Wdrażanie łącznika danych usługi Microsoft Sentinel dla oprogramowania SAP przy użyciu protokołu SNC

  • Artykuł

W tym artykule pokazano, jak wdrożyć łącznik danych usługi Microsoft Sentinel dla oprogramowania SAP w celu pozyskiwania dzienników SAP NetWeaver i SAP ABAP za pośrednictwem bezpiecznego połączenia przy użyciu protokołu Secure Network Communications (SNC).

Agent łącznika danych SAP zwykle łączy się z serwerem SAP ABAP przy użyciu połączenia zdalnego wywołania funkcji (RFC) oraz nazwy użytkownika i hasła na potrzeby uwierzytelniania.

Jednak niektóre środowiska mogą wymagać nawiązania połączenia w zaszyfrowanym kanale, a niektóre środowiska mogą wymagać użycia certyfikatów klienta do uwierzytelniania. W takich przypadkach można bezpiecznie połączyć łącznik danych za pomocą SNC z oprogramowania SAP. Wykonaj kroki opisane w tym artykule.

Wymagania wstępne

Aby wdrożyć łącznik danych usługi Microsoft Sentinel dla oprogramowania SAP przy użyciu protokołu SNC, potrzebne są następujące elementy:

  • Biblioteka kryptograficzna SAP.
  • Łączność sieciowa. SNC używa portu 48xx (gdzie xx jest numerem wystąpienia SAP) w celu nawiązania połączenia z serwerem ABAP.
  • Serwer SAP skonfigurowany do obsługi uwierzytelniania SNC.
  • Certyfikat wystawiony przez urząd certyfikacji (CA) z podpisem własnym lub przedsiębiorstwa na potrzeby uwierzytelniania użytkownika.

Uwaga

W tym artykule opisano przykładowy przypadek konfigurowania SNC. W środowisku produkcyjnym zdecydowanie zalecamy skonsultowanie się z administratorami systemu SAP w celu utworzenia planu wdrożenia.

Eksportowanie certyfikatu serwera

Aby rozpocząć, wyeksportuj certyfikat serwera:

  1. Zaloguj się do klienta SAP i uruchom transakcję STRUST .

  2. W okienku po lewej stronie przejdź do pozycji SNC SAPCryptolib i rozwiń sekcję.

  3. Wybierz system, a następnie wybierz wartość tematu.

    Informacje o certyfikacie serwera są wyświetlane w sekcji Certyfikat .

  4. Wybierz pozycję Eksportuj certyfikat.

    Screenshot that shows how to export a server certificate.

  5. W oknie dialogowym Eksportowanie certyfikatu:

    1. W polu Format pliku wybierz pozycję Base64.

    2. Obok pozycji Ścieżka pliku wybierz ikonę podwójnych pól.

    3. Wybierz nazwę pliku, do których chcesz wyeksportować certyfikat.

    4. Wybierz zielony znacznik wyboru, aby wyeksportować certyfikat.

Importowanie certyfikatu

W tej sekcji wyjaśniono, jak zaimportować certyfikat, aby był zaufany przez serwer ABAP. Ważne jest, aby zrozumieć, który certyfikat należy zaimportować do systemu SAP. Do systemu SAP należy zaimportować tylko klucze publiczne certyfikatów.

  • Jeśli certyfikat użytkownika jest z podpisem własnym: zaimportuj certyfikat użytkownika.

  • Jeśli certyfikat użytkownika jest wystawiany przez urząd certyfikacji przedsiębiorstwa: importowanie certyfikatu urzędu certyfikacji przedsiębiorstwa. Jeśli są używane zarówno serwery główne, jak i podrzędne urzędy certyfikacji, zaimportuj zarówno certyfikaty publiczne głównego, jak i podrzędnego urzędu certyfikacji.

Aby zaimportować certyfikat:

  1. Uruchom transakcję STRUST .

  2. Wybierz pozycję Display-Change (Zmień).<>

  3. Wybierz pozycję Importuj certyfikat.

  4. W oknie dialogowym Importowanie certyfikatu:

    1. Obok pozycji Ścieżka pliku wybierz ikonę podwójnych pól i przejdź do certyfikatu.

    2. Przejdź do pliku zawierającego certyfikat (tylko dla klucza publicznego) i wybierz zielony znacznik wyboru, aby zaimportować certyfikat.

      Informacje o certyfikacie są wyświetlane w sekcji Certyfikat .

    3. Wybierz pozycję Dodaj do listy certyfikatów.

      Certyfikat zostanie wyświetlony w sekcji Lista certyfikatów.

Kojarzenie certyfikatu z kontem użytkownika

Aby skojarzyć certyfikat z kontem użytkownika:

  1. Uruchom transakcję SM30 .

  2. W obszarze Tabela/Widok wprowadź wartość USRACLEXT, a następnie wybierz pozycję Zachowaj.

  3. Przejrzyj dane wyjściowe i określ, czy użytkownik docelowy ma już skojarzoną nazwę SNC. Jeśli żadna nazwa SNC nie jest skojarzona z użytkownikiem, wybierz pozycję Nowe wpisy.

    Screenshot that shows how to create a new entry in the USERACLEXT table.

  4. W polu Użytkownik wprowadź nazwę użytkownika. W polu Nazwa SNC wprowadź nazwę podmiotu certyfikatu użytkownika poprzedzoną ciągiem p:, a następnie wybierz pozycję Zapisz.

    Screenshot that shows how to create a new user in USERACLEXT table.

Udzielanie praw logowania przy użyciu certyfikatu

Aby udzielić praw logowania:

  1. Uruchom transakcję SM30 .

  2. W obszarze Tabela/Widok wprowadź wartość VSNCSYSACL, a następnie wybierz pozycję Zachowaj.

  3. W wyświetlonym monicie informacyjnym upewnij się, że tabela jest klientem krzyżowym.

  4. W obszarze Określanie obszaru roboczego: Wpis wprowadź wartość E w polu Typ wpisu listy ACL, a następnie wybierz zielony znacznik wyboru.

  5. Przejrzyj dane wyjściowe i określ, czy użytkownik docelowy ma już skojarzoną nazwę SNC. Jeśli użytkownik nie ma skojarzonej nazwy SNC, wybierz pozycję Nowe wpisy.

    Screenshot that shows how to create a new entry in the VSNCSYSACL table.

  6. Wprowadź identyfikator systemu i nazwę podmiotu certyfikatu użytkownika z prefiksem p: .

    Screenshot that shows how to create a new user in the VSNCSYSACL table.

  7. Upewnij się, że zaznaczono pola wyboru Wpis dla aktywowanej jednostki RFC i Wpis certyfikatu , a następnie wybierz pozycję Zapisz.

Mapuj użytkowników dostawcy usług ABAP na identyfikatory użytkowników zewnętrznych

Aby zamapować użytkowników dostawcy usług ABAP na identyfikatory użytkowników zewnętrznych:

  1. Uruchom transakcję SM30 .

  2. W obszarze Tabela/Widok wprowadź wartość VUSREXTID, a następnie wybierz pozycję Zachowaj.

  3. W obszarze Określanie obszaru roboczego: wpis wybierz typ identyfikatora DN dla obszaru roboczego.

  4. Wprowadź następujące wartości:

    • W polu Identyfikator zewnętrzny wprowadź WARTOŚĆ CN=Sentinel, C=US.
    • W polu Seq. Nie wprowadź wartość 000.
    • W polu Użytkownik wprowadź wartość SENTINEL.

  5. Wybierz pozycję Zapisz, a następnie naciśnij klawisz Enter.

    Screenshot that shows how to set up the SAP VUSREXTID table.

Konfigurowanie kontenera

Uwaga

Jeśli skonfigurujesz kontener agenta łącznika danych SAP przy użyciu interfejsu użytkownika, nie wykonaj kroków opisanych w tej sekcji. Zamiast tego kontynuuj konfigurowanie łącznika na stronie łącznika.

Aby skonfigurować kontener:

  1. Przenieś pliki libsapcrypto.so i sapgenpse do systemu, w którym zostanie utworzony kontener.

  2. Przenieś certyfikat klienta (zarówno prywatny, jak i publiczny) do systemu, w którym zostanie utworzony kontener.

    Certyfikat klienta i klucz mogą być w formacie .p12, pfx lub Base64 .crt i .key .

  3. Przenieś certyfikat serwera (tylko klucz publiczny) do systemu, w którym zostanie utworzony kontener.

    Certyfikat serwera musi być w formacie crt base64.

  4. Jeśli certyfikat klienta został wystawiony przez urząd certyfikacji przedsiębiorstwa, przenieś certyfikaty urzędu wystawiającego certyfikaty urzędu certyfikacji i głównego urzędu certyfikacji do systemu, w którym zostanie utworzony kontener.

  5. Pobierz skrypt kickstart z repozytorium GitHub usługi Microsoft Sentinel:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. Zmień uprawnienia skryptu, aby ustawić go jako wykonywalny:

    chmod +x ./sapcon-sentinel-kickstart.sh

  7. Uruchom skrypt i określ następujące podstawowe parametry:

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib <path to sapcryptolib.so> \
--sapgenpse <path to sapgenpse> \
--server-cert <path to server certificate public key> \

    Jeśli certyfikat klienta ma format crt lub .key , użyj następujących przełączników:

    --client-cert <path to client certificate public key> \
--client-key <path to client certificate private key> \

    Jeśli certyfikat klienta ma format pfx lub p12 , użyj następujących przełączników:

    --client-pfx <pfx filename>
--client-pfx-passwd <password>

    Jeśli certyfikat klienta został wystawiony przez urząd certyfikacji przedsiębiorstwa, dodaj ten przełącznik dla każdego urzędu certyfikacji w łańcuchu zaufania:

    --cacert <path to ca certificate>

    Na przykład:

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib /home/azureuser/libsapcrypto.so \
--sapgenpse /home/azureuser/sapgenpse \
--client-cert /home/azureuser/client.crt \
--client-key /home/azureuser/client.key \
--cacert /home/azureuser/issuingca.crt
--cacert /home/azureuser/rootca.crt
--server-cert /home/azureuser/server.crt \

Aby uzyskać więcej informacji na temat opcji dostępnych w skrypacie kickstart, zobacz Reference: Kickstart script (Dokumentacja: skrypt Kickstart).

Rozwiązywanie problemów i dokumentacja

Aby uzyskać informacje dotyczące rozwiązywania problemów, zobacz następujące artykuły:

Aby uzyskać informacje, zobacz następujące artykuły:

Powiązana zawartość