Konfigurowanie autoryzacji sap i wdrażanie opcjonalnych żądań zmian SAP
W tym artykule opisano sposób przygotowania środowiska do instalacji agenta SAP, aby mógł prawidłowo łączyć się z systemami SAP. Przygotowanie obejmuje konfigurowanie wymaganych autoryzacji SAP i, opcjonalnie, wdrażanie dodatkowych żądań zmiany SAP (CRs).
- Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Punkty kontrolne wdrożenia
Śledź podróż po wdrożeniu rozwiązania SAP, korzystając z tej serii artykułów:
Praca z rozwiązaniem w wielu obszarach roboczych (WERSJA ZAPOZNAWCZA)
Przygotowywanie środowiska SAP (jesteś tutaj)
Konfigurowanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
Opcjonalne kroki wdrażania
Konfigurowanie roli usługi Microsoft Sentinel
Przekazywanie autoryzacji ról z pliku /MSFTSEN/SENTINEL_RESPONDER w usłudze GitHub.
Spowoduje to utworzenie roli /MSFTSEN/SENTINEL_RESPONDER , która obejmuje wszystkie autoryzacje wymagane do pobrania dzienników z systemów SAP i uruchamianie akcji reagowania na zakłócenia ataków.
Alternatywnie utwórz rolę ręcznie z odpowiednimi autoryzacjami wymaganymi dla dzienników, które chcesz pozyskać. Aby uzyskać więcej informacji, zobacz Wymagane autoryzacje ABAP. Przykłady w tej procedurze używają nazwy /MSFTSEN/SENTINEL_RESPONDER .
Następnym krokiem jest wygenerowanie aktywnego profilu roli do użycia przez usługę Microsoft Sentinel. Uruchom transakcję PFCG :
Na ekranie SAP Easy Access wprowadź w
PFCG
polu w lewym górnym rogu ekranu, a następnie naciśnij ENTER.W oknie Konserwacja roli wpisz nazwę
/MSFTSEN/SENTINEL_RESPONDER
roli w polu Rola i wybierz przycisk Zmień (ołówek).W wyświetlonym oknie Zmień role wybierz kartę Autoryzacje .
Na karcie Autoryzacje wybierz pozycję Zmień dane autoryzacji.
W oknie podręcznym Informacje przeczytaj komunikat i wybierz zielony znacznik wyboru, aby potwierdzić.
W oknie Zmiana roli: autoryzacje wybierz pozycję Generuj.
Sprawdź, czy pole Stan zostało zmienione z Niezmienione na wygenerowane.
Wybierz pozycję Wstecz (po lewej stronie logo SAP w górnej części ekranu).
Wróć do okna Zmień role , sprawdź, czy karta Autoryzacje wyświetla zielone pole, a następnie wybierz pozycję Zapisz.
Tworzenie użytkownika
Rozwiązanie Microsoft Sentinel dla aplikacji SAP® wymaga konta użytkownika do nawiązania połączenia z systemem SAP. Skorzystaj z poniższych instrukcji, aby utworzyć konto użytkownika i przypisać je do roli utworzonej w poprzednim kroku.
W przykładach przedstawionych tutaj użyjemy nazwy roli /MSFTSEN/SENTINEL_RESPONDER.
Uruchom transakcję SU01 :
Na ekranie SAP Easy Access wprowadź w
SU01
polu w lewym górnym rogu ekranu i naciśnij ENTER.Na ekranie Konserwacja użytkownika: ekran początkowy wpisz nazwę nowego użytkownika w polu Użytkownik i wybierz pozycję Utwórz użytkownika technicznego na pasku przycisków.
Na ekranie Obsługa użytkowników wybierz pozycję System z listy rozwijanej Typ użytkownika. Utwórz i wprowadź złożone hasło w polach Nowe hasło i Powtórz hasło , a następnie wybierz kartę Role .
Na karcie Role w sekcji Przypisania ról wprowadź pełną nazwę roli —
/MSFTSEN/SENTINEL_RESPONDER
w naszym przykładzie — i naciśnij Enter.Po naciśnięciu Enter sprawdź, czy po prawej stronie sekcji Przypisania ról są wypełniane danymi, takimi jak Zmień datę rozpoczęcia.
Wybierz kartę Profile , sprawdź, czy profil roli jest wyświetlany w obszarze Przypisane profile autoryzacji, a następnie wybierz pozycję Zapisz.
Wymagane autoryzacje ABAP
W tej sekcji wymieniono autoryzacje ABAP wymagane do zapewnienia, że konto użytkownika SAP używane przez łącznik danych SAP usługi Microsoft Sentinel może prawidłowo pobierać dzienniki z systemów SAP i uruchamiać akcje reagowania na zakłócenia ataku.
Wymagane autoryzacje są wymienione tutaj w ich celu. Potrzebujesz tylko autoryzacji wymienionych dla rodzajów dzienników, które mają zostać wprowadzone do usługi Microsoft Sentinel i akcji reagowania na zakłócenia ataku, które chcesz zastosować.
Napiwek
Aby utworzyć rolę ze wszystkimi wymaganymi autoryzacjami, załaduj autoryzacje ról z pliku /MSFTSEN/SENTINEL_RESPONDER .
Alternatywnie, aby włączyć tylko pobieranie dzienników, bez akcji reagowania na zakłócenia ataku, wdróż oprogramowanie SAP NPLK900271 CR w systemie SAP, aby utworzyć rolę /MSFTSEN/SENTINEL_CONNECTOR lub załadować autoryzacje ról z pliku /MSFTSEN/SENTINEL_CONNECTOR.
W razie potrzeby możesz usunąć rolę użytkownika i opcjonalny cr zainstalowany w systemie ABAP.
Wdrażanie opcjonalnych reguł ściągnięcia
W tej sekcji przedstawiono szczegółowy przewodnik dotyczący wdrażania dodatkowych, opcjonalnych reguł ściągnięcia. Jest ona przeznaczona dla inżynierów SOC lub implementatorów, którzy mogą niekoniecznie być ekspertami SAP.
Doświadczeni administratorzy systemu SAP, którzy znają proces wdrażania cr, mogą preferować uzyskanie odpowiednich żądań ściągnięcia bezpośrednio z sekcji kroków weryfikacji środowiska SAP przewodnika i ich wdrożenia.
Zdecydowanie zalecamy, aby wdrażanie usług SAP CRs odbywało się przez doświadczonego administratora systemu SAP.
W poniższej tabeli opisano opcjonalne reguły ściągnięcia dostępne do wdrożenia:
CR | opis |
---|---|
NPLK900271 | Tworzy i konfiguruje przykładową rolę z podstawowymi autoryzacjami wymaganymi do umożliwienia łącznikowi danych SAP nawiązywania połączenia z systemem SAP. Alternatywnie można załadować autoryzacje bezpośrednio z pliku lub ręcznie zdefiniować rolę zgodnie z dziennikami, które chcesz pozyskać. Aby uzyskać więcej informacji, zobacz Wymagane autoryzacje ABAP i Tworzenie i konfigurowanie roli (wymagane). |
NPLK900201 lub NPLK900202 | Pobiera dodatkowe informacje z systemu SAP. Wybierz jeden z tych urzędów certyfikacji zgodnie z wersją systemu SAP. |
Wymagania wstępne dotyczące wdrażania urzędów certyfikacji
Przed rozpoczęciem procesu wdrażania upewnij się, że skopiowano szczegóły wersji systemu SAP, identyfikatora systemu (SID), numeru systemu, numeru klienta, adresu IP, nazwy użytkownika administracyjnego i hasła. W poniższym przykładzie przyjęto następujące szczegóły:
- Wersja systemu SAP:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Numer systemu:
00
- Numer klienta:
001
- Adres IP:
192.168.136.4
- Użytkownik administratora:
a4hadm
jednak połączenie SSH z systemem SAP jest ustanawiane przy użyciuroot
poświadczeń użytkownika.
- Wersja systemu SAP:
Upewnij się, że wiesz, który cr chcesz wdrożyć.
Jeśli wdrażasz NPLK900202 CR w celu pobrania dodatkowych informacji, upewnij się, że zainstalowano odpowiednią notatkę SAP.
Konfigurowanie plików
Zaloguj się do systemu SAP przy użyciu protokołu SSH.
Przetransferuj pliki CR do systemu SAP lub pobierz pliki bezpośrednio do systemu SAP z poziomu wiersza polecenia SSH. Użyj następujących poleceń:
Pobieranie NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
Alternatywnie można załadować te autoryzacje bezpośrednio z pliku.
Pobieranie NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
Pobieranie NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Każdy cr składa się z dwóch plików, jeden rozpoczynający się od K i jeden z R.
Zmień własność plików na adm użytkownika
<sid>
i grupy sapsys. (Zastąp identyfikator systemu SAP .<sid>
)chown <sid>adm:sapsys *.NPL
W naszym przykładzie:
chown a4hadm:sapsys *.NPL
Skopiuj pliki cofile (zaczynające się od K) do
/usr/sap/trans/cofiles
folderu. Zachowaj uprawnienia podczas kopiowania przy użyciucp
polecenia z przełącznikiem-p
.cp -p K*.NPL /usr/sap/trans/cofiles/
Skopiuj pliki danych (począwszy od języka R) do
/usr/sap/trans/data
folderu. Zachowaj uprawnienia podczas kopiowania przy użyciucp
polecenia z przełącznikiem-p
.cp -p R*.NPL /usr/sap/trans/data/
Importowanie urzędów certyfikacji
Uruchom aplikację SAP Logon i zaloguj się do konsoli interfejsu użytkownika sap.
Uruchom transakcję STMS_IMPORT :
Na ekranie SAP Easy Access wprowadź w
STMS_IMPORT
polu w lewym górnym rogu ekranu, a następnie naciśnij ENTER.W wyświetlonym oknie Importowanie kolejki wybierz pozycję Więcej > dodatków > Inne żądania > Dodaj.
W wyświetlonym oknie podręcznym Dodawanie żądań transportu do kolejki importu wybierz pole Transp. Żądanie .
Zostanie wyświetlone okno Żądania transportu i zostanie wyświetlona lista dostępnych żądań ściągnięcia do wdrożenia. Wybierz pozycję CR i wybierz zielony przycisk znacznika wyboru.
W oknie Dodawanie żądania transportu do zaimportowania kolejki wybierz pozycję Kontynuuj (zielony znacznik wyboru) lub naciśnij ENTER.
W oknie dialogowym Dodawanie potwierdzenia żądania transportu wybierz pozycję Tak.
Jeśli planujesz wdrożyć więcej CRs, powtórz procedurę w poprzednich pięciu krokach pozostałych urzędów certyfikacji.
W oknie Import Queue (Kolejka importu) wybierz odpowiednie żądanie transportu raz, a następnie wybierz pozycję F9 lub Wybierz/Usuń zaznaczenie ikony Żądanie.
Jeśli masz pozostałe żądania transportu do dodania do wdrożenia, powtórz krok 9.
Wybierz ikonę Import Requests (Żądania importu):
W oknie Rozpocznij importowanie wybierz pole Klient docelowy.
Zostanie wyświetlone okno dialogowe Pomoc wejściowa. Wybierz liczbę klientów, do których chcesz wdrożyć żądania ściągnięcia (
001
w naszym przykładzie), a następnie wybierz zielony znacznik wyboru, aby potwierdzić.Wróć do okna Rozpocznij importowanie , wybierz kartę Opcje , zaznacz pole wyboru Ignoruj nieprawidłową wersję składnika i zaznacz zielony znacznik wyboru, aby potwierdzić.
W oknie dialogowym Rozpocznij importowanie wybierz pozycję Tak, aby potwierdzić importowanie.
W oknie Import Queue (Importowanie kolejki) wybierz pozycję Refresh (Odśwież), poczekaj na zakończenie operacji importowania, a kolejka importu będzie wyświetlana jako pusta.
Aby przejrzeć stan importu, w oknie Importowanie kolejki wybierz pozycję Więcej > przejdź do > historii importu.
Jeśli wdrożono NPLK900202 CR, oczekuje się, że zostanie wyświetlone ostrzeżenie. Wybierz wpis, aby sprawdzić, czy wyświetlane ostrzeżenia mają typ "Tabela <nazwa> _tabeli została aktywowana".
Żądania ściągnięcia i wersje na poniższych zrzutach ekranu mogą ulec zmianie zgodnie z zainstalowaną wersją cr.
Sprawdź, czy tabela PAHI (historia systemu, bazy danych i parametrów SAP) jest aktualizowana w regularnych odstępach czasu
Tabela SAP PAHI zawiera dane dotyczące historii systemu SAP, bazy danych i parametrów SAP. W niektórych przypadkach rozwiązanie Microsoft Sentinel dla aplikacji SAP® nie może monitorować tabeli SAP PAHI w regularnych odstępach czasu z powodu braku lub wadliwej konfiguracji (zobacz notatkę SAP, aby uzyskać więcej informacji na temat tego problemu). Ważne jest, aby zaktualizować tabelę PAHI i często ją monitorować, aby rozwiązanie Microsoft Sentinel dla aplikacji SAP® mogło otrzymywać alerty dotyczące podejrzanych akcji, które mogą wystąpić w dowolnym momencie w ciągu dnia.
Dowiedz się więcej o tym, jak rozwiązanie Microsoft Sentinel dla aplikacji SAP® monitoruje podejrzane zmiany konfiguracji w parametrach zabezpieczeń.
Uwaga
Aby uzyskać optymalne wyniki, w pliku systemconfig.ini maszyny w [ABAP Table Selector]
sekcji włącz parametry i PAHI_FULL
PAHI_INCREMENTAL
.
Aby sprawdzić, czy tabela PAHI jest aktualizowana w regularnych odstępach czasu:
- Sprawdź, czy
SAP_COLLECTOR_FOR_PERFMONITOR
zadanie na podstawie programu RSCOLL00 jest zaplanowane i uruchomione co godzinę przez użytkownika DDIC w kliencie 000. - Sprawdź, czy
RSHOSTPH
RSSTATPH
nazwy raportów i sąRSDB_PAR
przechowywane w tabeli TCOLL.RSHOSTPH
raport: odczytuje parametry jądra systemu operacyjnego i przechowuje te dane w tabeli PAHI.RSSTATPH
raport: odczytuje parametry profilu SAP i przechowuje te dane w tabeli PAHI.RSDB_PAR
raport: odczytuje parametry bazy danych i przechowuje je w tabeli PAHI.
Jeśli zadanie istnieje i jest skonfigurowane poprawnie, nie są wymagane żadne dalsze kroki.
Jeśli zadanie nie istnieje:
Zaloguj się do systemu SAP w kliencie 000.
Wykonaj transakcję SM36.
W obszarze Nazwa zadania wpisz SAP_COLLECTOR_FOR_PERFMONITOR.
Wybierz pozycję Krok i wypełnij następujące informacje:
- W obszarze Użytkownik wpisz DDIC.
- W obszarze Nazwa programu ABAP wpisz RSCOLL00.
Zapisz konfigurację.
Wybierz F3 , aby wrócić do poprzedniego ekranu.
Wybierz pozycję Warunek rozpoczęcia, aby zdefiniować warunek rozpoczęcia.
Wybierz pozycję Natychmiastowe i zaznacz pole wyboru Okresowe zadanie.
Wybierz pozycję Wartości okresu i wybierz pozycję Hourly.
Wybierz pozycję Zapisz w oknie dialogowym, a następnie wybierz pozycję Zapisz u dołu.
Aby zwolnić zadanie, wybierz pozycję Zapisz u góry.
Następne kroki
Środowisko SAP jest teraz w pełni przygotowane do wdrożenia agenta łącznika danych. Aprowizowana jest rola i profil, konto użytkownika jest tworzone i przypisywane do odpowiedniego profilu roli, a reguły ściągnięcia są wdrażane zgodnie z potrzebami dla danego środowiska.
Teraz możesz włączyć i skonfigurować inspekcję sap dla usługi Microsoft Sentinel.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla