Uzman yapılandırma seçenekleri, şirket içi dağıtım ve SAPControl günlük kaynakları
Bu makalede, SAP veri bağlayıcısı için Microsoft Sentinel'in, kimlik bilgilerinizi depolamak için şirket içi makine ve Azure Key Vault kullanma gibi bir uzman veya özel işlemde nasıl dağıtılacağı açıklanmaktadır.
Not
SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtmak için varsayılan ve en çok önerilen işlem bir Azure VM kullanmaktır. Bu makale ileri düzey kullanıcılara yöneliktir.
Önkoşullar
SAP için Microsoft Sentinel veri bağlayıcınızı dağıtmak için temel önkoşullar, dağıtım yönteminizden bağımsız olarak aynıdır.
Başlamadan önce sisteminizin ana SAP veri bağlayıcısı önkoşulları belgesinde belirtilen önkoşullara uyduğunu doğrulayın.
Azure anahtar kasanızı oluşturma
SAP® uygulamaları veri bağlayıcısı için Microsoft Sentinel çözümünüze ayırabileceğiniz bir Azure anahtar kasası oluşturun.
Aşağıdaki komutu çalıştırarak Azure anahtar kasanızı oluşturun ve bir Azure hizmet sorumlusuna erişim verin:
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
Daha fazla bilgi için bkz . Hızlı Başlangıç: Azure CLI kullanarak anahtar kasası oluşturma.
Azure Key Vault gizli dizileri ekleme
Azure Key Vault gizli dizilerini eklemek için, kendi sistem kimliğiniz ve eklemek istediğiniz kimlik bilgileriyle aşağıdaki betiği çalıştırın:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Daha fazla bilgi için az keyvault secret CLI belgelerine bakın.
Uzman / özel yükleme gerçekleştirme
Bu yordamda, şirket içi yükleme gibi bir uzman veya özel yükleme kullanarak SAP veri bağlayıcısı için Microsoft Sentinel'in nasıl dağıtılacağı açıklanmaktadır.
SAP kimlik bilgilerinizle hazır bir anahtar kasasına sahip olduktan sonra bu yordamı gerçekleştirmenizi öneririz.
SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtmak için:
Şirket içi makinenizde SAP Launchpad sitesinden> sap NW RFC SDK SAPNW RFC> SDK7.50>nwrfc750X_X-xxxxxxx.zipen son SAP NW RFC SDK'sını indirin.
Not
SDK'ya erişmek için SAP kullanıcı oturum açma bilgilerinize ihtiyacınız olacak ve işletim sisteminizle eşleşen SDK'yı indirmeniz gerekir.
LINUX ON X86_64 seçeneğini belirlediğinizden emin olun.
Şirket içi makinenizde anlamlı bir adla yeni bir klasör oluşturun ve SDK zip dosyasını yeni klasörünüzde kopyalayın.
Microsoft Sentinel çözümü GitHub deposunu şirket içi makinenize kopyalayın ve SAP® uygulamaları için Microsoft Sentinel çözümü çözümü systemconfig.ini dosyasını yeni klasörünüzde kopyalayın.
Örnek:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Ekli açıklamaları kılavuz olarak kullanaraksystemconfig.inidosyasını gerektiği gibi düzenleyin. Daha fazla bilgi için bkz. SAP veri bağlayıcısı için Microsoft Sentinel'i el ile yapılandırma.
Yapılandırmanızı test etmek için kullanıcı ve parolayı doğrudan systemconfig.ini yapılandırma dosyasına eklemek isteyebilirsiniz. Kimlik bilgilerinizi depolamak için Azure Key Vault kullanmanızı öneririz ancak bir env.list dosyası, Docker gizli dizileri kullanabilir veya kimlik bilgilerinizi doğrudan systemconfig.ini dosyasına ekleyebilirsiniz.
systemconfig.ini dosyasındaki yönergeleri kullanarak Microsoft Sentinel'e almak istediğiniz günlükleri tanımlayın. Örneğin, bkz. Microsoft Sentinel'e gönderilen SAP günlüklerini tanımlama.
systemconfig.ini dosyasındaki yönergeleri kullanarak aşağıdaki yapılandırmaları tanımlayın:
- Denetim günlüklerine kullanıcı e-posta adreslerinin eklenip eklenmeyeceği
- Başarısız API çağrılarının yeniden denenip denenmeyeceği
- Cexal denetim günlüklerinin dahil edilip edilmeyeceği
- Özellikle büyük ayıklamalar için veri ayıklamalar arasında bir zaman aralığı beklenip beklenmeyeceği
Daha fazla bilgi için bkz. SAL günlükleri bağlayıcı yapılandırmaları.
Güncelleştirilmiş systemconfig.ini dosyanızı makinenizdeki sapcon dizinine kaydedin.
Kimlik bilgileriniz için bir env.list dosyası kullanmayı seçtiyseniz, gerekli kimlik bilgilerine sahip geçici bir env.list dosyası oluşturun. Docker kapsayıcınız doğru şekilde çalıştırıldıktan sonra bu dosyayı sildiğinizden emin olun.
Not
Aşağıdaki betikte belirli bir ABAP sistemine bağlanan her Docker kapsayıcısı vardır. Ortamınız için betiğinizi gerektiği gibi değiştirin.
Çalıştır:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################SAP veri bağlayıcısı yüklü olarak önceden tanımlanmış Docker görüntüsünü indirin ve çalıştırın. Çalıştır:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Docker kapsayıcısının doğru çalıştığını doğrulayın. Çalıştır:
docker logs –f sapcon-[SID]SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtmaya devam edin.
Çözümün dağıtılması, SAP veri bağlayıcısının Microsoft Sentinel'de görüntülenmesini sağlar ve SAP çalışma kitabı ile analiz kurallarını dağıtır. İşiniz bittiğinde SAP izleme listelerinizi el ile ekleyin ve özelleştirin.
Daha fazla bilgi için bkz . İçerik hub'ından SAP uygulamaları® için Microsoft Sentinel çözümünü dağıtma.
SAP veri bağlayıcısı için Microsoft Sentinel'i el ile yapılandırma
SAP veri bağlayıcısı için Microsoft Sentinel, dağıtım yordamının bir parçası olarak SAP veri bağlayıcısı makinenize kopyaladığınız systemconfig.ini dosyasında yapılandırılır.
Aşağıdaki kodda örnek bir systemconfig.ini dosyası gösterilmektedir:
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
Microsoft Sentinel'e gönderilen SAP günlüklerini tanımlama
Microsoft Sentinel'e gönderilen günlükleri tanımlamak üzere SAP® uygulamaları systemconfig.ini dosyası için Microsoft Sentinel çözümüne aşağıdaki kodu ekleyin.
Daha fazla bilgi için bkz. SAP® uygulamaları için Microsoft Sentinel çözümü çözüm günlükleri başvurusu (genel önizleme).
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
SAL, bağlayıcı ayarlarını günlüğe kaydeder
Microsoft Sentinel'e alınan SAP günlükleri için diğer ayarları tanımlamak üzere sap veri bağlayıcısı systemconfig.ini dosyasına aşağıdaki kodu ekleyin.
Daha fazla bilgi için bkz. Uzman / özel SAP veri bağlayıcısı yüklemesi gerçekleştirme.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
Bu bölüm aşağıdaki parametreleri yapılandırmanızı sağlar:
| Parametre adı | Açıklama |
|---|---|
| extractuseremail | Kullanıcı e-posta adreslerinin denetim günlüklerine eklenip eklenmeyeceğini belirler. |
| apiretry | API çağrılarının yük devretme mekanizması olarak yeniden denenip denenmeyeceğini belirler. |
| auditlogforcexal | Sistemin SAP BASIS sürüm 7.4 gibi SAL olmayan sistemler için denetim günlüklerinin kullanılmasını zorlayıp zorlamadığını belirler. |
| auditlogforcelegacyfiles | Sistemin, daha düşük düzeltme eki düzeylerine sahip SAP BASIS sürüm 7.4 gibi eski sistem özellikleriyle denetim günlüklerinin kullanılmasını zorlayıp zorlamadığını belirler. |
| timechunk | Sistemin veri ayıklamalar arasında belirli bir süre beklediğini belirler. Beklenen büyük miktarda veriniz varsa bu parametreyi kullanın. Örneğin, ilk 24 saatinizdeki ilk veri yükü sırasında, her veri ayıklamaya yeterli süre tanımak için veri ayıklama işleminin yalnızca 30 dakikada bir çalıştırılmasını isteyebilirsiniz. Böyle durumlarda bu değeri 30 olarak ayarlayın. |
ABAP SAP Denetim örneğini yapılandırma
Hem NW RFC hem de SAP Denetimi Web Hizmeti tabanlı günlükler de dahil olmak üzere tüm ABAP günlüklerini Microsoft Sentinel'e almak için aşağıdaki ABAP SAP Denetimi ayrıntılarını yapılandırın:
| Ayar | Açıklama |
|---|---|
| javaappserver | SAP Denetimi ABAP sunucu konağınızı girin. Örnek: contoso-erp.appserver.com |
| javainstance | SAP Denetimi ABAP örnek numaranızı girin. Örnek: 00 |
| abaptz | SAP Denetimi ABAP sunucunuzda yapılandırılmış saat dilimini GMT biçiminde girin. Örnek: GMT+3 |
| abapseverity | ABAP günlüklerini Microsoft Sentinel'e almak istediğiniz en düşük, kapsayıcı önem derecesini girin. Değerlere şunlar dahildir: - 0 = Tüm günlükler - 1 = Uyarı - 2 = Hata |
Java SAP Control örneğini yapılandırma
SAP Denetimi Web Hizmeti günlüklerini Microsoft Sentinel'e almak için aşağıdaki JAVA SAP Denetimi örneği ayrıntılarını yapılandırın:
| Parametre | Açıklama |
|---|---|
| javaappserver | SAP Denetimi Java sunucusu konağınızı girin. Örnek: contoso-java.server.com |
| javainstance | SAP Denetimi ABAP örnek numaranızı girin. Örnek: 10 |
| javatz | SAP Denetimi Java sunucunuzda yapılandırılmış saat dilimini GMT biçiminde girin. Örnek: GMT+3 |
| javaseverlik | Web Hizmeti günlüklerini Microsoft Sentinel'e almak istediğiniz en düşük, kapsayıcı önem düzeyini girin. Değerlere şunlar dahildir: - 0 = Tüm günlükler - 1 = Uyarı - 2 = Hata |
Kullanıcı Yöneticisi veri toplamayı yapılandırma
Kullanıcılarınız ve rol yetkilendirmeleriyle ilgili ayrıntıları içeren tabloları doğrudan SAP sisteminizden almak için ,systemconfig.ini dosyanızı her tablo için bir True/False deyimle yapılandırın.
Örnek:
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
Daha fazla bilgi için bkz. Doğrudan SAP sistemlerinden alınan tablolar.
Sonraki adımlar
SAP veri bağlayıcınızı yükledikten sonra SAP ile ilgili güvenlik içeriğini ekleyebilirsiniz.
Daha fazla bilgi için bkz . SAP çözümünü dağıtma.
Daha fazla bilgi için bkz.
- SNC ile SAP® uygulamaları veri bağlayıcısı için Microsoft Sentinel çözümünü dağıtma
- SAP sisteminizin durumunu izleme
- SAP® uygulamaları için Microsoft Sentinel çözümü ayrıntılı SAP gereksinimleri
- SAP® uygulamaları için Microsoft Sentinel çözümü günlük başvurusu
- SAP® uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu
- SAP® uygulamaları dağıtımı için Microsoft Sentinel çözümünüzün sorunlarını giderme