Configurar as autorizações do SAP e implantar solicitações opcionais de alteração do SAP
Este artigo descreve como preparar seu ambiente para a instalação do agente SAP para que ele possa se conectar corretamente aos seus sistemas SAP. A preparação inclui a configuração de autorizações SAP necessárias e, opcionalmente, a implantação de solicitações de alteração adicionais do SAP (CRs).
- O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Marcos de implantação
Acompanhe o percurso de implantação da solução do SAP por esta série de artigos:
Trabalhar com a solução em vários workspaces (VERSÃO PRÉVIA)
Preparar o ambiente SAP (você está aqui)
Configuração dos aplicativos da solução do Microsoft Sentinel para SAP®
Etapas de implantação opcionais
Configurar a função do Microsoft Sentinel
Carregue autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER no GitHub.
Isso cria a função /MSFTSEN/SENTINEL_RESPONDER, que inclui todas as autorizações necessárias para recuperar logs dos sistemas SAP e executar ações de resposta de interrupção de ataque.
Como alternativa, crie uma função manualmente com as autorizações relevantes necessárias para os logs que você deseja ingerir. Para obter mais informações, consulte Autorizações do ABAP necessárias. Os exemplos neste procedimento usam o nome /MSFTSEN/SENTINEL_RESPONDER.
Em seguida, um perfil de função ativo deve ser gerado para ser usado pelo Microsoft Sentinel. Execute a transação PFCG:
Na tela acesso fácil do SAP, insira
PFCG
o campo no canto superior esquerdo da tela e pressione ENTER.Na janela Manutenção de Função, digite o nome
/MSFTSEN/SENTINEL_RESPONDER
da função no campo Função e selecione o botão Alterar (o lápis).Na janela Alterar Funções exibida, selecione a guia Autorizações.
Na guia Autorizações, selecione Alterar Dados de Autorização.
No pop-up Informações, leia a mensagem e selecione a marca de seleção verde para confirmar.
Na janela Alterar Função: Autorizações, selecione Gerar.
Veja se o campo Status foi alterado de Inalterado para gerado.
Selecione Voltar (à esquerda do logotipo do SAP na parte superior da tela).
De volta à janela Alterar Funções, verifique se a guia Autorizações exibe uma caixa verde e selecione Salvar.
Criar um usuário
A Solução do Microsoft Sentinel para SAP® exige que uma conta de usuário se conecte ao sistema SAP. Use as instruções a seguir para criar uma conta de usuário e atribuí-la à função criada na etapa anterior.
Nos exemplos mostrados aqui, usamos o nome da função /MSFTSEN/SENTINEL_RESPONDER.
Execute a transação SU01:
Na tela acesso fácil do SAP, insira
SU01
no campo no canto superior esquerdo da tela e pressione ENTER.Na tela Manutenção do Usuário: Tela Inicial, digite o nome do novo usuário no campo Usuário e selecione Criar Usuário Técnico na barra de botões.
Na tela Manter Usuários, selecione Sistema na lista suspensa Tipo de Usuário. Crie e insira uma senha complexa nos campos Nova Senha e Repetir Senha e selecione a guia Funções.
Na guia Funções, na seção Atribuições de Função, insira o nome completo da função -
/MSFTSEN/SENTINEL_RESPONDER
em nosso exemplo - e pressione Enter.Após pressionar Enter, verifique se o lado direito da seção Atribuições de Função é preenchido com dados, como a Data de Início da Alteração.
Selecione a guia Perfis, verifique se um perfil para a função aparece em Perfis de Autorização Atribuídos e selecione Salvar.
Autorizações ABAP necessárias
Esta seção lista as autorizações ABAP necessárias para garantir que a conta de usuário SAP usada pelo conector de dados SAP do Microsoft Sentinel possa recuperar corretamente os logs dos sistemas SAP e executar ações de resposta de interrupção de ataque.
As autorizações necessárias são listadas aqui por sua finalidade. Você só precisa das autorizações listadas para os tipos de logs que deseja trazer para o Microsoft Sentinel e as ações de resposta de interrupção de ataque que você deseja aplicar.
Dica
Para criar uma função com todas as autorizações necessárias, carregue as autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER .
Como alternativa, para habilitar apenas a recuperação de log, sem ações de resposta de interrupção de ataque, implante o SAP NPLK900271 CR no sistema SAP para criar a função /MSFTSEN/SENTINEL_CONNECTOR ou carregue as autorizações de função do arquivo /MSFTSEN/SENTINEL_CONNECTOR .
Se for necessário, você pode remover a função de usuário e a CR opcional instalada no seu sistema de ABAP.
Implantar CRs opcionais
Esta seção apresenta um guia passo a passo para implantar CRs adicionais e opcionais. Destina-se a engenheiros ou implementadores SOC que podem não ser necessariamente especialistas em SAP.
Os administradores experientes do SAP que estão familiarizados com o processo de implantação de CR podem preferir obter as CRs apropriadas diretamente da seção de etapas de validação do ambiente SAP do guia e implantá-las.
É altamente recomendável que a implantação de CRs SAP seja feita por um administrador experiente do sistema SAP.
A tabela a seguir descreve as CRs opcionais disponíveis para implantação:
CR | Descrição |
---|---|
NPLK900271 | Cria e configura uma função de exemplo com as autorizações básicas necessárias para permitir que o conector de dados SAP se conecte ao seu sistema SAP. Como alternativa, você pode carregar autorizações diretamente de um arquivo ou definir manualmente a função de acordo com os logs que deseja ingerir. Para obter mais informações, consulte Autorizações necessárias do ABAP e Criar e configurar uma função (necessária). |
NPLK900201 ou NPLK900202 | Recupera informações adicionais do SAP. Selecione uma dessas CRs de acordo com sua versão do SAP. |
Pré-requisitos para implantar CRs
Certifique-se de ter copiado os detalhes da versão do sistema SAP, ID do Sistema (SID), número do sistema, número do cliente, endereço IP, nome de usuário administrativo e senha antes de iniciar o processo de implantação. No exemplo a seguir, os seguintes detalhes são presumidos:
- Versão do sistema SAP:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Número do sistema:
00
- Número do cliente:
001
- Endereço IP:
192.168.136.4
- Usuário administrador:
a4hadm
, no entanto, a conexão SSH com o sistema SAP é estabelecida com as credenciais do usuárioroot
.
- Versão do sistema SAP:
Verifique se você sabe qual CR deseja implantar.
Se você estiver implantando o NPLK900202 CR para recuperar informações adicionais, verifique se instalou a nota SAP relevante.
Configurar os arquivos
Entrar ni sistema SAP usando o SSH.
Transfira os arquivos CR para o sistema SAP ou baixe os arquivos diretamente no sistema SAP no prompt SSH. Use os seguintes comandos:
Baixar NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
Como alternativa, você pode carregar essas autorizações diretamente de um arquivo.
Baixar NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
Baixar NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Cada CR consiste em dois arquivos, um começando com K e outro com R.
Altere a propriedade dos arquivos para o usuário
<sid>
adm e grupo sapsys. (Substitua a ID do sistema SAP por<sid>
.)chown <sid>adm:sapsys *.NPL
Em nosso exemplo:
chown a4hadm:sapsys *.NPL
Copie os cofiles (aqueles que começam com K) para a pasta
/usr/sap/trans/cofiles
. Preserve as permissões durante a cópia, usando o comandocp
com a opção-p
.cp -p K*.NPL /usr/sap/trans/cofiles/
Copie os arquivos de dados (aqueles que começam com R) para a pasta
/usr/sap/trans/data
. Preserve as permissões durante a cópia, usando o comandocp
com a opção-p
.cp -p R*.NPL /usr/sap/trans/data/
Importar as CRs
Inicie o aplicativo de Logon SAP e entre no console da GUI do SAP.
Execute a transação STMS_IMPORT:
Na tela acesso fácil do SAP, insira
STMS_IMPORT
o campo no canto superior esquerdo da tela e pressione ENTER.Na janela Importar Fila exibida, selecione Mais > Extras > Outras Solicitações > Adicionar.
No pop-up Adicionar Solicitações de Transporte para Importar Fila exibido, selecione o campo Solicitação de Transporte.
A janela Solicitações de Transporte será exibida, bem como uma lista de CRs disponíveis para serem implantadas. Selecione uma CR e selecione o botão da marca de seleção verde.
De volta à janela Adicionar Solicitação de Transporte para Importar Fila, selecione Continuar (a marca de seleção verde) ou pressione ENTER.
Na caixa de diálogo Adicionar Solicitação de Transporte, selecione Sim.
Se você planeja implantar mais CRs, repita o procedimento nas cinco etapas anteriores para as CRs restantes.
Na janela Importar Fila, selecione a Solicitação de Transporte relevante uma vez e selecione F9 ou o ícone Selecionar/Desmarcar Solicitação.
Se você tiver Solicitações de Transporte restantes a serem adicionadas à implantação, repita a etapa 9.
Selecione o ícone Importar Solicitações:
Na janela Iniciar Importação, selecione o campo Cliente de Destino.
A caixa de diálogo Ajuda de Entrada.. é exibida. Selecione o número do cliente para o qual você deseja implantar as CRs (
001
em nosso exemplo) e, em seguida, selecione a marca de seleção verde para confirmar.De volta à janela Iniciar Importação, selecione a guia Opções, marque a caixa de seleção Ignorar Versão do Componente Inválida e selecione a marca de seleção verde para confirmar.
Na caixa de diálogo de confirmação Iniciar importação, selecione Sim para confirmar a importação.
De volta à janela Importar Fila, selecione Atualizar, aguarde até que a operação de importação seja concluída e a fila de importação seja exibida como vazia.
Para examinar o status de importação, na janela Importar Fila, selecione Mais > Ir para > Importar Histórico.
Se você implantou o NPLK900202 CR, espera-se que ele exiba um Aviso. Selecione a entrada para verificar se os avisos exibidos são do tipo "A tabela <tablename> foi ativada."
As CRs e as versões nas capturas de tela a seguir podem ser alteradas de acordo com a versão de CR instalada.
Verifique se a tabela PAHI (histórico de parâmetros do sistema, do banco de dados e do SAP) é atualizada a intervalos regulares
A tabela PAHI do SAP inclui dados sobre o histórico do sistema SAP, do banco de dados e dos parâmetros do SAP. Em alguns casos, a solução do Microsoft Sentinel para aplicativos do SAP® não consegue monitorar a tabela PAHI do SAP a intervalos regulares devido a uma configuração ausente ou com falha (confira a observação do SAP com mais detalhes sobre esse problema). É importante atualizar a tabela PAHI e monitorá-la com frequência, de modo que a solução do Microsoft Sentinel para aplicativos do SAP® possa enviar alertas de ações suspeitas que podem ocorrer a qualquer momento ao longo do dia.
Saiba mais sobre como os aplicativos da Solução do Microsoft Sentinel para SAP® monitora alterações de configuração suspeitas nos parâmetros de segurança.
Observação
Para obter os melhores resultados, habilite os parâmetros PAHI_FULL
e PAHI_INCREMENTAL
da seção [ABAP Table Selector]
no arquivo systemconfig.ini do seu computador.
Para verificar se a tabela PAHI está sendo atualizada a intervalos regulares:
- Verifique se o trabalho
SAP_COLLECTOR_FOR_PERFMONITOR
, baseado no programa RSCOLL00, está agendado e sendo executado de hora em hora pelo usuário do DDIC no cliente 000. - Verifique se os nomes de relatório
RSHOSTPH
RSSTATPH
eRSDB_PAR
são mantidos na tabela TCOLL.- Relatório
RSHOSTPH
: lê os parâmetros de kernel do sistema operacional e armazena esses dados na tabela PAHI. - Relatório
RSSTATPH
: lê os parâmetros do perfil do SAP e armazena esses dados na tabela PAHI. - Relatório
RSDB_PAR
: lê os parâmetros do banco de dados e os armazena na tabela PAHI.
- Relatório
Se o trabalho existir e estiver configurado corretamente, nenhuma etapa adicional será necessária.
Se o trabalho não existir:
Entre no sistema SAP no cliente 000.
Execute a transação SM36.
No campo Nome do Trabalho, digite SAP_COLLECTOR_FOR_PERFMONITOR.
Selecione Etapa e preencha as seguintes informações:
- No campo Usuário, digite DDIC.
- No campo Nome do Programa de ABAP, digite RSCOLL00.
Salve a configuração.
Selecione F3 para retornar à tela anterior.
Selecione Condição do Início para definir a condição de início.
Selecione Imediato e marque a caixa de seleção Trabalho periódico.
Selecione Valores do período e selecione De hora em hora.
Selecione Salvar dentro da caixa de diálogo e, em seguida, selecione Salvar na parte de baixo.
Para liberar o trabalho, selecione Salvar na parte de cima.
Próximas etapas
Seu ambiente SAP agora está totalmente preparado para implantar um agente do conector de dados. Uma função e um perfil são provisionados, uma conta de usuário é criada e atribuída ao perfil de função relevante e as CRs são implantadas conforme necessário para seu ambiente.
Agora, você está pronto para habilitar e configurar a auditoria SAP para o Microsoft Sentinel.