De agentcontainer microsoft Sentinel voor SAP-gegevensconnector implementeren met deskundige opties

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dit artikel bevat procedures voor het implementeren en configureren van de Container microsoft Sentinel voor sap-gegevensconnectoragent met behulp van deskundige, aangepaste of handmatige configuratieopties. Voor typische implementaties wordt u aangeraden in plaats daarvan de portal te gebruiken.

Inhoud in dit artikel is bedoeld voor uw SAP BASIS-teams . Zie Een SAP-gegevensconnectoragent implementeren vanaf de opdrachtregel voor meer informatie.

Vereisten

• Zorg ervoor dat uw systeem voldoet aan de vereisten die worden beschreven in het hoofddocument met vereisten voor sap-gegevensconnector voordat u begint.

Azure Key Vault-geheimen handmatig toevoegen aan SAP-gegevensconnectoragent

Gebruik het volgende script om SAP-systeemgeheimen handmatig toe te voegen aan uw sleutelkluis. Vervang de tijdelijke aanduidingen door uw eigen systeem-id en de referenties die u wilt toevoegen:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Zie de quickstart: Een sleutelkluis maken met behulp van de Azure CLI en de az keyvault secret CLI-documentatie voor meer informatie.

Een expert/aangepaste installatie uitvoeren

In deze procedure wordt beschreven hoe u de Microsoft Sentinel voor SAP-gegevensconnector implementeert met behulp van een deskundige of aangepaste installatie, zoals bij het installeren van on-premises.

Vereisten: Azure Key Vault is de aanbevolen methode voor het opslaan van uw verificatiereferenties en configuratiegegevens. U wordt aangeraden deze procedure pas uit te voeren nadat u een sleutelkluis hebt die klaar is met uw SAP-referenties.

De Microsoft Sentinel voor SAP-gegevensconnector implementeren:

1. Download de nieuwste SAP NW RFC SDK van de SAP Launchpad-site>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip en sla deze op uw gegevensconnectoragentmachine op.

   Notitie

   U hebt de aanmeldingsgegevens van uw SAP-gebruiker nodig om toegang te krijgen tot de SDK en u moet de SDK downloaden die overeenkomt met uw besturingssysteem.

   Zorg ervoor dat u de optie LINUX ON X86_64 selecteert.

2. Maak op dezelfde computer een nieuwe map met een betekenisvolle naam en kopieer het ZIP-bestand van de SDK naar uw nieuwe map.

3. Kloon de GitHub-opslagplaats van de Microsoft Sentinel-oplossing naar uw on-premises computer en kopieer de Microsoft Sentinel-oplossing voor sap-toepassingen systemconfig.json bestand naar uw nieuwe map.

   Voorbeeld:

   mkdir /home/$(pwd)/sapcon/<sap-sid>/
   cd /home/$(pwd)/sapcon/<sap-sid>/
   wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
   cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
   

4. Bewerk het systemconfig.json bestand indien nodig met behulp van de ingesloten opmerkingen als hulplijn.

   Definieer de volgende configuraties met behulp van de instructies in het bestand systemconfig.json :

   • De logboeken die u wilt opnemen in Microsoft Sentinel met behulp van de instructies in het bestand systemconfig.json .
   • Of e-mailadressen van gebruikers moeten worden opgenomen in auditlogboeken
   • Mislukte API-aanroepen opnieuw proberen
   • Of cexal-auditlogboeken moeten worden opgenomen
   • Of er een tijdsinterval tussen gegevensextracties moet worden gewacht, met name voor grote extracties

   Zie De Microsoft Sentinel voor SAP-gegevensconnector handmatig configureren en de SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden voor meer informatie.

   Als u uw configuratie wilt testen, kunt u de gebruiker en het wachtwoord rechtstreeks toevoegen aan het systemconfig.json-configuratiebestand . Hoewel het raadzaam is om Azure Key Vault te gebruiken om uw referenties op te slaan, kunt u ook een env.list-bestand, Docker-geheimen gebruiken of uw referenties rechtstreeks toevoegen aan het systemconfig.json-bestand.

   Zie configuraties van SAL-logboekconnector voor meer informatie.

5. Sla het bijgewerkte systemconfig.json-bestand op in de sapcon-map op uw computer.

6. Als u ervoor hebt gekozen om een env.list-bestand voor uw referenties te gebruiken, maakt u een tijdelijk env.list-bestand met de vereiste referenties. Zodra uw Docker-container correct wordt uitgevoerd, moet u dit bestand verwijderen.

   Notitie

   Het volgende script heeft elke Docker-container die verbinding maakt met een specifiek ABAP-systeem. Pas het script zo nodig aan voor uw omgeving.

   Run:

   ##############################################################
   # Include the following section if you're using user authentication
   ##############################################################
   # env.list template for Credentials
   SAPADMUSER=<SET_SAPCONTROL_USER>
   SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
   LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
   LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
   ABAPUSER=SET_ABAP_USER>
   ABAPPASS=<SET_ABAP_PASS>
   JAVAUSER=<SET_JAVA_OS_USER>
   JAVAPASS=<SET_JAVA_OS_USER>
   ##############################################################
   # Include the following section if you are using Azure Keyvault
   ##############################################################
   # env.list template for AZ Cli when MI is not enabled
   AZURE_TENANT_ID=<your tenant id>
   AZURE_CLIENT_ID=<your client/app id>
   AZURE_CLIENT_SECRET=<your password/secret for the service principal>
   ##############################################################
   

7. Download en voer de vooraf gedefinieerde Docker-installatiekopieën uit met de SAP-gegevensconnector geïnstalleerd. Run:

   docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
   docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
   rm -f <env.list_location>
   

8. Controleer of de Docker-container correct wordt uitgevoerd. Run:

   docker logs –f sapcon-[SID]
   

9. Ga verder met het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.

   Door de oplossing te implementeren, kan de SAP-gegevensconnector worden weergegeven in Microsoft Sentinel en worden de SAP-werkmap- en analyseregels geïmplementeerd. Wanneer u klaar bent, voegt u handmatig uw SAP-watchlists toe en past u deze aan.

   Zie De Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen vanuit de inhoudshub voor meer informatie.

De Microsoft Sentinel handmatig configureren voor SAP-gegevensconnector

De Microsoft Sentinel voor SAP-gegevensconnector is geconfigureerd in het systemconfig.json-bestand , dat u hebt gekloond naar uw SAP-gegevensconnectormachine als onderdeel van de implementatieprocedure. Gebruik de inhoud in deze sectie om de instellingen van de gegevensconnector handmatig te configureren.

Zie Systemconfig.json bestandsreferentie of Systemconfig.ini bestandsreferentie voor verouderde systemen voor meer informatie.

De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden

Het standaardbestand voor systeemconfiguratie is geconfigureerd voor ingebouwde analyses, de hoofdgegevenstabellen van sap-gebruikersautorisatie, met informatie over gebruikers en bevoegdheden, en de mogelijkheid om wijzigingen en activiteiten in het SAP-landschap bij te houden. De standaardconfiguratie biedt meer logboekinformatie om onderzoek na inbreuk en uitgebreide opsporingsmogelijkheden mogelijk te maken.

Het is echter mogelijk dat u uw configuratie na verloop van tijd wilt aanpassen, met name omdat bedrijfsprocessen meestal seizoensgebonden zijn.

Gebruik de volgende codesets om het systemconfig.json-bestand te configureren om de logboeken te definiëren die naar Microsoft Sentinel worden verzonden.

Zie De Microsoft Sentinel-oplossing voor logboeken voor SAP-toepassingen voor logboeken (openbare preview) voor meer informatie.

Een standaardprofiel configureren

Met de volgende code wordt een standaardconfiguratie geconfigureerd:

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Een detectiegericht profiel configureren

Gebruik de volgende code om een detectiegericht profiel te configureren, dat de kernbeveiligingslogboeken bevat van het SAP-landschap dat nodig is voor de meeste analyseregels om goed te presteren. Onderzoek na inbreuk en opsporingsmogelijkheden zijn beperkt.

##############################################################
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

Gebruik de volgende code om een minimaal profiel te configureren, waaronder het SAP-beveiligingscontrolelogboek. Dit is de belangrijkste gegevensbron van de Microsoft Sentinel-oplossing voor SAP-toepassingen om activiteiten in het SAP-landschap te analyseren. Het inschakelen van dit logboek is de minimale vereiste om eventuele beveiligingsdekking te bieden.

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False

Connectorinstellingen voor SAL-logboeken

Voeg de volgende code toe aan de Microsoft Sentinel voor SAP-gegevensconnector systemconfig.json bestand om andere instellingen te definiëren voor SAP-logboeken die zijn opgenomen in Microsoft Sentinel.

Zie Een expert/aangepaste SAP-gegevensconnector installeren voor meer informatie.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

In deze sectie kunt u de volgende parameters configureren:

Parameternaam	Beschrijving
extractuseremail	Bepaalt of e-mailadressen van gebruikers zijn opgenomen in auditlogboeken.
apiretry	Bepaalt of API-aanroepen opnieuw worden geprobeerd als failovermechanisme.
auditlogforcexal	Bepaalt of het systeem het gebruik van auditlogboeken voor niet-SAL-systemen dwingt, zoals SAP BASIS versie 7.4.
auditlogforcelegacyfiles	Bepaalt of het systeem het gebruik van auditlogboeken met verouderde systeemmogelijkheden dwingt, zoals van SAP BASIS versie 7.4 met lagere patchniveaus.
timechunk	Bepaalt dat het systeem een bepaald aantal minuten wacht als een interval tussen gegevensextracties. Gebruik deze parameter als u een grote hoeveelheid gegevens verwacht. Tijdens de initiële gegevensbelasting tijdens de eerste 24 uur wilt u bijvoorbeeld dat de gegevensextractie slechts om de 30 minuten wordt uitgevoerd om elke gegevensextractie voldoende tijd te geven. In dergelijke gevallen stelt u deze waarde in op 30.

Een ABAP SAP Control-exemplaar configureren

Als u alle ABAP-logboeken wilt opnemen in Microsoft Sentinel, inclusief zowel NW RFC- als SAP Control Web Service-logboeken, configureert u de volgende ABAP SAP Control-details:

Instelling	Beschrijving
javaappserver	Voer uw SAP Control ABAP-serverhost in. Bijvoorbeeld: contoso-erp.appserver.com
javainstance	Voer uw SAP Control ABAP-exemplaarnummer in. Bijvoorbeeld: 00
abaptz	Voer de tijdzone in die is geconfigureerd op uw SAP Control ABAP-server, in GMT-indeling. Bijvoorbeeld: GMT+3
abapseveriteit	Voer het laagste, inclusieve ernstniveau in waarvoor u ABAP-logboeken wilt opnemen in Microsoft Sentinel. Waarden zijn onder andere: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout

Een Exemplaar van Java SAP Control configureren

Als u SAP Control Web Service-logboeken wilt opnemen in Microsoft Sentinel, configureert u de volgende details van het JAVA SAP Control-exemplaar:

Parameter	Description
javaappserver	Voer uw SAP Control Java-serverhost in. Bijvoorbeeld: contoso-java.server.com
javainstance	Voer uw SAP Control ABAP-exemplaarnummer in. Bijvoorbeeld: 10
javatz	Voer de tijdzone in die is geconfigureerd op uw SAP Control Java-server, in GMT-indeling. Bijvoorbeeld: GMT+3
javaseverity	Voer het laagste, inclusieve ernstniveau in waarvoor u webservicelogboeken wilt opnemen in Microsoft Sentinel. Waarden zijn onder andere: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout

Verzameling van gebruikershoofdgegevens configureren

Als u tabellen rechtstreeks vanuit uw SAP-systeem wilt opnemen met details over uw gebruikers en rolautorisaties, configureert u uw systemconfig.json-bestand met een True/False instructie voor elke tabel.

Voorbeeld:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Zie Naslaginformatie over tabellen die rechtstreeks zijn opgehaald uit SAP-systemen voor meer informatie.

Gerelateerde inhoud

Zie voor meer informatie:

• De container implementeren en configureren die als host fungeert voor de SAP-gegevensconnectoragent
• Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen