Mettre à jour l’agent de connecteur de données SAP de Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article vous montre comment mettre à jour un connecteur de données Microsoft Sentinel pour SAP déjà existant vers sa dernière version.

Pour obtenir les dernières fonctionnalités, vous pouvez activer les mises à jour automatiques pour l’agent de connecteur de données SAP ou mettre à jour manuellement l’agent.

Les mises à jour automatiques ou manuelles décrites dans cet article s’appliquent uniquement à l’agent de connecteur SAP, et non à la Solution Microsoft Sentinel pour SAP. Pour réussir la mise à jour de la solution, votre agent doit être à jour. La solution est mise à jour séparément.

Important

Microsoft Sentinel est disponible dans le portail Microsoft Defender, en tant qu’élément de la plateforme d’opérations de sécurité unifiée. Microsoft Sentinel est désormais pris en charge dans le portail Defender pour une utilisation en production. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Avant de commencer, assurez-vous d’avoir tous les prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP.

Pour plus d’informations, consultez Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®.

Mettre à jour automatiquement l’agent de connecteur de données SAP (préversion)

Vous pouvez choisir d’activer les mises à jour automatiques pour l’agent de connecteur sur tous les conteneurs existants ou un conteneur spécifique.

Important

La mise à jour automatique de l’agent de connecteur de données SAP est actuellement en PRÉVERSION. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Activer les mises à jour automatiques sur tous les conteneurs existants

Pour activer les mises à jour automatiques sur tous les conteneurs existants (tous les conteneurs avec un agent SAP connecté), exécutez la commande suivante sur la machine du collecteur :

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

La commande crée une tâche cron qui s’exécute quotidiennement, puis recherche les mises à jour. Si le travail détecte une nouvelle version de l’agent, il met à jour l’agent sur tous les conteneurs qui existent lorsque vous exécutez la commande ci-dessus. Si un conteneur exécute une préversion plus récente que la dernière version (la version installée par le travail), le travail ne met pas à jour ce conteneur.

Si vous ajoutez des conteneurs après avoir exécuté la tâche cron, les nouveaux conteneurs ne sont pas automatiquement mis à jour. Pour mettre à jour ces conteneurs, dans le fichier /opt/sapcon/[SID ou GUID de l’agent]/settings.json, définissez le paramètre auto_update pour chacun des conteneurs comme true.

Les journaux de cette mise à jour se trouvent sous var/log/sapcon-sentinel-register-autoupdate.log/.

Activer les mises à jour automatiques sur un conteneur spécifique

Pour activer les mises à jour automatiques sur un ou plusieurs conteneurs spécifiques, exécutez la commande suivante :

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Les journaux de cette mise à jour se trouvent sous /var/log/sapcon-sentinel-register-autoupdate.log.

Désactiver les mises à jour automatiques

Pour désactiver les mises à jour automatiques pour un ou plusieurs conteneurs, définissez le paramètre auto_update pour chacun des conteneurs comme false.

Mettre à jour manuellement l’agent de connecteur de données SAP

Pour mettre à jour manuellement l’agent de connecteur, vérifiez que vous disposez des versions les plus récentes des scripts de déploiement appropriés du référentiel GitHub Microsoft Sentinel.

Exécutez :

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Le conteneur Docker du connecteur de données SAP sur votre ordinateur est mis à jour.

Veillez à rechercher d’autres mises à jour disponibles, telles que :

• Demandes de modification SAP pertinentes dans le dépôt GitHub Microsoft Sentinel.
• Contenu de sécurité pour les applications Solution Microsoft Sentinel pour SAP® dans la solution Applications Solution Microsoft Sentinel pour SAP®.
• Listes de surveillance pertinentes dans le dépôt GitHub Microsoft Sentinel.

Mise à jour de votre système en cas d’interruption de l’attaque

L’interruption d’attaque automatique pour SAP est prise en charge par la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender et nécessite :

• Un espace de travail intégré à la plateforme d’opérations de sécurité unifiée.

• Un agent du connecteur de données SAP Microsoft Sentinel, version 90847355 ou version ultérieure. Vérifiez votre version actuelle de l’agent et mettez-la à jour si nécessaire.

• L’identité de votre machine virtuelle d’agent du connecteur de données attribuée au rôle Azure Opérateur de l’agent d’applications métiers Microsoft Sentinel. Si ce rôle n’est pas attribué, veillez à attribuer ces rôles manuellement.

• Le rôle SAP /MSFTSEN/SENTINEL_RESPONDERappliqué à votre système SAP et attribué au compte d’utilisateur SAP utilisé par l’agent du connecteur de données SAP de Microsoft Sentinel.

Vérifiez la version actuelle de l’agent du connecteur de données

Pour vérifier la version actuelle de votre agent, exécutez la requête suivante à partir de la page Journaux de Microsoft Sentinel :

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Vérifiez les rôles Azure requis

L’interruption d’attaque pour SAP nécessite que vous accordiez à l’identité de la machine virtuelle de votre agent des autorisations spécifiques pour l’espace de travail Microsoft Sentinel, à l’aide des rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur.

Commencez par vérifier si vos rôles sont déjà attribués :

1. Recherchez votre identifiant d’objet d’identité de machine virtuelle dans Azure :

   1. Accédez à Application d'entreprise>Toutes les applications, puis sélectionnez votre machine virtuelle ou votre nom d’application inscrit, en fonction du type d’identité que vous utilisez pour accéder à votre coffre de clés.
   2. Copiez la valeur du champ ID d’objet à utiliser avec votre commande copiée.

2. Exécutez la commande suivante pour vérifier si ces rôles sont déjà attribués, en remplaçant les valeurs de remplacement si nécessaire.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   La sortie affiche une liste des rôles affectés à l’identifiant d’objet.

Attribuer manuellement les rôles Azure requis

Si les rôles Opérateur de l’Agent d’applications métiers Microsoft Sentinel et Lecteur ne sont pas encore attribués à l’identité de machine virtuelle de votre agent, procédez comme suit pour les affecter manuellement. Sélectionnez l'onglet du Portail Microsoft Azure ou de la ligne de commande, en fonction de la manière dont votre agent est déployé. Les agents déployés à partir de la ligne de commande ne sont pas affichés dans le Portail Microsoft Azure et vous devez utiliser la ligne de commande pour attribuer les rôles.

Pour effectuer cette procédure, vous devez être propriétaire du groupe de ressources sur votre espace de travail Microsoft Sentinel.

Azure portal

1. Dans Microsoft Sentinel, dans la page Configuration > Connecteurs de données, accédez à votre connecteur de données Microsoft Sentinel pour SAP, puis sélectionnez Ouvrir la page du connecteur.

2. Dans la zone Configuration, sous l’étape 1. Ajoutez un agent collecteur basé sur l’API, recherchez l’agent que vous mettez à jour et sélectionnez le bouton Afficher les commandes.

3. Copiez les Commandes d’attribution de rôle affichées. Exécutez-les sur votre machine virtuelle agent, en remplaçant les espaces réservés Object_ID par votre identifiant d’objet d’identité de machine virtuelle.

   Ces commandes affectent les rôles Azure Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur à l’identité managée de votre machine virtuelle, y compris uniquement l’étendue des données de l’agent spécifié dans l’espace de travail.

Important

L’attribution des rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur via l’interface CLI attribue les rôles uniquement dans l’étendue des données de l’agent spécifié dans l’espace de travail. Il s’agit de l’option la plus sécurisée et donc recommandée.

Si vous devez attribuer les rôles via le portail Microsoft Azure, nous vous recommandons d’attribuer les rôles sur une petite étendue, par exemple uniquement sur l’espace de travail Microsoft Sentinel.

Ligne de commande

1. Obtenez l’identifiant de l’agent en exécutant la commande suivante, en remplaçant l’espace réservé <container_name> par le nom de votre conteneur Docker :

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Par exemple, un ID d’agent retourné peut être 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Attribuez les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur en exécutant les commandes suivantes :

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Remplacez les valeurs d’espace réservé comme suit :

   Paramètre substituable	Valeur
   <OBJ_ID>	L’ID d’objet d’identité de votre machine virtuelle.
   <SUB_ID>	L’ID d’abonnement de votre espace de travail Microsoft Sentinel
   <RESOURCE_GROUP_NAME>	Le nom du groupe de ressources de votre espace de travail Microsoft Sentinel
   <WS_NAME>	Le nom de votre espace de travail Microsoft Sentinel
   <AGENT_IDENTIFIER>	L’ID de l’agent affiché après avoir exécuté la commande de l’étape précédente.

Appliquer et attribuer le rôle SAP SENTINEL_RESPONDER à votre système SAP

Appliquez le rôle SAP /MSFTSEN/SENTINEL_RESPONDER à votre système SAP et attribuez-le au compte d’utilisateur SAP utilisé par l’agent du connecteur de données SAP de Microsoft Sentinel.

Appliquer et attribuer le rôle SAP /MSFTSEN/SENTINEL_RESPONDER :

1. Chargez les définitions de rôle à partir du fichier /MSFTSEN/SENTINEL_RESPONDER dans GitHub.

2. Attribuez le rôle /MSFTSEN/SENTINEL_RESPONDER au compte d’utilisateur SAP utilisé par l’agent du connecteur de données SAP de Microsoft Sentinel. Pour plus d’informations, consultez Déployer des demandes de modification SAP et configurer l’autorisation.

Vous pouvez également attribuer manuellement les autorisations suivantes au rôle actuel déjà attribué au compte d’utilisateur SAP utilisé par le connecteur de données SAP de Microsoft Sentinel. Ces autorisations sont incluses dans le rôle SAP /MSFTSEN/SENTINEL_RESPONDER spécifiquement pour les actions de réponse aux interruptions d’attaque.

Objet d’autorisation	Champ	Valeur
S_RFC	RFC_TYPE	Module de fonction
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER Contrairement à son nom, cette fonction ne supprime pas les utilisateurs, mais met fin à la session utilisateur active.
S_USER_GRP	CLASS	* Nous vous recommandons de remplacer S_USER_GRP CLASS par les classes pertinentes de votre organisation qui représentent les utilisateurs du dialogue.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Pour plus d’informations, consultez Autorisations ABAP requises.

Étapes suivantes

En savoir plus sur les applications Solution Microsoft Sentinel pour SAP® :

• Déployer des applications Solution Microsoft Sentinel pour SAP®
• Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
• Déployer des demandes de modification SAP (CR) et configurer l’autorisation
• Déployer le contenu de la solution depuis le hub de contenu
• Déployer et configurer le conteneur hébergeant l’agent de connecteur de données SAP
• Surveiller l’intégrité de votre système SAP
• Déployer le connecteur de données Microsoft Sentinel pour SAP avec SNC
• Activer et configurer l’audit SAP
• Collecter les journaux d’audit SAP HANA

Résolution des problèmes :

• Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®

Fichiers de référence :

• Référence de données des applications Solution Microsoft Sentinel pour SAP®
• Applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité
• Informations de référence sur le script Kickstart
• Mettre à jour la référence de script
• Informations de référence sur le fichier Systemconfig.ini

Pour plus d’informations, consultez Solutions Microsoft Sentinel.