Configurar las autorizaciones SAP e implementar las solicitudes de cambio SAP opcionales

  • Artículo

Este artículo describe cómo preparar su entorno para la instalación del agente SAP de modo que pueda conectarse correctamente a sus sistemas SAP. La preparación incluye la configuración de las autorizaciones SAP necesarias y, opcionalmente, la implementación de solicitudes de cambio (CR) SAP adicionales.

  • Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Hitos de la implementación

Realice un seguimiento del recorrido de implementación de la solución de SAP mediante esta serie de artículos:

  1. Descripción general de la implementación

  2. Requisitos previos de implementación

  3. Trabajar con la solución en varias áreas de trabajo (VERSIÓN PRELIMINAR)

  4. Preparación del entorno de SAP (usted está aquí)

  5. Configuración de la auditoría

  6. Implementar el contenido de la solución desde el centro de contenido

  7. Implementación del agente del conector de datos

  8. Configuración de la solución Microsoft Sentinel para aplicaciones SAP®

  9. Pasos de implementación opcionales

Configurar la función Microsoft Sentinel

  1. Cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_RESPONDER en GitHub.

    Esto crea la función /MSFTSEN/SENTINEL_RESPONDER, que incluye todas las autorizaciones necesarias para recuperar registros de los sistemas SAP y ejecutar acciones de respuesta a la interrupción de ataques.

    Como alternativa, cree una función de forma manual con las autorizaciones pertinentes requeridas para los registros que desea ingerir. Para obtener más información, consulta Autorizaciones de ABAP necesarias. Los ejemplos de este procedimiento utilizan el nombre /MSFTSEN/SENTINEL_RESPONDER.

  2. El siguiente paso es generar un perfil de rol activo para que se use en Microsoft Sentinel. Ejecute la transacción PFCG:

    En la pantalla SAP Easy Access, introduzca PFCGen el campo situado en la esquina superior izquierda de la pantalla, y luego presioneINTRO.

  3. En la ventana Role Maintenance, escriba el nombre de rol /MSFTSEN/SENTINEL_RESPONDER en el campo Role y seleccione el botón Change (el lápiz).

  4. En la ventana Change Roles que aparece, seleccione la pestaña Authorizations.

  5. En la pestaña Authorizations, seleccione Change Authorization Data.

  6. En el menú emergente Information, lea el mensaje y seleccione la marca de verificación verde para confirmar.

  7. En la ventana Change Role: Authorizations, seleccione Generate.

    Vea que el campo Status ha cambiado de Unchanged a generated.

  8. Seleccione Back (a la izquierda del logotipo de SAP en la parte superior de la pantalla).

  9. De nuevo en la ventana Change Roles, compruebe que la pestaña Authorizations muestre un cuadro verde y, a continuación, seleccione Save.

Creación de un usuario

La solución Microsoft Sentinel para aplicaciones SAP® requiere una cuenta de usuario para conectarse al sistema SAP. Siga las instrucciones a continuación para crear una cuenta de usuario y asignarla al rol que creó en el paso anterior.

En los ejemplos mostrados aquí, utilizamos el nombre de la función /MSFTSEN/SENTINEL_RESPONDER.

  1. Ejecute la transacción SU01:

    En la pantalla SAP Easy Access, introduzca SU01en el campo situado en la esquina superior izquierda de la pantalla, y presione INTRO.

  2. En la pantalla User Maintenance: Initial Screen, escriba el nombre del nuevo usuario en el campo User y seleccione Create Technical User en la barra de botones.

  3. En la pantalla Maintain Users, seleccione System en la lista desplegable User Type. Cree y escriba una contraseña compleja en los campos New Password y Repeat Password y, a continuación, seleccione la pestaña Roles.

  4. En la pestaña Roles, en la sección Role Assignments, escriba el nombre completo del rol (/MSFTSEN/SENTINEL_RESPONDER en el ejemplo) y presione Entrar.

    Después de presionar Entrar, compruebe que en el lado derecho de la sección Role Assignments se hayan rellenado los datos, como Change Start Date.

  5. Seleccione la pestaña Profiles, compruebe que aparezca un perfil para el rol en Assigned Authorization Profiles y seleccione Save.

Autorizaciones de ABAP necesarias

En esta sección se enumeran las autorizaciones ABAP necesarias para garantizar que la cuenta de usuario SAP utilizada por el conector de datos SAP de Microsoft Sentinel pueda recuperar correctamente los registros de los sistemas SAP y ejecutar acciones de respuesta a la interrupción de ataques.

Las autorizaciones requeridas se enumeran aquí por su finalidad. Solo necesita las autorizaciones que se enumeran para los tipos de registros que desea introducir en Microsoft Sentinel y las acciones de respuesta a la interrupción de ataques que desea aplicar.

Sugerencia

Para crear una función con todas las autorizaciones necesarias, cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_RESPONDER.

Alternativamente, para habilitar solo la recuperación de registros, sin acciones de respuesta a la interrupción del ataque, implemente SAP NPLK900271 CR en el sistema SAP para crear la función /MSFTSEN/SENTINEL_CONNECTOR, o cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_CONNECTOR.

Objeto de autorización Campo Value
Todos los registros
S_RFC RFC_TYPE Módulo de función
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Execute
S_TCODE TCD SM51
S_TABU_NAM ACTVT Mostrar
S_TABU_NAM TABLE T000
Opcional: solo si se implementó la CR de la solución Sentinel
S_RFC RFC_NAME /MSFTSEN/*
Registro de aplicaciones de ABAP
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Mostrar
Registro de documentos de cambio de ABAP
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS
Registro de CR de ABAP
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Mostrar
Registro de datos de tabla de base de datos de ABAP
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER
Registro de trabajos de ABAP
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
Registros de spool de ABAP
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (uso de la transacción SP01 (todos los sistemas))
Registro de flujo de trabajo de ABAP
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD
Registro de auditoría de seguridad de ABAP
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (autenticación de visualización de auditoría de base).
S_SAL SAL_ACTVT SHOW_LOG (evaluar el registro basado en archivos)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Mostrar
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Lock
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL
Datos del usuario
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04
Historial de configuración
S_TABU_NAM TABLE PAHI
Datos de SNC
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL
Acciones de respuesta a la interrupción del ataque
S_RFC RFC_TYPE Módulo de función
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
A diferencia de su nombre, esta función no elimina usuarios, sino que finaliza la sesión de usuario activa.
S_USER_GRP CLASS *
Recomendamos sustituir S_USER_GRP CLASS por las clases relevantes de su organización que representen a los usuarios de diálogo.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

Si es necesario, puede quitar el rol de usuario y la CR opcional instalada en el sistema ABAP.

Implementación de CR opcionales

Esta sección presenta una guía paso a paso para implementar CR adicionales y opcionales. Está dirigido a ingenieros de SOC o implementadores que no necesariamente sean expertos en SAP.

Los administradores SAP experimentados que estén familiarizados con el proceso de despliegue de CR pueden preferir obtener los CR adecuados directamente de la sección de pasos de validación del entorno SAP de la guía e implementarlos.

Recomendamos encarecidamente que la implementación de los CR de SAP la realice un administrador de sistemas SAP con experiencia.

En la siguiente tabla se describen las CR opcionales disponibles para implementar:

CR Descripción
NPLK900271 Crea y configura una función de ejemplo con las autorizaciones básicas necesarias para permitir que el conector de datos SAP se conecte a su sistema SAP. Como alternativa, puede cargar las autorizaciones directamente desde un archivo o definir de forma manual la función en función de los registros que desee ingerir.

Para obtener más información, consulte Autorizaciones de ABAP necesarias y Crear y configurar una función (obligatorio).
NPLK900201 o NPLK900202 Recupera información adicional de SAP. Seleccione uno de estos CR en función de su versión SAP.

Requisitos previos para implementar las RC

  1. Asegúrese de haber copiado los detalles de la versión del sistema SAP, el Id. del sistema (SID), el número de sistema, el número de cliente, la dirección IP, el nombre de usuario administrativo y la contraseña antes de iniciar el proceso de implementación. En el ejemplo siguiente, se dan por supuesto los detalles siguientes:

    • Versión del sistema SAP:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • Número del sistema:00
    • Número de cliente:001
    • Dirección IP:192.168.136.4
    • Usuario administrador:a4hadm; sin embargo, la conexión SSH al sistema SAP se establece con credenciales de usuario root.

  2. Asegúrese de saber qué RC desea implementar.

  3. Si está implementando el CR NPLK900202 para recuperar información adicional, asegúrese de haber instalado la nota SAP correspondiente.

Configuración de los archivos

  1. Inicie sesión en el sistema SAP mediante SSH.

  2. Transfiera los archivos CR al sistema SAP o descargue los archivos directamente en el sistema SAP desde el indicador SSH. Use los comandos siguientes:

    • Descargar NPLK900271

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      Como alternativa, puede cargar estas autorizaciones directamente desde un archivo.

    • Descargar NPLK900202

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • Descargar NPLK900201

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    Cada CR consta de dos archivos, uno que empieza por K y otro por R.

  3. Cambie la titularidad de los archivos al usuario <sid>adm y al grupo sapsys. (Sustituya el identificador del sistema SAP por <sid>).

    chown <sid>adm:sapsys *.NPL

    En nuestro ejemplo:

    chown a4hadm:sapsys *.NPL

  4. Copie los archivos con la información de las solicitudes de cambio (cofiles, que comienzan por K) en la carpeta /usr/sap/trans/cofiles. Conserve los permisos durante la copia, mediante el comando cp con el modificador -p.

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. Copie los archivos de datos (que comienzan por R) en la carpeta /usr/sap/trans/data. Conserve los permisos durante la copia, mediante el comando cp con el modificador -p.

    cp -p R*.NPL /usr/sap/trans/data/

Importación de las solicitudes de cambio

  1. Inicie la aplicación SAP Logon e inicie sesión en la consola de la GUI de SAP.

  2. Ejecute la transacción STMS_IMPORT:

    En la pantalla SAP Easy Access, introduzca STMS_IMPORT en el campo situado en la esquina superior izquierda de la pantalla y, a continuación, pulse INTRO.

    Captura de pantalla de la ejecución de la operación de importación STMS.

  3. En la ventana Import Queue que aparece, seleccione More > Extras > Other Requests > Add.

    Captura de pantalla de la adición de una cola de importación.

  4. En la ventana emergente Add Transport Requests to Import Queue que aparece, seleccione el campo Transp. Request.

  5. Aparecerá la ventana Transport requests, que mostrará una lista de solicitudes de cambio disponibles para su implementación. Seleccione una solicitud de cambio y luego el botón de marca de verificación verde.

  6. De nuevo en la ventana Agregar solicitud de transporte a la cola de importación, seleccione Continuar (la marca de verificación verde) o pulse INTRO.

  7. En el cuadro de diálogo de confirmación Add Transport Request, seleccione Yes.

  8. Si tiene previsto implementar más CR, repita el procedimiento de los cinco pasos anteriores para los CR restantes.

  9. En la ventana Import Queue (Importar cola), seleccione la solicitud de transporte correspondiente una vez y, a continuación, seleccione F9 o el icono Select/Deselect Request (Seleccionar o anular la selección de la solicitud).

  10. Si le quedan solicitudes de transporte por agregar a la implementación, repita el paso 9.

  11. Seleccione el icono Import Requests (Importar solicitudes):

    Captura de pantalla de la importación de todas las solicitudes.

  12. En la ventana Start Import, seleccione el campo Target Client.

  13. Aparece el cuadro de diálogo Ayuda de entrada... Seleccione el número del cliente en el que quiera implementar las solicitudes de cambio (001 en el ejemplo) y, luego, seleccione la marca de verificación verde para confirmar.

  14. De nuevo en la ventana Start Import, seleccione la pestaña Options, marque la casilla Ignore Invalid Component Version y active la marca de verificación verde para confirmar.

    Captura de pantalla de la ventana de inicio de la importación.

  15. En el cuadro de diálogo de confirmación Start Import, seleccione Yes para confirmar la importación.

  16. De nuevo en la ventana Import Queue, seleccione Refresh, espere hasta que se complete la operación de importación y la cola de importación aparezca vacía.

  17. Para revisar el estado de importación, en la ventana Import Queue, seleccione More > Go To > Import History.

    Captura de pantalla de la ventana de inicio de la importación.

  18. Si implementó el NPLK900202CR, se espera que muestre una Advertencia. Seleccione la entrada para comprobar que las advertencias que aparecen sean del tipo "Table <nombre de tabla> was activated".

    Los CR y las versiones que aparecen en las siguientes capturas de pantalla pueden cambiar en función de la versión de CR que tenga instalada.

    Captura de pantalla del estado de la importación.

    Captura de pantalla del mensaje de advertencia de la importación.

Compruebe que la tabla PAHI (historial del sistema, la base de datos y los parámetros de SAP) se actualiza a intervalos regulares

La tabla PAHI de SAP incluye datos sobre el historial del sistema SAP, la base de datos y los parámetros de SAP. En algunos casos, la solución Microsoft Sentinel para aplicaciones de SAP no puede supervisar la tabla PAHI de SAP a intervalos regulares, debido a la falta de configuración o a errores (consulte la nota de SAP ® con más detalles sobre este problema). Es importante actualizar la tabla PAHI y supervisarla con frecuencia, de modo que la aplicaciones de Solución Microsoft Sentinel para SAP® pueda alertar sobre acciones sospechosas que pueden producirse en cualquier momento durante todo el día.

Obtenga más información sobre cómo la solución Microsoft Sentinel para aplicaciones SAP® supervisa los cambios de configuración sospechosos en los parámetros de seguridad.

Nota

Para obtener resultados óptimos, en el archivo systemconfig.ini de la máquina, en la sección [ABAP Table Selector], habilite los parámetros PAHI_FULL y PAHI_INCREMENTAL.

Para comprobar que la tabla PAHI se actualiza a intervalos regulares:

  1. Compruebe si el trabajo SAP_COLLECTOR_FOR_PERFMONITOR, basado en el programa RSCOLL00, está programado y en ejecución por hora por el usuario DDIC en el cliente 000.
  2. Compruebe si los nombres de informe RSHOSTPH, RSSTATPH y RSDB_PAR se mantienen en la tabla TCOLL.
    • informe RSHOSTPH: lee los parámetros del kernel del sistema operativo y almacena estos datos en la tabla PAHI.
    • informe RSSTATPH: lee los parámetros del perfil de SAP y almacena estos datos en la tabla PAHI.
    • informe RSDB_PAR: lee los parámetros de la base de datos y los almacena en la tabla PAHI.

Si el trabajo existe y está configurado correctamente, no se necesitan más pasos.

Si el trabajo no existe:

  1. Inicie sesión en su sistema SAP en el cliente 000.

  2. Ejecute la transacción SM36.

  3. En Nombre del trabajo, escriba SAP_COLLECTOR_FOR_PERFMONITOR.

    Captura de pantalla de la adición del trabajo usado para supervisar la tabla de PAHI de SAP.

  4. Seleccione Paso y rellene esta información:

    • En Usuario, escriba DDIC.
    • En Nombre del programa ABAP, escriba RSCOLL00.

  5. Guarde la configuración.

    Captura de pantalla de la definición de un usuario para el trabajo usado para supervisar la tabla PAHI de SAP.

  6. Seleccione F3 para volver a la pantalla anterior.

  7. Seleccione Condición de inicio para definir la condición de inicio.

  8. Seleccione Inmediato y active la casilla Trabajo periódico.

    Captura de pantalla que muestra la definición del trabajo utilizado para supervisar la tabla PAHI de SAP de manera periódica.

  9. Seleccione Valores de período y seleccione Cada hora.

  10. Seleccione Guardar dentro del cuadro de diálogo y, a continuación, seleccione Guardar en la parte inferior.

    Captura de pantalla que muestra la definición del trabajo utilizado para supervisar la tabla PAHI de SAP cada hora.

  11. Para liberar el trabajo, seleccione Guardar en la parte superior.

    Captura de pantalla que muestra la liberación del trabajo utilizado para supervisar la tabla PAHI de SAP cada hora.

Pasos siguientes

Su entorno SAP está ahora totalmente preparado para implementar un agente conector de datos. Se aprovisionan una función y un perfil, se crea una cuenta de usuario y se le asigna el perfil de función correspondiente, y se despliegan los CR según sea necesario para su entorno.

Ahora está listo para habilitar y configurar la auditoría SAP para Microsoft Sentinel.

Habilitación y configuración de la auditoría de SAP para Microsoft Sentinel