Opcje konfiguracji ekspertów, wdrożenie lokalne i źródła dzienników SAPControl

  • Artykuł

W tym artykule opisano sposób wdrażania usługi Microsoft Sentinel dla łącznika danych SAP w ramach specjalistycznego lub niestandardowego procesu, takiego jak używanie maszyny lokalnej i Key Vault platformy Azure do przechowywania poświadczeń.

Uwaga

Domyślnym i najbardziej zalecanym procesem wdrażania łącznika danych sap sentinel jest użycie maszyny wirtualnej platformy Azure. Ten artykuł jest przeznaczony dla zaawansowanych użytkowników.

Wymagania wstępne

Podstawowe wymagania wstępne dotyczące wdrażania usługi Microsoft Sentinel dla łącznika danych SAP są takie same niezależnie od metody wdrażania.

Przed rozpoczęciem upewnij się, że system spełnia wymagania wstępne opisane w głównym dokumencie wymagań wstępnych łącznika danych SAP .

Tworzenie magazynu kluczy platformy Azure

Utwórz magazyn kluczy platformy Azure, który można przeznaczyć na rozwiązanie Microsoft Sentinel na potrzeby łącznika danych aplikacji SAP®.

Uruchom następujące polecenie, aby utworzyć magazyn kluczy platformy Azure i udzielić dostępu do jednostki usługi platformy Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu interfejsu wiersza polecenia platformy Azure.

Dodawanie wpisów tajnych usługi Azure Key Vault

Aby dodać wpisy tajne usługi Azure Key Vault, uruchom następujący skrypt z własnym identyfikatorem systemu i poświadczeniami, które chcesz dodać:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Aby uzyskać więcej informacji, zobacz dokumentację interfejsu wiersza polecenia wpisu tajnego az keyvault .

Przeprowadzanie instalacji specjalistycznej/niestandardowej

W tej procedurze opisano sposób wdrażania usługi Microsoft Sentinel dla łącznika danych SAP przy użyciu specjalistycznej lub niestandardowej instalacji, na przykład podczas instalowania środowiska lokalnego.

Zalecamy wykonanie tej procedury po dokonaniu gotowości magazynu kluczy przy użyciu poświadczeń SAP.

Aby wdrożyć usługę Microsoft Sentinel dla łącznika danych SAP:

  1. Na maszynie lokalnej pobierz najnowszy zestaw SDK RFC SAP NW zwitryny >SAP LaunchpadSAP NW RFC SDK SAP NW RFC SDK SAP NW RFC SDK>7.50>nwrfc750X_X-xxxxxxx.zip.

    Uwaga

    Aby uzyskać dostęp do zestawu SDK, potrzebujesz informacji logowania użytkownika SAP. Musisz pobrać zestaw SDK pasujący do systemu operacyjnego.

    Upewnij się, że wybrano opcję LINUX ON X86_64 .

  2. Na komputerze lokalnym utwórz nowy folder o znaczącej nazwie i skopiuj plik zip zestawu SDK do nowego folderu.

  3. Sklonuj repozytorium GitHub rozwiązania Microsoft Sentinel na maszynę lokalną i skopiuj rozwiązanie Microsoft Sentinel dla rozwiązania SAP® applications systemconfig.ini pliku do nowego folderu.

    Na przykład:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

  4. Edytuj plik systemconfig.ini zgodnie z potrzebami, używając osadzonych komentarzy jako przewodnika. Aby uzyskać więcej informacji, zobacz Ręczne konfigurowanie usługi Microsoft Sentinel dla łącznika danych SAP.

    Aby przetestować konfigurację, możesz dodać użytkownika i hasło bezpośrednio do pliku konfiguracji systemconfig.ini . Chociaż zalecamy przechowywanie poświadczeń przy użyciu usługi Azure Key Vault , możesz również użyć pliku env.list , wpisów tajnych platformy Docker lub dodać poświadczenia bezpośrednio do pliku systemconfig.ini .

  5. Zdefiniuj dzienniki, które chcesz pozyskać do usługi Microsoft Sentinel, korzystając z instrukcji w pliku systemconfig.ini . Na przykład zobacz Definiowanie dzienników SAP wysyłanych do usługi Microsoft Sentinel.

  6. Zdefiniuj następujące konfiguracje, korzystając z instrukcji w pliku systemconfig.ini :

    • Czy należy dołączać adresy e-mail użytkowników do dzienników inspekcji
    • Czy ponowić próbę ponawiania prób wywołań interfejsu API, które zakończyły się niepowodzeniem
    • Czy dołączyć dzienniki inspekcji cexal
    • Czy poczekać interwał czasu między wyodrębnianiami danych, zwłaszcza w przypadku dużych wyodrębnień

    Aby uzyskać więcej informacji, zobacz Konfiguracje łączników dzienników SAL.

  7. Zapisz zaktualizowany pliksystemconfig.ini w katalogu sapcon na komputerze.

  8. Jeśli wybrano opcję użycia pliku env.list dla poświadczeń, utwórz tymczasowy plik env.list z wymaganymi poświadczeniami. Po poprawnym uruchomieniu kontenera platformy Docker upewnij się, że ten plik został usunięty.

    Uwaga

    Poniższy skrypt ma każdy kontener platformy Docker łączący się z określonym systemem ABAP. Zmodyfikuj skrypt zgodnie z potrzebami dla środowiska.

    Uruchom:

    ##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET SENTINEL WORKSPACE id>
LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

  9. Pobierz i uruchom wstępnie zdefiniowany obraz platformy Docker z zainstalowanym łącznikiem danych SAP. Uruchom:

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

  10. Sprawdź, czy kontener platformy Docker działa poprawnie. Uruchom:

    docker logs –f sapcon-[SID]

  11. Kontynuuj wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®.

    Wdrożenie rozwiązania umożliwia wyświetlanie łącznika danych SAP w usłudze Microsoft Sentinel i wdrażanie reguł skoroszytu i analizy SAP. Gdy wszystko będzie gotowe, ręcznie dodaj i dostosuj listę obserwowanych oprogramowania SAP.

    Aby uzyskać więcej informacji, zobacz Deploy the Microsoft Sentinel solution for SAP applications from the content hub (Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji® SAP z centrum zawartości).

Ręczne konfigurowanie usługi Microsoft Sentinel dla łącznika danych SAP

Łącznik danych rozwiązania Microsoft Sentinel dla oprogramowania SAP jest skonfigurowany w pliku systemconfig.ini , który został sklonowany na maszynę łącznika danych SAP w ramach procedury wdrażania.

Poniższy kod przedstawia przykładowy plik systemconfig.ini :

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

Definiowanie dzienników SAP wysyłanych do usługi Microsoft Sentinel

Dodaj następujący kod do rozwiązania Microsoft Sentinel dla aplikacji SAP® systemconfig.ini pliku, aby zdefiniować dzienniki wysyłane do usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Microsoft Sentinel solution solution reference for SAP® applications solution logs reference (publiczna wersja zapoznawcza).

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Ustawienia łącznika dzienników SAL

Dodaj następujący kod do pliku systemconfig.ini łącznika danych sap sentinel, aby zdefiniować inne ustawienia dzienników SAP pozyskanych do usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Perform an expert / custom SAP data connector installation (Wykonywanie instalacji specjalistycznej/niestandardowej instalacji łącznika danych SAP).

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

Ta sekcja umożliwia skonfigurowanie następujących parametrów:

Nazwa parametru Opis
extractuseremail Określa, czy adresy e-mail użytkownika są uwzględniane w dziennikach inspekcji.
apiretry Określa, czy wywołania interfejsu API są ponawiane jako mechanizm trybu failover.
auditlogforcexal Określa, czy system wymusza użycie dzienników inspekcji dla systemów innych niż SAL, takich jak SAP BASIS w wersji 7.4.
auditlogforcelegacyfiles Określa, czy system wymusza korzystanie z dzienników inspekcji ze starszymi możliwościami systemu, takimi jak z programu SAP BASIS w wersji 7.4 z niższymi poziomami poprawek.
fragment czasu Określa, że system czeka określoną liczbę minut jako interwał między wyodrębnianiami danych. Użyj tego parametru, jeśli masz oczekiwaną dużą ilość danych.

Na przykład podczas początkowego ładowania danych w ciągu pierwszych 24 godzin wyodrębnianie danych może być uruchamiane co 30 minut, aby zapewnić wystarczająco dużo czasu wyodrębniania danych. W takich przypadkach ustaw tę wartość na 30.

Konfigurowanie wystąpienia kontrolki SAP ABAP

Aby pozyskać wszystkie dzienniki ABAP do usługi Microsoft Sentinel, w tym dzienniki oparte na usłudze internetowej NW RFC i SAP Control, skonfiguruj następujące szczegóły kontroli systemu SAP ABAP:

Ustawienie Opis
javaappserver Wprowadź hosta serwera SAP Control ABAP.
Na przykład: contoso-erp.appserver.com
javainstance Wprowadź numer wystąpienia programu SAP Control ABAP.
Na przykład: 00
abaptz Wprowadź strefę czasową skonfigurowaną na serwerze SAP Control ABAP w formacie GMT.
Na przykład: GMT+3
abapseverity Wprowadź najniższy, włącznie poziom ważności, dla którego chcesz pozyskać dzienniki ABAP do usługi Microsoft Sentinel. Wartości są następujące:

- 0 = Wszystkie dzienniki
- 1 = Ostrzeżenie
- 2 = Błąd

Konfigurowanie wystąpienia java SAP Control

Aby pozyskać dzienniki usługi internetowej SAP Control w usłudze Microsoft Sentinel, skonfiguruj następujące szczegóły wystąpienia kontroli oprogramowania SAP JAVA:

Parametr Opis
javaappserver Wprowadź hosta serwera SAP Control Java.
Na przykład: contoso-java.server.com
javainstance Wprowadź numer wystąpienia programu SAP Control ABAP.
Na przykład: 10
javatz Wprowadź strefę czasową skonfigurowaną na serwerze SAP Control Java w formacie GMT.
Na przykład: GMT+3
javaseverity Wprowadź najniższy, włącznie z poziomem ważności, dla którego chcesz pozyskać dzienniki usługi sieci Web w usłudze Microsoft Sentinel. Wartości są następujące:

- 0 = wszystkie dzienniki
- 1 = Ostrzeżenie
- 2 = Błąd

Konfigurowanie zbierania danych wzorca użytkownika

Aby pozyskiwać tabele bezpośrednio z systemu SAP ze szczegółowymi informacjami o autoryzacjach użytkowników i ról, skonfiguruj plik systemconfig.ini za True/False pomocą instrukcji dla każdej tabeli.

Na przykład:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Aby uzyskać więcej informacji, zobacz Tabele pobierane bezpośrednio z systemów SAP.

Następne kroki

Po zainstalowaniu łącznika danych SAP można dodać zawartość zabezpieczeń związaną z oprogramowaniem SAP.

Aby uzyskać więcej informacji, zobacz Wdrażanie rozwiązania SAP.

Aby uzyskać więcej informacji, zobacz: