Distribuera Microsoft Sentinel SAP-dataanslutningen med SNC

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Den här artikeln beskriver hur du distribuerar Microsoft Sentinel SAP-dataanslutningsappen när du har en säker anslutning till SAP via Secure Network Communications (SNC) för NetWeaver/ABAP-gränssnittsbaserade loggar.

Anteckning

Standardprocessen och den mest rekommenderade processen för att distribuera Microsoft Sentinel SAP-dataanslutningsappen är att använda en virtuell Azure-dator. Den här artikeln är avsedd för avancerade användare.

Viktigt

Microsoft Sentinel SAP-lösningen finns för närvarande som förhandsversion. Tilläggsvillkor för Azure-förhandsversionen innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Förutsättningar

De grundläggande förutsättningarna för att distribuera microsoft Sentinel SAP-dataanslutningen är desamma oavsett distributionsmetod.

Kontrollera att systemet uppfyller kraven som beskrivs i den huvudsakliga distributionsproceduren för SAP-dataanslutningsappen innan du börjar.

Andra krav för att arbeta med SNC är:

  • En säker anslutning till SAP med SNC. Definiera de anslutningsspecifika SNC-parametrarna i lagringsplatsens konstanter för det AS ABAP-system som du ansluter till. Mer information finns på den relevanta SAP community wiki-sidan.

  • SAPCAR-verktyget, hämtat från SAP Service Marketplace. Mer information finns i installationsguiden för SAP

Mer information finns i Microsoft Sentinel SAP-lösningens detaljerade SAP-krav (offentlig förhandsversion).

Skapa ditt Azure-nyckelvalv

Skapa ett Azure-nyckelvalv som du kan dedikera till microsoft Sentinel SAP-dataanslutningsappen.

Kör följande kommando för att skapa ditt Azure-nyckelvalv och bevilja åtkomst till azure-tjänstens huvudnamn:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file

az ad sp create-for-rbac –name $spname --role Contributor

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp

# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Mer information finns i Snabbstart: Skapa ett nyckelvalv med hjälp av Azure CLI.

Lägga Azure Key Vault hemligheter

Om du Azure Key Vault hemligheter kör du följande skript med ditt eget system-ID och de autentiseringsuppgifter som du vill lägga till:

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOG_WS_ID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOG_WS_PUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Mer information finns i CLI-dokumentationen för az keyvault secret.

Distribuera SAP-dataanslutningsappen

Den här proceduren beskriver hur du distribuerar SAP-dataanslutningen på en virtuell dator vid anslutning via SNC.

Vi rekommenderar att du utför den här proceduren när du har ett nyckelvalv redo med dina SAP-autentiseringsuppgifter.

Så här distribuerar du SAP-dataanslutningsappen:

  1. På den virtuella datorn med dataanslutningsappen laddar du ned den senaste SAP NW RFC SDK:n från SAP Launchpad-webbplatsen > SAP NW RFC SDK SAP > NW RFC SDK 7.50 > nwrfc750X_X-xxxxxxx.zip.

    Anteckning

    Du behöver din SAP-användarinformation för att få åtkomst till SDK:n, och du måste ladda ned SDK:n som matchar ditt operativsystem.

    Se till att välja alternativet LINUX ON X86_64(Linux on X86_64).

  2. Skapa en ny mapp med ett beskrivande namn och kopiera SDK-zip-filen till den nya mappen.

  3. Klona Microsoft Sentinel-GitHub till den virtuella datorn för dataanslutningsappen och kopiera Microsoft Sentinel SAP-systemconfig.ini till den nya mappen.

    Exempel:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
    cd /home/$(pwd)/sapcon/<sap-sid>/
    wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini
    cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
    
  4. Redigera systemconfig.ini efter behov med hjälp av de inbäddade kommentarerna som vägledning.

    Du måste redigera alla konfigurationer förutom nyckelvalvshemligheterna. Mer information finns i Konfigurera SAP-dataanslutningen manuellt.

  5. Definiera de loggar som du vill mata in i Microsoft Sentinel med hjälp av instruktionerna isystemconfig.inifilen.

    Se till exempel Definiera SAP-loggarna som skickas till Microsoft Sentinel.

    Anteckning

    Relevanta loggar för SNC-kommunikation är bara de loggar som hämtas via NetWeaver/ABAP gränssnittet. SAP Control- och HANA-loggar omfattas inte av SNC.

  6. Definiera följande konfigurationer med hjälp av instruktionerna isystemconfig.inifilen:

    • Om du vill inkludera användarens e-postadresser i granskningsloggar
    • Om du vill försöka igen misslyckade API-anrop
    • Om du vill inkludera cexal-granskningsloggar
    • Om du ska vänta ett tidsintervall mellan data extrahering, särskilt vid stora extrahering

    Mer information finns i SAL-loggar anslutningskonfigurationer.

  7. Spara den uppdaterade systemconfig.ini i sapcon-katalogen på den virtuella datorn.

  8. Ladda ned och kör den fördefinierade Docker-avbildningen med SAP-dataanslutningsappen installerad. Kör följande:

    docker pull docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    docker create -v $(pwd):/sapcon-app/sapcon/config/system -v /home/azureuser /sap/sec:/sapcon-app/sec --env SCUDIR=/sapcon-app/sec --name sapcon-snc mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    

Sap-systemprocedurer efter distributionen

När du har distribuerat SAP-dataanslutningen utför du följande SAP-systemprocedurer:

  1. Ladda ned det kryptografiska SAP-biblioteket från SAP-tjänstens > Marketplace-programhämtningar > Och bläddra i vår nedladdningskatalog > för kryptografiprogramvaran SAP.

    Mer information finns i installationsguiden för SAP.

  2. Använd SAPCAR-verktyget för att extrahera biblioteksfilerna och distribuera dem till din virtuella SAP-dataanslutningsapp i <sec> katalogen .

  3. Kontrollera att du har behörighet att köra biblioteksfilerna.

  4. Definiera en miljövariabel med namnet SECUDIR, med värdet för den fullständiga sökvägen till <sec> katalogen.

  5. Skapa en personlig säkerhetsmiljö (PSE). Kommandoradsverktyget sapgenspe är tillgängligt i din katalog på <sec> din virtuella DATOR för SAP-dataanslutning.

    Exempel:

    ./sapgenpse get_pse -p my_pse.pse -noreq -x my_pin "CN=sapcon.com, O=my_company, C=IL"
    

    Mer information finns i Skapa en personlig säkerhetsmiljö i SAP-dokumentationen.

  6. Skapa autentiseringsuppgifter för din PSE. Exempel:

    ./sapgenpse seclogin -p my_pse.pse -x my_pin -O MXDispatcher_Service_User
    

    Mer information finns i Skapa autentiseringsuppgifter i SAP-dokumentationen.

  7. Exchange Public-Key mellan Identity Center och AS ABAP SNC PSE.

    Om du till exempel vill exportera Identity CenterPublic-Key certifikatet kör du:

    ./sapgenpse export_own_cert -o my_cert.crt -p my_pse.pse -x abcpin
    

    Importera certifikatet till AS ABAP SNC PSE, exportera det från PSE och importera det sedan tillbaka till Identity Center.

    Om du till exempel vill importera certifikatet till Identity Center kör du:

    ./sapgenpse maintain_pk -a full_path/my_secure_dir/my_exported_cert.crt -p my_pse.pse -x my_pin
    

    Mer information finns i Utbyta Public-Key certifikat i SAP-dokumentationen.

Redigera konfigurationen för SAP-dataanslutningsappen

  1. På din virtuella SAP-dataanslutningsapp går du tillsystemconfig.ini och definierar följande parametrar med relevanta värden:

    [Secrets Source]
    secrets = AZURE_KEY_VAULT
    
  2. Generera följande hemligheter iditt Azure-nyckelvalv:

    • <Interprefix>-ABAPSNCPARTNERNAME, där värdet är <Relevant DN details>
    • <Interprefix>-ABAPSNCLIB, där värdet är <lib_Path>
    • <Interprefix>-ABAPX509CERT, där värdet är <Certificate_Code>)

    Exempel:

    S4H-ABAPSNCPARTNERNAME  =  'p:CN=help.sap.com, O=SAP_SE, C=IL' (Relevant DN)
    S4H-ABAPSNCLIB = 'home/user/sec-dir' (Relevant directory)
    S4H-ABAPX509CERT = 'MIIDJjCCAtCgAwIBAgIBNzA ... NgalgcTJf3iUjZ1e5Iv5PLKO' (Relevant certificate code)
    

    Anteckning

    Som standard är <Interprefix> värdet ditt SID, till exempel A4H-<ABAPSNCPARTNERNAME> .

Om du anger hemligheter direkt till konfigurationsfilen definierar du parametrarna på följande sätt:

[Secrets Source]
secrets = DOCKER_FIXED
[ABAP Central Instance]
snc_partnername =  <Relevant_DN_Deatils>
snc_lib =  <lib_Path>
x509cert = <Certificate_Code>
For example:
snc_partnername =  p:CN=help.sap.com, O=SAP_SE, C=IL (Relevant DN)
snc_lib = /sapcon-app/sec/libsapcrypto.so (Relevant directory)
x509cert = MIIDJjCCAtCgAwIBAgIBNzA ... NgalgcTJf3iUjZ1e5Iv5PLKO (Relevant certificate code)

Koppla SNC-parametrarna till användaren

  1. På din virtuella SAP-dataanslutningsapp SM30 anropar du transaktionen och väljer för att underhålla USRACLEXT tabellen.

  2. Lägg till en ny post. I fältet Användare anger du den kommunikationsanvändare som används för att ansluta till ABAP system.

  3. Ange SNC-namnet när du uppmanas att göra det. SNC-namnet är det unika namn som angavs när du skapade Identity Manager PSE. Exempelvis: CN=IDM, OU=SAP, C=DE

    Se till att lägga till p en före SNC-namnet. Exempel: p:CN=IDM, OU=SAP, C=DE.

  4. Välj Spara.

SNC är aktiverat på den virtuella datorn för dataanslutning.

Aktivera SAP-dataanslutningsappen

Den här proceduren beskriver hur du aktiverar SAP-dataanslutningen med hjälp av den skyddade SNC-anslutning som du skapade med hjälp av procedurerna tidigare i den här artikeln.

  1. Aktivera Docker-avbildningen:

    docker start sapcon-<SID>
    
  2. Kontrollera anslutningen. Kör följande:

    docker logs sapcon-<SID>
    
  3. Om anslutningen misslyckas kan du använda loggarna för att förstå problemet.

    Om du behöver inaktivera Docker-avbildningen:

    docker stop sapcon-<SID>
    

Problem kan till exempel inträffa på grund av en felaktig konfiguration i systemconfig.ini-filen eller i Ditt Azure-nyckelvalv, eller några av stegen för att skapa en säker anslutning via SNC inte har körts korrekt.

Försök att utföra stegen ovan igen för att konfigurera en säker anslutning via SNC. Mer information finns i Felsöka distributionen av Microsoft Sentinel SAP-lösningen.

Nästa steg

När sap-dataanslutningen har aktiverats fortsätter du genom att distribuera Microsoft Sentinel – kontinuerlig hotövervakning för SAP-lösningen. Mer information finns i Distribuera SAP-säkerhetsinnehåll.

Genom att distribuera lösningen kan SAP-dataanslutningen visas i Microsoft Sentinel och sap-arbetsboken och analysreglerna distribueras. När du är klar kan du manuellt lägga till och anpassa dina SAP-visningslistor.

Mer information finns i: