Distribuera Microsoft Sentinel för SAP-dataanslutningsappen med hjälp av SNC

  • Artikel

Den här artikeln visar hur du distribuerar Microsoft Sentinel för SAP-dataanslutningen för att mata in SAP NetWeaver- och SAP ABAP-loggar över en säker anslutning med hjälp av SNC (Secure Network Communications).

SAP-dataanslutningsagenten ansluter vanligtvis till en SAP ABAP-server med hjälp av en rfc-anslutning (remote function call) och ett användarnamn och lösenord för autentisering.

Vissa miljöer kan dock kräva att anslutningen görs på en krypterad kanal, och vissa miljöer kan kräva att klientcertifikat används för autentisering. I dessa fall kan du använda SNC från SAP för att ansluta dataanslutningen på ett säkert sätt. Slutför stegen som beskrivs i den här artikeln.

Förutsättningar

Om du vill distribuera Microsoft Sentinel för SAP-dataanslutningen med hjälp av SNC behöver du:

  • Det kryptografiska SAP-biblioteket.
  • Nätverksanslutningar. SNC använder port 48xx (där xx är SAP-instansnumret) för att ansluta till ABAP-servern.
  • En SAP-server som har konfigurerats för att stödja SNC-autentisering.
  • Ett självsignerat certifikat eller certifikatutfärdare för företag (CA) som utfärdats för användarautentisering.

Kommentar

I den här artikeln beskrivs ett exempelfall för att konfigurera SNC. I en produktionsmiljö rekommenderar vi starkt att du kontaktar SAP-administratörer för att skapa en distributionsplan.

Exportera servercertifikatet

Börja med att exportera servercertifikatet:

  1. Logga in på DIN SAP-klient och kör STRUST-transaktionen .

  2. I den vänstra rutan går du till SNC SAPCryptolib och expanderar avsnittet.

  3. Välj systemet och välj sedan ett värde för Ämne.

    Servercertifikatinformationen visas i avsnittet Certifikat .

  4. Välj Exportera certifikat.

    Screenshot that shows how to export a server certificate.

  5. I dialogrutan Exportera certifikat:

    1. För filformat väljer du Base64.

    2. Bredvid Filsökväg väljer du ikonen dubbla rutor.

    3. Välj ett filnamn som certifikatet ska exporteras till.

    4. Markera den gröna bockmarkeringen för att exportera certifikatet.

Importera certifikatet

I det här avsnittet beskrivs hur du importerar ett certifikat så att det är betrott av DIN ABAP-server. Det är viktigt att förstå vilket certifikat som måste importeras till SAP-systemet. Endast offentliga nycklar för certifikaten behöver importeras till SAP-systemet.

  • Om användarcertifikatet är självsignerat: Importera ett användarcertifikat.

  • Om användarcertifikatet utfärdas av en företagscertifikatutfärdare: Importera ett certifikat för företagscertifikatutfärdare. Om både rot- och underordnade CA-servrar används importerar du både rot- och underordnade certifikatutfärdares offentliga certifikat.

Så här importerar du certifikatet:

  1. Kör STRUST-transaktionen.

  2. Välj Visa< ändring>.

  3. Välj Importera certifikat.

  4. I dialogrutan Importera certifikat:

    1. Bredvid Filsökväg väljer du ikonen dubbla rutor och går till certifikatet.

    2. Gå till filen som innehåller certifikatet (endast för en offentlig nyckel) och markera den gröna bockmarkeringen för att importera certifikatet.

      Certifikatinformationen visas i avsnittet Certifikat .

    3. Välj Lägg till i certifikatlistan.

      Certifikatet visas i avsnittet Certifikatlista .

Associera certifikatet med ett användarkonto

Så här associerar du certifikatet med ett användarkonto:

  1. Kör SM30-transaktionen.

  2. I Tabell/vy anger du USRACLEXT och väljer sedan Underhåll.

  3. Granska utdata och identifiera om målanvändaren redan har ett associerat SNC-namn. Om inget SNC-namn är associerat med användaren väljer du Nya poster.

    Screenshot that shows how to create a new entry in the USERACLEXT table.

  4. För Användare anger du användarens användarnamn. För SNC-namn anger du användarens certifikatämnesnamn prefixet p :och väljer sedan Spara.

    Screenshot that shows how to create a new user in USERACLEXT table.

Bevilja inloggningsrättigheter med hjälp av certifikatet

Så här beviljar du inloggningsrättigheter:

  1. Kör SM30-transaktionen.

  2. I Tabell/vy anger du VSNCSYSACL och väljer sedan Underhåll.

  3. I den informationsprompt som visas bekräftar du att tabellen är korsklient.

  4. I Fastställ arbetsyta: Post anger du E som typ av ACL-post och markerar sedan den gröna bockmarkeringen.

  5. Granska utdata och identifiera om målanvändaren redan har ett associerat SNC-namn. Om användaren inte har ett associerat SNC-namn väljer du Nya poster.

    Screenshot that shows how to create a new entry in the VSNCSYSACL table.

  6. Ange system-ID och användarcertifikatets ämnesnamn med prefixet p: .

    Screenshot that shows how to create a new user in the VSNCSYSACL table.

  7. Kontrollera att kryssrutorna för Entry for RFC activated och Entry for certificate activated (Post för certifikat aktiverat) är markerade och välj sedan Spara.

Mappa användare av ABAP-tjänstleverantören till externa användar-ID:t

Så här mappar du ABAP-tjänstleverantörsanvändare till externa användar-ID:t:

  1. Kör SM30-transaktionen.

  2. I Tabell/vy anger du VUSREXTID och väljer sedan Underhåll.

  3. I Fastställ arbetsyta: Post väljer du DN-ID-typ för arbetsyta.

  4. Ange följande värden:

    • För externt ID anger du CN=Sentinel, C=US.
    • För Seq. Nej anger du 000.
    • För Användare anger du SENTINEL.

  5. Välj Spara och välj sedan Retur.

    Screenshot that shows how to set up the SAP VUSREXTID table.

Konfigurera containern

Kommentar

Om du konfigurerar sap-dataanslutningsagentcontainern med hjälp av användargränssnittet ska du inte utföra de steg som beskrivs i det här avsnittet. Fortsätt i stället att konfigurera anslutningsappen på anslutningssidan.

Så här konfigurerar du containern:

  1. Överför libsapcrypto.so- och sapgenpse-filerna till systemet där containern skapas.

  2. Överför klientcertifikatet (både privata och offentliga nycklar) till systemet där containern skapas.

    Klientcertifikatet och nyckeln kan vara i formatet .p12, .pfx eller Base64 .crt och .key .

  3. Överför servercertifikatet (endast offentlig nyckel) till det system där containern ska skapas.

    Servercertifikatet måste vara i Base64 .crt-format .

  4. Om klientcertifikatet har utfärdats av en företagscertifikatutfärdare överför du certifikatutfärdare och rotcertifikatutfärdarcertifikat till systemet där containern skapas.

  5. Hämta kickstartskriptet från Microsoft Sentinel GitHub-lagringsplatsen:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. Ändra skriptets behörigheter så att det blir körbart:

    chmod +x ./sapcon-sentinel-kickstart.sh

  7. Kör skriptet och ange följande basparametrar:

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib <path to sapcryptolib.so> \
--sapgenpse <path to sapgenpse> \
--server-cert <path to server certificate public key> \

    Om klientcertifikatet är i .crt - eller .key-format använder du följande växlar:

    --client-cert <path to client certificate public key> \
--client-key <path to client certificate private key> \

    Om klientcertifikatet är i .pfx - eller .p12-format använder du följande växlar:

    --client-pfx <pfx filename>
--client-pfx-passwd <password>

    Om klientcertifikatet har utfärdats av en företagscertifikatutfärdare lägger du till den här växeln för varje certifikatutfärdare i förtroendekedjan:

    --cacert <path to ca certificate>

    Till exempel:

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib /home/azureuser/libsapcrypto.so \
--sapgenpse /home/azureuser/sapgenpse \
--client-cert /home/azureuser/client.crt \
--client-key /home/azureuser/client.key \
--cacert /home/azureuser/issuingca.crt
--cacert /home/azureuser/rootca.crt
--server-cert /home/azureuser/server.crt \

Mer information om alternativ som är tillgängliga i kickstartskriptet finns i Referens: Kickstart-skript.

Felsökning och referens

Felsökningsinformation finns i följande artiklar:

Mer information finns i följande artiklar:

Relaterat innehåll