Microsoft Sentinel SAP veri bağlayıcısını SNC ile dağıtma

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Bu makalede, NetWeaver/ABAP Interface tabanlı Günlükler için güvenli ağ Iletişimleri (SNC) aracılığıyla SAP ile güvenli bir bağlantınız olduğunda Microsoft Sentinel SAP veri bağlayıcısının nasıl dağıtılacağı açıklanır.

Not

Microsoft Sentinel SAP veri bağlayıcısını dağıtmaya yönelik varsayılan ve önerilen işlem, bir Azure VMkullanmaktır. Bu makale, gelişmiş kullanıcılara yöneliktir.

Önemli

Microsoft Sentinel SAP çözümü Şu anda ÖNIZLEME aşamasındadır. Azure önizleme ek koşulları , Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek yasal koşulları içerir.

Önkoşullar

Microsoft Sentinel SAP veri bağlayıcınızı dağıtmaya yönelik temel Önkoşullar, dağıtım yönteminiz ne olursa olsun aynıdır.

Başlamadan önce sisteminizin ana sap veri Bağlayıcısı dağıtım yordamında belgelenen önkoşullara uyduğundan emin olun.

SNC ile çalışmaya yönelik diğer Önkoşullar şunlardır:

  • SNC Ile SAP bağlantısı güvenli. Bağlanmakta olduğunuz AS ABAP sistemine yönelik depo sabitlerinde bağlantıya özgü SNC parametrelerini tanımlayın. Daha fazla bilgi için bkz. ilgili SAP Community Wiki sayfası.

  • SAP hizmeti marketi 'nden indirilen SAPCAR yardımcı programı. Daha fazla bilgi için bkz. SAP Yükleme Kılavuzu

Daha fazla bilgi için bkz. Microsoft SENTINEL SAP çözümü AYRıNTıLı SAP gereksinimleri (Genel Önizleme).

Azure anahtar kasanızı oluşturma

Microsoft Sentinel SAP veri bağlayıcınızı ayırabilmeniz için bir Azure Anahtar Kasası oluşturun.

Azure anahtar kasanızı oluşturmak ve bir Azure Hizmet sorumlusuna erişim vermek için aşağıdaki komutu çalıştırın:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file

az ad sp create-for-rbac –name $spname --role Contributor

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp

# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Daha fazla bilgi için bkz. hızlı başlangıç: Azure CLI kullanarak bir Anahtar Kasası oluşturma.

Azure Key Vault gizli dizileri ekleme

Azure Key Vault gizli dizileri eklemek için, kendi sistem KIMLIĞINIZLE ve eklemek istediğiniz kimlik bilgileriyle aşağıdaki betiği çalıştırın:

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOG_WS_ID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOG_WS_PUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Daha fazla bilgi için, az keykasasecret CLI belgelerine bakın.

SAP veri bağlayıcısını dağıtma

Bu yordamda, SNC aracılığıyla bağlanılırken bir VM 'de SAP veri bağlayıcısının nasıl dağıtılacağı açıklanmaktadır.

SAP kimlik bilgilerinizlehazır bir Anahtar Kasası olduktan sonra bu yordamı gerçekleştirmenizi öneririz.

Sap veri bağlayıcısını dağıtmak için:

  1. Veri bağlayıcı sanal makinenizde, SAP Launchpad sitesindenSAP NW RFC SDK > > SAP NW RFC SDK 7,50 > nwrfc750X_X-xxxxxxx.zip en son SAP NW RFC SDK 'sını indirin.

    Not

    SDK 'ya erişebilmeniz için SAP Kullanıcı oturum açma bilgilerinizin olması gerekir ve işletim sisteminizle eşleşen SDK 'Yı indirmeniz gerekir.

    X86_64 seçeneğinde LINUX ' u seçtiğinizden emin olun.

  2. Anlamlı bir ada sahip yeni bir klasör oluşturun ve SDK ZIP dosyasını yeni klasörünüze kopyalayın.

  3. veri bağlayıcı sanal makinenize microsoft sentinel çözümünü GitHub kopyalayın ve microsoft sentinel SAP çözüm systemconfig.ini dosyasını yeni klasörünüze kopyalayın.

    Örnek:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
    cd /home/$(pwd)/sapcon/<sap-sid>/
    wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini
    cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
    
  4. Katıştırılmış açıklamaları kılavuz olarak kullanarak systemconfig.ini dosyasını gerektiği gibi düzenleyin.

    Anahtar Kasası gizli dizileri hariç tüm konfigürasyonları düzenlemeniz gerekir. Daha fazla bilgi için bkz. sap veri bağlayıcısını el ile yapılandırma.

  5. systemconfig.ini dosyadaki yönergeleri kullanarak Microsoft Sentinel 'e almak istediğiniz günlükleri tanımlayın.

    Örneğin, bkz. Microsoft Sentinel 'e GÖNDERILEN SAP günlüklerini tanımlama.

    Not

    SNC iletişimleri için ilgili Günlükler yalnızca NetWeaver/ABAP arabirimi aracılığıyla alınan günlüklerdir. SAP denetimi ve HANA günlükleri SNC için kapsam dışında.

  6. systemconfig.ini dosyasındaki yönergeleri kullanarak aşağıdaki konfigürasyonları tanımlayın:

    • Denetim günlüklerine Kullanıcı e-posta adresleri eklenip eklenmeyeceğini belirtir
    • Başarısız API çağrılarının yeniden denenip denenmeyeceğini belirtir
    • Cexal denetim günlüklerinin eklenip eklenmeyeceğini belirtir
    • Özellikle de büyük Dışlamalar için, verilerin dışlamaları arasında zaman aralığının beklenip beklenmeyeceğini belirtir

    Daha fazla bilgi için bkz. Sal logs bağlayıcı yapılandırması.

  7. Güncelleştirilmiş systemconfig.ini Dosyanızı sanal makinenizde sapcon dizinine kaydedin.

  8. Önceden tanımlanmış Docker görüntüsünü, SAP Data Connector yüklü olarak indirip çalıştırın. Çalıştır:

    docker pull docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    docker create -v $(pwd):/sapcon-app/sapcon/config/system -v /home/azureuser /sap/sec:/sapcon-app/sec --env SCUDIR=/sapcon-app/sec --name sapcon-snc mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    

Dağıtım sonrası SAP sistem yordamları

SAP veri bağlayıcınızı dağıttıktan sonra, aşağıdaki SAP sistem yordamlarını gerçekleştirin:

  1. SAP hizmeti Market > yazılım indirmelerinde SAP şifreleme kitaplığını indirin > indirme kataloğu > SAP şifreleme yazılımımızı inceleyin.

    Daha fazla bilgi için bkz. SAP Yükleme Kılavuzu.

  2. SAPCAR yardımcı programını kullanarak kitaplık dosyalarını ayıklayın ve bunları dizininde SAP veri bağlayıcı sanal makinenize dağıtın <sec> .

  3. Kitaplık dosyalarını çalıştırma izninizin olduğunu doğrulayın.

  4. Dizinde tam yolun bir değeri ile Secudir adlı bir ortam değişkeni tanımlayın <sec> .

  5. Kişisel güvenlik ortamı oluşturma (PSE). Sapgenspe komut satırı aracı, <sec> dizininizde SAP Data Connector sanal makinenizde kullanılabilir.

    Örnek:

    ./sapgenpse get_pse -p my_pse.pse -noreq -x my_pin "CN=sapcon.com, O=my_company, C=IL"
    

    Daha fazla bilgi için bkz. SAP belgelerinde kişisel güvenlik ortamı oluşturma .

  6. PSE için kimlik bilgileri oluşturun. Örnek:

    ./sapgenpse seclogin -p my_pse.pse -x my_pin -O MXDispatcher_Service_User
    

    Daha fazla bilgi için bkz. SAP belgelerinde kimlik bilgileri oluşturma .

  7. kimlik merkezi ve AS ABAP 'in snc PSE arasındaki sertifikaları Public-Key Exchange.

    Örneğin, kimlik merkezi 'nin Public-Key sertifikasını dışarı aktarmak için şunu çalıştırın:

    ./sapgenpse export_own_cert -o my_cert.crt -p my_pse.pse -x abcpin
    

    Sertifikayı AS ABAP SNC PSE olarak içeri aktarın, PSE 'den dışarı aktarın ve ardından kimlik merkezine geri alın.

    Örneğin, sertifikayı kimlik merkezine aktarmak için şunu çalıştırın:

    ./sapgenpse maintain_pk -a full_path/my_secure_dir/my_exported_cert.crt -p my_pse.pse -x my_pin
    

    Daha fazla bilgi için bkz. SAP belgelerindeki Public-Key sertifikalarını değiştirme .

SAP Data Connector yapılandırmasını düzenleme

  1. SAP Data Connector sanal makinenizde systemconfig.ini dosyasına gidin ve ilgili değerlerle aşağıdaki parametreleri tanımlayın:

    [Secrets Source]
    secrets = AZURE_KEY_VAULT
    
  2. Azure Anahtar Kasanızdaaşağıdaki gizli dizileri oluşturun:

    • <Interprefix>-ABAPSNCPARTNERNAME, burada değeri <Relevant DN details>
    • <Interprefix>-ABAPSNCLIB, burada değeri <lib_Path>
    • <Interprefix>-ABAPX509CERT, burada değeri <Certificate_Code>)

    Örnek:

    S4H-ABAPSNCPARTNERNAME  =  'p:CN=help.sap.com, O=SAP_SE, C=IL' (Relevant DN)
    S4H-ABAPSNCLIB = 'home/user/sec-dir' (Relevant directory)
    S4H-ABAPX509CERT = 'MIIDJjCCAtCgAwIBAgIBNzA ... NgalgcTJf3iUjZ1e5Iv5PLKO' (Relevant certificate code)
    

    Not

    Varsayılan olarak, <Interprefix> değeri A4H-<ABAPSNCPARTNERNAME> .

Gizli dizileri doğrudan yapılandırma dosyasına giriyorsanız, parametreleri aşağıdaki gibi tanımlayın:

[Secrets Source]
secrets = DOCKER_FIXED
[ABAP Central Instance]
snc_partnername =  <Relevant_DN_Deatils>
snc_lib =  <lib_Path>
x509cert = <Certificate_Code>
For example:
snc_partnername =  p:CN=help.sap.com, O=SAP_SE, C=IL (Relevant DN)
snc_lib = /sapcon-app/sec/libsapcrypto.so (Relevant directory)
x509cert = MIIDJjCCAtCgAwIBAgIBNzA ... NgalgcTJf3iUjZ1e5Iv5PLKO (Relevant certificate code)

Kullanıcı için SNC parametrelerini iliştirme

  1. SAP Data Connector sanal makinenizde, SM30 işlemi çağırın ve tabloyu korumayı seçin USRACLEXT .

  2. Yeni bir giriş ekleyin. Kullanıcı ALANıNA, ABAP sistemine bağlanmak için kullanılan iletişim kullanıcısını girin.

  3. İstendiğinde SNC adını girin. SNC adı, Identity Manager PSE oluşturduğunuzda belirtilen benzersiz, ayırt edici addır. Örnek: CN=IDM, OU=SAP, C=DE

    pSNC adından önce bir eklediğinizden emin olun. Örneğin: p:CN=IDM, OU=SAP, C=DE.

  4. Kaydet’i seçin.

SNC, veri bağlayıcı VM 'niz üzerinde etkin.

SAP veri bağlayıcısını etkinleştirme

Bu yordamda, bu makalede daha önce bahsedilen yordamları kullanarak, oluşturduğunuz güvenli SNC bağlantısını kullanarak SAP veri bağlayıcısının nasıl etkinleştirileceği açıklanır.

  1. Docker görüntüsünü etkinleştirin:

    docker start sapcon-<SID>
    
  2. Bağlantıyı denetleyin. Çalıştır:

    docker logs sapcon-<SID>
    
  3. Bağlantı başarısız olursa, sorunu anlamak için günlükleri kullanın.

    Gerekirse Docker görüntüsünü devre dışı bırakın:

    docker stop sapcon-<SID>
    

Örneğin, systemconfig.ini dosyasında veya Azure Anahtar Kasanızda bir yanlış yapılandırma veya SNC aracılığıyla güvenli bağlantı oluşturma adımlarının bir kısmı doğru şekilde çalıştırılmadığından sorunlar oluşabilir.

SNC aracılığıyla güvenli bir bağlantı yapılandırmak için yukarıdaki adımları yeniden gerçekleştirmeyi deneyin. Daha fazla bilgi için bkz. Microsoft SENTINEL sap çözüm dağıtımında sorun giderme.

Sonraki adımlar

SAP veri bağlayıcınız etkinleştirildikten sonra Microsoft Sentinel - SAP için Sürekli Tehdit İzleme çözümünü dağıtarak devamlayın. Daha fazla bilgi için bkz. SAP güvenlik içeriğini dağıtma.

Çözümün dağıtımı, SAP veri bağlayıcının Microsoft Sentinel'de görüntülemesini sağlar ve SAP çalışma kitabı ile analiz kurallarını dağıtır. Bitirin, SAP izleme listelerinizi el ile ekleyin ve özelleştirin.

Daha fazla bilgi için bkz.