuída à conta de usuário SAP usada pelo conector de dados SAP do Microsoft Sentinel. Essas autorizações estão incluídas na função SAP /MSFTSEN/SENTINEL_RESPONDER especificamente para ações de resposta a interrupções de ataques.
Objeto de autorização Campo Value S_RFC RFC_TYPE Módulo de função S_RFC RFC_NAME BAPI_USER_LOCK S_RFC RFC_NAME BAPI_USER_UNLOCK S_RFC RFC_NAME TH_DELETE_USER
Ao contrário do seu nome, esta função não elimina utilizadores, mas termina a sessão de utilizador ativa.S_USER_GRP CLASSE *
Recomendamos substituir S_USER_GRP CLASS pelas classes relevantes em sua organização que representam usuários de diálogo.S_USER_GRP ACTVT 03 S_USER_GRP ACTVT 05
Para obter mais informações, consulte Autorizações ABAP necessárias.
Conteúdos relacionados
Para obter mais informações, consulte: