Memperbarui agen konektor data aplikasi Microsoft Azure Sentinel untuk aplikasi SAP

Artikel ini memperlihatkan kepada Anda cara memperbarui konektor data Microsoft Sentinel untuk SAP yang sudah ada ke versi terbarunya sehingga Anda dapat menggunakan fitur dan peningkatan terbaru.

Selama proses pembaruan agen konektor data, mungkin ada waktu henti singkat sekitar 10 detik. Untuk memastikan integritas data, entri database menyimpan tanda waktu log yang terakhir diambil. Setelah pembaruan selesai, proses pengambilan data dilanjutkan dari log terakhir yang diambil, mencegah duplikat dan memastikan aliran data yang mulus.

Pembaruan otomatis atau manual yang dijelaskan dalam artikel ini hanya relevan dengan agen konektor SAP, dan bukan untuk solusi Microsoft Sentinel untuk aplikasi SAP. Agar berhasil memperbarui solusi, agen Anda harus diperbarui. Solusi ini diperbarui secara terpisah, seperti yang Anda lakukan pada solusi Microsoft Azure Sentinel lainnya.

Konten dalam artikel ini relevan untuk tim keamanan, infrastruktur, dan SAP BASIS Anda.

Prasyarat

Sebelum memulai:

• Pastikan Anda memiliki semua prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP. Untuk informasi selengkapnya, lihat Prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.

• Pastikan Anda memahami lingkungan dan arsitektur SAP dan Microsoft Azure Sentinel, termasuk mesin tempat agen konektor dan kolektor Anda diinstal.

Mengonfigurasi pembaruan otomatis untuk agen konektor data SAP (Pratinjau)

Konfigurasikan pembaruan otomatis untuk agen konektor, baik untuk semua kontainer yang ada atau kontainer tertentu.

Perintah yang dijelaskan di bagian ini membuat pekerjaan cron yang berjalan setiap hari, memeriksa pembaruan, dan memperbarui agen ke versi GA terbaru. Kontainer yang menjalankan versi pratinjau agen yang lebih baru dari versi GA terbaru tidak diperbarui. File log untuk pembaruan otomatis terletak di komputer pengumpul, di /var/log/sapcon-sentinel-register-autoupdate.log.

Setelah Anda mengonfigurasi pembaruan otomatis untuk agen sekali, pembaruan otomatis selalu dikonfigurasi untuk pembaruan otomatis.

Mengonfigurasi pembaruan otomatis untuk semua kontainer yang ada

Untuk mengaktifkan pembaruan otomatis untuk semua kontainer yang ada dengan agen SAP yang terhubung, jalankan perintah berikut pada komputer pengumpul:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Jika Anda bekerja dengan beberapa kontainer, pekerjaan cron memperbarui agen pada semua kontainer yang ada pada saat Anda menjalankan perintah asli. Jika Anda menambahkan kontainer setelah membuat pekerjaan cron awal, kontainer baru tidak diperbarui secara otomatis. Untuk memperbarui kontainer ini, jalankan perintah tambahan untuk menambahkannya.

Mengonfigurasi pembaruan otomatis pada kontainer tertentu

Untuk mengonfigurasi pembaruan otomatis untuk kontainer atau kontainer tertentu, seperti jika Anda menambahkan kontainer setelah menjalankan perintah otomatisasi asli, jalankan perintah berikut pada komputer pengumpul:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Secara bergantian, dalam file /opt/sapcon/[SID atau Agent GUID]/settings.json , tentukan auto_update parameter untuk setiap kontainer sebagai true.

Menonaktifkan pembaruan otomatis

Untuk menonaktifkan pembaruan otomatis untuk kontainer atau kontainer, buka file /opt/sapcon/[SID atau Agent GUID]/settings.json untuk pengeditan dan tentukan auto_update parameter untuk setiap kontainer sebagai false.

Memperbarui agen konektor data SAP secara manual

Untuk memperbarui agen konektor secara manual, pastikan Anda memiliki versi terbaru dari skrip penyebaran yang relevan dari repositori GitHub Microsoft Sentinel.

Untuk informasi selengkapnya, lihat Solusi Microsoft Azure Sentinel untuk referensi file pembaruan agen konektor data aplikasi SAP.

Pada mesin agen konektor data, jalankan:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Kontainer Docker konektor data SAP pada komputer Anda diperbarui.

Pastikan untuk memeriksa pembaruan lain yang tersedia, seperti permintaan perubahan SAP.

Memperbarui sistem Anda untuk gangguan serangan

Gangguan serangan otomatis untuk SAP didukung di platform operasi keamanan terpadu Microsoft, dan memerlukan:

• Ruang kerja yang di-onboard ke portal Defender.

• Agen konektor data SAP Microsoft Sentinel, versi 90847355 atau yang lebih tinggi. Periksa versi agen Anda saat ini dan perbarui jika perlu.

• Peran berikut di Azure dan SAP:

  • Persyaratan peran Azure: Identitas VM agen konektor data Anda harus ditetapkan ke peran Microsoft Azure Operator Agen Aplikasi Bisnis Microsoft Sentinel. Verifikasi penetapan ini dan tetapkan peran ini secara manual jika perlu.

  • Persyaratan peran SAP: Peran SAP /MSFTSEN/SENTINEL_RESPONDER harus diterapkan ke sistem SAP Anda dan ditetapkan ke akun pengguna SAP yang digunakan oleh agen konektor data. Verifikasi penetapan ini dan terapkan dan tetapkan peran jika perlu.

Prosedur berikut menjelaskan cara memenuhi persyaratan ini jika belum terpenuhi.

Memverifikasi versi agen konektor data Anda saat ini

Untuk memverifikasi versi agen Anda saat ini, jalankan kueri berikut dari halaman Log Microsoft Azure Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Lihat informasi selengkapnya tentang item berikut yang digunakan dalam contoh sebelumnya, dalam dokumentasi Kusto:

• operator di mana
• operator ringkas
• operator proyek
• fungsi agregasi arg_max()
• fungsi agregasi make_set()

Untuk informasi selengkapnya tentang KQL, lihat gambaran umum Bahasa Kueri Kusto (KQL).

Sumber daya lainnya:

• Referensi cepat KQL
• Bahasa Kueri Kusto sumber daya pembelajaran

Periksa peran Azure yang diperlukan

Gangguan serangan untuk SAP mengharuskan Anda memberikan identitas VM agen Anda dengan izin tertentu ke ruang kerja Log Analytics yang diaktifkan untuk Microsoft Azure Sentinel, menggunakan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel.

Pertama periksa untuk melihat apakah peran Anda sudah ditetapkan:

1. Temukan ID objek identitas VM Anda di Azure:

   1. Buka Aplikasi>perusahaan Semua aplikasi, dan pilih VM atau nama aplikasi terdaftar Anda, tergantung pada jenis identitas yang Anda gunakan untuk mengakses brankas kunci Anda.
   2. Salin nilai bidang ID Objek untuk digunakan dengan perintah yang disalin.

2. Jalankan perintah berikut untuk memverifikasi apakah peran ini sudah ditetapkan, menggantikan nilai tempat penampung sesuai kebutuhan.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Output menunjukkan daftar peran yang ditetapkan ke ID objek.

Menetapkan peran Azure yang diperlukan secara manual

Jika peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel belum ditetapkan ke identitas VM agen Anda, gunakan langkah-langkah berikut untuk menetapkannya secara manual. Pilih tab untuk portal Azure atau baris perintah, tergantung pada cara agen Anda disebarkan. Agen yang disebarkan dari baris perintah tidak ditampilkan di portal Azure, dan Anda harus menggunakan baris perintah untuk menetapkan peran.

Untuk melakukan prosedur ini, Anda harus menjadi pemilik grup sumber daya di ruang kerja Analitik Log yang diaktifkan untuk Microsoft Azure Sentinel.

Menerapkan dan menetapkan peran SAP SENTINEL_RESPONDER ke sistem SAP Anda

Terapkan peran SAP /MSFTSEN/SENTINEL_RESPONDER ke sistem SAP Anda dan tetapkan ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel.

Untuk menerapkan dan menetapkan peran /MSFTSEN/SENTINEL_RESPONDER SAP:

1. Unggah definisi peran dari file /MSFTSEN/SENTINEL_RESPONDER di GitHub.

2. Tetapkan peran /MSFTSEN/SENTINEL_RESPONDER ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel. Untuk informasi selengkapnya, lihat Mengonfigurasi sistem SAP Anda untuk solusi Microsoft Azure Sentinel.

   Secara bergantian, tetapkan otorisasi berikut secara manual ke peran saat ini yang sudah ditetapkan ke akun pengguna SAP yang digunakan oleh konektor data SAP Microsoft Sentinel. Otorisasi ini disertakan dalam peran SAP /MSFTSEN/SENTINEL_RESPONDER khusus untuk tindakan respons gangguan serangan.

   Obyek otorisasi	Bidang	Nilai
   S_RFC	RFC_TYPE	Modul Fungsi
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER Berbeda dengan namanya, fungsi ini tidak menghapus pengguna, tetapi mengakhiri sesi pengguna aktif.
   S_USER_GRP	KELAS	* Sebaiknya ganti S_USER_GRP CLASS dengan kelas yang relevan di organisasi Anda yang mewakili pengguna dialog.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan.

Konten terkait

Untuk informasi selengkapnya, lihat:

• Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP
• Memantau kesehatan sistem SAP Anda
• Memecahkan masalah solusi Microsoft Azure Sentinel Anda untuk penyebaran aplikasi SAP