SAP uygulamaları için Microsoft Sentinel veri bağlayıcısı aracısını güncelleştirme

Bu makalede, sap veri bağlayıcısı için zaten var olan bir Microsoft Sentinel'i en son sürüme nasıl güncelleştirebileceğiniz gösterilmektedir, böylece en son özellikleri ve iyileştirmeleri kullanabilirsiniz.

Veri bağlayıcısı aracısı güncelleştirme işlemi sırasında yaklaşık 10 saniyelik kısa bir kapalı kalma süresi olabilir. Veri bütünlüğünü sağlamak için, veritabanı girişi son getirilen günlüğün zaman damgasını depolar. Güncelleştirme tamamlandıktan sonra, veri getirme işlemi getirilen son günlükten devam eder, yinelenenleri önler ve sorunsuz bir veri akışı sağlar.

Bu makalede açıklanan otomatik veya el ile güncelleştirmeler, SAP uygulamaları için Microsoft Sentinel çözümüyle değil, yalnızca SAP bağlayıcı aracısı ile ilgilidir. Çözümü başarıyla güncelleştirmek için aracınızın güncel olması gerekir. Çözüm, diğer Tüm Microsoft Sentinel çözümleri gibi ayrı olarak güncelleştirilir.

Bu makaledeki içerik güvenlik, altyapı ve SAP BASIS ekiplerinizle ilgilidir.

Önkoşullar

Başlamadan önce:

• SAP uygulamaları için Microsoft Sentinel çözümünü dağıtmak için tüm önkoşullara sahip olduğunuzdan emin olun. Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları.

• Bağlayıcı aracılarınızın ve toplayıcılarınızın yüklü olduğu makineler de dahil olmak üzere SAP ve Microsoft Sentinel ortamlarınızı ve mimarinizi anladığınızdan emin olun.

SAP veri bağlayıcısı aracısı için otomatik güncelleştirmeleri yapılandırma (Önizleme)

Tüm mevcut kapsayıcılar veya belirli bir kapsayıcı için bağlayıcı aracısı için otomatik güncelleştirmeleri yapılandırın.

Bu bölümde açıklanan komutlar günlük çalışan, güncelleştirmeleri denetleyen ve aracıyı en son GA sürümüne güncelleştiren bir cron işi oluşturur. Aracının en son GA sürümünden daha yeni bir önizleme sürümünü çalıştıran kapsayıcılar güncelleştirilmez. Otomatik güncelleştirmeler için günlük dosyaları toplayıcı makinesinde ,/var/log/sapcon-sentinel-register-autoupdate.log konumunda bulunur.

Aracı için otomatik güncelleştirmeleri bir kez yapılandırdıktan sonra, her zaman otomatik güncelleştirmeler için yapılandırılır.

Tüm mevcut kapsayıcılar için otomatik güncelleştirmeleri yapılandırma

Bağlı sap aracısı olan tüm mevcut kapsayıcılar için otomatik güncelleştirmeleri açmak için toplayıcı makinesinde aşağıdaki komutu çalıştırın:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

Birden çok kapsayıcıyla çalışıyorsanız cron işi, özgün komutu çalıştırdığınız sırada var olan tüm kapsayıcılarda aracıyı güncelleştirir. İlk cron işini oluşturduktan sonra kapsayıcılar eklerseniz, yeni kapsayıcılar otomatik olarak güncelleştirilmez. Bu kapsayıcıları güncelleştirmek için ek bir komut çalıştırarak bunları ekleyin.

Belirli bir kapsayıcıda otomatik güncelleştirmeleri yapılandırma

Özgün otomasyon komutunu çalıştırdıktan sonra kapsayıcı eklediyseniz, belirli bir kapsayıcı veya kapsayıcı için otomatik güncelleştirmeleri yapılandırmak için toplayıcı makinesinde aşağıdaki komutu çalıştırın:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Alternatif olarak, /opt/sapcon/[SID veya Aracı GUID]/settings.json dosyasında kapsayıcıların her biri için parametresini olarak truetanımlayınauto_update.

Otomatik güncelleştirmeleri kapatma

Kapsayıcı veya kapsayıcılar için otomatik güncelleştirmeleri kapatmak için düzenlemek üzere /opt/sapcon/[SID veya Aracı GUID]/settings.json dosyasını açın ve kapsayıcıların her biri için parametresini olarak falsetanımlayınauto_update.

SAP veri bağlayıcısı aracıyı el ile güncelleştirme

Bağlayıcı aracısını el ile güncelleştirmek için, Microsoft Sentinel GitHub deposundaki ilgili dağıtım betiklerinin en son sürümlerine sahip olduğunuzdan emin olun.

Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümü veri bağlayıcısı aracısı güncelleştirme dosyası başvurusu.

Veri bağlayıcısı aracı makinesinde şunu çalıştırın:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Makinenizdeki SAP veri bağlayıcısı Docker kapsayıcısı güncelleştirilir.

SAP değişiklik istekleri gibi diğer kullanılabilir güncelleştirmeleri denetlediğinizden emin olun.

Sisteminizi saldırı kesintisi için güncelleştirme

SAP için otomatik saldırı kesintisi Microsoft'un birleşik güvenlik operasyonları platformunda desteklenir ve şunları gerektirir:

• Defender portalına eklenen çalışma alanı.

• Microsoft Sentinel SAP veri bağlayıcısı aracısı, sürüm 90847355 veya üzeri. Geçerli aracı sürümünüzü denetleyin ve gerekirse güncelleştirin.

• Azure ve SAP'de aşağıdaki roller:

  • Azure rol gereksinimi: Veri bağlayıcısı aracısı VM'nizin kimliği Microsoft Sentinel İş Uygulamaları Aracısı Operatörü Azure rolüne atanmalıdır. Bu atamayı doğrulayın ve gerekirse bu rolü el ile atayın.

  • SAP rolü gereksinimi: /MSFTSEN/SENTINEL_RESPONDER SAP rolü SAP sisteminize uygulanmalı ve veri bağlayıcısı aracısı tarafından kullanılan SAP kullanıcı hesabına atanmalıdır. Bu atamayı doğrulayın ve gerekirse rolü uygulayın ve atayın.

Aşağıdaki yordamlarda, henüz karşılanmamışsa bu gereksinimlerin nasıl karşılandığı açıklanmaktadır.

Geçerli veri bağlayıcısı aracı sürümünüzü doğrulama

Geçerli aracı sürümünüzü doğrulamak için Microsoft Sentinel Günlükleri sayfasından aşağıdaki sorguyu çalıştırın:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Yukarıdaki örnekte kullanılan aşağıdaki öğeler hakkında kusto belgelerinde daha fazla bilgi bulabilirsiniz:

• where işleci
• summarize işleci
• project işleci
• arg_max() toplama işlevi
• make_set() toplama işlevi

KQL hakkında daha fazla bilgi için bkz. Kusto Sorgu Dili (KQL) genel bakış.

Diğer kaynaklar:

• KQL hızlı başvurusu
• Kusto Sorgu Dili öğrenme kaynakları

Gerekli Azure rollerini denetleme

SAP için saldırı kesintisi, Microsoft Sentinel İş Uygulamaları Aracısı Operatörü ve Okuyucu rollerini kullanarak aracınızın VM kimliğine Microsoft Sentinel için etkinleştirilmiş Log Analytics çalışma alanı için belirli izinler vermenizi gerektirir.

İlk olarak rollerinizin zaten atanmış olup olmadığını denetleyin:

1. Azure'da VM kimlik nesne kimliğinizi bulun:

   1. Kurumsal uygulama>Tüm uygulamalar'a gidin ve anahtar kasanıza erişmek için kullandığınız kimliğin türüne bağlı olarak VM'nizi veya kayıtlı uygulama adınızı seçin.
   2. Kopyaladığınız komutla kullanmak için Nesne Kimliği alanının değerini kopyalayın.

2. Bu rollerin zaten atanıp atanmadığını doğrulamak için aşağıdaki komutu çalıştırın ve yer tutucu değerlerini gerektiği gibi değiştirin.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Çıktı, nesne kimliğine atanan rollerin listesini gösterir.

Gerekli Azure rollerini el ile atama

Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rolleri henüz aracınızın VM kimliğine atanmamışsa, bunları el ile atamak için aşağıdaki adımları kullanın. Aracınızın nasıl dağıtılacağına bağlı olarak Azure portalının sekmesini veya komut satırını seçin. Komut satırından dağıtılan aracılar Azure portalında gösterilmez ve rolleri atamak için komut satırını kullanmanız gerekir.

Bu yordamı gerçekleştirmek için Log Analytics çalışma alanınızda Microsoft Sentinel için etkinleştirilmiş bir kaynak grubu sahibi olmanız gerekir.

SAP sisteminize SENTINEL_RESPONDER SAP rolünü uygulama ve atama

SAP sisteminize /MSFTSEN/SENTINEL_RESPONDER SAP rolü uygulayın ve bunu Microsoft Sentinel'in SAP veri bağlayıcı aracısı tarafından kullanılan SAP kullanıcı hesabına atayın.

/MSFTSEN/SENTINEL_RESPONDER SAP rolünü uygulamak ve atamak için:

1. GitHub'daki /MSFTSEN/SENTINEL_RESPONDER dosyasından rol tanımlarını karşıya yükleyin.

2. Microsoft Sentinel'in SAP veri bağlayıcı aracısı tarafından kullanılan SAP kullanıcı hesabına /MSFTSEN/SENTINEL_RESPONDER rolünü atayın. Daha fazla bilgi için bkz. Microsoft Sentinel çözümü için SAP sisteminizi yapılandırma.

   Alternatif olarak, Microsoft Sentinel'in SAP veri bağlayıcısı tarafından kullanılan SAP kullanıcı hesabına atanmış geçerli role aşağıdaki yetkilendirmeleri el ile atayın. Bu yetkilendirmeler, özellikle saldırı kesintisi yanıt eylemleri için /MSFTSEN/SENTINEL_RESPONDER SAP rolüne dahil edilir.

   Yetkilendirme nesnesi	Alan	Değer
   S_RFC	RFC_TYPE	İşlev Modülü
   S_RFC	RFC_NAME	BAPI_USER_LOCK
   S_RFC	RFC_NAME	BAPI_USER_UNLOCK
   S_RFC	RFC_NAME	TH_DELETE_USER Adından farklı olarak, bu işlev kullanıcıları silmez, ancak etkin kullanıcı oturumunu sonlandırır.
   S_USER_GRP	SINIF	* S_USER_GRP CLASS öğesini kuruluşunuzdaki iletişim kutusu kullanıcılarını temsil eden ilgili sınıflarla değiştirmenizi öneririz.
   S_USER_GRP	ACTVT	03
   S_USER_GRP	ACTVT	05

Daha fazla bilgi için bkz . Gerekli ABAP yetkilendirmeleri.

İlgili içerik

Daha fazla bilgi için bkz.

• SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma
• SAP sisteminizin durumunu izleme
• SAP uygulamaları dağıtımı için Microsoft Sentinel çözümünüzün sorunlarını giderme