Konfigurera SAP-auktoriseringar och distribuera valfria SAP-ändringsbegäranden

  • Artikel

Den här artikeln beskriver hur du förbereder din miljö för installationen av SAP-agenten så att den kan ansluta korrekt till dina SAP-system. Förberedelse omfattar konfiguration av nödvändiga SAP-auktoriseringar och, om du vill, distribuera extra SAP-ändringsbegäranden (CRs).

Milstolpar för distribution

Spåra distributionsresan för SAP-lösningen genom den här serien med artiklar:

  1. Distributionsöversikt

  2. Förhandskrav för distribution

  3. Arbeta med lösningen på flera arbetsytor (FÖRHANDSVERSION)

  4. Förbereda SAP-miljön (du är här)

  5. Konfigurera granskning

  6. Distribuera lösningsinnehållet från innehållshubben

  7. Distribuera dataanslutningsagenten

  8. Konfigurera Microsoft Sentinel-lösning för SAP-program®

  9. Valfria distributionssteg

Konfigurera Microsoft Sentinel-rollen

  1. Ladda upp rollauktoriseringar från filen /MSFTSEN/SENTINEL_RESPONDER i GitHub.

    Detta skapar rollen /MSFTSEN/SENTINEL_RESPONDER , som innehåller alla auktoriseringar som krävs för att hämta loggar från SAP-systemen och köra åtgärder för angreppsavbrott.

    Du kan också skapa en roll manuellt med de relevanta auktoriseringar som krävs för loggarna som du vill mata in. Mer information finns i Nödvändiga ABAP-auktoriseringar. Exemplen i den här proceduren använder namnet /MSFTSEN/SENTINEL_RESPONDER .

  2. Nästa steg är att generera en aktiv rollprofil som Microsoft Sentinel kan använda. Kör PFCG-transaktionen:

    På skärmen ENKEL ÅTKOMST FÖR SAP anger du PFCG i fältet i det övre vänstra hörnet på skärmen och trycker sedan på RETUR.

  3. I fönstret Rollunderhåll skriver du rollnamnet /MSFTSEN/SENTINEL_RESPONDER i fältet Roll och väljer knappen Ändra (pennan).

  4. I fönstret Ändra roller som visas väljer du fliken Auktoriseringar .

  5. På fliken Auktoriseringar väljer du Ändra auktoriseringsdata.

  6. I popup-fönstret Information läser du meddelandet och markerar den gröna bockmarkeringen för att bekräfta.

  7. I fönstret Ändra roll: auktoriseringar väljer du Generera.

    Se att fältet Status har ändrats från Oförändrat till genererat.

  8. Välj Tillbaka (till vänster om SAP-logotypen överst på skärmen).

  9. I fönstret Ändra roller kontrollerar du att fliken Auktoriseringar visar en grön ruta och väljer sedan Spara.

Skapa en användare

Microsoft Sentinel-lösningen för SAP-program® kräver ett användarkonto för att ansluta till ditt SAP-system. Använd följande instruktioner för att skapa ett användarkonto och tilldela det till den roll som du skapade i föregående steg.

I exemplen som visas här använder vi rollnamnet /MSFTSEN/SENTINEL_RESPONDER.

  1. Kör SU01-transaktionen:

    På skärmen ENKEL ÅTKOMST FÖR SAP anger du SU01 i fältet i det övre vänstra hörnet på skärmen och trycker på RETUR.

  2. På skärmen Användarunderhåll: Inledande skärm skriver du in namnet på den nya användaren i fältet Användare och väljer Skapa teknisk användare i knappfältet.

  3. På skärmen Underhåll användare väljer du System i listrutan Användartyp. Skapa och ange ett komplext lösenord i fälten Nytt lösenord och Upprepa lösenord och välj sedan fliken Roller .

  4. På fliken Roller i avsnittet Rolltilldelningar anger du det fullständiga namnet på rollen – /MSFTSEN/SENTINEL_RESPONDER i vårt exempel – och trycker på Retur.

    När du har tryckt på Retur kontrollerar du att den högra sidan av avsnittet Rolltilldelningar fylls med data, till exempel Ändra startdatum.

  5. Välj fliken Profiler , kontrollera att en profil för rollen visas under Tilldelade auktoriseringsprofiler och välj Spara.

Nödvändiga ABAP-auktoriseringar

I det här avsnittet visas de ABAP-auktoriseringar som krävs för att säkerställa att DET SAP-användarkonto som används av Microsoft Sentinels SAP-dataanslutning kan hämta loggar från SAP-systemen korrekt och köra åtgärder för angreppsavbrott.

De nödvändiga auktoriseringarna anges här med deras syfte. Du behöver bara de auktoriseringar som anges för de typer av loggar som du vill använda i Microsoft Sentinel och de åtgärder för attackstörningar som du vill tillämpa.

Dricks

Om du vill skapa en roll med alla nödvändiga auktoriseringar läser du in rollauktoriseringarna från filen /MSFTSEN/SENTINEL_RESPONDER .

Alternativt kan du, om du bara vill aktivera logghämtning, utan åtgärder för attackavbrott, distribuera SAP NPLK900271 CR på SAP-systemet för att skapa rollen /MSFTSEN/SENTINEL_CONNECTOR eller läsa in rollauktoriseringarna från filen /MSFTSEN/SENTINEL_CONNECTOR.

Auktoriseringsobjekt Fält Värde
Alla loggar
S_RFC RFC_TYPE Funktionsmodul
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Genomförande
S_TCODE TCD SM51
S_TABU_NAM ACTVT Skärm
S_TABU_NAM TABELL T000
Valfritt – endast om Sentinel-lösningen CR implementeras
S_RFC RFC_NAME /MSFTSEN/*
ABAP-programlogg
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABELL BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD GRÄNSSNITT XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Skärm
Logg för ABAP-ändringsdokument
S_TABU_NAM TABELL CDHDR
S_TABU_NAM TABELL CDPOS
ABAP CR-logg
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABELL E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Skärm
ABAP DB-tabelldatalogg
S_TABU_NAM TABELL DBTABLOG
S_TABU_NAM TABELL SACF_ALERT
S_TABU_NAM TABELL SOUD
S_TABU_NAM TABELL USR41
S_TABU_NAM TABELL TMSQAFILTER
ABAP-jobblogg
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABELL TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD GRÄNSSNITT XBP
ABAP Spool-loggar
S_TABU_NAM TABELL TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (Användning av Transaction SP01 (alla system))
ABAP-arbetsflödeslogg
S_TABU_NAM TABELL SWWLOGHIST
S_TABU_NAM TABELL SWWWIHEAD
Granskningslogg för ABAP-säkerhet
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (Basgranskningsvisningsautentisering.)
S_SAL SAL_ACTVT SHOW_LOG (Utvärdera den filbaserade loggen)
S_USER_GRP KLASS SUPER
S_USER_GRP ACTVT Skärm
S_USER_GRP KLASS SUPER
S_USER_GRP ACTVT Lås
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD GRÄNSSNITT XAL
Användardata
S_TABU_NAM TABELL ADCP
S_TABU_NAM TABELL ADR6
S_TABU_NAM TABELL AGR_1251
S_TABU_NAM TABELL AGR_AGRS
S_TABU_NAM TABELL AGR_DEFINE
S_TABU_NAM TABELL AGR_FLAGS
S_TABU_NAM TABELL AGR_PROF
S_TABU_NAM TABELL AGR_TCODES
S_TABU_NAM TABELL AGR_USERS
S_TABU_NAM TABELL DEVACCESS
S_TABU_NAM TABELL USER_ADDR
S_TABU_NAM TABELL USGRP_USER
S_TABU_NAM TABELL USR01
S_TABU_NAM TABELL USR02
S_TABU_NAM TABELL USR05
S_TABU_NAM TABELL USR21
S_TABU_NAM TABELL USRSTAMP
S_TABU_NAM TABELL UST04
Konfigurationshistorik
S_TABU_NAM TABELL PAHI
SNC-data
S_TABU_NAM TABELL SNCSYSACL
S_TABU_NAM TABELL USRACL
Åtgärder för att åtgärda angreppsstörningar
S_RFC RFC_TYPE Funktionsmodul
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
Till skillnad från dess namn tar den här funktionen inte bort användare, men avslutar den aktiva användarsessionen.
S_USER_GRP KLASS *
Vi rekommenderar att du ersätter S_USER_GRP CLASS med relevanta klasser i din organisation som representerar dialoganvändare.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

Om det behövs kan du ta bort användarrollen och den valfria CR som är installerad i ABAP-systemet.

Distribuera valfria CRs

I det här avsnittet beskrivs en stegvis guide för att distribuera extra, valfria CR:er. Den är avsedd för SOC-tekniker eller implementerare som kanske inte nödvändigtvis är SAP-experter.

Erfarna SAP-administratörer som är bekanta med CR-distributionsprocessen kanske föredrar att hämta lämpliga certifikatutfärdare direkt från avsnittet sap-miljövalideringssteg i guiden och distribuera dem.

Vi rekommenderar starkt att du distribuerar SAP CRs av en erfaren SAP-systemadministratör.

I följande tabell beskrivs de valfria CR:erna som är tillgängliga för distribution:

CR beskrivning
NPLK900271 Skapar och konfigurerar en exempelroll med de grundläggande auktoriseringar som krävs för att sap-dataanslutningen ska kunna ansluta till ditt SAP-system. Du kan också läsa in auktoriseringar direkt från en fil eller manuellt definiera rollen enligt de loggar som du vill mata in.

Mer information finns i Nödvändiga ABAP-auktoriseringar och Skapa och konfigurera en roll (krävs)..
NPLK900201 eller NPLK900202 Hämtar ytterligare information från SAP. Välj en av dessa CRs enligt din SAP-version.

Förutsättningar för att distribuera CRs

  1. Kontrollera att du har kopierat information om SAP-systemversionen, system-ID (SID), systemnummer, klientnummer, IP-adress, administrativt användarnamn och lösenord innan du påbörjar distributionsprocessen. I följande exempel antas följande information:

    • SAP-systemversion:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • Systemnummer:00
    • Klientnummer:001
    • IP-adress192.168.136.4:
    • Administratörsanvändare:a4hadmSSH-anslutningen till SAP-systemet upprättas dock med root användarautentiseringsuppgifter.

  2. Kontrollera att du vet vilken CR du vill distribuera.

  3. Om du distribuerar NPLK900202 CR för att hämta ytterligare information kontrollerar du att du har installerat relevant SAP-anteckning.

Konfigurera filerna

  1. Logga in på SAP-systemet med hjälp av SSH.

  2. Överför CR-filerna till SAP-systemet eller ladda ned filerna direkt till SAP-systemet från SSH-prompten. Använd följande kommandon:

    • Ladda ned NPLK900271

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      Du kan också läsa in dessa auktoriseringar direkt från en fil.

    • Ladda ned NPLK900202

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • Ladda ned NPLK900201

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    Varje cr består av två filer, en som börjar med K och en med R.

  3. Ändra ägarskapet för filerna till användar-adm och grupp-sapsys.<sid> (Ersätt ditt SAP-system-ID med <sid>.)

    chown <sid>adm:sapsys *.NPL

    I vårt exempel:

    chown a4hadm:sapsys *.NPL

  4. Kopiera cofiles (de som börjar med K) till /usr/sap/trans/cofiles mappen. Behåll behörigheterna vid kopiering med hjälp av cp kommandot med växeln -p .

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. Kopiera datafilerna (de som börjar med R) till /usr/sap/trans/data mappen. Behåll behörigheterna vid kopiering med hjälp av cp kommandot med växeln -p .

    cp -p R*.NPL /usr/sap/trans/data/

Importera cd-skivorna

  1. Starta SAP-inloggningsprogrammet och logga in på SAP GUI-konsolen.

  2. Kör STMS_IMPORT transaktion:

    På skärmen ENKEL ÅTKOMST FÖR SAP anger du STMS_IMPORT i fältet i det övre vänstra hörnet på skärmen och trycker sedan på RETUR.

    Skärmbild av körning av STMS-importtransaktionen.

  3. I fönstret Importera kö som visas väljer du Fler > extrafunktioner > Andra begäranden > lägg till.

    Skärmbild av att lägga till en importkö.

  4. I popup-fönstret Lägg till transportbegäranden för att importera kö som visas väljer du fältet Transp. Begäran.

  5. Fönstret Transportbegäranden visas och visar en lista över tillgängliga CR:er som ska distribueras. Välj en CR och välj den gröna bockmarkeringsknappen.

  6. I fönstret Lägg till transportbegäran till importkö väljer du Fortsätt (den gröna bockmarkeringen) eller trycker på RETUR.

  7. I dialogrutan Lägg till bekräftelse av transportbegäran väljer du Ja.

  8. Om du planerar att distribuera fler CR:er upprepar du proceduren i de föregående fem stegen för de återstående CR:erna.

  9. I fönstret Importkö väljer du relevant transportbegäran en gång och väljer sedan ikonen F9 eller Välj/Avmarkera begäran .

  10. Om du har återstående transportbegäranden att lägga till i distributionen upprepar du steg 9.

  11. Välj ikonen Importera begäranden:

    Skärmbild av import av alla begäranden.

  12. I fönstret Starta import väljer du fältet Målklient .

  13. Dialogrutan Indatahjälp.. visas. Välj numret på den klient som du vill distribuera de virtuella databaserna till (001 i vårt exempel) och markera sedan den gröna bockmarkeringen för att bekräfta.

  14. I fönstret Starta import väljer du fliken Alternativ , markerar kryssrutan Ignorera ogiltig komponentversion och markerar den gröna bockmarkeringen för att bekräfta.

    Skärmbild av startimportfönstret.

  15. I dialogrutan Starta importbekräftelse väljer du Ja för att bekräfta importen.

  16. I fönstret Importkö väljer du Uppdatera, väntar tills importåtgärden har slutförts och importkön visas som tom.

  17. Om du vill granska importstatusen väljer du Mer > gå till > importhistorik i fönstret Importkö.

    Skärmbild av importhistorik.

  18. Om du distribuerade NPLK900202 CR förväntas den visa en varning. Välj posten för att kontrollera att varningarna som visas är av typen "Tabellnamn <> har aktiverats".

    CR:erna och versionerna i följande skärmbilder kan ändras beroende på din installerade CR-version.

    Skärmbild av visning av importstatus.

    Skärmbild av visning av importvarningsmeddelande.

Kontrollera att PAHI-tabellen (historik för system-, databas- och SAP-parametrar) uppdateras med jämna mellanrum

SAP PAHI-tabellen innehåller data om historiken för SAP-systemet, databasen och SAP-parametrarna. I vissa fall kan Microsoft Sentinel-lösningen för SAP-program® inte övervaka SAP PAHI-tabellen med jämna mellanrum på grund av att konfigurationen saknas eller är felaktig (se SAP-anteckningen med mer information om det här problemet). Det är viktigt att uppdatera PAHI-tabellen och övervaka den ofta, så att Microsoft Sentinel-lösningen för SAP-program® kan avisera om misstänkta åtgärder som kan inträffa när som helst under dagen.

Läs mer om hur Microsoft Sentinel-lösningen för SAP-program® övervakar misstänkta konfigurationsändringar i säkerhetsparametrar.

Kommentar

För optimala resultat aktiverar du både parametrarna PAHI_FULL och PAHI_INCREMENTAL i datorns systemconfig.ini-fil under [ABAP Table Selector] avsnittet .

Så här kontrollerar du att PAHI-tabellen uppdateras med jämna mellanrum:

  1. Kontrollera om SAP_COLLECTOR_FOR_PERFMONITOR jobbet, baserat på RSCOLL00 program, schemaläggs och körs per timme av DDIC-användaren i 000-klienten.
  2. Kontrollera om rapportnamnen RSHOSTPHoch RSSTATPHRSDB_PAR underhålls i TCOLL-tabellen.
    • RSHOSTPH rapport: Läser operativsystemets kernelparametrar och lagrar dessa data i PAHI-tabellen.
    • RSSTATPH rapport: Läser SAP-profilparametrarna och lagrar dessa data i PAHI-tabellen.
    • RSDB_PAR rapport: Läser databasparametrarna och lagrar dem i PAHI-tabellen.

Om jobbet finns och är korrekt konfigurerat krävs inga ytterligare steg.

Om jobbet inte finns:

  1. Logga in på DITT SAP-system i 000-klienten.

  2. Kör SM36-transaktionen.

  3. Under Jobbnamn skriver du SAP_COLLECTOR_FOR_PERFMONITOR.

    Skärmbild av att lägga till jobbet som används för att övervaka SAP PAHI-tabellen.

  4. Välj Steg och fyll i den här informationen:

    • Under Användare skriver du DDIC.
    • Under ABAP-programnamn skriver du RSCOLL00.

  5. Spara konfigurationen.

    Skärmbild av hur du definierar en användare för det jobb som används för att övervaka SAP PAHI-tabellen.

  6. Välj F3 för att gå tillbaka till föregående skärm.

  7. Välj Startvillkor för att definiera startvillkoret.

  8. Välj Omedelbar och markera kryssrutan Periodiskt jobb .

    Skärmbild av hur du definierar det jobb som används för att övervaka SAP PAHI-tabellen som periodiskt.

  9. Välj Periodvärden och välj Varje timme.

  10. Välj Spara i dialogrutan och välj sedan Spara längst ned.

    Skärmbild av hur du definierar det jobb som används för att övervaka SAP PAHI-tabellen per timme.

  11. Om du vill släppa jobbet väljer du Spara överst.

    Skärmbild av att släppa jobbet som används för att övervaka SAP PAHI-tabellen per timme.

Nästa steg

Din SAP-miljö är nu helt förberedd för att distribuera en dataanslutningsagent. En roll och profil etableras, ett användarkonto skapas och tilldelas relevant rollprofil och CR:er distribueras efter behov för din miljö.

Nu är du redo att aktivera och konfigurera SAP-granskning för Microsoft Sentinel.

Aktivera och konfigurera SAP-granskning för Microsoft Sentinel