Memperbarui agen konektor data aplikasi Microsoft Azure Sentinel untuk aplikasi SAP
Artikel ini memperlihatkan kepada Anda cara memperbarui konektor data Microsoft Sentinel untuk SAP yang sudah ada ke versi terbarunya sehingga Anda dapat menggunakan fitur dan peningkatan terbaru.
Selama proses pembaruan agen konektor data, mungkin ada waktu henti singkat sekitar 10 detik. Untuk memastikan integritas data, entri database menyimpan tanda waktu log yang terakhir diambil. Setelah pembaruan selesai, proses pengambilan data dilanjutkan dari log terakhir yang diambil, mencegah duplikat dan memastikan aliran data yang mulus.
Pembaruan otomatis atau manual yang dijelaskan dalam artikel ini hanya relevan dengan agen konektor SAP, dan bukan untuk solusi Microsoft Sentinel untuk aplikasi SAP. Agar berhasil memperbarui solusi, agen Anda harus diperbarui. Solusi ini diperbarui secara terpisah, seperti yang Anda lakukan pada solusi Microsoft Azure Sentinel lainnya.
Konten dalam artikel ini relevan untuk tim keamanan, infrastruktur, dan SAP BASIS Anda.
Catatan
Artikel ini hanya relevan untuk agen konektor data, dan tidak relevan untuk solusi tanpa agen SAP (pratinjau terbatas).
Prasyarat
Sebelum memulai:
Pastikan Anda memiliki semua prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP. Untuk informasi selengkapnya, lihat Prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.
Pastikan Anda memahami lingkungan dan arsitektur SAP dan Microsoft Azure Sentinel, termasuk mesin tempat agen konektor dan kolektor Anda diinstal.
Mengonfigurasi pembaruan otomatis untuk agen konektor data SAP (Pratinjau)
Konfigurasikan pembaruan otomatis untuk agen konektor, baik untuk semua kontainer yang ada atau kontainer tertentu.
Perintah yang dijelaskan di bagian ini membuat pekerjaan cron yang berjalan setiap hari, memeriksa pembaruan, dan memperbarui agen ke versi GA terbaru. Kontainer yang menjalankan versi pratinjau agen yang lebih baru dari versi GA terbaru tidak diperbarui. File log untuk pembaruan otomatis terletak di komputer pengumpul, di /var/log/sapcon-sentinel-register-autoupdate.log.
Setelah Anda mengonfigurasi pembaruan otomatis untuk agen sekali, pembaruan otomatis selalu dikonfigurasi untuk pembaruan otomatis.
Penting
Memperbarui agen konektor data SAP secara otomatis saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Mengonfigurasi pembaruan otomatis untuk semua kontainer yang ada
Untuk mengaktifkan pembaruan otomatis untuk semua kontainer yang ada dengan agen SAP yang terhubung, jalankan perintah berikut pada komputer pengumpul:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
Jika Anda bekerja dengan beberapa kontainer, pekerjaan cron memperbarui agen pada semua kontainer yang ada pada saat Anda menjalankan perintah asli. Jika Anda menambahkan kontainer setelah membuat pekerjaan cron awal, kontainer baru tidak diperbarui secara otomatis. Untuk memperbarui kontainer ini, jalankan perintah tambahan untuk menambahkannya.
Mengonfigurasi pembaruan otomatis pada kontainer tertentu
Untuk mengonfigurasi pembaruan otomatis untuk kontainer atau kontainer tertentu, seperti jika Anda menambahkan kontainer setelah menjalankan perintah otomatisasi asli, jalankan perintah berikut pada komputer pengumpul:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
Secara bergantian, dalam file /opt/sapcon/[SID atau Agent GUID]/settings.json , tentukan auto_update
parameter untuk setiap kontainer sebagai true
.
Menonaktifkan pembaruan otomatis
Untuk menonaktifkan pembaruan otomatis untuk kontainer atau kontainer, buka file /opt/sapcon/[SID atau Agent GUID]/settings.json untuk pengeditan dan tentukan auto_update
parameter untuk setiap kontainer sebagai false
.
Memperbarui agen konektor data SAP secara manual
Untuk memperbarui agen konektor secara manual, pastikan Anda memiliki versi terbaru dari skrip penyebaran yang relevan dari repositori GitHub Microsoft Sentinel.
Untuk informasi selengkapnya, lihat Solusi Microsoft Azure Sentinel untuk referensi file pembaruan agen konektor data aplikasi SAP.
Pada mesin agen konektor data, jalankan:
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
Kontainer Docker konektor data SAP pada komputer Anda diperbarui.
Pastikan untuk memeriksa pembaruan lain yang tersedia, seperti permintaan perubahan SAP.
Memperbarui sistem Anda untuk gangguan serangan
Gangguan serangan otomatis untuk SAP didukung di platform operasi keamanan terpadu Microsoft, dan memerlukan:
Ruang kerja yang di-onboard ke portal Defender.
Agen konektor data SAP Microsoft Sentinel, versi 90847355 atau yang lebih tinggi. Periksa versi agen Anda saat ini dan perbarui jika perlu.
Peran berikut di Azure dan SAP:
Persyaratan peran Azure: Identitas VM agen konektor data Anda harus ditetapkan ke peran Microsoft Azure Operator Agen Aplikasi Bisnis Microsoft Sentinel. Verifikasi penetapan ini dan tetapkan peran ini secara manual jika perlu.
Persyaratan peran SAP: Peran SAP /MSFTSEN/SENTINEL_RESPONDER harus diterapkan ke sistem SAP Anda dan ditetapkan ke akun pengguna SAP yang digunakan oleh agen konektor data. Verifikasi penetapan ini dan terapkan dan tetapkan peran jika perlu.
Prosedur berikut menjelaskan cara memenuhi persyaratan ini jika belum terpenuhi.
Memverifikasi versi agen konektor data Anda saat ini
Untuk memverifikasi versi agen Anda saat ini, jalankan kueri berikut dari halaman Log Microsoft Azure Sentinel:
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
Lihat informasi selengkapnya tentang item berikut yang digunakan dalam contoh sebelumnya, dalam dokumentasi Kusto:
- operator di mana
- operator ringkas
- operator proyek
- fungsi agregasi arg_max()
- fungsi agregasi make_set()
Untuk informasi selengkapnya tentang KQL, lihat gambaran umum Bahasa Kueri Kusto (KQL).
Sumber daya lainnya:
Periksa peran Azure yang diperlukan
Gangguan serangan untuk SAP mengharuskan Anda memberikan identitas VM agen Anda dengan izin tertentu ke ruang kerja Log Analytics yang diaktifkan untuk Microsoft Azure Sentinel, menggunakan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel.
Pertama periksa untuk melihat apakah peran Anda sudah ditetapkan:
Temukan ID objek identitas VM Anda di Azure:
- Buka Aplikasi>perusahaan Semua aplikasi, dan pilih VM atau nama aplikasi terdaftar Anda, tergantung pada jenis identitas yang Anda gunakan untuk mengakses brankas kunci Anda.
- Salin nilai bidang ID Objek untuk digunakan dengan perintah yang disalin.
Jalankan perintah berikut untuk memverifikasi apakah peran ini sudah ditetapkan, menggantikan nilai tempat penampung sesuai kebutuhan.
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
Output menunjukkan daftar peran yang ditetapkan ke ID objek.
Menetapkan peran Azure yang diperlukan secara manual
Jika peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel belum ditetapkan ke identitas VM agen Anda, gunakan langkah-langkah berikut untuk menetapkannya secara manual. Pilih tab untuk portal Azure atau baris perintah, tergantung pada cara agen Anda disebarkan. Agen yang disebarkan dari baris perintah tidak ditampilkan di portal Azure, dan Anda harus menggunakan baris perintah untuk menetapkan peran.
Untuk melakukan prosedur ini, Anda harus menjadi pemilik grup sumber daya di ruang kerja Analitik Log yang diaktifkan untuk Microsoft Azure Sentinel.
Di Microsoft Azure Sentinel, pada halaman Konektor Data Konfigurasi>, buka konektor data Microsoft Azure Sentinel untuk SAP Anda dan pilih Buka halaman konektor.
Di area Konfigurasi, di bawah langkah 1. Tambahkan agen kolektor berbasis API, temukan agen yang Anda perbarui dan pilih tombol Tampilkan perintah.
Salin perintah Penetapan peran yang ditampilkan. Jalankan di VM agen Anda, ganti
Object_ID
tempat penampung dengan ID objek identitas VM Anda.Perintah ini menetapkan peran Operator Agen Aplikasi Bisnis Microsoft Sentinel dan Pembaca Azure ke identitas terkelola VM Anda, termasuk hanya cakupan data agen yang ditentukan di ruang kerja.
Penting
Menetapkan peran Operator dan Pembaca Agen Aplikasi Bisnis Microsoft Sentinel melalui CLI menetapkan peran hanya pada cakupan data agen yang ditentukan di ruang kerja. Ini adalah opsi yang paling aman, dan oleh karena itu direkomendasikan.
Jika Anda harus menetapkan peran melalui portal Azure, sebaiknya tetapkan peran pada cakupan kecil, seperti hanya di ruang kerja Analitik Log yang diaktifkan untuk Microsoft Azure Sentinel.
Menerapkan dan menetapkan peran SAP SENTINEL_RESPONDER ke sistem SAP Anda
Terapkan peran SAP /MSFTSEN/SENTINEL_RESPONDER ke sistem SAP Anda dan tetapkan ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel.
Untuk menerapkan dan menetapkan peran /MSFTSEN/SENTINEL_RESPONDER SAP:
Unggah definisi peran dari file /MSFTSEN/SENTINEL_RESPONDER di GitHub.
Tetapkan peran /MSFTSEN/SENTINEL_RESPONDER ke akun pengguna SAP yang digunakan oleh agen konektor data SAP Microsoft Sentinel. Untuk informasi selengkapnya, lihat Mengonfigurasi sistem SAP Anda untuk solusi Microsoft Azure Sentinel.
Secara bergantian, tetapkan otorisasi berikut secara manual ke peran saat ini yang sudah ditetapkan ke akun pengguna SAP yang digunakan oleh konektor data SAP Microsoft Sentinel. Otorisasi ini disertakan dalam peran SAP /MSFTSEN/SENTINEL_RESPONDER khusus untuk tindakan respons gangguan serangan.
Obyek otorisasi Bidang Nilai S_RFC RFC_TYPE Modul Fungsi S_RFC RFC_NAME BAPI_USER_LOCK S_RFC RFC_NAME BAPI_USER_UNLOCK S_RFC RFC_NAME TH_DELETE_USER
Berbeda dengan namanya, fungsi ini tidak menghapus pengguna, tetapi mengakhiri sesi pengguna aktif.S_USER_GRP KELAS *
Sebaiknya ganti S_USER_GRP CLASS dengan kelas yang relevan di organisasi Anda yang mewakili pengguna dialog.S_USER_GRP ACTVT 03 S_USER_GRP ACTVT 05
Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan.
Konten terkait
Untuk informasi selengkapnya, lihat: