تكوين تخويلات SAP ونشر طلبات تغيير SAP الاختيارية

توضح هذه المقالة كيفية إعداد البيئة الخاصة بك لتثبيت عامل SAP بحيث يمكنه الاتصال بشكل صحيح بأنظمة SAP الخاصة بك. يتضمن التحضير تكوين تخويلات SAP المطلوبة، واختياريا، نشر طلبات تغيير SAP الإضافية (CRs).

• يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

مراحل التوزيع الرئيسية

تعقب رحلة توزيع حل SAP من خلال هذه السلسلة من المقالات:

1. نظرة عامة على النشر

2. متطلبات النشر الأساسية

3. العمل مع الحل عبر مساحات عمل متعددة (معاينة)

4. إعداد بيئة SAP (أنت هنا)

5. تكوين التدقيق

6. نشر محتوى الحل من مركز المحتوى

7. توزيع عامل موصل البيانات

8. تكوين حل Microsoft Sentinel لتطبيقات SAP®

9. خطوات التوزيع الاختيارية

   • تكوين موصل بيانات لاستخدام SNC
   • جمع سجلات تدقيق SAP HANA
   • تكوين قواعد مراقبة سجل التدقيق
   • توزيع موصل SAP يدويا
   • تحديد ملفات تعريف استيعاب SAP

تكوين دور Microsoft Sentinel

1. تحميل أذونات الدور من ملف /MSFTSEN/SENTINEL_RESPONDER في GitHub.

   يؤدي هذا إلى إنشاء دور /MSFTSEN/SENTINEL_RESPONDER ، والذي يتضمن جميع التخويلات المطلوبة لاسترداد السجلات من أنظمة SAP وتشغيل إجراءات الاستجابة لتعطل الهجوم.

   بدلا من ذلك، قم بإنشاء دور يدويا باستخدام التخويلات ذات الصلة المطلوبة للسجلات التي تريد استيعابها. لمزيد من المعلومات، راجع تخويلات ABAP المطلوبة. تستخدم الأمثلة في هذا الإجراء اسم /MSFTSEN/SENTINEL_RESPONDER .

2. الخطوة التالية هي إنشاء ملف تعريف دور نشط لاستخدام Microsoft Sentinel. تشغيل معاملة PFCG :

   في شاشة SAP Easy Access ، أدخل PFCG في الحقل في الزاوية العلوية اليمنى من الشاشة ثم اضغط على ENTER.

3. في نافذة Role Maintenance، اكتب اسم الدور/MSFTSEN/SENTINEL_RESPONDER في حقل Role وحدد الزر Change (القلم الرصاص).

4. في نافذة Change Roles التي تظهر، حدد علامة التبويب Authorizations.

5. في علامة التبويب Authorizations، حدد Change Authorization Data.

6. في النافذة المنبثقة Information، اقرأ الرسالة وحدد علامة الاختيار الخضراء للتأكيد.

7. في نافذة تغيير الدور : "التخويلات"، حدد Generate.

   تأكد من أن حقل Status قد تغير من Unchanged إلى generated.

8. حدد Back (إلى يسار شعار SAP في أعلى الشاشة).

9. مرة أخرى في نافذة Change Roles، تحقق من أن علامة التبويب Authorizations تعرض مربعاً أخضر، ثم حدد Save.

أنشئ مجموعة

يتطلب حل Microsoft Sentinel لتطبيقات SAP® حساب مستخدم للاتصال بنظام SAP الخاص بك. استخدم الإرشادات التالية لإنشاء حساب مستخدم وتعيينه للدور الذي قمت بإنشائه في الخطوة السابقة.

في الأمثلة الموضحة هنا، نستخدم اسم الدور /MSFTSEN/SENTINEL_RESPONDER.

1. تشغيل معاملة SU01 :

   في شاشة SAP Easy Access ، أدخل SU01 في الحقل في الزاوية العلوية اليمنى من الشاشة واضغط على ENTER.

2. في شاشة User Maintenance: Initial Screen، اكتب اسم المستخدم الجديد في حقل User وحدد Create Technical User من شريط الأزرار.

3. في شاشة Maintain Users، حدد System من القائمة المنسدلة User Type . أنشئ كلمة مرور معقدة وأدخلها في حقلي New PasswordوRepeat Password، ثم حدد علامة التبويب Roles.

4. في علامة التبويب Roles، في قسم Role Assignments، أدخل الاسم الكامل للدور - /MSFTSEN/SENTINEL_RESPONDER في مثالنا - واضغط على مفتاح الإدخال Enter.

   بعد الضغط على Enter، تحقق من أن الجانب الأيمن من قسم Role Assignments مليء بالبيانات، مثل Change Start Date.

5. حدد علامة التبويب Profiles، وتحقق من ظهور ملف تعريف للدور ضمن Assigned Authorization Profiles، وحدد Save.

أذونات ABAP المطلوبة

يسرد هذا القسم تخويلات ABAP المطلوبة للتأكد من أن حساب مستخدم SAP المستخدم بواسطة موصل بيانات SAP الخاص ب Microsoft Sentinel يمكنه استرداد السجلات بشكل صحيح من أنظمة SAP وتشغيل إجراءات الاستجابة لتعطل الهجوم.

يتم سرد التخويلات المطلوبة هنا حسب الغرض منها. تحتاج فقط إلى التخويلات المدرجة لأنواع السجلات التي تريد إحضارها إلى Microsoft Sentinel وإجراءات الاستجابة لتعطل الهجوم التي تريد تطبيقها.

تلميح

لإنشاء دور مع جميع التخويلات المطلوبة، قم بتحميل تخويلات الدور من ملف /MSFTSEN/SENTINEL_RESPONDER .

بدلا من ذلك، لتمكين استرداد السجل فقط، دون إجراءات استجابة تعطيل الهجوم، انشر SAP NPLK900271 CR على نظام SAP لإنشاء دور /MSFTSEN/SENTINEL_CONNECTOR، أو تحميل تخويلات الدور من ملف /MSFTSEN/SENTINEL_CONNECTOR.

عنصر التخويل	الحقل	القيمة
كافة السجلات
S_RFC	RFC_TYPE	الوحدة النمطية للدالة
S_RFC	RFC_NAME	/OSP/SYSTEM_TIMEZONE
S_RFC	RFC_NAME	DDIF_FIELDINFO_GET
S_RFC	RFC_NAME	RFCPING
S_RFC	RFC_NAME	RFC_GET_FUNCTION_INTERFACE
S_RFC	RFC_NAME	RFC_READ_TABLE
S_RFC	RFC_NAME	RFC_SYSTEM_INFO
S_RFC	RFC_NAME	SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC	RFC_NAME	TH_SERVER_LIST
S_RFC	ACTVT	تنفيذ
S_TCODE	TCD	SM51
S_TABU_NAM	ACTVT	عرض
S_TABU_NAM	TABLE	T000
اختياري - فقط إذا تم تنفيذ CR لحل Sentinel
S_RFC	RFC_NAME	/MSFTSEN/*
سجل تطبيق ABAP
S_RFC	RFC_NAME	BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM	TABLE	BALHDR
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	الواجهة	XBP
S_APPL_LOG	ALG_OBJECT	*
S_APPL_LOG	ALG_SUBOBJ	*
S_APPL_LOG	ACTVT	عرض
سجل تغيير المستندات في ABAP
S_TABU_NAM	TABLE	CDHDR
S_TABU_NAM	TABLE	CDPOS
سجل ABAP CR
S_RFC	RFC_NAME	CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM	TABLE	E070
S_TRANSPRT	نوع TTYPE	*
S_TRANSPRT	ACTVT	عرض
سجل بيانات جدول ABAP DB
S_TABU_NAM	TABLE	DBTABLOG
S_TABU_NAM	TABLE	SACF_ALERT
S_TABU_NAM	TABLE	SOUD
S_TABU_NAM	TABLE	USR41
S_TABU_NAM	TABLE	TMSQAFILTER
سجل وظائف ABAP
S_RFC	RFC_NAME	BAPI_XBP_JOB_JOBLOG_READ
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM	TABLE	TBTCO
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	الواجهة	XBP
سجلات ABAP Spool
S_TABU_NAM	TABLE	TSP01
S_ADMI_FCD	S_ADMI_FCD	SPOS (استخدام المعاملات SP01 (جميع الأنظمة))
ABAP Workflow Log
S_TABU_NAM	TABLE	SWWLOGHIST
S_TABU_NAM	TABLE	SWWWIHEAD
سجل تدقيق أمان ABAP
S_RFC	RFC_NAME	BAPI_USER_GET_DETAIL
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETMLHIS
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETTREE
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC	RFC_NAME	BAPI_SYSTEM_MS_GETLIST
S_RFC	RFC_NAME	BAPI_SYSTEM_MON_GETLIST
S_RFC	RFC_NAME	BAPI_SYSTEM_MON_GETTREE
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC	RFC_NAME	BAPI_SYSTEM_MT_GETALERTDATA
S_RFC	RFC_NAME	BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD	S_ADMI_FCD	AUDD (مصادقة عرض تدقيق الأساس.)
S_SAL	SAL_ACTVT	SHOW_LOG (تقييم السجل المستند إلى الملف)
S_USER_GRP	CLASS	سوبر
S_USER_GRP	ACTVT	عرض
S_USER_GRP	CLASS	سوبر
S_USER_GRP	ACTVT	تأمين
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	الواجهة	XAL
بيانات المستخدم
S_TABU_NAM	TABLE	ADCP
S_TABU_NAM	TABLE	ADR6
S_TABU_NAM	TABLE	AGR_1251
S_TABU_NAM	TABLE	AGR_AGRS
S_TABU_NAM	TABLE	AGR_DEFINE
S_TABU_NAM	TABLE	AGR_FLAGS
S_TABU_NAM	TABLE	AGR_PROF
S_TABU_NAM	TABLE	AGR_TCODES
S_TABU_NAM	TABLE	AGR_USERS
S_TABU_NAM	TABLE	عمليات إلغاء الإلغاء
S_TABU_NAM	TABLE	USER_ADDR
S_TABU_NAM	TABLE	USGRP_USER
S_TABU_NAM	TABLE	USR01
S_TABU_NAM	TABLE	USR02
S_TABU_NAM	TABLE	USR05
S_TABU_NAM	TABLE	USR21
S_TABU_NAM	TABLE	USRSTAMP
S_TABU_NAM	TABLE	UST04
محفوظات التكوين
S_TABU_NAM	TABLE	PAHI
بيانات SNC
S_TABU_NAM	TABLE	SNCSYSACL
S_TABU_NAM	TABLE	USRACL
إجراءات الاستجابة لتعطل الهجوم
S_RFC	RFC_TYPE	الوحدة النمطية للدالة
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER على النقيض من اسمها، لا تحذف هذه الدالة المستخدمين، ولكنها تنهي جلسة عمل المستخدم النشط.
S_USER_GRP	CLASS	* نوصي باستبدال S_USER_GRP CLASS بالفئات ذات الصلة في مؤسستك التي تمثل مستخدمي مربع الحوار.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

إذا لزم الأمر، يمكنك إزالة دور المستخدم و CR الاختياري المثبت على نظام ABAP الخاص بك.

توزيع CRs الاختيارية

يقدم هذا القسم دليلا خطوة بخطوة لنشر CRs إضافية اختيارية. وهو مخصص لمهندسي SOC أو المنفذين الذين قد لا يكونوا بالضرورة خبراء SAP.

قد يفضل مسؤولو SAP ذوي الخبرة الذين هم على دراية بعملية توزيع CR الحصول على CRs المناسبة مباشرة من قسم خطوات التحقق من صحة بيئة SAP في الدليل ونشرها.

نوصي بشدة بأن يتم نشر SAP CRs من قبل مسؤول نظام SAP ذوي الخبرة.

يصف الجدول التالي CRs الاختيارية المتوفرة للنشر:

CR	‏‏الوصف
NPLK900271	إنشاء وتكوين دور عينة مع التخويلات الأساسية المطلوبة للسماح لموصل بيانات SAP بالاتصال بنظام SAP الخاص بك. بدلا من ذلك، يمكنك تحميل التخويلات مباشرة من ملف أو تحديد الدور يدويا وفقا للسجلات التي تريد استيعابها. لمزيد من المعلومات، راجع تخويلات ABAP المطلوبة وإنشاء دور وتكوينه (مطلوب) .
NPLK900201 أو NPLK900202	استرداد معلومات إضافية من SAP. حدد أحد ال CRs هذه وفقا لإصدار SAP الخاص بك.

المتطلبات الأساسية لنشر CRs

1. تأكد من نسخ تفاصيل إصدار نظام SAP ومعرف النظام (SID) ورقم النظام ورقم العميل وعنوان IP واسم المستخدم الإداري وكلمة المرور قبل بدء عملية النشر. على سبيل المثال التالي، يتم افتراض التفاصيل التالية:

   • إصدار نظام SAP:SAP ABAP Platform 1909 Developer edition
   • SID:A4H
   • رقم النظام:00
   • رقم العميل:001
   • عنوان IP:192.168.136.4
   • مستخدم المسؤول:a4hadm ومع ذلك، يتم إنشاء اتصال SSH بنظام SAP باستخدام root بيانات اعتماد المستخدم.

2. تأكد من معرفة CR الذي تريد نشره.

3. إذا كنت تقوم بنشر NPLK900202 CR لاسترداد معلومات إضافية، فتأكد من تثبيت ملاحظة SAP ذات الصلة.

إعداد الملفات

1. تسجيل الدخول إلى نظام SAP باستخدام SSH.

2. نقل ملفات CR إلى نظام SAP أو تنزيل الملفات مباشرة إلى نظام SAP من موجه SSH. استخدم الأوامر التالية:

   • تنزيل NPLK900271

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
     

     بدلا من ذلك، يمكنك تحميل هذه التخويلات مباشرة من ملف.

   • تنزيل NPLK900202

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
     

   • تنزيل NPLK900201

     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
     wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
     

   يتكون كل CR من ملفين، أحدهما يبدأ ب K والآخر ب R.

3. تغيير ملكية الملفات إلى مستخدم <sid>adm ومجموعة sapsys. (استبدل معرف نظام SAP الخاص بك بـ <sid>.)

   chown <sid>adm:sapsys *.NPL
   

   في مثالنا التالي:

   chown a4hadm:sapsys *.NPL
   

4. انسخ ملفات الملفات المشتركة (التي تبدأ بـ K) إلى المجلد /usr/sap/trans/cofiles. الاحتفاظ بالأذونات أثناء النسخ، باستخدام الأمرcp مع مفتاح التبديل -p.

   cp -p K*.NPL /usr/sap/trans/cofiles/
   

5. انسخ ملفات البيانات (تلك التي تبدأ بـ R) إلى المجلد /usr/sap/trans/data. الاحتفاظ بالأذونات أثناء النسخ، باستخدام الأمرcp مع مفتاح التبديل -p.

   cp -p R*.NPL /usr/sap/trans/data/
   

استيراد CRs

1. قم بتشغيل تطبيق تسجيل الدخول إلى SAP وسجّل الدخول إلى وحدة تحكم SAP GUI.

2. تشغيل المعاملة STMS_IMPORT:

   في شاشة SAP Easy Access ، أدخل STMS_IMPORT في الحقل في الزاوية العلوية اليمنى من الشاشة ثم اضغط على ENTER.

   

3. في نافذة Import Queue التي تظهر، حدد More > Extras > Other Requests > Add.

   

4. في النافذة المنبثقة Add Transport Requests to Import Queue التي تظهر، حدد الحقل Transp. Request.

5. ستظهر نافذة Transport requests وتعرض قائمة ب CRs المتوفرة ليتم نشرها. حدد CR وحدد زر علامة الاختيار الخضراء.

6. مرة أخرى في نافذة Add Transport Request to Import Queue ، حدد Continue (علامة الاختيار الخضراء) أو اضغط ENTER.

7. في مربع الحوار Add Transport Request، حدد Yes.

8. إذا كنت تخطط لنشر المزيد من CRs، كرر الإجراء في الخطوات الخمس السابقة ل CRs المتبقية.

9. في نافذة Import Queue، حدد طلب النقل ذا الصلة مرة واحدة، ثم حدد F9 أو أيقونة Select/Deselect Request.

10. إذا كان لديك طلبات نقل متبقية لإضافتها إلى النشر، كرر الخطوة 9.

11. حدد أيقونة طلبات الاستيراد:

    

12. في نافذة Start Import، حدد حقل Target Client.

13. يظهر مربع الحوار تعليمات الإدخال. حدد رقم العميل الذي تريد نشر CRs إليه (001 في مثالنا)، ثم حدد علامة الاختيار الخضراء للتأكيد.

14. مرة أخرى في نافذة Start Import، حدد علامة التبويب Options، وضع علامة على خانة الاختيار Ignore Invalid Component Version، وحدد علامة الاختيار الخضراء للتأكيد.

    

15. في مربع الحوار Start import، حدد Yes لتأكيد الاستيراد.

16. مرة أخرى في نافذة Import Queue، حدد Refresh، وانتظر حتى تكتمل عملية الاستيراد وتظهر قائمة انتظار الاستيراد على أنها فارغة.

17. لمراجعة حالة الاستيراد، في نافذة Import Queue حدد More> الانتقال إلى > Import History.

    

18. إذا قمت بنشر NPLK900202 CR، فمن المتوقع أن يعرض تحذيرا. حدد الإدخال للتحقق من أن التحذيرات المعروضة من النوع "تم تنشيط <Table tablename>".

    قد تتغير CRs والإصدارات في لقطات الشاشة التالية وفقا لإصدار CR المثبت.

    

    

تحقق من تحديث جدول PAHI (محفوظات معلمات النظام وقاعدة البيانات وSAP) على فترات منتظمة

يتضمن جدول SAP PAHI بيانات حول محفوظات نظام SAP وقاعدة البيانات ومعلمات SAP. في بعض الحالات، لا يمكن لحل Microsoft Sentinel لتطبيقات SAP® مراقبة جدول SAP PAHI على فترات منتظمة، بسبب التكوين المفقود أو الخاطئ (راجع ملاحظة SAP مع مزيد من التفاصيل حول هذه المشكلة). من المهم تحديث جدول PAHI ومراقبته بشكل متكرر، بحيث يمكن لحل Microsoft Sentinel لتطبيقات SAP® التنبيه بشأن الإجراءات المشبوهة التي قد تحدث في أي وقت على مدار اليوم.

تعرف على المزيد حول كيفية مراقبة حل Microsoft Sentinel لتطبيقات SAP® تغييرات التكوين المشبوهة لمعلمات الأمان.

إشعار

للحصول على أفضل النتائج، في ملف systemconfig.ini الخاص بجهازك، ضمن [ABAP Table Selector] القسم ، قم بتمكين كل PAHI_FULL من PAHI_INCREMENTAL المعلمتين و.

للتحقق من تحديث جدول PAHI على فترات منتظمة:

1. تحقق مما إذا كانت SAP_COLLECTOR_FOR_PERFMONITOR المهمة، استنادا إلى برنامج RSCOLL00، مجدولة وتشغيلها كل ساعة، من قبل مستخدم DDIC في عميل 000.
2. تحقق مما إذا كان RSHOSTPHRSSTATPH يتم الاحتفاظ بأسماء التقارير و RSDB_PAR في جدول TCOLL.
   • RSHOSTPH تقرير: يقرأ معلمات نواة نظام التشغيل ويخزن هذه البيانات في جدول PAHI.
   • RSSTATPH تقرير: يقرأ معلمات ملف تعريف SAP ويخزن هذه البيانات في جدول PAHI.
   • RSDB_PAR تقرير: يقرأ معلمات قاعدة البيانات ويخزنها في جدول PAHI.

إذا كانت المهمة موجودة وتم تكوينها بشكل صحيح، فلن تكون هناك حاجة إلى خطوات إضافية.

إذا لم تكن الوظيفة موجودة:

1. سجل الدخول إلى نظام SAP الخاص بك في عميل 000.

2. تنفيذ معاملة SM36.

3. ضمن اسم المهمة، اكتب SAP_COLLECTOR_FOR_PERFMONITOR.

   

4. حدد خطوة واملأ هذه المعلومات:

   • ضمن المستخدم، اكتب DDIC.
   • ضمن اسم برنامج ABAP، اكتب RSCOLL00.

5. احفظ التكوين.

   

6. حدد F3 للعودة إلى الشاشة السابقة.

7. حدد Start Condition لتعريف شرط البدء.

8. حدد فوري وحدد خانة الاختيار مهمة دورية.

   

9. حدد قيم الفترة وحدد كل ساعة.

10. حدد حفظ داخل مربع الحوار، ثم حدد حفظ في الأسفل.

    

11. لتحرير المهمة، حدد حفظ في الأعلى.

    

الخطوات التالية

بيئة SAP الخاصة بك جاهزة الآن بالكامل لنشر عامل موصل بيانات. يتم توفير دور وملف تعريف، ويتم إنشاء حساب مستخدم وتعيين ملف تعريف الدور ذي الصلة، ويتم نشر CRs حسب الحاجة للبيئة الخاصة بك.

الآن، أنت جاهز لتمكين وتكوين تدقيق SAP ل Microsoft Sentinel.

تمكين وتكوين تدقيق SAP ل Microsoft Sentinel