SAP-autorisaties configureren en optionele SAP-wijzigingsaanvragen implementeren
In dit artikel wordt beschreven hoe u uw omgeving voorbereidt op de installatie van de SAP-agent, zodat deze correct verbinding kan maken met uw SAP-systemen. Voorbereiding omvat het configureren van vereiste SAP-autorisaties en het implementeren van extra SAP-wijzigingsaanvragen (CR's).
- Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Implementatie mijlpalen
Volg het implementatietraject van uw SAP-oplossing in deze reeks artikelen:
SAP-omgeving voorbereiden (u bent hier)
De inhoud van de oplossing implementeren vanuit de inhoudshub
Microsoft Sentinel-oplossing configureren voor SAP-toepassingen®
Optionele implementatiestappen
De rol Microsoft Sentinel configureren
Upload rolautorisaties vanuit het /MSFTSEN/SENTINEL_RESPONDER-bestand in GitHub.
Hiermee maakt u de rol /MSFTSEN/SENTINEL_RESPONDER , die alle vereiste autorisaties bevat voor het ophalen van logboeken van de SAP-systemen en het uitvoeren van acties voor het reageren op aanvalsonderbrekingen.
U kunt ook handmatig een rol maken met de relevante autorisaties die vereist zijn voor de logboeken die u wilt opnemen. Zie Vereiste ABAP-autorisaties voor meer informatie. In de voorbeelden in deze procedure wordt de naam /MSFTSEN/SENTINEL_RESPONDER gebruikt.
De volgende stap bestaat uit het genereren van een actief rolprofiel dat Microsoft Sentinel kan gebruiken. Voer de PFCG-transactie uit:
Voer
PFCG
in het SAP Easy Access-scherm het veld in de linkerbovenhoek van het scherm in en druk op Enter.Typ in het venster Rolonderhoud de rolnaam
/MSFTSEN/SENTINEL_RESPONDER
in het veld Rol en selecteer de knop Wijzigen (het potlood).Selecteer in het venster Rollen wijzigen dat wordt weergegeven het tabblad Autorisaties .
Selecteer Op het tabblad Autorisaties de optie Autorisatiegegevens wijzigen.
Lees het bericht in het pop-upvenster Informatie en selecteer het groene vinkje om te bevestigen.
Selecteer Genereren in het venster Wijzigingsrol: Autorisaties.
Zie dat het veld Status is gewijzigd van Ongewijzigd in gegenereerd.
Selecteer Terug (links van het SAP-logo bovenaan het scherm).
Controleer in het venster Rollen wijzigen of op het tabblad Autorisaties een groen vak wordt weergegeven en selecteer Vervolgens Opslaan.
Een gebruiker maken
Voor de Microsoft Sentinel-oplossing voor SAP-toepassingen® is een gebruikersaccount vereist om verbinding te maken met uw SAP-systeem. Gebruik de volgende instructies om een gebruikersaccount te maken en toe te wijzen aan de rol die u in de vorige stap hebt gemaakt.
In de voorbeelden die hier worden weergegeven, gebruiken we de rolnaam /MSFTSEN/SENTINEL_RESPONDER.
Voer de SU01-transactie uit:
Voer in het SAP Easy Access-scherm het veld in de linkerbovenhoek van het scherm in en druk op Enter.
SU01
Typ in het scherm Gebruikersonderhoud: Eerste scherm de naam van de nieuwe gebruiker in het veld Gebruiker en selecteer Technische gebruiker maken op de knopbalk.
Selecteer Systeem in de vervolgkeuzelijst Gebruikerstype onderhouden in het scherm Gebruikers onderhouden. Maak en voer een complex wachtwoord in de velden Nieuw wachtwoord en Wachtwoord herhalen in en selecteer vervolgens het tabblad Rollen .
Voer op het tabblad Rollen in de sectie Roltoewijzingen de volledige naam van de rol in -
/MSFTSEN/SENTINEL_RESPONDER
in ons voorbeeld - en druk op Enter.Nadat u op Enter hebt gedrukt, controleert u of aan de rechterkant van de sectie Roltoewijzingen gegevens worden ingevuld, zoals De begindatum wijzigen.
Selecteer het tabblad Profielen , controleer of een profiel voor de rol wordt weergegeven onder Toegewezen autorisatieprofielen en selecteer Opslaan.
Vereiste ABAP-autorisaties
Deze sectie bevat de ABAP-autorisaties die nodig zijn om ervoor te zorgen dat het SAP-gebruikersaccount dat wordt gebruikt door de SAP-gegevensconnector van Microsoft Sentinel, logboeken correct kan ophalen uit de SAP-systemen en acties voor het reageren op aanvallen kan uitvoeren.
De vereiste autorisaties worden hier vermeld op basis van hun doel. U hebt alleen de autorisaties nodig die worden vermeld voor de soorten logboeken die u wilt opnemen in Microsoft Sentinel en de acties voor het reageren op aanvallen die u wilt toepassen.
Tip
Als u een rol wilt maken met alle vereiste autorisaties, laadt u de rolautorisaties uit het bestand /MSFTSEN/SENTINEL_RESPONDER .
Als u ook alleen het ophalen van logboeken wilt inschakelen, zonder acties voor het reageren op aanvallen, implementeert u de SAP-NPLK900271 CR op het SAP-systeem om de rol /MSFTSEN/SENTINEL_CONNECTOR te maken of laadt u de rolautorisaties uit het bestand /MSFTSEN/SENTINEL_CONNECTOR.
Indien nodig kunt u de gebruikersrol en de optionele CR verwijderen die op uw ABAP-systeem is geïnstalleerd.
Optionele CA's implementeren
Deze sectie bevat een stapsgewijze handleiding voor het implementeren van extra, optionele CA's. Het is bedoeld voor SOC-technici of implementeerfuncties die mogelijk niet noodzakelijkerwijs SAP-experts zijn.
Ervaren SAP-beheerders die bekend zijn met het CR-implementatieproces, krijgen mogelijk liever de juiste CA's rechtstreeks vanuit de sectie validatiestappen van de SAP-omgeving van de handleiding en implementeren.
Het wordt ten zeerste aangeraden SAP-AANVRAGEN te implementeren door een ervaren SAP-systeembeheerder.
In de volgende tabel worden de optionele CA's beschreven die beschikbaar zijn voor implementatie:
CR | Beschrijving |
---|---|
NPLK900271 | Hiermee maakt en configureert u een voorbeeldrol met de basisautorisaties die nodig zijn om de SAP-gegevensconnector verbinding te laten maken met uw SAP-systeem. U kunt ook autorisaties rechtstreeks vanuit een bestand laden of de rol handmatig definiëren volgens de logboeken die u wilt opnemen. Zie Vereiste ABAP-autorisaties en Een rol maken en configureren (vereist)voor meer informatie. |
NPLK900201 of NPLK900202 | Hiermee haalt u aanvullende informatie op uit SAP. Selecteer een van deze CA's op basis van uw SAP-versie. |
Vereisten voor het implementeren van CR's
Zorg ervoor dat u de details van de SAP-systeemversie, systeem-id (SID), systeemnummer, clientnummer, IP-adres, beheerdersnaam en wachtwoord hebt gekopieerd voordat u begint met het implementatieproces. In het volgende voorbeeld worden de volgende gegevens ervan uitgegaan:
- SAP-systeemversie:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Systeemnummer:
00
- Clientnummer:
001
- IP-adres:
192.168.136.4
- Beheerdergebruiker:
a4hadm
de SSH-verbinding met het SAP-systeem wordt echter tot stand gebracht metroot
gebruikersreferenties.
- SAP-systeemversie:
Zorg ervoor dat u weet welke CR u wilt implementeren.
Als u de NPLK900202 CR implementeert om aanvullende informatie op te halen, controleert u of u de relevante SAP-notitie hebt geïnstalleerd.
De bestanden instellen
Meld u aan bij het SAP-systeem met behulp van SSH.
Breng de CR-bestanden over naar het SAP-systeem of download de bestanden rechtstreeks naar het SAP-systeem vanaf de SSH-prompt. Gebruik de volgende opdrachten:
NPLK900271 downloaden
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
U kunt deze autorisaties ook rechtstreeks vanuit een bestand laden.
NPLK900202 downloaden
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
NPLK900201 downloaden
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Elke CR bestaat uit twee bestanden, één beginnend met K en één met R.
Wijzig het eigendom van de bestanden in de gebruiker
<sid>
adm en groep sapsys. (Vervang uw SAP-systeem-id door<sid>
.)chown <sid>adm:sapsys *.NPL
In ons voorbeeld:
chown a4hadm:sapsys *.NPL
Kopieer de cofiles (die beginnen met K) naar de
/usr/sap/trans/cofiles
map. Behoud de machtigingen tijdens het kopiëren met behulp van decp
opdracht met de-p
schakeloptie.cp -p K*.NPL /usr/sap/trans/cofiles/
Kopieer de gegevensbestanden (die beginnen met R) naar de
/usr/sap/trans/data
map. Behoud de machtigingen tijdens het kopiëren met behulp van decp
opdracht met de-p
schakeloptie.cp -p R*.NPL /usr/sap/trans/data/
De CA's importeren
Start de SAP-aanmeldingstoepassing en meld u aan bij de SAP GUI-console.
Voer de STMS_IMPORT transactie uit:
Voer
STMS_IMPORT
in het SAP Easy Access-scherm het veld in de linkerbovenhoek van het scherm in en druk op Enter.Selecteer meer extra's > toevoegen >in het venster Wachtrij importeren dat wordt > weergegeven.
Selecteer in het pop-upvenster Transportaanvragen toevoegen aan importwachtrij dat wordt weergegeven het veld Transp. Aanvraag .
Het venster Transportaanvragen wordt weergegeven en er wordt een lijst weergegeven met beschikbare CA's die kunnen worden geïmplementeerd. Selecteer een CR en selecteer de groene vinkjeknop.
Selecteer Doorgaan (het groene vinkje) in het venster Transportaanvraag toevoegen aan importwachtrij of druk op Enter.
Selecteer Ja in het dialoogvenster Bevestiging transportaanvraag toevoegen.
Als u van plan bent om meer CA's te implementeren, herhaalt u de procedure in de voorgaande vijf stappen voor de resterende CA's.
Selecteer in het venster Wachtrij importeren de relevante transportaanvraag eenmaal en selecteer vervolgens F9 of pictogram Aanvraag selecteren/deselecteren.
Als u nog transportaanvragen hebt om toe te voegen aan de implementatie, herhaalt u stap 9.
Selecteer het pictogram Importaanvragen:
Selecteer in het venster Importeren starten het veld Doelclient.
Het dialoogvenster Help voor invoer wordt weergegeven. Selecteer het nummer van de client waarnaar u de CA's wilt implementeren (
001
in ons voorbeeld) en selecteer vervolgens het groene vinkje om te bevestigen.Terug in het venster Importeren starten selecteert u het tabblad Opties , markeert u het selectievakje Ongeldige onderdeelversie negeren en selecteert u het groene vinkje om te bevestigen.
Selecteer Ja in het dialoogvenster Importbevestiging starten om het importeren te bevestigen.
Selecteer vernieuwen in het venster Importwachtrij, wacht totdat de importbewerking is voltooid en de importwachtrij leeg wordt weergegeven.
Als u de importstatus wilt bekijken, selecteert u in het venster Importwachtrij meer > ga naar > importgeschiedenis.
Als u de NPLK900202 CR hebt geïmplementeerd, wordt naar verwachting een waarschuwing weergegeven. Selecteer de vermelding om te controleren of de weergegeven waarschuwingen van het type Tabeltabelnaam <> is geactiveerd.
De CA's en versies in de volgende schermafbeeldingen kunnen veranderen op basis van uw geïnstalleerde CR-versie.
Controleer of de PAHI-tabel (geschiedenis van systeem-, database- en SAP-parameters) regelmatig wordt bijgewerkt
De SAP PAHI-tabel bevat gegevens over de geschiedenis van het SAP-systeem, de database en SAP-parameters. In sommige gevallen kan de Microsoft Sentinel-oplossing voor SAP-toepassingen® de SAP PAHI-tabel niet regelmatig bewaken vanwege ontbrekende of defecte configuratie (zie de SAP-opmerking met meer informatie over dit probleem). Het is belangrijk om de PAHI-tabel bij te werken en deze regelmatig te controleren, zodat de Microsoft Sentinel-oplossing voor SAP-toepassingen® waarschuwingen kan geven over verdachte acties die zich op elk gewenst moment gedurende de dag kunnen voordoen.
Meer informatie over hoe de Microsoft Sentinel-oplossing voor SAP-toepassingen® verdachte configuratiewijzigingen in beveiligingsparameters bewaakt.
Notitie
Voor optimale resultaten schakelt u in het systemconfig.ini-bestand van uw computer, onder de [ABAP Table Selector]
sectie, zowel de PAHI_FULL
als de PAHI_INCREMENTAL
parameters in.
Ga als volgt te werk om te controleren of de PAHI-tabel regelmatig wordt bijgewerkt:
- Controleer of de
SAP_COLLECTOR_FOR_PERFMONITOR
taak, op basis van het RSCOLL00-programma, elk uur wordt gepland en uitgevoerd door de DDIC-gebruiker in de 000-client. - Controleer of de namen
RSSTATPH
van enRSHOSTPH
RSDB_PAR
rapporten worden onderhouden in de tabel TCOLL.RSHOSTPH
rapport: leest de kernelparameters van het besturingssysteem en slaat deze gegevens op in de PAHI-tabel.RSSTATPH
rapport: leest de PARAMETERS van het SAP-profiel en slaat deze gegevens op in de PAHI-tabel.RSDB_PAR
rapport: leest de databaseparameters en slaat deze op in de PAHI-tabel.
Als de taak bestaat en correct is geconfigureerd, zijn er geen verdere stappen nodig.
Als de taak niet bestaat:
Meld u aan bij uw SAP-systeem in de 000-client.
Voer de SM36-transactie uit.
Typ SAP_COLLECTOR_FOR_PERFMONITOR onder Taaknaam.
Selecteer Stap en vul deze gegevens in:
- Typ onder Gebruiker DDIC.
- Typ RSCOLL00 onder ABAP-programmanaam.
Sla de configuratie op.
Selecteer F3 om terug te gaan naar het vorige scherm.
Selecteer Voorwaarde starten om de beginvoorwaarde te definiëren.
Selecteer Direct en schakel het selectievakje Periodieke taak in.
Selecteer Periodewaarden en selecteer Per uur.
Selecteer Opslaan in het dialoogvenster en selecteer Opslaan onderaan.
Als u de taak wilt vrijgeven, selecteert u Opslaan bovenaan.
Volgende stappen
Uw SAP-omgeving is nu volledig voorbereid om een gegevensconnectoragent te implementeren. Een rol en profiel worden ingericht, er wordt een gebruikersaccount gemaakt en toegewezen aan het relevante rolprofiel en CR's worden indien nodig geïmplementeerd voor uw omgeving.
U bent nu klaar om SAP-controle in te schakelen en te configureren voor Microsoft Sentinel.