SAP 권한 부여 구성 및 선택적 SAP 변경 요청 배포

  • 아티클

이 문서에서는 SAP 시스템에 제대로 연결할 수 있도록 SAP 에이전트 설치를 위해 환경을 준비하는 방법을 설명합니다. 준비에는 필요한 SAP 권한 부여 구성 및 필요에 따라 추가 SAP CR(변경 요청) 배포가 포함됩니다.

  • Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

배포 마일스톤

다음과 같은 문서 시리즈를 통해 SAP 솔루션 배포 과정을 추적합니다.

  1. 배포 개요

  2. 배포 사전 요구 사항

  3. 여러 작업 영역에서 솔루션 작업(미리 보기)

  4. SAP 환경 준비(현재 위치)

  5. 감사 구성

  6. 콘텐츠 허브에서 솔루션 콘텐츠 배포

  7. 데이터 커넥터 에이전트 배포

  8. SAP® 애플리케이션용 Microsoft Sentinel 솔루션 구성

  9. 선택적 배포 단계

Microsoft Sentinel 역할 구성

  1. GitHub의 /MSFTSEN/SENTINEL_RESPONDER 파일에서 역할 권한 부여를 업로드합니다.

    그러면 SAP 시스템에서 로그를 검색하고 공격 중단 대응 작업을 실행하는 데 필요한 모든 권한 부여를 포함하는 /MSFTSEN/SENTINEL_RESPONDER 역할이 만들어집니다.

    또는 수집하려는 로그에 필요한 관련 권한 부여를 사용하여 역할을 수동으로 만듭니다. 자세한 내용은 필요한 ABAP 권한 부여를 참조하세요. 이 절차의 예제에서는 /MSFTSEN/SENTINEL_RESPONDER 이름을 사용합니다.

  2. 다음 단계는 Microsoft Sentinel이 사용할 활성 역할 프로필을 생성하는 것입니다. PFCG 트랜잭션을 실행합니다.

    SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에 PFCG을 입력하고 Enter 키를 누릅니다.

  3. 역할 유지 관리 창에서 역할 필드에 역할 이름 /MSFTSEN/SENTINEL_RESPONDER를 입력하고 변경 단추(연필 모양)을 선택합니다.

  4. 표시되는 역할 변경 창에서 권한 부여 탭을 선택합니다.

  5. 권한 부여 탭에서 권한 부여 데이터 변경을 선택합니다.

  6. 정보 팝업에서 메시지를 읽고 녹색 확인 표시를 선택하여 확인합니다.

  7. 역할 변경: 권한 부여 창에서 생성을 선택합니다.

    상태 필드가 변경되지 않음에서 생성됨으로 변경되었는지 확인합니다.

  8. 뒤로(화면 상단의 SAP 로고 왼쪽)를 선택합니다.

  9. 역할 변경 창으로 돌아가서 권한 부여 탭에 녹색 상자가 표시되는지 확인한 다음 저장을 선택합니다.

사용자 만들기

SAP® 애플리케이션용 Microsoft Sentinel 솔루션에는 SAP 시스템에 연결하기 위한 사용자 계정이 필요합니다. 다음 지침에 따라 사용자 계정을 만들고 이전 단계에서 만든 역할에 할당합니다.

여기에 표시된 예에서는 역할 이름 /MSFTSEN/SENTINEL_RESPONDER를 사용합니다.

  1. SU01 트랜잭션을 실행합니다.

    SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에 SU01을 입력하고 Enter 키를 누릅니다.

  2. 사용자 유지 관리: 초기 화면 화면에서 사용자 필드에 새 사용자의 이름을 입력하고 단추 모음에서 기술 사용자 만들기를 선택합니다.

  3. 사용자 관리 화면의 사용자 유형 드롭다운 목록에서 시스템을 선택합니다. 새 암호암호 반복 필드에 복잡한 암호를 만들어 입력한 다음 역할 탭을 선택합니다.

  4. 역할 탭의 역할 할당 섹션에 역할의 전체 이름(이 예에서는 /MSFTSEN/SENTINEL_RESPONDER)을 입력하고 Enter 키를 누릅니다.

    Enter 키를 누른 후 역할 할당 섹션의 오른쪽이 시작 날짜 변경과 같은 데이터로 채워지는지 확인합니다.

  5. 프로필 탭을 선택하고 역할에 대한 프로필이 할당된 권한 부여 프로필 아래에 나타나는지 확인한 다음 저장을 선택합니다.

필요한 ABAP 권한

이 섹션에서는 Microsoft Sentinel의 SAP 데이터 커넥터에서 사용하는 SAP 사용자 계정이 SAP 시스템에서 로그를 올바르게 검색하고 공격 중단 대응 작업을 실행할 수 있도록 하는 데 필요한 ABAP 권한 부여를 나열합니다.

여기에 필요한 권한이 용도별로 나열됩니다. Microsoft Sentinel에 가져오려는 로그 종류 및 적용하려는 공격 중단 대응 작업에 대해 나열된 권한 부여만 필요합니다.

필요한 모든 권한 부여를 사용하여 역할을 만들려면 /MSFTSEN/SENTINEL_RESPONDER 파일에서 역할 권한 부여를 로드합니다.

또는 공격 중단 대응 작업 없이 로그 검색만 사용하도록 설정하려면 SAP 시스템에 SAP NPLK900271 CR을 배포하여 /MSFTSEN/SENTINEL_CONNECTOR 역할을 만들거나 /MSFTSEN/SENTINEL_CONNECTOR 파일에서 역할 권한 부여를 로드합니다.

권한 부여 개체 필드
모든 로그
S_RFC RFC_TYPE 함수 모듈
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT 실행
S_TCODE TCD SM51
S_TABU_NAM ACTVT 표시
S_TABU_NAM TABLE T000
선택 사항 - Sentinel 솔루션 CR이 구현된 경우에만
S_RFC RFC_NAME /MSFTSEN/*
ABAP 애플리케이션 로그
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD 인터페이스 XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT 표시
ABAP 변경 문서 로그
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS
ABAP CR 로그
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT 표시
ABAP DB 테이블 데이터 로그
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER
ABAP 작업 로그
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD 인터페이스 XBP
ABAP 스풀 로그
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS(트랜잭션 SP01 사용(모든 시스템))
ABAP 워크플로 로그
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD
ABAP 보안 감사 로그
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD(기본 감사 표시 인증.)
S_SAL SAL_ACTVT SHOW_LOG(파일 기반 로그 평가)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT 표시
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT 잠금
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD 인터페이스 XAL
사용자 데이터
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04
구성 기록
S_TABU_NAM TABLE PAHI
SNC 데이터
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL
공격 중단 대응 작업
S_RFC RFC_TYPE 함수 모듈
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
이름과 달리 이 함수는 사용자를 삭제하지 않고 활성 사용자 세션을 종료합니다.
S_USER_GRP CLASS *
S_USER_GRP 클래스를 대화 상자를 나타내는 조직의 관련 클래스로 바꾸는 것이 좋습니다.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

필요한 경우 ABAP 시스템에 설치된 사용자 역할 및 선택적 CR을 제거할 수 있습니다.

선택적 CR 배포

이 섹션에서는 추가 선택적 CR을 배포하는 단계별 가이드를 제공합니다. 이 가이드는 반드시 SAP 전문가는 아닐 수도 있는 SOC 엔지니어 또는 구현자에게 권장됩니다.

CR 배포 프로세스에 익숙한 숙련된 SAP 관리자는 가이드의 SAP 환경 유효성 검사 단계 섹션에서 직접 적절한 CR을 가져와 배포할 수 있습니다.

SAP CR 배포는 숙련된 SAP 시스템 관리자가 수행하는 것이 좋습니다.

다음 표에서는 배포할 수 있는 선택적 CR에 대해 설명합니다.

CR 설명
NPLK900271 SAP 데이터 커넥터가 SAP 시스템에 연결할 수 있도록 허용하는 데 필요한 기본 권한 부여를 사용하여 샘플 역할을 만들고 구성합니다. 또는 파일에서 직접 권한 부여를 로드하거나 수집하려는 로그에 따라 역할을 수동으로 정의할 수 있습니다.

자세한 내용은 필수 ABAP 권한 부여역할 만들기 및 구성(필수)을 참조하세요.
NPLK900201 또는 NPLK900202 SAP에서 추가 정보 검색 SAP 버전에 따라 관련 CR 중 하나를 선택합니다.

CR 배포를 위한 필수 조건

  1. 배포 프로세스를 시작하기 전에 SAP 시스템 버전, SID(시스템 ID), 시스템 번호, 클라이언트 번호, IP 주소, 관리 사용자 이름암호의 세부 정보를 복사했는지 확인합니다. 다음 예에서는 다음 세부 정보를 가정합니다.

    • SAP 시스템 버전:SAP ABAP Platform 1909 Developer edition
    • SIDA4H:
    • 시스템 번호:00
    • 클라이언트 번호:001
    • IP 주소:192.168.136.4
    • 관리자 사용자:a4hadm, 그러나 SAP 시스템에 대한 SSH 연결은 root 사용자 자격 증명으로 설정됩니다.

  2. 배포하려는 CR을 알고 있는지 확인합니다.

  3. 추가 정보를 검색하기 위한 NPLK900202 CR을 배포하는 경우 관련 SAP Note를 설치했는지 확인합니다.

파일 설정

  1. SSH를 사용하여 SAP 시스템에 로그인합니다.

  2. CR 파일을 SAP 시스템으로 전송하거나 SSH 프롬프트에서 SAP 시스템에 직접 파일을 다운로드합니다. 다음 명령을 사용합니다.

    • NPLK900271 다운로드

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      또는 파일에서 직접 권한 부여를 로드할 수 있습니다.

    • NPLK900202 다운로드

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • NPLK900201 다운로드

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    각 CR은 두 개의 파일(K로 시작하는 파일과 R로 시작하는 파일)로 구성되어 있습니다.

  3. 파일 소유권을 사용자 <sid>adm 및 그룹 sapsys로 변경합니다. (<sid>를 SAP 시스템 ID로 대체합니다.)

    chown <sid>adm:sapsys *.NPL

    이 예제에서

    chown a4hadm:sapsys *.NPL

  4. 공동 파일(K로 시작하는 파일)을 /usr/sap/trans/cofiles 폴더에 복사합니다. -p 스위치와 함께 cp 명령을 사용하여 복사하는 동안 권한을 유지합니다.

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. 데이터 파일(R로 시작하는 파일)을 /usr/sap/trans/data 폴더에 복사합니다. -p 스위치와 함께 cp 명령을 사용하여 복사하는 동안 권한을 유지합니다.

    cp -p R*.NPL /usr/sap/trans/data/

CR 가져오기

  1. SAP Logon 애플리케이션을 실행하고 SAP GUI 콘솔에 로그인합니다.

  2. STMS_IMPORT 트랜잭션을 실행합니다.

    SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에 STMS_IMPORT을 입력하고 Enter 키를 누릅니다.

    STMS 가져오기 트랜잭션을 실행하는 스크린샷

  3. 표시되는 가져오기 큐 창에서 자세히 > 추가 > 기타 요청 > 추가를 선택합니다.

    가져오기 큐를 추가하는 스크린샷.

  4. 표시되는 가져오기 큐에 전송 요청 추가 팝업에서 전송 요청 필드를 선택합니다.

  5. 전송 요청 창이 나타나고 배포할 수 있는 CR 목록이 표시됩니다. CR을 선택하고 녹색 확인 표시 단추를 선택합니다.

  6. 가져오기 큐에 전송 요청 추가 창으로 돌아가서 계속(녹색 확인 표시)을 선택하거나 Enter 키를 누릅니다.

  7. 전송 요청 추가 확인 대화 상자에서 를 선택합니다.

  8. 더 많은 CR을 배포하려는 경우 나머지 CR에 대해 이전 5개 단계의 절차를 반복합니다.

  9. 큐 가져오기 창에서 관련 전송 요청을 한 번 선택한 다음, F9 또는 요청 선택/선택 취소 아이콘을 선택합니다.

  10. 배포에 추가할 나머지 전송 요청이 있는 경우 9단계를 반복합니다.

  11. 요청 가져오기 아이콘을 선택합니다.

    모든 요청 가져오기 스크린샷.

  12. 가져오기 시작 창에서 대상 클라이언트 필드를 선택합니다.

  13. 입력 도움말.. 대화 상자가 나타납니다. CR을 배포할 클라이언트 번호(이 예에서는 001)를 선택한 다음 녹색 확인 표시를 선택하여 확인합니다.

  14. 가져오기 시작 창으로 돌아가서 옵션 탭을 선택하고 잘못된 구성 요소 버전 무시 확인란을 선택한 다음 녹색 확인 표시를 선택하여 확인합니다.

    가져오기 시작 창의 스크린샷.

  15. 가져오기 시작 확인 대화 상자에서 를 선택하여 가져오기를 확인합니다.

  16. 가져오기 큐 창으로 돌아가서 새로 고침을 선택하고 가져오기 작업이 완료되고 가져오기 큐가 비어 있는 것으로 표시될 때까지 기다립니다.

  17. 가져오기 상태를 검토하려면 가져오기 큐 창에서 자세히 > 이동 > 가져오기 기록을 선택합니다.

    가져오기 기록의 스크린샷.

  18. NPLK900202 CR을 배포한 경우 경고가 표시됩니다. 항목을 선택하여 표시된 경고가 "<tablename> 테이블이 활성화되었습니다." 형식인지 확인합니다.

    다음 스크린샷의 CR 및 버전은 설치된 CR 버전에 따라 변경될 수 있습니다.

    가져오기 상태 디스플레이의 스크린샷.

    가져오기 경고 메시지 디스플레이의 스크린샷.

PAHI 테이블(시스템, 데이터베이스 및 SAP 매개 변수 기록)이 정기적으로 업데이트되는지 확인합니다.

SAP PAHI 테이블에는 SAP 시스템의 기록, 데이터베이스 및 SAP 매개 변수에 대한 데이터가 포함됩니다. 경우에 따라 SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 누락되거나 잘못된 구성으로 인해 정기적으로 SAP PAHI 테이블을 모니터링할 수 없습니다(이 문제에 대한 자세한 내용은 SAP 참고 참조). PAHI 테이블을 업데이트하고 자주 모니터링하여 SAP® 애플리케이션용 Microsoft Sentinel 솔루션이 하루 종일 발생할 수 있는 의심스러운 작업에 대해 경고할 수 있도록 하는 것이 중요합니다.

SAP® 애플리케이션용 Microsoft Sentinel 솔루션이 보안 매개 변수에 대한 의심스러운 구성 변경을 모니터링하는 방법에 대해 자세히 알아봅니다.

참고 항목

최적의 결과를 얻으려면 컴퓨터의 systemconfig.ini 파일에서 [ABAP Table Selector] 섹션 아래에 있는 PAHI_FULLPAHI_INCREMENTAL 매개 변수를 모두 사용하도록 설정합니다.

PAHI 테이블이 정기적으로 업데이트되는지 확인하려면:

  1. RSCOLL00 프로그램을 기반으로 하는 SAP_COLLECTOR_FOR_PERFMONITOR 작업이 000 클라이언트의 DDIC 사용자에 의해 매시간 예약되고 실행되는지 확인합니다.
  2. RSHOSTPH, RSSTATPHRSDB_PAR 보고서 이름이 TCOLL 테이블에서 유지되는지 확인합니다.
    • RSHOSTPH 보고서: 운영 체제 커널 매개 변수를 읽고 이 데이터를 PAHI 테이블에 저장합니다.
    • RSSTATPH 보고서: SAP 프로필 매개 변수를 읽고 이 데이터를 PAHI 테이블에 저장합니다.
    • RSDB_PAR 보고서: 데이터베이스 매개 변수를 읽고 PAHI 테이블에 저장합니다.

작업이 존재하고 올바르게 구성된 경우 추가 단계가 필요하지 않습니다.

작업이 존재하지 않는 경우:

  1. 000 클라이언트에서 SAP 시스템에 로그인합니다.

  2. SM36 트랜잭션을 실행합니다.

  3. 작업 이름SAP_COLLECTOR_FOR_PERFMONITOR를 입력합니다.

    SAP PAHI 테이블을 모니터링하는 데 사용되는 작업을 추가하는 스크린샷

  4. 단계를 선택하고 다음 정보를 입력합니다.

    • 사용자 아래에 DDIC를 입력합니다.
    • ABAP 프로그램 이름RSCOLL00을 입력합니다.

  5. 구성을 저장합니다.

    SAP PAHI 테이블을 모니터링하는 데 사용되는 작업에 대한 사용자 정의 스크린샷

  6. 이전 화면으로 돌아가려면 F3을 선택합니다.

  7. 시작 조건을 선택하여 시작 조건을 정의합니다.

  8. 즉시를 선택하고 주기적 작업 확인란을 선택합니다.

    SAP PAHI 테이블을 주기적으로 모니터링하는 데 사용되는 작업을 정의하는 스크린샷

  9. 기간 값을 선택하고 시간별을 선택합니다.

  10. 대화 상자 내에서 저장을 선택한 다음 하단에서 저장을 선택합니다.

    SAP PAHI 테이블을 매시간 모니터링하는 데 사용되는 작업을 정의하는 스크린샷

  11. 작업을 해제하려면 상단에서 저장을 선택합니다.

    SAP PAHI 테이블을 매시간 모니터링하는 데 사용되는 작업을 해제하는 스크린샷

다음 단계

이제 SAP 환경이 데이터 커넥터 에이전트를 배포할 준비가 되었습니다. 역할 및 프로필이 프로비전되고, 사용자 계정이 만들어지고 관련 역할 프로필이 할당되며, 사용자 환경에 필요한 대로 CR이 배포됩니다.

이제 Microsoft Sentinel에 대한 SAP 감사를 사용하고 구성할 준비가 되었습니다.

Microsoft Sentinel에 대한 SAP 감사 사용 및 구성