Konfigurace autorizací SAP a nasazení volitelných žádostí o změnu SAP
Tento článek popisuje, jak připravit prostředí na instalaci agenta SAP, aby se mohl správně připojit k vašim systémům SAP. Příprava zahrnuje konfiguraci požadovaných autorizací SAP a volitelně nasazení dalších žádostí o změnu SAP (CRS).
- Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Milníky nasazení
Sledujte cestu k nasazení řešení SAP prostřednictvím této série článků:
Práce s řešením napříč několika pracovními prostory (PREVIEW)
Příprava prostředí SAP (tady jste)
Volitelné kroky nasazení
Konfigurace role Microsoft Sentinelu
Nahrajte autorizace rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER na GitHubu.
Tím se vytvoří role /MSFTSEN/SENTINEL_RESPONDER , která zahrnuje všechna autorizace potřebná k načtení protokolů ze systémů SAP a spuštění akcí reakce na přerušení útoku.
Případně vytvořte roli ručně s příslušnými autorizací požadovanými pro protokoly, které chcete ingestovat. Další informace naleznete v tématu Povinné autorizace ABAP. Příklady v tomto postupu používají název /MSFTSEN/SENTINEL_RESPONDER .
Dalším krokem je vygenerování aktivního profilu role, který bude Microsoft Sentinel používat. Spusťte transakci PFCG:
Na obrazovce SAP Easy Access zadejte
PFCG
do pole v levém horním rohu obrazovky a stiskněte ENTER.V okně Údržba role zadejte název
/MSFTSEN/SENTINEL_RESPONDER
role do pole Role a vyberte tlačítko Změnit (tužka).V zobrazeném okně Změnit role vyberte kartu Autorizace .
Na kartě Autorizace vyberte Změnit autorizační data.
V místní nabídce Informace si přečtěte zprávu a výběrem zelené značky zaškrtnutí potvrďte.
V okně Změnit roli: Autorizace vyberte Generovat.
Podívejte se, že pole Stav se změnilo z beze změny na vygenerované.
Vyberte Zpět (vlevo od loga SAP v horní části obrazovky).
Zpět v okně Změnit role ověřte, že karta Autorizace zobrazuje zelené pole a pak vyberte Uložit.
Vytvoření uživatele
Řešení Microsoft Sentinel pro aplikace SAP® vyžaduje, aby se k vašemu systému SAP připojil uživatelský účet. Pomocí následujících pokynů vytvořte uživatelský účet a přiřaďte ho k roli, kterou jste vytvořili v předchozím kroku.
V zde uvedených příkladech používáme název role /MSFTSEN/SENTINEL_RESPONDER.
Spusťte transakci SU01:
Na obrazovce SAP Easy Access zadejte
SU01
do pole v levém horním rohu obrazovky a stiskněte ENTER.Na obrazovce Údržba uživatele: Úvodní obrazovka zadejte jméno nového uživatele do pole Uživatel a na panelu tlačítek vyberte Vytvořit technického uživatele.
Na obrazovce Spravovat uživatele vyberte Systém z rozevíracího seznamu Typ uživatele. Vytvořte a zadejte složité heslo do polí Nové heslo a Opakovat heslo a pak vyberte kartu Role .
Na kartě Role zadejte v části Přiřazení rolí úplný název role –
/MSFTSEN/SENTINEL_RESPONDER
v našem příkladu – a stiskněte Enter.Po stisknutí klávesy Enter ověřte, že pravá strana oddílu Přiřazení rolí naplní daty , například změnit počáteční datum.
Vyberte kartu Profily, ověřte, že se v části Přiřazené autorizační profily zobrazí profil pro danou roli, a vyberte Uložit.
Požadovaná autorizace ABAP
Tato část obsahuje seznam autorizací ABAP potřebných k zajištění toho, aby uživatelský účet SAP používaný datovým konektorem SAP služby Microsoft Sentinel mohl správně načítat protokoly ze systémů SAP a spouštět akce odezvy na přerušení útoku.
Požadovaná autorizace jsou zde uvedena podle jejich účelu. Potřebujete jenom autorizace uvedené pro typy protokolů, které chcete přenést do Služby Microsoft Sentinel, a akce odezvy na přerušení útoku, které chcete použít.
Tip
Pokud chcete vytvořit roli se všemi požadovanými autorizací, načtěte autorizace rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER .
Pokud chcete povolit pouze načítání protokolů bez akcí reakce na přerušení útoku, nasaďte v systému SAP NPLK900271 CR roli /MSFTSEN/SENTINEL_CONNECTOR nebo načtěte autorizaci rolí ze souboru /MSFTSEN/SENTINEL_CONNECTOR.
V případě potřeby můžete odebrat roli uživatele a volitelnou cr nainstalovanou v systému ABAP.
Nasazení volitelných žádostí o přijetí změn
Tato část obsahuje podrobný průvodce nasazením dodatečných volitelných žádostí o přijetí změn. Je určený pro techniky SOC nebo implementátory, kteří nemusí být nutně odborníky na SAP.
Zkušení správci SAP, kteří jsou obeznámeni s procesem nasazení CR, můžou raději získat příslušné žádosti o přijetí změn přímo z části kroky ověření prostředí SAP v příručce a nasadit je.
Důrazně doporučujeme nasadit žádosti o přijetí změn SAP zkušeným správcem systému SAP.
Následující tabulka popisuje volitelné žádosti o přijetí změn, které jsou k dispozici k nasazení:
CR | Popis |
---|---|
NPLK900271 | Vytvoří a nakonfiguruje ukázkovou roli se základními autorizací vyžadovanými k tomu, aby se datový konektor SAP mohl připojit k vašemu systému SAP. Případně můžete načíst autorizaci přímo ze souboru nebo ručně definovat roli podle protokolů, které chcete ingestovat. Další informace najdete v tématu Povinné autorizace ABAP a vytvoření a konfigurace role (povinné).< a1/&> |
NPLK900201 nebo NPLK900202 | Načte další informace ze sap. Vyberte jeden z těchto žádostí o přijetí změn podle vaší verze SAP. |
Požadavky pro nasazení žádostí o přijetí změn
Před zahájením procesu nasazení se ujistěte, že jste zkopírovali podrobnosti o verzi systému SAP, ID systému (SID), číslo systému, číslo klienta, IP adresu, uživatelské jméno správce a heslo. V následujícím příkladu se předpokládají následující podrobnosti:
- Verze systému SAP:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Číslo systému:
00
- Číslo klienta:
001
- IP adresa:
192.168.136.4
- Uživatel správce:
a4hadm
Připojení SSH k systému SAP se však naváže s přihlašovacímiroot
údaji uživatele.
- Verze systému SAP:
Ujistěte se, že víte, kterou cr chcete nasadit.
Pokud nasazujete NPLK900202 CR pro načtení dalších informací, ujistěte se, že jste nainstalovali příslušnou poznámku SAP.
Nastavení souborů
Přihlaste se k systému SAP pomocí SSH.
Přeneste soubory CR do systému SAP nebo soubory stáhněte přímo do systému SAP z výzvy SSH. Použijte následující příkazy:
Stáhnout NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
Případně můžete tyto autorizace načíst přímo ze souboru.
Stáhnout NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
Stáhnout NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Každá CR se skládá ze dvou souborů, jednoho počínaje K a jeden s R.
Změňte vlastnictví souborů na adm uživatele
<sid>
a sapsys skupiny. (Nahraďte ID systému SAP .<sid>
)chown <sid>adm:sapsys *.NPL
V našem příkladu:
chown a4hadm:sapsys *.NPL
Zkopírujte spolusoubory (začínající písmenem K) do
/usr/sap/trans/cofiles
složky. Při kopírování zachovejte oprávnění pomocícp
příkazu s přepínačem-p
.cp -p K*.NPL /usr/sap/trans/cofiles/
Zkopírujte datové soubory (začínající na R) do
/usr/sap/trans/data
složky. Při kopírování zachovejte oprávnění pomocícp
příkazu s přepínačem-p
.cp -p R*.NPL /usr/sap/trans/data/
Import žádostí o přijetí změn
Spusťte aplikaci SAP Logon a přihlaste se ke konzole SAP GUI.
Spusťte transakci STMS_IMPORT:
Na obrazovce SAP Easy Access zadejte
STMS_IMPORT
do pole v levém horním rohu obrazovky a stiskněte ENTER.V okně Importovat frontu, které se zobrazí, vyberte Další > další žádosti > > Přidat.
V okně Přidat žádosti o přenos do importu fronty , která se zobrazí, vyberte pole Transp. Požadavek .
Zobrazí se okno Žádosti o přenos a zobrazí se seznam žádostí o přijetí změn, které je možné nasadit. Vyberte CR a vyberte zelené tlačítko zaškrtnutí.
Zpět v okně Přidat žádost o přenos do fronty importu vyberte Pokračovat (zelená značka zaškrtnutí) nebo stiskněte ENTER.
V potvrzovací dialogovém okně Přidat žádost o přenos vyberte Ano.
Pokud plánujete nasadit další žádosti o přijetí změn, opakujte postup v předchozích pěti krocích pro zbývající žádosti o přijetí změn.
V okně Import Queue (Importovat frontu) vyberte příslušnou žádost o přenos jednou a pak vyberte F9 nebo Select/Deselect Request icon.
Pokud máte zbývající požadavky na přenos, které chcete přidat do nasazení, opakujte krok 9.
Vyberte ikonu Importovat žádosti:
V okně Spustit import vyberte pole Cílového klienta .
Zobrazí se dialogové okno Vstupní nápověda. Vyberte počet klientů, do kterého chcete nasadit žádosti o přijetí změn (
001
v našem příkladu), a potvrďte zaškrtnutím zelené značky zaškrtnutí.Zpět v okně Spustit import vyberte kartu Možnosti , zaškrtněte políčko Ignorovat neplatnou verzi komponenty a potvrďte zaškrtnutím zelené značky.
V dialogovém okně Spustit potvrzení importu potvrďte import výběrem možnosti Ano.
Zpět v okně Importovat frontu vyberte Aktualizovat, počkejte, až se operace importu dokončí, a fronta importu se zobrazí jako prázdná.
Pokud chcete zkontrolovat stav importu, v okně Importovat frontu vyberte Další > přejít na > historii importu.
Pokud jste nasadili NPLK900202 CR, očekává se, že se zobrazí upozornění. Výběrem položky ověřte, že zobrazená upozornění jsou typu "Název tabulky <> byl aktivován".
Žádosti o přijetí změn a verze na následujících snímcích obrazovky se můžou změnit podle nainstalované verze CR.
Ověřte, že se v pravidelných intervalech aktualizuje tabulka PAHI (historie parametrů systému, databáze a SAP).
Tabulka SAP PAHI obsahuje data o historii systému SAP, databáze a parametrů SAP. V některýchpřípadechchm funkcím v některých případech nemůže řešení Microsoft Sentinelu pro aplikace SAP® v pravidelných intervalech monitorovat tabulku SAP Je důležité aktualizovat tabulku PAHI a často ji monitorovat, aby řešení Microsoft Sentinelu pro aplikace SAP® mohlo upozorňovat na podezřelé akce, ke kterým může dojít kdykoli během dne.
Přečtěte si další informace o tom, jak řešení Microsoft Sentinel pro aplikace SAP® monitoruje podezřelé změny konfigurace parametrů zabezpečení.
Poznámka:
Pokud chcete dosáhnout optimálních výsledků, povolte v souboru [ABAP Table Selector]
systemconfig.ini vašeho počítače v části parametry i PAHI_FULL
PAHI_INCREMENTAL
parametry.
Ověření, že se tabulka PAHI aktualizuje v pravidelných intervalech:
- Zkontrolujte, jestli je
SAP_COLLECTOR_FOR_PERFMONITOR
úloha podle RSCOLL00 programu naplánovaná a spuštěná každou hodinu uživatelem DDIC v klientovi 000. - Zkontrolujte,
RSSTATPH
RSDB_PAR
jestliRSHOSTPH
jsou názvy a názvy sestav zachovány v tabulce TCOLL.RSHOSTPH
sestava: Čte parametry jádra operačního systému a ukládá tato data do tabulky PAHI.RSSTATPH
sestava: Přečte parametry profilu SAP a uloží tato data do tabulky PAHI.RSDB_PAR
sestava: Přečte parametry databáze a uloží je do tabulky PAHI.
Pokud úloha existuje a je správně nakonfigurovaná, nejsou potřeba žádné další kroky.
Pokud úloha neexistuje:
Přihlaste se ke svému systému SAP v klientovi 000.
Spusťte transakci SM36.
V části Název úlohy zadejte SAP_COLLECTOR_FOR_PERFMONITOR.
Vyberte Krok a vyplňte tyto informace:
- V části Uživatel zadejte DDIC.
- Do pole Název programu ABAP zadejte RSCOLL00.
Uložte konfiguraci.
Výběrem klávesy F3 se vrátíte na předchozí obrazovku.
Vyberte Počáteční podmínku a definujte počáteční podmínku.
Zaškrtněte políčko Okamžitě a zaškrtněte políčko Periodická úloha .
Vyberte hodnoty období a vyberte Hodinově.
V dialogovém okně vyberte Uložit a pak v dolní části vyberte Uložit .
Pokud chcete úlohu uvolnit, vyberte Uložit v horní části.
Další kroky
Vaše prostředí SAP je teď plně připravené k nasazení agenta datového konektoru. Zřídí se role a profil, vytvoří se uživatelský účet a přiřadí se příslušný profil role a podle potřeby se nasadí žádosti o přijetí změn pro vaše prostředí.
Teď jste připraveni povolit a nakonfigurovat auditování SAP pro Microsoft Sentinel.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro