A Microsoft Sentinel for SAP adatösszekötő ügynök tárolójának üzembe helyezése szakértői lehetőségekkel
Ez a cikk a Microsoft Sentinel SAP-adatösszekötő-ügynök tárolójának üzembe helyezésére és konfigurálására vonatkozó eljárásokat ismerteti szakértő, egyéni vagy manuális konfigurációs beállításokkal. A tipikus üzemelő példányok esetében javasoljuk, hogy inkább a portált használja.
A cikkben szereplő tartalom az SAP BASIS-csapatoknak készült. További információ: SAP-adatösszekötő-ügynök üzembe helyezése a parancssorból.
Előfeltételek
- Mielőtt elkezdené, győződjön meg arról, hogy a rendszer megfelel a fő SAP-adatösszekötő előfeltételek dokumentumában dokumentált előfeltételeknek.
SAP-adatösszekötő-ügynök Azure Key Vault-titkos kulcsok manuális hozzáadása
Az alábbi szkripttel manuálisan adhat hozzá SAP-rendszerkulcsokat a kulcstartóhoz. A helyőrzőket cserélje le a saját rendszerazonosítójára és a hozzáadni kívánt hitelesítő adatokra:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
További információ: Kulcstartó létrehozása az Azure CLI és az az keyvault titkos parancssori felület dokumentációjával.
Szakértő/egyéni telepítés végrehajtása
Ez az eljárás azt ismerteti, hogyan helyezheti üzembe a Microsoft Sentinel for SAP-adatösszekötőt a parancssori felületen egy szakértő vagy egyéni telepítés használatával, például helyszíni telepítéskor.
Előfeltételek: Az Azure Key Vault az ajánlott módszer a hitelesítési hitelesítő adatok és a konfigurációs adatok tárolására. Javasoljuk, hogy ezt az eljárást csak akkor hajtsa végre, ha már rendelkezik az SAP-hitelesítő adatokkal kész kulcstartóval.
A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése:
Töltse le a legújabb SAP NW RFC SDK-t az SAP Launchpad webhelyről>az SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip, és mentse az adatösszekötő-ügynök gépére.
Feljegyzés
Az SDK eléréséhez szüksége lesz az SAP felhasználói bejelentkezési adataira, és le kell töltenie az operációs rendszernek megfelelő SDK-t.
Győződjön meg arról, hogy a LINUX ON X86_64 lehetőséget választja.
Ugyanazon a gépen hozzon létre egy új mappát értelmes névvel, és másolja az SDK zip-fájlt az új mappába.
Klónozza a Microsoft Sentinel-megoldás GitHub-adattárát a helyszíni gépére, és másolja a Microsoft Sentinel-megoldást AZ SAP-alkalmazások megoldásához systemconfig.json fájlt az új mappába.
Példa:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Szükség szerint szerkessze a systemconfig.json fájlt a beágyazott megjegyzések használatával.
Adja meg a következő konfigurációkat a systemconfig.json fájl utasításaival:
- A Microsoft Sentinelbe beszedni kívánt naplók a systemconfig.json fájl utasításait követve.
- Felhasználói e-mail-címek belefoglalása az auditnaplókba
- Sikertelen API-hívások újbóli próbálkozása
- Cexal auditnaplók belefoglalása
- Az adatkiemelések közötti időintervallum várakozása, különösen nagy kinyerések esetén
További információ: A Microsoft Sentinel manuális konfigurálása az SAP-adatösszekötőhöz , valamint a Microsoft Sentinelnek küldött SAP-naplók definiálása.
A konfiguráció teszteléséhez érdemes lehet közvetlenül hozzáadni a felhasználót és a jelszót a systemconfig.json konfigurációs fájlhoz. Bár azt javasoljuk, hogy az Azure Key Vault használatával tárolja a hitelesítő adatait, használhat env.list fájlt, Docker-titkos kulcsokat, vagy hozzáadhatja a hitelesítő adatait közvetlenül a systemconfig.json fájlhoz.
További információ: SAL-naplók összekötők konfigurációi.
Mentse a frissített systemconfig.json fájlt a gép sapcon könyvtárába.
Ha úgy döntött, hogy env.list fájlt használ a hitelesítő adataihoz, hozzon létre egy ideiglenes env.list fájlt a szükséges hitelesítő adatokkal. Ha a Docker-tároló megfelelően fut, mindenképpen törölje ezt a fájlt.
Feljegyzés
Az alábbi szkriptben minden Docker-tároló egy adott ABAP-rendszerhez csatlakozik. Módosítsa a szkriptet a környezetéhez szükséges módon.
Futtatás:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Töltse le és futtassa az előre definiált Docker-lemezképet az SAP-adatösszekötő telepítésével. Futtatás:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Ellenőrizze, hogy a Docker-tároló megfelelően fut-e. Futtatás:
docker logs –f sapcon-[SID]Folytassa a Microsoft Sentinel-megoldás sap-alkalmazásokhoz való üzembe helyezését.
A megoldás üzembe helyezése lehetővé teszi, hogy az SAP-adatösszekötő megjelenjen a Microsoft Sentinelben, és üzembe helyezi az SAP-munkafüzet- és elemzési szabályokat. Ha elkészült, manuálisan adja hozzá és szabja testre sap-figyelőlistáit.
További információ: A Microsoft Sentinel megoldás üzembe helyezése SAP-alkalmazásokhoz a tartalomközpontból.
A Microsoft Sentinel manuális konfigurálása AZ SAP-adatösszekötőhöz
A parancssori felületen keresztül történő üzembe helyezéskor az SAP-hez készült Microsoft Sentinel adatösszekötő a systemconfig.json fájlban van konfigurálva, amelyet az üzembehelyezési eljárás részeként klónozott az SAP-adatösszekötő gépére. Az ebben a szakaszban található tartalommal manuálisan konfigurálhatja az adatösszekötő beállításait.
További információ: Systemconfig.json fájlhivatkozás, vagy Systemconfig.ini régebbi rendszerek fájlhivatkozása .
A Microsoft Sentinelnek küldött SAP-naplók meghatározása
Az alapértelmezett systemconfig.json fájl úgy van konfigurálva, hogy lefedje a beépített elemzéseket, az SAP felhasználói engedélyezési főadattábláit, a felhasználókkal és a jogosultságokkal kapcsolatos információkat, valamint az SAP-környezet változásainak és tevékenységeinek nyomon követését.
Az alapértelmezett konfiguráció további naplózási információkat biztosít a incidens utáni vizsgálatokhoz és a kiterjesztett vadászati képességekhez. Előfordulhat azonban, hogy idővel testre szeretné szabni a konfigurációt, különösen mivel az üzleti folyamatok általában szezonálisak.
Az alábbi kódkészletekkel konfigurálhatja a systemconfig.json fájlt a Microsoft Sentinelnek küldött naplók meghatározásához.
További információ: Microsoft Sentinel solution for SAP applications solution logs reference (nyilvános előzetes verzió).
Alapértelmezett profil konfigurálása
Az alábbi kód egy alapértelmezett konfigurációt konfigurál:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Detektálási fókuszú profil konfigurálása
Az alábbi kóddal konfigurálhat egy észlelésre összpontosító profilt, amely tartalmazza az SAP-környezet alapvető biztonsági naplóit, amelyek szükségesek ahhoz, hogy a legtöbb elemzési szabály megfelelően teljesítsen. A incidens utáni vizsgálatok és a vadászati képességek korlátozottak.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
A következő kóddal konfigurálhat egy minimális profilt, amely tartalmazza az SAP biztonsági auditnaplót, amely az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás legfontosabb adatforrása az SAP-környezet tevékenységeinek elemzéséhez. A napló engedélyezése minimális követelmény a biztonsági lefedettség biztosításához.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
SAL-naplók összekötőjének beállításai
Adja hozzá a következő kódot az SAP-adatösszekötőhöz készült Microsoft Sentinelhez systemconfig.json fájlhoz a Microsoft Sentinelbe betöltött SAP-naplók egyéb beállításainak meghatározásához.
További információ: Szakértő/ egyéni SAP-adatösszekötő telepítése.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
Ez a szakasz a következő paraméterek konfigurálását teszi lehetővé:
| Paraméter neve | Leírás |
|---|---|
| extractuseremail | Meghatározza, hogy a felhasználói e-mail-címek szerepelnek-e az auditnaplókban. |
| apiretry | Meghatározza, hogy az API-hívások újrapróbálkozzanak-e feladatátvételi mechanizmusként. |
| auditlogforcexal | Meghatározza, hogy a rendszer kényszeríti-e az auditnaplók használatát a nem SAL rendszerekhez, például az SAP BASIS 7.4-es verziójához. |
| auditlogforcelegacyfiles | Meghatározza, hogy a rendszer kényszeríti-e az auditnaplók használatát örökölt rendszerképességekkel, például az SAP BASIS 7.4-es verziójából alacsonyabb javításszintekkel. |
| timechunk | Meghatározza, hogy a rendszer adott számú percet vár-e az adatkinyerések közötti időközként. Ezt a paramétert akkor használja, ha nagy mennyiségű adatra van szükség. Előfordulhat például, hogy az első 24 órában a kezdeti adatbetöltés során az adatkinyerés csak 30 percenként fut, hogy minden adatkigyűjtés elegendő időt kapjon. Ilyen esetekben állítsa ezt az értéket 30-ra. |
ABAP SAP Control-példány konfigurálása
Ha az összes ABAP-naplót a Microsoft Sentinelbe szeretné beolvasni, beleértve az NW RFC-t és az SAP Control Web Service-alapú naplókat is, konfigurálja az alábbi ABAP SAP Control-adatokat:
| Beállítás | Leírás |
|---|---|
| javaappserver | Adja meg az SAP Control ABAP-kiszolgáló gazdagépét. Például: contoso-erp.appserver.com |
| javainstance | Adja meg az SAP Control ABAP-példány számát. Például: 00 |
| abaptz | Adja meg az SAP Control ABAP-kiszolgálón konfigurált időzónát GMT formátumban. Például: GMT+3 |
| abapseverity | Adja meg azt a legalacsonyabb, inkluzív súlyossági szintet, amelyhez az ABAP-naplókat a Microsoft Sentinelbe szeretné bevinni. Az értékek a következők: - 0 = Minden napló - 1 = Figyelmeztetés - 2 = Hiba |
Java SAP Control-példány konfigurálása
Az SAP Control Web Service-naplók Microsoft Sentinelbe való betöltéséhez konfigurálja a következő JAVA SAP Control-példány részleteit:
| Paraméter | Leírás |
|---|---|
| javaappserver | Adja meg az SAP Control Java-kiszolgáló gazdagépét. Például: contoso-java.server.com |
| javainstance | Adja meg az SAP Control ABAP-példány számát. Például: 10 |
| javatz | Adja meg az SAP Control Java-kiszolgálón konfigurált időzónát GMT formátumban. Például: GMT+3 |
| javaseverity | Adja meg azt a legalacsonyabb, inkluzív súlyossági szintet, amelyhez webszolgáltatás-naplókat szeretne bevinni a Microsoft Sentinelbe. Az értékek a következők: - 0 = Minden napló - 1 = Figyelmeztetés - 2 = Hiba |
A felhasználói főkiszolgáló adatgyűjtésének konfigurálása
Ha közvetlenül az SAP-rendszerből szeretné beszedni a táblákat a felhasználókkal és a szerepkör-engedélyezésekkel kapcsolatos részletekkel, konfigurálja a systemconfig.json fájlt egy True/False utasítással az egyes táblákhoz.
Példa:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
További információ: A közvetlenül az SAP-rendszerekből lekért táblákra vonatkozó referencia.
Kapcsolódó tartalom
További információk: