Opções de configuração de especialistas, implementação no local e origens de registo sapControl

Artigo
06/20/2023

Este artigo descreve como implementar o conector de dados do Microsoft Sentinel para SAP num processo personalizado ou especializado, como utilizar um computador no local e um Key Vault do Azure para armazenar as suas credenciais.

Nota

O processo predefinido e recomendado para implementar o conector de dados SAP do Microsoft Sentinel é através de uma VM do Azure. Este artigo destina-se a utilizadores avançados.

Pré-requisitos

Os pré-requisitos básicos para implementar o conector de dados sap do Microsoft Sentinel são os mesmos, independentemente do seu método de implementação.

Certifique-se de que o seu sistema está em conformidade com os pré-requisitos documentados no documento de pré-requisitos do conector de dados SAP principal antes de começar.

Criar o cofre de chaves do Azure

Crie um cofre de chaves do Azure que possa dedicar à sua solução do Microsoft Sentinel para o conector de dados de aplicações SAP®.

Execute o seguinte comando para criar o cofre de chaves do Azure e conceder acesso a um principal de serviço do Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Para obter mais informações, veja Início Rápido: Criar um cofre de chaves com a CLI do Azure.

Adicionar segredos do Azure Key Vault

Para adicionar segredos do Azure Key Vault, execute o seguinte script, com o seu próprio ID de sistema e as credenciais que pretende adicionar:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Para obter mais informações, veja a documentação da CLI secreta az keyvault .

Efetuar uma instalação especializada/personalizada

Este procedimento descreve como implementar o conector de dados sap do Microsoft Sentinel para sap com um especialista ou instalação personalizada, como ao instalar no local.

Recomendamos que efetue este procedimento depois de ter um cofre de chaves pronto com as suas credenciais SAP.

Para implementar o conector de dados SAP do Microsoft Sentinel:

No seu computador no local, transfira o SDK RFC SAP NW mais recente a partir do site> sapNW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.

Nota

Precisará das informações de início de sessão do utilizador SAP para aceder ao SDK e tem de transferir o SDK que corresponde ao seu sistema operativo.

Certifique-se de que seleciona a opção LINUX ON X86_64 .
No seu computador no local, crie uma nova pasta com um nome significativo e copie o ficheiro zip do SDK para a sua nova pasta.

Clone o repositório gitHub da solução do Microsoft Sentinel no seu computador no local e copie a solução Microsoft Sentinel para a solução de aplicações SAP® systemconfig.ini ficheiro para a sua nova pasta.

Por exemplo:

mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

Edite o ficheiro systemconfig.ini conforme necessário, utilizando os comentários incorporados como guia. Para obter mais informações, consulte Configurar manualmente o conector de dados SAP do Microsoft Sentinel.

Para testar a configuração, poderá querer adicionar o utilizador e a palavra-passe diretamente ao ficheiro de configuração dosystemconfig.ini . Embora recomendemos que utilize o Cofre de Chaves do Azure para armazenar as suas credenciais, também pode utilizar um ficheiro env.list , segredos do Docker ou pode adicionar as suas credenciais diretamente ao ficheiro desystemconfig.ini .
Defina os registos que pretende ingerir no Microsoft Sentinel com as instruções no ficheiro systemconfig.ini . Por exemplo, veja Definir os registos SAP que são enviados para o Microsoft Sentinel.
Defina as seguintes configurações com as instruções no ficheiro desystemconfig.ini :
- Se pretende incluir endereços de e-mail de utilizador nos registos de auditoria
- Se pretende repetir chamadas à API falhadas
- Se pretende incluir registos de auditoria cexal
- Se pretende aguardar um intervalo de tempo entre extrações de dados, especialmente para extrações de grandes dimensões
Para obter mais informações, veja Configurações do conector de registos SAL.
Guarde o ficheiro desystemconfig.ini atualizado no diretório sapcon no seu computador.

Se tiver optado por utilizar um ficheiro env.list para as suas credenciais, crie um ficheiro env.list temporário com as credenciais necessárias. Assim que o contentor do Docker estiver a ser executado corretamente, certifique-se de que elimina este ficheiro.

Nota

O script seguinte tem cada contentor do Docker a ligar a um sistema ABAP específico. Modifique o script conforme necessário para o seu ambiente.

Executar:

##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET SENTINEL WORKSPACE id>
LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

Transfira e execute a imagem predefinida do Docker com o conector de dados SAP instalado. Executar:

docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

Verifique se o contentor do Docker está a ser executado corretamente. Executar:
```
docker logs –f sapcon-[SID]
```
Continue com a implementação da solução do Microsoft Sentinel para aplicações SAP®.

A implementação da solução permite que o conector de dados SAP seja apresentado no Microsoft Sentinel e implemente as regras de análise e livro sap. Quando terminar, adicione e personalize manualmente as suas listas de observação SAP.

Para obter mais informações, veja Implementar a solução do Microsoft Sentinel para aplicações® SAP a partir do hub de conteúdos.

Configurar manualmente o conector de dados SAP do Microsoft Sentinel

O conector de dados do Microsoft Sentinel para SAP está configurado no ficheiro desystemconfig.ini , que clonou para o seu computador conector de dados SAP como parte do procedimento de implementação.

O código seguinte mostra um ficheiro desystemconfig.ini de exemplo:

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

Definir os registos SAP que são enviados para o Microsoft Sentinel

Adicione o seguinte código à solução do Microsoft Sentinel para aplicações SAP® systemconfig.ini ficheiro para definir os registos que são enviados para o Microsoft Sentinel.

Para obter mais informações, veja Referência de registos de soluções da solução do Microsoft Sentinel para aplicações SAP® (pré-visualização pública).

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Definições do conector de registos SAL

Adicione o seguinte código ao conector de dados do Microsoft Sentinel para SAP systemconfig.ini ficheiro para definir outras definições para registos SAP ingeridos no Microsoft Sentinel.

Para obter mais informações, veja Executar uma instalação especializada/personalizada do conector de dados SAP.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

Esta secção permite-lhe configurar os seguintes parâmetros:

Nome do parâmetro	Descrição
extractuseremail	Determina se os endereços de e-mail do utilizador estão incluídos nos registos de auditoria.
apiria	Determina se as chamadas à API são repetidas como um mecanismo de ativação pós-falha.
auditlogforcexal	Determina se o sistema força a utilização de registos de auditoria para sistemas não SAL, como a versão 7.4 do SAP BASIS.
auditlogforcelegacyfiles	Determina se o sistema força a utilização de registos de auditoria com capacidades de sistema legadas, como a versão 7.4 do SAP BASIS com níveis de patch mais baixos.
timechunk	Determina que o sistema aguarda um número específico de minutos como um intervalo entre extrações de dados. Utilize este parâmetro se tiver uma grande quantidade de dados esperados. Por exemplo, durante o carregamento de dados inicial durante as primeiras 24 horas, poderá querer que a extração de dados seja executada apenas a cada 30 minutos para dar tempo suficiente a cada extração de dados. Nesses casos, defina este valor como 30.

Configurar uma instância do Controlo SAP do ABAP

Para ingerir todos os registos do ABAP no Microsoft Sentinel, incluindo os registos baseados no SERVIÇO Web NW RFC e SAP Control, configure os seguintes detalhes do Controlo SAP do ABAP:

Definições	Descrição
javaappserver	Introduza o anfitrião do servidor ABAP do Controlo SAP. Por exemplo: `contoso-erp.appserver.com`
javainstance	Introduza o número da instância do ABAP do Controlo SAP. Por exemplo: `00`
abaptz	Introduza o fuso horário configurado no seu servidor ABAP de Controlo SAP, no formato GMT. Por exemplo: `GMT+3`
abapseverity	Introduza o nível de gravidade mais baixo, inclusivo para o qual pretende ingerir registos ABAP no Microsoft Sentinel. Os valores incluem: - 0 = Todos os registos - 1 = Aviso - 2 = Erro

Configurar uma instância do Controlo SAP de Java

Para ingerir registos do Sap Control Web Service no Microsoft Sentinel, configure os seguintes detalhes da instância do CONTROLO SAP java:

Parâmetro	Description
javaappserver	Introduza o seu anfitrião de servidor Java de Controlo SAP. Por exemplo: `contoso-java.server.com`
javainstance	Introduza o número da instância do ABAP do Controlo SAP. Por exemplo: `10`
javatz	Introduza o fuso horário configurado no seu servidor Java de Controlo SAP, no formato GMT. Por exemplo: `GMT+3`
javaseverity	Introduza o nível de gravidade mais baixo, inclusivo para o qual pretende ingerir registos do Serviço Web no Microsoft Sentinel. Os valores incluem: - 0 = Todos os registos - 1 = Aviso - 2 = Erro

Configurar a recolha de dados do User Master

Para ingerir tabelas diretamente do seu sistema SAP com detalhes sobre os seus utilizadores e autorizações de função, configure o ficheiro desystemconfig.ini com uma True/False instrução para cada tabela.

Por exemplo:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Para obter mais informações, veja Tabelas obtidas diretamente a partir de sistemas SAP.

Passos seguintes

Depois de instalar o conector de dados SAP, pode adicionar os conteúdos de segurança relacionados com o SAP.

Para obter mais informações, veja Implementar a solução SAP.

Para obter mais informações, consulte:

Share via