Bereitstellen des Containers mit dem Microsoft Sentinel für SAP-Datenconnector-Agent mit Expertenoptionen

• Gilt für:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel finden Sie Verfahren zum Bereitstellen und Konfigurieren des Containers für den Microsoft Sentinel für SAP-Datenconnector-Agent mithilfe von komplexen, benutzerdefinierten oder manuellen Konfigurationsoptionen. Für typische Bereitstellungen wird empfohlen, stattdessen das Portal zu verwenden.

Die Inhalte in diesem Artikel sind insbesondere für Ihr SAP BASIS-Team vorgesehen. Weitere Informationen finden Sie unter Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile.

Voraussetzungen

• Stellen Sie sicher, dass Ihr System die Voraussetzungen erfüllt, die in dem Hauptdokument zu den Voraussetzungen für die Bereitstellung des SAP-Datenconnectors dokumentiert sind, bevor Sie beginnen.

Manuelles Hinzufügen von Azure Key Vault-Geheimnissen für den SAP-Datenconnector-Agent

Verwenden Sie das folgende Skript, um Ihrem Schlüsseltresor manuell SAP-Systemgeheimnisse hinzuzufügen. Ersetzen Sie die Platzhalter unbedingt durch Ihre eigene System-ID und die Anmeldeinformationen, die Sie hinzufügen möchten:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Weitere Informationen finden Sie im Schnellstart: Erstellen eines Schlüsseltresors mithilfe der Azure-Befehlszeilenschnittstelle und der CLI-Dokumentation zu az keyvault secret.

Durchführen einer Experten-/benutzerdefinierten Installation

In diesem Verfahren wird beschrieben, wie Sie Microsoft Sentinel für den SAP-Datenconnector mithilfe einer Experteninstallation oder benutzerdefinierten Installation bereitstellen, z. B. bei der lokalen Installation.

Voraussetzungen: Azure Key Vault stellt die empfohlene Methode zum Speichern Ihrer Authentifizierungsanmeldeinformationen und Ihrer Konfigurationsdaten dar. Es wird empfohlen, dieses Verfahren auszuführen, nachdem Sie einen Schlüsseltresor mit Ihren SAP-Anmeldeinformationen eingerichtet haben.

Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP:

1. Laden Sie das neueste SAP NW RFC SDK von der Website SAP Launchpad>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip herunter, und speichern Sie es auf dem Computer mit dem Datenconnector-Agent.

   Hinweis

   Sie benötigen Ihre SAP-Benutzeranmeldeinformationen, um auf das SDK zugreifen zu können. Außerdem müssen Sie das SDK herunterladen, das Ihrem Betriebssystem entspricht.

   Wählen Sie die Option LINUX ON X86_64 aus.

2. Erstellen Sie auf demselben Computer einen neuen Ordner mit einem aussagekräftigen Namen, und kopieren Sie die ZIP-Datei des SDK in Ihren neuen Ordner.

3. Klonen Sie das GitHub-Repository mit der Microsoft Sentinel-Lösung auf Ihren lokalen Computer, und kopieren Sie die Datei systemconfig.json der Microsoft Sentinel-Lösung für SAP-Anwendungen in Ihren neuen Ordner.

   Zum Beispiel:

   mkdir /home/$(pwd)/sapcon/<sap-sid>/
   cd /home/$(pwd)/sapcon/<sap-sid>/
   wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
   cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
   

4. Bearbeiten Sie nach Bedarf die Datei systemconfig.json. Orientieren Sie sich dabei an den eingebetteten Kommentaren.

   Legen Sie die folgenden Konfigurationen anhand der Anweisungen in der Datei systemconfig.json fest:

   • Befolgen Sie die Anweisungen in der Datei systemconfig.json, um die Protokolle zu definieren, die Sie in Microsoft Sentinel erfassen möchten.
   • Ob E-Mail-Adressen von Benutzern in Überwachungsprotokollen enthalten sein sollen
   • Ob fehlgeschlagene API-Aufrufe wiederholt werden sollen
   • Ob cexal-Überwachungsprotokolle enthalten sein sollen
   • Ob ein Zeitintervall zwischen Datenextraktionen gewartet werden soll, insbesondere bei großen Extraktionen

   Weitere Informationen finden Sie unter Manuelles Konfigurieren des Microsoft Sentinel für SAP-Datenconnectors und Definieren der SAP-Protokolle, die an Microsoft Sentinel gesendet werden.

   Um Ihre Konfiguration zu testen, sollten Sie Benutzer und Kennwort direkt in der Konfigurationsdatei systemconfig.json hinzufügen. Es wird zwar empfohlen, Azure Key Vault zur Speicherung Ihrer Anmeldeinformationen zu verwenden, Sie können aber auch eine Datei vom Typ env.list oder Docker-Geheimnisse verwenden oder Ihre Anmeldeinformationen direkt in die Datei systemconfig.json einfügen.

   Weitere Informationen finden Sie unter Konfigurationen des SAL-Protokollconnectors.

5. Speichern Sie die aktualisierte Datei systemconfig.json im Verzeichnis sapcon auf Ihrem Computer.

6. Wenn Sie sich zum Angeben Ihrer Ihre Anmeldeinformationen in einer Datei des Typs env.list entschieden haben, erstellen Sie die temporäre Datei env.list mit den erforderlichen Anmeldeinformationen. Sobald Ihr Docker-Container ordnungsgemäß ausgeführt wird, löschen Sie unbedingt diese Datei.

   Hinweis

   Das folgende Skript enthält alle Docker-Container, die eine Verbindung mit einem bestimmten ABAP-System herstellen können. Ändern Sie bei Bedarf Ihr Skript für Ihre Umgebung.

   Führen Sie Folgendes aus:

   ##############################################################
   # Include the following section if you're using user authentication
   ##############################################################
   # env.list template for Credentials
   SAPADMUSER=<SET_SAPCONTROL_USER>
   SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
   LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
   LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
   ABAPUSER=SET_ABAP_USER>
   ABAPPASS=<SET_ABAP_PASS>
   JAVAUSER=<SET_JAVA_OS_USER>
   JAVAPASS=<SET_JAVA_OS_USER>
   ##############################################################
   # Include the following section if you are using Azure Keyvault
   ##############################################################
   # env.list template for AZ Cli when MI is not enabled
   AZURE_TENANT_ID=<your tenant id>
   AZURE_CLIENT_ID=<your client/app id>
   AZURE_CLIENT_SECRET=<your password/secret for the service principal>
   ##############################################################
   

7. Laden Sie das vordefinierte Docker-Image herunter, und führen Sie es bei installiertem SAP-Datenconnector aus. Führen Sie Folgendes aus:

   docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
   docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
   rm -f <env.list_location>
   

8. Überprüfen Sie, ob der Docker-Container ordnungsgemäß ausgeführt wird. Führen Sie Folgendes aus:

   docker logs –f sapcon-[SID]
   

9. Fahren Sie mit dem Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen fort.

   Durch die Bereitstellung der Lösung wird der SAP-Datenconnector in Microsoft Sentinel angezeigt, und die SAP-Arbeitsmappe und -Analyseregeln werden bereitgestellt. Wenn Sie fertig sind, fügen Sie Ihre SAP-Watchlists manuell hinzu, und passen Sie sie an.

   Weitere Informationen finden Sie unter Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen aus dem Inhaltshub.

Manuelles Konfigurieren des Microsoft Sentinel-Datenconnectors für SAP

Der Microsoft Sentinel für SAP-Datenconnector wird in der Datei systemconfig.json konfiguriert, die Sie im Rahmen des Bereitstellungsvorgangs auf den Computer mit dem SAP-Datenconnector geklont haben. Verwenden Sie den Inhalt in diesem Abschnitt, um die Einstellungen des Datenconnectors manuell zu konfigurieren.

Weitere Informationen finden Sie in der Referenz zur Datei „systemconfig.json“ oder bei Legacysystemen in der Referenz zur Datei „systemconfig.ini“.

Definieren der an Microsoft Sentinel gesendeten SAP-Protokolle

Die systemconfig-Standarddatei ist so konfiguriert, dass integrierte Analysen, die Masterdatentabellen zur SAP-Benutzerautorisierung mit Benutzer- und Berechtigungsinformationen sowie die Möglichkeit zum Nachverfolgen von Änderungen und Aktivitäten in der SAP-Umgebung abgedeckt werden. Diese Standardkonfiguration bietet zusätzliche Protokollinformationen, um Untersuchungen nach Sicherheitsverletzungen und erweiterte Huntingfunktionen zu unterstützen.

Möglicherweise möchten Sie Ihre Konfiguration jedoch im Lauf der Zeit anpassen, insbesondere wenn Geschäftsprozesse saisonal sind.

Verwenden Sie die folgenden Codeblöcke, um die Datei systemconfig.json zu konfigurieren und die Protokolle zu definieren, die an Microsoft Sentinel gesendet werden.

Weitere Informationen finden Sie unter Referenz zu den Lösungsprotokollen für die Microsoft Sentinel-Lösung für SAP-Anwendungen (Public Preview).

Konfigurieren eines Standardprofils

Mit dem folgenden Code wird eine Standardkonfiguration konfiguriert:

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Konfigurieren eines erkennungsorientierten Profils

Verwenden Sie den folgenden Code, um ein erkennungsorientiertes Profil zu konfigurieren, das die wichtigsten Sicherheitsprotokolle der SAP-Umgebung enthält, die für eine reibungslose Funktion der meisten Analyseregeln erforderlich sind. Die Untersuchungsmöglichkeiten und Huntingfunktionen nach Sicherheitsverletzungen sind eingeschränkt.

##############################################################
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

Verwenden Sie den folgenden Code, um ein minimales Profil zu konfigurieren, das das SAP-Sicherheitsüberwachungsprotokoll enthält, das die wichtigste Datenquelle ist, die die Microsoft Sentinel-Lösung für SAP-Anwendungen zum Analysieren von Aktivitäten in der SAP-Landschaft verwenden. Die Aktivierung dieses Protokolls stellt die Mindestanforderung für die Bereitstellung von Sicherheit dar.

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False

Einstellungen des SAL-Protokollconnectors

Fügen Sie den folgenden Code der Datei systemconfig.json des Microsoft Sentinel für SAP-Datenconnectors hinzu, um weitere Einstellungen für in Microsoft Sentinel erfasste SAP-Protokolle zu definieren.

Weitere Informationen finden Sie unter Ausführen einer Experten-/benutzerdefinierten Installation des SAP-Datenconnectors.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

In diesem Abschnitt können Sie die folgenden Parameter konfigurieren:

Parametername	BESCHREIBUNG
extractuseremail	Bestimmt, ob E-Mail-Adressen von Benutzern in Überwachungsprotokollen enthalten sind.
apiretry	Bestimmt, ob API-Aufrufe als Failovermechanismus wiederholt werden.
auditlogforcexal	Bestimmt, ob das System Überwachungsprotokolle für Nicht-SAL-Systeme erzwingt, z. B. für SAP BASIS-Version 7.4.
auditlogforcelegacyfiles	Bestimmt, ob das System Überwachungsprotokolle mit Legacysystemfunktionen erzwingt, z. B. ab SAP BASIS-Version 7.4 mit niedrigeren Patchebenen.
timechunk	Bestimmt, dass das System eine bestimmte Anzahl von Minuten als Intervall zwischen Datenextraktionen wartet. Verwenden Sie diesen Parameter, wenn eine große Datenmenge erwartet wird. Während des ersten Datenladevorgangs in den ersten 24 Stunden sollten Sie z. B. die Datenextraktion nur alle 30 Minuten ausführen lassen, um jeder Datenextraktion genügend Zeit zu geben. Legen Sie in solchen Fällen diesen Wert auf 30 fest.

Konfigurieren einer ABAP SAP Control-Instanz

Konfigurieren Sie die folgenden Details für ABAP SAP Control, um alle ABAP-Protokolle in Microsoft Sentinel zu erfassen, einschließlich NW RFC- und SAP Control Web Service-basierter Protokolle:

Einstellung	BESCHREIBUNG
javaappserver	Geben Sie Ihren SAP Control ABAP-Serverhost ein. Beispiel: contoso-erp.appserver.com
javainstance	Geben Sie Ihre SAP Control ABAP-Instanznummer ein. Beispiel: 00
abaptz	Geben Sie die auf Ihrem SAP Control ABAP-Server konfigurierte Zeitzone im GMT-Format ein. Beispiel: GMT+3
abapseverity	Geben Sie den niedrigsten eingeschlossenen Schweregrad ein, für den Sie ABAP-Protokolle in Microsoft Sentinel erfassen möchten. Mögliche Werte sind: - 0 = Alle Protokolle - 1 = Warnung - 2 = Fehler

Konfigurieren einer Java SAP Control-Instanz

Konfigurieren Sie die folgenden JAVA SAP Control-Instanzdetails, um SAP Control Web Service-Protokolle in Microsoft Sentinel zu erfassen:

Parameter	BESCHREIBUNG
javaappserver	Geben Sie Ihren SAP Control Java-Serverhost ein. Beispiel: contoso-java.server.com
javainstance	Geben Sie Ihre SAP Control ABAP-Instanznummer ein. Beispiel: 10
javatz	Geben Sie die auf Ihrem SAP Control Java-Server konfigurierte Zeitzone im GMT-Format ein. Beispiel: GMT+3
javaseverity	Geben Sie den niedrigsten eingeschlossenen Schweregrad ein, für den Sie Web Service-Protokolle in Microsoft Sentinel erfassen möchten. Mögliche Werte sind: - 0 = Alle Protokolle - 1 = Warnung - 2 = Fehler

Konfigurieren der Benutzer-Masterdatensammlung

Um Tabellen direkt aus Ihrem SAP-System mit Details zu Ihren Benutzern und Rollenautorisierungen zu erfassen, konfigurieren Sie Ihre Datei systemconfig.json mit einer True/False-Anweisung für jede Tabelle.

Zum Beispiel:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Weitere Informationen finden Sie in der Referenz zu Tabellen, die direkt aus SAP-Systemen abgerufen werden.

Zugehöriger Inhalt

Weitere Informationen finden Sie unter:

• Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
• Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen