Mengonfigurasi otorisasi SAP dan menyebarkan Permintaan Perubahan SAP opsional

  • Artikel

Artikel ini menjelaskan cara menyiapkan lingkungan Anda untuk penginstalan agen SAP sehingga dapat terhubung dengan benar ke sistem SAP Anda. Persiapan termasuk mengonfigurasi otorisasi SAP yang diperlukan dan, secara opsional, menyebarkan permintaan perubahan SAP (CR) tambahan.

  • Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Milestone penyebaran

Lacak perjalanan penyebaran solusi SAP Anda melalui serangkaian artikel ini:

  1. Ringkasan penyebaran

  2. Prasyarat penyebaran

  3. Bekerja dengan solusi di beberapa ruang kerja (PRATINJAU)

  4. Menyiapkan lingkungan SAP (Anda berada di sini)

  5. Mengonfigurasi audit

  6. Menyebarkan konten solusi dari hub konten

  7. Menyebarkan agen konektor data

  8. Mengonfigurasi solusi Microsoft Sentinel untuk aplikasi SAP®

  9. Langkah-langkah penyebaran opsional

Mengonfigurasi peran Microsoft Azure Sentinel

  1. Unggah otorisasi peran dari file /MSFTSEN/SENTINEL_RESPONDER di GitHub.

    Ini membuat peran /MSFTSEN/SENTINEL_RESPONDER , yang mencakup semua otorisasi yang diperlukan untuk mengambil log dari sistem SAP dan menjalankan tindakan respons gangguan serangan.

    Secara bergantian, buat peran secara manual dengan otorisasi relevan yang diperlukan untuk log yang ingin Anda serap. Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan. Contoh dalam prosedur ini menggunakan nama /MSFTSEN/SENTINEL_RESPONDER .

  2. Langkah selanjutnya adalah membuat profil peran aktif untuk digunakan Microsoft Sentinel. Jalankan transaksi PFCG:

    Di layar Akses Mudah SAP, masukkan PFCG di bidang di sudut kiri atas layar lalu tekan ENTER.

  3. Di jendela Pemeliharaan Peran, ketik nama peran /MSFTSEN/SENTINEL_RESPONDER di bidang Peran dan pilih tombol Ubah (pensil).

  4. Di jendela Ubah Peran yang muncul, pilih tab Otorisasi.

  5. Di tab Otorisasi, pilih Ubah Data Otorisasi.

  6. Di popup Informasi, baca pesan dan pilih tanda centang hijau untuk mengonfirmasi.

  7. Di jendela Ubah Peran: Otorisasi, pilih Buat.

    Lihat bahwa bidang Status telah berubah dari Tidak Berubah menjadi dihasilkan.

  8. Pilih Kembali (di sebelah kiri logo SAP di bagian atas layar).

  9. Kembali ke jendela Ubah Peran, verifikasi bahwa tab Otorisasi menampilkan kotak hijau, lalu pilih Simpan.

Buat pengguna

Solusi Microsoft Sentinel untuk aplikasi SAP® memerlukan akun pengguna untuk terhubung ke sistem SAP Anda. Gunakan instruksi berikut untuk membuat akun pengguna dan menetapkannya ke peran yang Anda buat di langkah sebelumnya.

Dalam contoh yang ditunjukkan di sini, kami menggunakan nama peran /MSFTSEN/SENTINEL_RESPONDER.

  1. Jalankan transaksi SU01:

    Di layar Akses Mudah SAP, masukkan SU01 di bidang di sudut kiri atas layar dan tekan ENTER.

  2. Di layar Pemeliharaan Pengguna: Layar Awal, ketik nama pengguna baru di bidang Pengguna dan pilih Buat Pengguna Teknis dari bilah tombol.

  3. Di layar Pertahankan Pengguna, pilih Sistem dari daftar drop-down Jenis Pengguna. Buat dan masukkan kata sandi kompleks di bidang Kata Sandi Baru dan Ulangi Kata Sandi, lalu pilih tab Peran.

  4. Di tab Peran, di bagian Penetapan Peran, masukkan nama lengkap peran - /MSFTSEN/SENTINEL_RESPONDER dalam contoh kami - dan tekan Enter.

    Setelah menekan Enter, verifikasi bahwa sisi kanan bagian Penetapan Peran diisi dengan data, seperti Tanggal Mulai Perubahan.

  5. Pilih tab Profil, verifikasi bahwa profil untuk peran tersebut muncul di bagian Profil Otorisasi yang Ditetapkan, dan pilih Simpan.

Otorisasi ABAP yang diperlukan

Bagian ini mencantumkan otorisasi ABAP yang diperlukan untuk memastikan bahwa akun pengguna SAP yang digunakan oleh konektor data SAP Microsoft Sentinel dapat mengambil log dengan benar dari sistem SAP dan menjalankan tindakan respons gangguan serangan.

Otorisasi yang diperlukan tercantum di sini dengan tujuan mereka. Anda hanya memerlukan otorisasi yang tercantum untuk jenis log yang ingin Anda bawa ke Microsoft Azure Sentinel dan tindakan respons gangguan serangan yang ingin Anda terapkan.

Tip

Untuk membuat peran dengan semua otorisasi yang diperlukan, muat otorisasi peran dari file /MSFTSEN/SENTINEL_RESPONDER .

Secara bergantian, untuk mengaktifkan hanya pengambilan log, tanpa tindakan respons gangguan serangan, sebarkan SAP NPLK900271 CR pada sistem SAP untuk membuat peran /MSFTSEN/SENTINEL_CONNECTOR, atau memuat otorisasi peran dari file /MSFTSEN/SENTINEL_CONNECTOR.

Obyek otorisasi Bidang Nilai
Semua log
S_RFC RFC_TYPE Modul Fungsi
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Jalankan
S_TCODE TCD SM51
S_TABU_NAM ACTVT Tampilan
S_TABU_NAM TABLE T000
Opsional - Hanya jika solusi Sentinel diterapkan oleh CR
S_RFC RFC_NAME /MSFTSEN/*
Log Aplikasi ABAP
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD Antarmuka XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Tampilan
Log Dokumen Perubahan ABAP
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS
ABAP CR Log
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Tampilan
Log Data Tabel ABAP DB
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER
Log Pekerjaan ABAP
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD Antarmuka XBP
Log Spool ABAP
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (Penggunaan SP01 Transaksi (semua sistem))
Log Alur Kerja ABAP
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD
Log Audit Keamanan ABAP
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (Autentikasi tampilan audit dasar.)
S_SAL SAL_ACTVT SHOW_LOG (Mengevaluasi log berbasis file)
S_USER_GRP KELAS SUPER
S_USER_GRP ACTVT Tampilan
S_USER_GRP KELAS SUPER
S_USER_GRP ACTVT Kunci
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD Antarmuka XAL
Data Pengguna
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04
Riwayat Konfigurasi
S_TABU_NAM TABLE PAHI
SNC Data
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL
Tindakan respons gangguan serangan
S_RFC RFC_TYPE Modul Fungsi
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
Berbeda dengan namanya, fungsi ini tidak menghapus pengguna, tetapi mengakhiri sesi pengguna aktif.
S_USER_GRP KELAS *
Sebaiknya ganti S_USER_GRP CLASS dengan kelas yang relevan di organisasi Anda yang mewakili pengguna dialog.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

Jika diperlukan, Anda dapat menghapus peran pengguna dan CR opsional yang diinstal pada sistem ABAP Anda.

Menyebarkan CR opsional

Bagian ini menyajikan panduan langkah demi langkah untuk menyebarkan CR tambahan opsional. Ini ditujukan untuk insinyur atau pelaksana SOC yang mungkin belum tentu ahli SAP.

Administrator SAP berpengalaman yang terbiasa dengan proses penyebaran CR mungkin lebih suka mendapatkan CR yang sesuai langsung dari bagian langkah-langkah validasi lingkungan SAP dari panduan dan menyebarkannya.

Kami sangat menyarankan agar penyebaran SAP CR dilakukan oleh administrator sistem SAP yang berpengalaman.

Tabel berikut ini menjelaskan CR opsional yang tersedia untuk disebarkan:

CR Deskripsi
NPLK900271 Membuat dan mengonfigurasi peran sampel dengan otorisasi dasar yang diperlukan untuk memungkinkan konektor data SAP terhubung ke sistem SAP Anda. Atau, Anda dapat memuat otorisasi langsung dari file atau menentukan peran secara manual sesuai dengan log yang ingin Anda serap.

Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan dan Membuat dan mengonfigurasi peran (diperlukan).
NPLK900201 atau NPLK900202 Mengambil informasi tambahan dari SAP. Pilih salah satu CR ini sesuai dengan versi SAP Anda.

Prasyarat untuk menyebarkan CR

  1. Pastikan Anda telah menyalin detail versi sistem SAP, ID Sistem (SID), Nomor sistem, Nomor klien, alamat IP, nama pengguna administratif, dan kata sandi sebelum memulai proses penyebaran. Untuk contoh berikut, detail berikut diasumsikan:

    • Versi sistem SAP:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • Nomor sistem:00
    • Nomor klien:001
    • Alamat IP:192.168.136.4
    • Pengguna administrator:a4hadm, namun, koneksi SSH ke sistem SAP dibuat menggunakan info masuk pengguna root.

  2. Pastikan Anda mengetahui CR mana yang ingin Anda sebarkan.

  3. Jika Anda menyebarkan CR NPLK900202 untuk mengambil informasi tambahan, pastikan Anda telah menginstal catatan SAP yang relevan.

Menyiapkan file

  1. Masuk ke sistem SAP menggunakan SSH.

  2. Transfer file CR ke sistem SAP atau unduh file langsung ke sistem SAP dari prompt SSH. Gunakan perintah berikut:

    • Unduh NPLK900271

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      Atau, Anda dapat memuat otorisasi ini langsung dari file.

    • Unduh NPLK900202

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • Unduh NPLK900201

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    Setiap CR terdiri dari dua file, satu dimulai dengan K dan satu dengan R.

  3. Ubah kepemilikan file menjadi <sid>adm pengguna dan sapsys grup. (Ganti ID sistem SAP Anda dengan <sid>.)

    chown <sid>adm:sapsys *.NPL

    Dalam contoh kami:

    chown a4hadm:sapsys *.NPL

  4. Salin cofile (yang dimulai dengan K) ke folder /usr/sap/trans/cofiles. Pertahankan izin saat menyalin, menggunakan perintah cp dengan sakelar -p.

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. Salin file data (yang dimulai dengan R) ke folder /usr/sap/trans/data. Pertahankan izin saat menyalin, menggunakan perintah cp dengan sakelar -p.

    cp -p R*.NPL /usr/sap/trans/data/

Mengimpor CR

  1. Luncurkan aplikasi SAP Logon dan masuk ke konsol SAP GUI.

  2. Jalankan transaksi STMS_IMPORT:

    Di layar Akses Mudah SAP, masukkan STMS_IMPORT di bidang di sudut kiri atas layar lalu tekan ENTER.

    Cuplikan layar menjalankan transaksi impor STMS.

  3. Di jendela Antrean Impor yang muncul, pilih Tambahan > Ekstra > Permintaan Lainnya > Tambahkan.

    Cuplikan layar dari proses penambahan kueri impor.

  4. Di pop-up Tambahkan Permintaan Transportasi ke Antrean Impor yang muncul, pilih bidang Permintaan Transportasi.

  5. Jendela Permintaan transportasi akan muncul dan menampilkan daftar CR yang tersedia untuk disebarkan. Pilih CR dan pilih tombol tanda centang hijau.

  6. Kembali ke jendela Tambahkan Permintaan Transportasi untuk Mengimpor Antrean , pilih Lanjutkan (tanda centang hijau) atau tekan ENTER.

  7. Dalam dialog konfirmasi Tambahkan Permintaan Transportasi, pilih Ya.

  8. Jika Anda berencana untuk menyebarkan lebih banyak CR, ulangi prosedur dalam lima langkah sebelumnya untuk CR yang tersisa.

  9. Di jendela Antrean Impor, pilih Permintaan Transportasi yang relevan sekali, lalu pilih ikon F9 atau Pilih/Batal pilih Permintaan.

  10. Jika Anda memiliki Sisa Permintaan Transportasi untuk ditambahkan ke penyebaran, ulangi langkah 9.

  11. Pilih ikon Permintaan Impor:

    Cuplikan layar dari proses pengimporan semua permintaan.

  12. Di jendela Mulai Impor, pilih bidang Klien Target.

  13. Dialog Bantuan Input.. muncul. Pilih jumlah klien tempat Anda ingin menyebarkan CR (001 dalam contoh kami), lalu pilih tanda centang hijau untuk mengonfirmasi.

  14. Kembali ke jendela Mulai Impor, pilih tab Opsi, tandai kotak centang Abaikan Versi Komponen yang Tidak Valid dan pilih tanda centang hijau untuk mengonfirmasi.

    Cuplikan layar dari jendela memulai impor.

  15. Dalam dialog konfirmasi Mulai impor, pilih Ya untuk mengonfirmasi impor.

  16. Kembali ke jendela Antrean Impor, pilih Refresh, tunggu hingga operasi impor selesai, dan antrean impor ditampilkan sebagai kosong.

  17. Untuk meninjau status impor, di jendela Antrean Impor pilih Lainnya > Buka > Riwayat Impor.

    Cuplikan layar dari riwayat impor.

  18. Jika Anda menyebarkan CR NPLK900202 , diharapkan menampilkan Peringatan. Pilih entri untuk memverifikasi bahwa peringatan yang ditampilkan berjenis "Tabel <tablename> diaktifkan."

    CR dan versi dalam cuplikan layar berikut mungkin berubah sesuai dengan versi CR yang diinstal.

    Cuplikan layar dari tampilan status impor.

    Cuplikan layar dari tampilan pesan peringatan impor.

Verifikasi bahwa tabel PAHI (riwayat parameter sistem, database, dan SAP) diperbarui secara berkala

Tabel SAP PAHI menyertakan data tentang riwayat sistem SAP, database, dan parameter SAP. Dalam beberapa kasus, solusi Microsoft Azure Sentinel untuk aplikasi SAP® tidak dapat memantau tabel SAP PAHI secara berkala, karena konfigurasi yang hilang atau rusak (lihat catatan SAP dengan detail selengkapnya tentang masalah ini). Penting untuk memperbarui tabel PAHI dan untuk memantaunya secara sering, sehingga solusi Microsoft Sentinel untuk aplikasi SAP® dapat memperingatkan tindakan mencurigakan yang mungkin terjadi kapan saja sepanjang hari.

Pelajari selengkapnya tentang bagaimana solusi Microsoft Sentinel untuk aplikasi SAP® memantau perubahan konfigurasi yang mencurigakan pada parameter keamanan.

Catatan

Untuk hasil yang optimal, dalam file systemconfig.ini komputer Anda, di bawah bagian [ABAP Table Selector] , aktifkan PAHI_FULL parameter dan PAHI_INCREMENTAL .

Untuk memverifikasi bahwa tabel PAHI diperbarui secara berkala:

  1. Periksa apakah SAP_COLLECTOR_FOR_PERFMONITOR pekerjaan, berdasarkan program RSCOLL00, dijadwalkan dan berjalan per jam, oleh pengguna DDIC di klien 000.
  2. Periksa apakah RSHOSTPHnama laporan , RSSTATPH dan RSDB_PAR dipertahankan dalam tabel TCOLL.
    • RSHOSTPH report: Membaca parameter kernel sistem operasi dan menyimpan data ini dalam tabel PAHI.
    • RSSTATPH report: Membaca parameter profil SAP dan menyimpan data ini dalam tabel PAHI.
    • RSDB_PAR report: Membaca parameter database dan menyimpannya dalam tabel PAHI.

Jika pekerjaan ada dan dikonfigurasi dengan benar, tidak ada langkah lebih lanjut yang diperlukan.

Jika pekerjaan tidak ada:

  1. Masuk ke sistem SAP Anda di klien 000.

  2. Jalankan transaksi SM36.

  3. Di bawah Nama Pekerjaan, ketik SAP_COLLECTOR_FOR_PERFMONITOR.

    Cuplikan layar menambahkan pekerjaan yang digunakan untuk memantau tabel SAP PAHI.

  4. Pilih Langkah dan isi informasi ini:

    • Di bawah Pengguna, ketik DDIC.
    • Di bawah Nama Program ABAP, ketik RSCOLL00.

  5. Simpan konfigurasi.

    Cuplikan layar menentukan pengguna untuk pekerjaan yang digunakan untuk memantau tabel SAP PAHI.

  6. Pilih F3 untuk kembali ke layar sebelumnya.

  7. Pilih Kondisi Mulai untuk menentukan kondisi mulai.

  8. Pilih Segera dan pilih kotak centang Pekerjaan berkala.

    Cuplikan layar menentukan pekerjaan yang digunakan untuk memantau tabel SAP PAHI sebagai berkala.

  9. Pilih Nilai periode dan pilih Per Jam.

  10. Pilih Simpan di dalam dialog, lalu pilih Simpan di bagian bawah.

    Cuplikan layar menentukan pekerjaan yang digunakan untuk memantau tabel SAP PAHI sebagai per jam.

  11. Untuk merilis pekerjaan, pilih Simpan di bagian atas.

    Cuplikan layar melepaskan pekerjaan yang digunakan untuk memantau tabel SAP PAHI per jam.

Langkah berikutnya

Lingkungan SAP Anda sekarang sepenuhnya siap untuk menyebarkan agen konektor data. Peran dan profil disediakan, akun pengguna dibuat dan diberi profil peran yang relevan, dan CR disebarkan sesuai kebutuhan untuk lingkungan Anda.

Sekarang, Anda siap untuk mengaktifkan dan mengonfigurasi audit SAP untuk Microsoft Sentinel.

Mengaktifkan dan mengonfigurasi audit SAP untuk Microsoft Azure Sentinel