Delen via

Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Dit artikel bevat stappen voor probleemoplossing om ervoor te zorgen dat gegevens nauwkeurig en tijdig worden opgenomen en gecontroleerd voor uw SAP-omgeving met Microsoft Sentinel.

Wanneer u met de gegevensconnector zonder agent werkt, wordt de meeste probleemoplossing rechtstreeks uitgevoerd in de SAP Integration Suite, waar in het berichtenlogboek fouten worden weergegeven die aangeven wat de aard van het probleem is.

Bekijk eerst de logboeken voor berichtverwerking. Zie de SAP-documentatie voor meer informatie. De foutberichten die worden weergegeven, kunnen u helpen bij het vaststellen van problemen met ontbrekende machtigingen, connectiviteitsfouten en andere onjuiste configuraties.

Als er geen gerelateerde fout voor uw probleem wordt weergegeven, schakelt u tracelogging in voor een meer gedetailleerde probleemoplossing. Zie de SAP-documentatie voor meer informatie.

Controleren op vereisten

Het pakket met gegevensconnector zonder agent, geïmplementeerd tijdens het uitvoeren van de eerste connectorconfiguratie, bevat een hulpprogramma waarmee SAP-beheerders problemen met betrekking tot de CONFIGURATIE van de SAP-omgeving kunnen vaststellen en oplossen.

Ga als volgende te werk om het hulpprogramma uit te voeren:

  1. Open het integratiepakket, navigeer naar het tabblad Artefacten en selecteer de Vereistencontrole iflow >Configureren.

  2. Stel de doel-RFC in op het SAP-systeem dat u wilt controleren of testen.

  3. Implementeer de iflow zoals u dat anders zou doen voor uw SAP-systemen. Gebruik bijvoorbeeld het volgende PowerShell-voorbeeldscript, waarbij u de voorbeeldwaarden voor tijdelijke aanduidingen voor uw omgeving wijzigt:

    $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

Zorg ervoor dat de controle op vereisten correct wordt uitgevoerd voordat u verbinding maakt met Microsoft Sentinel.

Ontbrekende functionaliteit in verouderde SAP-systemen

Voor sommige verouderde SAP-systemen ontbreekt mogelijk vereiste functionaliteit voor de RFC_READ_TABLE-functiemodule. Zorg ervoor dat uw SAP-beheerder SAP-notities heeft gecontroleerd 3390051 en 382318 en dat het systeem dienovereenkomstig is gepatcht.

Zie Sap Cloud Connector-instellingen configureren voor meer informatie.

Fout 'Vereiste Azure-resources implementeren' bij het instellen van de gegevensconnector

Wanneer u de Microsoft Sentinel voor SAP - agentloze gegevensconnector instelt, ziet u onder de eerste connectorconfiguratie > stap 1: Automatische implementatie van vereiste Azure-resources/SOC-engineer activeren, nadat u Vereiste bronnen implementeren hebt geselecteerd, mogelijk de fout "Vereiste Azure-resources implementeren" of vergelijkbaar (fouten kunnen variëren). Deze fout kan erop wijzen dat u de vereiste machtigingen voor de registratie van de Entra ID-app mist.

Als u de rol Entra ID Application Developer of een hogere rol niet heeft, moet u samenwerken met een collega die over deze rechten beschikt om de Azure-resources in te stellen. Volg de procedure in de verbindingsstap van de gegevensconnectoragent voor meer informatie.

"Ontbreekt: 'laatst adres gerouteerd'"

Als er een fout wordt weergegeven in het beveiligingscontrolelogboek dat u het laatst doorgestuurde adres (een IP-adres) mist, volgt u de richtlijnen in de SAP-notitie 3566290.

Onvolledige HOOFDgegevens van SAP-gebruikers

Als er een foutbericht wordt weergegeven dat u onvolledige HOOFDgegevens van SAP-gebruikers hebt of geen gegevens in de tabel ABAPAuthorizationDetails Microsoft Sentinel, gaat u als volgt te werk:

  1. Controleer of de SIAG_ROLE_GET_AUTH SAP-functiemodule bestaat in het SAP-bronsysteem.
  2. Volg de richtlijnen in SAP-notitie 3088309 voor de relevante oplossing.

Geselecteerde procedures voor probleemoplossing zijn alleen relevant wanneer uw gegevensconnectoragent wordt geïmplementeerd via de opdrachtregel. Als u de aanbevolen procedure hebt gebruikt om de agent vanuit de portal te implementeren, gebruikt u de portal om configuratiewijzigingen aan te brengen.

Nuttige Docker-opdrachten

Bij het oplossen van problemen met uw Microsoft Sentinel voor SAP-gegevensconnector vindt u mogelijk de volgende opdrachten nuttig:

Functie Opdracht
De Docker-container stoppen docker stop sapcon-[SID]
De Docker-container starten docker start sapcon-[SID]
Docker-systeemlogboeken weergeven docker logs -f sapcon-[SID]
Voer de Docker-container in docker exec -it sapcon-[SID] bash

Zie de Docker CLI-documentatie voor meer informatie.

Systeemlogboeken controleren

We raden u ten zeerste aan de systeemlogboeken te bekijken na het installeren of opnieuw instellen van de gegevensconnector.

Rennen:

docker logs -f sapcon-[SID]

Afdrukken van foutopsporingsmodus in- of uitschakelen

Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.

  1. Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json op de virtuele machine van de gegevensverzamelaaragentcontainer.

  2. Definieer de sectie Algemeen als deze nog niet eerder is gedefinieerd. In deze sectie definieert u logging_debug = True om foutopsporingsmodus in te schakelen of logging_debug = False om deze uit te schakelen.

    Voorbeeld:

    [General]
logging_debug = True

  3. Sla het bestand op.

De wijziging wordt circa twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.

Alle logboeken voor het uitvoeren van containers weergeven

De uitvoeringslogboeken van de connector voor uw Microsoft Sentinel-oplossing voor implementatie van SAP-toepassingen-gegevensconnector worden opgeslagen op uw VM in /opt/sapcon/[SID]/log/. De bestandsnaam van het logboek wordt OmniLog.log. Een geschiedenis van logboekbestanden wordt bewaard, achtervoegsel met .[ getal] zoals OmniLog.log,1, OmniLog.log,2, enzovoort.

Het configuratiebestand van de Microsoft Sentinel voor SAP-agentconnector controleren en bijwerken

Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel. Als u uw agent via de portal hebt geïmplementeerd, blijft u de configuratie-instellingen behouden en wijzigen via de portal.

Als u via de opdrachtregel hebt geïmplementeerd, voert u de volgende stappen uit:

  1. Open het configuratiebestand op uw VM: sapcon/[SID]/systemconfig.json

  2. Werk de configuratie indien nodig bij en sla het bestand op. Zie de systemconfig.json voor SAP-toepassingen voor meer informatie.

De wijziging wordt circa twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.

De Microsoft Sentinel voor SAP-gegevensconnector opnieuw instellen

Met de volgende stappen stelt u de connector opnieuw in en neemt u SAP-logboeken opnieuw op uit de afgelopen 30 minuten.

  1. Stop de verbindingslijn. Rennen:

    docker stop sapcon-[SID]

  2. Verwijder het metadata.db bestand uit de map /opt/sapcon/[SID]. Rennen:

    cd /opt/sapcon/<SID>
rm metadata.db

    Notitie

    Het metadata.db bestand bevat de laatste tijdstempel voor elk van de logboeken en werkt om duplicatie te voorkomen.

  3. Start de connector opnieuw. Rennen:

    docker start sapcon-[SID]

Zorg ervoor dat u systeemlogboeken controleert wanneer u klaar bent.

Algemene problemen

Nadat u zowel de Microsoft Sentinel voor SAP-gegevensconnector als beveiligingsinhoud hebt geïmplementeerd, kunnen de volgende fouten of problemen optreden:

Beschadigd of ontbrekend SAP SDK-bestand

Deze fout kan optreden wanneer de connector niet kan worden opgestart met PyRfc of zip-gerelateerde foutberichten worden weergegeven.

  1. Installeer de SAP SDK opnieuw.
  2. Controleer of u de juiste 64-bits Versie van Linux hebt, zoals nwrfc750P_8-70002752.zip.

Als u de gegevensconnector handmatig hebt geïnstalleerd, moet u ervoor zorgen dat u het SDK-bestand naar de Docker-container hebt gekopieerd.

Rennen:

docker cp nwrfc750P_8-70002752.zip /sapcon-app/inst/

ABAP-runtimefouten doen zich voor op een groot systeem

Deze procedure wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.

Als zich ABAP-runtimefouten voordoen op grote systemen, kunt u proberen een kleinere segmentgrootte in te stellen:

  1. Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json en definieer in de timechunk = 5 .

    Voorbeeld:

    [Connector Configuration]
timechunk = 5

  2. Sla het bestand op.

De wijziging wordt circa twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.

Notitie

De grootte van de timechunk wordt in minuten gedefinieerd.

Leeg of geen auditlogboek opgehaald, zonder speciale foutberichten

  1. Controleer of auditlogboekregistratie is ingeschakeld in SAP.
  2. Controleer de SM19 - of RSAU_CONFIG transacties .
  3. Schakel indien nodig alle gebeurtenissen in.
  4. Controleer of berichten binnenkomen en bestaan in sap SM20 of RSAU_READ_LOG, zonder speciale fouten die worden weergegeven in het connectorlogboek.

Onjuiste werkruimte-id of -sleutel in sleutelkluis

Als u beseft dat u een onjuiste werkruimte-id of -sleutel hebt ingevoerd in uw implementatiescript, werkt u de referenties bij die zijn opgeslagen in Azure Key Vault.

Nadat u uw referenties in Azure KeyVault hebt gecontroleerd, start u de container opnieuw op:

docker restart sapcon-[SID]

Onjuiste SAP ABAP-gebruikersreferenties in sleutelkluis

Controleer uw referenties en corrigeer ze indien nodig. Pas de juiste waarden toe op de waarden ABAPUSER en ABAPPASS in Azure Key Vault.

Start de container vervolgens opnieuw op:

docker restart sapcon-[SID]

Onjuiste SAP ABAP-gebruikersreferenties in een vaste configuratie

Dit gedeelte wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.

Een vaste configuratie is wanneer het wachtwoord rechtstreeks in het systemconfig.json configuratiebestand wordt opgeslagen.

Als uw referenties onjuist zijn, controleert u uw referenties.

Gebruik base64-versleuteling om de gebruiker en het wachtwoord te versleutelen. U kunt online versleutelingshulpprogramma's gebruiken om uw referenties te versleutelen, zoals https://www.base64encode.org/.

Ontbrekende ABAP-machtigingen (SAP-gebruiker)

Als u een foutbericht krijgt dat lijkt op: ..Missing Backend RFC Authorization.., zijn uw SAP-machtigingen en -rol niet naar behoren toegepast.

  1. Controleer of de rol MSFTSEN/SENTINEL_CONNECTOR is geïmporteerd als onderdeel van een wijzigingsaanvraag transport en toegepast op de connectorgebruiker.

  2. Voer het proces voor het genereren van rollen en het vergelijken van gebruikers uit met behulp van de SAP-transactie PFCG.

Ontbrekende gegevens in uw werkmappen of waarschuwingen

Als u merkt dat er gegevens ontbreken in uw Microsoft Sentinel-werkmappen of -waarschuwingen, controleert u of het auditlog-beleid correct is ingeschakeld aan de SAP-zijde, zonder fouten in het containerlogboekbestand.

Gebruik de RSAU_CONFIG_LOG transactie voor deze stap.

Zie de SAP-documentatie en verzamel SAP HANA-auditlogboeken in Microsoft Sentinel voor meer informatie.

Het is raadzaam om controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. Het kostenverschil is doorgaans minimaal en de gegevens zijn nuttig voor detectie door Microsoft Sentinel en voor onderzoek en opsporing na inbreuk. Zie SAP-controle configureren voor meer informatie.

Ontbrekende velden IP-adres of ZTAransactiecode in het SAP-auditlogboek

In SAP-systemen met versies voor SAP BASIS 7.5 SP12 en hoger kan Microsoft Sentinel extra velden in de ABAPAuditLog_CL en SAPAuditLog tabellen weergeven.

Als u SAP BASIS versie 7.5 SP12 of hoger gebruikt en IP-adres- of transactiecodevelden ontbreken in het SAP-auditlogboek, moet u controleren of het SAP-systeem waaruit u de gegevens extraheert de relevante wijzigingsaanvragen (transporten) bevat. Zie Ondersteuning voor het ophalen van extra gegevens (aanbevolen) voor meer informatie.

SAP-wijzigingsaanvraag ontbreekt

Als u een foutmelding ziet dat een vereiste SAP-wijzigingsaanvraag ontbreekt, moet u controleren of u de juiste SAP-wijzigingsaanvraag hebt geïmporteerd voor uw systeem. Zie SAP-vereisten en Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing voor meer informatie.

Er worden geen gegevens weergegeven in het SAP-tabelgegevenslogboek

In SAP-systemen met versies voor SAP BASIS 7.5 SP12 en hoger kan Microsoft Sentinel wijzigingen in tabelgegevenslogboeken in de ABAPTableDataLog_CL tabel weergeven.

Als er geen gegevens in de ABAPTableDataLog_CL tabel worden weergegeven, controleert u of het SAP-systeem waaruit u de gegevens extraheert de relevante wijzigingsaanvragen (transporten) bevat. Zie Ondersteuning voor het ophalen van extra gegevens (aanbevolen) voor meer informatie.

Geen records / records laat

De gegevensverzamelingsagent is afhankelijk van de juistheid van de tijdzonegegevens. Als u ziet dat er geen records in de SAP-audit- en wijzigingslogboeken staan, of als records voortdurend een paar uur achterblijven, moet u controleren of fouten worden vermeld in het rapport SAP TZCUSTHELP. Raadpleeg SAP-notitie 481835 voor meer informatie.

Er kunnen mogelijk ook problemen zijn met de klok op de virtuele machine waarop de container van de gegevensverzamelingsagent wordt gehost. Elke afwijking van de klok op de VM ten opzichte van UTC heeft gevolgen voor de gegevensverzameling. Bovendien moeten de klokken op de SAP-systeemmachines en de machines van de gegevensverzamelingsagent overeenkomen.

Het is raadzaam om controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. Het kostenverschil is doorgaans minimaal en de gegevens zijn nuttig voor detectie door Microsoft Sentinel en voor onderzoek en opsporing na inbreuk. Zie SAP-controle configureren voor meer informatie.

Problemen met de netwerkconnectiviteit

Als u problemen ondervindt met de netwerkverbinding met de SAP-omgeving of met Microsoft Sentinel, controleert u de netwerkverbinding om ervoor te zorgen dat de gegevens naar verwachting stromen.

Veelvoorkomende problemen zijn:

  • Firewalls tussen de Docker-container en de SAP-hosts blokkeren mogelijk verkeer. De SAP-host ontvangt communicatie via de volgende TCP-poorten, die open moeten zijn: 32xx, 5xx13 en 33xx, waarbij xx het SAP-exemplaarnummer is.

  • Uitgaande communicatie van uw SAP-agenthost naar Microsoft Container Registry of Azure vereist proxyconfiguratie. Dit is doorgaans van invloed op de installatie en vereist dat u de HTTP_PROXY en HTTPS_PROXY omgevingsvariabelen configureert. U kunt ook omgevingsvariabelen opnemen in de docker-container wanneer u de container maakt door de -e vlag toe te voegen aan de docker-opdrachtcreate / run.

Ophalen van auditlogboek mislukt met waarschuwingen

Dit gedeelte wordt alleen ondersteund als u de gegevensconnectoragent hebt geïmplementeerd vanaf de opdrachtregel.

Als u probeert een auditlogboek op te halen zonder de vereiste configuraties en het proces mislukt met waarschuwingen, controleert u of het SAP Auditlog kan worden opgehaald met een van de volgende methoden:

  • Een compatibiliteitsmodus gebruiken met de naam XAL in oudere versies
  • Een versie gebruiken die niet onlangs is gepatcht
  • Zonder wijzigingen die zijn aangebracht om verbinding te maken met de Microsoft Sentinel-gegevensconnectoragent. Zie Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing voor meer informatie.

Hoewel uw systeem automatisch naar de compatibiliteitsmodus zou moeten overschakelen wanneer dat nodig is, kan het zijn dat u deze handmatig moet overschakelen. Handmatig overschakelen naar de compatibiliteitsmodus:

  1. Bewerk het bestand /opt/sapcon/[SID]/systemconfig.json.

  2. In de sectie Connectorconfiguratie definieert uefine: auditlogforcexal = True

    Voorbeeld:

    [Connector Configuration]
auditlogforcexal = True

  3. Sla het bestand op.

De wijziging wordt circa twee minuten nadat u het bestand hebt opgeslagen van kracht. U hoeft de Docker-container niet opnieuw op te starten.

SAPCONTROL- of JAVA-subsystemen kunnen geen verbinding maken

Controleer of de gebruiker van het besturingssysteem geldig is en de volgende opdracht kan uit voeren op het SAP-doelsysteem:

sapcontrol -nr <SID> -function GetSystemInstanceList

Als uw SAPCONTROL- of JAVA-subsysteem faalt met een foutbericht dat betrekking heeft op tijdzones, zoals: Controleer de configuratie van en netwerktoegang tot de SAP-server - 'Etc/NZST', moet u controleren of standaard tijdzonecodes worden gebruikt.

Gebruik bijvoorbeeld javatz = GMT+12 of abaptz = GMT-3**.

Auditlogboekgegevens die niet zijn opgenomen in het verleden

Als de SAP-auditlogboekgegevens, zichtbaar in de RSAU_READ_LOAD - of SM200-transacties , niet worden opgenomen in Microsoft Sentinel na de eerste belasting, hebt u mogelijk een onjuiste configuratie van het SAP-systeem en het SAP-hostbesturingssysteem.

  • Initiële belastingen worden opgenomen na een nieuwe installatie van de Microsoft Sentinel voor SAP-gegevensconnector of nadat het metadata.db bestand is verwijderd.
  • Een voorbeeldfoutconfiguratie kan zijn wanneer uw SAP-systeemtijdzone is ingesteld op CET in de STZAC-transactie, maar de tijdzone van het SAP-hostbesturingssysteem is ingesteld op UTC.

Als u wilt controleren op onjuiste configuraties, voert u het RSDBTIME-rapport uit in transactie SE38. Als u merkt dat het SAP-systeem en het SAP-hostbesturingssysteem niet overeenkomen:

  1. Beëindig de Docker-container. Uitvoeren

    docker stop sapcon-[SID]

  2. Verwijder het metadata.db bestand uit de map /opt/sapcon/[SID]. Rennen:

    rm /opt/sapcon/[SID]/metadata.db

  3. Werk het SAP-systeem en het SAP-hostbesturingssysteem bij zodat ze overeenkomende instellingen hebben, zoals dezelfde tijdzone. Zie de SAP Community Wiki voor meer informatie.

  4. Start de container opnieuw. Rennen:

    docker start sapcon-[SID]

Andere onverwachte problemen

Als u onverwachte problemen ondervindt die niet worden vermeld in dit artikel, voert u de volgende stappen uit:

Aanbeveling

Het opnieuw instellen van uw connector en ervoor zorgen dat u over de meest recente upgrades beschikt, wordt ook aanbevolen na belangrijke configuratiewijzigingen.

Gerelateerde inhoud

Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen:

Referentiebestanden:

Zie Microsoft Sentinel-oplossingen voor meer informatie.