Implantar o conector de dados do Microsoft Sentinel para SAP usando o SNC
Este artigo mostra como implantar o conector de dados do Microsoft Sentinel para SAP para ingerir logs do SAP NetWeaver e SAP ABAP em uma conexão segura usando o Secure Network Communications (SNC).
O agente do conector de dados SAP normalmente se conecta a um servidor SAP ABAP usando uma conexão chamada de função remota (RFC), usando o nome de usuário e senha para autenticação.
No entanto, em alguns ambientes, pode ser necessário que a conexão seja estabelecida em um canal criptografado, e alguns ambientes podem exigir o uso de certificados de cliente para autenticação. Nesses casos, você pode usar o SNC do SAP para conectar com segurança o conector de dados. Conclua as etapas conforme estão descritas neste artigo.
Pré-requisitos
Para implantar o conector de dados do Microsoft Sentinel para SAP com SNC, você precisará:
- Da SAP Cryptographic Library.
- Conectividade de rede. O SNC usa portas 48xx (sendo xx o número da instância SAP) para se conectar ao servidor ABAP.
- Um servidor SAP configurado para dar suporte à autenticação SNC.
- Um certificado autoassinado ou emitido por uma autoridade de certificação (AC) corporativa para autenticação do usuário.
Observação
Este artigo apresenta um exemplo prático de configuração do SNC. Em ambientes de produção,recomendamos que você consulte os administradores SAP para elaborar um plano de implantação.
Exportar o certificado de servidor
Para começar, exporte o certificado de servidor:
Entre no cliente SAP e execute a transação STRUST.
No painel esquerdo, vá para SNC SAPCryptolib e expanda a seção.
Escolha o sistema e selecione um valor para Assunto.
As informações do certificado do servidor serão exibidas na seção Certificado.
Selecione Exportar certificado.
Na caixa de diálogo Exportar Certificado:
Para o formato de arquivo, escolha Base64.
Ao lado de Caminho do Arquivo, selecione o ícone de caixas duplas.
Selecione um nome de arquivo para o qual exportar o certificado.
Clique na marca de seleção verde para realizar a exportação do certificado.
Importar seu certificado
Esta seção explica como importar um certificado para que ele seja confiável pelo servidor ABAP. É importante entender qual certificado precisa ser importado para o sistema SAP. Somente as chaves públicas dos certificados precisam ser importadas para o sistema SAP.
Se o certificado do usuário for autoassinado: Importar um certificado de usuário.
Se o certificado de usuário for emitido por uma autoridade de certificação (AC) corporativa: Importe um certificado de AC corporativa. Se forem usados servidores de AC raiz e subordinada, importe os certificados públicos tanto da AC raiz quanto da AC subordinada.
Para importar seu certificado:
Execute a transação STRUST.
Selecione Exibir<->Alterar.
Selecione Importar certificado.
Na caixa de diálogo Importar certificado:
Ao lado de Caminho do arquivo, selecione o ícone de caixas duplas e vá para o certificado.
Vá para o arquivo que contém o certificado (somente para uma chave pública) e selecione a marca de seleção verde para importar o certificado.
As informações do certificado são exibidas na seção Certificado.
Selecione Adicionar à Lista de Certificados.
O certificado será listado na seção Lista de Certificados.
Associar o certificado a uma conta de usuário
Para associar o certificado a uma conta de usuário:
Execute a transação SM30.
Em Tabela/Exibição, insira USRACLEXT e clique em Manter.
Verifique os dados e veja se o usuário desejado já tem um nome SNC associado. Se não houver um nome SNC associado, clique em Novas Entradas.
No campo Usuário, insira o nome de usuário. No campo Nome SNC, insira o nome da entidade do certificado de usuário, começando com p:, depois selecioneSalvar.
Conceder direitos de login usando o certificado
Para conceder direitos de login:
Execute a transação SM30.
Em Tabela/Exibição, insira VSNCSYSACL e clique em Manter.
No aviso que aparecer, confirme que a tabela é de múltiplos clientes.
Em Determinar Área de Trabalho: Entrada, digite E para Tipo de Entrada ACL e confirme com a marca de seleção verde.
Verifique os dados e veja se o usuário desejado já tem um nome SNC associado. Se não houver associação com o nome SNC, clique em Novas Entradas.
Insira a ID do sistema e o nome da entidade de certificado do usuário com um prefixo p:.
Verifique se as caixas de seleção Entrada para RFC ativada e Entrada para certificado ativada estão marcadas e depois selecione Salvar.
Mapear usuários do provedor de serviços ABAP para IDs de usuários externos
Para mapear usuários do provedor de serviços ABAP a IDs de usuário externos:
Execute a transação SM30.
Em Tabela/Exibição, insira VUSREXTID e clique em Manter.
Em Determinar Área de Trabalho: Entrada, selecione o tipo de ID DN como a Área de Trabalho.
Insira os valores a seguir:
- No campo ID Externa, digite CN=Sentinel, C=US.
- No campo Seq. No, insira 000.
- Em Usuário, insira SENTINEL.
Selecione Salvar e depois Enter.
Configurar o contêiner
Observação
Se você configurou o contêiner do agente conector de dados SAP pela interface do usuário, ignore os passos descritos nesta seção. Em vez disso, prossiga com a configuração do conector na página do conector.
Para configurar o contêiner:
Transfira os arquivos libsapcrypto.so e sapgenpse para o sistema em que o contêiner será criado.
Transfira o certificado do cliente (tanto chave pública quanto privada) para o sistema em que o contêiner será criado.
O certificado e a chave do cliente podem estar nos formatos .p12, .pfx, ou .crt e .key Base64.
Transfira o certificado do servidor (somente chave pública) para o sistema em que o contêiner será criado.
O certificado do servidor deve estar no formato .crt Base64.
Se o certificado do cliente foi emitido por uma autoridade de certificação corporativa, transfira os certificados da AC emissora e da AC raiz para o sistema em que o contêiner será criado.
Obtenha o script de início rápido do repositório do Microsoft Sentinel no GitHub:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.shAltere as permissões do script para torná-lo executável:
chmod +x ./sapcon-sentinel-kickstart.shExecute o script e especifique os seguintes parâmetros básicos:
./sapcon-sentinel-kickstart.sh \ --use-snc \ --cryptolib <path to sapcryptolib.so> \ --sapgenpse <path to sapgenpse> \ --server-cert <path to server certificate public key> \Se o certificado do cliente estiver nos formatos .crt ou .key, use as seguintes opções:
--client-cert <path to client certificate public key> \ --client-key <path to client certificate private key> \Se o certificado do cliente estiver nos formatos .pfx ou .p12, use as seguintes opções:
--client-pfx <pfx filename> --client-pfx-passwd <password>Se o certificado do cliente foi emitido por uma AC corporativa, adicione essa opção para cada AC na cadeia de confiança:
--cacert <path to ca certificate>Por exemplo:
./sapcon-sentinel-kickstart.sh \ --use-snc \ --cryptolib /home/azureuser/libsapcrypto.so \ --sapgenpse /home/azureuser/sapgenpse \ --client-cert /home/azureuser/client.crt \ --client-key /home/azureuser/client.key \ --cacert /home/azureuser/issuingca.crt --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt \
Para mais detalhes sobre as opções que estão disponíveis no script de início rápido, confira Referência: script de início rápido.
Solução de problemas e referência
Para encontrar informações sobre soluções de problemas, consulte os seguintes artigos:
- Solucionar problemas de implantação de aplicativos da Solução do Microsoft Sentinel para SAP
- Soluções do Microsoft Sentinel
Para mais informações, confira os artigos a seguir:
- Referência de dados de aplicativos da Solução do Microsoft Sentinel para SAP
- Solução para aplicativos da Solução do Microsoft Sentinel para SAP: referência de conteúdo de segurança
- Referência de script de início rápido
- Atualizar referência de script
- Referência do arquivo Systemconfig.ini