Implantar as solicitações de alteração do SAP e configurar a autorização

Este artigo mostra como implantar CRs (Solicitações de Alteração) do SAP que preparam o ambiente para a instalação do agente SAP, para que ele possa se conectar corretamente aos seus sistemas SAP.

Importante

  • Este artigo apresenta um guia passo a passo para implantar as CRs relevantes. É recomendado para engenheiros ou implementadores do SOC que podem não ser necessariamente especialistas em SAP.
  • Administradores experientes de SAP familiarizados com o processo de implantação de CR podem preferir obter as CRs apropriadas diretamente da seção Etapas de validação de ambiente SAP do guia e implantá-las. Observe que o CR NPLK900271 implanta uma função de exemplo e o administrador pode preferir definir manualmente a função de acordo com as informações na seção Autorizações ABAP necessárias abaixo.

CRs necessárias e opcionais

Este artigo discute a instalação das seguintes CRs:

CR Obrigatório/opcional Descrição
NPLK900271 Obrigatório Essa CR cria e configura uma função. Como alternativa, você pode carregar as autorizações diretamente de um arquivo. Veja como criar e configurar uma função.
NPLK900201 ou NPLK900202 Opcional Recupera informações adicionais do SAP. Você seleciona uma dessas CRs de acordo com sua versão do SAP.

Pré-requisitos

  1. Certifique-se de ter copiado os detalhes da versão do sistema SAP, da ID do Sistema (SID), do número do sistema, do número do cliente, do endereço IP, do nome de usuário administrativo e da senha antes de iniciar o processo de implantação. No exemplo a seguir, os seguintes detalhes são presumidos:

    • Versão do sistema SAP:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • Número do sistema:00
    • Número do cliente:001
    • Endereço IP:192.168.136.4
    • Usuário administrador:a4hadm, no entanto, a conexão SSH com o sistema SAP é estabelecida com as credenciais do usuário root.
  2. Examine as etapas de validação do ambiente SAP para determinar quais CRs instalar.

  3. Se você instalou a CR opcional NPLK900202 usada para recuperar informações adicionais, verifique se instalou a nota relevante do SAP.

Marcos de implantação

Acompanhe o percurso de implantação da solução do SAP por esta série de artigos:

  1. Visão geral da implantação

  2. Pré-requisitos de implantação

  3. Preparar o ambiente SAP (você está aqui)

  4. Implantar o agente do conector de dados

  5. Implantar o conteúdo de segurança do SAP

  6. Configurar a solução Microsoft Sentinel para SAP

  7. Etapas de implantação opcionais

Para implantar as CRs, siga as etapas descritas abaixo. As etapas abaixo podem diferir de acordo com a versão do sistema SAP e devem ser consideradas somente para fins de demonstração.

Implantar CRs

Observação

É altamente recomendável que a implantação de CRs SAP seja realizada por um administrador experiente do sistema SAP.

Configurar os arquivos

  1. Entrar ni sistema SAP usando o SSH.

  2. Transfira os arquivos CR para o sistema SAP. Saiba mais sobre as CRs nesta etapa.

    Como alternativa, você pode baixar os arquivos diretamente no sistema SAP do prompt SSH. Use os seguintes comandos:

    • Baixar NPLK900271 (obrigatório)

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
      

      Como alternativa, você pode carregar essas autorizações diretamente de um arquivo.

    • Baixar NPLK900202 (opcional)

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
      
    • Baixar NPLK900201 (opcional)

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
      

    Observe que cada CR é composto por dois arquivos, um começando com K e outro com R.

  3. Altere a propriedade dos arquivos para o usuário <sid>adm e grupo sapsys. (Substitua a ID do sistema SAP por <sid>.)

    chown <sid>adm:sapsys *.NPL
    

    Em nosso exemplo:

    chown a4hadm:sapsys *.NPL
    
  4. Copie os cofiles (aqueles que começam com K) para a pasta /usr/sap/trans/cofiles. Preserve as permissões durante a cópia, usando o comando cp com a opção -p.

    cp -p K*.NPL /usr/sap/trans/cofiles/
    
  5. Copie os arquivos de dados (aqueles que começam com R) para a pasta /usr/sap/trans/data. Preserve as permissões durante a cópia, usando o comando cp com a opção -p.

    cp -p R*.NPL /usr/sap/trans/data/
    

Importar as CRs

  1. Inicie o aplicativo de Logon SAP e entre no console da GUI do SAP.

  2. Execute a transação STMS_IMPORT:

    Na tela SAP Easy Access, digite STMS_IMPORT no campo no canto superior esquerdo da tela e pressione a tecla Enter.

    Captura de tela da execução da transação STMS_IMPORT.

    Cuidado

    Se ocorrer um erro nesta etapa, será necessário configurar o sistema de gerenciamento de transporte do SAP antes de prosseguir. Confira este artigo para obter instruções.

  3. Na janela Importar Fila exibida, selecione Mais > Extras > Outras Solicitações > Adicionar.

    Captura de tela da adição de uma fila de importação.

  4. No pop-up Adicionar Solicitações de Transporte para Importar Fila exibido, selecione o campo Solicitação de Transporte.

  5. A janela Solicitações de Transporte será exibida, bem como uma lista de CRs disponíveis para serem implantadas. Selecione uma CR e selecione o botão da marca de seleção verde.

  6. De volta à janela Adicionar Solicitação de Transporte para Importar Fila, selecione Continuar (a marca de seleção verde) ou pressione a tecla Enter.

  7. Na caixa de diálogo Adicionar Solicitação de Transporte, selecione Sim.

  8. Se você planeja implantar mais CRs, repita o procedimento nas cinco etapas anteriores para as CRs restantes.

  9. Na janela Importar Fila, selecione a Solicitação de Transporte relevante uma vez e selecione F9 ou o ícone Selecionar/Desmarcar Solicitação.

  10. Se você tiver Solicitações de Transporte restantes a serem adicionadas à implantação, repita a etapa 9.

  11. Selecione o ícone Importar Solicitações:

    Captura de tela da importação de todas as solicitações.

  12. Na janela Iniciar Importação, selecione o campo Cliente de Destino.

  13. A caixa de diálogo Ajuda para Entrada.. será exibida. Selecione o número do cliente para o qual você deseja implantar as CRs (001 em nosso exemplo) e, em seguida, selecione a marca de seleção verde para confirmar.

  14. De volta à janela Iniciar Importação, selecione a guia Opções, marque a caixa de seleção Ignorar Versão do Componente Inválida e selecione a marca de seleção verde para confirmar.

    Captura de tela da janela iniciar importação.

  15. Na caixa de diálogo de confirmação Iniciar importação, selecione Sim para confirmar a importação.

  16. De volta à janela Importar Fila, selecione Atualizar, aguarde até que a operação de importação seja concluída e a fila de importação seja exibida como vazia.

  17. Para examinar o status de importação, na janela Importar Fila, selecione Mais > Ir para > Importar Histórico.

    Captura de tela do histórico de importação.

  18. Se você implantou a CR NPLK900202, espera-se que ela exiba um Aviso. Selecione a entrada para verificar se os avisos exibidos são do tipo "A tabela <tablename> foi ativada."

    As CRs e as versões nas capturas de tela abaixo podem mudar de acordo com a versão da CR instalada.

    Captura de tela da exibição do status de importação.

    Captura de tela da exibição da mensagem de aviso de importação.

Configurar a função do Sentinel

Depois que a CR NPLK900271 for implantada, uma função /MSFTSEN/SENTINEL_CONNECTOR será criada no SAP. Se a função for criada manualmente, ela poderá ter um nome diferente.

Nos exemplos mostrados aqui, usaremos o nome da função /MSFTSEN/SENTINEL_CONNECTOR.

Em seguida, um perfil de função ativo deve ser gerado para ser usado pelo Microsoft Sentinel.

  1. Execute a transação PFCG:

    Na tela SAP Easy Access, digite PFCG no campo no canto superior esquerdo da tela e pressione a tecla Enter.

  2. Na janela Manutenção de Função, digite o nome /MSFTSEN/SENTINEL_CONNECTOR da função no campo Função e selecione o botão Alterar (o lápis).

    Captura de tela da escolha de uma função a ser alterada.

  3. Na janela Alterar Funções exibida, selecione a guia Autorizações.

  4. Na guia Autorizações, selecione Alterar Dados de Autorização.

    Captura de tela da alteração dos dados de autorização.

  5. No pop-up Informações, leia a mensagem e selecione a marca de seleção verde para confirmar.

  6. Na janela Alterar Função: Autorizações, selecione Gerar.

    Captura de tela da geração de autorizações.

    Veja se o campo Status foi alterado de Inalterado para gerado.

  7. Selecione Voltar (à esquerda do logotipo do SAP na parte superior da tela).

  8. De volta à janela Alterar Funções, verifique se a guia Autorizações exibe uma caixa verde e selecione Salvar.

    Captura de tela de como salvar a função alterada.

Criar um usuário

A Solução do Microsoft Sentinel para SAP requer que uma conta de usuário se conecte ao sistema SAP. Use as instruções a seguir para criar uma conta de usuário e atribuí-la à função criada na etapa anterior.

Nos exemplos mostrados aqui, usaremos o nome da função /MSFTSEN/SENTINEL_CONNECTOR.

  1. Execute a transação SU01:

    Na tela SAP Easy Access, digite SU01 no campo no canto superior esquerdo da tela e pressione a tecla Enter.

  2. Na tela Manutenção do Usuário: Tela Inicial, digite o nome do novo usuário no campo Usuário e selecione Criar Usuário Técnico na barra de botões.

  3. Na tela Manter Usuários, selecione Sistema na lista suspensa Tipo de Usuário. Crie e insira uma senha complexa nos campos Nova Senha e Repetir Senha e selecione a guia Funções.

  4. Na guia Funções, na seção Atribuições de Função, insira o nome completo da função - /MSFTSEN/SENTINEL_CONNECTOR em nosso exemplo - e pressione Enter.

    Após pressionar Enter, verifique se o lado direito da seção Atribuições de Função é preenchido com dados, como a Data de Início da Alteração.

  5. Selecione a guia Perfis, verifique se um perfil para a função aparece em Perfis de Autorização Atribuídos e selecione Salvar.

Autorizações ABAP necessárias

A tabela a seguir lista as autorizações de ABAP necessárias para garantir que os logs do SAP possam ser recuperados corretamente pela conta usada pelo conector de dados SAP do Microsoft Sentinel.

As autorizações necessárias estão listadas aqui por tipo de log. Somente as autorizações listadas para os tipos de logs que planeja ingerir no Microsoft Sentinel são necessárias.

Dica

Para criar uma função com todas as autorizações necessárias, implante a CR do SAP NPLK900271 no sistema SAP ou carregue as autorizações de função do arquivo MSFTSEN_SENTINEL_CONNECTOR_ROLE_V0.0.27.SAP. Essa CR cria a função /MSFTSEN/SENTINEL_CONNECTOR que possui todas as permissões necessárias para operação do conector. Como alternativa, você pode criar uma função que tenha permissões mínimas implantando a CR NPLK900268 ou carregando as autorizações de função do arquivo MSFTSEN_SENTINEL_AGENT_BASIC_ROLE_V0.0.1.SAP. Esse arquivo de CR ou autorizações cria a função /MSFTSEN/SENTINEL_AGENT_BASIC. Essa função tem as permissões mínimas necessárias para que o conector de dados funcione. Observe que, se você optar por implantar essa função, talvez precise atualizá-la com frequência.

Objeto de autorização Campo Valor
Todos os logs
S_RFC RFC_TYPE Módulo de Função
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Execute (executar)
S_TCODE TCD SM51
S_TABU_NAM ACTVT Exibir
S_TABU_NAM TABLE T000
Opcional – Somente se a solução do Sentinel CR for implementada
S_RFC RFC_NAME /MSFTSEN/*
Log do Aplicativo ABAP
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Exibir
Log de Documentos de Alteração ABAP
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS
Log do ABAP CR
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Exibir
Log de Dados de Tabela do ABAP DB
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER
Log de Trabalho ABAP
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
Logs do Spool ABAP
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (Uso de Transação SP01 (todos os sistemas))
Log de Fluxo de Trabalho do ABAP
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD
Log de Auditoria de Segurança ABAP
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (Autenticação de exibição de auditoria de base.)
S_SAL SAL_ACTVT SHOW_LOG (Avaliar o log baseado em arquivo)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Exibir
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Bloquear
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL
Dados do Usuário
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04
Histórico de configuração
S_TABU_NAM TABLE PAHI
Dados de SNC
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL

Remover a função de usuário e a CR opcional instalada em seu sistema ABAP

Para remover a função de usuário e a CR opcional importada para o sistema, importe a CR de exclusão NPLK900259 para seu sistema ABAP.

Próximas etapas

Agora seu ambiente SAP está totalmente preparado. As CRs necessárias foram implantadas, uma função e um perfil foram provisionados e uma conta de usuário foi criada e atribuída ao perfil de função adequado.

Agora você está pronto para implantar o contêiner do agente do conector de dados.