更新 Microsoft Sentinel 的 SAP 資料連線器代理程式
本文說明如何將現有適用於 SAP 的 Microsoft Sentinel 資料連線器更新為最新版本。
若要取得最新的功能,您可以為 SAP 資料連接器代理程式啟用自動更新,或手動更新代理程式。
本文中所述的自動或手動更新僅與 SAP 連接器代理程式相關,與「適用於 SAP 的 Microsoft Sentinel 解決方案」無關。 若要成功更新解決方案,您的代理程式需要保持最新的狀態。 解決方案會個別更新。
重要
Microsoft Sentinel 現在通常可在 Microsoft Defender 入口網站的 Microsoft 整合安全性作業平台中使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
在開始之前,請確保您具備部署「適用於 SAP 的 Microsoft Sentinel 解決方案」應用程式的所有必要條件。
如需詳細資訊,請參閱部署「適用於 SAP® 的 Microsoft Sentinel 解決方案」應用程式的必要條件。
自動更新 SAP 資料連接器代理程式 (預覽)
您可以選擇在所有現有容器或特定容器上啟用連接器代理程式的自動更新。
重要
自動更新 SAP 資料連接器代理程式目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
對所有現有容器啟用自動更新
若要對所有現有容器 (具有連線的 SAP 代理程式的所有容器) 啟用自動更新,請對收集器機器執行下列命令:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
該命令會建立一個每天執行並檢查更新的 cron 作業。 如果該作業偵測到代理程式的新版本,它會更新您執行上述命令時存在的所有容器上的代理程式。 如果容器執行的預覽版本比最新版本 (該作業安裝的版本) 更新,則該作業不會更新該容器。
如果您在執行 cron 作業後新增容器,則新容器不會自動更新。 若要更新這些容器,請在 /opt/sapcon/[SID 或 Agent GUID]/settings.json 檔案中,將每個容器的 auto_update
參數定義為 true
。
此更新的記錄位於 var/log/sapcon-sentinel-register-autoupdate.log/ 之下。
在特定容器上啟用自動更新
若要在特定的一或多個容器上啟用自動更新,請執行下列命令:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
此更新的記錄位於 /var/log/sapcon-sentinel-register-autoupdate.log 之下。
停用自動更新
若要停用一或多個容器的自動更新,請將每個容器的 auto_update
參數定義為 false
。
手動更新 SAP 資料連接器代理程式
若要手動更新連接器代理程式,請確保您擁有 Microsoft Sentinel GitHub 存放庫中的相關部署指令碼的最新版本。
請執行:
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
電腦上的 SAP 資料連接器 Docker 容器已更新。
請務必檢查是否有任何其他可用的更新,例如:
- 相關 SAP 變更要求,位於 Microsoft Sentinel GitHub 存放庫。
- 「適用於 SAP® 的 Microsoft Sentinel 解決方案」應用程式安全性內容,位於「適用於 SAP® 的 Microsoft Sentinel 解決方案」應用程式解決方案中。
- 相關關注清單,位於 Microsoft Sentinel GitHub 存放庫。
更新您的系統以防止攻擊
SAP 的自動攻擊中斷在 Microsoft Defender 入口網站中的整合安全性作業平台受到支援,並且需要:
已加入整合安全性作業平台的工作區。
Microsoft Sentinel SAP 資料連接器代理程式 90847355 版或更高版本。 檢查您目前的代理程式版本並根據需要進行更新。
指派給 Microsoft Sentinel Business Applications 代理程式操作員 Azure 角色的資料連接器代理程式 VM 的身分識別。 如果未指派此角色,請務必手動指派這些角色。
/MSFTSEN/SENTINEL_RESPONDER SAP 角色,其套用至您的 SAP 系統並指派給 Microsoft Sentinel 的 SAP 資料連接器代理程式所使用的 SAP 使用者帳戶。
驗證您目前的資料連接器代理程式版本
若要驗證您目前的代理程式版本,請從 Microsoft Sentinel 記錄頁面執行下列查詢:
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
檢查所需的 Azure 角色
SAP 攻擊中斷需要您使用 Microsoft Sentinel Business Applications 代理程式操作員和讀取者角色角色向您的代理程式的 VM 身分識別授與對 Microsoft Sentinel 工作區的特定權限。
首先查看您的角色是否已指派:
在 Azure 中尋找您的 VM 身分識別物件識別碼:
- 移至 [企業應用程式]>[所有應用程式],然後根據您用於存取金鑰保存庫的身分識別類型選取您的 VM 或已註冊的應用程式名稱。
- 複製 [物件識別碼] 欄位的值,以用於您先前複製的命令。
執行以下命令來驗證是否已指派這些角色,並根據需要取代預留位置值。
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
輸出會顯示指派給物件識別碼的角色清單。
手動指派必要的 Azure 角色
如果尚未將 Microsoft Sentinel Business Applications 代理程式操作員和讀取者角色指派給代理程式的 VM 身分識別,請使用下列步驟手動指派它們。 根據代理程式的部署方式,選取 Azure 入口網站或命令列的索引標籤。 從命令列部署的代理程式不會顯示在 Azure 入口網站中,您必須使用命令列來指派角色。
若要執行此程序,您必須是 Microsoft Sentinel 工作區上的資源群組擁有者。
在 Microsoft Sentinel 的 [組態] > [資料連接器] 頁面上,移至您的「適用於 SAP 的 Microsoft Sentinel」資料連接器,然後選取 [開啟連接器頁面]。
在 [組態] 區域的步驟 1.新增基於 API 的收集器代理程式,找到您要更新的代理程式,然後選取 [顯示命令] 按鈕。
複製所顯示的角色指派命令。 在您的代理程式 VM 上執行它們,並以您的 VM 身分識別物件識別碼取代
Object_ID
預留位置。這些命令會將 Microsoft Sentinel Business Applications 代理程式操作員和讀者 Azure 角色指派給 VM 的受控識別,僅包括工作區中指定代理程式的資料範圍。
重要
透過 CLI 指派 Microsoft Sentinel Business Applications 代理程式操作員和讀者角色時,只會在工作區中指定代理程式的資料範圍內指派該角色。 這是最安全的選項,因此建議使用。
如果您必須透過 Azure 入口網站指派角色,建議在小範圍內指派角色,例如,僅在 Microsoft Sentinel 工作區上指派。
將 SENTINEL_RESPONDER SAP 角色套用並指派到您的 SAP 系統
將 /MSFTSEN/SENTINEL_RESPONDER SAP 角色套用到您的 SAP 系統,並將其指派給 Microsoft Sentinel 的 SAP 資料連接器代理程式所使用的 SAP 使用者帳戶。
若要套用並指派 /MSFTSEN/SENTINEL_RESPONDER SAP 角色:
從 GitHub 中的 /MSFTSEN/SENTINEL_RESPONDER 檔案上傳角色定義。
將 /MSFTSEN/SENTINEL_RESPONDER 角色指派給 Microsoft Sentinel 的 SAP 資料連接器代理程式所使用的 SAP 使用者帳戶。 如需詳細資訊,請參閱部署 SAP 變更要求和設定授權。
或者,手動將下列授權指派給已指派給 Microsoft Sentinel 的 SAP 資料連接器所使用的 SAP 使用者帳戶的目前角色。 這些授權包含在專門用於攻擊中斷回應動作的 /MSFTSEN/SENTINEL_RESPONDER SAP 角色中。
授權物件 | 欄位 | 值 |
---|---|---|
S_RFC | RFC_TYPE | 函式模組 |
S_RFC | RFC_NAME | BAPI_USER_LOCK |
S_RFC | RFC_NAME | BAPI_USER_UNLOCK |
S_RFC | RFC_NAME | TH_DELETE_USER 與它的名稱相反,此函式不會刪除使用者,而是結束作用中使用者工作階段。 |
S_USER_GRP | CLASS | * 我們建議將 S_USER_GRP CLASS 取代為組織中代表對話方塊使用者的相關類別。 |
S_USER_GRP | ACTVT | 03 |
S_USER_GRP | ACTVT | 05 |
如需詳細資訊,請參閱必要的 ABAP 授權 (部分機器翻譯)。
下一步
深入了解「適用於 SAP® 的 Microsoft Sentinel 解決方案」應用程式:
- 部署適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案
- 部署「適用於 SAP® 的 Microsoft Sentinel 解決方案」應用程式的必要條件
- 部署 SAP 變更要求 (CR) 並設定授權
- 從內容中樞部署解決方案內容
- 部署和設定裝載 SAP 資料連接器代理程式的容器
- 監視 SAP 系統的健康情況
- 使用 SNC 部署適用於 SAP 的 Microsoft Sentinel 資料連接器
- 啟用和設定 SAP 稽核
- 收集 SAP HANA 稽核記錄
疑難排解:
參考檔案:
- 「適用於 SAP® 的 Microsoft Sentinel 解決方案」應用程式資料參考
- 適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考
- 快速啟動指令碼參考
- 更新指令碼參考
- Systemconfig.ini 檔案參考
如需詳細資訊,請參閱 Microsoft Sentinel 解決方案。