Configurar las autorizaciones SAP e implementar las solicitudes de cambio SAP opcionales
Este artículo describe cómo preparar su entorno para la instalación del agente SAP de modo que pueda conectarse correctamente a sus sistemas SAP. La preparación incluye la configuración de las autorizaciones SAP necesarias y, opcionalmente, la implementación de solicitudes de cambio (CR) SAP adicionales.
- Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Hitos de la implementación
Realice un seguimiento del recorrido de implementación de la solución de SAP mediante esta serie de artículos:
Trabajar con la solución en varias áreas de trabajo (VERSIÓN PRELIMINAR)
Preparación del entorno de SAP (usted está aquí)
Implementar el contenido de la solución desde el centro de contenido
Configuración de la solución Microsoft Sentinel para aplicaciones SAP®
Pasos de implementación opcionales
Configurar la función Microsoft Sentinel
Cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_RESPONDER en GitHub.
Esto crea la función /MSFTSEN/SENTINEL_RESPONDER, que incluye todas las autorizaciones necesarias para recuperar registros de los sistemas SAP y ejecutar acciones de respuesta a la interrupción de ataques.
Como alternativa, cree una función de forma manual con las autorizaciones pertinentes requeridas para los registros que desea ingerir. Para obtener más información, consulta Autorizaciones de ABAP necesarias. Los ejemplos de este procedimiento utilizan el nombre /MSFTSEN/SENTINEL_RESPONDER.
El siguiente paso es generar un perfil de rol activo para que se use en Microsoft Sentinel. Ejecute la transacción PFCG:
En la pantalla SAP Easy Access, introduzca
PFCG
en el campo situado en la esquina superior izquierda de la pantalla, y luego presioneINTRO.En la ventana Role Maintenance, escriba el nombre de rol
/MSFTSEN/SENTINEL_RESPONDER
en el campo Role y seleccione el botón Change (el lápiz).En la ventana Change Roles que aparece, seleccione la pestaña Authorizations.
En la pestaña Authorizations, seleccione Change Authorization Data.
En el menú emergente Information, lea el mensaje y seleccione la marca de verificación verde para confirmar.
En la ventana Change Role: Authorizations, seleccione Generate.
Vea que el campo Status ha cambiado de Unchanged a generated.
Seleccione Back (a la izquierda del logotipo de SAP en la parte superior de la pantalla).
De nuevo en la ventana Change Roles, compruebe que la pestaña Authorizations muestre un cuadro verde y, a continuación, seleccione Save.
Creación de un usuario
La solución Microsoft Sentinel para aplicaciones SAP® requiere una cuenta de usuario para conectarse al sistema SAP. Siga las instrucciones a continuación para crear una cuenta de usuario y asignarla al rol que creó en el paso anterior.
En los ejemplos mostrados aquí, utilizamos el nombre de la función /MSFTSEN/SENTINEL_RESPONDER.
Ejecute la transacción SU01:
En la pantalla SAP Easy Access, introduzca
SU01
en el campo situado en la esquina superior izquierda de la pantalla, y presione INTRO.En la pantalla User Maintenance: Initial Screen, escriba el nombre del nuevo usuario en el campo User y seleccione Create Technical User en la barra de botones.
En la pantalla Maintain Users, seleccione System en la lista desplegable User Type. Cree y escriba una contraseña compleja en los campos New Password y Repeat Password y, a continuación, seleccione la pestaña Roles.
En la pestaña Roles, en la sección Role Assignments, escriba el nombre completo del rol (
/MSFTSEN/SENTINEL_RESPONDER
en el ejemplo) y presione Entrar.Después de presionar Entrar, compruebe que en el lado derecho de la sección Role Assignments se hayan rellenado los datos, como Change Start Date.
Seleccione la pestaña Profiles, compruebe que aparezca un perfil para el rol en Assigned Authorization Profiles y seleccione Save.
Autorizaciones de ABAP necesarias
En esta sección se enumeran las autorizaciones ABAP necesarias para garantizar que la cuenta de usuario SAP utilizada por el conector de datos SAP de Microsoft Sentinel pueda recuperar correctamente los registros de los sistemas SAP y ejecutar acciones de respuesta a la interrupción de ataques.
Las autorizaciones requeridas se enumeran aquí por su finalidad. Solo necesita las autorizaciones que se enumeran para los tipos de registros que desea introducir en Microsoft Sentinel y las acciones de respuesta a la interrupción de ataques que desea aplicar.
Sugerencia
Para crear una función con todas las autorizaciones necesarias, cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_RESPONDER.
Alternativamente, para habilitar solo la recuperación de registros, sin acciones de respuesta a la interrupción del ataque, implemente SAP NPLK900271 CR en el sistema SAP para crear la función /MSFTSEN/SENTINEL_CONNECTOR, o cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_CONNECTOR.
Si es necesario, puede quitar el rol de usuario y la CR opcional instalada en el sistema ABAP.
Implementación de CR opcionales
Esta sección presenta una guía paso a paso para implementar CR adicionales y opcionales. Está dirigido a ingenieros de SOC o implementadores que no necesariamente sean expertos en SAP.
Los administradores SAP experimentados que estén familiarizados con el proceso de despliegue de CR pueden preferir obtener los CR adecuados directamente de la sección de pasos de validación del entorno SAP de la guía e implementarlos.
Recomendamos encarecidamente que la implementación de los CR de SAP la realice un administrador de sistemas SAP con experiencia.
En la siguiente tabla se describen las CR opcionales disponibles para implementar:
CR | Descripción |
---|---|
NPLK900271 | Crea y configura una función de ejemplo con las autorizaciones básicas necesarias para permitir que el conector de datos SAP se conecte a su sistema SAP. Como alternativa, puede cargar las autorizaciones directamente desde un archivo o definir de forma manual la función en función de los registros que desee ingerir. Para obtener más información, consulte Autorizaciones de ABAP necesarias y Crear y configurar una función (obligatorio). |
NPLK900201 o NPLK900202 | Recupera información adicional de SAP. Seleccione uno de estos CR en función de su versión SAP. |
Requisitos previos para implementar las RC
Asegúrese de haber copiado los detalles de la versión del sistema SAP, el Id. del sistema (SID), el número de sistema, el número de cliente, la dirección IP, el nombre de usuario administrativo y la contraseña antes de iniciar el proceso de implementación. En el ejemplo siguiente, se dan por supuesto los detalles siguientes:
- Versión del sistema SAP:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Número del sistema:
00
- Número de cliente:
001
- Dirección IP:
192.168.136.4
- Usuario administrador:
a4hadm
; sin embargo, la conexión SSH al sistema SAP se establece con credenciales de usuarioroot
.
- Versión del sistema SAP:
Asegúrese de saber qué RC desea implementar.
Si está implementando el CR NPLK900202 para recuperar información adicional, asegúrese de haber instalado la nota SAP correspondiente.
Configuración de los archivos
Inicie sesión en el sistema SAP mediante SSH.
Transfiera los archivos CR al sistema SAP o descargue los archivos directamente en el sistema SAP desde el indicador SSH. Use los comandos siguientes:
Descargar NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
Como alternativa, puede cargar estas autorizaciones directamente desde un archivo.
Descargar NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
Descargar NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Cada CR consta de dos archivos, uno que empieza por K y otro por R.
Cambie la titularidad de los archivos al usuario
<sid>
adm y al grupo sapsys. (Sustituya el identificador del sistema SAP por<sid>
).chown <sid>adm:sapsys *.NPL
En nuestro ejemplo:
chown a4hadm:sapsys *.NPL
Copie los archivos con la información de las solicitudes de cambio (cofiles, que comienzan por K) en la carpeta
/usr/sap/trans/cofiles
. Conserve los permisos durante la copia, mediante el comandocp
con el modificador-p
.cp -p K*.NPL /usr/sap/trans/cofiles/
Copie los archivos de datos (que comienzan por R) en la carpeta
/usr/sap/trans/data
. Conserve los permisos durante la copia, mediante el comandocp
con el modificador-p
.cp -p R*.NPL /usr/sap/trans/data/
Importación de las solicitudes de cambio
Inicie la aplicación SAP Logon e inicie sesión en la consola de la GUI de SAP.
Ejecute la transacción STMS_IMPORT:
En la pantalla SAP Easy Access, introduzca
STMS_IMPORT
en el campo situado en la esquina superior izquierda de la pantalla y, a continuación, pulse INTRO.En la ventana Import Queue que aparece, seleccione More > Extras > Other Requests > Add.
En la ventana emergente Add Transport Requests to Import Queue que aparece, seleccione el campo Transp. Request.
Aparecerá la ventana Transport requests, que mostrará una lista de solicitudes de cambio disponibles para su implementación. Seleccione una solicitud de cambio y luego el botón de marca de verificación verde.
De nuevo en la ventana Agregar solicitud de transporte a la cola de importación, seleccione Continuar (la marca de verificación verde) o pulse INTRO.
En el cuadro de diálogo de confirmación Add Transport Request, seleccione Yes.
Si tiene previsto implementar más CR, repita el procedimiento de los cinco pasos anteriores para los CR restantes.
En la ventana Import Queue (Importar cola), seleccione la solicitud de transporte correspondiente una vez y, a continuación, seleccione F9 o el icono Select/Deselect Request (Seleccionar o anular la selección de la solicitud).
Si le quedan solicitudes de transporte por agregar a la implementación, repita el paso 9.
Seleccione el icono Import Requests (Importar solicitudes):
En la ventana Start Import, seleccione el campo Target Client.
Aparece el cuadro de diálogo Ayuda de entrada... Seleccione el número del cliente en el que quiera implementar las solicitudes de cambio (
001
en el ejemplo) y, luego, seleccione la marca de verificación verde para confirmar.De nuevo en la ventana Start Import, seleccione la pestaña Options, marque la casilla Ignore Invalid Component Version y active la marca de verificación verde para confirmar.
En el cuadro de diálogo de confirmación Start Import, seleccione Yes para confirmar la importación.
De nuevo en la ventana Import Queue, seleccione Refresh, espere hasta que se complete la operación de importación y la cola de importación aparezca vacía.
Para revisar el estado de importación, en la ventana Import Queue, seleccione More > Go To > Import History.
Si implementó el NPLK900202CR, se espera que muestre una Advertencia. Seleccione la entrada para comprobar que las advertencias que aparecen sean del tipo "Table <nombre de tabla> was activated".
Los CR y las versiones que aparecen en las siguientes capturas de pantalla pueden cambiar en función de la versión de CR que tenga instalada.
Compruebe que la tabla PAHI (historial del sistema, la base de datos y los parámetros de SAP) se actualiza a intervalos regulares
La tabla PAHI de SAP incluye datos sobre el historial del sistema SAP, la base de datos y los parámetros de SAP. En algunos casos, la solución Microsoft Sentinel para aplicaciones de SAP no puede supervisar la tabla PAHI de SAP a intervalos regulares, debido a la falta de configuración o a errores (consulte la nota de SAP ® con más detalles sobre este problema). Es importante actualizar la tabla PAHI y supervisarla con frecuencia, de modo que la aplicaciones de Solución Microsoft Sentinel para SAP® pueda alertar sobre acciones sospechosas que pueden producirse en cualquier momento durante todo el día.
Obtenga más información sobre cómo la solución Microsoft Sentinel para aplicaciones SAP® supervisa los cambios de configuración sospechosos en los parámetros de seguridad.
Nota
Para obtener resultados óptimos, en el archivo systemconfig.ini de la máquina, en la sección [ABAP Table Selector]
, habilite los parámetros PAHI_FULL
y PAHI_INCREMENTAL
.
Para comprobar que la tabla PAHI se actualiza a intervalos regulares:
- Compruebe si el trabajo
SAP_COLLECTOR_FOR_PERFMONITOR
, basado en el programa RSCOLL00, está programado y en ejecución por hora por el usuario DDIC en el cliente 000. - Compruebe si los nombres de informe
RSHOSTPH
,RSSTATPH
yRSDB_PAR
se mantienen en la tabla TCOLL.- informe
RSHOSTPH
: lee los parámetros del kernel del sistema operativo y almacena estos datos en la tabla PAHI. - informe
RSSTATPH
: lee los parámetros del perfil de SAP y almacena estos datos en la tabla PAHI. - informe
RSDB_PAR
: lee los parámetros de la base de datos y los almacena en la tabla PAHI.
- informe
Si el trabajo existe y está configurado correctamente, no se necesitan más pasos.
Si el trabajo no existe:
Inicie sesión en su sistema SAP en el cliente 000.
Ejecute la transacción SM36.
En Nombre del trabajo, escriba SAP_COLLECTOR_FOR_PERFMONITOR.
Seleccione Paso y rellene esta información:
- En Usuario, escriba DDIC.
- En Nombre del programa ABAP, escriba RSCOLL00.
Guarde la configuración.
Seleccione F3 para volver a la pantalla anterior.
Seleccione Condición de inicio para definir la condición de inicio.
Seleccione Inmediato y active la casilla Trabajo periódico.
Seleccione Valores de período y seleccione Cada hora.
Seleccione Guardar dentro del cuadro de diálogo y, a continuación, seleccione Guardar en la parte inferior.
Para liberar el trabajo, seleccione Guardar en la parte superior.
Pasos siguientes
Su entorno SAP está ahora totalmente preparado para implementar un agente conector de datos. Se aprovisionan una función y un perfil, se crea una cuenta de usuario y se le asigna el perfil de función correspondiente, y se despliegan los CR según sea necesario para su entorno.
Ahora está listo para habilitar y configurar la auditoría SAP para Microsoft Sentinel.