Configurar as autorizações do SAP e implantar solicitações opcionais de alteração do SAP

  • Artigo

Este artigo descreve como preparar seu ambiente para a instalação do agente SAP para que ele possa se conectar corretamente aos seus sistemas SAP. A preparação inclui a configuração de autorizações SAP necessárias e, opcionalmente, a implantação de solicitações de alteração adicionais do SAP (CRs).

  • O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Marcos de implantação

Acompanhe o percurso de implantação da solução do SAP por esta série de artigos:

  1. Visão geral da implantação

  2. Pré-requisitos de implantação

  3. Trabalhar com a solução em vários workspaces (VERSÃO PRÉVIA)

  4. Preparar o ambiente SAP (você está aqui)

  5. Configurar a auditoria

  6. Implantar o conteúdo da solução do hub de conteúdos

  7. Implantar o agente do conector de dados

  8. Configuração dos aplicativos da solução do Microsoft Sentinel para SAP®

  9. Etapas de implantação opcionais

Configurar a função do Microsoft Sentinel

  1. Carregue autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER no GitHub.

    Isso cria a função /MSFTSEN/SENTINEL_RESPONDER, que inclui todas as autorizações necessárias para recuperar logs dos sistemas SAP e executar ações de resposta de interrupção de ataque.

    Como alternativa, crie uma função manualmente com as autorizações relevantes necessárias para os logs que você deseja ingerir. Para obter mais informações, consulte Autorizações do ABAP necessárias. Os exemplos neste procedimento usam o nome /MSFTSEN/SENTINEL_RESPONDER.

  2. Em seguida, um perfil de função ativo deve ser gerado para ser usado pelo Microsoft Sentinel. Execute a transação PFCG:

    Na tela acesso fácil do SAP, insira PFCG o campo no canto superior esquerdo da tela e pressione ENTER.

  3. Na janela Manutenção de Função, digite o nome /MSFTSEN/SENTINEL_RESPONDER da função no campo Função e selecione o botão Alterar (o lápis).

  4. Na janela Alterar Funções exibida, selecione a guia Autorizações.

  5. Na guia Autorizações, selecione Alterar Dados de Autorização.

  6. No pop-up Informações, leia a mensagem e selecione a marca de seleção verde para confirmar.

  7. Na janela Alterar Função: Autorizações, selecione Gerar.

    Veja se o campo Status foi alterado de Inalterado para gerado.

  8. Selecione Voltar (à esquerda do logotipo do SAP na parte superior da tela).

  9. De volta à janela Alterar Funções, verifique se a guia Autorizações exibe uma caixa verde e selecione Salvar.

Criar um usuário

A Solução do Microsoft Sentinel para SAP® exige que uma conta de usuário se conecte ao sistema SAP. Use as instruções a seguir para criar uma conta de usuário e atribuí-la à função criada na etapa anterior.

Nos exemplos mostrados aqui, usamos o nome da função /MSFTSEN/SENTINEL_RESPONDER.

  1. Execute a transação SU01:

    Na tela acesso fácil do SAP, insira SU01 no campo no canto superior esquerdo da tela e pressione ENTER.

  2. Na tela Manutenção do Usuário: Tela Inicial, digite o nome do novo usuário no campo Usuário e selecione Criar Usuário Técnico na barra de botões.

  3. Na tela Manter Usuários, selecione Sistema na lista suspensa Tipo de Usuário. Crie e insira uma senha complexa nos campos Nova Senha e Repetir Senha e selecione a guia Funções.

  4. Na guia Funções, na seção Atribuições de Função, insira o nome completo da função - /MSFTSEN/SENTINEL_RESPONDER em nosso exemplo - e pressione Enter.

    Após pressionar Enter, verifique se o lado direito da seção Atribuições de Função é preenchido com dados, como a Data de Início da Alteração.

  5. Selecione a guia Perfis, verifique se um perfil para a função aparece em Perfis de Autorização Atribuídos e selecione Salvar.

Autorizações ABAP necessárias

Esta seção lista as autorizações ABAP necessárias para garantir que a conta de usuário SAP usada pelo conector de dados SAP do Microsoft Sentinel possa recuperar corretamente os logs dos sistemas SAP e executar ações de resposta de interrupção de ataque.

As autorizações necessárias são listadas aqui por sua finalidade. Você só precisa das autorizações listadas para os tipos de logs que deseja trazer para o Microsoft Sentinel e as ações de resposta de interrupção de ataque que você deseja aplicar.

Dica

Para criar uma função com todas as autorizações necessárias, carregue as autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER .

Como alternativa, para habilitar apenas a recuperação de log, sem ações de resposta de interrupção de ataque, implante o SAP NPLK900271 CR no sistema SAP para criar a função /MSFTSEN/SENTINEL_CONNECTOR ou carregue as autorizações de função do arquivo /MSFTSEN/SENTINEL_CONNECTOR .

Objeto de autorização Campo Valor
Todos os logs
S_RFC RFC_TYPE Módulo de Função
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Execute (executar)
S_TCODE TCD SM51
S_TABU_NAM ACTVT Exibir
S_TABU_NAM TABLE T000
Opcional – Somente se a solução do Sentinel CR for implementada
S_RFC RFC_NAME /MSFTSEN/*
Log do Aplicativo ABAP
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Exibir
Log de Documentos de Alteração ABAP
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS
Log do ABAP CR
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Exibir
Log de Dados de Tabela do ABAP DB
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER
Log de Trabalho ABAP
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
Logs do Spool ABAP
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (Uso de Transação SP01 (todos os sistemas))
Log de Fluxo de Trabalho do ABAP
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD
Log de Auditoria de Segurança ABAP
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (Autenticação de exibição de auditoria de base.)
S_SAL SAL_ACTVT SHOW_LOG (Avaliar o log baseado em arquivo)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Exibir
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Bloquear
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL
Dados do Usuário
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04
Histórico de configuração
S_TABU_NAM TABLE PAHI
Dados de SNC
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL
Ações de resposta de interrupção de ataque
S_RFC RFC_TYPE Módulo de Função
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
Ao contrário de seu nome, essa função não exclui usuários, mas encerra a sessão do usuário ativo.
S_USER_GRP CLASS *
Recomendamos substituir S_USER_GRP CLASS pelas classes relevantes em sua organização que representam usuários de diálogo.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

Se for necessário, você pode remover a função de usuário e a CR opcional instalada no seu sistema de ABAP.

Implantar CRs opcionais

Esta seção apresenta um guia passo a passo para implantar CRs adicionais e opcionais. Destina-se a engenheiros ou implementadores SOC que podem não ser necessariamente especialistas em SAP.

Os administradores experientes do SAP que estão familiarizados com o processo de implantação de CR podem preferir obter as CRs apropriadas diretamente da seção de etapas de validação do ambiente SAP do guia e implantá-las.

É altamente recomendável que a implantação de CRs SAP seja feita por um administrador experiente do sistema SAP.

A tabela a seguir descreve as CRs opcionais disponíveis para implantação:

CR Descrição
NPLK900271 Cria e configura uma função de exemplo com as autorizações básicas necessárias para permitir que o conector de dados SAP se conecte ao seu sistema SAP. Como alternativa, você pode carregar autorizações diretamente de um arquivo ou definir manualmente a função de acordo com os logs que deseja ingerir.

Para obter mais informações, consulte Autorizações necessárias do ABAP e Criar e configurar uma função (necessária).
NPLK900201 ou NPLK900202 Recupera informações adicionais do SAP. Selecione uma dessas CRs de acordo com sua versão do SAP.

Pré-requisitos para implantar CRs

  1. Certifique-se de ter copiado os detalhes da versão do sistema SAP, ID do Sistema (SID), número do sistema, número do cliente, endereço IP, nome de usuário administrativo e senha antes de iniciar o processo de implantação. No exemplo a seguir, os seguintes detalhes são presumidos:

    • Versão do sistema SAP:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • Número do sistema:00
    • Número do cliente:001
    • Endereço IP:192.168.136.4
    • Usuário administrador:a4hadm, no entanto, a conexão SSH com o sistema SAP é estabelecida com as credenciais do usuário root.

  2. Verifique se você sabe qual CR deseja implantar.

  3. Se você estiver implantando o NPLK900202 CR para recuperar informações adicionais, verifique se instalou a nota SAP relevante.

Configurar os arquivos

  1. Entrar ni sistema SAP usando o SSH.

  2. Transfira os arquivos CR para o sistema SAP ou baixe os arquivos diretamente no sistema SAP no prompt SSH. Use os seguintes comandos:

    • Baixar NPLK900271

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      Como alternativa, você pode carregar essas autorizações diretamente de um arquivo.

    • Baixar NPLK900202

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • Baixar NPLK900201

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    Cada CR consiste em dois arquivos, um começando com K e outro com R.

  3. Altere a propriedade dos arquivos para o usuário <sid>adm e grupo sapsys. (Substitua a ID do sistema SAP por <sid>.)

    chown <sid>adm:sapsys *.NPL

    Em nosso exemplo:

    chown a4hadm:sapsys *.NPL

  4. Copie os cofiles (aqueles que começam com K) para a pasta /usr/sap/trans/cofiles. Preserve as permissões durante a cópia, usando o comando cp com a opção -p.

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. Copie os arquivos de dados (aqueles que começam com R) para a pasta /usr/sap/trans/data. Preserve as permissões durante a cópia, usando o comando cp com a opção -p.

    cp -p R*.NPL /usr/sap/trans/data/

Importar as CRs

  1. Inicie o aplicativo de Logon SAP e entre no console da GUI do SAP.

  2. Execute a transação STMS_IMPORT:

    Na tela acesso fácil do SAP, insira STMS_IMPORT o campo no canto superior esquerdo da tela e pressione ENTER.

    Captura de tela da execução da transação de importação do STMS.

  3. Na janela Importar Fila exibida, selecione Mais > Extras > Outras Solicitações > Adicionar.

    Captura de tela da adição de uma fila de importação.

  4. No pop-up Adicionar Solicitações de Transporte para Importar Fila exibido, selecione o campo Solicitação de Transporte.

  5. A janela Solicitações de Transporte será exibida, bem como uma lista de CRs disponíveis para serem implantadas. Selecione uma CR e selecione o botão da marca de seleção verde.

  6. De volta à janela Adicionar Solicitação de Transporte para Importar Fila, selecione Continuar (a marca de seleção verde) ou pressione ENTER.

  7. Na caixa de diálogo Adicionar Solicitação de Transporte, selecione Sim.

  8. Se você planeja implantar mais CRs, repita o procedimento nas cinco etapas anteriores para as CRs restantes.

  9. Na janela Importar Fila, selecione a Solicitação de Transporte relevante uma vez e selecione F9 ou o ícone Selecionar/Desmarcar Solicitação.

  10. Se você tiver Solicitações de Transporte restantes a serem adicionadas à implantação, repita a etapa 9.

  11. Selecione o ícone Importar Solicitações:

    Captura de tela da importação de todas as solicitações.

  12. Na janela Iniciar Importação, selecione o campo Cliente de Destino.

  13. A caixa de diálogo Ajuda de Entrada.. é exibida. Selecione o número do cliente para o qual você deseja implantar as CRs (001 em nosso exemplo) e, em seguida, selecione a marca de seleção verde para confirmar.

  14. De volta à janela Iniciar Importação, selecione a guia Opções, marque a caixa de seleção Ignorar Versão do Componente Inválida e selecione a marca de seleção verde para confirmar.

    Captura de tela da janela iniciar importação.

  15. Na caixa de diálogo de confirmação Iniciar importação, selecione Sim para confirmar a importação.

  16. De volta à janela Importar Fila, selecione Atualizar, aguarde até que a operação de importação seja concluída e a fila de importação seja exibida como vazia.

  17. Para examinar o status de importação, na janela Importar Fila, selecione Mais > Ir para > Importar Histórico.

    Captura de tela do histórico de importação.

  18. Se você implantou o NPLK900202 CR, espera-se que ele exiba um Aviso. Selecione a entrada para verificar se os avisos exibidos são do tipo "A tabela <tablename> foi ativada."

    As CRs e as versões nas capturas de tela a seguir podem ser alteradas de acordo com a versão de CR instalada.

    Captura de tela da exibição do status de importação.

    Captura de tela da exibição da mensagem de aviso de importação.

Verifique se a tabela PAHI (histórico de parâmetros do sistema, do banco de dados e do SAP) é atualizada a intervalos regulares

A tabela PAHI do SAP inclui dados sobre o histórico do sistema SAP, do banco de dados e dos parâmetros do SAP. Em alguns casos, a solução do Microsoft Sentinel para aplicativos do SAP® não consegue monitorar a tabela PAHI do SAP a intervalos regulares devido a uma configuração ausente ou com falha (confira a observação do SAP com mais detalhes sobre esse problema). É importante atualizar a tabela PAHI e monitorá-la com frequência, de modo que a solução do Microsoft Sentinel para aplicativos do SAP® possa enviar alertas de ações suspeitas que podem ocorrer a qualquer momento ao longo do dia.

Saiba mais sobre como os aplicativos da Solução do Microsoft Sentinel para SAP® monitora alterações de configuração suspeitas nos parâmetros de segurança.

Observação

Para obter os melhores resultados, habilite os parâmetros PAHI_FULL e PAHI_INCREMENTAL da seção [ABAP Table Selector] no arquivo systemconfig.ini do seu computador.

Para verificar se a tabela PAHI está sendo atualizada a intervalos regulares:

  1. Verifique se o trabalho SAP_COLLECTOR_FOR_PERFMONITOR, baseado no programa RSCOLL00, está agendado e sendo executado de hora em hora pelo usuário do DDIC no cliente 000.
  2. Verifique se os nomes de relatório RSHOSTPHRSSTATPH e RSDB_PAR são mantidos na tabela TCOLL.
    • Relatório RSHOSTPH: lê os parâmetros de kernel do sistema operacional e armazena esses dados na tabela PAHI.
    • Relatório RSSTATPH: lê os parâmetros do perfil do SAP e armazena esses dados na tabela PAHI.
    • Relatório RSDB_PAR: lê os parâmetros do banco de dados e os armazena na tabela PAHI.

Se o trabalho existir e estiver configurado corretamente, nenhuma etapa adicional será necessária.

Se o trabalho não existir:

  1. Entre no sistema SAP no cliente 000.

  2. Execute a transação SM36.

  3. No campo Nome do Trabalho, digite SAP_COLLECTOR_FOR_PERFMONITOR.

    Captura de tela de como adicionar o trabalho usado para monitorar a tabela PAHI do SAP.

  4. Selecione Etapa e preencha as seguintes informações:

    • No campo Usuário, digite DDIC.
    • No campo Nome do Programa de ABAP, digite RSCOLL00.

  5. Salve a configuração.

    Captura de tela de como definir um usuário para o trabalho usado para monitorar a tabela PAHI do SAP.

  6. Selecione F3 para retornar à tela anterior.

  7. Selecione Condição do Início para definir a condição de início.

  8. Selecione Imediato e marque a caixa de seleção Trabalho periódico.

    Captura de tela de como definir o trabalho usado para monitorar a tabela PAHI do SAP como periódica.

  9. Selecione Valores do período e selecione De hora em hora.

  10. Selecione Salvar dentro da caixa de diálogo e, em seguida, selecione Salvar na parte de baixo.

    Captura de tela de como definir o trabalho usado para monitorar a tabela PAHI do SAP para ocorrer de hora em hora.

  11. Para liberar o trabalho, selecione Salvar na parte de cima.

    Captura de tela de como iniciar o trabalho usado para monitorar a tabela PAHI do SAP de hora em hora.

Próximas etapas

Seu ambiente SAP agora está totalmente preparado para implantar um agente do conector de dados. Uma função e um perfil são provisionados, uma conta de usuário é criada e atribuída ao perfil de função relevante e as CRs são implantadas conforme necessário para seu ambiente.

Agora, você está pronto para habilitar e configurar a auditoria SAP para o Microsoft Sentinel.

Habilitar e configurar a auditoria do SAP para o Microsoft Sentinel