SNC를 사용하여 SAP용 Microsoft Sentinel 데이터 커넥터 배포

  • 아티클
  • 읽는 데 10분 걸림

이 문서에서는 SNC(Secure Network Communications)를 사용하여 보안 연결을 통해 NetWeaver/ABAP 로그를 수집하기 위해 SAP용 Microsoft Sentinel 데이터 커넥터를 배포하는 방법을 보여 줍니다.

SAP 데이터 커넥터 에이전트는 일반적으로 RFC 연결과 인증을 위한 사용자 이름 및 암호를 사용하여 SAP ABAP 서버에 연결합니다.

그러나 일부 환경에서는 암호화된 채널을 통해 연결해야 하고 클라이언트 인증서를 인증에 사용해야 할 수 있습니다. 이러한 경우 이 용도를 위해 SAP Secure Network Communication을 사용할 수 있으며 이 문서에서 설명한 대로 적절한 단계를 수행해야 합니다.

사전 요구 사항

  • SAP 암호화 라이브러리(SAP 암호화 라이브러리 다운로드)
  • 네트워크 연결 SNC는 48xx(여기서 xx는 SAP 인스턴스 번호) 포트를 사용하여 ABAP 서버에 연결합니다.
  • SNC 인증을 지원하도록 구성된 SAP 서버
  • 사용자 인증을 위한 자체 서명된 인증서 또는 엔터프라이즈 CA에서 발급한 인증서

참고

이 가이드는 SNC 구성에 대한 샘플 사례입니다. 프로덕션 환경에서는 SAP 관리자와 협의하여 배포 계획을 고안하는 것이 좋습니다.

SNC 배포 구성

서버 인증서 내보내기

  1. SAP 클라이언트에 로그인하고, STRUST 트랜잭션을 실행합니다.

  2. 왼쪽 창에서 SNC SAPCryptolib 섹션을 탐색하고 펼칩니다.

  3. 시스템을 선택한 다음, Subject(주체) 필드의 값을 선택합니다.

    서버 인증서 정보는 페이지 아래쪽의 Certificate(인증서) 섹션에 표시됩니다.

  4. 페이지 아래쪽에서 Export certificate(인증서 내보내기) 단추를 선택합니다.

    서버 인증서를 내보내는 방법을 보여 주는 스크린샷

  5. Export Certificate 대화 상자에서 파일 형식으로 Base64를 선택하고, 파일 경로 필드 옆에 있는 이중 상자 아이콘을 선택하고, 내보낼 파일 이름을 선택한 다음, 녹색 확인 표시를 선택하여 인증서를 내보냅니다.

인증서 가져오기

이 섹션에서는 ABAP 서버에서 신뢰할 수 있도록 인증서를 가져오는 방법을 설명합니다. SAP 시스템으로 가져와야 하는 인증서를 이해해야 합니다. 어떤 경우이든 인증서의 공개 키만 SAP 시스템으로 가져와야 합니다.

  • 사용자 인증서가 자체 서명된 경우: 사용자 인증서를 가져옵니다.

  • 사용자 인증서가 엔터프라이즈 CA에서 발급된 경우: 엔터프라이즈 CA 인증서를 가져옵니다. 루트 및 하위 CA 서버 모두를 사용하는 경우 루트 및 하위 CA 공용 인증서를 모두 가져옵니다.

  1. STRUST 트랜잭션을 실행합니다.

  2. Display(표시)<->Change(변경)를 선택합니다.

  3. 페이지 아래쪽에서 Import certificate(인증서 가져오기)를 선택합니다.

  4. Import certificate 대화 상자에서 File path(파일 경로) 필드 옆에 있는 이중 상자 아이콘을 선택하고, 인증서를 찾습니다.

    1. 인증서(공개 키만 해당)가 포함된 파일을 찾고, 녹색 확인 표시를 선택하여 인증서를 가져옵니다.

      인증서 정보는 Certificate(인증서) 섹션에 표시됩니다.

    2. Add to Certificate List(인증서 목록에 추가)를 선택합니다.

      인증서가 Certificate List(인증서 목록) 영역에 표시됩니다.

인증서를 사용자 계정과 연결

  1. SM30 트랜잭션을 실행합니다.

  2. Table/View(테이블/보기) 필드에서 USRACLEXT를 입력한 다음, Maintain(유지 관리)을 선택합니다.

  3. 출력을 검토하고, 대상 사용자에게 이미 연결된 SNC 이름이 있는지 확인합니다. 그렇지 않은 경우 New Entries(새 항목)를 선택합니다.

    USER A C L E X T 테이블에 새 항목을 만드는 방법을 보여 주는 스크린샷

  4. User(사용자) 필드에서 대상 사용자의 사용자 이름을 입력하고, SNC Name(SNC 이름) 필드에서 p: 접두사가 붙은 사용자의 인증서 주체 이름을 입력한 다음, Save(저장)를 선택합니다.

    USER A C L E X T 테이블에서 새 사용자를 만드는 방법을 보여 주는 스크린샷

인증서를 사용하여 로그온 권한 부여

  1. SM30 트랜잭션을 실행합니다.

  2. Table/View(테이블/보기) 필드에서 VSNCSYSACL을 입력한 다음, Maintain(유지 관리)을 선택합니다.

  3. 표시되는 정보 프롬프트에서 테이블이 클라이언트 간인지 확인합니다.

  4. Determine Work Area: Entry(작업 영역 확인: 항목)Type of ACL entry(ACL 항목 유형) 필드에서 E를 입력하고, 녹색 확인 표시를 선택합니다.

  5. 출력을 검토하고, 대상 사용자에게 이미 연결된 SNC 이름이 있는지 확인합니다. 그렇지 않은 경우 New Entries(새 항목)를 선택합니다.

    V S N C SYS A C L 테이블에 새 항목을 만드는 방법을 보여 주는 스크린샷

  6. 시스템 ID 및 p: 접두사가 불은 사용자 인증서 주체 이름을 입력합니다.

    V S N C SYS A C L 테이블에서 새 사용자를 만드는 방법을 보여 주는 스크린샷

  7. Entry for RFC activate(RFC 항목이 활성화됨)Entry for certificate activate(인증서 항목이 활성화됨) 확인란이 선택되었는지 확인한 다음, Save(저장)를 선택합니다.

컨테이너 설정

  1. libsapcrypto.sosapgenpse 파일을 컨테이너가 만들어지는 대상 시스템으로 전송합니다.

  2. 클라이언트 인증서(프라이빗 및 공개 키)를 컨테이너가 만들어지는 대상 시스템으로 전송합니다.

    클라이언트 인증서 및 키는 .p12, .pfx 또는 Base-64 .crt 및 .key 형식일 수 있습니다.

  3. 서버 인증서(공개 키만 해당)를 컨테이너가 만들어지는 대상 시스템으로 전송합니다.

    서버 인증서는 Base-64 .crt 형식이어야 합니다.

  4. 클라이언트 인증서가 엔터프라이즈 인증 기관에서 발급된 경우 발급 CA 및 루트 CA 인증서를 컨테이너가 만들어지는 대상 시스템으로 전송합니다.

  5. Microsoft Sentinel GitHub 리포지토리에서 kickstart 스크립트를 검색합니다.

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. 실행 가능하도록 스크립트의 권한을 변경합니다.

    chmod +x ./sapcon-sentinel-kickstart.sh

  7. 다음 기본 매개 변수를 지정하여 스크립트를 실행합니다.

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib <path to sapcryptolib.so> \
--sapgenpse <path to sapgenpse> \
--server-cert <path to server certificate public key> \

    클라이언트 인증서가 .crt/.key 형식인 경우 다음 스위치를 사용합니다.

    --client-cert <path to client certificate public key> \
--client-key <path to client certificate private key> \

    클라이언트 인증서가 .pfx 또는 .p12 형식인 경우:

    --client-pfx <pfx filename>
--client-pfx-passwd <password>

    엔터프라이즈 CA에서 클라이언트 인증서를 발급한 경우 트러스트 체인의 CA에 대해 다음 스위치를 추가합니다.

    --cacert <path to ca certificate>

    예를 들면 다음과 같습니다.

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib /home/azureuser/libsapcrypto.so \
--sapgenpse /home/azureuser/sapgenpse \
--client-cert /home/azureuser/client.crt \
--client-key /home/azureuser/client.key \
--cacert /home/azureuser/issuingca.crt
--cacert /home/azureuser/rootca.crt
--server-cert /home/azureuser/server.crt \

kickstart 스크립트에서 사용할 수 있는 옵션에 대한 자세한 내용은 참조: kickstart 스크립트를 검토하세요.

다음 단계

SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대해 자세히 알아보세요.

문제 해결:

참조 파일:

자세한 내용은 Microsoft Sentinel 솔루션을 참조하세요.