Actualización del agente del conector de datos de SAP de Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se muestra cómo actualizar un conector de datos de Microsoft Sentinel para SAP ya existente a su versión más reciente.

Para obtener las características más recientes, puede habilitar las actualizaciones automáticas del agente del conector de datos de SAP o actualizar manualmente el agente.

Las actualizaciones automáticas o manuales que se describen en este artículo solo son relevantes para el agente del conector de SAP y no para la solución de Microsoft Sentinel para SAP. Para actualizar correctamente la solución, el agente debe estar actualizado. La solución se actualiza por separado.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Antes de empezar, asegúrese de que tiene todos los requisitos previos para implementar la solución de Microsoft Sentinel para aplicaciones SAP.

Para más información, vea Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP®.

Actualizar automáticamente el agente del conector de datos de SAP (versión preliminar)

Puede optar por habilitar las actualizaciones automáticas del agente del conector en todos los contenedores existentes o en un contenedor específico.

Importante

La actualización automática del agente del conector de datos de SAP se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Habilitación de actualizaciones automáticas en todos los contenedores existentes

Para habilitar las actualizaciones automáticas en todos los contenedores existentes (todos los contenedores con un agente de SAP conectado), ejecute el siguiente comando en la máquina del recopilador:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

El comando crea un trabajo cron que se ejecuta diariamente y comprueba si hay actualizaciones. Si el trabajo detecta una nueva versión del agente, actualiza el agente en todos los contenedores que existen al ejecutar el comando anterior. Si un contenedor ejecuta una versión preliminar más reciente que la versión más reciente (la versión que instala el trabajo), el trabajo no actualiza ese contenedor.

Si agrega contenedores después de ejecutar el trabajo cron, los nuevos contenedores no se actualizan automáticamente. Para actualizar estos contenedores, en el archivo /opt/sapcon/[GUID del agente o SID]/settings.json, defina el parámetro auto_update para cada uno de los contenedores como true.

Los registros de esta actualización se encuentran en var/log/sapcon-sentinel-register-autoupdate.log/.

Habilitación de las actualizaciones automáticas en un contenedor específico

Para habilitar las actualizaciones automáticas en un contenedor o contenedores específicos, ejecute el siguiente comando:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Los registros de esta actualización se encuentran en /var/log/sapcon-sentinel-register-autoupdate.log.

Deshabilitación de las actualizaciones automáticas

Para deshabilitar las actualizaciones automáticas de un contenedor o contenedores, defina el parámetro auto_update para cada uno de los contenedores como false.

Actualización manual del agente del conector de datos de SAP

Para actualizar manualmente el agente del conector, asegúrese de que tiene las versiones más recientes de los scripts de implementación correspondientes del repositorio de GitHub de Microsoft Sentinel.

Ejecute:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

El contenedor de Docker del conector de datos de SAP en la máquina está actualizado.

Asegúrese de comprobar si hay otras actualizaciones disponibles, como:

• Solicitudes de cambio de SAP pertinentes, en el repositorio de GitHub de Microsoft Sentinel.
• Contenido de seguridad de la solución Microsoft Sentinel para aplicaciones SAP® en la solución Microsoft Sentinel para aplicaciones SAP®.
• Listas de reproducción pertinentes, en el repositorio de GitHub de Microsoft Sentinel.

Actualización del sistema para la interrupción de ataques

La interrupción automática de ataques para SAP se admite con la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender y requiere:

• Un área de trabajo incorporada a la plataforma unificada de operaciones de seguridad.

• Un agente conector de datos Microsoft Sentinel SAP, versión 90847355 o superior. Compruebe la versión actual del agente y actualícela si es necesario.

• La identidad de la VM de agente de conector de datos asignada al rol de Azure de Operador del agente de aplicaciones empresariales de Microsoft Sentinel. Si no se asigna este rol, asegúrese de asignar estos roles manualmente.

• El rol de SAP /MSFTSEN/SENTINEL_RESPONDER, aplicado a su sistema SAP y asignado a la cuenta de usuario de SAP utilizada por el agente de conector de datos SAP de Microsoft Sentinel.

Compruebe la versión actual del agente de conector de datos

Para comprobar la versión actual de su agente, ejecute la siguiente consulta desde la página de Registros de Microsoft Sentinel:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Compruebe los roles de Azure necesarios

La interrupción de ataques para SAP requiere que conceda a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Microsoft Sentinel mediante los roles de Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector.

En primer lugar, compruebe si los roles ya están asignados:

1. Busque el id. del objeto de identidad de máquina virtual en Azure:

   1. Vaya a Aplicación empresarial>Todas las aplicaciones y seleccione el nombre de la máquina virtual o de la aplicación registrada, en función del tipo de identidad que usa para acceder al almacén de claves.
   2. Copie el valor del campo Id. de objeto para usarlo con su comando copiado.

2. Ejecute el siguiente comando para comprobar si estos roles ya están asignados, reemplazando los valores del marcador de posición según sea necesario.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   La salida muestra una lista de los roles asignados al id. de objeto.

Asigne manualmente los roles de Azure necesarios

Si los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector aún no están asignados a la identidad de máquina virtual del agente, siga estos pasos para asignarlos manualmente. Seleccione la pestaña de Azure Portal o la línea de comandos, en función de cómo se implemente el agente. Los agentes implementados desde la línea de comandos no se muestran en Azure Portal, y debe usar la línea de comandos para asignar los roles.

Para realizar este procedimiento, debe ser propietario del grupo de recursos en el área de trabajo de Microsoft Sentinel.

Azure Portal

1. En Microsoft Sentinel, en la página Configuración > Conectores de datos, vaya a su conector de datos de Microsoft Sentinel para SAP y seleccione Abrir la página del conector.

2. En el área Configuración, en el paso 1. Agregue un agente recopilador basado en API, busque el agente que va a actualizar y seleccione el botón Mostrar comandos.

3. Copie los comandos de asignación de roles que se muestran. Ejecútelos en la máquina virtual del agente remplazando los marcadores de posición Object_ID por el id. de objeto de identidad de su máquina virtual.

   Estos comandos asignan los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector de Azure a la identidad administrada de su máquina virtual, incluyendo solo el ámbito de los datos del agente especificado en el área de trabajo.

Importante

La asignación de los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector a través de la CLI asigna los roles solo en el ámbito de los datos del agente especificado en el área de trabajo. Esta es la opción más segura y, por tanto, recomendada.

Si debe asignar los roles a través de Azure Portal, recomendamos asignarlos en un ámbito reducido, como solo en el área de trabajo de Microsoft Sentinel.

Línea de comandos

1. Para obtener el id. del agente, ejecute el comando siguiente remplazando el marcador de posición <container_name> por el nombre de su contenedor Docker:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Por ejemplo, un identificador de agente devuelto podría ser 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Asigne los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector ejecutando los siguientes comandos:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Reemplace los valores de marcador de posición como se indica a continuación:

   Marcador	Valor
   <OBJ_ID>	Identificador del objeto de identidad de la máquina virtual.
   <SUB_ID>	Identificador de suscripción del área de trabajo de Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Nombre del grupo de recursos del área de trabajo de Microsoft Sentinel
   <WS_NAME>	Nombre del área de trabajo de Microsoft Sentinel
   <AGENT_IDENTIFIER>	El identificador del agente que se muestra después de ejecutar el comando en el paso anterior.

Aplicar y asignar el rol de SAP SENTINEL_RESPONDER al sistema SAP

Aplique el rol de SAP /MSFTSEN/SENTINEL_RESPONDER a su sistema SAP y asígnelo a la cuenta de usuario de SAP utilizada por el agente de conector de datos de SAP de Microsoft Sentinel.

Para aplicar y asignar el rol de SAP /MSFTSEN/SENTINEL_RESPONDER:

1. Cargue las definiciones de la función del archivo /MSFTSEN/SENTINEL_RESPONDER en GitHub.

2. Asigne la función /MSFTSEN/SENTINEL_RESPONDER a la cuenta de usuario SAP utilizada por el agente conector de datos SAP de Microsoft Sentinel. Para obtener más información, consulte Implementación de solicitudes de cambio de SAP y configuración de la autorización.

Como alternativa, asigne manualmente las siguientes autorizaciones a la función actual ya asignada a la cuenta de usuario SAP utilizada por el conector de datos SAP de Microsoft Sentinel. Estas autorizaciones se incluyen en la función SAP /MSFTSEN/SENTINEL_RESPONDER específicamente para acciones de respuesta a la interrupción de ataques.

Objeto de autorización	Campo	Value
S_RFC	RFC_TYPE	Módulo de función
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER A diferencia de su nombre, esta función no elimina usuarios, sino que finaliza la sesión de usuario activa.
S_USER_GRP	CLASS	* Recomendamos sustituir S_USER_GRP CLASS por las clases relevantes de su organización que representen a los usuarios de diálogo.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Para obtener más información, consulta Autorizaciones de ABAP necesarias.

Pasos siguientes

Obtenga más información sobre la solución Microsoft Sentinel para aplicaciones SAP®:

• Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
• Implementación de solicitudes de cambio de SAP y configuración de la autorización
• Implementar el contenido de la solución desde el centro de contenido
• Implementación y configuración del contenedor del agente de conector de datos de SAP
• Supervisar el estado del sistema SAP
• Implementación del conector de datos de Microsoft Sentinel para SAP con SNC
• Habilitación y configuración de la auditoría para SAP para Microsoft Sentinel
• Recopilación de registros de auditoría de SAP HANA

Solución del problema:

• Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones de SAP®

Archivos de referencia:

• Referencia de datos de la solución Microsoft Sentinel para aplicaciones SAP®
• Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad
• Referencia de scripts de kickstart
• Referencia del script de actualización
• Referencia del archivo systemconfig.ini

Para obtener más información, consulte soluciones de Microsoft Sentinel.