تكوين تخويلات SAP ونشر طلبات تغيير SAP الاختيارية
توضح هذه المقالة كيفية إعداد البيئة الخاصة بك لتثبيت عامل SAP بحيث يمكنه الاتصال بشكل صحيح بأنظمة SAP الخاصة بك. يتضمن التحضير تكوين تخويلات SAP المطلوبة، واختياريا، نشر طلبات تغيير SAP الإضافية (CRs).
- يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
مراحل التوزيع الرئيسية
تعقب رحلة توزيع حل SAP من خلال هذه السلسلة من المقالات:
العمل مع الحل عبر مساحات عمل متعددة (معاينة)
إعداد بيئة SAP (أنت هنا)
خطوات التوزيع الاختيارية
تكوين دور Microsoft Sentinel
تحميل أذونات الدور من ملف /MSFTSEN/SENTINEL_RESPONDER في GitHub.
يؤدي هذا إلى إنشاء دور /MSFTSEN/SENTINEL_RESPONDER ، والذي يتضمن جميع التخويلات المطلوبة لاسترداد السجلات من أنظمة SAP وتشغيل إجراءات الاستجابة لتعطل الهجوم.
بدلا من ذلك، قم بإنشاء دور يدويا باستخدام التخويلات ذات الصلة المطلوبة للسجلات التي تريد استيعابها. لمزيد من المعلومات، راجع تخويلات ABAP المطلوبة. تستخدم الأمثلة في هذا الإجراء اسم /MSFTSEN/SENTINEL_RESPONDER .
الخطوة التالية هي إنشاء ملف تعريف دور نشط لاستخدام Microsoft Sentinel. تشغيل معاملة PFCG :
في شاشة SAP Easy Access ، أدخل
PFCG
في الحقل في الزاوية العلوية اليمنى من الشاشة ثم اضغط على ENTER.في نافذة Role Maintenance، اكتب اسم الدور
/MSFTSEN/SENTINEL_RESPONDER
في حقل Role وحدد الزر Change (القلم الرصاص).في نافذة Change Roles التي تظهر، حدد علامة التبويب Authorizations.
في علامة التبويب Authorizations، حدد Change Authorization Data.
في النافذة المنبثقة Information، اقرأ الرسالة وحدد علامة الاختيار الخضراء للتأكيد.
في نافذة تغيير الدور : "التخويلات"، حدد Generate.
تأكد من أن حقل Status قد تغير من Unchanged إلى generated.
حدد Back (إلى يسار شعار SAP في أعلى الشاشة).
مرة أخرى في نافذة Change Roles، تحقق من أن علامة التبويب Authorizations تعرض مربعاً أخضر، ثم حدد Save.
أنشئ مجموعة
يتطلب حل Microsoft Sentinel لتطبيقات SAP® حساب مستخدم للاتصال بنظام SAP الخاص بك. استخدم الإرشادات التالية لإنشاء حساب مستخدم وتعيينه للدور الذي قمت بإنشائه في الخطوة السابقة.
في الأمثلة الموضحة هنا، نستخدم اسم الدور /MSFTSEN/SENTINEL_RESPONDER.
تشغيل معاملة SU01 :
في شاشة SAP Easy Access ، أدخل
SU01
في الحقل في الزاوية العلوية اليمنى من الشاشة واضغط على ENTER.في شاشة User Maintenance: Initial Screen، اكتب اسم المستخدم الجديد في حقل User وحدد Create Technical User من شريط الأزرار.
في شاشة Maintain Users، حدد System من القائمة المنسدلة User Type . أنشئ كلمة مرور معقدة وأدخلها في حقلي New PasswordوRepeat Password، ثم حدد علامة التبويب Roles.
في علامة التبويب Roles، في قسم Role Assignments، أدخل الاسم الكامل للدور -
/MSFTSEN/SENTINEL_RESPONDER
في مثالنا - واضغط على مفتاح الإدخال Enter.بعد الضغط على Enter، تحقق من أن الجانب الأيمن من قسم Role Assignments مليء بالبيانات، مثل Change Start Date.
حدد علامة التبويب Profiles، وتحقق من ظهور ملف تعريف للدور ضمن Assigned Authorization Profiles، وحدد Save.
أذونات ABAP المطلوبة
يسرد هذا القسم تخويلات ABAP المطلوبة للتأكد من أن حساب مستخدم SAP المستخدم بواسطة موصل بيانات SAP الخاص ب Microsoft Sentinel يمكنه استرداد السجلات بشكل صحيح من أنظمة SAP وتشغيل إجراءات الاستجابة لتعطل الهجوم.
يتم سرد التخويلات المطلوبة هنا حسب الغرض منها. تحتاج فقط إلى التخويلات المدرجة لأنواع السجلات التي تريد إحضارها إلى Microsoft Sentinel وإجراءات الاستجابة لتعطل الهجوم التي تريد تطبيقها.
تلميح
لإنشاء دور مع جميع التخويلات المطلوبة، قم بتحميل تخويلات الدور من ملف /MSFTSEN/SENTINEL_RESPONDER .
بدلا من ذلك، لتمكين استرداد السجل فقط، دون إجراءات استجابة تعطيل الهجوم، انشر SAP NPLK900271 CR على نظام SAP لإنشاء دور /MSFTSEN/SENTINEL_CONNECTOR، أو تحميل تخويلات الدور من ملف /MSFTSEN/SENTINEL_CONNECTOR.
إذا لزم الأمر، يمكنك إزالة دور المستخدم و CR الاختياري المثبت على نظام ABAP الخاص بك.
توزيع CRs الاختيارية
يقدم هذا القسم دليلا خطوة بخطوة لنشر CRs إضافية اختيارية. وهو مخصص لمهندسي SOC أو المنفذين الذين قد لا يكونوا بالضرورة خبراء SAP.
قد يفضل مسؤولو SAP ذوي الخبرة الذين هم على دراية بعملية توزيع CR الحصول على CRs المناسبة مباشرة من قسم خطوات التحقق من صحة بيئة SAP في الدليل ونشرها.
نوصي بشدة بأن يتم نشر SAP CRs من قبل مسؤول نظام SAP ذوي الخبرة.
يصف الجدول التالي CRs الاختيارية المتوفرة للنشر:
CR | الوصف |
---|---|
NPLK900271 | إنشاء وتكوين دور عينة مع التخويلات الأساسية المطلوبة للسماح لموصل بيانات SAP بالاتصال بنظام SAP الخاص بك. بدلا من ذلك، يمكنك تحميل التخويلات مباشرة من ملف أو تحديد الدور يدويا وفقا للسجلات التي تريد استيعابها. لمزيد من المعلومات، راجع تخويلات ABAP المطلوبة وإنشاء دور وتكوينه (مطلوب) . |
NPLK900201 أو NPLK900202 | استرداد معلومات إضافية من SAP. حدد أحد ال CRs هذه وفقا لإصدار SAP الخاص بك. |
المتطلبات الأساسية لنشر CRs
تأكد من نسخ تفاصيل إصدار نظام SAP ومعرف النظام (SID) ورقم النظام ورقم العميل وعنوان IP واسم المستخدم الإداري وكلمة المرور قبل بدء عملية النشر. على سبيل المثال التالي، يتم افتراض التفاصيل التالية:
- إصدار نظام SAP:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- رقم النظام:
00
- رقم العميل:
001
- عنوان IP:
192.168.136.4
- مستخدم المسؤول:
a4hadm
ومع ذلك، يتم إنشاء اتصال SSH بنظام SAP باستخدامroot
بيانات اعتماد المستخدم.
- إصدار نظام SAP:
تأكد من معرفة CR الذي تريد نشره.
إذا كنت تقوم بنشر NPLK900202 CR لاسترداد معلومات إضافية، فتأكد من تثبيت ملاحظة SAP ذات الصلة.
إعداد الملفات
تسجيل الدخول إلى نظام SAP باستخدام SSH.
نقل ملفات CR إلى نظام SAP أو تنزيل الملفات مباشرة إلى نظام SAP من موجه SSH. استخدم الأوامر التالية:
تنزيل NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
بدلا من ذلك، يمكنك تحميل هذه التخويلات مباشرة من ملف.
تنزيل NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
تنزيل NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
يتكون كل CR من ملفين، أحدهما يبدأ ب K والآخر ب R.
تغيير ملكية الملفات إلى مستخدم
<sid>
adm ومجموعة sapsys. (استبدل معرف نظام SAP الخاص بك بـ<sid>
.)chown <sid>adm:sapsys *.NPL
في مثالنا التالي:
chown a4hadm:sapsys *.NPL
انسخ ملفات الملفات المشتركة (التي تبدأ بـ K) إلى المجلد
/usr/sap/trans/cofiles
. الاحتفاظ بالأذونات أثناء النسخ، باستخدام الأمرcp
مع مفتاح التبديل-p
.cp -p K*.NPL /usr/sap/trans/cofiles/
انسخ ملفات البيانات (تلك التي تبدأ بـ R) إلى المجلد
/usr/sap/trans/data
. الاحتفاظ بالأذونات أثناء النسخ، باستخدام الأمرcp
مع مفتاح التبديل-p
.cp -p R*.NPL /usr/sap/trans/data/
استيراد CRs
قم بتشغيل تطبيق تسجيل الدخول إلى SAP وسجّل الدخول إلى وحدة تحكم SAP GUI.
تشغيل المعاملة STMS_IMPORT:
في شاشة SAP Easy Access ، أدخل
STMS_IMPORT
في الحقل في الزاوية العلوية اليمنى من الشاشة ثم اضغط على ENTER.في نافذة Import Queue التي تظهر، حدد More > Extras > Other Requests > Add.
في النافذة المنبثقة Add Transport Requests to Import Queue التي تظهر، حدد الحقل Transp. Request.
ستظهر نافذة Transport requests وتعرض قائمة ب CRs المتوفرة ليتم نشرها. حدد CR وحدد زر علامة الاختيار الخضراء.
مرة أخرى في نافذة Add Transport Request to Import Queue ، حدد Continue (علامة الاختيار الخضراء) أو اضغط ENTER.
في مربع الحوار Add Transport Request، حدد Yes.
إذا كنت تخطط لنشر المزيد من CRs، كرر الإجراء في الخطوات الخمس السابقة ل CRs المتبقية.
في نافذة Import Queue، حدد طلب النقل ذا الصلة مرة واحدة، ثم حدد F9 أو أيقونة Select/Deselect Request.
إذا كان لديك طلبات نقل متبقية لإضافتها إلى النشر، كرر الخطوة 9.
حدد أيقونة طلبات الاستيراد:
في نافذة Start Import، حدد حقل Target Client.
يظهر مربع الحوار تعليمات الإدخال. حدد رقم العميل الذي تريد نشر CRs إليه (
001
في مثالنا)، ثم حدد علامة الاختيار الخضراء للتأكيد.مرة أخرى في نافذة Start Import، حدد علامة التبويب Options، وضع علامة على خانة الاختيار Ignore Invalid Component Version، وحدد علامة الاختيار الخضراء للتأكيد.
في مربع الحوار Start import، حدد Yes لتأكيد الاستيراد.
مرة أخرى في نافذة Import Queue، حدد Refresh، وانتظر حتى تكتمل عملية الاستيراد وتظهر قائمة انتظار الاستيراد على أنها فارغة.
لمراجعة حالة الاستيراد، في نافذة Import Queue حدد More> الانتقال إلى > Import History.
إذا قمت بنشر NPLK900202 CR، فمن المتوقع أن يعرض تحذيرا. حدد الإدخال للتحقق من أن التحذيرات المعروضة من النوع "تم تنشيط <Table tablename>".
قد تتغير CRs والإصدارات في لقطات الشاشة التالية وفقا لإصدار CR المثبت.
تحقق من تحديث جدول PAHI (محفوظات معلمات النظام وقاعدة البيانات وSAP) على فترات منتظمة
يتضمن جدول SAP PAHI بيانات حول محفوظات نظام SAP وقاعدة البيانات ومعلمات SAP. في بعض الحالات، لا يمكن لحل Microsoft Sentinel لتطبيقات SAP® مراقبة جدول SAP PAHI على فترات منتظمة، بسبب التكوين المفقود أو الخاطئ (راجع ملاحظة SAP مع مزيد من التفاصيل حول هذه المشكلة). من المهم تحديث جدول PAHI ومراقبته بشكل متكرر، بحيث يمكن لحل Microsoft Sentinel لتطبيقات SAP® التنبيه بشأن الإجراءات المشبوهة التي قد تحدث في أي وقت على مدار اليوم.
تعرف على المزيد حول كيفية مراقبة حل Microsoft Sentinel لتطبيقات SAP® تغييرات التكوين المشبوهة لمعلمات الأمان.
إشعار
للحصول على أفضل النتائج، في ملف systemconfig.ini الخاص بجهازك، ضمن [ABAP Table Selector]
القسم ، قم بتمكين كل PAHI_FULL
من PAHI_INCREMENTAL
المعلمتين و.
للتحقق من تحديث جدول PAHI على فترات منتظمة:
- تحقق مما إذا كانت
SAP_COLLECTOR_FOR_PERFMONITOR
المهمة، استنادا إلى برنامج RSCOLL00، مجدولة وتشغيلها كل ساعة، من قبل مستخدم DDIC في عميل 000. - تحقق مما إذا كان
RSHOSTPH
RSSTATPH
يتم الاحتفاظ بأسماء التقارير وRSDB_PAR
في جدول TCOLL.RSHOSTPH
تقرير: يقرأ معلمات نواة نظام التشغيل ويخزن هذه البيانات في جدول PAHI.RSSTATPH
تقرير: يقرأ معلمات ملف تعريف SAP ويخزن هذه البيانات في جدول PAHI.RSDB_PAR
تقرير: يقرأ معلمات قاعدة البيانات ويخزنها في جدول PAHI.
إذا كانت المهمة موجودة وتم تكوينها بشكل صحيح، فلن تكون هناك حاجة إلى خطوات إضافية.
إذا لم تكن الوظيفة موجودة:
سجل الدخول إلى نظام SAP الخاص بك في عميل 000.
تنفيذ معاملة SM36.
ضمن اسم المهمة، اكتب SAP_COLLECTOR_FOR_PERFMONITOR.
حدد خطوة واملأ هذه المعلومات:
- ضمن المستخدم، اكتب DDIC.
- ضمن اسم برنامج ABAP، اكتب RSCOLL00.
احفظ التكوين.
حدد F3 للعودة إلى الشاشة السابقة.
حدد Start Condition لتعريف شرط البدء.
حدد فوري وحدد خانة الاختيار مهمة دورية.
حدد قيم الفترة وحدد كل ساعة.
حدد حفظ داخل مربع الحوار، ثم حدد حفظ في الأسفل.
لتحرير المهمة، حدد حفظ في الأعلى.
الخطوات التالية
بيئة SAP الخاصة بك جاهزة الآن بالكامل لنشر عامل موصل بيانات. يتم توفير دور وملف تعريف، ويتم إنشاء حساب مستخدم وتعيين ملف تعريف الدور ذي الصلة، ويتم نشر CRs حسب الحاجة للبيئة الخاصة بك.
الآن، أنت جاهز لتمكين وتكوين تدقيق SAP ل Microsoft Sentinel.