Szakértői konfigurációs lehetőségek, helyszíni üzembe helyezés és SAPControl-naplóforrások
Ez a cikk bemutatja, hogyan helyezheti üzembe a Microsoft Sentinel for SAP-adatösszekötőt egy szakértői vagy egyéni folyamatban, például helyszíni gép és Egy Azure-Key Vault használatával a hitelesítő adatok tárolásához.
Megjegyzés
Az SAP-adatösszekötőhöz készült Microsoft Sentinel üzembe helyezésének alapértelmezett és ajánlott folyamata egy Azure-beli virtuális gép használata. Ez a cikk haladó felhasználók számára készült.
Előfeltételek
Az SAP-adatösszekötőhöz készült Microsoft Sentinel üzembe helyezésének alapvető előfeltételei ugyanazok, függetlenül az üzembehelyezési módszertől.
A kezdés előtt győződjön meg arról, hogy a rendszer megfelel a fő SAP-adatösszekötő előfeltételek dokumentumában dokumentált előfeltételeknek .
Az Azure Key Vault létrehozása
Hozzon létre egy Azure-kulcstartót, amelyet az SAP-alkalmazások® adatösszekötőjéhez készült Microsoft Sentinel-megoldásnak szentelhet.
Futtassa a következő parancsot az Azure Key Vault létrehozásához, és adjon hozzáférést egy Azure-szolgáltatásnévhez:
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
További információ : Gyorsútmutató: Kulcstartó létrehozása az Azure CLI használatával.
Azure Key Vault titkos kódok hozzáadása
Azure Key Vault titkos kódok hozzáadásához futtassa a következő szkriptet a saját rendszerazonosítójával és a hozzáadni kívánt hitelesítő adatokkal:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
További információt az az keyvault secret CLI dokumentációjában talál.
Szakértői/egyéni telepítés végrehajtása
Ez az eljárás azt ismerteti, hogyan helyezheti üzembe a Microsoft Sentinel for SAP-adatösszekötőt szakértő vagy egyéni telepítéssel, például helyszíni telepítéskor.
Javasoljuk, hogy hajtsa végre ezt az eljárást, miután már rendelkezik az SAP-hitelesítő adatokkal rendelkező kulcstartóval.
A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése:
A helyszíni gépen töltse le a legújabb SAP NW RFC SDK-t az SAP Launchpad webhelyről>SAP NW RFC SDKSAP NW RFC SDK> 7.50 >nwrfc750X_X-xxxxxxx.zip.
Megjegyzés
Az SDK eléréséhez sap-felhasználói bejelentkezési adatokra lesz szüksége, és le kell töltenie az operációs rendszernek megfelelő SDK-t.
Győződjön meg arról, hogy a LINUX ON X86_64 lehetőséget választja.
A helyszíni gépen hozzon létre egy új, értelmes nevű mappát, és másolja az SDK zip-fájlt az új mappába.
Klónozza a Microsoft Sentinel-megoldás GitHub-adattárát a helyszíni gépre, és másolja a Microsoft Sentinel megoldás SAP-alkalmazások® megoldásához systemconfig.ini fájlt az új mappába.
Például:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Szükség szerint szerkessze a systemconfig.ini fájlt a beágyazott megjegyzések használatával. További információ: A Microsoft Sentinel manuális konfigurálása AZ SAP-adatösszekötőhöz.
A konfiguráció teszteléséhez érdemes lehet közvetlenül hozzáadni a felhasználót és a jelszót a systemconfig.ini konfigurációs fájlhoz. Bár azt javasoljuk, hogy használja az Azure Key Vaultot a hitelesítő adatok tárolásához, használhat env.list fájlt, Docker-titkos kulcsokat, vagy közvetlenül a systemconfig.ini fájlhoz is hozzáadhatja a hitelesítő adatait.
Az systemconfig.ini fájl utasításait követve határozza meg a Microsoft Sentinelbe beszedni kívánt naplókat. Lásd például a Microsoft Sentinelnek küldött SAP-naplók definiálása című témakört.
Adja meg a következő konfigurációkat a systemconfig.ini fájl utasításaival:
- Felhasználói e-mail-címek belefoglalása az auditnaplókba
- Sikertelen API-hívások újrapróbálkozásához
- Cexal auditnaplók belefoglalása
- Várjon-e egy időintervallumot az adatkinyerések között, különösen nagy adatkinyerések esetén
További információ: SAL-naplók összekötők konfigurációi.
Mentse a frissített systemconfig.ini fájlt a gép sapcon könyvtárába.
Ha úgy döntött, hogy env.list fájlt használ a hitelesítő adataihoz, hozzon létre egy ideiglenes env.list fájlt a szükséges hitelesítő adatokkal. Ha a Docker-tároló megfelelően fut, mindenképpen törölje ezt a fájlt.
Megjegyzés
A következő szkriptben minden Docker-tároló egy adott ABAP-rendszerhez csatlakozik. Szükség szerint módosítsa a szkriptet a környezethez.
Futtassa a következőt:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Töltse le és futtassa az előre definiált Docker-lemezképet a telepített SAP-adatösszekötővel. Futtassa a következőt:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Ellenőrizze, hogy a Docker-tároló megfelelően fut-e. Futtassa a következőt:
docker logs –f sapcon-[SID]Folytassa a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésével.
A megoldás üzembe helyezése lehetővé teszi, hogy az SAP-adatösszekötő megjelenjen a Microsoft Sentinelben, és üzembe helyezi az SAP-munkafüzet- és elemzési szabályokat. Ha végzett, manuálisan adja hozzá és szabja testre SAP-figyelőlistáit.
További információ: A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz® a tartalomközpontból.
A Microsoft Sentinel manuális konfigurálása SAP-adatösszekötőhöz
Az SAP-hez készült Microsoft Sentinel adatösszekötő a systemconfig.ini fájlban van konfigurálva, amelyet az üzembe helyezési eljárás részeként klónozott az SAP-adatösszekötő gépére.
A következő kód egy mintafájlt mutat besystemconfig.ini :
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
A Microsoft Sentinelnek küldött SAP-naplók meghatározása
Adja hozzá a következő kódot az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldáshoz systemconfig.ini fájlhoz a Microsoft Sentinelnek küldött naplók meghatározásához.
További információ: Microsoft Sentinel solution for SAP® applications solution logs reference (nyilvános előzetes verzió).
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
SAL-naplók összekötőjének beállításai
Adja hozzá a következő kódot az SAP-adatösszekötőhöz készült Microsoft Sentinel systemconfig.ini fájlhoz a Microsoft Sentinelbe betöltött SAP-naplók egyéb beállításainak meghatározásához.
További információ: Szakértő/egyéni SAP-adatösszekötő telepítése.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
Ez a szakasz a következő paraméterek konfigurálását teszi lehetővé:
| Paraméter neve | Leírás |
|---|---|
| extractuseremail | Meghatározza, hogy a felhasználói e-mail-címek szerepelnek-e az auditnaplókban. |
| apiretry | Meghatározza, hogy az API-hívások újrapróbálkoznak-e feladatátvételi mechanizmusként. |
| auditlogforcexal | Meghatározza, hogy a rendszer kényszeríti-e az auditnaplók használatát a nem SAL rendszerekhez, például az SAP BASIS 7.4-es verziójához. |
| auditlogforcelegacyfiles | Meghatározza, hogy a rendszer kényszeríti-e az auditnaplók használatát az örökölt rendszerképességekkel, például az SAP BASIS 7.4-es verziójából alacsonyabb javítási szinttel. |
| timechunk | Azt határozza meg, hogy a rendszer adott számú percet vár-e az adatkinyerések közötti időközként. Ezt a paramétert akkor használja, ha nagy mennyiségű adatot vár. Előfordulhat például, hogy az első 24 órában a kezdeti adatbetöltés során az adatkinyerés csak 30 percenként fut, hogy minden adatkinyerés elegendő időt kapjon. Ilyen esetekben állítsa ezt az értéket 30-ra. |
ABAP SAP-vezérlőpéldány konfigurálása
Ha az összes ABAP-naplót a Microsoft Sentinelbe szeretné beolvasni, beleértve az NW RFC-t és az SAP Control Web Service-alapú naplókat is, konfigurálja az alábbi ABAP SAP-vezérlési adatokat:
| Beállítás | Leírás |
|---|---|
| javaappserver | Adja meg az SAP Control ABAP-kiszolgáló gazdagépét. Például: contoso-erp.appserver.com |
| javainstance | Adja meg az SAP Control ABAP-példány számát. Például: 00 |
| abaptz | Adja meg az SAP Control ABAP-kiszolgálón konfigurált időzónát GMT formátumban. Például: GMT+3 |
| abapseverity | Adja meg azt a legalacsonyabb, inkluzív súlyossági szintet, amelyhez az ABAP-naplókat a Microsoft Sentinelbe szeretné bevinni. Az értékek többek között az alábbiak lehetnek: - 0 = Minden napló - 1 = Figyelmeztetés - 2 = Hiba |
Java SAP Control-példány konfigurálása
Az SAP Control Web Service-naplók Microsoft Sentinelbe való betöltéséhez konfigurálja a következő JAVA SAP Control-példány részleteit:
| Paraméter | Leírás |
|---|---|
| javaappserver | Adja meg az SAP Control Java-kiszolgáló gazdagépét. Például: contoso-java.server.com |
| javainstance | Adja meg az SAP Control ABAP-példány számát. Például: 10 |
| javatz | Adja meg az SAP Control Java-kiszolgálón konfigurált időzónát GMT formátumban. Például: GMT+3 |
| javaseverity | Adja meg azt a legalacsonyabb, inkluzív súlyossági szintet, amelyhez webszolgáltatás-naplókat szeretne bevinni a Microsoft Sentinelbe. Az értékek többek között az alábbiak lehetnek: - 0 = Minden napló - 1 = Figyelmeztetés - 2 = Hiba |
A felhasználói főkiszolgáló adatgyűjtésének konfigurálása
Ha közvetlenül az SAP-rendszerből szeretné betölteni a táblákat a felhasználókkal és a szerepkör-engedélyezésekkel kapcsolatos részletekkel, konfigurálja asystemconfig.ini fájlt egy True/False utasítással az egyes táblákhoz.
Például:
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
További információ: Közvetlenül az SAP-rendszerekből lekért táblázatok.
Következő lépések
Miután telepítette az SAP-adatösszekötőt, hozzáadhatja az SAP-jal kapcsolatos biztonsági tartalmat.
További információ: Az SAP-megoldás üzembe helyezése.
További információkért lásd:
- A Microsoft Sentinel megoldás üzembe helyezése SAP-alkalmazások® adatösszekötőjéhez az SNC-vel
- Az SAP-rendszer állapotának monitorozása
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® részletes SAP-követelmények
- Microsoft Sentinel-megoldás SAP-alkalmazások® naplóihoz – referencia
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalom referenciája
- A Microsoft Sentinel-megoldás hibaelhárítása SAP-alkalmazások® üzembe helyezéséhez