Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan procedimientos para implementar y configurar el Microsoft Sentinel para el contenedor del agente del conector de datos de SAP con opciones de configuración expertas, personalizadas o manuales. En el caso de las implementaciones típicas, se recomienda usar el portal en su lugar.
El contenido de este artículo está destinado a los equipos de SAP BASIS . Para obtener más información, consulte Implementación de un agente de conector de datos de SAP desde la línea de comandos.
Nota:
Este artículo solo es relevante para el agente del conector de datos y no es relevante para el conector de datos sin agente de SAP.
Requisitos previos
- Asegúrese de que el sistema cumple los requisitos previos pertinentes antes de empezar. Para obtener más información, consulte Requisitos previos de implementación para las soluciones de Microsoft Sentinel para aplicaciones SAP.
Agregar manualmente el agente de conector de datos de SAP Azure Key Vault secretos
Use el siguiente script para agregar manualmente secretos del sistema SAP al almacén de claves. Asegúrese de reemplazar los marcadores de posición por su propio identificador de sistema y las credenciales que desea agregar:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Para obtener más información, consulte inicio rápido: Creación de un almacén de claves mediante la CLI de Azure y la documentación de az keyvault secret CLI.
Realizar una instalación personalizada o experta
En este procedimiento se describe cómo implementar la Microsoft Sentinel para el conector de datos de SAP a través de la CLI mediante una instalación personalizada o experta, como al instalar localmente.
Requisitos previos: Azure Key Vault es el método recomendado para almacenar las credenciales de autenticación y los datos de configuración. Se recomienda realizar este procedimiento solo después de tener un almacén de claves listo con sus credenciales de SAP.
Para implementar la Microsoft Sentinel para el conector de datos de SAP:
Descargue el SDK RFC de SAP NW más reciente del sitio > de SAP LaunchpadSAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zipy guárdelo en la máquina del agente del conector de datos.
Nota:
Necesitará la información de inicio de sesión del usuario de SAP para acceder al SDK y debe descargar el SDK que coincida con el sistema operativo.
Asegúrese de seleccionar la opción LINUX ON X86_64 .
En la misma máquina, cree una nueva carpeta con un nombre significativo y copie el archivo ZIP del SDK en la nueva carpeta.
Clone el repositorio de GitHub de la solución Microsoft Sentinel en la máquina local y copie Microsoft Sentinel solución para la solución de aplicaciones SAP systemconfig.json archivo en la nueva carpeta.
Por ejemplo:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Edite el archivo systemconfig.json según sea necesario, con los comentarios incrustados como guía.
Defina las siguientes configuraciones mediante las instrucciones del archivo systemconfig.json :
- Los registros que desea ingerir en Microsoft Sentinel mediante las instrucciones del archivo systemconfig.json.
- Si se deben incluir direcciones de correo electrónico de usuario en los registros de auditoría
- Si se deben reintentar las llamadas API con errores
- Si se deben incluir registros de auditoría cexal
- Si se espera un intervalo de tiempo entre las extracciones de datos, especialmente para las extracciones de gran tamaño
Para obtener más información, consulte Configuración manual de los Microsoft Sentinel para el conector de datos de SAP y Definición de los registros de SAP que se envían a Microsoft Sentinel.
Para probar la configuración, es posible que desee agregar el usuario y la contraseña directamente al archivo de configuración de systemconfig.json . Aunque se recomienda usar Azure almacén de claves para almacenar las credenciales, también puede usar un archivo env.list, secretos de Docker o puede agregar sus credenciales directamente al archivo systemconfig.json.
Para obtener más información, consulte Configuraciones del conector de registros SAL.
Guarde el archivo systemconfig.json actualizado en el directorio sapcon del equipo.
Si ha elegido usar un archivo env.list para sus credenciales, cree un archivo env.list temporal con las credenciales necesarias. Una vez que el contenedor de Docker se ejecute correctamente, asegúrese de eliminar este archivo.
Nota:
El siguiente script tiene cada contenedor de Docker que se conecta a un sistema ABAP específico. Modifique el script según sea necesario para su entorno.
Ejecute:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Descargue y ejecute la imagen predefinida de Docker con el conector de datos de SAP instalado. Ejecute:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Compruebe que el contenedor de Docker se ejecuta correctamente. Ejecute:
docker logs –f sapcon-[SID]Continúe con la implementación de Microsoft Sentinel solución para aplicaciones sap.
La implementación de la solución permite que el conector de datos de SAP se muestre en Microsoft Sentinel e implemente el libro de SAP y las reglas de análisis. Cuando haya terminado, agregue y personalice manualmente las listas de reproducción de SAP.
Para obtener más información, consulte Implementación de la solución de Microsoft Sentinel para aplicaciones SAP desde el centro de contenido.
Configuración manual de la Microsoft Sentinel para el conector de datos de SAP
Cuando se implementa a través de la CLI, la Microsoft Sentinel para el conector de datos de SAP se configura en el archivo systemconfig.json, que ha clonado en la máquina del conector de datos de SAP como parte del procedimiento de implementación. Use el contenido de esta sección para configurar manualmente los valores del conector de datos.
Para obtener más información, consulte Systemconfig.json referencia de archivos o Systemconfig.ini referencia de archivos para sistemas heredados.
Definir los registros de SAP que se envían a Microsoft Sentinel
El archivo de systemconfig.json predeterminado está configurado para cubrir el análisis integrado, las tablas de datos maestros de autorización de usuario de SAP, con información de usuarios y privilegios, y la capacidad de realizar un seguimiento de los cambios y las actividades en el entorno de SAP.
La configuración predeterminada proporciona más información de registro para permitir investigaciones posteriores a la infracción y capacidades de búsqueda extendidas. Sin embargo, es posible que quiera personalizar la configuración con el tiempo, especialmente porque los procesos empresariales tienden a ser estacionales.
Use los siguientes conjuntos de código para configurar el archivo systemconfig.json para definir los registros que se envían a Microsoft Sentinel.
Para obtener más información, consulte Microsoft Sentinel referencia de los registros de soluciones de soluciones de la solución de soluciones de la solución de soluciones de solución de Microsoft Sentinel (versión preliminar pública).
Configuración de un perfil predeterminado
El código siguiente configura una configuración predeterminada:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Configuración de un perfil centrado en la detección
Use el código siguiente para configurar un perfil centrado en la detección, que incluye los registros de seguridad principales del entorno de SAP necesarios para que la mayoría de las reglas de análisis funcionen bien. Las investigaciones posteriores a la vulneración y las funcionalidades de búsqueda son limitadas.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Use el código siguiente para configurar un perfil mínimo, que incluye el registro de auditoría de seguridad de SAP, que es el origen de datos más importante que usa la solución Microsoft Sentinel para las aplicaciones de SAP para analizar las actividades en el entorno de SAP. Habilitar este registro es el requisito mínimo para proporcionar cualquier cobertura de seguridad.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Configuración del conector de registros SAL
Agregue el código siguiente al archivo de systemconfig.json de Microsoft Sentinel del conector de datos de SAP para definir otras opciones de configuración para los registros de SAP ingeridos en Microsoft Sentinel.
Para obtener más información, consulte Realización de una instalación de conectores de datos sap expertos o personalizados.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
Esta sección le permite configurar los parámetros siguientes:
| Nombre del parámetro | Descripción |
|---|---|
| extractuseremail | Determina si las direcciones de correo electrónico de usuario se incluyen en los registros de auditoría. |
| apiretry | Determina si las llamadas API se reintenten como mecanismo de conmutación por error. |
| auditlogforcexal | Determina si el sistema fuerza el uso de registros de auditoría para sistemas que no son sal, como SAP BASIS versión 7.4. |
| auditlogforcelegacyfiles | Determina si el sistema fuerza el uso de registros de auditoría con funcionalidades del sistema heredadas, como la versión 7.4 de SAP BASIS con niveles de revisión inferiores. |
| timechunk | Determina que el sistema espera un número específico de minutos como intervalo entre las extracciones de datos. Use este parámetro si tiene una gran cantidad de datos esperados. Por ejemplo, durante la carga inicial de datos durante las primeras 24 horas, es posible que desee que la extracción de datos se ejecute solo cada 30 minutos para dar a cada extracción de datos el tiempo suficiente. En tales casos, establezca este valor en 30. |
Configuración de una instancia de control sap de ABAP
Para ingerir todos los registros de ABAP en Microsoft Sentinel, incluidos los registros basados en NW RFC y SAP Control Web Service, configure los siguientes detalles de ABAP SAP Control:
| Configuración | Descripción |
|---|---|
| javaappserver | Escriba el host del servidor ABAP de SAP Control. Por ejemplo: contoso-erp.appserver.com |
| javainstance | Escriba el número de instancia de SAP Control ABAP. Por ejemplo: 00 |
| abaptz | Escriba la zona horaria configurada en el servidor sap control ABAP, en formato GMT. Por ejemplo: GMT+3 |
| abapseverity | Escriba el nivel de gravedad más bajo, inclusivo y para el que desea ingerir los registros de ABAP en Microsoft Sentinel. Los valores son: - 0 = Todos los registros - 1 = Advertencia - 2 = Error |
Configuración de una instancia de Control SAP de Java
Para ingerir registros de SAP Control Web Service en Microsoft Sentinel, configure los siguientes detalles de la instancia de CONTROL DE SAP de JAVA:
| Parámetro | Description |
|---|---|
| javaappserver | Escriba el host del servidor de Java de SAP Control. Por ejemplo: contoso-java.server.com |
| javainstance | Escriba el número de instancia de SAP Control ABAP. Por ejemplo: 10 |
| javatz | Escriba la zona horaria configurada en el servidor de Java de SAP Control, en formato GMT. Por ejemplo: GMT+3 |
| javaseverity | Escriba el nivel de gravedad más bajo, inclusivo y para el que desea ingerir los registros del servicio web en Microsoft Sentinel. Los valores son: - 0 = Todos los registros - 1 = Advertencia - 2 = Error |
Configuración de la recopilación de datos maestros de usuario
Para ingerir tablas directamente desde el sistema SAP con detalles sobre los usuarios y las autorizaciones de roles, configure el archivo de systemconfig.json con una True/False instrucción para cada tabla.
Por ejemplo:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Para obtener más información, consulte Referencia de tablas recuperadas directamente de sistemas SAP.
Contenido relacionado
Para más información, vea: