Options de configuration pour experts, déploiement local et sources de journaux SAPControl
Cet article décrit comment déployer le connecteur de données Microsoft Sentinel for SAP dans un processus d’experts ou personnalisé, comme l’utilisation d’un ordinateur local et d’un Azure Key Vault pour stocker vos informations d’identification.
Notes
Le processus par défaut et le plus recommandé pour déployer le connecteur de données Microsoft Sentinel for SAP consiste à utiliser une machine virtuelle Azure. Cet article s’adresse aux utilisateurs avancés.
Prérequis
Les conditions préalables de base pour le déploiement de votre connecteur de données Microsoft Sentinel for SAP sont les mêmes, quelle que soit votre méthode de déploiement.
Avant de commencer, assurez-vous que votre système est conforme aux conditions préalables décrites dans le document principal sur les conditions préalables qui s’appliquent au connecteur de données SAP.
Créer votre coffre de clés Azure
Créez un coffre de clés Azure que vous pouvez dédier à votre connecteur de données des applications Solution Microsoft Sentinel pour SAP.
Exécutez la commande suivante pour créer votre coffre de clés Azure et accorder l’accès à un principal de service Azure :
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
Pour plus d’informations, consultez Démarrage rapide : Créer un coffre de clés à l’aide d’Azure CLI.
Ajouter des secrets Azure Key Vault
Pour ajouter des secrets Azure Key Vault, exécutez le script suivant avec votre propre ID système et les informations d’identification que vous souhaitez ajouter :
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Pour plus d’informations, consultez la documentation CLI az keyvault secret.
Effectuer une installation experte/personnalisée
Cette procédure décrit comment déployer le connecteur de données Microsoft Sentinel for SAP à l’aide d’une installation d’experts ou personnalisée, par exemple lors d’une installation locale.
Nous vous recommandons d’effectuer cette procédure après avoir préparé un coffre de clés avec vos informations d’identification SAP.
Déployer le connecteur de données Microsoft Sentinel for SAP:
Sur votre ordinateur local, téléchargez la version la plus récente du Kit de développement logiciel (SDK) SAP NW RFC à partir du site SAP Launchpad>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.
Notes
Vous aurez besoin de vos informations de connexion d’utilisateur SAP pour accéder au Kit de développement logiciel (SDK), et vous devrez télécharger le Kit de développement logiciel (SDK) qui correspond à votre système d’exploitation.
Veillez à sélectionner l’option LINUX ON X86_64.
Sur votre ordinateur local, créez un nouveau dossier avec un nom explicite, puis copiez le fichier zip du Kit de développement logiciel (SDK) dans votre nouveau dossier.
Clonez le référentiel GitHub de la solution Microsoft Sentinel sur votre ordinateur local et copiez le fichier systemconfig.ini des applications Solution Microsoft Sentinel pour SAP dans votre nouveau dossier.
Par exemple :
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Modifiez le fichier systemconfig.ini le cas échéant en utilisant les commentaires incorporés comme guide. Pour plus d’informations, consultez Configurer manuellement le connecteur de données Microsoft Sentinel for SAP.
Pour tester votre configuration, vous pouvez ajouter l’utilisateur et le mot de passe directement au fichier config systemconfig.ini. Bien que nous vous recommandons d’utiliser Azure Key Vault pour stocker vos informations d’identification, vous pouvez également utiliser un fichier env.list ou des secrets Docker, ou vous pouvez ajouter vos informations d’identification directement au fichier systemconfig.ini.
Définissez les journaux que vous souhaitez ingérer dans Microsoft Sentinel à l’aide des instructions du fichier systemconfig.ini. Par exemple, consultez Définir les journaux SAP qui sont envoyés à Microsoft Sentinel.
Définissez les configurations suivantes à l’aide des instructions du fichier systemconfig.ini :
- S’il faut inclure ou non les adresses e-mail des utilisateurs dans les journaux d’audit
- S’il faut réessayer ou non les appels d’API qui ont échoué
- S’il faut inclure ou non les journaux d’audit cexal
- S’il faut attendre ou non un intervalle de temps entre les extractions de données, en particulier pour les extractions volumineuses
Pour plus d’informations, consultez Configurations du connecteur de journaux SAL.
Enregistrez votre fichier systemconfig.ini mis à jour dans le répertoire sapcon sur votre ordinateur.
Si vous avez choisi d’utiliser un fichier env.list pour vos informations d’identification, créez un fichier env.list temporaire avec les informations d’identification requises. Une fois que votre conteneur Docker fonctionne correctement, veillez à supprimer ce fichier.
Notes
Dans le script suivant, chaque conteneur Docker se connecte à un système ABAP spécifique. Modifiez votre script selon les besoins de votre environnement.
Exécutez :
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Téléchargez et exécutez l’image Docker prédéfinie avec le connecteur de données SAP installé. Exécutez :
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Vérifiez que le conteneur Docker fonctionne correctement. Exécutez :
docker logs –f sapcon-[SID]Continuez en déployant des applications Solution Microsoft Sentinel pour SAP.
Le déploiement de la solution permet au connecteur de données SAP de s’afficher dans Microsoft Sentinel et déploie le classeur et les règles d’analyse SAP. Lorsque vous avez terminé, ajoutez manuellement et personnalisez vos listes de surveillance SAP.
Pour plus d’informations, consultez Déployer les applications solution Microsoft Sentinel pour les SAP® à partir du hub de contenu.
Configurer manuellement le connecteur de données Microsoft Sentinel for SAP
Le connecteur de données Microsoft Sentinel for SAP est configuré dans le fichier systemconfig.ini, que vous avez cloné sur votre ordinateur de connecteur de données SAP dans le cadre de la procédure de déploiement.
Le code suivant montre un exemple de fichier systemconfig.ini :
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
Définir les journaux SAP qui sont envoyés à Microsoft Sentinel
Ajoutez le code suivant au fichier systemconfig.ini des applications Solution Microsoft Sentinel pour SAP® pour définir les journaux qui sont envoyés à Microsoft Sentinel.
Pour plus d’informations, consultez la référence des journaux de la solution des applications Solution Microsoft Sentinel pour SAP® (préversion publique).
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
Paramètres du connecteur de journaux SAL
Ajoutez le code suivant au fichier systemconfig.ini du connecteur de données Microsoft Sentinel for SAP pour définir d’autres paramètres pour les journaux SAP ingérés dans Microsoft Sentinel.
Pour plus d’informations, consultez Effectuer une installation experte/personnalisée du connecteur de données SAP.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
Cette section vous permet de configurer les paramètres suivants :
| Nom du paramètre | Description |
|---|---|
| extractuseremail | Détermine si les adresses e-mail des utilisateurs sont incluses dans les journaux d’audit. |
| apiretry | Détermine si les appels d’API font l’objet d’une nouvelle tentative comme mécanisme de basculement. |
| auditlogforcexal | Détermine si le système force l’utilisation de journaux d’audit pour les systèmes non SAL, tels que SAP BASIS version 7.4. |
| auditlogforcelegacyfiles | Détermine si le système force l’utilisation de journaux d’audit avec les capacités système héritées, par exemple celles de SAP BASIS version 7.4 avec des niveaux de correctifs inférieurs. |
| timechunk | Détermine si le système attend un nombre spécifique de minutes comme intervalle entre les extractions de données. Utilisez ce paramètre si une grande quantité de données est attendue. Par exemple, pendant le chargement initial des données au cours des premières 24 heures, vous souhaiterez peut-être que l’extraction des données soit seulement exécutée toutes les 30 minutes afin de laisser suffisamment de temps à chaque extraction de données. Dans ce cas, définissez cette valeur sur 30. |
Configuration d’une instance de contrôle SAP ABAP
Pour ingérer tous les journaux ABAP dans Microsoft Sentinel, y compris les journaux basés sur le service web de contrôle NW RFC et SAP, configurez les informations de contrôle SAP ABAP suivantes :
| Paramètre | Description |
|---|---|
| javaappserver | Entrez votre hôte de serveur ABAP de contrôle SAP. Par exemple : contoso-erp.appserver.com |
| javainstance | Entrez votre numéro d’instance ABAP de contrôle SAP. Par exemple : 00 |
| abaptz | Entrez le fuseau horaire configuré sur votre serveur ABAP de contrôle SAP, au format GMT. Par exemple : GMT+3 |
| abapseverity | Entrez le niveau de gravité le plus bas, inclus, pour lequel vous souhaitez ingérer les journaux ABAP dans Microsoft Sentinel. Ces valeurs comprennent : - 0 = Tous les journaux - 1 = Avertissement - 2 = Erreur |
Configuration d’une instance de contrôle SAP Java
Pour ingérer les journaux du service Web de contrôle SAP dans Microsoft Sentinel, configurez les informations sur l’instance de contrôle SAP JAVA suivantes :
| Paramètre | Description |
|---|---|
| javaappserver | Entrez votre hôte de serveur Java de contrôle SAP. Par exemple : contoso-java.server.com |
| javainstance | Entrez votre numéro d’instance ABAP de contrôle SAP. Par exemple : 10 |
| javatz | Entrez le fuseau horaire configuré sur votre serveur Java de contrôle SAP, au format GMT. Par exemple : GMT+3 |
| javaseverity | Entrez le niveau de gravité le plus bas, inclus, pour lequel vous souhaitez ingérer les journaux de service web dans Microsoft Sentinel. Ces valeurs comprennent : - 0 = Tous les journaux - 1 = Avertissement - 2 = Erreur |
Configuration de la collecte des données de référence utilisateur
Pour ingérer des tables directement à partir de votre système SAP avec des détails sur vos utilisateurs et autorisations de rôle, configurez votre fichier systemconfig.ini avec une instruction True/False pour chaque table.
Par exemple :
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
Pour plus d’informations, consultez Tables récupérées directement à partir de systèmes SAP.
Étapes suivantes
Après avoir installé votre connecteur de données SAP, vous pouvez ajouter le contenu de sécurité lié à SAP.
Pour plus d’informations, consultez Déployer la solution SAP.
Pour plus d'informations, consultez les pages suivantes :
- Déployer le connecteur de données des applications Microsoft Sentinel solution for SAP® avec SNC
- Surveiller l’intégrité de votre système SAP
- Exigences de SAP détaillées pour les applications Solution Microsoft Sentinel pour SAP®
- Référence des journaux des applications Solution Microsoft Sentinel pour SAP®
- Applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité
- Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®