Opções de configuração especializadas, implantação local e fontes de log SAPControl

Artigo
08/08/2024

Este artigo descreve como implantar o conector de dados do Microsoft Sentinel for SAP em um processo especializado ou personalizado, como usar uma máquina local e um Cofre de Chaves do Azure para armazenar suas credenciais.

Nota

O processo padrão e mais recomendado para implantar o conector de dados do Microsoft Sentinel for SAP é usando uma VM do Azure. Este artigo destina-se a utilizadores avançados.

Pré-requisitos

Os pré-requisitos básicos para implantar o conector de dados do Microsoft Sentinel for SAP são os mesmos, independentemente do método de implantação.

Certifique-se de que seu sistema esteja em conformidade com os pré-requisitos documentados no documento principal de pré-requisitos do conector de dados SAP antes de começar.

Crie seu cofre de chaves do Azure

Crie um cofre de chaves do Azure que você pode dedicar à sua solução Microsoft Sentinel para conector de dados de aplicativos SAP®.

Execute o seguinte comando para criar seu cofre de chaves do Azure e conceder acesso a uma entidade de serviço do Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Para obter mais informações, consulte Guia de início rápido: criar um cofre de chaves usando a CLI do Azure.

Adicionar segredos do Azure Key Vault

Para adicionar segredos do Cofre da Chave do Azure, execute o seguinte script, com sua própria ID do sistema e as credenciais que você deseja adicionar:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Para obter mais informações, consulte a documentação da CLI az keyvault secret .

Executar uma instalação especializada / personalizada

Este procedimento descreve como implantar o conector de dados do Microsoft Sentinel for SAP usando uma instalação especializada ou personalizada, como ao instalar localmente.

Recomendamos que você execute este procedimento depois de ter um cofre de chaves pronto com suas credenciais SAP.

Para implantar o conector de dados do Microsoft Sentinel for SAP:

Em sua máquina local, faça download do SAP NW RFC SDK mais recente do site>do SAP Launchpad SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.

Nota

Você precisará das informações de login do usuário SAP para acessar o SDK e deve fazer o download do SDK que corresponde ao seu sistema operacional.

Certifique-se de selecionar a opção LINUX ON X86_64 .
Em sua máquina local, crie uma nova pasta com um nome significativo e copie o arquivo zip do SDK para sua nova pasta.

Clone o repositório GitHub da solução Microsoft Sentinel em sua máquina local e copie a solução Microsoft Sentinel para aplicativos SAP® systemconfig.ini arquivo para sua nova pasta.

Por exemplo:

mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

Edite o arquivo systemconfig.ini conforme necessário, usando os comentários incorporados como guia. Para obter mais informações, consulte Configurar manualmente o conector de dados do Microsoft Sentinel for SAP.

Para testar sua configuração, convém adicionar o usuário e a senha diretamente ao arquivo de configuração systemconfig.ini . Embora recomendemos que você use o cofre da Chave do Azure para armazenar suas credenciais, você também pode usar um arquivo env.list , segredos do Docker ou adicionar suas credenciais diretamente ao arquivo systemconfig.ini .
Defina os logs que você deseja ingerir no Microsoft Sentinel usando as instruções no arquivo systemconfig.ini . Por exemplo, consulte Definir os logs SAP enviados ao Microsoft Sentinel.
Defina as seguintes configurações usando as instruções no arquivo systemconfig.ini :
- Se os endereços de e-mail do usuário devem ser incluídos nos logs de auditoria
- Se as chamadas de API com falha devem ser repetidas
- Se os logs de auditoria cexal devem ser incluídos
- Se deve aguardar um intervalo de tempo entre extrações de dados, especialmente para extrações grandes
Para obter mais informações, consulte Configurações do conector de logs SAL.
Salve seu arquivo de systemconfig.ini atualizado no diretório sapcon em sua máquina.

Se você optou por usar um arquivo env.list para suas credenciais, crie um arquivo env.list temporário com as credenciais necessárias. Quando o contêiner do Docker estiver sendo executado corretamente, certifique-se de excluir esse arquivo.

Nota

O script a seguir mostra cada contêiner do Docker se conectando a um sistema ABAP específico. Modifique seu script conforme necessário para seu ambiente.

Executar:

##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET SENTINEL WORKSPACE id>
LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

Faça o download e execute a imagem predefinida do Docker com o conector de dados SAP instalado. Executar:

docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

Verifique se o contêiner do Docker está sendo executado corretamente. Executar:
```
docker logs –f sapcon-[SID]
```
Continue com a implantação da solução Microsoft Sentinel para aplicativos SAP®.

A implantação da solução permite que o conector de dados SAP seja exibido no Microsoft Sentinel e implanta a pasta de trabalho SAP e as regras de análise. Quando terminar, adicione e personalize manualmente suas listas de observação SAP.

Para obter mais informações, consulte Implantar a solução Microsoft Sentinel para aplicativos® SAP a partir do hub de conteúdo.

Configurar manualmente o conector de dados do Microsoft Sentinel for SAP

O conector de dados do Microsoft Sentinel for SAP é configurado no arquivo systemconfig.ini, que você clonou para a máquina do conector de dados SAP como parte do procedimento de implantação.

O código a seguir mostra um arquivo de systemconfig.ini de exemplo:

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

Definir os logs SAP que são enviados para o Microsoft Sentinel

Adicione o seguinte código ao arquivo de systemconfig.ini da solução Microsoft Sentinel para aplicativos SAP® para definir os logs enviados ao Microsoft Sentinel.

Para obter mais informações, consulte Referência de logs de solução da solução Microsoft Sentinel para aplicativos SAP® (visualização pública).

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Configurações do conector de logs SAL

Adicione o seguinte código ao arquivo de systemconfig.ini do conector de dados do Microsoft Sentinel for SAP para definir outras configurações para logs SAP ingeridos no Microsoft Sentinel.

Para obter mais informações, consulte Executar uma instalação de conector de dados SAP especializado/personalizado.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

Esta seção permite configurar os seguintes parâmetros:

Nome do parâmetro	Description
extractuseremail	Determina se os endereços de e-mail do usuário são incluídos nos logs de auditoria.
Apiretry	Determina se as chamadas de API são repetidas como um mecanismo de failover.
auditlogforcexal	Determina se o sistema força o uso de logs de auditoria para sistemas não-SAL, como o SAP BASIS versão 7.4.
auditlogforcelegacyfiles	Determina se o sistema força o uso de logs de auditoria com recursos herdados do sistema, como do SAP BASIS versão 7.4 com níveis de patch mais baixos.
Timechunk	Determina que o sistema aguarda um número específico de minutos como um intervalo entre extrações de dados. Use este parâmetro se você tiver uma grande quantidade de dados esperados. Por exemplo, durante a carga inicial de dados durante as primeiras 24 horas, talvez você queira que a extração de dados seja executada apenas a cada 30 minutos para dar tempo suficiente a cada extração de dados. Nesses casos, defina esse valor como 30.

Configurando uma instância do ABAP SAP Control

Para ingerir todos os logs ABAP no Microsoft Sentinel, incluindo logs baseados em NW RFC e SAP Control Web Service, configure os seguintes detalhes do ABAP SAP Control:

Definição	Descrição
javaappserver	Entre no host do servidor SAP Control ABAP. Por exemplo: `contoso-erp.appserver.com`
JavaInstance	Insira o número da instância do SAP Control ABAP. Por exemplo: `00`
Abaptz	Insira o fuso horário configurado no seu servidor SAP Control ABAP, no formato GMT. Por exemplo: `GMT+3`
abapseverity	Insira o nível de gravidade mais baixo, inclusive, para o qual você deseja ingerir logs ABAP no Microsoft Sentinel. Os valores incluem: - 0 = Todos os logs - 1 = Advertência - 2 = Erro

Configurando uma instância do Java SAP Control

Para ingerir os logs do SAP Control Web Service no Microsoft Sentinel, configure os seguintes detalhes da instância do JAVA SAP Control:

Parâmetro	Description
javaappserver	Entre no host do servidor Java do SAP Control. Por exemplo: `contoso-java.server.com`
JavaInstance	Insira o número da instância do SAP Control ABAP. Por exemplo: `10`
Javatz	Insira o fuso horário configurado no seu servidor Java do SAP Control, no formato GMT. Por exemplo: `GMT+3`
Javaseverity	Insira o nível de gravidade mais baixo, inclusive, para o qual você deseja ingerir logs de Serviço Web no Microsoft Sentinel. Os valores incluem: - 0 = Todos os logs - 1 = Advertência - 2 = Erro

Configurando a coleta de dados mestre do usuário

Para ingerir tabelas diretamente do seu sistema SAP com detalhes sobre seus usuários e autorizações de função, configure seu arquivo de systemconfig.ini com uma True/False instrução para cada tabela.

Por exemplo:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Para obter mais informações, consulte Tabelas recuperadas diretamente de sistemas SAP.

Próximos passos

Depois de instalar o conector de dados SAP, você pode adicionar o conteúdo de segurança relacionado ao SAP.

Para obter mais informações, consulte Implantar a solução SAP.

Para obter mais informações, consulte:

Partilhar via