Deskundige configuratieopties, on-premises implementatie en SAPControl-logboekbronnen

In dit artikel wordt beschreven hoe u de Microsoft Sentinel voor SAP-gegevensconnector implementeert in een expert of aangepast proces, zoals het gebruik van een on-premises machine en een Azure-Key Vault om uw referenties op te slaan.

Notitie

Het standaardproces en het meest aanbevolen proces voor het implementeren van de Microsoft Sentinel voor SAP-gegevensconnector is met behulp van een Azure-VM. Dit artikel is bedoeld voor ervaren gebruikers.

Vereisten

De basisvereisten voor het implementeren van uw Microsoft Sentinel voor SAP-gegevensconnector zijn hetzelfde, ongeacht uw implementatiemethode.

Zorg ervoor dat uw systeem voldoet aan de vereisten die worden beschreven in het hoofddocument met vereisten voor SAP-gegevensconnector voordat u begint.

Uw Azure-sleutelkluis maken

Maak een Azure-sleutelkluis die u kunt toewijzen aan uw Microsoft Sentinel-oplossing voor gegevensconnector voor SAP-toepassingen®.

Voer de volgende opdracht uit om uw Azure-sleutelkluis te maken en toegang te verlenen tot een Azure-service-principal:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Zie Quickstart: Een sleutelkluis maken met behulp van de Azure CLI voor meer informatie.

Azure Key Vault-geheimen toevoegen

Als u Azure Key Vault-geheimen wilt toevoegen, voert u het volgende script uit, met uw eigen systeem-id en de referenties die u wilt toevoegen:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Zie de CLI-documentatie voor az keyvault secret voor meer informatie.

Een expert/aangepaste installatie uitvoeren

In deze procedure wordt beschreven hoe u de Microsoft Sentinel voor SAP-gegevensconnector implementeert met behulp van een deskundige of aangepaste installatie, bijvoorbeeld wanneer u on-premises installeert.

We raden u aan deze procedure uit te voeren nadat u een sleutelkluis met uw SAP-referenties bij de hand hebt.

De Microsoft Sentinel voor SAP-gegevensconnector implementeren:

1. Download op uw on-premises computer de nieuwste SAP NW RFC SDK van de SAP Launchpad-site>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.

   Notitie

   U hebt de aanmeldingsgegevens van uw SAP-gebruiker nodig om toegang te krijgen tot de SDK en u moet de SDK downloaden die overeenkomt met uw besturingssysteem.

   Zorg ervoor dat u de optie LINUX ON X86_64 selecteert.

2. Maak op uw on-premises computer een nieuwe map met een duidelijke naam en kopieer het ZIP-bestand van de SDK naar de nieuwe map.

3. Kloon de GitHub-opslagplaats van de Microsoft Sentinel-oplossing naar uw on-premises computer en kopieer microsoft Sentinel-oplossing voor SAP-toepassingen® systemconfig.ini-bestand naar uw nieuwe map.

   Bijvoorbeeld:

   mkdir /home/$(pwd)/sapcon/<sap-sid>/
   cd /home/$(pwd)/sapcon/<sap-sid>/
   wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
   cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
   

4. Bewerk het systemconfig.ini-bestand indien nodig met behulp van de ingesloten opmerkingen als richtlijn. Zie De Microsoft Sentinel voor SAP-gegevensconnector handmatig configureren voor meer informatie.

   Als u uw configuratie wilt testen, kunt u de gebruiker en het wachtwoord rechtstreeks toevoegen aan het configuratiebestandsystemconfig.ini . Hoewel u wordt aangeraden Azure Key Vault te gebruiken om uw referenties op te slaan, kunt u ook een env.list-bestand of Docker-geheimen gebruiken of uw referenties rechtstreeks toevoegen aan het systemconfig.ini-bestand .

5. Definieer de logboeken die u wilt opnemen in Microsoft Sentinel met behulp van de instructies in het systemconfig.ini-bestand . Zie bijvoorbeeld De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden.

6. Definieer de volgende configuraties met behulp van de instructies in het bestandsystemconfig.ini :

   • Of e-mailadressen van gebruikers moeten worden opgenomen in auditlogboeken
   • Of mislukte API-aanroepen opnieuw moeten worden geprobeerd
   • Of cexal-auditlogboeken moeten worden opgenomen
   • Of er een tijdsinterval tussen gegevensextracties moet worden gewacht, met name voor grote extracties

   Zie configuraties van SAL-logboeken voor connectoren voor meer informatie.

7. Sla het bijgewerkte systemconfig.ini-bestand op in de sapcon-map op uw computer.

8. Als u ervoor hebt gekozen om een env.list-bestand te gebruiken voor uw referenties, maakt u een tijdelijk env.list-bestand met de vereiste referenties. Zodra uw Docker-container correct wordt uitgevoerd, moet u dit bestand verwijderen.

   Notitie

   Met het volgende script maakt elke Docker-container verbinding met een specifiek ABAP-systeem. Wijzig het script indien nodig voor uw omgeving.

   Voer het volgende uit:

   ##############################################################
   # Include the following section if you're using user authentication
   ##############################################################
   # env.list template for Credentials
   SAPADMUSER=<SET_SAPCONTROL_USER>
   SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
   LOGWSID=<SET SENTINEL WORKSPACE id>
   LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY>
   ABAPUSER=SET_ABAP_USER>
   ABAPPASS=<SET_ABAP_PASS>
   JAVAUSER=<SET_JAVA_OS_USER>
   JAVAPASS=<SET_JAVA_OS_USER>
   ##############################################################
   # Include the following section if you are using Azure Keyvault
   ##############################################################
   # env.list template for AZ Cli when MI is not enabled
   AZURE_TENANT_ID=<your tenant id>
   AZURE_CLIENT_ID=<your client/app id>
   AZURE_CLIENT_SECRET=<your password/secret for the service principal>
   ##############################################################
   

9. Download de vooraf gedefinieerde Docker-installatiekopieën en voer deze uit terwijl de SAP-gegevensconnector is geïnstalleerd. Voer het volgende uit:

   docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
   docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
   rm -f <env.list_location>
   

10. Controleer of de Docker-container correct wordt uitgevoerd. Voer het volgende uit:

    docker logs –f sapcon-[SID]
    

11. Ga verder met het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®.

    Als u de oplossing implementeert, kan de SAP-gegevensconnector worden weergegeven in Microsoft Sentinel en worden de SAP-werkmap en analyseregels geïmplementeerd. Wanneer u klaar bent, kunt u uw SAP-volglijsten handmatig toevoegen en aanpassen.

    Zie De Microsoft Sentinel-oplossing voor SAP-toepassingen® implementeren vanuit de inhoudshub voor meer informatie.

De Microsoft Sentinel voor SAP-gegevensconnector handmatig configureren

De Microsoft Sentinel voor SAP-gegevensconnector wordt geconfigureerd in het systemconfig.ini-bestand , dat u hebt gekloond naar uw SAP-gegevensconnectorcomputer als onderdeel van de implementatieprocedure.

In de volgende code ziet u een voorbeeld van eensystemconfig.ini-bestand :

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden

Voeg de volgende code toe aan de Microsoft Sentinel-oplossing voor SAP-toepassingen ®systemconfig.inibestand om de logboeken te definiëren die naar Microsoft Sentinel worden verzonden.

Zie Naslaginformatie over oplossingslogboeken van Microsoft Sentinel-oplossingen voor SAP-toepassingen® (openbare preview) voor meer informatie.

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Connectorinstellingen voor SAL-logboeken

Voeg de volgende code toe aan de Microsoft Sentinel voor SAP-gegevensconnector systemconfig.ini-bestand om andere instellingen te definiëren voor SAP-logboeken die worden opgenomen in Microsoft Sentinel.

Zie Een deskundige/aangepaste SAP-gegevensconnectorinstallatie uitvoeren voor meer informatie.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

In deze sectie kunt u de volgende parameters configureren:

Parameternaam	Beschrijving
extractuseremail	Bepaalt of e-mailadressen van gebruikers worden opgenomen in auditlogboeken.
apiretry	Bepaalt of API-aanroepen opnieuw worden geprobeerd als een failovermechanisme.
auditlogforcexal	Bepaalt of het systeem het gebruik van auditlogboeken afding voor niet-SAL-systemen, zoals SAP BASIS versie 7.4.
auditlogforcelegacyfiles	Bepaalt of het systeem het gebruik van auditlogboeken met verouderde systeemmogelijkheden dwingt, zoals vanaf SAP BASIS versie 7.4 met lagere patchniveaus.
timechunk	Bepaalt dat het systeem een bepaald aantal minuten wacht als interval tussen gegevensextracties. Gebruik deze parameter als u een grote hoeveelheid gegevens verwacht. Tijdens de eerste belasting van gegevens tijdens de eerste 24 uur wilt u bijvoorbeeld dat de gegevensextractie slechts om de 30 minuten wordt uitgevoerd om elke gegevensextractie voldoende tijd te geven. In dergelijke gevallen stelt u deze waarde in op 30.

Een ABAP SAP Control-exemplaar configureren

Als u alle ABAP-logboeken wilt opnemen in Microsoft Sentinel, inclusief logboeken op basis van zowel NW RFC als SAP Control Web Service, configureert u de volgende ABAP SAP-besturingselementen:

Instelling	Beschrijving
javaappserver	Voer uw SAP Control ABAP-serverhost in. Bijvoorbeeld: contoso-erp.appserver.com
javainstance	Voer het exemplaarnummer van SAP Control ABAP in. Bijvoorbeeld: 00
abaptz	Voer de tijdzone in die is geconfigureerd op uw SAP Control ABAP-server, in GMT-indeling. Bijvoorbeeld: GMT+3
abapseverity	Voer het laagste, inclusieve ernstniveau in waarvoor u ABAP-logboeken wilt opnemen in Microsoft Sentinel. De waarden zijn: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout

Een Java SAP Control-exemplaar configureren

Als u sap Control Web Service-logboeken wilt opnemen in Microsoft Sentinel, configureert u de volgende details van het JAVA SAP Control-exemplaar:

Parameter	Beschrijving
javaappserver	Voer uw SAP Control Java-serverhost in. Bijvoorbeeld: contoso-java.server.com
javainstance	Voer het exemplaarnummer van SAP Control ABAP in. Bijvoorbeeld: 10
javatz	Voer de tijdzone in die is geconfigureerd op uw SAP Control Java-server, in GMT-indeling. Bijvoorbeeld: GMT+3
javaseverity	Voer het laagste, inclusieve ernstniveau in waarvoor u webservicelogboeken wilt opnemen in Microsoft Sentinel. De waarden zijn: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout

Gegevensverzameling van gebruikersmaster configureren

Als u tabellen rechtstreeks vanuit uw SAP-systeem wilt opnemen met details over uw gebruikers en rolautorisaties, configureert u het systemconfig.ini-bestand met een True/False -instructie voor elke tabel.

Bijvoorbeeld:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Zie Tabellen die rechtstreeks uit SAP-systemen zijn opgehaald voor meer informatie.

Volgende stappen

Nadat u de SAP-gegevensconnector hebt geïnstalleerd, kunt u de SAP-gerelateerde beveiligingsinhoud toevoegen.

Zie De SAP-oplossing implementeren voor meer informatie.

Zie voor meer informatie:

• De Microsoft Sentinel-oplossing voor gegevensconnector voor SAP-toepassingen® implementeren met SNC
• De status van uw SAP-systeem bewaken
• Microsoft Sentinel-oplossing voor SAP-toepassingen® gedetailleerde SAP-vereisten
• Naslaginformatie over logboeken van Microsoft Sentinel-oplossing voor SAP-toepassingen®
• Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
• Problemen met uw Microsoft Sentinel-oplossing oplossen voor de implementatie van SAP-toepassingen®