Deskundige configuratieopties, on-premises implementatie en SAPControl-logboekbronnen
In dit artikel wordt beschreven hoe u de Microsoft Sentinel voor SAP-gegevensconnector implementeert in een expert of aangepast proces, zoals het gebruik van een on-premises machine en een Azure Key Vault om uw referenties op te slaan.
Notitie
Het standaardproces en het meest aanbevolen proces voor het implementeren van de Microsoft Sentinel voor SAP-gegevensconnector is met behulp van een Azure-VM. Dit artikel is bedoeld voor geavanceerde gebruikers.
Vereisten
De basisvereisten voor het implementeren van uw Microsoft Sentinel voor SAP-gegevensconnector zijn hetzelfde, ongeacht uw implementatiemethode.
Zorg ervoor dat uw systeem voldoet aan de vereisten die worden beschreven in het hoofddocument met vereisten voor sap-gegevensconnector voordat u begint.
Uw Azure-sleutelkluis maken
Maak een Azure-sleutelkluis die u kunt toewijzen aan uw Microsoft Sentinel-oplossing voor SAP-toepassingsgegevensconnector®.
Voer de volgende opdracht uit om uw Azure-sleutelkluis te maken en toegang te verlenen tot een Azure-service-principal:
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
Zie quickstart: Een sleutelkluis maken met behulp van de Azure CLI voor meer informatie.
Azure Key Vault-geheimen toevoegen
Als u Azure Key Vault-geheimen wilt toevoegen, voert u het volgende script uit met uw eigen systeem-id en de referenties die u wilt toevoegen:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Zie de documentatie van az keyvault secret CLI voor meer informatie.
Een expert/aangepaste installatie uitvoeren
In deze procedure wordt beschreven hoe u de Microsoft Sentinel voor SAP-gegevensconnector implementeert met behulp van een deskundige of aangepaste installatie, zoals bij het installeren van on-premises.
U wordt aangeraden deze procedure uit te voeren nadat u een sleutelkluis hebt die klaar is met uw SAP-referenties.
De Microsoft Sentinel voor SAP-gegevensconnector implementeren:
Download op uw on-premises computer de nieuwste SAP NW RFC SDK van de SAP Launchpad-site>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.
Notitie
U hebt de aanmeldingsgegevens van uw SAP-gebruiker nodig om toegang te krijgen tot de SDK en u moet de SDK downloaden die overeenkomt met uw besturingssysteem.
Zorg ervoor dat u de optie LINUX ON X86_64 selecteert.
Maak op uw on-premises computer een nieuwe map met een betekenisvolle naam en kopieer het ZIP-bestand van de SDK naar uw nieuwe map.
Kloon de GitHub-opslagplaats van de Microsoft Sentinel-oplossing naar uw on-premises computer en kopieer de Microsoft Sentinel-oplossing voor sap-toepassingen® systemconfig.ini bestand naar uw nieuwe map.
Voorbeeld:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Bewerk het systemconfig.ini bestand indien nodig met behulp van de ingesloten opmerkingen als richtlijn. Zie De Microsoft Sentinel voor SAP-gegevensconnector handmatig configureren voor meer informatie.
Als u uw configuratie wilt testen, kunt u de gebruiker en het wachtwoord rechtstreeks toevoegen aan het systemconfig.ini configuratiebestand. Hoewel het raadzaam is om Azure Key Vault te gebruiken om uw referenties op te slaan, kunt u ook een env.list-bestand, Docker-geheimen gebruiken of uw referenties rechtstreeks toevoegen aan het systemconfig.ini-bestand.
Definieer de logboeken die u wilt opnemen in Microsoft Sentinel met behulp van de instructies in het bestand systemconfig.ini . Zie Bijvoorbeeld de SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden.
Definieer de volgende configuraties met behulp van de instructies in het bestand systemconfig.ini :
- Of e-mailadressen van gebruikers moeten worden opgenomen in auditlogboeken
- Mislukte API-aanroepen opnieuw proberen
- Of cexal-auditlogboeken moeten worden opgenomen
- Of er een tijdsinterval tussen gegevensextracties moet worden gewacht, met name voor grote extracties
Zie configuraties van SAL-logboekconnector voor meer informatie.
Sla het bijgewerkte systemconfig.ini-bestand op in de sapcon-map op uw computer.
Als u ervoor hebt gekozen om een env.list-bestand voor uw referenties te gebruiken, maakt u een tijdelijk env.list-bestand met de vereiste referenties. Zodra uw Docker-container correct wordt uitgevoerd, moet u dit bestand verwijderen.
Notitie
Het volgende script heeft elke Docker-container die verbinding maakt met een specifiek ABAP-systeem. Pas het script zo nodig aan voor uw omgeving.
Run:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Download en voer de vooraf gedefinieerde Docker-installatiekopieën uit met de SAP-gegevensconnector geïnstalleerd. Run:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Controleer of de Docker-container correct wordt uitgevoerd. Run:
docker logs –f sapcon-[SID]Ga verder met het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®.
Door de oplossing te implementeren, kan de SAP-gegevensconnector worden weergegeven in Microsoft Sentinel en worden de SAP-werkmap- en analyseregels geïmplementeerd. Wanneer u klaar bent, voegt u handmatig uw SAP-watchlists toe en past u deze aan.
Zie De Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen® vanuit de inhoudshub voor meer informatie.
De Microsoft Sentinel handmatig configureren voor SAP-gegevensconnector
De Microsoft Sentinel voor SAP-gegevensconnector is geconfigureerd in het systemconfig.ini-bestand , dat u hebt gekloond naar uw SAP-gegevensconnectormachine als onderdeel van de implementatieprocedure.
De volgende code toont een voorbeeld van een systemconfig.ini-bestand :
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden
Voeg de volgende code toe aan de Microsoft Sentinel-oplossing voor SAP-toepassingen® systemconfig.ini bestand om de logboeken te definiëren die naar Microsoft Sentinel worden verzonden.
Zie De Microsoft Sentinel-oplossing voor logboeken voor SAP-toepassingen® voor logboeken (openbare preview) voor meer informatie.
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
Connectorinstellingen voor SAL-logboeken
Voeg de volgende code toe aan de Microsoft Sentinel voor SAP-gegevensconnector systemconfig.ini bestand om andere instellingen te definiëren voor SAP-logboeken die zijn opgenomen in Microsoft Sentinel.
Zie Een expert/aangepaste SAP-gegevensconnector installeren voor meer informatie.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
In deze sectie kunt u de volgende parameters configureren:
| Parameternaam | Beschrijving |
|---|---|
| extractuseremail | Bepaalt of e-mailadressen van gebruikers zijn opgenomen in auditlogboeken. |
| apiretry | Bepaalt of API-aanroepen opnieuw worden geprobeerd als failovermechanisme. |
| auditlogforcexal | Bepaalt of het systeem het gebruik van auditlogboeken voor niet-SAL-systemen dwingt, zoals SAP BASIS versie 7.4. |
| auditlogforcelegacyfiles | Bepaalt of het systeem het gebruik van auditlogboeken met verouderde systeemmogelijkheden dwingt, zoals van SAP BASIS versie 7.4 met lagere patchniveaus. |
| timechunk | Bepaalt dat het systeem een bepaald aantal minuten wacht als een interval tussen gegevensextracties. Gebruik deze parameter als u een grote hoeveelheid gegevens verwacht. Tijdens de initiële gegevensbelasting tijdens de eerste 24 uur wilt u bijvoorbeeld dat de gegevensextractie slechts om de 30 minuten wordt uitgevoerd om elke gegevensextractie voldoende tijd te geven. In dergelijke gevallen stelt u deze waarde in op 30. |
Een ABAP SAP Control-exemplaar configureren
Als u alle ABAP-logboeken wilt opnemen in Microsoft Sentinel, inclusief zowel NW RFC- als SAP Control Web Service-logboeken, configureert u de volgende ABAP SAP Control-details:
| Instelling | Beschrijving |
|---|---|
| javaappserver | Voer uw SAP Control ABAP-serverhost in. Bijvoorbeeld: contoso-erp.appserver.com |
| javainstance | Voer uw SAP Control ABAP-exemplaarnummer in. Bijvoorbeeld: 00 |
| abaptz | Voer de tijdzone in die is geconfigureerd op uw SAP Control ABAP-server, in GMT-indeling. Bijvoorbeeld: GMT+3 |
| abapseveriteit | Voer het laagste, inclusieve ernstniveau in waarvoor u ABAP-logboeken wilt opnemen in Microsoft Sentinel. Waarden zijn onder andere: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout |
Een Exemplaar van Java SAP Control configureren
Als u SAP Control Web Service-logboeken wilt opnemen in Microsoft Sentinel, configureert u de volgende details van het JAVA SAP Control-exemplaar:
| Parameter | Description |
|---|---|
| javaappserver | Voer uw SAP Control Java-serverhost in. Bijvoorbeeld: contoso-java.server.com |
| javainstance | Voer uw SAP Control ABAP-exemplaarnummer in. Bijvoorbeeld: 10 |
| javatz | Voer de tijdzone in die is geconfigureerd op uw SAP Control Java-server, in GMT-indeling. Bijvoorbeeld: GMT+3 |
| javaseverity | Voer het laagste, inclusieve ernstniveau in waarvoor u webservicelogboeken wilt opnemen in Microsoft Sentinel. Waarden zijn onder andere: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout |
Verzameling van gebruikershoofdgegevens configureren
Als u tabellen rechtstreeks vanuit uw SAP-systeem wilt opnemen met details over uw gebruikers en rolautorisaties, configureert u uw systemconfig.ini bestand met eenFalse True/instructie voor elke tabel.
Voorbeeld:
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
Zie Tabellen die rechtstreeks zijn opgehaald uit SAP-systemen voor meer informatie.
Volgende stappen
Nadat uw SAP-gegevensconnector is geïnstalleerd, kunt u de sap-gerelateerde beveiligingsinhoud toevoegen.
Zie De SAP-oplossing implementeren voor meer informatie.
Zie voor meer informatie:
- De Microsoft Sentinel-oplossing voor SAP-toepassingen-gegevensconnector® implementeren met SNC
- De status van uw SAP-systeem bewaken
- Microsoft Sentinel-oplossing voor gedetailleerde® SAP-toepassingen
- Microsoft Sentinel-oplossing voor logboeken voor SAP-toepassingen®
- Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
- Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen®