Opsi konfigurasi pakar, penyebaran lokal, dan sumber log SAPControl
Artikel ini menjelaskan cara menggunakan konektor data Microsoft Sentinel for SAP dalam proses ahli atau kustom, seperti menggunakan komputer lokal dan Azure Key Vault untuk menyimpan info masuk Anda.
Catatan
Proses default, dan yang paling direkomendasikan, untuk penyebaran konektor data Microsoft Sentinel for SAP adalah dengan menggunakan Azure VM. Artikel ini ditujukan untuk pengguna tingkat lanjut.
Prasyarat
Prasyarat dasar untuk penyebaran konektor data Microsoft Sentinel for SAP tetap sama terlepas dari metode penyebaran yang Anda gunakan.
Pastikan sistem Anda mematuhi prasyarat yang didokumentasikan dalam dokumen prasyarat konektor data SAP utama sebelum memulai.
Membuat Azure Key Vault
Buat brankas kunci Azure yang dapat Anda dedikasikan untuk solusi Microsoft Azure Sentinel untuk konektor data aplikasi SAP®.
Jalankan perintah berikut untuk membuat brankas kunci Azure dan memberikan akses ke prinsip layanan Azure:
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
Unruk informasi selengkapnya, lihat Mulai cepat: Membuat key vault menggunakan Azure CLI.
Tambahkan rahasia Azure Key Vault
Untuk menambahkan rahasia Azure Key Vault, jalankan skrip berikut, dengan ID sistem Anda sendiri dan kredensial yang ingin Anda tambahkan:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Untuk informasi selengkapnya, lihat dokumentasi CLI rahasia az keyvault.
Lakukan instalasi ahli/kustom
Prosedur ini menjelaskan cara menggunakan konektor data Microsoft Sentinel for SAP menggunakan instalasi ahli atau kustom, seperti saat menginstal di tempat.
Kami menyarankan agar Anda melakukan prosedur ini setelah Anda memiliki key vault yang siap dengan kredensial SAP Anda.
Menyebarkan konektor data Microsoft Sentinel for SAP:
Di komputer lokal Anda, unduh SAP NW RFC SDK terbaru dari situs SAP Launchpad>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.
Catatan
Anda akan memerlukan informasi masuk pengguna SAP Anda untuk mengakses SDK, dan Anda harus mengunduh SDK yang cocok dengan sistem operasi Anda.
Pastikan untuk memilih opsi LINUX ON X86_64.
Di komputer lokal Anda, buat folder baru dengan nama yang bermakna, dan salin file zip SDK ke folder baru Anda.
Kloning repositori GitHub solusi Microsoft Sentinel ke komputer lokal Anda, dan salin solusi Microsoft Sentinel untuk solusi aplikasi SAP® systemconfig.ini file ke folder baru Anda.
Contohnya:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Edit file systemconfig.ini sesuai kebutuhan, menggunakan komentar yang disematkan sebagai panduan. Untuk informasi selengkapnya, lihat Mengonfigurasi konektor data Microsoft Sentinel for SAP secara manual.
Untuk menguji konfigurasi, Anda mungkin ingin menambahkan pengguna dan kata sandi langsung ke file konfigurasi systemconfig.ini. Meskipun kami menyarankan agar Anda menggunakan Azure Key Vault untuk menyimpan kredensial Anda, Anda juga dapat menggunakan file env.list, rahasia Docker, atau Anda dapat menambahkan kredensial Anda langsung ke file systemconfig.ini.
Tentukan log yang ingin diserap ke dalam Microsoft Azure Sentinel menggunakan petunjuk dalam file systemconfig.ini. Misalnya, lihat Menentukan log SAP yang dikirim ke Microsoft Azure Sentinel.
Tentukan konfigurasi berikut menggunakan instruksi dalam file systemconfig.ini:
- Apakah menyertakan alamat email pengguna dalam log audit
- Apakah mencoba kembali panggilan API yang gagal
- Apakah menyertakan log audit cexal
- Apakah menunggu selang waktu antara ekstraksi data, terutama untuk ekstraksi besar
Untuk informasi selengkapnya, lihat Konfigurasi konektor log SAL.
Simpan file systemconfig.ini Anda yang diperbarui di direktori sapcon pada komputer Anda.
Jika Anda telah memilih untuk menggunakan file env.list untuk kredensial Anda, buat file env.list sementara dengan kredensial yang diperlukan. Setelah kontainer Docker berjalan dengan benar, pastikan untuk menghapus file ini.
Catatan
Skrip berikut ini memiliki setiap kontainer Docker yang terhubung ke sistem ABAP tertentu. Ubah skrip Anda sesuai kebutuhan untuk lingkungan Anda.
Jalankan:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Unduh dan jalankan gambar Docker yang telah ditentukan sebelumnya dengan konektor data SAP terinstal. Jalankan:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Verifikasi bahwa kontainer Docker berjalan dengan benar. Jalankan:
docker logs –f sapcon-[SID]Lanjutkan dengan menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP®.
Menyebarkan solusi ini memungkinkan konektor data SAP ditampilkan di Microsoft Azure Sentinel dan menyebarkan aturan analitik dan buku kerja SAP. Setelah selesai, tambahkan dan sesuaikan daftar pengawasan SAP Anda secara manual.
Untuk informasi selengkapnya, lihat Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi® SAP dari hub konten.
Mengonfigurasi Microsoft Sentinel untuk konektor data SAP secara manual
Konektor data Microsoft Sentinel for SAP dikonfigurasi dalam file systemconfig.ini, yang Anda klon ke komputer konektor data SAP Anda sebagai bagian dari prosedur penyebaran.
Kode berikut memperlihatkan contoh filesystemconfig.ini:
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
Menentukan log SAP yang dikirim ke Microsoft Azure Sentinel
Tambahkan kode berikut ke solusi Microsoft Azure Sentinel untuk aplikasi SAP® systemconfig.ini file untuk menentukan log yang dikirim ke Microsoft Azure Sentinel.
Untuk informasi selengkapnya, lihat Solusi Microsoft Azure Sentinel untuk referensi log solusi aplikasi SAP® (pratinjau publik).
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
Pengaturan konektor log SAL
Tambahkan kode berikut ke file konektor data Microsoft Sentinel for SAP systemconfig.ini untuk menentukan pengaturan lain untuk log SAP yang diserap ke dalam Microsoft Sentinel.
Untuk informasi selengkapnya, lihat Melakukan instalasi konektor data SAP ahli/kustom.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
Bagian ini memungkinkan Anda untuk mengonfigurasi parameter berikut:
| Nama parameter | Deskripsi |
|---|---|
| extractuseremail | Menentukan apakah alamat email pengguna disertakan dalam log audit. |
| apiretry | Menentukan apakah panggilan API dicoba kembali sebagai mekanisme failover. |
| auditlogforcexal | Menentukan apakah sistem memaksa penggunaan log audit untuk sistem non-SAL, seperti SAP BASIS versi 7.4. |
| auditlogforcelegacyfiles | Menentukan apakah sistem memaksa penggunaan log audit dengan kemampuan sistem lama, seperti dari SAP BASIS versi 7.4 dengan tingkat patch yang lebih rendah. |
| timechunk | Menentukan bahwa sistem menunggu jumlah menit tertentu sebagai interval antara ekstraksi data. Gunakan parameter ini jika Anda memiliki sejumlah besar data yang diharapkan. Misalnya, selama beban data awal selama 24 jam pertama, Anda mungkin ingin ekstraksi data hanya berjalan setiap 30 menit untuk memberikan waktu yang cukup bagi setiap ekstraksi data. Dalam kasus seperti itu, tetapkan nilai ini ke 30. |
Mengonfigurasi instans Kontrol SAP ABAP
Untuk menyerap semua log ABAP ke Microsoft Azure Sentinel, termasuk log berbasis NW RFC dan Layanan Web Kontrol SAP, konfigurasikan detail Kontrol ABAP SAP berikut:
| Pengaturan | Deskripsi |
|---|---|
| javaappserver | Memasukkan host server SAP Control ABAP Anda. Misalnya: contoso-erp.appserver.com |
| javainstance | Memasukkan nomor instans SAP Control ABAP Anda. Misalnya: 00 |
| abaptz | Memasukkan zona waktu yang dikonfigurasi di server SAP Control ABAP Anda, dalam format GMT. Misalnya: GMT+3 |
| abapseverity | Masukkan tingkat keparahan terendah, yang inklusif yang log ABAP-nya ingin diserap ke Microsoft Azure Sentinel. Nilai meliputi: - 0 = Semua log - 1 = Peringatan - 2 = Error |
Mengonfigurasi instans Kontrol SAP Java
Untuk menyerap log Layanan Web Kontrol SAP ke Microsoft Azure Sentinel, konfigurasikan detail instans Kontrol JAVA SAP berikut:
| Parameter | Deskripsi |
|---|---|
| javaappserver | Memasukkan host server SAP Control Java Anda. Misalnya: contoso-java.server.com |
| javainstance | Memasukkan nomor instans SAP Control ABAP Anda. Misalnya: 10 |
| javatz | Memasukkan zona waktu yang dikonfigurasi di server SAP Control Java Anda, dalam format GMT. Misalnya: GMT+3 |
| javaseverity | Masukkan tingkat keparahan terendah yang inklusif log Layanan Web-nya ingin diserap ke Microsoft Azure Sentinel. Nilai meliputi: - 0 = Semua log - 1 = Peringatan - 2 = Kesalahan |
Mengonfigurasi pengumpulan data Master Pengguna
Untuk menyerap tabel langsung dari sistem SAP Anda dengan detail tentang pengguna dan otorisasi peran Anda, konfigurasikan file systemconfig.ini Anda dengan True/False pernyataan untuk setiap tabel.
Contohnya:
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
Untuk informasi selengkapnya, lihat Tabel yang diambil langsung dari sistem SAP.
Langkah berikutnya
Setelah konektor data SAP Anda terinstal, Anda dapat menambahkan konten keamanan terkait SAP.
Untuk informasi selengkapnya, lihat Menerapkan solusi SAP.
Untuk informasi selengkapnya, lihat:
- Menyebarkan solusi Microsoft Azure Sentinel untuk konektor data aplikasi SAP® dengan SNC
- Memantau kesehatan sistem SAP Anda
- Solusi Microsoft Azure Sentinel untuk persyaratan SAP terperinci aplikasi SAP®
- Solusi Microsoft Azure Sentinel untuk referensi log aplikasi SAP®
- Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: referensi konten keamanan
- Pemecahan masalah solusi Microsoft Azure Sentinel Anda untuk penyebaran aplikasi SAP®