Microsoft Sentinel'in SAP veri bağlayıcısı aracısını güncelleştirme

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede sap veri bağlayıcısı için zaten var olan bir Microsoft Sentinel bağlayıcısını en son sürümüne nasıl güncelleştirdiğiniz gösterilir.

En son özellikleri almak için SAP veri bağlayıcı aracısı için otomatik güncelleştirmeleri etkinleştirebilir veya aracıyı el ile güncelleştirebilirsiniz.

Bu makalede açıklanan otomatik veya el ile güncelleştirmeler, SAP için Microsoft Sentinel çözümüyle değil, yalnızca SAP bağlayıcı aracısı ile ilgilidir. Çözümü başarıyla güncelleştirmek için aracınızın güncel olması gerekir. Çözüm ayrı olarak güncelleştirilir.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

Başlamadan önce SAP uygulamaları için Microsoft Sentinel çözümünü dağıtmak için tüm önkoşullara sahip olduğunuzdan emin olun.

Daha fazla bilgi için bkz . SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları.

SAP veri bağlayıcısı aracısını otomatik olarak güncelleştirme (Önizleme)

Tüm mevcut kapsayıcılarda veya belirli bir kapsayıcıda bağlayıcı aracısı için otomatik güncelleştirmeleri etkinleştirmeyi seçebilirsiniz.

Önemli

SAP veri bağlayıcısı aracısını otomatik olarak güncelleştirme şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Tüm mevcut kapsayıcılarda otomatik güncelleştirmeleri etkinleştirme

Tüm mevcut kapsayıcılarda (bağlı SAP aracısı olan tüm kapsayıcılarda) otomatik güncelleştirmeleri etkinleştirmek için toplayıcı makinesinde aşağıdaki komutu çalıştırın:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh 

komutu, günlük olarak çalışan ve güncelleştirmeleri denetleen bir cron işi oluşturur. İş, aracının yeni bir sürümünü algılarsa, yukarıdaki komutu çalıştırdığınızda var olan tüm kapsayıcılarda aracıyı güncelleştirir. Kapsayıcı en son sürümden (işin yüklediği sürüm) daha yeni bir Önizleme sürümü çalıştırıyorsa, iş bu kapsayıcıyı güncelleştirmez.

Cron işini çalıştırdıktan sonra kapsayıcılar eklerseniz, yeni kapsayıcılar otomatik olarak güncelleştirilmez. Bu kapsayıcıları güncelleştirmek için /opt/sapcon/[SID veya Aracı GUID]/settings.json dosyasında kapsayıcıların her biri için parametresini olarak truetanımlayınauto_update.

Bu güncelleştirmenin günlükleri var/log/sapcon-sentinel-register-autoupdate.log/ altındadır.

Belirli bir kapsayıcıda otomatik güncelleştirmeleri etkinleştirme

Belirli bir kapsayıcı veya kapsayıcıda otomatik güncelleştirmeleri etkinleştirmek için aşağıdaki komutu çalıştırın:

wget -O sapcon-sentinel-auto-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-auto-update.sh && bash ./sapcon-sentinel-auto-update.sh --containername <containername> [--containername <containername>]...

Bu güncelleştirmenin günlükleri /var/log/sapcon-sentinel-register-autoupdate.log altındadır.

Otomatik güncelleştirmeleri devre dışı bırakma

Kapsayıcı veya kapsayıcılar için otomatik güncelleştirmeleri devre dışı bırakmak için, kapsayıcıların auto_update her biri için parametresini olarak falsetanımlayın.

SAP veri bağlayıcısı aracıyı el ile güncelleştirme

Bağlayıcı aracısını el ile güncelleştirmek için, Microsoft Sentinel GitHub deposundaki ilgili dağıtım betiklerinin en son sürümlerine sahip olduğunuzdan emin olun.

Çalıştır:

wget -O sapcon-instance-update.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-instance-update.sh && bash ./sapcon-instance-update.sh

Makinenizdeki SAP veri bağlayıcısı Docker kapsayıcısı güncelleştirilir.

Diğer kullanılabilir güncelleştirmeleri denetlemeyi unutmayın, örneğin:

• Microsoft Sentinel GitHub deposunda ilgili SAP değişiklik istekleri.
• SAP uygulamaları için Microsoft Sentinel çözümünde SAP®® uygulamaları güvenlik içeriği için Microsoft Sentinel çözümü.
• Microsoft Sentinel GitHub deposundaki ilgili izleme listeleri.

Sisteminizi saldırı kesintisi için güncelleştirme

SAP için otomatik saldırı kesintisi, Microsoft Defender portalındaki birleşik güvenlik işlemleri platformuyla desteklenir ve şunları gerektirir:

• Birleşik güvenlik operasyonları platformuna eklenen bir çalışma alanı.

• Microsoft Sentinel SAP veri bağlayıcısı aracısı, sürüm 90847355 veya üzeri. Geçerli aracı sürümünüzü denetleyin ve gerekirse güncelleştirin.

• Microsoft Sentinel İş Uygulamaları Aracısı Operatörü Azure rolüne atanan veri bağlayıcısı aracısı VM'nizin kimliği. Bu rol atanmamışsa, bu rolleri el ile atadığınızdan emin olun.

• SAP sisteminize uygulanan ve Microsoft Sentinel'in SAP veri bağlayıcı aracısı tarafından kullanılan SAP kullanıcı hesabına atanan /MSFTSEN/SENTINEL_RESPONDER SAP rolü.

Geçerli veri bağlayıcısı aracı sürümünüzü doğrulama

Geçerli aracı sürümünüzü doğrulamak için Microsoft Sentinel Günlükleri sayfasından aşağıdaki sorguyu çalıştırın:

SAP_HeartBeat_CL
| where sap_client_category_s !contains "AH"
| summarize arg_max(TimeGenerated, agent_ver_s), make_set(system_id_s) by agent_id_g
| project
    TimeGenerated,
    SAP_Data_Connector_Agent_guid = agent_id_g,
    Connected_SAP_Systems_Ids = set_system_id_s,
    Current_Agent_Version = agent_ver_s

Gerekli Azure rollerini denetleme

SAP için saldırı kesintisi, Microsoft Sentinel İş Uygulamaları Aracısı Operatörü ve Okuyucu rollerini kullanarak aracınızın VM kimliğine Microsoft Sentinel çalışma alanında belirli izinler vermenizi gerektirir.

İlk olarak rollerinizin zaten atanmış olup olmadığını denetleyin:

1. Azure'da VM kimlik nesne kimliğinizi bulun:

   1. Kurumsal uygulama>Tüm uygulamalar'a gidin ve anahtar kasanıza erişmek için kullandığınız kimliğin türüne bağlı olarak VM'nizi veya kayıtlı uygulama adınızı seçin.
   2. Kopyaladığınız komutla kullanmak için Nesne Kimliği alanının değerini kopyalayın.

2. Bu rollerin zaten atanıp atanmadığını doğrulamak için aşağıdaki komutu çalıştırın ve yer tutucu değerlerini gerektiği gibi değiştirin.

   az role assignment list --assignee <Object_ID> --query "[].roleDefinitionName" --scope <scope>
   

   Çıktı, nesne kimliğine atanan rollerin listesini gösterir.

Gerekli Azure rollerini el ile atama

Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rolleri henüz aracınızın VM kimliğine atanmamışsa, bunları el ile atamak için aşağıdaki adımları kullanın. Aracınızın nasıl dağıtılacağına bağlı olarak Azure portalının sekmesini veya komut satırını seçin. Komut satırından dağıtılan aracılar Azure portalında gösterilmez ve rolleri atamak için komut satırını kullanmanız gerekir.

Bu yordamı gerçekleştirmek için Microsoft Sentinel çalışma alanınızda bir kaynak grubu sahibi olmanız gerekir.

Azure portalı

1. Microsoft Sentinel'de, Yapılandırma > Verileri bağlayıcıları sayfasında SAP veri bağlayıcısı için Microsoft Sentinel'inize gidin ve Bağlayıcı sayfasını aç'ı seçin.

2. Yapılandırma alanında, 1. adım altında. API tabanlı toplayıcı aracısı ekleyin, güncelleştirdiğiniz aracıyı bulun ve Komutları göster düğmesini seçin.

3. Görüntülenen Rol atama komutlarını kopyalayın. Bunları aracı VM'nizde çalıştırın ve yer tutucuları VM kimlik nesne kimliğiniz ile değiştirin Object_ID .

   Bu komutlar, yalnızca çalışma alanında belirtilen aracı verilerinin kapsamı dahil olmak üzere VM'nizin yönetilen kimliğine Microsoft Sentinel İş Uygulamaları Aracısı Operatörü ve Okuyucu Azure rollerini atar.

Önemli

CLI aracılığıyla Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rollerini atamak, rolleri yalnızca çalışma alanında belirtilen aracı verilerinin kapsamına atar. Bu en güvenli seçenektir ve bu nedenle önerilen seçenektir.

Rolleri Azure portalı üzerinden atamanız gerekiyorsa, rolleri yalnızca Microsoft Sentinel çalışma alanı gibi küçük bir kapsamda atamanızı öneririz.

Komut satırı

1. Aşağıdaki komutu çalıştırarak aracı kimliğini alın ve yer tutucusunu <container_name> Docker kapsayıcınızın adıyla değiştirin:

   docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
   

   Örneğin, döndürülen aracı kimliği olabilir 234fba02-3b34-4c55-8c0e-e6423ceb405b.

2. Aşağıdaki komutları çalıştırarak Microsoft Sentinel İş Uygulamaları Aracısı Operatör ve Okuyucu rollerini atayın:

   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   
   az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
   

   Yer tutucu değerlerini aşağıdaki gibi değiştirin:

   Yer tutucu	Değer
   <OBJ_ID>	VM kimlik nesne kimliğiniz.
   <SUB_ID>	Microsoft Sentinel çalışma alanı abonelik kimliğiniz
   <RESOURCE_GROUP_NAME>	Microsoft Sentinel çalışma alanı kaynak grubu adınız
   <WS_NAME>	Microsoft Sentinel çalışma alanınızın adı
   <AGENT_IDENTIFIER>	Önceki adımda komutu çalıştırdıktan sonra görüntülenen aracı kimliği.

SAP sisteminize SENTINEL_RESPONDER SAP rolünü uygulama ve atama

SAP sisteminize /MSFTSEN/SENTINEL_RESPONDER SAP rolü uygulayın ve bunu Microsoft Sentinel'in SAP veri bağlayıcı aracısı tarafından kullanılan SAP kullanıcı hesabına atayın.

/MSFTSEN/SENTINEL_RESPONDER SAP rolünü uygulamak ve atamak için:

1. GitHub'daki /MSFTSEN/SENTINEL_RESPONDER dosyasından rol tanımlarını karşıya yükleyin.

2. Microsoft Sentinel'in SAP veri bağlayıcı aracısı tarafından kullanılan SAP kullanıcı hesabına /MSFTSEN/SENTINEL_RESPONDER rolünü atayın. Daha fazla bilgi için bkz . SAP Değişiklik İsteklerini dağıtma ve yetkilendirmeyi yapılandırma.

Alternatif olarak, Microsoft Sentinel'in SAP veri bağlayıcısı tarafından kullanılan SAP kullanıcı hesabına atanmış geçerli role aşağıdaki yetkilendirmeleri el ile atayın. Bu yetkilendirmeler, özellikle saldırı kesintisi yanıt eylemleri için /MSFTSEN/SENTINEL_RESPONDER SAP rolüne dahil edilir.

Yetkilendirme nesnesi	Alan	Değer
S_RFC	RFC_TYPE	İşlev Modülü
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER Adından farklı olarak, bu işlev kullanıcıları silmez, ancak etkin kullanıcı oturumunu sonlandırır.
S_USER_GRP	SINIFI	* S_USER_GRP CLASS öğesini kuruluşunuzdaki iletişim kutusu kullanıcılarını temsil eden ilgili sınıflarla değiştirmenizi öneririz.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Daha fazla bilgi için bkz . Gerekli ABAP yetkilendirmeleri.

Sonraki adımlar

SAP® uygulamaları için Microsoft Sentinel çözümü hakkında daha fazla bilgi edinin:

• SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma
• SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları
• SAP Değişiklik İsteklerini (CR) dağıtma ve yetkilendirmeyi yapılandırma
• Çözüm içeriğini içerik hub'ından dağıtma
• SAP veri bağlayıcısı aracısını barındıran kapsayıcıyı dağıtma ve yapılandırma
• SAP sisteminizin durumunu izleme
• SNC ile SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtma
• SAP denetimini etkinleştirme ve yapılandırma
• SAP HANA denetim günlüklerini toplama

Sorun Giderme:

• SAP® uygulamaları dağıtımı için Microsoft Sentinel çözümünüzün sorunlarını giderme

Başvuru dosyaları:

• SAP® uygulamaları için Microsoft Sentinel çözümü veri başvurusu
• SAP® uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu
• Kickstart betik başvurusu
• Betik başvurusunu güncelleştirme
• Systemconfig.ini dosya başvurusu

Daha fazla bilgi için bkz . Microsoft Sentinel çözümleri.