Opções de configuração de especialista, implantação local e fontes de log do SAPControl

  • Artigo

Este artigo descreve como implantar o conector do Microsoft Sentinel para dados SAP em um processo especializado ou personalizado, como o uso de um computador local e de um Azure Key Vault para armazenar suas credenciais.

Observação

O padrão e o processo mais recomendado para implantar o conector do Microsoft Sentinel para dados SAP é usando uma VM do Azure. Este artigo destina-se a usuários avançados.

Pré-requisitos

Os pré-requisitos básicos para implantar o conector do Microsoft Sentinel para dados SAP são os mesmos, independentemente do seu método de implantação.

Verifique se o sistema está em conformidade com os pré-requisitos documentados na principal documentação com os pré-requisitos do conector de dados SAP antes de começar.

Criar seu cofre de chaves do Azure

Crie um cofre de chaves do Azure que você possa dedicar ao conector dos aplicativos do Microsoft Sentinel para dados SAP®.

Execute o seguinte comando para criar seu cofre de chaves do Azure e conceder acesso a uma entidade de serviço do Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Para obter mais informações, consulte Início Rápido: criar um cofre de chaves usando a CLI do Azure.

Segredos do Azure Key Vault

Para adicionar segredos do Azure Key Vault, execute o seguinte script, com sua própria ID do sistema e as credenciais que você deseja adicionar:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Para obter mais informações, consulte a documentação da CLI az keyvault secret.

Executar uma instalação especializada/personalizada

Este procedimento descreve como implantar o conector do Microsoft Sentinel para dados SAP usando uma instalação especializada ou personalizada, como ao instalar o no local.

É recomendável que você execute esse procedimento depois de ter um cofre de chaves pronto com suas credenciais do SAP.

Para implantar o conector do Microsoft Sentinel para dados SAP:

  1. No computador local, faça o download do mais recente SDK do RFC do SAP NW do site SAP Launchpad>NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.

    Observação

    Você precisará das credenciais do usuário SAP para acessar o SDK e fazer o download do SDK que corresponde ao seu sistema operacional.

    Selecione a opção LINUX ON X86_64.

  2. No seu computador local, crie uma nova pasta com um nome significativo e copie o arquivo zip do SDK para sua nova pasta.

  3. Clone o repositório do GitHub da solução do Microsoft Sentinel no computador local e copie o arquivo systemconfig.ini dos aplicativos da Solução do Microsoft Sentinel para SAP® para sua nova pasta.

    Por exemplo:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

  4. Edite o arquivo systemconfig.ini conforme necessário, usando os comentários inseridos como um guia. Para obter mais informações, consulte Configurar manualmente o conector do Microsoft Sentinel para dados SAP.

    Para testar sua configuração, talvez você queira adicionar o usuário e a senha diretamente ao arquivo de configuraçãosystemconfig.ini. Embora seja recomendável usar o Azure Key Vault para armazenar suas credenciais, você também pode usar um arquivo env.list, segredos do Docker, ou pode adicionar suas credenciais diretamente ao arquivo systemconfig.ini.

  5. Defina os logs que você deseja ingerir no Microsoft Azure Sentinel usando as instruções no arquivo systemconfig.ini. Por exemplo, confira Definir os logs SAP que são enviados para o Microsoft Azure Sentinel.

  6. Defina as seguintes configurações usando as instruções no arquivo systemconfig.ini:

    • Se os endereços de email do usuário devem ser incluídos nos logs de auditoria
    • Se as chamadas à API com falha devem ter nova tentativa
    • Se os logs de auditoria cexal devem ser incluídos
    • Se deve aguardar um intervalo de tempo entre extrações de dados, especialmente para extrações grandes

    Para obter mais informações, consulte Configurações do conector de logs do SAL.

  7. Salve o arquivo systemconfig.ini atualizado no diretório sapcon em seu computador.

  8. Se você optou por usar um arquivo env.list para suas credenciais, crie um arquivo env.list temporário com as credenciais necessárias. Depois que o contêiner do Docker estiver executando corretamente, exclua esse arquivo.

    Observação

    O script a seguir tem cada contêiner do Docker se conectando a um sistema ABAP específico. Modifique seu script conforme necessário para seu ambiente.

    Execute:

    ##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET SENTINEL WORKSPACE id>
LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

  9. Faça download e execute a imagem do Docker predefinida com o conector de dados do SAP instalado. Execute:

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

  10. Verifique se o contêiner do Docker está sendo executado corretamente. Execute:

    docker logs –f sapcon-[SID]

  11. Continue com a implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®.

    A implantação da solução permite que o conector de dados do SAP seja exibido no Microsoft Azure Sentinel e implanta a pasta de trabalho e as regras de análise do SAP. Quando terminar, adicione e personalize manualmente seus watchlists do SAP.

    Para obter mais informações, confira Implantar a solução do Microsoft Sentinel para aplicativos SAP® no hub de conteúdo.

Configurar manualmente o conector do Microsoft Sentinel para dados SAP

O conector do Microsoft Sentinel para dados SAP é configurado no arquivo systemconfig.ini, que você clonou para seu computador do conector de dados SAP como parte do procedimento de implantação.

O código a seguir mostra um arquivo systemconfig.ini de amostra:

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

Definir os logs SAP que são enviados para o Microsoft Azure Sentinel

Adicione o código a seguir ao arquivo systemconfig.ini dos aplicativos da Solução do Microsoft Sentinel para SAP® para definir os logs que são enviados ao Microsoft Sentinel.

Para obter mais informações, confira Referência de logs de solução das aplicações da Solução do Microsoft Sentinel para SAP® (visualização pública).

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Configurações do conector de logs de SAL

Adicione o código a seguir ao arquivo systemconfig.ini do conector do Microsoft Sentinel para dados SAP para definir outras configurações para logs do SAP ingeridos no Microsoft Sentinel.

Para obter mais informações, consulte Executar uma instalação especializada/personalizada do conector de dados SAP.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

Esta seção permite que você configure os seguintes parâmetros:

Nome do parâmetro Descrição
extractuseremail Determina se os endereços de email do usuário estão incluídos nos logs de auditoria.
apiretry Determina se as chamadas à API são repetidas como um mecanismo de failover.
auditlogforcexal Determina se o sistema força o uso de logs de auditoria para sistemas não SAL, como SAP BASIS versão 7.4.
auditlogforcelegacyfiles Determina se o sistema força o uso de logs de auditoria com recursos herdados do sistema, como o SAP BASIS versão 7.4 com níveis de patch inferiores.
timechunk Determina que o sistema aguarda um número específico de minutos como um intervalo entre extrações de dados. Use esse parâmetro se você tiver uma grande quantidade de dados esperada.

Por exemplo, durante o carregamento inicial de dados durante suas primeiras 24 horas, talvez você queira que a extração de dados seja executada somente a cada 30 minutos para dar tempo suficiente a cada extração de dados. Nesses casos, defina esse valor como 30.

Configurar uma instância de controle do SAP ABAP

Para ingerir todos os logs do ABAP no Microsoft Azure Sentinel, incluindo os logs baseados em serviço Web do SAP Control e RFC NW, configure os seguintes detalhes de SAP Control de ABAP:

Configuração Descrição
javaappserver Insira o host do servidor do SAP Control ABAP.
Por exemplo: contoso-erp.appserver.com
javainstance Insira o número da instância do SAP Control ABAP.
Por exemplo: 00
abaptz Insira o fuso horário configurado no seu servidor do SAP Control ABAP, no formato GMT.
Por exemplo: GMT+3
abapseverity Insira o nível de gravidade mais baixo (inclusivo) para o qual deseja ingerir logs ABAP no Microsoft Azure Sentinel. Os valores são:

- 0 = Todos os logs
- 1 = Aviso
- 2 = Erro

Configurar uma instância do Java SAP Control

Para ingerir logs baseados em serviço Web do SAP Control no Microsoft Azure Sentinel, configure os seguintes detalhes da instância do JAVA SAP Control:

Parâmetro Descrição
javaappserver Insira o host do servidor do SAP Control Java.
Por exemplo: contoso-java.server.com
javainstance Insira o número da instância do SAP Control ABAP.
Por exemplo: 10
javatz Insira o fuso horário configurado no seu servidor do SAP Control Java, no formato GMT.
Por exemplo: GMT+3
javaseverity Insira o nível de gravidade mais baixo (inclusivo) para o qual deseja ingerir logs do Serviço Web no Microsoft Azure Sentinel. Os valores são:

- 0 = Todos os logs
- 1 = Aviso
- 2 = Erro

Configurando a coleta de dados mestres do usuário

Para ingerir tabelas diretamente do sistema SAP com detalhes sobre seus usuários e autorizações de função, configure seu arquivo systemconfig.ini com uma instrução True/False para cada tabela.

Por exemplo:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Para obter mais informações, confira Tabelas recuperadas diretamente de sistemas SAP.

Próximas etapas

Depois de instalar o conector de dados SAP, você pode adicionar o conteúdo de segurança relacionado ao SAP.

Para obter mais informações, consulte Implantar a solução SAP.

Para obter mais informações, consulte: