SAP 변경 요청 배포 및 권한 부여 구성

이 문서에서는 SAP 에이전트 설치를 위한 환경을 준비하는 SAP CR(변경 요청)을 배포하여 SAP 시스템에 제대로 연결할 수 있도록 하는 방법을 보여 줍니다.

중요

  • 이 문서에서는 관련 CR 배포에 대한 단계별 가이드를 제공합니다. 반드시 SAP 전문가가 아닐 수도 있는 SOC 엔지니어 또는 구현자에게 권장됩니다.
  • CR 배포 프로세스에 익숙한 숙련된 SAP 관리자는 가이드의 SAP 환경 유효성 검사 단계 섹션에서 직접 적절한 CR을 가져와 배포할 수 있습니다. NPLK900271 CR은 샘플 역할을 배포하며 관리자는 아래 필수 ABAP 권한 부여 섹션의 정보에 따라 역할을 수동으로 정의할 수 있습니다.

필수 및 선택적 CR

이 문서에서는 다음 CR의 설치에 대해 설명합니다.

CR 필수/선택 설명
NPLK900271 필수 이 CR은 역할을 만들고 구성합니다. 또는 파일에서 직접 권한 부여를 로드할 수 있습니다. 역할을 만들고 구성하는 방법 검토
NPLK900201 또는 NPLK900202 옵션 SAP에서 추가 정보 검색 SAP 버전에 따라 관련 CR 중 하나를 선택합니다.

필수 구성 요소

  1. 배포 프로세스를 시작하기 전에 SAP 시스템 버전, SID(시스템 ID), 시스템 번호, 클라이언트 번호, IP 주소, 관리 사용자 이름암호의 세부 정보를 복사했는지 확인합니다. 다음 예에서는 다음 세부 정보를 가정합니다.

    • SAP 시스템 버전:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • 시스템 번호:00
    • 클라이언트 번호:001
    • IP 주소:192.168.136.4
    • 관리자 사용자:a4hadm, 그러나 SAP 시스템에 대한 SSH 연결은 root 사용자 자격 증명으로 설정됩니다.
  2. SAP 환경 유효성 검사 단계를 검토하여 설치할 CR을 결정합니다.

  3. 추가 정보를 검색하는 데 사용되는 NPLK900202 선택적 CR을 설치한 경우 관련 SAP Note를 설치했는지 확인합니다.

배포 마일스톤

다음과 같은 문서 시리즈를 통해 SAP 솔루션 배포 과정을 추적합니다.

  1. 배포 개요

  2. 배포 사전 요구 사항

  3. SAP 환경 준비(현재 위치)

  4. 데이터 커넥터 에이전트 배포

  5. SAP 보안 콘텐츠 배포

  6. SAP용 Microsoft Sentinel 솔루션 구성

  7. 선택적 배포 단계

CR을 배포하려면 아래 설명된 단계를 수행합니다. 아래 단계는 SAP 시스템 버전에 따라 다를 수 있으며 데모용으로만 고려해야 합니다.

CR 배포

참고

SAP CR 배포는 숙련된 SAP 시스템 관리자가 수행하는 것이 가장 좋습니다.

파일 설정

  1. SSH를 사용하여 SAP 시스템에 로그인합니다.

  2. SAP 시스템에 CR 파일을 전송합니다. 이 단계의 CR에 대해 자세히 알아봅니다.

    또는 SSH 프롬프트에서 SAP 시스템에 직접 파일을 다운로드할 수 있습니다. 다음 명령을 사용합니다.

    • NPLK900271 다운로드(필수)

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
      

      또는 파일에서 직접 권한 부여를 로드할 수 있습니다.

    • NPLK900202 다운로드(선택 사항)

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
      
    • NPLK900201 다운로드(선택 사항)

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
      

    각 CR은 두 개의 파일(K로 시작하는 파일과 R로 시작하는 파일)로 구성되어 있습니다.

  3. 파일 소유권을 사용자 <sid>adm 및 그룹 sapsys로 변경합니다. (<sid>를 SAP 시스템 ID로 대체합니다.)

    chown <sid>adm:sapsys *.NPL
    

    이 예제에서

    chown a4hadm:sapsys *.NPL
    
  4. 공동 파일(K로 시작하는 파일)을 /usr/sap/trans/cofiles 폴더에 복사합니다. -p 스위치와 함께 cp 명령을 사용하여 복사하는 동안 권한을 유지합니다.

    cp -p K*.NPL /usr/sap/trans/cofiles/
    
  5. 데이터 파일(R로 시작하는 파일)을 /usr/sap/trans/data 폴더에 복사합니다. -p 스위치와 함께 cp 명령을 사용하여 복사하는 동안 권한을 유지합니다.

    cp -p R*.NPL /usr/sap/trans/data/
    

CR 가져오기

  1. SAP Logon 애플리케이션을 실행하고 SAP GUI 콘솔에 로그인합니다.

  2. STMS_IMPORT 트랜잭션을 실행합니다.

    SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에 STMS_IMPORT를 입력하고 Enter 키를 누릅니다.

    STMS 가져오기 트랜잭션을 실행하는 스크린샷.

    주의

    이 단계에서 오류가 발생하면 계속 진행하기 전에 SAP 전송 관리 시스템을 구성해야 합니다. 지침은 이 문서를 참조하세요.

  3. 표시되는 가져오기 큐 창에서 자세히 > 추가 > 기타 요청 > 추가를 선택합니다.

    가져오기 큐를 추가하는 스크린샷.

  4. 표시되는 가져오기 큐에 전송 요청 추가 팝업에서 전송 요청 필드를 선택합니다.

  5. 전송 요청 창이 나타나고 배포할 수 있는 CR 목록이 표시됩니다. CR을 선택하고 녹색 확인 표시 단추를 선택합니다.

  6. 가져오기 큐에 전송 요청 추가 창으로 돌아가서 계속(녹색 확인 표시)을 선택하거나 Enter 키를 누릅니다.

  7. 전송 요청 추가 확인 대화 상자에서 를 선택합니다.

  8. 더 많은 CR을 배포하려는 경우 나머지 CR에 대해 이전 5개 단계의 절차를 반복합니다.

  9. 큐 가져오기 창에서 관련 전송 요청을 한 번 선택한 다음, F9 또는 요청 선택/선택 취소 아이콘을 선택합니다.

  10. 배포에 추가할 나머지 전송 요청이 있는 경우 9단계를 반복합니다.

  11. 요청 가져오기 아이콘을 선택합니다.

    모든 요청 가져오기 스크린샷.

  12. 가져오기 시작 창에서 대상 클라이언트 필드를 선택합니다.

  13. 입력 도움말.. 대화 상자가 나타납니다. CR을 배포할 클라이언트 번호(이 예에서는 001)를 선택한 다음 녹색 확인 표시를 선택하여 확인합니다.

  14. 가져오기 시작 창으로 돌아가서 옵션 탭을 선택하고 잘못된 구성 요소 버전 무시 확인란을 선택한 다음 녹색 확인 표시를 선택하여 확인합니다.

    가져오기 시작 창의 스크린샷.

  15. 가져오기 시작 확인 대화 상자에서 를 선택하여 가져오기를 확인합니다.

  16. 가져오기 큐 창으로 돌아가서 새로 고침을 선택하고 가져오기 작업이 완료되고 가져오기 큐가 비어 있는 것으로 표시될 때까지 기다립니다.

  17. 가져오기 상태를 검토하려면 가져오기 큐 창에서 자세히 > 이동 > 가져오기 기록을 선택합니다.

    가져오기 기록의 스크린샷.

  18. NPLK900202 CR을 배포한 경우 경고가 표시됩니다. 항목을 선택하여 표시된 경고가 "<tablename> 테이블이 활성화되었습니다." 형식인지 확인합니다.

    아래 스크린샷의 CR 및 버전은 설치된 CR 버전에 따라 변경될 수 있습니다.

    가져오기 상태 디스플레이의 스크린샷.

    가져오기 경고 메시지 디스플레이의 스크린샷.

Sentinel 역할 구성

NPLK900271 CR이 배포된 후 SAP에서 /MSFTSEN/SENTINEL_CONNECTOR 역할이 만들어집니다. 역할을 수동으로 만드는 경우 다른 이름을 사용할 수 있습니다.

여기에 표시된 예에서는 역할 이름 /MSFTSEN/SENTINEL_CONNECTOR를 사용합니다.

다음 단계는 Microsoft Sentinel이 사용할 활성 역할 프로필을 생성하는 것입니다.

  1. PFCG 트랜잭션을 실행합니다.

    SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에 PFCG를 입력하고 Enter 키를 누릅니다.

  2. 역할 유지 관리 창에서 역할 필드에 역할 이름 /MSFTSEN/SENTINEL_CONNECTOR를 입력하고 변경 단추(연필 모양)을 선택합니다.

    변경할 역할을 선택하는 스크린샷.

  3. 표시되는 역할 변경 창에서 권한 부여 탭을 선택합니다.

  4. 권한 부여 탭에서 권한 부여 데이터 변경을 선택합니다.

    권한 부여 데이터 변경 스크린샷.

  5. 정보 팝업에서 메시지를 읽고 녹색 확인 표시를 선택하여 확인합니다.

  6. 역할 변경: 권한 부여 창에서 생성을 선택합니다.

    권한 부여 생성 스크린샷.

    상태 필드가 변경되지 않음에서 생성됨으로 변경되었는지 확인합니다.

  7. 뒤로(화면 상단의 SAP 로고 왼쪽)를 선택합니다.

  8. 역할 변경 창으로 돌아가서 권한 부여 탭에 녹색 상자가 표시되는지 확인한 다음 저장을 선택합니다.

    변경된 역할 저장 스크린샷.

사용자 만들기

SAP용 Microsoft Sentinel Solution을 사용하려면 SAP 시스템에 연결하는 사용자 계정이 필요합니다. 다음 지침에 따라 사용자 계정을 만들고 이전 단계에서 만든 역할에 할당합니다.

여기에 표시된 예에서는 역할 이름 /MSFTSEN/SENTINEL_CONNECTOR를 사용합니다.

  1. SU01 트랜잭션을 실행합니다.

    SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에 SU01을 입력하고 Enter 키를 누릅니다.

  2. 사용자 유지 관리: 초기 화면 화면에서 사용자 필드에 새 사용자의 이름을 입력하고 단추 모음에서 기술 사용자 만들기를 선택합니다.

  3. 사용자 관리 화면의 사용자 유형 드롭다운 목록에서 시스템을 선택합니다. 새 암호암호 반복 필드에 복잡한 암호를 만들어 입력한 다음 역할 탭을 선택합니다.

  4. 역할 탭의 역할 할당 섹션에 역할의 전체 이름(이 예에서는 /MSFTSEN/SENTINEL_CONNECTOR)을 입력하고 Enter 키를 누릅니다.

    Enter 키를 누른 후 역할 할당 섹션의 오른쪽이 시작 날짜 변경과 같은 데이터로 채워지는지 확인합니다.

  5. 프로필 탭을 선택하고 역할에 대한 프로필이 할당된 권한 부여 프로필 아래에 나타나는지 확인한 다음 저장을 선택합니다.

필요한 ABAP 권한

다음 표에는 Microsoft Sentinel의 SAP 데이터 커넥터에서 사용하는 계정에서 SAP 로그를 올바르게 검색할 수 있도록 하는 데 필요한 ABAP 권한이 나열되어 있습니다.

여기에 필요한 권한이 로그 형식별로 나열됩니다. Microsoft Sentinel에 수집하려는 로그 형식에 대해 나열된 권한만 있으면 됩니다.

필요한 모든 권한 부여를 사용하여 역할을 만들려면 SAP 시스템에 SAP NPLK900271 CR을 배포하거나 MSFTSEN_SENTINEL_CONNECTOR_ROLE_V0.0.27.SAP 파일에서 역할 권한 부여를 로드합니다. 이 CR은 데이터 커넥터가 작동하는 데 필요한 모든 권한이 있는 /MSFTSEN/SENTINEL_CONNECTOR 역할을 만듭니다. 또는 NPLK900268 CR을 배포하거나 MSFTSEN_SENTINEL_AGENT_BASIC_ROLE_V0.0.1.SAP 파일에서 역할 권한 부여를 로드하여 최소한의 권한이 있는 역할을 만들 수 있습니다. 이 CR 또는 권한 부여 파일은 /MSFTSEN/SENTINEL_AGENT_BASIC 역할을 만듭니다. 이 역할에는 데이터 커넥터가 작동하는 데 필요한 최소한의 권한이 있습니다. 이 역할을 배포하도록 선택하면 자주 업데이트해야 할 수 있습니다.

권한 개체 필드
모든 로그
S_RFC RFC_TYPE 함수 모듈
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Execute
S_TCODE TCD SM51
S_TABU_NAM ACTVT 표시
S_TABU_NAM TABLE T000
선택 사항 - Sentinel 솔루션 CR이 구현된 경우에만
S_RFC RFC_NAME /MSFTSEN/*
ABAP 애플리케이션 로그
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD 인터페이스 XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT 표시
ABAP 변경 문서 로그
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS
ABAP CR 로그
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT 표시
ABAP DB 테이블 데이터 로그
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER
ABAP 작업 로그
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD 인터페이스 XBP
ABAP 스풀 로그
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS(트랜잭션 SP01 사용(모든 시스템))
ABAP 워크플로 로그
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD
ABAP 보안 감사 로그
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD(기본 감사 표시 인증.)
S_SAL SAL_ACTVT SHOW_LOG(파일 기반 로그 평가)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT 표시
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT 잠금
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD 인터페이스 XAL
사용자 데이터
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04
구성 기록
S_TABU_NAM TABLE PAHI
SNC 데이터
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL

ABAP 시스템에 설치된 사용자 역할 및 선택적 CR 제거

시스템에 가져온 사용자 역할 및 선택적 CR을 제거하려면 삭제 CR NPLK900259를 ABAP 시스템으로 가져옵니다.

다음 단계

이제 SAP 환경을 완벽하게 준비했습니다. 필요한 CR이 배포되고, 역할 및 프로필이 프로비저닝되었으며, 사용자 계정이 만들어지고 적절한 역할 프로필이 할당되었습니다.

이제 데이터 커넥터 에이전트 컨테이너를 배포할 준비가 되었습니다.