Sdílet prostřednictvím

Konfigurace autorizací SAP a nasazení volitelných žádostí o změnu SAP

  • Článek

Tento článek popisuje, jak připravit prostředí na instalaci agenta SAP, aby se mohl správně připojit k vašim systémům SAP. Příprava zahrnuje konfiguraci požadovaných autorizací SAP a volitelně nasazení dalších žádostí o změnu SAP (CRS).

  • Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Milníky nasazení

Sledujte cestu k nasazení řešení SAP prostřednictvím této série článků:

  1. Přehled nasazení

  2. Požadavky nasazení

  3. Práce s řešením napříč několika pracovními prostory (PREVIEW)

  4. Příprava prostředí SAP (tady jste)

  5. Konfigurace auditování

  6. Nasazení obsahu řešení z centra obsahu

  7. Nasazení agenta datového konektoru

  8. Konfigurace řešení Microsoft Sentinel pro aplikace SAP®

  9. Volitelné kroky nasazení

Konfigurace role Microsoft Sentinelu

  1. Nahrajte autorizace rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER na GitHubu.

    Tím se vytvoří role /MSFTSEN/SENTINEL_RESPONDER , která zahrnuje všechna autorizace potřebná k načtení protokolů ze systémů SAP a spuštění akcí reakce na přerušení útoku.

    Případně vytvořte roli ručně s příslušnými autorizací požadovanými pro protokoly, které chcete ingestovat. Další informace naleznete v tématu Povinné autorizace ABAP. Příklady v tomto postupu používají název /MSFTSEN/SENTINEL_RESPONDER .

  2. Dalším krokem je vygenerování aktivního profilu role, který bude Microsoft Sentinel používat. Spusťte transakci PFCG:

    Na obrazovce SAP Easy Access zadejte PFCG do pole v levém horním rohu obrazovky a stiskněte ENTER.

  3. V okně Údržba role zadejte název /MSFTSEN/SENTINEL_RESPONDER role do pole Role a vyberte tlačítko Změnit (tužka).

  4. V zobrazeném okně Změnit role vyberte kartu Autorizace .

  5. Na kartě Autorizace vyberte Změnit autorizační data.

  6. V místní nabídce Informace si přečtěte zprávu a výběrem zelené značky zaškrtnutí potvrďte.

  7. V okně Změnit roli: Autorizace vyberte Generovat.

    Podívejte se, že pole Stav se změnilo z beze změny na vygenerované.

  8. Vyberte Zpět (vlevo od loga SAP v horní části obrazovky).

  9. Zpět v okně Změnit role ověřte, že karta Autorizace zobrazuje zelené pole a pak vyberte Uložit.

Vytvoření uživatele

Řešení Microsoft Sentinel pro aplikace SAP® vyžaduje, aby se k vašemu systému SAP připojil uživatelský účet. Pomocí následujících pokynů vytvořte uživatelský účet a přiřaďte ho k roli, kterou jste vytvořili v předchozím kroku.

V zde uvedených příkladech používáme název role /MSFTSEN/SENTINEL_RESPONDER.

  1. Spusťte transakci SU01:

    Na obrazovce SAP Easy Access zadejte SU01 do pole v levém horním rohu obrazovky a stiskněte ENTER.

  2. Na obrazovce Údržba uživatele: Úvodní obrazovka zadejte jméno nového uživatele do pole Uživatel a na panelu tlačítek vyberte Vytvořit technického uživatele.

  3. Na obrazovce Spravovat uživatele vyberte Systém z rozevíracího seznamu Typ uživatele. Vytvořte a zadejte složité heslo do polí Nové heslo a Opakovat heslo a pak vyberte kartu Role .

  4. Na kartě Role zadejte v části Přiřazení rolí úplný název role – /MSFTSEN/SENTINEL_RESPONDER v našem příkladu – a stiskněte Enter.

    Po stisknutí klávesy Enter ověřte, že pravá strana oddílu Přiřazení rolí naplní daty , například změnit počáteční datum.

  5. Vyberte kartu Profily, ověřte, že se v části Přiřazené autorizační profily zobrazí profil pro danou roli, a vyberte Uložit.

Požadovaná autorizace ABAP

Tato část obsahuje seznam autorizací ABAP potřebných k zajištění toho, aby uživatelský účet SAP používaný datovým konektorem SAP služby Microsoft Sentinel mohl správně načítat protokoly ze systémů SAP a spouštět akce odezvy na přerušení útoku.

Požadovaná autorizace jsou zde uvedena podle jejich účelu. Potřebujete jenom autorizace uvedené pro typy protokolů, které chcete přenést do Služby Microsoft Sentinel, a akce odezvy na přerušení útoku, které chcete použít.

Tip

Pokud chcete vytvořit roli se všemi požadovanými autorizací, načtěte autorizace rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER .

Pokud chcete povolit pouze načítání protokolů bez akcí reakce na přerušení útoku, nasaďte v systému SAP NPLK900271 CR roli /MSFTSEN/SENTINEL_CONNECTOR nebo načtěte autorizaci rolí ze souboru /MSFTSEN/SENTINEL_CONNECTOR.

Objekt autorizace Pole Hodnota
Všechny protokoly
S_RFC RFC_TYPE Modul funkcí
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Spustit
S_TCODE TCD SM51
S_TABU_NAM ACTVT Zobrazit
S_TABU_NAM TABULKA T000
Volitelné – Pouze v případě, že se implementuje CR řešení Sentinel
S_RFC RFC_NAME /MSFTSEN/*
Protokol aplikací ABAP
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABULKA BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD ROZHRANÍ XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Zobrazit
Protokol změn dokumentů ABAP
S_TABU_NAM TABULKA CDHDR
S_TABU_NAM TABULKA CDPOS
Protokol ABAP CR
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABULKA E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Zobrazit
Protokol tabulek ABAP DB
S_TABU_NAM TABULKA DBTABLOG
S_TABU_NAM TABULKA SACF_ALERT
S_TABU_NAM TABULKA SOUD
S_TABU_NAM TABULKA USR41
S_TABU_NAM TABULKA TMSQAFILTER
Protokol úloh ABAP
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABULKA TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD ROZHRANÍ XBP
Protokoly fondu ABAP
S_TABU_NAM TABULKA TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (použití transaction SP01 (všechny systémy))
Protokol pracovního postupu ABAP
S_TABU_NAM TABULKA SWWLOGHIST
S_TABU_NAM TABULKA SWWWIHEAD
Protokol auditu zabezpečení ABAP
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (ověřování zobrazení auditu na základě základu))
S_SAL SAL_ACTVT SHOW_LOG (vyhodnocení protokolu založeného na souborech)
S_USER_GRP TŘÍDA SUPER
S_USER_GRP ACTVT Zobrazit
S_USER_GRP TŘÍDA SUPER
S_USER_GRP ACTVT Uzamknout
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD ROZHRANÍ XAL
Uživatelská data
S_TABU_NAM TABULKA ADCP
S_TABU_NAM TABULKA ADR6
S_TABU_NAM TABULKA AGR_1251
S_TABU_NAM TABULKA AGR_AGRS
S_TABU_NAM TABULKA AGR_DEFINE
S_TABU_NAM TABULKA AGR_FLAGS
S_TABU_NAM TABULKA AGR_PROF
S_TABU_NAM TABULKA AGR_TCODES
S_TABU_NAM TABULKA AGR_USERS
S_TABU_NAM TABULKA DEVACCESS
S_TABU_NAM TABULKA USER_ADDR
S_TABU_NAM TABULKA USGRP_USER
S_TABU_NAM TABULKA USR01
S_TABU_NAM TABULKA USR02
S_TABU_NAM TABULKA USR05
S_TABU_NAM TABULKA USR21
S_TABU_NAM TABULKA USRSTAMP
S_TABU_NAM TABULKA UST04
Historie konfigurace
S_TABU_NAM TABULKA PAHI
SNC Data
S_TABU_NAM TABULKA SNCSYSACL
S_TABU_NAM TABULKA USRACL
Akce reakce na přerušení útoku
S_RFC RFC_TYPE Modul funkcí
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
Na rozdíl od názvu tato funkce neodstraní uživatele, ale ukončí aktivní relaci uživatele.
S_USER_GRP TŘÍDA *
Doporučujeme nahradit S_USER_GRP CLASS příslušnými třídami ve vaší organizaci, které představují uživatele dialogů.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

V případě potřeby můžete odebrat roli uživatele a volitelnou cr nainstalovanou v systému ABAP.

Nasazení volitelných žádostí o přijetí změn

Tato část obsahuje podrobný průvodce nasazením dodatečných volitelných žádostí o přijetí změn. Je určený pro techniky SOC nebo implementátory, kteří nemusí být nutně odborníky na SAP.

Zkušení správci SAP, kteří jsou obeznámeni s procesem nasazení CR, můžou raději získat příslušné žádosti o přijetí změn přímo z části kroky ověření prostředí SAP v příručce a nasadit je.

Důrazně doporučujeme nasadit žádosti o přijetí změn SAP zkušeným správcem systému SAP.

Následující tabulka popisuje volitelné žádosti o přijetí změn, které jsou k dispozici k nasazení:

CR Popis
NPLK900271 Vytvoří a nakonfiguruje ukázkovou roli se základními autorizací vyžadovanými k tomu, aby se datový konektor SAP mohl připojit k vašemu systému SAP. Případně můžete načíst autorizaci přímo ze souboru nebo ručně definovat roli podle protokolů, které chcete ingestovat.

Další informace najdete v tématu Povinné autorizace ABAP a vytvoření a konfigurace role (povinné).< a1/&>
NPLK900201 nebo NPLK900202 Načte další informace ze sap. Vyberte jeden z těchto žádostí o přijetí změn podle vaší verze SAP.

Požadavky pro nasazení žádostí o přijetí změn

  1. Před zahájením procesu nasazení se ujistěte, že jste zkopírovali podrobnosti o verzi systému SAP, ID systému (SID), číslo systému, číslo klienta, IP adresu, uživatelské jméno správce a heslo. V následujícím příkladu se předpokládají následující podrobnosti:

    • Verze systému SAP: SAP ABAP Platform 1909 Developer edition
    • SID: A4H
    • Číslo systému: 00
    • Číslo klienta: 001
    • IP adresa: 192.168.136.4
    • Uživatel správce: a4hadmPřipojení SSH k systému SAP se však naváže s přihlašovacími root údaji uživatele.

  2. Ujistěte se, že víte, kterou cr chcete nasadit.

  3. Pokud nasazujete NPLK900202 CR pro načtení dalších informací, ujistěte se, že jste nainstalovali příslušnou poznámku SAP.

Nastavení souborů

  1. Přihlaste se k systému SAP pomocí SSH.

  2. Přeneste soubory CR do systému SAP nebo soubory stáhněte přímo do systému SAP z výzvy SSH. Použijte následující příkazy:

    • Stáhnout NPLK900271

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      Případně můžete tyto autorizace načíst přímo ze souboru.

    • Stáhnout NPLK900202

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • Stáhnout NPLK900201

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    Každá CR se skládá ze dvou souborů, jednoho počínaje K a jeden s R.

  3. Změňte vlastnictví souborů na adm uživatele <sid>a sapsys skupiny. (Nahraďte ID systému SAP . <sid>)

    chown <sid>adm:sapsys *.NPL

    V našem příkladu:

    chown a4hadm:sapsys *.NPL

  4. Zkopírujte spolusoubory (začínající písmenem K) do /usr/sap/trans/cofiles složky. Při kopírování zachovejte oprávnění pomocí cp příkazu s přepínačem -p .

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. Zkopírujte datové soubory (začínající na R) do /usr/sap/trans/data složky. Při kopírování zachovejte oprávnění pomocí cp příkazu s přepínačem -p .

    cp -p R*.NPL /usr/sap/trans/data/

Import žádostí o přijetí změn

  1. Spusťte aplikaci SAP Logon a přihlaste se ke konzole SAP GUI.

  2. Spusťte transakci STMS_IMPORT:

    Na obrazovce SAP Easy Access zadejte STMS_IMPORT do pole v levém horním rohu obrazovky a stiskněte ENTER.

    Snímek obrazovky se spuštěním transakce importu STMS

  3. V okně Importovat frontu, které se zobrazí, vyberte Další > další žádosti > > Přidat.

    Snímek obrazovky s přidáním fronty importu

  4. V okně Přidat žádosti o přenos do importu fronty , která se zobrazí, vyberte pole Transp. Požadavek .

  5. Zobrazí se okno Žádosti o přenos a zobrazí se seznam žádostí o přijetí změn, které je možné nasadit. Vyberte CR a vyberte zelené tlačítko zaškrtnutí.

  6. Zpět v okně Přidat žádost o přenos do fronty importu vyberte Pokračovat (zelená značka zaškrtnutí) nebo stiskněte ENTER.

  7. V potvrzovací dialogovém okně Přidat žádost o přenos vyberte Ano.

  8. Pokud plánujete nasadit další žádosti o přijetí změn, opakujte postup v předchozích pěti krocích pro zbývající žádosti o přijetí změn.

  9. V okně Import Queue (Importovat frontu) vyberte příslušnou žádost o přenos jednou a pak vyberte F9 nebo Select/Deselect Request icon.

  10. Pokud máte zbývající požadavky na přenos, které chcete přidat do nasazení, opakujte krok 9.

  11. Vyberte ikonu Importovat žádosti:

    Snímek obrazovky importu všech požadavků

  12. V okně Spustit import vyberte pole Cílového klienta .

  13. Zobrazí se dialogové okno Vstupní nápověda. Vyberte počet klientů, do kterého chcete nasadit žádosti o přijetí změn (001 v našem příkladu), a potvrďte zaškrtnutím zelené značky zaškrtnutí.

  14. Zpět v okně Spustit import vyberte kartu Možnosti , zaškrtněte políčko Ignorovat neplatnou verzi komponenty a potvrďte zaškrtnutím zelené značky.

    Snímek obrazovky s oknem start importu

  15. V dialogovém okně Spustit potvrzení importu potvrďte import výběrem možnosti Ano.

  16. Zpět v okně Importovat frontu vyberte Aktualizovat, počkejte, až se operace importu dokončí, a fronta importu se zobrazí jako prázdná.

  17. Pokud chcete zkontrolovat stav importu, v okně Importovat frontu vyberte Další > přejít na > historii importu.

    Snímek obrazovky s historií importu

  18. Pokud jste nasadili NPLK900202 CR, očekává se, že se zobrazí upozornění. Výběrem položky ověřte, že zobrazená upozornění jsou typu "Název tabulky <> byl aktivován".

    Žádosti o přijetí změn a verze na následujících snímcích obrazovky se můžou změnit podle nainstalované verze CR.

    Snímek obrazovky se zobrazením stavu importu

    Snímek obrazovky se zobrazenou zprávou upozornění importu

Ověřte, že se v pravidelných intervalech aktualizuje tabulka PAHI (historie parametrů systému, databáze a SAP).

Tabulka SAP PAHI obsahuje data o historii systému SAP, databáze a parametrů SAP. V některýchpřípadechchm funkcím v některých případech nemůže řešení Microsoft Sentinelu pro aplikace SAP® v pravidelných intervalech monitorovat tabulku SAP Je důležité aktualizovat tabulku PAHI a často ji monitorovat, aby řešení Microsoft Sentinelu pro aplikace SAP® mohlo upozorňovat na podezřelé akce, ke kterým může dojít kdykoli během dne.

Přečtěte si další informace o tom, jak řešení Microsoft Sentinel pro aplikace SAP® monitoruje podezřelé změny konfigurace parametrů zabezpečení.

Poznámka:

Pokud chcete dosáhnout optimálních výsledků, povolte v souboru [ABAP Table Selector] systemconfig.ini vašeho počítače v části parametry i PAHI_FULL PAHI_INCREMENTAL parametry.

Ověření, že se tabulka PAHI aktualizuje v pravidelných intervalech:

  1. Zkontrolujte, jestli je SAP_COLLECTOR_FOR_PERFMONITOR úloha podle RSCOLL00 programu naplánovaná a spuštěná každou hodinu uživatelem DDIC v klientovi 000.
  2. Zkontrolujte, RSSTATPH RSDB_PAR jestli RSHOSTPHjsou názvy a názvy sestav zachovány v tabulce TCOLL.
    • RSHOSTPH sestava: Čte parametry jádra operačního systému a ukládá tato data do tabulky PAHI.
    • RSSTATPH sestava: Přečte parametry profilu SAP a uloží tato data do tabulky PAHI.
    • RSDB_PAR sestava: Přečte parametry databáze a uloží je do tabulky PAHI.

Pokud úloha existuje a je správně nakonfigurovaná, nejsou potřeba žádné další kroky.

Pokud úloha neexistuje:

  1. Přihlaste se ke svému systému SAP v klientovi 000.

  2. Spusťte transakci SM36.

  3. V části Název úlohy zadejte SAP_COLLECTOR_FOR_PERFMONITOR.

    Snímek obrazovky s přidáním úlohy použité k monitorování tabulky SAP PAHI

  4. Vyberte Krok a vyplňte tyto informace:

    • V části Uživatel zadejte DDIC.
    • Do pole Název programu ABAP zadejte RSCOLL00.

  5. Uložte konfiguraci.

    Snímek obrazovky s definováním uživatele pro úlohu použitou k monitorování tabulky SAP PAHI

  6. Výběrem klávesy F3 se vrátíte na předchozí obrazovku.

  7. Vyberte Počáteční podmínku a definujte počáteční podmínku.

  8. Zaškrtněte políčko Okamžitě a zaškrtněte políčko Periodická úloha .

    Snímek obrazovky s definováním úlohy použité k monitorování tabulky SAP PAHI jako periodické

  9. Vyberte hodnoty období a vyberte Hodinově.

  10. V dialogovém okně vyberte Uložit a pak v dolní části vyberte Uložit .

    Snímek obrazovky s definováním úlohy použité k monitorování tabulky SAP PAHI jako hodinových dat

  11. Pokud chcete úlohu uvolnit, vyberte Uložit v horní části.

    Snímek obrazovky s uvolněním úlohy použité k monitorování tabulky SAP PAHI za hodinu

Další kroky

Vaše prostředí SAP je teď plně připravené k nasazení agenta datového konektoru. Zřídí se role a profil, vytvoří se uživatelský účet a přiřadí se příslušný profil role a podle potřeby se nasadí žádosti o přijetí změn pro vaše prostředí.

Teď jste připraveni povolit a nakonfigurovat auditování SAP pro Microsoft Sentinel.

Povolení a konfigurace auditování SAP pro Microsoft Sentinel