Konfigurera SAP-auktoriseringar och distribuera valfria SAP-ändringsbegäranden
Den här artikeln beskriver hur du förbereder din miljö för installationen av SAP-agenten så att den kan ansluta korrekt till dina SAP-system. Förberedelse omfattar konfiguration av nödvändiga SAP-auktoriseringar och, om du vill, distribuera extra SAP-ändringsbegäranden (CRs).
- Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Milstolpar för distribution
Spåra distributionsresan för SAP-lösningen genom den här serien med artiklar:
Arbeta med lösningen på flera arbetsytor (FÖRHANDSVERSION)
Förbereda SAP-miljön (du är här)
Valfria distributionssteg
Konfigurera Microsoft Sentinel-rollen
Ladda upp rollauktoriseringar från filen /MSFTSEN/SENTINEL_RESPONDER i GitHub.
Detta skapar rollen /MSFTSEN/SENTINEL_RESPONDER , som innehåller alla auktoriseringar som krävs för att hämta loggar från SAP-systemen och köra åtgärder för angreppsavbrott.
Du kan också skapa en roll manuellt med de relevanta auktoriseringar som krävs för loggarna som du vill mata in. Mer information finns i Nödvändiga ABAP-auktoriseringar. Exemplen i den här proceduren använder namnet /MSFTSEN/SENTINEL_RESPONDER .
Nästa steg är att generera en aktiv rollprofil som Microsoft Sentinel kan använda. Kör PFCG-transaktionen:
På skärmen ENKEL ÅTKOMST FÖR SAP anger du
PFCG
i fältet i det övre vänstra hörnet på skärmen och trycker sedan på RETUR.I fönstret Rollunderhåll skriver du rollnamnet
/MSFTSEN/SENTINEL_RESPONDER
i fältet Roll och väljer knappen Ändra (pennan).I fönstret Ändra roller som visas väljer du fliken Auktoriseringar .
På fliken Auktoriseringar väljer du Ändra auktoriseringsdata.
I popup-fönstret Information läser du meddelandet och markerar den gröna bockmarkeringen för att bekräfta.
I fönstret Ändra roll: auktoriseringar väljer du Generera.
Se att fältet Status har ändrats från Oförändrat till genererat.
Välj Tillbaka (till vänster om SAP-logotypen överst på skärmen).
I fönstret Ändra roller kontrollerar du att fliken Auktoriseringar visar en grön ruta och väljer sedan Spara.
Skapa en användare
Microsoft Sentinel-lösningen för SAP-program® kräver ett användarkonto för att ansluta till ditt SAP-system. Använd följande instruktioner för att skapa ett användarkonto och tilldela det till den roll som du skapade i föregående steg.
I exemplen som visas här använder vi rollnamnet /MSFTSEN/SENTINEL_RESPONDER.
Kör SU01-transaktionen:
På skärmen ENKEL ÅTKOMST FÖR SAP anger du
SU01
i fältet i det övre vänstra hörnet på skärmen och trycker på RETUR.På skärmen Användarunderhåll: Inledande skärm skriver du in namnet på den nya användaren i fältet Användare och väljer Skapa teknisk användare i knappfältet.
På skärmen Underhåll användare väljer du System i listrutan Användartyp. Skapa och ange ett komplext lösenord i fälten Nytt lösenord och Upprepa lösenord och välj sedan fliken Roller .
På fliken Roller i avsnittet Rolltilldelningar anger du det fullständiga namnet på rollen –
/MSFTSEN/SENTINEL_RESPONDER
i vårt exempel – och trycker på Retur.När du har tryckt på Retur kontrollerar du att den högra sidan av avsnittet Rolltilldelningar fylls med data, till exempel Ändra startdatum.
Välj fliken Profiler , kontrollera att en profil för rollen visas under Tilldelade auktoriseringsprofiler och välj Spara.
Nödvändiga ABAP-auktoriseringar
I det här avsnittet visas de ABAP-auktoriseringar som krävs för att säkerställa att DET SAP-användarkonto som används av Microsoft Sentinels SAP-dataanslutning kan hämta loggar från SAP-systemen korrekt och köra åtgärder för angreppsavbrott.
De nödvändiga auktoriseringarna anges här med deras syfte. Du behöver bara de auktoriseringar som anges för de typer av loggar som du vill använda i Microsoft Sentinel och de åtgärder för attackstörningar som du vill tillämpa.
Dricks
Om du vill skapa en roll med alla nödvändiga auktoriseringar läser du in rollauktoriseringarna från filen /MSFTSEN/SENTINEL_RESPONDER .
Alternativt kan du, om du bara vill aktivera logghämtning, utan åtgärder för attackavbrott, distribuera SAP NPLK900271 CR på SAP-systemet för att skapa rollen /MSFTSEN/SENTINEL_CONNECTOR eller läsa in rollauktoriseringarna från filen /MSFTSEN/SENTINEL_CONNECTOR.
Om det behövs kan du ta bort användarrollen och den valfria CR som är installerad i ABAP-systemet.
Distribuera valfria CRs
I det här avsnittet beskrivs en stegvis guide för att distribuera extra, valfria CR:er. Den är avsedd för SOC-tekniker eller implementerare som kanske inte nödvändigtvis är SAP-experter.
Erfarna SAP-administratörer som är bekanta med CR-distributionsprocessen kanske föredrar att hämta lämpliga certifikatutfärdare direkt från avsnittet sap-miljövalideringssteg i guiden och distribuera dem.
Vi rekommenderar starkt att du distribuerar SAP CRs av en erfaren SAP-systemadministratör.
I följande tabell beskrivs de valfria CR:erna som är tillgängliga för distribution:
CR | beskrivning |
---|---|
NPLK900271 | Skapar och konfigurerar en exempelroll med de grundläggande auktoriseringar som krävs för att sap-dataanslutningen ska kunna ansluta till ditt SAP-system. Du kan också läsa in auktoriseringar direkt från en fil eller manuellt definiera rollen enligt de loggar som du vill mata in. Mer information finns i Nödvändiga ABAP-auktoriseringar och Skapa och konfigurera en roll (krävs).. |
NPLK900201 eller NPLK900202 | Hämtar ytterligare information från SAP. Välj en av dessa CRs enligt din SAP-version. |
Förutsättningar för att distribuera CRs
Kontrollera att du har kopierat information om SAP-systemversionen, system-ID (SID), systemnummer, klientnummer, IP-adress, administrativt användarnamn och lösenord innan du påbörjar distributionsprocessen. I följande exempel antas följande information:
- SAP-systemversion:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Systemnummer:
00
- Klientnummer:
001
- IP-adress
192.168.136.4
: - Administratörsanvändare:
a4hadm
SSH-anslutningen till SAP-systemet upprättas dock medroot
användarautentiseringsuppgifter.
- SAP-systemversion:
Kontrollera att du vet vilken CR du vill distribuera.
Om du distribuerar NPLK900202 CR för att hämta ytterligare information kontrollerar du att du har installerat relevant SAP-anteckning.
Konfigurera filerna
Logga in på SAP-systemet med hjälp av SSH.
Överför CR-filerna till SAP-systemet eller ladda ned filerna direkt till SAP-systemet från SSH-prompten. Använd följande kommandon:
Ladda ned NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
Du kan också läsa in dessa auktoriseringar direkt från en fil.
Ladda ned NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
Ladda ned NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Varje cr består av två filer, en som börjar med K och en med R.
Ändra ägarskapet för filerna till användar-adm och grupp-sapsys.
<sid>
(Ersätt ditt SAP-system-ID med<sid>
.)chown <sid>adm:sapsys *.NPL
I vårt exempel:
chown a4hadm:sapsys *.NPL
Kopiera cofiles (de som börjar med K) till
/usr/sap/trans/cofiles
mappen. Behåll behörigheterna vid kopiering med hjälp avcp
kommandot med växeln-p
.cp -p K*.NPL /usr/sap/trans/cofiles/
Kopiera datafilerna (de som börjar med R) till
/usr/sap/trans/data
mappen. Behåll behörigheterna vid kopiering med hjälp avcp
kommandot med växeln-p
.cp -p R*.NPL /usr/sap/trans/data/
Importera cd-skivorna
Starta SAP-inloggningsprogrammet och logga in på SAP GUI-konsolen.
Kör STMS_IMPORT transaktion:
På skärmen ENKEL ÅTKOMST FÖR SAP anger du
STMS_IMPORT
i fältet i det övre vänstra hörnet på skärmen och trycker sedan på RETUR.I fönstret Importera kö som visas väljer du Fler > extrafunktioner > Andra begäranden > lägg till.
I popup-fönstret Lägg till transportbegäranden för att importera kö som visas väljer du fältet Transp. Begäran.
Fönstret Transportbegäranden visas och visar en lista över tillgängliga CR:er som ska distribueras. Välj en CR och välj den gröna bockmarkeringsknappen.
I fönstret Lägg till transportbegäran till importkö väljer du Fortsätt (den gröna bockmarkeringen) eller trycker på RETUR.
I dialogrutan Lägg till bekräftelse av transportbegäran väljer du Ja.
Om du planerar att distribuera fler CR:er upprepar du proceduren i de föregående fem stegen för de återstående CR:erna.
I fönstret Importkö väljer du relevant transportbegäran en gång och väljer sedan ikonen F9 eller Välj/Avmarkera begäran .
Om du har återstående transportbegäranden att lägga till i distributionen upprepar du steg 9.
Välj ikonen Importera begäranden:
I fönstret Starta import väljer du fältet Målklient .
Dialogrutan Indatahjälp.. visas. Välj numret på den klient som du vill distribuera de virtuella databaserna till (
001
i vårt exempel) och markera sedan den gröna bockmarkeringen för att bekräfta.I fönstret Starta import väljer du fliken Alternativ , markerar kryssrutan Ignorera ogiltig komponentversion och markerar den gröna bockmarkeringen för att bekräfta.
I dialogrutan Starta importbekräftelse väljer du Ja för att bekräfta importen.
I fönstret Importkö väljer du Uppdatera, väntar tills importåtgärden har slutförts och importkön visas som tom.
Om du vill granska importstatusen väljer du Mer > gå till > importhistorik i fönstret Importkö.
Om du distribuerade NPLK900202 CR förväntas den visa en varning. Välj posten för att kontrollera att varningarna som visas är av typen "Tabellnamn <> har aktiverats".
CR:erna och versionerna i följande skärmbilder kan ändras beroende på din installerade CR-version.
Kontrollera att PAHI-tabellen (historik för system-, databas- och SAP-parametrar) uppdateras med jämna mellanrum
SAP PAHI-tabellen innehåller data om historiken för SAP-systemet, databasen och SAP-parametrarna. I vissa fall kan Microsoft Sentinel-lösningen för SAP-program® inte övervaka SAP PAHI-tabellen med jämna mellanrum på grund av att konfigurationen saknas eller är felaktig (se SAP-anteckningen med mer information om det här problemet). Det är viktigt att uppdatera PAHI-tabellen och övervaka den ofta, så att Microsoft Sentinel-lösningen för SAP-program® kan avisera om misstänkta åtgärder som kan inträffa när som helst under dagen.
Läs mer om hur Microsoft Sentinel-lösningen för SAP-program® övervakar misstänkta konfigurationsändringar i säkerhetsparametrar.
Kommentar
För optimala resultat aktiverar du både parametrarna PAHI_FULL
och PAHI_INCREMENTAL
i datorns systemconfig.ini-fil under [ABAP Table Selector]
avsnittet .
Så här kontrollerar du att PAHI-tabellen uppdateras med jämna mellanrum:
- Kontrollera om
SAP_COLLECTOR_FOR_PERFMONITOR
jobbet, baserat på RSCOLL00 program, schemaläggs och körs per timme av DDIC-användaren i 000-klienten. - Kontrollera om rapportnamnen
RSHOSTPH
ochRSSTATPH
RSDB_PAR
underhålls i TCOLL-tabellen.RSHOSTPH
rapport: Läser operativsystemets kernelparametrar och lagrar dessa data i PAHI-tabellen.RSSTATPH
rapport: Läser SAP-profilparametrarna och lagrar dessa data i PAHI-tabellen.RSDB_PAR
rapport: Läser databasparametrarna och lagrar dem i PAHI-tabellen.
Om jobbet finns och är korrekt konfigurerat krävs inga ytterligare steg.
Om jobbet inte finns:
Logga in på DITT SAP-system i 000-klienten.
Kör SM36-transaktionen.
Under Jobbnamn skriver du SAP_COLLECTOR_FOR_PERFMONITOR.
Välj Steg och fyll i den här informationen:
- Under Användare skriver du DDIC.
- Under ABAP-programnamn skriver du RSCOLL00.
Spara konfigurationen.
Välj F3 för att gå tillbaka till föregående skärm.
Välj Startvillkor för att definiera startvillkoret.
Välj Omedelbar och markera kryssrutan Periodiskt jobb .
Välj Periodvärden och välj Varje timme.
Välj Spara i dialogrutan och välj sedan Spara längst ned.
Om du vill släppa jobbet väljer du Spara överst.
Nästa steg
Din SAP-miljö är nu helt förberedd för att distribuera en dataanslutningsagent. En roll och profil etableras, ett användarkonto skapas och tilldelas relevant rollprofil och CR:er distribueras efter behov för din miljö.
Nu är du redo att aktivera och konfigurera SAP-granskning för Microsoft Sentinel.