Opções de configuração de especialista, implantação local e fontes de log do SAPControl
Este artigo descreve como implantar o conector do Microsoft Sentinel para dados SAP em um processo especializado ou personalizado, como o uso de um computador local e de um Azure Key Vault para armazenar suas credenciais.
Observação
O padrão e o processo mais recomendado para implantar o conector do Microsoft Sentinel para dados SAP é usando uma VM do Azure. Este artigo destina-se a usuários avançados.
Pré-requisitos
Os pré-requisitos básicos para implantar o conector do Microsoft Sentinel para dados SAP são os mesmos, independentemente do seu método de implantação.
Verifique se o sistema está em conformidade com os pré-requisitos documentados na principal documentação com os pré-requisitos do conector de dados SAP antes de começar.
Criar seu cofre de chaves do Azure
Crie um cofre de chaves do Azure que você possa dedicar ao conector dos aplicativos do Microsoft Sentinel para dados SAP®.
Execute o seguinte comando para criar seu cofre de chaves do Azure e conceder acesso a uma entidade de serviço do Azure:
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
Para obter mais informações, consulte Início Rápido: criar um cofre de chaves usando a CLI do Azure.
Segredos do Azure Key Vault
Para adicionar segredos do Azure Key Vault, execute o seguinte script, com sua própria ID do sistema e as credenciais que você deseja adicionar:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Para obter mais informações, consulte a documentação da CLI az keyvault secret.
Executar uma instalação especializada/personalizada
Este procedimento descreve como implantar o conector do Microsoft Sentinel para dados SAP usando uma instalação especializada ou personalizada, como ao instalar o no local.
É recomendável que você execute esse procedimento depois de ter um cofre de chaves pronto com suas credenciais do SAP.
Para implantar o conector do Microsoft Sentinel para dados SAP:
No computador local, faça o download do mais recente SDK do RFC do SAP NW do site SAP Launchpad>NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.
Observação
Você precisará das credenciais do usuário SAP para acessar o SDK e fazer o download do SDK que corresponde ao seu sistema operacional.
Selecione a opção LINUX ON X86_64.
No seu computador local, crie uma nova pasta com um nome significativo e copie o arquivo zip do SDK para sua nova pasta.
Clone o repositório do GitHub da solução do Microsoft Sentinel no computador local e copie o arquivo systemconfig.ini dos aplicativos da Solução do Microsoft Sentinel para SAP® para sua nova pasta.
Por exemplo:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
Edite o arquivo systemconfig.ini conforme necessário, usando os comentários inseridos como um guia. Para obter mais informações, consulte Configurar manualmente o conector do Microsoft Sentinel para dados SAP.
Para testar sua configuração, talvez você queira adicionar o usuário e a senha diretamente ao arquivo de configuraçãosystemconfig.ini. Embora seja recomendável usar o Azure Key Vault para armazenar suas credenciais, você também pode usar um arquivo env.list, segredos do Docker, ou pode adicionar suas credenciais diretamente ao arquivo systemconfig.ini.
Defina os logs que você deseja ingerir no Microsoft Azure Sentinel usando as instruções no arquivo systemconfig.ini. Por exemplo, confira Definir os logs SAP que são enviados para o Microsoft Azure Sentinel.
Defina as seguintes configurações usando as instruções no arquivo systemconfig.ini:
- Se os endereços de email do usuário devem ser incluídos nos logs de auditoria
- Se as chamadas à API com falha devem ter nova tentativa
- Se os logs de auditoria cexal devem ser incluídos
- Se deve aguardar um intervalo de tempo entre extrações de dados, especialmente para extrações grandes
Para obter mais informações, consulte Configurações do conector de logs do SAL.
Salve o arquivo systemconfig.ini atualizado no diretório sapcon em seu computador.
Se você optou por usar um arquivo env.list para suas credenciais, crie um arquivo env.list temporário com as credenciais necessárias. Depois que o contêiner do Docker estiver executando corretamente, exclua esse arquivo.
Observação
O script a seguir tem cada contêiner do Docker se conectando a um sistema ABAP específico. Modifique seu script conforme necessário para seu ambiente.
Execute:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################
Faça download e execute a imagem do Docker predefinida com o conector de dados do SAP instalado. Execute:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>
Verifique se o contêiner do Docker está sendo executado corretamente. Execute:
docker logs –f sapcon-[SID]
Continue com a implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®.
A implantação da solução permite que o conector de dados do SAP seja exibido no Microsoft Azure Sentinel e implanta a pasta de trabalho e as regras de análise do SAP. Quando terminar, adicione e personalize manualmente seus watchlists do SAP.
Para obter mais informações, confira Implantar a solução do Microsoft Sentinel para aplicativos SAP® no hub de conteúdo.
Configurar manualmente o conector do Microsoft Sentinel para dados SAP
O conector do Microsoft Sentinel para dados SAP é configurado no arquivo systemconfig.ini, que você clonou para seu computador do conector de dados SAP como parte do procedimento de implantação.
O código a seguir mostra um arquivo systemconfig.ini de amostra:
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
Definir os logs SAP que são enviados para o Microsoft Azure Sentinel
Adicione o código a seguir ao arquivo systemconfig.ini dos aplicativos da Solução do Microsoft Sentinel para SAP® para definir os logs que são enviados ao Microsoft Sentinel.
Para obter mais informações, confira Referência de logs de solução das aplicações da Solução do Microsoft Sentinel para SAP® (visualização pública).
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
Configurações do conector de logs de SAL
Adicione o código a seguir ao arquivo systemconfig.ini do conector do Microsoft Sentinel para dados SAP para definir outras configurações para logs do SAP ingeridos no Microsoft Sentinel.
Para obter mais informações, consulte Executar uma instalação especializada/personalizada do conector de dados SAP.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
Esta seção permite que você configure os seguintes parâmetros:
Nome do parâmetro | Descrição |
---|---|
extractuseremail | Determina se os endereços de email do usuário estão incluídos nos logs de auditoria. |
apiretry | Determina se as chamadas à API são repetidas como um mecanismo de failover. |
auditlogforcexal | Determina se o sistema força o uso de logs de auditoria para sistemas não SAL, como SAP BASIS versão 7.4. |
auditlogforcelegacyfiles | Determina se o sistema força o uso de logs de auditoria com recursos herdados do sistema, como o SAP BASIS versão 7.4 com níveis de patch inferiores. |
timechunk | Determina que o sistema aguarda um número específico de minutos como um intervalo entre extrações de dados. Use esse parâmetro se você tiver uma grande quantidade de dados esperada. Por exemplo, durante o carregamento inicial de dados durante suas primeiras 24 horas, talvez você queira que a extração de dados seja executada somente a cada 30 minutos para dar tempo suficiente a cada extração de dados. Nesses casos, defina esse valor como 30. |
Configurar uma instância de controle do SAP ABAP
Para ingerir todos os logs do ABAP no Microsoft Azure Sentinel, incluindo os logs baseados em serviço Web do SAP Control e RFC NW, configure os seguintes detalhes de SAP Control de ABAP:
Configuração | Descrição |
---|---|
javaappserver | Insira o host do servidor do SAP Control ABAP. Por exemplo: contoso-erp.appserver.com |
javainstance | Insira o número da instância do SAP Control ABAP. Por exemplo: 00 |
abaptz | Insira o fuso horário configurado no seu servidor do SAP Control ABAP, no formato GMT. Por exemplo: GMT+3 |
abapseverity | Insira o nível de gravidade mais baixo (inclusivo) para o qual deseja ingerir logs ABAP no Microsoft Azure Sentinel. Os valores são: - 0 = Todos os logs - 1 = Aviso - 2 = Erro |
Configurar uma instância do Java SAP Control
Para ingerir logs baseados em serviço Web do SAP Control no Microsoft Azure Sentinel, configure os seguintes detalhes da instância do JAVA SAP Control:
Parâmetro | Descrição |
---|---|
javaappserver | Insira o host do servidor do SAP Control Java. Por exemplo: contoso-java.server.com |
javainstance | Insira o número da instância do SAP Control ABAP. Por exemplo: 10 |
javatz | Insira o fuso horário configurado no seu servidor do SAP Control Java, no formato GMT. Por exemplo: GMT+3 |
javaseverity | Insira o nível de gravidade mais baixo (inclusivo) para o qual deseja ingerir logs do Serviço Web no Microsoft Azure Sentinel. Os valores são: - 0 = Todos os logs - 1 = Aviso - 2 = Erro |
Configurando a coleta de dados mestres do usuário
Para ingerir tabelas diretamente do sistema SAP com detalhes sobre seus usuários e autorizações de função, configure seu arquivo systemconfig.ini com uma instrução True
/False
para cada tabela.
Por exemplo:
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
Para obter mais informações, confira Tabelas recuperadas diretamente de sistemas SAP.
Próximas etapas
Depois de instalar o conector de dados SAP, você pode adicionar o conteúdo de segurança relacionado ao SAP.
Para obter mais informações, consulte Implantar a solução SAP.
Para obter mais informações, consulte:
- Implantar o conector de dados dos aplicativos da Solução do Microsoft Sentinel para SAP® com SNC
- Monitore a integridade do seu sistema SAP
- Requisitos SAP detalhados dos aplicativos da Solução do Microsoft Sentinel para SAP®
- Referência de logs de aplicativos da Solução do Microsoft Sentinel para SAP®
- Aplicativos da Solução do Microsoft Sentinel para SAP®: referência de conteúdo de segurança
- Solucionar problemas de implantação de aplicativos com a Solução do Microsoft Sentinel para SAP®