Déployer le conteneur d’agent du connecteur de données Microsoft Sentinel pour SAP avec des options avancées
Cet article fournit des procédures de déploiement et de configuration du conteneur d’agent du connecteur de données Microsoft Sentinel pour SAP à l’aide d’options de configuration avancées, personnalisées ou manuelles. Pour les déploiements classiques, nous vous recommandons d’utiliser le portail à la place.
Le contenu de cet article est destiné à vos équipes SAP BASIS. Pour plus d’informations, consultez Déployer un agent de connecteur de données SAP depuis la ligne de commande.
Prérequis
- Avant de commencer, assurez-vous que votre système est conforme aux conditions préalables décrites dans le document principal sur les conditions préalables qui s’appliquent au connecteur de données SAP.
Ajouter manuellement les secrets Azure Key Vault de l’agent de connecteur de données SAP
Utilisez le script suivant pour ajouter manuellement des secrets système SAP à votre coffre de clés. Veillez à remplacer les espaces réservés par votre propre ID système et les informations d’identification à ajouter :
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Pour plus d’informations, consultez Démarrage rapide : Créer un coffre de clés à l’aide de l’interface de ligne de commande Azure CLI ainsi que la documentation de l’interface CLI relative à az keyvault secret.
Effectuer une installation experte/personnalisée
Cette procédure décrit comment déployer le connecteur de données Microsoft Sentinel pour SAP via la CLI à l'aide d'une installation experte ou personnalisée, comme dans le cas d'une installation sur site.
Prérequis : Azure Key Vault est la méthode recommandée pour stocker vos informations d’identification d’authentification et vos données de configuration. Nous vous recommandons d’effectuer cette procédure uniquement après avoir préparé un coffre de clés avec vos informations d’identification SAP.
Déployer le connecteur de données Microsoft Sentinel for SAP:
Téléchargez la dernière version du kit SDK SAP NW RFC à partir du site SAP Launchpad>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip, puis enregistrez-la sur votre machine d’agent de connecteur de données.
Remarque
Vous aurez besoin de vos informations de connexion d’utilisateur SAP pour accéder au Kit de développement logiciel (SDK), et vous devrez télécharger le Kit de développement logiciel (SDK) qui correspond à votre système d’exploitation.
Veillez à sélectionner l’option LINUX ON X86_64.
Sur la même machine, créez un dossier avec un nom significatif, puis copiez le fichier zip du kit SDK dans votre nouveau dossier.
Clonez le dépôt GitHub de la solution Microsoft Sentinel sur votre machine locale, puis copiez le fichier systemconfig.json de la Solution Microsoft Sentinel pour applications SAP dans votre nouveau dossier.
Par exemple :
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Modifiez le fichier systemconfig.json selon les besoins, en vous aidant des commentaires incorporés.
Définissez les configurations suivantes en suivant les instructions fournies dans le fichier systemconfig.json :
- Journaux à ingérer dans Microsoft Sentinel en suivant les instructions fournies dans le fichier systemconfig.json.
- S’il faut inclure ou non les adresses e-mail des utilisateurs dans les journaux d’audit
- S’il faut réessayer ou non les appels d’API qui ont échoué
- S’il faut inclure ou non les journaux d’audit cexal
- S’il faut attendre ou non un intervalle de temps entre les extractions de données, en particulier pour les extractions volumineuses
Pour plus d’informations, consultez Configurer manuellement le connecteur de données Microsoft Sentinel pour SAP et Définir les journaux SAP qui sont envoyés à Microsoft Sentinel.
Pour tester votre configuration, vous pouvez être amené à ajouter l’utilisateur et le mot de passe directement au fichier config systemconfig.json. Bien que nous vous recommandions d’utiliser Azure Key Vault pour stocker vos informations d’identification, vous pouvez également utiliser un fichier env.list ou des secrets Docker, ou vous pouvez ajouter vos informations d’identification directement au fichier systemconfig.json.
Pour plus d’informations, consultez Configurations du connecteur de journaux SAL.
Enregistrez votre fichier systemconfig.json mis à jour dans le répertoire sapcon de votre machine.
Si vous avez choisi d’utiliser un fichier env.list pour vos informations d’identification, créez un fichier env.list temporaire avec les informations d’identification requises. Une fois que votre conteneur Docker fonctionne correctement, veillez à supprimer ce fichier.
Notes
Dans le script suivant, chaque conteneur Docker se connecte à un système ABAP spécifique. Modifiez votre script selon les besoins de votre environnement.
Run :
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Téléchargez et exécutez l’image Docker prédéfinie avec le connecteur de données SAP installé. Run :
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Vérifiez que le conteneur Docker fonctionne correctement. Run :
docker logs –f sapcon-[SID]Poursuivez le déploiement de la Solution Microsoft Sentinel pour applications SAP.
Le déploiement de la solution permet au connecteur de données SAP de s’afficher dans Microsoft Sentinel et déploie le classeur et les règles d’analyse SAP. Lorsque vous avez terminé, ajoutez manuellement et personnalisez vos listes de surveillance SAP.
Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour applications SAP à partir du hub de contenu.
Configurer manuellement le connecteur de données Microsoft Sentinel for SAP
Quand il est connecté à l’aide de CLI, le connecteur de données Microsoft Sentinel pour SAP est configuré dans le fichier systemconfig.json, que vous avez cloné sur votre machine de connecteur de données SAP dans le cadre de la procédure de déploiement. Utilisez le contenu de cette section pour configurer manuellement les paramètres du connecteur de données.
Pour plus de détails, consultez Informations de référence sur le fichier systemconfig.json, ou Informations de référence sur le fichier systemconfig.ini pour les systèmes hérités.
Définir les journaux SAP qui sont envoyés à Microsoft Sentinel
Le fichier systemconfig.json par défaut est configuré pour couvrir les analyses intégrées, les tables de données de référence sur les autorisations utilisateur SAP, avec les informations relatives aux utilisateurs et aux privilèges ainsi que le suivi des changements et des activités dans l’environnement SAP.
La configuration par défaut fournit davantage d’informations de journalisation pour permettre les investigations post-violation, et étendre les fonctionnalités de chasse. Toutefois, vous pouvez être amené à personnaliser votre configuration au fil du temps, dans la mesure où les processus métier ont tendance à être saisonniers.
Utilisez les ensembles de code suivants pour configurer le fichier systemconfig.json afin de définir les journaux envoyés à Microsoft Sentinel.
Pour plus de détails, consultez les informations de référence sur les journaux de la Solution Microsoft Sentinel pour applications SAP (préversion publique).
Configurer un profil par défaut
Le code suivant définit une configuration par défaut :
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Configurer un profil axé sur la détection
Utilisez le code suivant pour configurer un profil axé sur la détection, qui inclut les journaux de sécurité principaux de l’environnement SAP nécessaires au bon fonctionnement de la plupart des règles d’analyse. Les enquêtes post-violation et les fonctionnalités de chasse sont limitées.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Servez-vous du code suivant pour configurer un profil minimal, qui inclut le journal d’audit de sécurité SAP, lequel représente la source de données la plus importante utilisée par la solution Microsoft Sentinel pour applications SAP afin d’analyser les activités au sein de l’environnement SAP. L’activation de ce journal est l’exigence minimale pour fournir une couverture de sécurité.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Paramètres du connecteur de journaux SAL
Ajoutez le code suivant au fichier systemconfig.json du connecteur de données Microsoft Sentinel pour SAP afin de définir d’autres paramètres pour les journaux SAP ingérés dans Microsoft Sentinel.
Pour plus d’informations, consultez Effectuer une installation experte/personnalisée du connecteur de données SAP.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
Cette section vous permet de configurer les paramètres suivants :
| Nom du paramètre | Description |
|---|---|
| extractuseremail | Détermine si les adresses e-mail des utilisateurs sont incluses dans les journaux d’audit. |
| apiretry | Détermine si les appels d’API font l’objet d’une nouvelle tentative comme mécanisme de basculement. |
| auditlogforcexal | Détermine si le système force l’utilisation de journaux d’audit pour les systèmes non SAL, tels que SAP BASIS version 7.4. |
| auditlogforcelegacyfiles | Détermine si le système force l’utilisation de journaux d’audit avec les capacités système héritées, par exemple celles de SAP BASIS version 7.4 avec des niveaux de correctifs inférieurs. |
| timechunk | Détermine si le système attend un nombre spécifique de minutes comme intervalle entre les extractions de données. Utilisez ce paramètre si une grande quantité de données est attendue. Par exemple, pendant le chargement initial des données au cours des premières 24 heures, vous souhaiterez peut-être que l’extraction des données soit seulement exécutée toutes les 30 minutes afin de laisser suffisamment de temps à chaque extraction de données. Dans ce cas, définissez cette valeur sur 30. |
Configuration d’une instance de contrôle SAP ABAP
Pour ingérer tous les journaux ABAP dans Microsoft Sentinel, y compris les journaux basés sur le service web de contrôle NW RFC et SAP, configurez les informations de contrôle SAP ABAP suivantes :
| Paramètre | Description |
|---|---|
| javaappserver | Entrez votre hôte de serveur ABAP de contrôle SAP. Par exemple : contoso-erp.appserver.com |
| javainstance | Entrez votre numéro d’instance ABAP de contrôle SAP. Par exemple : 00 |
| abaptz | Entrez le fuseau horaire configuré sur votre serveur ABAP de contrôle SAP, au format GMT. Par exemple : GMT+3 |
| abapseverity | Entrez le niveau de gravité le plus bas, inclus, pour lequel vous souhaitez ingérer les journaux ABAP dans Microsoft Sentinel. Ces valeurs comprennent : - 0 = Tous les journaux - 1 = Avertissement - 2 = Erreur |
Configuration d’une instance de contrôle SAP Java
Pour ingérer les journaux du service Web de contrôle SAP dans Microsoft Sentinel, configurez les informations sur l’instance de contrôle SAP JAVA suivantes :
| Paramètre | Description |
|---|---|
| javaappserver | Entrez votre hôte de serveur Java de contrôle SAP. Par exemple : contoso-java.server.com |
| javainstance | Entrez votre numéro d’instance ABAP de contrôle SAP. Par exemple : 10 |
| javatz | Entrez le fuseau horaire configuré sur votre serveur Java de contrôle SAP, au format GMT. Par exemple : GMT+3 |
| javaseverity | Entrez le niveau de gravité le plus bas, inclus, pour lequel vous souhaitez ingérer les journaux de service web dans Microsoft Sentinel. Ces valeurs comprennent : - 0 = Tous les journaux - 1 = Avertissement - 2 = Erreur |
Configuration de la collecte des données de référence utilisateur
Pour ingérer des tables directement à partir de votre système SAP avec des détails sur vos utilisateurs et les autorisations liées aux rôles, configurez votre fichier systemconfig.json avec une instruction True/False pour chaque table.
Par exemple :
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Pour plus de détails, consultez les informations de référence sur les tables récupérées directement à partir de systèmes SAP.
Contenu connexe
Pour plus d’informations, consultez l’article suivant :