SAP-autorisaties configureren en optionele SAP-wijzigingsaanvragen implementeren

  • Artikel

In dit artikel wordt beschreven hoe u uw omgeving voorbereidt op de installatie van de SAP-agent, zodat deze correct verbinding kan maken met uw SAP-systemen. Voorbereiding omvat het configureren van vereiste SAP-autorisaties en het implementeren van extra SAP-wijzigingsaanvragen (CR's).

Implementatie mijlpalen

Volg het implementatietraject van uw SAP-oplossing in deze reeks artikelen:

  1. Implementatie-overzicht

  2. Vereisten voor implementatie

  3. Werken met de oplossing in meerdere werkruimten (PREVIEW)

  4. SAP-omgeving voorbereiden (u bent hier)

  5. Controle configureren

  6. De inhoud van de oplossing implementeren vanuit de inhoudshub

  7. De gegevensconnectoragent implementeren

  8. Microsoft Sentinel-oplossing configureren voor SAP-toepassingen®

  9. Optionele implementatiestappen

De rol Microsoft Sentinel configureren

  1. Upload rolautorisaties vanuit het /MSFTSEN/SENTINEL_RESPONDER-bestand in GitHub.

    Hiermee maakt u de rol /MSFTSEN/SENTINEL_RESPONDER , die alle vereiste autorisaties bevat voor het ophalen van logboeken van de SAP-systemen en het uitvoeren van acties voor het reageren op aanvalsonderbrekingen.

    U kunt ook handmatig een rol maken met de relevante autorisaties die vereist zijn voor de logboeken die u wilt opnemen. Zie Vereiste ABAP-autorisaties voor meer informatie. In de voorbeelden in deze procedure wordt de naam /MSFTSEN/SENTINEL_RESPONDER gebruikt.

  2. De volgende stap bestaat uit het genereren van een actief rolprofiel dat Microsoft Sentinel kan gebruiken. Voer de PFCG-transactie uit:

    Voer PFCG in het SAP Easy Access-scherm het veld in de linkerbovenhoek van het scherm in en druk op Enter.

  3. Typ in het venster Rolonderhoud de rolnaam /MSFTSEN/SENTINEL_RESPONDER in het veld Rol en selecteer de knop Wijzigen (het potlood).

  4. Selecteer in het venster Rollen wijzigen dat wordt weergegeven het tabblad Autorisaties .

  5. Selecteer Op het tabblad Autorisaties de optie Autorisatiegegevens wijzigen.

  6. Lees het bericht in het pop-upvenster Informatie en selecteer het groene vinkje om te bevestigen.

  7. Selecteer Genereren in het venster Wijzigingsrol: Autorisaties.

    Zie dat het veld Status is gewijzigd van Ongewijzigd in gegenereerd.

  8. Selecteer Terug (links van het SAP-logo bovenaan het scherm).

  9. Controleer in het venster Rollen wijzigen of op het tabblad Autorisaties een groen vak wordt weergegeven en selecteer Vervolgens Opslaan.

Een gebruiker maken

Voor de Microsoft Sentinel-oplossing voor SAP-toepassingen® is een gebruikersaccount vereist om verbinding te maken met uw SAP-systeem. Gebruik de volgende instructies om een gebruikersaccount te maken en toe te wijzen aan de rol die u in de vorige stap hebt gemaakt.

In de voorbeelden die hier worden weergegeven, gebruiken we de rolnaam /MSFTSEN/SENTINEL_RESPONDER.

  1. Voer de SU01-transactie uit:

    Voer in het SAP Easy Access-scherm het veld in de linkerbovenhoek van het scherm in en druk op Enter.SU01

  2. Typ in het scherm Gebruikersonderhoud: Eerste scherm de naam van de nieuwe gebruiker in het veld Gebruiker en selecteer Technische gebruiker maken op de knopbalk.

  3. Selecteer Systeem in de vervolgkeuzelijst Gebruikerstype onderhouden in het scherm Gebruikers onderhouden. Maak en voer een complex wachtwoord in de velden Nieuw wachtwoord en Wachtwoord herhalen in en selecteer vervolgens het tabblad Rollen .

  4. Voer op het tabblad Rollen in de sectie Roltoewijzingen de volledige naam van de rol in - /MSFTSEN/SENTINEL_RESPONDER in ons voorbeeld - en druk op Enter.

    Nadat u op Enter hebt gedrukt, controleert u of aan de rechterkant van de sectie Roltoewijzingen gegevens worden ingevuld, zoals De begindatum wijzigen.

  5. Selecteer het tabblad Profielen , controleer of een profiel voor de rol wordt weergegeven onder Toegewezen autorisatieprofielen en selecteer Opslaan.

Vereiste ABAP-autorisaties

Deze sectie bevat de ABAP-autorisaties die nodig zijn om ervoor te zorgen dat het SAP-gebruikersaccount dat wordt gebruikt door de SAP-gegevensconnector van Microsoft Sentinel, logboeken correct kan ophalen uit de SAP-systemen en acties voor het reageren op aanvallen kan uitvoeren.

De vereiste autorisaties worden hier vermeld op basis van hun doel. U hebt alleen de autorisaties nodig die worden vermeld voor de soorten logboeken die u wilt opnemen in Microsoft Sentinel en de acties voor het reageren op aanvallen die u wilt toepassen.

Tip

Als u een rol wilt maken met alle vereiste autorisaties, laadt u de rolautorisaties uit het bestand /MSFTSEN/SENTINEL_RESPONDER .

Als u ook alleen het ophalen van logboeken wilt inschakelen, zonder acties voor het reageren op aanvallen, implementeert u de SAP-NPLK900271 CR op het SAP-systeem om de rol /MSFTSEN/SENTINEL_CONNECTOR te maken of laadt u de rolautorisaties uit het bestand /MSFTSEN/SENTINEL_CONNECTOR.

Autorisatieobject Veld Waarde
Alle logboeken
S_RFC RFC_TYPE Functiemodule
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Uitvoeren
S_TCODE TCD SM51
S_TABU_NAM ACTVT Weergeven
S_TABU_NAM TABEL T000
Optioneel: alleen als Sentinel-oplossing CR is geïmplementeerd
S_RFC RFC_NAME /MSFTSEN/*
ABAP-toepassingslogboek
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABEL BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Weergeven
ABAP-documentenlogboek wijzigen
S_TABU_NAM TABEL CDHDR
S_TABU_NAM TABEL CDPOS
ABAP CR-logboek
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABEL E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Weergeven
ABAP DB-tabelgegevenslogboek
S_TABU_NAM TABEL DBTABLOG
S_TABU_NAM TABEL SACF_ALERT
S_TABU_NAM TABEL SOUD
S_TABU_NAM TABEL USR41
S_TABU_NAM TABEL TMSQAFILTER
ABAP-taaklogboek
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABEL TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
ABAP-spoollogboeken
S_TABU_NAM TABEL TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (Gebruik van Transaction SP01 (alle systemen))
ABAP-werkstroomlogboek
S_TABU_NAM TABEL SWWLOGHIST
S_TABU_NAM TABEL SWWWIHEAD
ABAP-beveiligingscontrolelogboek
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (basiscontroleverificatie.)
S_SAL SAL_ACTVT SHOW_LOG (het logboek op basis van bestanden evalueren)
S_USER_GRP KLASSE SUPER
S_USER_GRP ACTVT Weergeven
S_USER_GRP KLASSE SUPER
S_USER_GRP ACTVT Vergrendelen
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL
Gebruikersgegevens
S_TABU_NAM TABEL ADCP
S_TABU_NAM TABEL ADR6
S_TABU_NAM TABEL AGR_1251
S_TABU_NAM TABEL AGR_AGRS
S_TABU_NAM TABEL AGR_DEFINE
S_TABU_NAM TABEL AGR_FLAGS
S_TABU_NAM TABEL AGR_PROF
S_TABU_NAM TABEL AGR_TCODES
S_TABU_NAM TABEL AGR_USERS
S_TABU_NAM TABEL DEVACCESS
S_TABU_NAM TABEL USER_ADDR
S_TABU_NAM TABEL USGRP_USER
S_TABU_NAM TABEL USR01
S_TABU_NAM TABEL USR02
S_TABU_NAM TABEL USR05
S_TABU_NAM TABEL USR21
S_TABU_NAM TABEL USRSTAMP
S_TABU_NAM TABEL UST04
Configuratiegeschiedenis
S_TABU_NAM TABEL PAHI
SNC-gegevens
S_TABU_NAM TABEL SNCSYSACL
S_TABU_NAM TABEL USRACL
Reactieacties voor aanvalsonderbreking
S_RFC RFC_TYPE Functiemodule
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
In tegenstelling tot de naam van deze functie worden gebruikers niet verwijderd, maar wordt de actieve gebruikerssessie beëindigd.
S_USER_GRP KLASSE *
We raden u aan S_USER_GRP CLASS te vervangen door de relevante klassen in uw organisatie die dialoogvenstergebruikers vertegenwoordigen.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

Indien nodig kunt u de gebruikersrol en de optionele CR verwijderen die op uw ABAP-systeem is geïnstalleerd.

Optionele CA's implementeren

Deze sectie bevat een stapsgewijze handleiding voor het implementeren van extra, optionele CA's. Het is bedoeld voor SOC-technici of implementeerfuncties die mogelijk niet noodzakelijkerwijs SAP-experts zijn.

Ervaren SAP-beheerders die bekend zijn met het CR-implementatieproces, krijgen mogelijk liever de juiste CA's rechtstreeks vanuit de sectie validatiestappen van de SAP-omgeving van de handleiding en implementeren.

Het wordt ten zeerste aangeraden SAP-AANVRAGEN te implementeren door een ervaren SAP-systeembeheerder.

In de volgende tabel worden de optionele CA's beschreven die beschikbaar zijn voor implementatie:

CR Beschrijving
NPLK900271 Hiermee maakt en configureert u een voorbeeldrol met de basisautorisaties die nodig zijn om de SAP-gegevensconnector verbinding te laten maken met uw SAP-systeem. U kunt ook autorisaties rechtstreeks vanuit een bestand laden of de rol handmatig definiëren volgens de logboeken die u wilt opnemen.

Zie Vereiste ABAP-autorisaties en Een rol maken en configureren (vereist)voor meer informatie.
NPLK900201 of NPLK900202 Hiermee haalt u aanvullende informatie op uit SAP. Selecteer een van deze CA's op basis van uw SAP-versie.

Vereisten voor het implementeren van CR's

  1. Zorg ervoor dat u de details van de SAP-systeemversie, systeem-id (SID), systeemnummer, clientnummer, IP-adres, beheerdersnaam en wachtwoord hebt gekopieerd voordat u begint met het implementatieproces. In het volgende voorbeeld worden de volgende gegevens ervan uitgegaan:

    • SAP-systeemversie:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • Systeemnummer:00
    • Clientnummer:001
    • IP-adres192.168.136.4:
    • Beheer istratorgebruiker:a4hadm, de SSH-verbinding met het SAP-systeem wordt echter tot stand gebracht met root gebruikersreferenties.

  2. Zorg ervoor dat u weet welke CR u wilt implementeren.

  3. Als u de NPLK900202 CR implementeert om aanvullende informatie op te halen, controleert u of u de relevante SAP-notitie hebt geïnstalleerd.

De bestanden instellen

  1. Meld u aan bij het SAP-systeem met behulp van SSH.

  2. Breng de CR-bestanden over naar het SAP-systeem of download de bestanden rechtstreeks naar het SAP-systeem vanaf de SSH-prompt. Gebruik de volgende opdrachten:

    • NPLK900271 downloaden

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      U kunt deze autorisaties ook rechtstreeks vanuit een bestand laden.

    • NPLK900202 downloaden

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • NPLK900201 downloaden

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    Elke CR bestaat uit twee bestanden, één beginnend met K en één met R.

  3. Wijzig het eigendom van de bestanden in de gebruiker <sid>adm en groep sapsys. (Vervang uw SAP-systeem-id door <sid>.)

    chown <sid>adm:sapsys *.NPL

    In ons voorbeeld:

    chown a4hadm:sapsys *.NPL

  4. Kopieer de cofiles (die beginnen met K) naar de /usr/sap/trans/cofiles map. Behoud de machtigingen tijdens het kopiëren met behulp van de cp opdracht met de -p schakeloptie.

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. Kopieer de gegevensbestanden (die beginnen met R) naar de /usr/sap/trans/data map. Behoud de machtigingen tijdens het kopiëren met behulp van de cp opdracht met de -p schakeloptie.

    cp -p R*.NPL /usr/sap/trans/data/

De CA's importeren

  1. Start de SAP-aanmeldingstoepassing en meld u aan bij de SAP GUI-console.

  2. Voer de STMS_IMPORT transactie uit:

    Voer STMS_IMPORT in het SAP Easy Access-scherm het veld in de linkerbovenhoek van het scherm in en druk op Enter.

    Schermopname van het uitvoeren van de STMS-importtransactie.

  3. Selecteer meer extra's > toevoegen >in het venster Wachtrij importeren dat wordt > weergegeven.

    Schermopname van het toevoegen van een importwachtrij.

  4. Selecteer in het pop-upvenster Transportaanvragen toevoegen aan importwachtrij dat wordt weergegeven het veld Transp. Aanvraag .

  5. Het venster Transportaanvragen wordt weergegeven en er wordt een lijst weergegeven met beschikbare CA's die kunnen worden geïmplementeerd. Selecteer een CR en selecteer de groene vinkjeknop.

  6. Selecteer Doorgaan (het groene vinkje) in het venster Transportaanvraag toevoegen aan importwachtrij of druk op Enter.

  7. Selecteer Ja in het dialoogvenster Bevestiging transportaanvraag toevoegen.

  8. Als u van plan bent om meer CA's te implementeren, herhaalt u de procedure in de voorgaande vijf stappen voor de resterende CA's.

  9. Selecteer in het venster Wachtrij importeren de relevante transportaanvraag eenmaal en selecteer vervolgens F9 of pictogram Aanvraag selecteren/deselecteren.

  10. Als u nog transportaanvragen hebt om toe te voegen aan de implementatie, herhaalt u stap 9.

  11. Selecteer het pictogram Importaanvragen:

    Schermopname van het importeren van alle aanvragen.

  12. Selecteer in het venster Importeren starten het veld Doelclient.

  13. Het dialoogvenster Help voor invoer wordt weergegeven. Selecteer het nummer van de client waarnaar u de CA's wilt implementeren (001 in ons voorbeeld) en selecteer vervolgens het groene vinkje om te bevestigen.

  14. Terug in het venster Importeren starten selecteert u het tabblad Opties , markeert u het selectievakje Ongeldige onderdeelversie negeren en selecteert u het groene vinkje om te bevestigen.

    Schermopname van het importvenster starten.

  15. Selecteer Ja in het dialoogvenster Importbevestiging starten om het importeren te bevestigen.

  16. Selecteer vernieuwen in het venster Importwachtrij, wacht totdat de importbewerking is voltooid en de importwachtrij leeg wordt weergegeven.

  17. Als u de importstatus wilt bekijken, selecteert u in het venster Importwachtrij meer > ga naar > importgeschiedenis.

    Schermopname van de importgeschiedenis.

  18. Als u de NPLK900202 CR hebt geïmplementeerd, wordt naar verwachting een waarschuwing weergegeven. Selecteer de vermelding om te controleren of de weergegeven waarschuwingen van het type Tabeltabelnaam <> is geactiveerd.

    De CA's en versies in de volgende schermafbeeldingen kunnen veranderen op basis van uw geïnstalleerde CR-versie.

    Schermopname van de weergave van de importstatus.

    Schermopname van de weergave van waarschuwingsbericht importeren.

Controleer of de PAHI-tabel (geschiedenis van systeem-, database- en SAP-parameters) regelmatig wordt bijgewerkt

De SAP PAHI-tabel bevat gegevens over de geschiedenis van het SAP-systeem, de database en SAP-parameters. In sommige gevallen kan de Microsoft Sentinel-oplossing voor SAP-toepassingen® de SAP PAHI-tabel niet regelmatig bewaken vanwege ontbrekende of defecte configuratie (zie de SAP-opmerking met meer informatie over dit probleem). Het is belangrijk om de PAHI-tabel bij te werken en deze regelmatig te controleren, zodat de Microsoft Sentinel-oplossing voor SAP-toepassingen® waarschuwingen kan geven over verdachte acties die zich op elk gewenst moment gedurende de dag kunnen voordoen.

Meer informatie over hoe de Microsoft Sentinel-oplossing voor SAP-toepassingen® verdachte configuratiewijzigingen in beveiligingsparameters bewaakt.

Notitie

Voor optimale resultaten schakelt u in het systemconfig.ini-bestand van uw computer, onder de [ABAP Table Selector] sectie, zowel de PAHI_FULL als de PAHI_INCREMENTAL parameters in.

Ga als volgt te werk om te controleren of de PAHI-tabel regelmatig wordt bijgewerkt:

  1. Controleer of de SAP_COLLECTOR_FOR_PERFMONITOR taak, op basis van het RSCOLL00-programma, elk uur wordt gepland en uitgevoerd door de DDIC-gebruiker in de 000-client.
  2. Controleer of de namen RSSTATPH van en RSHOSTPHRSDB_PAR rapporten worden onderhouden in de tabel TCOLL.
    • RSHOSTPH rapport: leest de kernelparameters van het besturingssysteem en slaat deze gegevens op in de PAHI-tabel.
    • RSSTATPH rapport: leest de PARAMETERS van het SAP-profiel en slaat deze gegevens op in de PAHI-tabel.
    • RSDB_PAR rapport: leest de databaseparameters en slaat deze op in de PAHI-tabel.

Als de taak bestaat en correct is geconfigureerd, zijn er geen verdere stappen nodig.

Als de taak niet bestaat:

  1. Meld u aan bij uw SAP-systeem in de 000-client.

  2. Voer de SM36-transactie uit.

  3. Typ SAP_COLLECTOR_FOR_PERFMONITOR onder Taaknaam.

    Schermopname van het toevoegen van de taak die wordt gebruikt voor het bewaken van de SAP PAHI-tabel.

  4. Selecteer Stap en vul deze gegevens in:

    • Typ onder Gebruiker DDIC.
    • Typ RSCOLL00 onder ABAP-programmanaam.

  5. Sla de configuratie op.

    Schermopname van het definiëren van een gebruiker voor de taak die wordt gebruikt voor het bewaken van de SAP PAHI-tabel.

  6. Selecteer F3 om terug te gaan naar het vorige scherm.

  7. Selecteer Voorwaarde starten om de beginvoorwaarde te definiëren.

  8. Selecteer Direct en schakel het selectievakje Periodieke taak in.

    Schermopname van het definiëren van de taak die wordt gebruikt voor het bewaken van de SAP PAHI-tabel als periodiek.

  9. Selecteer Periodewaarden en selecteer Per uur.

  10. Selecteer Opslaan in het dialoogvenster en selecteer Opslaan onderaan.

    Schermopname van het definiëren van de taak die wordt gebruikt om de SAP PAHI-tabel per uur te bewaken.

  11. Als u de taak wilt vrijgeven, selecteert u Opslaan bovenaan.

    Schermopname van het vrijgeven van de taak die wordt gebruikt voor het bewaken van de SAP PAHI-tabel per uur.

Volgende stappen

Uw SAP-omgeving is nu volledig voorbereid om een gegevensconnectoragent te implementeren. Een rol en profiel worden ingericht, er wordt een gebruikersaccount gemaakt en toegewezen aan het relevante rolprofiel en CR's worden indien nodig geïmplementeerd voor uw omgeving.

U bent nu klaar om SAP-controle in te schakelen en te configureren voor Microsoft Sentinel.

SAP-controle inschakelen en configureren voor Microsoft Sentinel