Microsoft Sentinel'in SAP veri bağlayıcısı aracısını güncelleştirme
Bu makalede sap veri bağlayıcısı için zaten var olan bir Microsoft Sentinel bağlayıcısını en son sürümüne nasıl güncelleştirdiğiniz gösterilir.
En son özellikleri almak için SAP veri bağlayıcı aracısı için otomatik güncelleştirmeleri etkinleştirebilir veya aracıyı el ile güncelleştirebilirsiniz.
Bu makalede açıklanan otomatik veya el ile güncelleştirmeler, SAP için Microsoft Sentinel çözümüyle değil, yalnızca SAP bağlayıcı aracısı ile ilgilidir. Çözümü başarıyla güncelleştirmek için aracınızın güncel olması gerekir. Çözüm ayrı olarak güncelleştirilir.
Önemli
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Önkoşullar
Başlamadan önce SAP uygulamaları için Microsoft Sentinel çözümünü dağıtmak için tüm önkoşullara sahip olduğunuzdan emin olun.
Daha fazla bilgi için bkz . SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları.
SAP veri bağlayıcısı aracısını otomatik olarak güncelleştirme (Önizleme)
Tüm mevcut kapsayıcılarda veya belirli bir kapsayıcıda bağlayıcı aracısı için otomatik güncelleştirmeleri etkinleştirmeyi seçebilirsiniz.
Önemli
SAP veri bağlayıcısı aracısını otomatik olarak güncelleştirme şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Tüm mevcut kapsayıcılarda otomatik güncelleştirmeleri etkinleştirme
Tüm mevcut kapsayıcılarda (bağlı SAP aracısı olan tüm kapsayıcılarda) otomatik güncelleştirmeleri etkinleştirmek için toplayıcı makinesinde aşağıdaki komutu çalıştırın:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh
komutu, günlük olarak çalışan ve güncelleştirmeleri denetleen bir cron işi oluşturur. İş, aracının yeni bir sürümünü algılarsa, yukarıdaki komutu çalıştırdığınızda var olan tüm kapsayıcılarda aracıyı güncelleştirir. Kapsayıcı en son sürümden (işin yüklediği sürüm) daha yeni bir Önizleme sürümü çalıştırıyorsa, iş bu kapsayıcıyı güncelleştirmez.
Cron işini çalıştırdıktan sonra kapsayıcılar eklerseniz, yeni kapsayıcılar otomatik olarak güncelleştirilmez. Bu kapsayıcıları güncelleştirmek için /opt/sapcon/[SID veya Aracı GUID]/settings.json dosyasında kapsayıcıların her biri için parametresini olarak true
tanımlayınauto_update
.
Bu güncelleştirmenin günlükleri var/log/sapcon-sentinel-register-autoupdate.log/ altındadır.
Belirli bir kapsayıcıda otomatik güncelleştirmeleri etkinleştirme
Belirli bir kapsayıcı veya kapsayıcıda otomatik güncelleştirmeleri etkinleştirmek için aşağıdaki komutu çalıştırın:
wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...
Bu güncelleştirmenin günlükleri /var/log/sapcon-sentinel-register-autoupdate.log altındadır.
Otomatik güncelleştirmeleri devre dışı bırakma
Kapsayıcı veya kapsayıcılar için otomatik güncelleştirmeleri devre dışı bırakmak için, kapsayıcıların auto_update
her biri için parametresini olarak false
tanımlayın.
SAP veri bağlayıcısı aracıyı el ile güncelleştirme
Bağlayıcı aracısını el ile güncelleştirmek için, Microsoft Sentinel GitHub deposundaki ilgili dağıtım betiklerinin en son sürümlerine sahip olduğunuzdan emin olun.
Çalıştır:
wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh
Makinenizdeki SAP veri bağlayıcısı Docker kapsayıcısı güncelleştirilir.
Diğer kullanılabilir güncelleştirmeleri denetlemeyi unutmayın, örneğin:
- Microsoft Sentinel GitHub deposunda ilgili SAP değişiklik istekleri.
- SAP uygulamaları için Microsoft Sentinel çözümünde SAP®® uygulamaları güvenlik içeriği için Microsoft Sentinel çözümü.
- Microsoft Sentinel GitHub deposundaki ilgili izleme listeleri.
Sisteminizi saldırı kesintisi için güncelleştirme
SAP için otomatik saldırı kesintisi, Microsoft Defender portalındaki birleşik güvenlik işlemleri platformuyla desteklenir ve şunları gerektirir:
Birleşik güvenlik operasyonları platformuna eklenen bir çalışma alanı.
Microsoft Sentinel SAP veri bağlayıcısı aracısı, sürüm 90847355 veya üzeri. Geçerli aracı sürümünüzü denetleyin ve gerekirse güncelleştirin.
Microsoft Sentinel İş Uygulamaları Aracısı Operatörü Azure rolüne atanan veri bağlayıcısı aracısı VM'nizin kimliği. Bu rol atanmamışsa, bu rolleri el ile atadığınızdan emin olun.
SAP sisteminize uygulanan ve Microsoft Sentinel'in SAP veri bağlayıcı aracısı tarafından kullanılan SAP kullanıcı hesabına atanan /MSFTSEN/SENTINEL_RESPONDER SAP rolü.
Geçerli veri bağlayıcısı aracı sürümünüzü doğrulama
Geçerli aracı sürümünüzü doğrulamak için Microsoft Sentinel Günlükleri sayfasından aşağıdaki sorguyu çalıştırın:
SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
TimeGenerated,
SAP_Data_Connector_Agent_guid = agent_id_g,
Connected_SAP_Systems_Ids = set_system_id_s,
Current_Agent_Version = agent_ver_s
Gerekli Azure rollerini denetleme
SAP için saldırı kesintisi, Microsoft Sentinel İş Uygulamaları Aracısı Operatörü ve Okuyucu rollerini kullanarak aracınızın VM kimliğine Microsoft Sentinel çalışma alanında belirli izinler vermenizi gerektirir.
İlk olarak rollerinizin zaten atanmış olup olmadığını denetleyin:
Azure'da VM kimlik nesne kimliğinizi bulun:
- Kurumsal uygulama>Tüm uygulamalar'a gidin ve anahtar kasanıza erişmek için kullandığınız kimliğin türüne bağlı olarak VM'nizi veya kayıtlı uygulama adınızı seçin.
- Kopyaladığınız komutla kullanmak için Nesne Kimliği alanının değerini kopyalayın.
Bu rollerin zaten atanıp atanmadığını doğrulamak için aşağıdaki komutu çalıştırın ve yer tutucu değerlerini gerektiği gibi değiştirin.
az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
Çıktı, nesne kimliğine atanan rollerin listesini gösterir.
Gerekli Azure rollerini el ile atama
Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rolleri henüz aracınızın VM kimliğine atanmamışsa, bunları el ile atamak için aşağıdaki adımları kullanın. Aracınızın nasıl dağıtılacağına bağlı olarak Azure portalının sekmesini veya komut satırını seçin. Komut satırından dağıtılan aracılar Azure portalında gösterilmez ve rolleri atamak için komut satırını kullanmanız gerekir.
Bu yordamı gerçekleştirmek için Microsoft Sentinel çalışma alanınızda bir kaynak grubu sahibi olmanız gerekir.
Microsoft Sentinel'de, Yapılandırma > Verileri bağlayıcıları sayfasında SAP veri bağlayıcısı için Microsoft Sentinel'inize gidin ve Bağlayıcı sayfasını aç'ı seçin.
Yapılandırma alanında, 1. adım altında. API tabanlı toplayıcı aracısı ekleyin, güncelleştirdiğiniz aracıyı bulun ve Komutları göster düğmesini seçin.
Görüntülenen Rol atama komutlarını kopyalayın. Bunları aracı VM'nizde çalıştırın ve yer tutucuları VM kimlik nesne kimliğiniz ile değiştirin
Object_ID
.Bu komutlar, yalnızca çalışma alanında belirtilen aracı verilerinin kapsamı dahil olmak üzere VM'nizin yönetilen kimliğine Microsoft Sentinel İş Uygulamaları Aracısı Operatörü ve Okuyucu Azure rollerini atar.
Önemli
CLI aracılığıyla Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rollerini atamak, rolleri yalnızca çalışma alanında belirtilen aracı verilerinin kapsamına atar. Bu en güvenli seçenektir ve bu nedenle önerilen seçenektir.
Rolleri Azure portalı üzerinden atamanız gerekiyorsa, rolleri yalnızca Microsoft Sentinel çalışma alanı gibi küçük bir kapsamda atamanızı öneririz.
SAP sisteminize SENTINEL_RESPONDER SAP rolünü uygulama ve atama
SAP sisteminize /MSFTSEN/SENTINEL_RESPONDER SAP rolü uygulayın ve bunu Microsoft Sentinel'in SAP veri bağlayıcı aracısı tarafından kullanılan SAP kullanıcı hesabına atayın.
/MSFTSEN/SENTINEL_RESPONDER SAP rolünü uygulamak ve atamak için:
GitHub'daki /MSFTSEN/SENTINEL_RESPONDER dosyasından rol tanımlarını karşıya yükleyin.
Microsoft Sentinel'in SAP veri bağlayıcı aracısı tarafından kullanılan SAP kullanıcı hesabına /MSFTSEN/SENTINEL_RESPONDER rolünü atayın. Daha fazla bilgi için bkz . SAP Değişiklik İsteklerini dağıtma ve yetkilendirmeyi yapılandırma.
Alternatif olarak, Microsoft Sentinel'in SAP veri bağlayıcısı tarafından kullanılan SAP kullanıcı hesabına atanmış geçerli role aşağıdaki yetkilendirmeleri el ile atayın. Bu yetkilendirmeler, özellikle saldırı kesintisi yanıt eylemleri için /MSFTSEN/SENTINEL_RESPONDER SAP rolüne dahil edilir.
Yetkilendirme nesnesi | Alan | Değer |
---|---|---|
S_RFC | RFC_TYPE | İşlev Modülü |
S_RFC | RFC_NAME | BAPI_USER_LOCK |
S_RFC | RFC_NAME | BAPI_USER_UNLOCK |
S_RFC | RFC_NAME | TH_DELETE_USER Adından farklı olarak, bu işlev kullanıcıları silmez, ancak etkin kullanıcı oturumunu sonlandırır. |
S_USER_GRP | SINIFI | * S_USER_GRP CLASS öğesini kuruluşunuzdaki iletişim kutusu kullanıcılarını temsil eden ilgili sınıflarla değiştirmenizi öneririz. |
S_USER_GRP | ACTVT | 03 |
S_USER_GRP | ACTVT | 05 |
Daha fazla bilgi için bkz . Gerekli ABAP yetkilendirmeleri.
Sonraki adımlar
SAP® uygulamaları için Microsoft Sentinel çözümü hakkında daha fazla bilgi edinin:
- SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma
- SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları
- SAP Değişiklik İsteklerini (CR) dağıtma ve yetkilendirmeyi yapılandırma
- Çözüm içeriğini içerik hub'ından dağıtma
- SAP veri bağlayıcısı aracısını barındıran kapsayıcıyı dağıtma ve yapılandırma
- SAP sisteminizin durumunu izleme
- SNC ile SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtma
- SAP denetimini etkinleştirme ve yapılandırma
- SAP HANA denetim günlüklerini toplama
Sorun Giderme:
Başvuru dosyaları:
- SAP® uygulamaları için Microsoft Sentinel çözümü veri başvurusu
- SAP® uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu
- Kickstart betik başvurusu
- Betik başvurusunu güncelleştirme
- Systemconfig.ini dosya başvurusu
Daha fazla bilgi için bkz . Microsoft Sentinel çözümleri.