Možnosti odborné konfigurace, místní nasazení a zdroje protokolů SAPControl
Tento článek popisuje, jak nasadit datový konektor Microsoft Sentinel pro SAP v odborném nebo vlastním procesu, například pomocí místního počítače a azure Key Vault k uložení přihlašovacích údajů.
Poznámka
Výchozím a nejdoporučovanějším procesem nasazení datového konektoru služby Microsoft Sentinel pro SAP je použití virtuálního počítače Azure. Tento článek je určený pro pokročilé uživatele.
Požadavky
Základní požadavky pro nasazení datového konektoru služby Microsoft Sentinel pro SAP jsou stejné bez ohledu na vaši metodu nasazení.
Než začnete, ujistěte se, že váš systém splňuje požadavky popsané v hlavním dokumentu požadavků na datový konektor SAP .
Vytvoření trezoru klíčů Azure
Vytvořte trezor klíčů Azure, který můžete vyhradit na řešení Microsoft Sentinel pro datový konektor aplikací SAP®.
Spuštěním následujícího příkazu vytvořte trezor klíčů Azure a udělte přístup k instančnímu objektu Azure:
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
Další informace najdete v tématu Rychlý start: Vytvoření trezoru klíčů pomocí Azure CLI.
Přidání tajných kódů Azure Key Vault
Pokud chcete přidat tajné kódy Azure Key Vault, spusťte následující skript s vlastním ID systému a přihlašovacími údaji, které chcete přidat:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Další informace najdete v dokumentaci k rozhraní příkazového řádku az keyvault secret .
Provedení odborné nebo vlastní instalace
Tento postup popisuje, jak nasadit datový konektor Microsoft Sentinel pro SAP pomocí odborné nebo vlastní instalace, například při místní instalaci.
Tento postup doporučujeme provést, až budete mít trezor klíčů připravený s přihlašovacími údaji SAP.
Nasazení datového konektoru služby Microsoft Sentinel pro SAP:
Na místním počítači si stáhněte nejnovější sap NW RFC SDKz webu >SAP LaunchpadSAP NW RFC SDKSAP NW RFC SDK SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.>
Poznámka
Pro přístup k sadě SDK budete potřebovat přihlašovací údaje uživatele SAP a musíte si stáhnout sadu SDK, která odpovídá vašemu operačnímu systému.
Nezapomeňte vybrat možnost LINUX ON X86_64 .
Na místním počítači vytvořte novou složku se smysluplným názvem a zkopírujte do nové složky soubor ZIP sady SDK.
Naklonujte úložiště GitHub řešení Microsoft Sentinel do místního počítače a zkopírujte řešení Řešení Microsoft Sentinel pro aplikace SAP®systemconfig.inisoubor do nové složky.
Příklad:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Podle potřeby upravte souborsystemconfig.ini a jako vodítko použijte vložené komentáře. Další informace najdete v tématu Ruční konfigurace datového konektoru služby Microsoft Sentinel pro SAP.
Pokud chcete otestovat konfiguraci, můžete uživatele a heslo přidat přímo do konfiguračního souborusystemconfig.ini . I když k ukládání přihlašovacích údajů doporučujeme použít Azure Key Vault , můžete použít také soubor env.list , tajné kódy Dockeru nebo přidat přihlašovací údaje přímo do souborusystemconfig.ini .
Definujte protokoly, které chcete ingestovat do služby Microsoft Sentinel, pomocí pokynů v souborusystemconfig.ini . Projděte si například téma Definování protokolů SAP odesílaných do služby Microsoft Sentinel.
Pomocí pokynů v souborusystemconfig.ini definujte následující konfigurace:
- Jestli se mají do protokolů auditu zahrnout e-mailové adresy uživatelů
- Jestli se mají opakovat neúspěšná volání rozhraní API
- Jestli se mají zahrnout protokoly auditu cexal
- Jestli se má čekat časový interval mezi extrahováním dat, zejména u velkých extrakcí
Další informace najdete v tématu Konfigurace konektoru protokolů SAL.
Uložte aktualizovaný souborsystemconfig.ini do adresáře sapcon na svém počítači.
Pokud jste se rozhodli pro své přihlašovací údaje použít soubor env.list , vytvořte dočasný soubor env.list s požadovanými přihlašovacími údaji. Jakmile kontejner Dockeru funguje správně, nezapomeňte tento soubor odstranit.
Poznámka
Následující skript obsahuje každý kontejner Dockeru, který se připojuje ke konkrétnímu systému ABAP. Upravte skript podle potřeby pro vaše prostředí.
Spusťte tento příkaz:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Stáhněte a spusťte předdefinovanou image Dockeru s nainstalovaným datovým konektorem SAP. Spusťte tento příkaz:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Ověřte, že kontejner Dockeru funguje správně. Spusťte tento příkaz:
docker logs –f sapcon-[SID]Pokračujte v nasazování řešení Microsoft Sentinel pro aplikace SAP®.
Nasazení řešení umožní datovému konektoru SAP zobrazit ve službě Microsoft Sentinel a nasadí sešit SAP a analytická pravidla. Až to budete hotovi, přidejte a přizpůsobte si seznamy ke zhlédnutí SAP ručně.
Další informace najdete v tématu Nasazení řešení Microsoft Sentinel pro aplikace® SAP z centra obsahu.
Ruční konfigurace datového konektoru služby Microsoft Sentinel pro SAP
Datový konektor Microsoft Sentinel pro SAP je nakonfigurovaný v souborusystemconfig.ini , který jste v rámci postupu nasazení naklonovali na počítač datového konektoru SAP.
Následující kód ukazuje ukázkový systemconfig.ini soubor:
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
Definování protokolů SAP odesílaných do služby Microsoft Sentinel
Do řešení Microsoft Sentinel pro aplikace SAP® systemconfig.ini souboru přidejte následující kód, který definuje protokoly odesílané do služby Microsoft Sentinel.
Další informace najdete v tématu Řešení Microsoft Sentinel pro aplikace SAP® – referenční informace k protokolům řešení (Public Preview).
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
Nastavení konektoru protokolů SAL
Do souboru datového konektoru služby Microsoft Sentinel pro SAPsystemconfig.inipřidejte následující kód, který definuje další nastavení pro protokoly SAP ingestované do služby Microsoft Sentinel.
Další informace najdete v tématu Instalace expertního nebo vlastního datového konektoru SAP.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
V této části můžete nakonfigurovat následující parametry:
| Název parametru | Description |
|---|---|
| extractuseremail | Určuje, jestli jsou e-mailové adresy uživatelů zahrnuty do protokolů auditu. |
| Apiretry | Určuje, jestli se volání rozhraní API budou opakovat jako mechanismus převzetí služeb při selhání. |
| auditlogforcexal | Určuje, jestli systém vynutí použití protokolů auditu pro systémy, které nepoužívají sal, například SAP BASIS verze 7.4. |
| auditlogforcelegacyfiles | Určuje, jestli systém vynutí použití protokolů auditu se staršími funkcemi systému, například ze systému SAP BASIS verze 7.4 s nižšími úrovněmi oprav. |
| timechunk | Určuje, že systém čeká určitý počet minut jako interval mezi extrakcí dat. Tento parametr použijte, pokud se očekává velké množství dat. Například během počátečního načítání dat během prvních 24 hodin můžete chtít, aby extrakce dat běžela pouze každých 30 minut, aby každá extrahování dat měla dostatek času. V takových případech nastavte tuto hodnotu na 30. |
Konfigurace instance ABAP SAP Control
Pokud chcete ingestovat všechny protokoly ABAP do služby Microsoft Sentinel, včetně protokolů založených na NW RFC a SAP Control webové služby, nakonfigurujte následující podrobnosti abap SAP Control:
| Nastavení | Popis |
|---|---|
| javaappserver | Zadejte hostitele serveru SAP Control ABAP. Příklad: contoso-erp.appserver.com |
| javainstance | Zadejte číslo instance SAP Control ABAP. Příklad: 00 |
| abaptz | Zadejte časové pásmo nakonfigurované na serveru SAP Control ABAP ve formátu GMT. Příklad: GMT+3 |
| abapseverity | Zadejte nejnižší inkluzivní úroveň závažnosti, pro kterou chcete ingestovat protokoly ABAP do služby Microsoft Sentinel. Mezi tyto hodnoty patří: - 0 = všechny protokoly - 1 = upozornění - 2 = chyba |
Konfigurace instance Java SAP Control
Pokud chcete ingestovat protokoly webové služby SAP Control do služby Microsoft Sentinel, nakonfigurujte následující podrobnosti o instanci JAVA SAP Control:
| Parametr | Popis |
|---|---|
| javaappserver | Zadejte hostitele serveru SAP Control Java. Příklad: contoso-java.server.com |
| javainstance | Zadejte číslo instance SAP Control ABAP. Příklad: 10 |
| javatz | Zadejte časové pásmo nakonfigurované na serveru SAP Control Java ve formátu GMT. Příklad: GMT+3 |
| javaseverity | Zadejte nejnižší, inkluzivní úroveň závažnosti, pro kterou chcete ingestovat protokoly webové služby do služby Microsoft Sentinel. Mezi tyto hodnoty patří: - 0 = Všechny protokoly - 1 = Upozornění - 2 = Chyba |
Konfigurace shromažďování dat hlavního uživatele
Pokud chcete ingestovat tabulky přímo ze systému SAP s podrobnostmi o autorizaci vašich uživatelů a rolí, nakonfigurujte souborsystemconfig.ini příkazem True/False pro každou tabulku.
Příklad:
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
Další informace najdete v tématu Tabulky načtené přímo ze systémů SAP.
Další kroky
Po instalaci datového konektoru SAP můžete přidat obsah zabezpečení související se sapem.
Další informace najdete v tématu Nasazení řešení SAP.
Další informace naleznete v tématu:
- Nasazení řešení Microsoft Sentinel pro datový konektor aplikací SAP® pomocí SNC
- Monitorování stavu systému SAP
- Podrobné požadavky SAP na řešení Microsoft Sentinel pro aplikace SAP®
- Referenční informace k řešení Microsoft Sentinel pro protokoly aplikací SAP®
- Řešení Microsoft Sentinel pro aplikace SAP®: referenční informace k obsahu zabezpečení
- Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP®
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro