Opções de configuração de especialista, implantação local e fontes de log do SAPControl

Este artigo descreve como implantar o conector de dados SAP do Microsoft Azure Sentinel em um processo especializado ou personalizado, como uso de um computador local e um Azure Key Vault para armazenar suas credenciais.

Observação

O padrão e o processo mais recomendado para implantar o conector de dados SAP do Microsoft Azure Sentinel é usando uma VM do Azure. Este artigo destina-se a usuários avançados.

Importante

A solução do Azure Sentinel para SAP encontra-se atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

Os pré-requisitos básicos para implantar seu conector de dados SAP do Microsoft Azure Sentinel são os mesmos, independentemente do seu método de implantação.

Verifique se o sistema está em conformidade com os pré-requisitos documentados no principal procedimento de implantação do conector de dados SAP antes de começar.

Para obter mais informações, consulte requisitos SAP detalhados da solução SAP do Microsoft Azure Sentinel (versão preliminar).

Criar seu cofre de chaves do Azure

Crie um cofre de chaves do Azure que você possa dedicar ao conector de dados SAP do Microsoft Azure Sentinel.

Execute o seguinte comando para criar seu cofre de chaves do Azure e conceder acesso a uma entidade de serviço do Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname 

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Para obter mais informações, consulte Início Rápido: criar um cofre de chaves usando a CLI do Azure.

Segredos do Azure Key Vault

Para adicionar segredos do Azure Key Vault, execute o seguinte script, com sua própria ID do sistema e as credenciais que você deseja adicionar:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOG_WS_ID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOG_WS_PUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Para obter mais informações, consulte a documentação da CLI az keyvault secret.

Executar uma instalação especializada/personalizada

Este procedimento descreve como implantar o conector de dados do SAP usando uma instalação especializada ou personalizada, como ao instalar o no local.

É recomendável que você execute esse procedimento depois de ter um cofre de chaves pronto com suas credenciais do SAP.

Para implantar o conector de dados SAP:

  1. No computador local, faça o download do mais recente SDK do RFC do SAP NW do site SAP Launchpad > NW RFC SDK > SAP NW RFC SDK 7.50 > nwrfc750X_X-xxxxxxx.zip.

    Observação

    Você precisará das credenciais do usuário SAP para acessar o SDK e fazer o download do SDK que corresponde ao seu sistema operacional.

    Selecione a opção LINUX ON X86_64.

  2. No seu computador local, crie uma nova pasta com um nome significativo e copie o arquivo zip do SDK para sua nova pasta.

  3. Clone o repositório GitHub da solução do Microsoft Azure Sentinel em seu computador local e copie o arquivo systemconfig.ini da solução SAP do Microsoft Azure Sentinel para sua nova pasta.

    Por exemplo:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
    cd /home/$(pwd)/sapcon/<sap-sid>/
    wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
    cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
    
  4. Edite o arquivo systemconfig.ini conforme necessário, usando os comentários inseridos como um guia. Para obter mais informações, consulte Configurar manualmente o conector de dados SAP.

    Para testar sua configuração, talvez você queira adicionar o usuário e a senha diretamente ao arquivo de configuração systemconfig.ini. Embora seja recomendável usar o Azure Key Vault para armazenar suas credenciais, você também pode usar um arquivo env.list, segredos do Docker, ou pode adicionar suas credenciais diretamente ao arquivo systemconfig.ini.

  5. Defina os logs que você deseja ingerir Microsoft Azure Sentinel usando as instruções no arquivo systemconfig.ini. Por exemplo, consulte Definir os logs SAP que são enviados para o Microsoft Azure Sentinel.

  6. Defina as seguintes configurações usando as instruções no arquivo systemconfig.ini:

    • Se os endereços de email do usuário devem ser incluídos nos logs de auditoria
    • Se as chamadas à API com falha devem ter nova tentativa
    • Se os logs de auditoria cexal devem ser incluídos
    • Se deve aguardar um intervalo de tempo entre extrações de dados, especialmente para extrações grandes

    Para obter mais informações, consulte Configurações do conector de logs do SAL.

  7. Salve o arquivo systemconfig.ini atualizado no diretório sapcon em seu computador.

  8. Se você optou por usar um arquivo env.list para suas credenciais, crie um arquivo env.list temporário com as credenciais necessárias. Depois que o contêiner do Docker estiver executando corretamente, exclua esse arquivo.

    Observação

    O script a seguir tem cada contêiner do Docker se conectando a um sistema ABAP específico. Modifique seu script conforme necessário para seu ambiente.

    Execute:

    ##############################################################
    ##############################################################
    # env.list template for Credentials
    SAPADMUSER=<SET_SAPCONTROL_USER>
    SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
    ABAPUSER=SET_ABAP_USER>
    ABAPPASS=<SET_ABAP_PASS>
    JAVAUSER=<SET_JAVA_OS_USER>
    JAVAPASS=<SET_JAVA_OS_USER>
    ##############################################################
    ##############################################################
    # env.list template for AZ Cli when MI is not enabled
    AZURE_TENANT_ID=<your tenant id>
    AZURE_CLIENT_ID=<your client/app id>
    ##############################################################
    
  9. Faça download e execute a imagem do Docker predefinida com o conector de dados do SAP instalado. Execute:

    docker pull docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
    rm -f <env.list_location>
    
  10. Verifique se o contêiner do Docker está sendo executado corretamente. Execute:

    docker logs –f sapcon-[SID]
    
  11. Continue com a implantação da solução Microsoft Azure Sentinel – monitoramento contínuo de ameaças para SAP.

    A implantação da solução permite que o conector de dados do SAP seja exibido no Microsoft Azure Sentinel e implanta a pasta de trabalho e as regras de análise do SAP. Quando terminar, adicione e personalize manualmente seus watchlists do SAP.

    Para obter mais informações, confira Implantar conteúdo de segurança do SAP.

Configurar manualmente o conector de dados do SAP

O conector de dados da solução SAP do Microsoft Azure Sentinel é configurado no arquivo systemconfig.ini, que você clonou para seu computador do conector de dados SAP como parte do procedimento de implantação.

O código a seguir mostra um arquivo systemconfig.ini de amostra:

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

Definir os logs do SAP que são enviados para o Microsoft Azure Sentinel

Adicione o código a seguir ao arquivo systemconfig.ini da solução SAP do Microsoft Azure Sentinel para definir os logs que são enviados para o Microsoft Azure Sentinel.

Para obter mais informações, confira Referência de logs da solução SAP do Azure Sentinel (versão prévia pública).

##############################################################
# Enter True OR False for each log to send those logs to Azure Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Configurações do conector de logs de SAL

Adicione o código a seguir ao arquivo systemconfig.ini do conector de dados SAP do Microsoft Azure Sentinel para definir outras configurações para logs do SAP ingeridos no Microsoft Azure Sentinel.

Para obter mais informações, consulte Executar uma instalação especializada/personalizada do conector de dados SAP.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

Esta seção permite que você configure os seguintes parâmetros:

Nome do parâmetro Descrição
extractuseremail Determina se os endereços de email do usuário estão incluídos nos logs de auditoria.
apiretry Determina se as chamadas à API são repetidas como um mecanismo de failover.
auditlogforcexal Determina se o sistema força o uso de logs de auditoria para sistemas não SAL, como SAP BASIS versão 7.4.
auditlogforcelegacyfiles Determina se o sistema força o uso de logs de auditoria com recursos herdados do sistema, como o SAP BASIS versão 7.4 com níveis de patch inferiores.
timechunk Determina que o sistema aguarda um número específico de minutos como um intervalo entre extrações de dados. Use esse parâmetro se você tiver uma grande quantidade de dados esperada.

Por exemplo, durante o carregamento inicial de dados durante suas primeiras 24 horas, talvez você queira que a extração de dados seja executada somente a cada 30 minutos para dar tempo suficiente a cada extração de dados. Nesses casos, defina esse valor como 30.

Configurar uma instância de controle do SAP ABAP

Para ingerir todos os logs do ABAP no Azure Sentinel, incluindo os logs de RFC NW e do SAP Control Web Service, configure os seguintes detalhes de controle do SAP ABAP:

Configuração Descrição
javaappserver Insira o host do servidor do SAP Control ABAP.
Por exemplo: contoso-erp.appserver.com
javainstance Insira o número da instância do SAP Control ABAP.
Por exemplo: 00
abaptz Insira o fuso horário configurado no seu servidor do SAP Control ABAP, no formato GMT.
Por exemplo: GMT+3
abapseverity Insira o nível de gravidade mais baixo (inclusivo) para o qual deseja ingerir logs ABAP no Azure Sentinel. Os valores são:

- 0 = Todos os logs
- 1 = Aviso
- 2 = Erro

Configurar uma instância do Java SAP Control

Para ingerir logs do SAP Control Web Service no Azure Sentinel, configure os seguintes detalhes da instância do JAVA SAP Control:

Parâmetro Descrição
javaappserver Insira o host do servidor do SAP Control Java.
Por exemplo: contoso-java.server.com
javainstance Insira o número da instância do SAP Control ABAP.
Por exemplo: 10
javatz Insira o fuso horário configurado no seu servidor do SAP Control Java, no formato GMT.
Por exemplo: GMT+3
javaseverity Insira o nível de gravidade mais baixo (inclusivo) para o qual deseja ingerir logs do Serviço Web no Azure Sentinel. Os valores são:

- 0 = Todos os logs
- 1 = Aviso
- 2 = Erro

Próximas etapas

Depois de instalar o conector de dados SAP, você pode adicionar o conteúdo de segurança relacionado ao SAP.

Para obter mais informações, consulte Implantar a solução SAP.

Para obter mais informações, consulte: