Nasazení kontejneru agenta microsoft Sentinelu pro datový konektor SAP s možnostmi expertů
Tento článek obsahuje postupy pro nasazení a konfiguraci kontejneru agenta microsoft Sentinelu pro agenta datového konektoru SAP s využitím expertů, vlastních nebo ručních možností konfigurace. Pro typická nasazení doporučujeme místo toho použít portál .
Obsah v tomto článku je určený pro týmy SAP BASIS . Další informace najdete v tématu Nasazení agenta datového konektoru SAP z příkazového řádku.
Požadavky
- Než začnete, ujistěte se, že váš systém splňuje požadavky popsané v dokumentu s hlavními požadavky datového konektoru SAP.
Ruční přidání tajných kódů agenta datového konektoru SAP ve službě Azure Key Vault
Pomocí následujícího skriptu ručně přidejte do trezoru klíčů tajné kódy systému SAP. Nezapomeňte zástupné symboly nahradit vlastním ID systému a přihlašovacími údaji, které chcete přidat:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Další informace najdete v rychlém startu: Vytvoření trezoru klíčů pomocí Azure CLI a dokumentace k rozhraní příkazového řádku az keyvault secret CLI.
Provedení odborné / vlastní instalace
Tento postup popisuje, jak nasadit Microsoft Sentinel pro datový konektor SAP prostřednictvím rozhraní příkazového řádku pomocí odborné nebo vlastní instalace, například při instalaci v místním prostředí.
Požadavky: Azure Key Vault je doporučená metoda pro ukládání přihlašovacích údajů a konfiguračních dat ověřování. Tento postup doporučujeme provést až po dokončení připravenosti trezoru klíčů s přihlašovacími údaji SAP.
Nasazení Microsoft Sentinelu pro datový konektor SAP:
Stáhněte si nejnovější sadu SAP NW RFC SDK ze sady SAP Launchpad site>SAP NW RFC SDK SAP NW RFC SDK>7.50>nwrfc750X_X-xxxxxxx.zip a uložte ji do počítače agenta datového konektoru.
Poznámka:
Abyste mohli získat přístup k sadě SDK, budete potřebovat přihlašovací údaje uživatele SAP a musíte stáhnout sadu SDK, která odpovídá vašemu operačnímu systému.
Nezapomeňte vybrat možnost LINUX ON X86_64 .
Na stejném počítači vytvořte novou složku s smysluplným názvem a zkopírujte soubor ZIP sady SDK do nové složky.
Naklonujte úložiště GitHub řešení Microsoft Sentinel do místního počítače a zkopírujte řešení Microsoft Sentinel pro řešení aplikací SAP systemconfig.json soubor do nové složky.
Příklad:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Upravte systemconfig.json soubor podle potřeby pomocí vložených komentářů jako vodítka.
Pomocí pokynů v souboru systemconfig.json definujte následující konfigurace:
- Protokoly, které chcete ingestovat do Microsoft Sentinelu , pomocí pokynů v souboru systemconfig.json .
- Zda zahrnout e-mailové adresy uživatelů do protokolů auditu
- Jestli se mají opakovat neúspěšná volání rozhraní API
- Zda zahrnout protokoly auditu cexal
- Zda se má čekat interval mezi extrahováním dat, zejména u velkých extrahování
Další informace najdete v tématu Ruční konfigurace microsoft Sentinelu pro datový konektor SAP a definování protokolů SAP odesílaných do Microsoft Sentinelu.
K otestování konfigurace můžete chtít přidat uživatele a heslo přímo do konfiguračního souboru systemconfig.json . I když doporučujeme k ukládání přihlašovacích údajů použít Azure Key Vault, můžete také použít soubor env.list , tajné kódy Dockeru nebo můžete své přihlašovací údaje přidat přímo do souboru systemconfig.json .
Další informace najdete v tématu Konfigurace konektorů protokolů SAL.
Uložte aktualizovaný soubor systemconfig.json do adresáře sapcon na svém počítači.
Pokud jste se rozhodli pro své přihlašovací údaje použít soubor env.list , vytvořte dočasný soubor env.list s požadovanými přihlašovacími údaji. Po správném spuštění kontejneru Dockeru nezapomeňte tento soubor odstranit.
Poznámka:
Následující skript obsahuje každý kontejner Dockeru, který se připojuje ke konkrétnímu systému ABAP. Upravte skript podle potřeby pro vaše prostředí.
Run (Spuštění):
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Stáhněte a spusťte předdefinovanou image Dockeru s nainstalovaným datovým konektorem SAP. Run (Spuštění):
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Ověřte, že kontejner Dockeru běží správně. Run (Spuštění):
docker logs –f sapcon-[SID]Pokračujte v nasazování řešení Microsoft Sentinel pro aplikace SAP.
Nasazení řešení umožňuje datovému konektoru SAP zobrazit v Microsoft Sentinelu a nasadit pravidla sešitu a analýzy SAP. Až budete hotovi, přidejte a přizpůsobte si seznamy ke zhlédnutí SAP ručně.
Další informace najdete v tématu Nasazení řešení Microsoft Sentinel pro aplikace SAP z centra obsahu.
Ruční konfigurace Microsoft Sentinelu pro datový konektor SAP
Po nasazení prostřednictvím rozhraní příkazového řádku se Microsoft Sentinel pro datový konektor SAP nakonfiguruje v souboru systemconfig.json , který jste naklonovali do počítače datového konektoru SAP v rámci postupu nasazení. Pomocí obsahu v této části můžete ručně nakonfigurovat nastavení datového konektoru.
Další informace naleznete v tématu Systemconfig.json referenční informace k souborům nebo Systemconfig.ini odkazy na soubory starších systémů.
Definování protokolů SAP odesílaných do Microsoft Sentinelu
Výchozí systemconfig.json soubor je nakonfigurovaný tak, aby zahrnoval integrované analýzy, hlavní tabulky dat autorizace uživatelů SAP, informace o uživatelích a oprávněních a možnost sledovat změny a aktivity v prostředí SAP.
Výchozí konfigurace poskytuje další informace o protokolování, které umožňují vyšetřování po porušení zabezpečení a rozšířené možnosti proaktivního vyhledávání. Konfiguraci ale můžete chtít v průběhu času přizpůsobit, zejména proto, že obchodní procesy jsou sezónní.
Pomocí následujících sad kódu nakonfigurujte soubor systemconfig.json k definování protokolů odesílaných do služby Microsoft Sentinel.
Další informace najdete v tématu Řešení Microsoft Sentinel pro protokoly řešení SAP (Public Preview).
Konfigurace výchozího profilu
Následující kód nakonfiguruje výchozí konfiguraci:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Konfigurace profilu zaměřeného na detekci
Následující kód použijte ke konfiguraci profilu zaměřeného na detekci, který zahrnuje základní protokoly zabezpečení prostředí SAP potřebné k tomu, aby většina analytických pravidel fungovala dobře. Vyšetřování po porušení zabezpečení a možnosti proaktivního vyhledávání jsou omezené.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Pomocí následujícího kódu nakonfigurujte minimální profil, který zahrnuje protokol auditu zabezpečení SAP, což je nejdůležitější zdroj dat, který řešení Microsoft Sentinel pro aplikace SAP používá k analýze aktivit v prostředí SAP. Povolením tohoto protokolu je minimální požadavek na zajištění pokrytí zabezpečení.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Nastavení konektoru protokolů SAL
Do souboru systemconfig.json datového konektoru SAP přidejte následující kód, který definuje další nastavení pro protokoly SAP ingestované do Microsoft Sentinelu.
Další informace najdete v tématu Provedení odborné nebo vlastní instalace datového konektoru SAP.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
Tato část umožňuje konfigurovat následující parametry:
| Název parametru | Popis |
|---|---|
| extractuseremail | Určuje, jestli jsou e-mailové adresy uživatelů zahrnuté v protokolech auditu. |
| apiretry | Určuje, jestli se volání rozhraní API opakuje jako mechanismus převzetí služeb při selhání. |
| auditlogforcexal | Určuje, zda systém vynutí použití protokolů auditu pro jiné systémy než SAL, jako je SAP BASIS verze 7.4. |
| auditlogforcelegacyfiles | Určuje, zda systém vynutí použití protokolů auditu se staršími systémovými možnostmi, jako je SAP BASIS verze 7.4 s nižšími úrovněmi oprav. |
| timechunk | Určuje, že systém čeká určitý počet minut jako interval mezi extrahováním dat. Tento parametr použijte, pokud očekáváte velké množství dat. Například během počátečního načítání dat během prvních 24 hodin můžete chtít, aby extrakce dat běžela jenom každých 30 minut, aby se každému extrahování dat poskytlo dostatek času. V takových případech nastavte tuto hodnotu na 30. |
Konfigurace instance ABAP SAP Control
Pokud chcete ingestovat všechny protokoly ABAP do Služby Microsoft Sentinel, včetně protokolů RFC NW i PROTOKOLU SAP Control, nakonfigurujte následující podrobnosti o řízení SAP ABAP:
| Nastavení | Popis |
|---|---|
| javaappserver | Zadejte hostitele serveru SAP Control ABAP. Příklad: contoso-erp.appserver.com |
| javainstance | Zadejte číslo instance SAP Control ABAP. Příklad: 00 |
| abaptz | Zadejte časové pásmo nakonfigurované na serveru SAP Control ABAP ve formátu GMT. Příklad: GMT+3 |
| abapseverity | Zadejte nejnižší úroveň závažnosti( včetně), pro kterou chcete ingestovat protokoly ABAP do Služby Microsoft Sentinel. Mezi hodnoty patří: - 0 = Všechny protokoly - 1 = Upozornění - 2 = chyba |
Konfigurace instance SAP Control v Javě
Pokud chcete ingestovat protokoly webové služby SAP Control do Služby Microsoft Sentinel, nakonfigurujte následující podrobnosti o instanci SAP SAP Control:
| Parametr | Popis |
|---|---|
| javaappserver | Zadejte hostitele serveru SAP Control Java. Příklad: contoso-java.server.com |
| javainstance | Zadejte číslo instance SAP Control ABAP. Příklad: 10 |
| javatz | Zadejte časové pásmo nakonfigurované na serveru SAP Control Java ve formátu GMT. Příklad: GMT+3 |
| Javaseverity | Zadejte nejnižší úroveň závažnosti, pro kterou chcete ingestovat protokoly webové služby do služby Microsoft Sentinel. Mezi hodnoty patří: - 0 = Všechny protokoly - 1 = Upozornění - 2 = chyba |
Konfigurace shromažďování dat hlavního uživatele
Pokud chcete ingestovat tabulky přímo ze systému SAP s podrobnostmi o uživatelích a autorizaci rolí, nakonfigurujte soubor systemconfig.json příkazem True/False pro každou tabulku.
Příklad:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Další informace najdete v tématu Referenční informace o tabulkách načtených přímo ze systémů SAP.
Související obsah
Další informace naleznete v tématu: