نشر Microsoft Sentinel لحاوية عامل موصل بيانات SAP مع خيارات الخبراء
توفر هذه المقالة إجراءات لنشر وتكوين Microsoft Sentinel لحاوية عامل موصل بيانات SAP مع خيارات التكوين الخبير أو المخصص أو اليدوي. بالنسبة إلى عمليات النشر النموذجية، نوصي باستخدام المدخل بدلا من ذلك.
المحتوى الوارد في هذه المقالة مخصص لفرق SAP BASIS . لمزيد من المعلومات، راجع نشر عامل موصل بيانات SAP من سطر الأوامر.
المتطلبات الأساسية
- تأكد من توافق نظامك مع المتطلبات الأساسية الموثقة في مستند المتطلبات الأساسية لموصل بيانات SAP الرئيسي قبل البدء.
إضافة أسرار Azure Key Vault لعامل موصل بيانات SAP يدويا
استخدم البرنامج النصي التالي لإضافة أسرار نظام SAP يدويا إلى مخزن المفاتيح الخاص بك. تأكد من استبدال العناصر النائبة بمعرف النظام الخاص بك وبيانات الاعتماد التي تريد إضافتها:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
لمزيد من المعلومات، راجع التشغيل السريع: إنشاء مخزن مفاتيح باستخدام Azure CLI ووثائق az keyvault secret CLI.
إجراء تثبيت خبير / مخصص
يصف هذا الإجراء كيفية نشر موصل بيانات Microsoft Sentinel ل SAP عبر CLI باستخدام خبير أو تثبيت مخصص، مثل عند التثبيت المحلي.
المتطلبات الأساسية: Azure Key Vault هو الأسلوب الموصى به لتخزين بيانات اعتماد المصادقة وبيانات التكوين. نوصي بتنفيذ هذا الإجراء فقط بعد أن يكون لديك مخزن مفاتيح جاهز مع بيانات اعتماد SAP الخاصة بك.
لنشر Microsoft Sentinel لموصل بيانات SAP:
قم بتنزيل أحدث SAP NW RFC SDK من موقع>SAP Launchpad SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip، واحفظه على جهاز عامل موصل البيانات.
إشعار
ستحتاج إلى معلومات تسجيل دخول مستخدمك لـ SAP للوصول إلى عدة تطوير البرامج ويجب عليك تنزيل عدة تطوير البرامج التي تطابق نظام تشغيلك.
تأكد من تحديد خيار LINUX ON X86_64.
على الجهاز نفسه، أنشئ مجلدا جديدا باسم ذي معنى، وانسخ ملف SDK المضغوط إلى مجلدك الجديد.
انسخ مستودع GitHub لحل Microsoft Sentinel على جهازك المحلي، وانسخ حل Microsoft Sentinel لحل تطبيقات SAP systemconfig.json الملف في مجلدك الجديد.
على سبيل المثال:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/قم بتحرير ملف systemconfig.json حسب الحاجة، باستخدام التعليقات المضمنة كدليل.
حدد التكوينات التالية باستخدام الإرشادات الموجودة في ملف systemconfig.json :
- السجلات التي تريد استيعابها في Microsoft Sentinel باستخدام الإرشادات الموجودة في ملف systemconfig.json .
- لتضمين عناوين البريد الإلكتروني للمستخدم في سجلات التدقيق
- لإعادة محاولة استدعاءات واجهة برمجة التطبيقات الفاشلة
- لتضمين سجلات تدقيق cexal
- لانتظار فاصلًا زمنيًا بين عمليات استخراج البيانات، خاصة فيما يتعلق بعمليات الاستخراج الكبيرة
لمزيد من المعلومات، راجع تكوين موصل بيانات Microsoft Sentinel يدويا ل SAP وتحديد سجلات SAP التي يتم إرسالها إلى Microsoft Sentinel.
لاختبار التكوين الخاص بك، قد تحتاج إلى إضافة المستخدم وكلمة المرور مباشرة إلى ملف التكوين systemconfig.json . بينما نوصي باستخدام Azure Key vault لتخزين بيانات الاعتماد الخاصة بك، يمكنك أيضا استخدام ملف env.list أو أسرار Docker أو يمكنك إضافة بيانات الاعتماد الخاصة بك مباشرة إلى ملف systemconfig.json .
للاطلاع على المزيد من المعلومات، راجع تكوينات موصل سجلات SAL.
احفظ ملف systemconfig.json المحدث في دليل sapcon على جهازك.
في حال اختيارك استخدام ملف env.list لمعلومات تسجيل دخولك، أنشئ ملف env.list مؤقت معلومات تسجيل الدخول المطلوبة. بمجرد تشغيل حاوية Docker بشكل صحيح، تأكد من حذف هذا الملف.
إشعار
يحتوي البرنامج النصي الآتي على كل حاوية Docker تتصل بنظام ABAP محدد. عدل برنامجك النصي حسب الحاجة لبيئتك.
تشغيل:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################قم بتنزيل وتشغيل صورة Docker المعرفة مسبقا مع تثبيت موصل بيانات SAP. تشغيل:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>تحقق من تشغيل حاوية Docker بشكل صحيح. تشغيل:
docker logs –f sapcon-[SID]تابع نشر حل Microsoft Sentinel لتطبيقات SAP.
يمكن توزيع الحل موصل بيانات SAP من العرض في Microsoft Azure Sentinel ويوزع مصنف SAP وقواعد التحليلات. عند الانتهاء، أضف قوائم مراقبة SAP وخصصها يدوياً.
لمزيد من المعلومات، راجع نشر حل Microsoft Sentinel لتطبيقات SAP من مركز المحتوى.
تكوين Microsoft Sentinel يدويًا لموصل بيانات SAP
عند النشر عبر CLI، يتم تكوين موصل بيانات Microsoft Sentinel ل SAP في ملف systemconfig.json ، الذي نسخته إلى جهاز موصل بيانات SAP كجزء من إجراء التوزيع. استخدم المحتوى في هذا القسم لتكوين إعدادات موصل البيانات يدويا.
لمزيد من المعلومات، راجع Systemconfig.json مرجع الملف أو مرجع ملف Systemconfig.ini للأنظمة القديمة.
تعريف سجلات SAP التي يتم إرسالها إلى Microsoft Azure Sentinel
يتم تكوين ملف systemconfig.json الافتراضي لتغطية التحليلات المضمنة وجداول البيانات الرئيسية لتخويل مستخدم SAP مع المستخدمين ومعلومات الامتيازات والقدرة على تعقب التغييرات والأنشطة على مشهد SAP.
يوفر التكوين الافتراضي المزيد من معلومات التسجيل للسماح بالتحقيقات بعد الخرق وقدرات التتبع الموسعة. ومع ذلك، قد ترغب في تخصيص التكوين بمرور الوقت، خاصة وأن العمليات التجارية تميل إلى أن تكون موسمية.
استخدم مجموعات التعليمات البرمجية التالية لتكوين ملف systemconfig.json لتعريف السجلات التي يتم إرسالها إلى Microsoft Sentinel.
لمزيد من المعلومات، راجع حل Microsoft Sentinel لمرجع سجلات حلول تطبيقات SAP (معاينة عامة) .
تكوين ملف تعريف افتراضي
تقوم التعليمات البرمجية التالية بتكوين تكوين افتراضي:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
تكوين ملف تعريف يركز على الكشف
استخدم التعليمات البرمجية التالية لتكوين ملف تعريف يركز على الكشف، والذي يتضمن سجلات الأمان الأساسية لمشهد SAP المطلوب لمعظم قواعد التحليلات لأداء جيد. التحقيقات بعد الخرق وقدرات التتبع محدودة.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
استخدم التعليمات البرمجية التالية لتكوين ملف تعريف الحد الأدنى، والذي يتضمن سجل تدقيق أمان SAP، وهو أهم مصدر للبيانات التي يستخدمها حل Microsoft Sentinel لتطبيقات SAP لتحليل الأنشطة على مشهد SAP. تمكين هذا السجل هو الحد الأدنى من المتطلبات لتوفير أي تغطية أمنية.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
إعدادات موصل سجلات SAL
أضف التعليمات البرمجية التالية إلى ملف موصل بيانات Microsoft Sentinel ل SAP systemconfig.json لتعريف الإعدادات الأخرى لسجلات SAP التي تم تناولها في Microsoft Sentinel.
لمزيد من المعلومات، راجع إجراء تثبيت موصل بيانات SAP مخصص/ خبير.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
يمكنك هذا القسم من تكوين المعلمات الآتية:
| اسم المعلمة | الوصف |
|---|---|
| extractuseremail | يحدد تضمين عناوين البريد الإلكتروني للمستخدم في سجلات التدقيق. |
| apiretry | يحدد إعادة محاولة استدعاءات واجهة برمجة التطبيقات كآلية تجاوز الفشل. |
| auditlogforcexal | يحدد فرض النظام يفرض استخدام سجلات التدقيق للأنظمة غير سال، مثل SAP BASIS الإصدار 7.4. |
| auditlogforcelegacyfiles | يحدد فرض النظام لاستخدام سجلات التدقيق مع قدرات النظام القديمة، مثل من SAP BASIS الإصدار 7.4 مع مستويات تصحيح أقل. |
| المجموعة الزمنية | تحدد انتظار النظام لدقائق محددة كفاصل زمني بين عمليات استخراج البيانات. استخدم هذه المعلمة في حال امتلاكك كمية كبيرة من البيانات المتوقعة. على سبيل المثال، خلال تحميل البيانات الأولية في غضون أول 24 ساعة، قد تحتاج إلى تشغيل استخراج البيانات كل 30 دقيقة فقط لمنح كل عملية استخراج بيانات وقتاً كافياً. في الحالات المُشار إليها، عين هذه القيمة إلى 30. |
تكوين مثيل عنصر التحكم في ABAP SAP
لاستيعاب جميع سجلات ABAP في Microsoft Azure Sentinel، بما في ذلك كل من سجلات NW RFC وSAP Control Web Service المستندة إلى خدمة الويب، كوّن تفاصيل عنصر تحكم ABAP SAP الآتية:
| الإعدادات | الوصف |
|---|---|
| javaappserver | أدخل مضيف خادم SAP Control ABAP. على سبيل المثال: contoso-erp.appserver.com |
| javainstance | أدخل رقم مثيل SAP Control ABAP. على سبيل المثال: 00 |
| abaptz | أدخل المنطقة الزمنية المكونة على خادم SAP Control ABAP، بتنسيق GMT. على سبيل المثال: GMT+3 |
| abapseverity | أدخل أدنى مستوى خطورة شاملة تريد استيعاب سجلات ABAP له في Microsoft Azure Sentinel. تتضمن القيم ما يلي: - 0 = جميع السجلات - 1 = تحذير - 2 = خطأ |
تكوين مثيل عنصر تحكم Java SAP
لاستيعاب سجلات خدمة ويب عنصر تحكم SAP في Microsoft Azure Sentinel، كون تفاصيل مثيل JAVA SAP Control الآتية:
| المعلمة | الوصف |
|---|---|
| javaappserver | أدخل مضيف خادم SAP Control Java. على سبيل المثال: contoso-java.server.com |
| javainstance | أدخل رقم مثيل SAP Control ABAP. على سبيل المثال: 10 |
| javatz | أدخل المنطقة الزمنية المكونة على خادم SAP Control Java، بتنسيق GMT. على سبيل المثال: GMT+3 |
| javaseverity | أدخل أدنى مستوى خطورة شاملة تريد استيعاب سجلات خدمة الويب له في Microsoft Azure Sentinel. تتضمن القيم ما يلي: - 0 = جميع السجلات - 1 = تحذير - 2 = خطأ |
تكوين تجميع البيانات الرئيسية للمستخدم
لاستيعاب الجداول مباشرة من نظام SAP الخاص بك مع تفاصيل حول المستخدمين وتخويلات الأدوار، قم بتكوين ملف systemconfig.json الخاص بك مع عبارة True/False لكل جدول.
على سبيل المثال:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
لمزيد من المعلومات، راجع مرجع الجداول التي تم استردادها مباشرة من أنظمة SAP.
المحتوى ذو الصلة
لمزيد من المعلومات، راجع: