Развертывание соединителя данных Microsoft Sentinel SAP с SNC

Примечание

Azure Sentinel теперь называется Microsoft Sentinel, и мы будем обновлять эти страницы в ближайшие недели. Узнайте подробнее о последних усовершенствованиях в системе безопасности Майкрософт.

в этой статье описывается, как развернуть соединитель данных Microsoft Sentinel SAP при наличии безопасного подключения к SAP через безопасное сетевое взаимодействие (SNC) для журналов на основе интерфейса NetWeaver/ABAP.

Примечание

По умолчанию и рекомендуемый процесс развертывания соединителя данных Microsoft Sentinel SAP с помощью виртуальной машины Azure. Эта статья предназначена для опытных пользователей.

Важно!

Решение Microsoft Sentinel SAP в настоящее время находится на этапе предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Предварительные требования

Основные необходимые компоненты для развертывания соединителя данных Microsoft Sentinel SAP одинаковы независимо от метода развертывания.

Перед началом убедитесь, что ваша система соответствует предварительным требованиям, задокументированным в основной процедуре развертывания коннектора данных SAP.

Другие предварительные требования для работы с SNC:

  • Безопасное подключение к SAP через SNC. Определите параметры подключения SNC в константах репозитория для системы AS ABAP, к которой выполняется подключение. Дополнительные сведения см. на соответствующей вики-странице сообщества SAP.

  • Служебная программа SAPCAR, скачанная из SAP Service Marketplace. Дополнительные сведения см. в руководстве по установке SAP.

Дополнительные сведения см. в разделе подробные требования SAP для решения Microsoft Sentinel SAP (общедоступная Предварительная версия).

Создание хранилища ключей Azure

Создайте хранилище ключей Azure, которое можно выделить для соединителя данных Microsoft Sentinel SAP.

Выполните следующую команду, чтобы создать хранилище ключей Azure и предоставить доступ субъекту-службе Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file

az ad sp create-for-rbac –name $spname --role Contributor

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp

# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Дополнительные сведения см. в разделе Краткое руководство. Создание хранилища ключей с помощью Azure CLI.

Добавление секретов Azure Key Vault

Чтобы добавить секреты Azure Key Vault, выполните следующий скрипт с собственным идентификатором системы и учетными данными, которые вы хотите добавить.

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOG_WS_ID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOG_WS_PUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Дополнительные сведения см. в описании команды az keyvault secret в документации по CLI.

Развертывание соединителя данных SAP

В этой процедуре описывается, как развернуть соединитель данных SAP на виртуальной машине при подключении через SNC.

Рекомендуется выполнить эту процедуру после того, как хранилище ключей будет готово к работе с учетными данными SAP.

Чтобы развернуть соединитель данных SAP, выполните следующие действия.

  1. На виртуальной машине соединителя данных скачайте последнюю версию пакета SDK SAP NW RFC: сайт панели запуска SAP > SAP NW RFC SDK > SAP NW RFC SDK 7.50 > nwrfc750X_X-xxxxxxx.zip.

    Примечание

    Для доступа к пакету SDK потребуются данные для входа пользователя SAP, и вам необходимо загрузить пакет SDK, соответствующий вашей операционной системе.

    Обязательно выберите вариант LINUX ON X86_64.

  2. Создайте папку с понятным именем и скопируйте ZIP-файл пакета SDK в эту папку.

  3. клонирование решения microsoft sentinel GitHub репозиторий на виртуальную машину соединителя данных и копирование systemconfig.iniного файла решения microsoft sentinel SAP в новую папку.

    Пример:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
    cd /home/$(pwd)/sapcon/<sap-sid>/
    wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini
    cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
    
  4. При необходимости измените файл systemconfig.ini, руководствуясь комментариями в файле.

    Вам потребуется изменить все конфигурации, кроме секретов хранилища ключей. Дополнительные сведения см. в разделе Настройка соединителя данных SAP вручную.

  5. Определите журналы, которые необходимо принять в Microsoft Sentinel, с помощью инструкций, приведенных в файле systemconfig.ini .

    Например, см. раздел Определение журналов SAP, отправляемых в Microsoft Sentinel.

    Примечание

    Нам важны только журналы связи SNC, которые извлекаются через интерфейс NetWeaver/ABAP. Журналы SAP Control SAP и HANA выходят за пределы области SNC.

  6. Определите следующие конфигурации, используя инструкции в файле systemconfig.ini.

    • Следует ли включать в журналы аудита адреса электронной почты пользователей
    • Следует ли повторять неудачные вызовы API
    • Следует ли включать журналы аудита cexal
    • Следует ли ожидать некоторое время между извлечениями данных, особенно в случае больших извлечений

    Дополнительные сведения см. в разделе Конфигурации соединителей для журналов SAL.

  7. Сохраните обновленный файл systemconfig.ini в каталоге sapcon на виртуальной машине.

  8. Скачайте предварительно определенный образ Docker с установленным соединителем данных SAP и запустите его. Выполните команду:

    docker pull docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    docker create -v $(pwd):/sapcon-app/sapcon/config/system -v /home/azureuser /sap/sec:/sapcon-app/sec --env SCUDIR=/sapcon-app/sec --name sapcon-snc mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    

Системные процедуры SAP после развертывания

После развертывания соединителя данных SAP выполните следующие системные процедуры SAP.

  1. Скачайте библиотеку шифрования SAP: SAP Service Marketplace > Software Downloads (Загрузка ПО) > просмотрите наш каталог загрузки > SAP Cryptographic Software (ПО для шифрования SAP).

    Дополнительные сведения см. в руководстве по установке SAP.

  2. Используйте служебную программу SAPCAR, чтобы извлечь файлы библиотеки и развернуть их на виртуальной машине соединителя данных SAP в каталоге <sec>.

  3. Убедитесь, что у вас есть разрешения на запуск файлов библиотеки.

  4. Объявите переменную среды SECUDIR со значением полного пути к каталогу <sec>.

  5. Создайте личную среду безопасности (PSE). Служебная программа sapgenspe доступна в каталоге <sec> на виртуальной машине соединителя данных SAP.

    Пример.

    ./sapgenpse get_pse -p my_pse.pse -noreq -x my_pin "CN=sapcon.com, O=my_company, C=IL"
    

    Дополнительные сведения см. в разделе Creating a Personal Security Environment (Создание личной среды безопасности) в документации SAP.

  6. Создайте учетные данные для PSE. Пример.

    ./sapgenpse seclogin -p my_pse.pse -x my_pin -O MXDispatcher_Service_User
    

    Дополнительные сведения см. в разделе Creating Credentials (Создание учетных данных) в документации SAP.

  7. Передайте сертификаты открытого ключа между центром удостоверений и SNC PSE в AS ABAP.

    Например, чтобы экспортировать сертификат открытого ключа из центра удостоверений, выполните:

    ./sapgenpse export_own_cert -o my_cert.crt -p my_pse.pse -x abcpin
    

    Импортируйте сертификат в SNC PSE в ABAP SNC, экспортируйте его из PSE, а затем импортируйте обратно в центр удостоверений.

    Например, чтобы импортировать сертификат в центр удостоверений, выполните:

    ./sapgenpse maintain_pk -a full_path/my_secure_dir/my_exported_cert.crt -p my_pse.pse -x my_pin
    

    Дополнительные сведения см. в разделе Exchanging the Public-Key Certificates (Обмен сертификатами открытого ключа) в документации SAP.

Изменение конфигурации соединителя данных SAP

  1. На виртуальной машине соединителя данных SAP перейдите к файлу systemconfig.ini и определите следующие параметры с соответствующими значениями:

    [Secrets Source]
    secrets = AZURE_KEY_VAULT
    
  2. В Azure Key Vault создайте следующие секреты:

    • <Interprefix>-ABAPSNCPARTNERNAME со значением <Relevant DN details>;
    • <Interprefix>-ABAPSNCLIB со значением <lib_Path>;
    • <Interprefix>-ABAPX509CERT со значением <Certificate_Code>).

    Пример.

    S4H-ABAPSNCPARTNERNAME  =  'p:CN=help.sap.com, O=SAP_SE, C=IL' (Relevant DN)
    S4H-ABAPSNCLIB = 'home/user/sec-dir' (Relevant directory)
    S4H-ABAPX509CERT = 'MIIDJjCCAtCgAwIBAgIBNzA ... NgalgcTJf3iUjZ1e5Iv5PLKO' (Relevant certificate code)
    

    Примечание

    По умолчанию значение <Interprefix> является вашим ИД безопасности, например A4H-<ABAPSNCPARTNERNAME>.

Если вы вводите секреты непосредственно в файл конфигурации, определите параметры следующим образом:

[Secrets Source]
secrets = DOCKER_FIXED
[ABAP Central Instance]
snc_partnername =  <Relevant_DN_Deatils>
snc_lib =  <lib_Path>
x509cert = <Certificate_Code>
For example:
snc_partnername =  p:CN=help.sap.com, O=SAP_SE, C=IL (Relevant DN)
snc_lib = /sapcon-app/sec/libsapcrypto.so (Relevant directory)
x509cert = MIIDJjCCAtCgAwIBAgIBNzA ... NgalgcTJf3iUjZ1e5Iv5PLKO (Relevant certificate code)

Подключение параметров SNC к пользователю

  1. На виртуальной машине соединителя данных SAP вызовите транзакцию SM30 и выберите таблицу USRACLEXT для обслуживания.

  2. Добавьте новую запись. В поле Пользователь укажите пользователя, который будет использоваться для подключения к системе ABAP.

  3. При появлении соответствующего запроса введите имя SNC. Имя SNC — это уникальное различающееся имя, указанное при создании PSE Identity Manager. Пример: CN=IDM, OU=SAP, C=DE

    Обязательно добавьте p перед именем SNC. Например: p:CN=IDM, OU=SAP, C=DE.

  4. Щелкните Сохранить.

Служба SNC включена на виртуальной машине соединителя данных.

Активация соединителя данных SAP

В этой процедуре описывается, как активировать соединитель данных SAP с помощью защищенного подключения SNC, созданного с помощью процедур, описанных ранее в этой статье.

  1. Активируйте образ Docker:

    docker start sapcon-<SID>
    
  2. Проверьте подключение. Выполните команду:

    docker logs sapcon-<SID>
    
  3. В случае сбоя подключения используйте журналы, чтобы понять причину проблемы.

    При необходимости отключите образ Docker:

    docker stop sapcon-<SID>
    

Например, проблемы могут возникать из-за неправильно настроенных параметров в файле systemconfig.ini или в Azure Key Vault, или из-за того, что некоторые шаги по созданию безопасного подключения через SNC были выполнены неправильно.

Попробуйте повторить описанные выше действия, чтобы настроить безопасное подключение через SNC. Дополнительные сведения см. в разделе Устранение неполадок при развертывании решения Microsoft Sentinel SAP.

Дальнейшие действия

После активации соединителя данных SAP продолжите развертывание решения SAP с помощью Microsoft Sentinel-Continuous Threat Monitoring . Дополнительные сведения см. в разделе Развертывание содержимого безопасности SAP.

Развертывание решения позволяет соединителю данных SAP отображаться в Microsoft Sentinel и развертывать книгу и правила аналитики SAP. Когда все будет готово, вручную добавьте и настройте свои списки отслеживания SAP.

Дополнительные сведения можно найти в разделе