Condividi tramite

Opzioni di configurazione esperti, distribuzione locale e origini di log SAPControl

  • Articolo

Questo articolo descrive come distribuire Microsoft Sentinel per SAP Data Connector in un processo esperto o personalizzato, ad esempio usando un computer locale e un insieme di credenziali delle chiavi di Azure per archiviare le credenziali.

Nota

Il processo predefinito e consigliato per la distribuzione di Microsoft Sentinel per il connettore dati SAP consiste nell'usare una macchina virtuale di Azure. Questo articolo è destinato agli utenti avanzati.

Prerequisiti

I prerequisiti di base per la distribuzione di Microsoft Sentinel per il connettore dati SAP sono gli stessi indipendentemente dal metodo di distribuzione.

Assicurarsi che il sistema sia conforme ai prerequisiti documentati nel documento principale sui prerequisiti di SAP Data Connector prima di iniziare.

Creare l'insieme di credenziali delle chiavi di Azure

Creare un insieme di credenziali delle chiavi di Azure che è possibile dedicare alla soluzione Microsoft Sentinel per il connettore dati delle applicazioni SAP®.

Eseguire il comando seguente per creare l'insieme di credenziali delle chiavi di Azure e concedere l'accesso a un'entità servizio di Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Per altre informazioni, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi usando l'interfaccia della riga di comando di Azure.

Aggiungere segreti di Azure Key Vault

Per aggiungere segreti di Azure Key Vault, eseguire lo script seguente, con l'ID di sistema e le credenziali da aggiungere:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Per altre informazioni, vedere la documentazione dell'interfaccia della riga di comando az keyvault secret .

Eseguire un'installazione esperta/personalizzata

Questa procedura descrive come distribuire Microsoft Sentinel per SAP Data Connector usando un esperto o un'installazione personalizzata, ad esempio durante l'installazione locale.

È consigliabile eseguire questa procedura dopo aver pronto un insieme di credenziali delle chiavi con le credenziali SAP.

Per distribuire Il connettore dati di Microsoft Sentinel per SAP:

  1. Nel computer locale scaricare la versione più recente di SAP NW RFC SDK dal sito>SAP Launchpad SAP NW RFC SDK SAP NW RFC SDK>7.50>nwrfc750X_X-xxxxxxx.zip.

    Nota

    Sono necessarie le informazioni di accesso dell'utente SAP per accedere all'SDK ed è necessario scaricare l'SDK corrispondente al sistema operativo.

    Assicurarsi di selezionare l'opzione LINUX ON X86_64 .

  2. Nel computer locale creare una nuova cartella con un nome significativo e copiare il file ZIP dell'SDK nella nuova cartella.

  3. Clonare il repository GitHub della soluzione Microsoft Sentinel nel computer locale e copiare la soluzione Microsoft Sentinel per le applicazioni SAP® systemconfig.ini file nella nuova cartella.

    Ad esempio:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

  4. Modificare il file systemconfig.ini in base alle esigenze, usando i commenti incorporati come guida. Per altre informazioni, vedere Configurare manualmente Microsoft Sentinel per il connettore dati SAP.

    Per testare la configurazione, è possibile aggiungere l'utente e la password direttamente al file di configurazione systemconfig.ini . Sebbene sia consigliabile usare Azure Key Vault per archiviare le credenziali, è anche possibile usare un file env.list , i segreti Docker oppure aggiungere le credenziali direttamente al file di systemconfig.ini .

  5. Definire i log da inserire in Microsoft Sentinel usando le istruzioni nel file systemconfig.ini . Ad esempio, vedere Definire i log SAP inviati a Microsoft Sentinel.

  6. Definire le configurazioni seguenti usando le istruzioni nel file systemconfig.ini :

    • Indica se includere gli indirizzi di posta elettronica degli utenti nei log di controllo
    • Indica se ripetere le chiamate API non riuscite
    • Indica se includere i log di controllo cexal
    • Indica se attendere un intervallo di tempo tra le estrazioni di dati, in particolare per le estrazioni di grandi dimensioni

    Per altre informazioni, vedere Configurazioni del connettore log SAL.

  7. Salvare il file di systemconfig.ini aggiornato nella directory sapcon nel computer.

  8. Se si è scelto di usare un file env.list per le credenziali, creare un file env.list temporaneo con le credenziali necessarie. Quando il contenitore Docker è in esecuzione correttamente, assicurarsi di eliminare questo file.

    Nota

    Lo script seguente include ogni contenitore Docker che si connette a un sistema ABAP specifico. Modificare lo script in base alle esigenze per l'ambiente.

    Terza fase

    ##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET SENTINEL WORKSPACE id>
LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

  9. Scaricare ed eseguire l'immagine Docker predefinita con il connettore dati SAP installato. Terza fase

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

  10. Verificare che il contenitore Docker sia in esecuzione correttamente. Terza fase

    docker logs –f sapcon-[SID]

  11. Continuare con la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®.

    La distribuzione della soluzione consente al connettore dati SAP di visualizzare in Microsoft Sentinel e di distribuire la cartella di lavoro SAP e le regole di analitica. Al termine, aggiungere e personalizzare manualmente gli watchlist SAP.

    Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni® SAP dall'hub del contenuto.

Configurare manualmente Microsoft Sentinel per il connettore dati SAP

Il connettore dati di Microsoft Sentinel per SAP è configurato nel file systemconfig.ini clonato nel computer del connettore dati SAP come parte della procedura di distribuzione.

Il codice seguente illustra un file systemconfig.ini di esempio:

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

Definire i log SAP inviati a Microsoft Sentinel

Aggiungere il codice seguente alla soluzione Microsoft Sentinel per le applicazioni SAP® systemconfig.ini file per definire i log inviati a Microsoft Sentinel.

Per altre informazioni, vedere La soluzione Microsoft Sentinel per i log delle soluzioni delle applicazioni SAP® (anteprima pubblica) .

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Impostazioni del connettore log SAL

Aggiungere il codice seguente al file del connettore dati di Microsoft Sentinel per SAP systemconfig.ini per definire altre impostazioni per i log SAP inseriti in Microsoft Sentinel.

Per altre informazioni, vedere Eseguire un'installazione del connettore dati SAP esperto/personalizzato.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

Questa sezione consente di configurare i parametri seguenti:

Nome parametro Descrizione
extractuseremail Determina se gli indirizzi di posta elettronica degli utenti sono inclusi nei log di controllo.
apiretry Determina se le chiamate API vengono ritentate come meccanismo di failover.
auditlogforcexal Determina se il sistema forza l'uso dei log di controllo per sistemi non SAL, ad esempio SAP BASIS versione 7.4.
auditlogforcelegacyfiles Determina se il sistema forza l'uso dei log di controllo con funzionalità di sistema legacy, ad esempio da SAP BASIS versione 7.4 con livelli di patch inferiori.
timechunk Determina che il sistema attende un numero specifico di minuti come intervallo tra le estrazioni di dati. Usare questo parametro se si dispone di una grande quantità di dati prevista.

Ad esempio, durante il caricamento iniziale dei dati durante le prime 24 ore, potrebbe essere necessario che l'estrazione dei dati venga eseguita solo ogni 30 minuti per assegnare a ogni estrazione dati un tempo sufficiente. In questi casi, impostare questo valore su 30.

Configurazione di un'istanza del controllo SAP ABAP

Per inserire tutti i log ABAP in Microsoft Sentinel, inclusi i log RFC NW e SAP Control Web Service, configurare i dettagli del controllo SAP ABAP seguenti:

Impostazione Descrizione
javaappserver Immettere l'host server ABAP del controllo SAP.
Ad esempio: contoso-erp.appserver.com
javainstance Immettere il numero di istanza di SAP Control ABAP.
Ad esempio: 00
abaptz Immettere il fuso orario configurato nel server ABAP di controllo SAP in formato GMT.
Ad esempio: GMT+3
abapseverity Immettere il livello di gravità, inclusivo e minimo per il quale si vogliono inserire i log ABAP in Microsoft Sentinel. I valori includono:

- 0 = Tutti i log
- 1 = Avviso
- 2 = Errore

Configurazione di un'istanza di Controllo SAP Java

Per inserire i log del servizio Web di controllo SAP SAP in Microsoft Sentinel, configurare i dettagli dell'istanza di controllo SAP JAVA seguenti:

Parametro Descrizione
javaappserver Immettere l'host server Java di controllo SAP.
Ad esempio: contoso-java.server.com
javainstance Immettere il numero di istanza di SAP Control ABAP.
Ad esempio: 10
javatz Immettere il fuso orario configurato nel server Java di controllo SAP in formato GMT.
Ad esempio: GMT+3
javaseverity Immettere il livello di gravità, inclusivo e minimo per il quale si vogliono inserire i log del servizio Web in Microsoft Sentinel. I valori includono:

- 0 = Tutti i log
- 1 = Avviso
- 2 = Errore

Configurazione della raccolta dati master utente

Per inserire tabelle direttamente dal sistema SAP con informazioni dettagliate sugli utenti e sulle autorizzazioni dei ruoli, configurare il file systemconfig.ini con un'istruzione True/False per ogni tabella.

Ad esempio:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Per altre informazioni, vedere Tabelle recuperate direttamente dai sistemi SAP.

Passaggi successivi

Dopo aver installato il connettore dati SAP, è possibile aggiungere il contenuto di sicurezza correlato a SAP.

Per altre informazioni, vedere Distribuire la soluzione SAP.

Per altre informazioni, vedi: