Opzioni di configurazione esperti, distribuzione locale e origini log SAPControl

  • Articolo

Questo articolo descrive come distribuire Microsoft Sentinel per il connettore dati SAP in un processo esperto o personalizzato, ad esempio usando un computer locale e un Key Vault di Azure per archiviare le credenziali.

Nota

Il processo predefinito e più consigliato per la distribuzione del connettore dati Microsoft Sentinel per SAP è tramite una macchina virtuale di Azure. Questo articolo è destinato agli utenti avanzati.

Prerequisiti

I prerequisiti di base per la distribuzione di Microsoft Sentinel per il connettore dati SAP sono gli stessi indipendentemente dal metodo di distribuzione.

Assicurarsi che il sistema sia conforme ai prerequisiti documentati nel documento dei prerequisiti del connettore dati SAP principale prima di iniziare.

Creare l'insieme di credenziali delle chiavi di Azure

Creare un insieme di credenziali delle chiavi di Azure che è possibile dedicare alla soluzione Microsoft Sentinel per il connettore dati delle applicazioni SAP®.

Eseguire il comando seguente per creare l'insieme di credenziali delle chiavi di Azure e concedere l'accesso a un'entità servizio di Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Per altre informazioni, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi usando l'interfaccia della riga di comando di Azure.

Aggiungere segreti Key Vault di Azure

Per aggiungere segreti di Azure Key Vault, eseguire lo script seguente, con il proprio ID di sistema e le credenziali da aggiungere:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Per altre informazioni, vedere la documentazione dell'interfaccia della riga di comando del segreto az keyvault .

Eseguire un esperto/installazione personalizzata

Questa procedura descrive come distribuire Microsoft Sentinel per il connettore dati SAP usando un esperto o un'installazione personalizzata, ad esempio quando si installa in locale.

È consigliabile eseguire questa procedura dopo aver pronto un insieme di credenziali delle chiavi con le credenziali SAP.

Per distribuire il connettore dati Microsoft Sentinel per SAP:

  1. Nel computer locale scaricarel'SDK SAP NW RFC più recente dal sito >SAP LaunchpadSAP NW RFC SDK SAP NW RFC SDK>7.50>nwrfc750X_X-xxxxxxx.zip.

    Nota

    Per accedere all'SDK è necessario disporre delle informazioni sull'accesso utente SAP e scaricare l'SDK corrispondente al sistema operativo.

    Assicurarsi di selezionare l'opzione LINUX ON X86_64 .

  2. Nel computer locale creare una nuova cartella con un nome significativo e copiare il file zip SDK nella nuova cartella.

  3. Clonare il repository GitHub della soluzione Microsoft Sentinel nel computer locale e copiare la soluzione Microsoft Sentinel per la soluzione di applicazioni SAP® systemconfig.ini file nella nuova cartella.

    Ad esempio:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

  4. Modificare il file systemconfig.ini in base alle esigenze, usando i commenti incorporati come guida. Per altre informazioni, vedere Configurare manualmente Microsoft Sentinel per il connettore dati SAP.

    Per testare la configurazione, è possibile aggiungere l'utente e la password direttamente al file di configurazione systemconfig.ini . Anche se è consigliabile usare Azure Key Vault per archiviare le credenziali, è anche possibile usare un file env.list , i segreti Docker oppure aggiungere le credenziali direttamente al file disystemconfig.ini .

  5. Definire i log da inserire in Microsoft Sentinel usando le istruzioni nel file systemconfig.ini . Ad esempio, vedere Definire i log SAP inviati a Microsoft Sentinel.

  6. Definire le configurazioni seguenti usando le istruzioni nel file systemconfig.ini :

    • Indica se includere gli indirizzi di posta elettronica degli utenti nei log di controllo
    • Se riprovare le chiamate API non riuscite
    • Indica se includere i log di controllo cexal
    • Se attendere un intervallo di tempo tra le estrazione dei dati, soprattutto per le estrazione di grandi dimensioni

    Per altre informazioni, vedere Configurazioni del connettore dei log SAL.

  7. Salvare il file di systemconfig.ini aggiornato nella directory sapcon nel computer.

  8. Se si è scelto di usare un file env.list per le credenziali, creare un file env.list temporaneo con le credenziali necessarie. Dopo aver eseguito correttamente il contenitore Docker, assicurarsi di eliminare questo file.

    Nota

    Lo script seguente include ogni contenitore Docker che si connette a un sistema ABAP specifico. Modificare lo script in base alle esigenze dell'ambiente.

    Eseguire:

    ##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET SENTINEL WORKSPACE id>
LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

  9. Scaricare ed eseguire l'immagine Docker predefinita con il connettore dati SAP installato. Eseguire:

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

  10. Verificare che il contenitore Docker sia in esecuzione correttamente. Eseguire:

    docker logs –f sapcon-[SID]

  11. Continuare con la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®.

    La distribuzione della soluzione consente al connettore dati SAP di visualizzare in Microsoft Sentinel e distribuire le regole di cartella di lavoro e analisi SAP. Al termine, aggiungere e personalizzare manualmente gli elenchi di controllo SAP.

    Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni® SAP dall'hub di contenuto.

Configurare manualmente il connettore dati Microsoft Sentinel per SAP

Il connettore dati Microsoft Sentinel per SAP è configurato nel file systemconfig.ini , clonato nel computer del connettore dati SAP come parte della procedura di distribuzione.

Il codice seguente mostra un file di esempiosystemconfig.ini :

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

Definire i log SAP inviati a Microsoft Sentinel

Aggiungere il codice seguente alla soluzione Microsoft Sentinel per le applicazioni SAP® systemconfig.ini file per definire i log inviati a Microsoft Sentinel.

Per altre informazioni, vedere La soluzione Microsoft Sentinel per i log delle soluzioni sap® (anteprima pubblica).

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Impostazioni del connettore log SAL

Aggiungere il codice seguente al file del connettore dati MICROSOFT Sentinel per SAP systemconfig.ini per definire altre impostazioni per i log SAP inseriti in Microsoft Sentinel.

Per altre informazioni, vedere Eseguire un'installazione del connettore dati SAP esperto/personalizzato.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

Questa sezione consente di configurare i parametri seguenti:

Nome parametro Descrizione
extractuseremail Determina se gli indirizzi di posta elettronica degli utenti sono inclusi nei log di controllo.
apiretry Determina se le chiamate API vengono riprovate come meccanismo di failover.
auditlogforcexal Determina se il sistema forza l'uso dei log di controllo per sistemi non SAL, ad esempio SAP BASIS versione 7.4.
auditlogforcelegacyfiles Determina se il sistema forza l'uso dei log di controllo con funzionalità di sistema legacy, ad esempio da SAP BASIS versione 7.4 con livelli di patch inferiori.
timechunk Determina che il sistema attende un numero specifico di minuti come intervallo tra le estrazione di dati. Usare questo parametro se si dispone di una grande quantità di dati previsti.

Ad esempio, durante il caricamento iniziale dei dati durante le prime 24 ore, è possibile che l'estrazione dei dati sia in esecuzione solo ogni 30 minuti per assegnare un tempo sufficiente per l'estrazione dei dati. In questi casi, impostare questo valore su 30.

Configurazione di un'istanza del controllo SAP ABAP

Per inserire tutti i log ABAP in Microsoft Sentinel, inclusi i log RFC NW e SAP Control Web Service, configurare i dettagli del controllo SAP ABAP seguenti:

Impostazione Descrizione
javaappserver Immettere l'host del server SAP Control ABAP.
ad esempio contoso-erp.appserver.com
javainstance Immettere il numero di istanza DI SAP Control ABAP.
ad esempio 00
abaptz Immettere il fuso orario configurato nel server SAP Control ABAP in formato GMT.
ad esempio GMT+3
abapseverity Immettere il livello minimo, inclusivo e di gravità per il quale si desidera inserire i log ABAP in Microsoft Sentinel. I possibili valori sono:

- 0 = Tutti i log
- 1 = Avviso
- 2 = Errore

Configurazione di un'istanza di controllo SAP Java

Per inserire i log di SAP Control Web Service in Microsoft Sentinel, configurare i dettagli dell'istanza di CONTROLLO SAP JAVA seguenti:

Parametro Descrizione
javaappserver Immettere l'host del server Java di controllo SAP.
ad esempio contoso-java.server.com
javainstance Immettere il numero di istanza DI SAP Control ABAP.
ad esempio 10
javatz Immettere il fuso orario configurato nel server Java di controllo SAP in formato GMT.
ad esempio GMT+3
javaseverity Immettere il livello di gravità più basso e inclusivo per il quale si desidera inserire i log del servizio Web in Microsoft Sentinel. I possibili valori sono:

- 0 = Tutti i log
- 1 = Avviso
- 2 = Errore

Configurazione della raccolta dati master utente

Per inserire tabelle direttamente dal sistema SAP con informazioni dettagliate sugli utenti e le autorizzazioni del ruolo, configurare il file disystemconfig.ini con un'istruzione True/False per ogni tabella.

Ad esempio:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Per altre informazioni, vedere Tabelle recuperate direttamente dai sistemi SAP.

Passaggi successivi

Dopo aver installato il connettore dati SAP, è possibile aggiungere il contenuto di sicurezza correlato a SAP.

Per altre informazioni, vedere Distribuire la soluzione SAP.

Per altre informazioni, vedere: