SAP-engedélyek konfigurálása és opcionális SAP-módosítási kérések üzembe helyezése
Ez a cikk azt ismerteti, hogyan készítse elő a környezetet az SAP-ügynök telepítésére, hogy megfelelően kapcsolódjon az SAP-rendszerekhez. Az előkészítés magában foglalja a szükséges SAP-engedélyek konfigurálását, és opcionálisan további SAP-változáskérések (CRs) üzembe helyezését is.
- A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Üzembe helyezési mérföldkövek
Kövesse nyomon az SAP-megoldás üzembe helyezésének menetét ebben a cikksorozatban:
A megoldás használata több munkaterületen (ELŐZETES VERZIÓ)
SAP-környezet előkészítése (Ön itt van)
A megoldás tartalmának üzembe helyezése a tartalomközpontból
Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz®
Nem kötelező üzembe helyezési lépések
A Microsoft Sentinel szerepkör konfigurálása
Szerepkör-engedélyezések feltöltése az /MSFT Standard kiadás N/Standard kiadás NTINEL_RESPONDER fájlból a GitHubon.
Ez létrehozza az /MSFT Standard kiadás N/Standard kiadás NTINEL_RESPONDER szerepkört, amely tartalmazza a naplók SAP-rendszerekből való lekéréséhez és a támadáskimaradási válaszműveletek futtatásához szükséges összes engedélyt.
Másik lehetőségként hozzon létre manuálisan egy szerepkört a betöltendő naplókhoz szükséges megfelelő engedélyekkel. További információ: Kötelező ABAP-engedélyek. Az eljárás példái az /MSFT Standard kiadás N/Standard kiadás NTINEL_RESPONDER nevet használják.
A következő lépés egy aktív szerepkörprofil létrehozása a Microsoft Sentinel számára. Futtassa a PFCG-tranzakciót :
Az SAP Easy Access képernyőn írja be
PFCG
a képernyő bal felső sarkában lévő mezőbe, majd nyomja le az ENTER billentyűt.A Szerepkörkarbantartás ablakban írja be a szerepkör nevét
/MSFTSEN/SENTINEL_RESPONDER
a Szerepkör mezőbe, és válassza a Módosítás gombot (a ceruzát).A megjelenő Szerepkörök módosítása ablakban válassza az Engedélyek lapot.
Az Engedélyezés lapon válassza az Engedélyezési adatok módosítása lehetőséget.
Az Információk előugró ablakban olvassa el az üzenetet, és jelölje be a zöld pipát a megerősítéshez.
A Szerepkör módosítása: Engedélyek ablakban válassza a Létrehozás lehetőséget.
Láthatja, hogy az Állapot mező változatlanrólgeneráltra módosult.
Válassza a Vissza lehetőséget (a képernyő tetején található SAP-embléma bal oldalán).
A Szerepkörök módosítása ablakban ellenőrizze, hogy az Engedélyek lapon megjelenik-e egy zöld mező, majd válassza a Mentés lehetőséget.
Felhasználó létrehozása
Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldáshoz felhasználói fiók szükséges az SAP-rendszerhez való csatlakozáshoz. Az alábbi utasításokat követve hozzon létre egy felhasználói fiókot, és rendelje hozzá az előző lépésben létrehozott szerepkörhöz.
Az itt látható példákban az /MSFT Standard kiadás N/Standard kiadás NTINEL_RESPONDER szerepkörnevet használjuk.
Futtassa az SU01 tranzakciót:
Az SAP Easy Access képernyőn írja be
SU01
a képernyő bal felső sarkában lévő mezőbe, és nyomja le az ENTER billentyűt.A Felhasználói karbantartás: Kezdeti képernyő képernyőbe írja be az új felhasználó nevét a Felhasználó mezőbe, és válassza a Technikai felhasználó létrehozása lehetőséget a gombsávon.
A Felhasználók karbantartása képernyőn válassza a Rendszer lehetőséget a Felhasználótípus legördülő listából. Hozzon létre és adjon meg egy összetett jelszót az Új jelszó és a Jelszó megismétlése mezőben, majd válassza a Szerepkörök lapot.
A Szerepkörök lap Szerepkör-hozzárendelések szakaszában adja meg a szerepkör teljes nevét –
/MSFTSEN/SENTINEL_RESPONDER
a példánkban –, majd nyomja le az Enter billentyűt.Az Enter billentyűt lenyomva győződjön meg arról, hogy a Szerepkör-hozzárendelések szakasz jobb oldalán található adatok, például a kezdési dátum módosítása.
Válassza a Profilok lapot, ellenőrizze, hogy megjelenik-e a szerepkör profilja a Hozzárendelt engedélyezési profilok területen, majd válassza a Mentés lehetőséget.
Szükséges ABAP-engedélyek
Ez a szakasz felsorolja azokat az ABAP-engedélyeket, amelyek szükségesek ahhoz, hogy a Microsoft Sentinel SAP-adatösszekötője által használt SAP-felhasználói fiók megfelelően le tudja kérni a naplókat az SAP-rendszerekről, és támadáskimaradási válaszműveleteket futtasson.
A szükséges engedélyek a céljuk szerint vannak felsorolva. Csak a Microsoft Sentinelbe bevinni kívánt naplókhoz és az alkalmazni kívánt támadáskimaradási válaszműveletekhez felsorolt engedélyekre van szüksége.
Tipp.
Ha minden szükséges engedéllyel rendelkező szerepkört szeretne létrehozni, töltse be a szerepkör-engedélyezéseket az /MSFT Standard kiadás N/Standard kiadás NTINEL_RESPONDER fájlból.
Másik lehetőségként, ha csak a naplólekérést szeretné engedélyezni támadáskimaradási válaszműveletek nélkül, telepítse az SAP NPLK900271 CR-t az SAP-rendszeren az /MSFT Standard kiadás N/Standard kiadás NTINEL_CONNECTOR szerepkör létrehozásához, vagy töltse be a szerepkör-engedélyezéseket az /MSFT Standard kiadás N/Standard kiadás NTINEL_CONNECTOR fájlból.
Szükség esetén eltávolíthatja a felhasználói szerepkört és az ABAP-rendszerre telepített opcionális CR-t.
Opcionális hitelesítésszolgáltatók üzembe helyezése
Ez a szakasz részletes útmutatót nyújt az extra, opcionális hitelesítésszolgáltatók üzembe helyezéséhez. Olyan SOC-mérnököknek vagy implementátoroknak készült, akik nem feltétlenül SAP-szakértők.
A CR üzembehelyezési folyamatát ismerő tapasztalt SAP-rendszergazdák szívesebben kapják meg a megfelelő hitelesítésszolgáltatókat közvetlenül az útmutató SAP-környezetérvényesítési lépéseinek szakaszából, és üzembe helyezhetik őket.
Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi.
Az alábbi táblázat az üzembe helyezhető opcionális hitelesítésszolgáltatókat ismerteti:
CR | Leírás |
---|---|
NPLK900271 | Létrehoz és konfigurál egy mintaszerepkört azokkal az alapvető engedélyekkel, amelyek szükségesek ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez. Azt is megteheti, hogy közvetlenül egy fájlból tölti be az engedélyeket, vagy manuálisan határozza meg a szerepkört a betöltendő naplók alapján. További információ: Kötelező ABAP-engedélyezések és szerepkör létrehozása és konfigurálása (kötelező). |
NPLK900201 vagy NPLK900202 | További információkat kér le az SAP-tól. Válasszon egyet ezek közül a CRS-ek közül az SAP-verziónak megfelelően. |
A hitelesítésszolgáltatók üzembe helyezésének előfeltételei
Az üzembehelyezési folyamat megkezdése előtt győződjön meg arról, hogy átmásolta az SAP rendszerverziójának, a rendszerazonosítónak (SID), a rendszerszámnak, az ügyfélszámnak, az IP-címnek, a rendszergazdai felhasználónévnek és a jelszónak a részleteit. A következő példában a következő részleteket feltételezzük:
- SAP-rendszer verziója:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Rendszerszám:
00
- Ügyfélszám:
001
- IP-cím
192.168.136.4
: - Rendszergazda felhasználó:
a4hadm
az SAP-rendszerhez való SSH-kapcsolat azonban felhasználói hitelesítő adatokkalroot
jön létre.
- SAP-rendszer verziója:
Győződjön meg arról, hogy tudja, melyik CR-t szeretné üzembe helyezni.
Ha a NPLK900202 CR-t telepíti további információk lekéréséhez, győződjön meg arról, hogy telepítette a vonatkozó SAP-megjegyzést.
A fájlok beállítása
Jelentkezzen be az SAP-rendszerbe SSH használatával.
Helyezze át a CR-fájlokat az SAP-rendszerbe, vagy töltse le a fájlokat közvetlenül az SAP-rendszerbe az SSH-parancssorból. Használja a következő parancsokat:
NPLK900271 letöltése
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
Másik lehetőségként ezeket az engedélyeket közvetlenül egy fájlból töltheti be.
NPLK900202 letöltése
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
NPLK900201 letöltése
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Minden CR két fájlból áll, az egyik K-val kezdődik, a másik az R-vel.
Módosítsa a fájlok tulajdonjogát felhasználói
<sid>
adm-ra és csoport sapsy-ra. (Cserélje le az SAP rendszerazonosítóját .<sid>
)chown <sid>adm:sapsys *.NPL
A jelen példában:
chown a4hadm:sapsys *.NPL
Másolja a (K betűvel kezdődő) fájlokat a
/usr/sap/trans/cofiles
mappába. A kapcsolóval-p
ellátott paranccsal őrizze meg azcp
engedélyeket másolás közben.cp -p K*.NPL /usr/sap/trans/cofiles/
Másolja az adatfájlokat (az R betűvel kezdődőket) a
/usr/sap/trans/data
mappába. A kapcsolóval-p
ellátott paranccsal őrizze meg azcp
engedélyeket másolás közben.cp -p R*.NPL /usr/sap/trans/data/
A hitelesítésszolgáltatók importálása
Indítsa el az SAP Bejelentkezési alkalmazást, és jelentkezzen be az SAP GUI-konzolra.
Futtassa a STMS_IMPORT tranzakciót:
Az SAP Easy Access képernyőn írja be
STMS_IMPORT
a képernyő bal felső sarkában lévő mezőbe, majd nyomja le az ENTER billentyűt.A megjelenő Üzenetsor importálása ablakban válassza a További > extrák egyéb kérések >> hozzáadása lehetőséget.
A megjelenő Üzenetsor importálása előugró ablakban válassza a Transp. Request mezőt.
Megjelenik az Átviteli kérelmek ablak, és megjelenik az üzembe helyezhető hitelesítésszolgáltatók listája. Jelöljön ki egy CR-t, és válassza a zöld pipa gombot.
Az Átviteli kérelem hozzáadása üzenetsor importálásához ablakban válassza a Folytatás (zöld pipa) lehetőséget, vagy nyomja le az ENTER billentyűt.
Az Átviteli kérelem hozzáadása párbeszédpanelen válassza az Igen lehetőséget.
Ha további hitelesítésszolgáltatók üzembe helyezését tervezi, ismételje meg az eljárást az előző öt lépésben a fennmaradó hitelesítésszolgáltatók esetében.
Az Üzenetsor importálása ablakban jelölje ki egyszer a megfelelő átviteli kérelmet, majd válassza az F9 vagy a Select/Deselect Request ikont.
Ha további átviteli kérelmeket szeretne hozzáadni az üzembe helyezéshez, ismételje meg a 9. lépést.
Válassza a Kérelmek importálása ikont:
Az Importálás indítása ablakban válassza a Célügyfél mezőt.
Megjelenik a Beviteli súgó.. párbeszédpanel. Válassza ki annak az ügyfélnek a számát, amelyben üzembe szeretné helyezni a hitelesítésszolgáltatókat (
001
a példában), majd jelölje be a zöld pipát a megerősítéshez.Az Importálás indítása ablakban jelölje be a Beállítások lapot, jelölje be az Érvénytelen összetevőverzió figyelmen kívül hagyása jelölőnégyzetet, és jelölje be a zöld pipát a megerősítéshez.
Az Importálás indítása párbeszédpanelen válassza az Igen lehetőséget az importálás megerősítéséhez.
Az Üzenetsor importálása ablakban válassza a Frissítés lehetőséget, várjon, amíg az importálási művelet befejeződik, és az importálási üzenetsor üresként jelenik meg.
Az importálási állapot áttekintéséhez az Importálási várólista ablakban válassza a További > ugrás az > importálási előzmények elemre.
Ha üzembe helyezte a NPLK900202 CR-t, az várhatóan figyelmeztetést jelenít meg. Válassza ki a bejegyzést annak ellenőrzéséhez, hogy a megjelenő figyelmeztetések "Table tablename was activated" (Tábla <táblanév> aktiválva) típusúak-e.
Az alábbi képernyőképeken szereplő hitelesítésszolgáltatók és verziók a telepített CR-verziónak megfelelően változhatnak.
Ellenőrizze, hogy a PAHI-tábla (a rendszer, az adatbázis és az SAP-paraméterek előzményei) rendszeres időközönként frissül-e
Az SAP PAHI táblázat az SAP-rendszer előzményeiről, az adatbázisról és az SAP-paraméterekről tartalmaz adatokat. Bizonyos esetekben az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás nem tudja rendszeres időközönként monitorozni az SAP PAHI-táblát a hiányzó vagy hibás konfiguráció miatt (erről további részleteket az SAP megjegyzésében talál). Fontos frissíteni a PAHI-táblát, és gyakran figyelni, hogy az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás riasztást küldhessen a nap bármely szakában előforduló gyanús műveletekről.
További információ arról, hogy az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás hogyan figyeli a biztonsági paraméterek gyanús konfigurációs változásait.
Feljegyzés
Az optimális eredmények érdekében a gép systemconfig.ini fájljában, a [ABAP Table Selector]
szakaszban engedélyezze mind a paramétereket, mind a PAHI_FULL
PAHI_INCREMENTAL
paramétereket.
Annak ellenőrzése, hogy a PAHI-tábla rendszeres időközönként frissül-e:
- Ellenőrizze, hogy a feladat a
SAP_COLLECTOR_FOR_PERFMONITOR
RSCOLL00 program alapján óránként van-e ütemezve és fut-e a DDIC-felhasználó által a 000 ügyfélben. - Ellenőrizze, hogy a
RSHOSTPH
TCOLL-táblában megmaradnak-e a jelentések ésRSDB_PAR
a jelentésekRSSTATPH
nevei.RSHOSTPH
jelentés: Beolvassa az operációs rendszer kernelparamétereit, és ezeket az adatokat a PAHI-táblában tárolja.RSSTATPH
jelentés: Beolvassa az SAP-profil paramétereit, és tárolja ezeket az adatokat a PAHI-táblában.RSDB_PAR
jelentés: Beolvassa az adatbázis paramétereit, és tárolja őket a PAHI táblában.
Ha a feladat létezik, és megfelelően van konfigurálva, nincs szükség további lépésekre.
Ha a feladat nem létezik:
Jelentkezzen be az SAP-rendszerbe a 000 ügyfélen.
Hajtsa végre az SM36-tranzakciót.
A Feladat neve mezőbe írja be a SAP_COLLECTOR_FOR_PERFMONITOR.
Válassza a Lépés lehetőséget, és töltse ki az alábbi adatokat:
- A Felhasználó mezőbe írja be a DDIC kifejezést.
- Az ABAP-program neve mezőbe írja be a RSCOLL00.
Mentse a konfigurációt.
Az F3 elemet választva térjen vissza az előző képernyőre.
A kezdési feltétel megadásához válassza a Kezdő feltétel lehetőséget.
Válassza az Azonnali lehetőséget, és jelölje be az Időszakos feladat jelölőnégyzetet.
Válassza az Időszak értékeket , és válassza az Óránként lehetőséget.
Válassza a Mentés lehetőséget a párbeszédpanelen belül, majd az alján válassza a Mentés lehetőséget.
A feladat kiadásához válassza a Felül található Mentés lehetőséget .
Következő lépések
Az SAP-környezet most már teljesen felkészült egy adatösszekötő-ügynök üzembe helyezésére. A rendszer kiépít egy szerepkört és profilt, létrehoz egy felhasználói fiókot, és hozzárendeli a megfelelő szerepkörprofilt, és szükség szerint üzembe helyezi a CRS-eket a környezethez.
Most már készen áll a Microsoft Sentinel SAP-naplózásának engedélyezésére és konfigurálására.