Expertkonfigurationsalternativ, lokal distribution och SAPControl-loggkällor
Den här artikeln beskriver hur du distribuerar Microsoft Sentinel för SAP-dataanslutningsappen i en expertprocess eller anpassad process, till exempel att använda en lokal dator och en Azure-Key Vault för att lagra dina autentiseringsuppgifter.
Anteckning
Den standardmässiga och mest rekommenderade processen för att distribuera Microsoft Sentinel för SAP-dataanslutningsappen är att använda en virtuell Azure-dator. Den här artikeln är avsedd för avancerade användare.
Förutsättningar
De grundläggande förutsättningarna för att distribuera din Microsoft Sentinel för SAP-dataanslutning är desamma oavsett distributionsmetod.
Kontrollera att systemet uppfyller kraven som beskrivs i dokumentet om förhandskrav för SAP-dataanslutningsappen innan du börjar.
Skapa ditt Azure-nyckelvalv
Skapa ett Azure-nyckelvalv som du kan använda till din Microsoft Sentinel-lösning för SAP-programdataanslutningsappen®.
Kör följande kommando för att skapa ditt Azure-nyckelvalv och bevilja åtkomst till azure-tjänstens huvudnamn:
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
Mer information finns i Snabbstart: Skapa ett nyckelvalv med Azure CLI.
Lägga till Azure Key Vault-hemligheter
Om du vill lägga till Azure Key Vault hemligheter kör du följande skript med ditt eget system-ID och de autentiseringsuppgifter som du vill lägga till:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Mer information finns i cli-dokumentationen az keyvault secret .
Utföra en expert-/anpassad installation
Den här proceduren beskriver hur du distribuerar Microsoft Sentinel för SAP-dataanslutningsappen med hjälp av en expert eller anpassad installation, till exempel när du installerar lokalt.
Vi rekommenderar att du utför den här proceduren när du har ett nyckelvalv klart med dina SAP-autentiseringsuppgifter.
Så här distribuerar du Microsoft Sentinel för SAP-dataanslutningsappen:
På din lokala dator laddar du ned den senaste SAP NW RFC SDK:n från SAP Launchpad-webbplatsen>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.
Anteckning
Du behöver inloggningsinformation för SAP-användare för att få åtkomst till SDK:et och du måste ladda ned SDK:et som matchar ditt operativsystem.
Se till att välja alternativet LINUX ON X86_64 .
På den lokala datorn skapar du en ny mapp med ett beskrivande namn och kopierar zip-filen SDK till den nya mappen.
Klona GitHub-lagringsplatsen för Microsoft Sentinel-lösningen till din lokala dator och kopiera Microsoft Sentinel-lösningen för SAP-programlösningen® systemconfig.ini filen till din nya mapp.
Ett exempel:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Redigera densystemconfig.ini filen efter behov med hjälp av inbäddade kommentarer som en guide. Mer information finns i Konfigurera Microsoft Sentinel för SAP-dataanslutningen manuellt.
Om du vill testa konfigurationen kanske du vill lägga till användaren och lösenordet direkt i systemconfig.ini konfigurationsfilen. Vi rekommenderar att du använder Azure Key Vault för att lagra dina autentiseringsuppgifter, men du kan också använda en env.list-fil , Docker-hemligheter eller lägga till dina autentiseringsuppgifter direkt i systemconfig.ini filen.
Definiera loggarna som du vill mata in i Microsoft Sentinel med hjälp av anvisningarna i systemconfig.ini-filen . Se till exempel Definiera DE SAP-loggar som skickas till Microsoft Sentinel.
Definiera följande konfigurationer med hjälp av anvisningarna i filensystemconfig.ini :
- Om användarens e-postadresser ska inkluderas i granskningsloggarna
- Om du vill försöka utföra misslyckade API-anrop igen
- Om cexal-granskningsloggar ska inkluderas
- Om du vill vänta ett tidsintervall mellan dataextraheringar, särskilt vid stora extraheringar
Mer information finns i KONFIGURATIONer av SAL-loggar för anslutningsappen.
Spara den uppdaterade systemconfig.ini-filen i sapcon-katalogen på datorn.
Om du har valt att använda en env.list-fil för dina autentiseringsuppgifter skapar du en temporär env.list-fil med de autentiseringsuppgifter som krävs. När Docker-containern körs korrekt måste du ta bort den här filen.
Anteckning
I följande skript finns varje Docker-container som ansluter till ett specifikt ABAP-system. Ändra skriptet efter behov för din miljö.
Kör följande:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Ladda ned och kör den fördefinierade Docker-avbildningen med SAP-dataanslutningsappen installerad. Kör följande:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Kontrollera att Docker-containern körs korrekt. Kör följande:
docker logs –f sapcon-[SID]Fortsätt med att distribuera Microsoft Sentinel-lösningen för SAP-program®.
Genom att distribuera lösningen kan SAP-dataanslutningsappen visas i Microsoft Sentinel och SAP-arbetsboken och analysreglerna distribueras. När du är klar lägger du till och anpassar dina SAP-visningslistor manuellt.
Mer information finns i Distribuera Microsoft Sentinel-lösningen för SAP-program® från innehållshubben.
Konfigurera Microsoft Sentinel för SAP-dataanslutningsappen manuellt
Microsoft Sentinel för SAP-dataanslutningsappen konfigureras i systemconfig.ini-filen , som du klonade till sap-dataanslutningsdatorn som en del av distributionsproceduren.
Följande kod visar ett exempel systemconfig.ini fil:
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
Definiera DE SAP-loggar som skickas till Microsoft Sentinel
Lägg till följande kod i Microsoft Sentinel-lösningen för SAP-program ®systemconfig.inifil för att definiera loggarna som skickas till Microsoft Sentinel.
Mer information finns i Referens för microsoft Sentinel-lösning för SAP-programlösningsloggar® (offentlig förhandsversion).
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
Inställningar för SAL-logganslutning
Lägg till följande kod i Microsoft Sentinel för SAP-dataanslutningsappensystemconfig.ini fil för att definiera andra inställningar för SAP-loggar som matas in i Microsoft Sentinel.
Mer information finns i Utföra en expert-/anpassad installation av SAP-dataanslutningsappen.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
I det här avsnittet kan du konfigurera följande parametrar:
| Parameternamn | Beskrivning |
|---|---|
| extractuseremail | Avgör om användarens e-postadresser ingår i granskningsloggarna. |
| apiretry | Avgör om API-anrop görs om som en redundansmekanism. |
| auditlogforcexal | Avgör om systemet tvingar användning av granskningsloggar för icke-SAL-system, till exempel SAP BASIS version 7.4. |
| auditlogforcelegacyfiles | Avgör om systemet tvingar användning av granskningsloggar med äldre systemfunktioner, till exempel från SAP BASIS version 7.4 med lägre korrigeringsnivåer. |
| timechunk | Avgör att systemet väntar ett visst antal minuter som ett intervall mellan extrahering av data. Använd den här parametern om du har en stor mängd data som förväntas. Under den första datainläsningen under de första 24 timmarna kanske du vill att dataextraheringen bara ska köras var 30:e minut för att ge varje dataextrahering tillräckligt med tid. I sådana fall anger du värdet till 30. |
Konfigurera en ABAP SAP-kontrollinstans
Om du vill mata in alla ABAP-loggar i Microsoft Sentinel, inklusive både NW RFC- och SAP Control Web Service-baserade loggar, konfigurerar du följande ABAP SAP-kontrollinformation:
| Inställning | Beskrivning |
|---|---|
| javaappserver | Ange SAP Control ABAP-servervärden. Exempelvis: contoso-erp.appserver.com |
| javainstance | Ange ditt SAP Control ABAP-instansnummer. Exempelvis: 00 |
| abaptz | Ange tidszonen som konfigurerats på SAP Control ABAP-servern i GMT-format. Exempelvis: GMT+3 |
| abapseverity | Ange den lägsta, inkluderande allvarlighetsgrad som du vill mata in ABAP-loggar för i Microsoft Sentinel. Exempel på värden: - 0 = Alla loggar - 1 = Varning - 2 = Fel |
Konfigurera en Java SAP Control-instans
Om du vill mata in SAP Control Web Service-loggar i Microsoft Sentinel konfigurerar du följande information om JAVA SAP Control-instansen:
| Parameter | Beskrivning |
|---|---|
| javaappserver | Ange din SAP Control Java-servervärd. Exempelvis: contoso-java.server.com |
| javainstance | Ange ditt SAP Control ABAP-instansnummer. Exempelvis: 10 |
| javatz | Ange tidszonen som konfigurerats på SAP Control Java-servern i GMT-format. Exempelvis: GMT+3 |
| javaseverity | Ange den lägsta, inkluderande allvarlighetsgrad som du vill mata in webbtjänstloggar för i Microsoft Sentinel. Exempel på värden: - 0 = Alla loggar - 1 = Varning - 2 = Fel |
Konfigurera insamling av användarhuvuddata
Om du vill mata in tabeller direkt från SAP-systemet med information om dina användare och rollauktoriseringar konfigurerar du dinsystemconfig.ini-fil med en True/False -instruktion för varje tabell.
Ett exempel:
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
Mer information finns i Tabeller som hämtats direkt från SAP-system.
Nästa steg
När du har installerat SAP-dataanslutningsappen kan du lägga till DET SAP-relaterade säkerhetsinnehållet.
Mer information finns i Distribuera SAP-lösningen.
Mer information finns i:
- Distribuera Microsoft Sentinel-lösningen för SAP-programdataanslutningsappen® med SNC
- Övervaka hälsotillståndet för ditt SAP-system
- Detaljerade SAP-krav för Microsoft Sentinel-lösning för SAP-program®
- Loggreferens för Microsoft Sentinel-lösning för SAP-program®
- Microsoft Sentinel-lösning för SAP-program®: referens för säkerhetsinnehåll
- Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program®