Configurar autorizações SAP e implementar solicitações de alteração SAP opcionais

  • Artigo

Este artigo descreve como preparar seu ambiente para a instalação do agente SAP para que ele possa se conectar corretamente aos seus sistemas SAP. A preparação inclui a configuração das autorizações SAP necessárias e, opcionalmente, a implementação de solicitações de alteração (CRs) SAP extras.

  • O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Marcos de implantação

Acompanhe sua jornada de implantação da solução SAP através desta série de artigos:

  1. Descrição geral da implementação

  2. Pré-requisitos da implementação

  3. Trabalhar com a solução em vários espaços de trabalho (VISUALIZAÇÃO)

  4. Preparar ambiente SAP (Você está aqui)

  5. Configurar auditoria

  6. Implantar o conteúdo da solução a partir do hub de conteúdo

  7. Implantar o agente do conector de dados

  8. Configurar a solução Microsoft Sentinel para aplicativos SAP®

  9. Etapas de implantação opcionais

Configurar a função Microsoft Sentinel

  1. Carregue autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER no GitHub.

    Isso cria a função /MSFTSEN/SENTINEL_RESPONDER , que inclui todas as autorizações necessárias para recuperar logs dos sistemas SAP e executar ações de resposta a interrupções de ataques.

    Como alternativa, crie uma função manualmente com as autorizações relevantes necessárias para os logs que você deseja ingerir. Para obter mais informações, consulte Autorizações ABAP necessárias. Os exemplos neste procedimento usam o nome /MSFTSEN/SENTINEL_RESPONDER .

  2. A próxima etapa é gerar um perfil de função ativa para o Microsoft Sentinel usar. Execute a transação PFCG :

    Na tela SAP Easy Access, digite PFCG o campo no canto superior esquerdo da tela e pressione ENTER.

  3. Na janela Manutenção da Função, digite o nome /MSFTSEN/SENTINEL_RESPONDER da função no campo Função e selecione o botão Alterar (o lápis).

  4. Na janela Alterar funções exibida, selecione a guia Autorizações.

  5. Na guia Autorizações, selecione Alterar Dados de Autorização.

  6. No pop-up Informações, leia a mensagem e selecione a marca de seleção verde para confirmar.

  7. Na janela Alterar função: autorizações, selecione Gerar.

    Veja se o campo Status foi alterado de Inalterado para Gerado.

  8. Selecione Voltar (à esquerda do logotipo SAP na parte superior da tela).

  9. De volta à janela Alterar Funções , verifique se a guia Autorizações exibe uma caixa verde e selecione Salvar.

Criar um utilizador

A solução Microsoft Sentinel para aplicativos SAP® requer uma conta de usuário para se conectar ao seu sistema SAP. Use as instruções a seguir para criar uma conta de usuário e atribuí-la à função que você criou na etapa anterior.

Nos exemplos mostrados aqui, usamos o nome da função /MSFTSEN/SENTINEL_RESPONDER.

  1. Execute a transação SU01 :

    Na tela SAP Easy Access, entre SU01 no campo no canto superior esquerdo da tela e pressione ENTER.

  2. Na tela User Maintenance: Initial Screen, digite o nome do novo usuário no campo User e selecione Create Technical User (Criar usuário técnico) na barra de botões.

  3. Na tela Manter usuários, selecione Sistema na lista suspensa Tipo de usuário. Crie e introduza uma palavra-passe complexa nos campos Nova Palavra-passe e Repetir Palavra-passe e, em seguida, selecione o separador Funções .

  4. Na guia Funções, na seção Atribuições de Função, digite o nome completo da função - /MSFTSEN/SENTINEL_RESPONDER em nosso exemplo - e pressione Enter.

    Depois de pressionar Enter, verifique se o lado direito da seção Atribuições de Função é preenchido com dados, como Alterar Data de Início.

  5. Selecione a guia Perfis , verifique se um perfil para a função aparece em Perfis de autorização atribuídos e selecione Salvar.

Autorizações ABAP necessárias

Esta seção lista as autorizações ABAP necessárias para garantir que a conta de usuário SAP usada pelo conector de dados SAP do Microsoft Sentinel possa recuperar corretamente os logs dos sistemas SAP e executar ações de resposta a interrupções de ataque.

As autorizações necessárias estão listadas aqui por sua finalidade. Você só precisa das autorizações listadas para os tipos de logs que deseja trazer para o Microsoft Sentinel e as ações de resposta a interrupção de ataque que deseja aplicar.

Gorjeta

Para criar uma função com todas as autorizações necessárias, carregue as autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER .

Como alternativa, para habilitar apenas a recuperação de logs, sem ações de resposta de interrupção de ataque, implante o SAP NPLK900271 CR no sistema SAP para criar a função /MSFTSEN/SENTINEL_CONNECTOR ou carregue as autorizações de função do arquivo /MSFTSEN/SENTINEL_CONNECTOR.

Objeto de autorização Campo Value
Todos os registos
S_RFC RFC_TYPE Módulo de função
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Executar
S_TCODE TCD SM51
S_TABU_NAM ACTVT Apresentar
S_TABU_NAM TABELA T000
Opcional - Apenas se a solução Sentinel CR for implementada
S_RFC RFC_NAME /MSFTSEN/*
Log de aplicativos ABAP
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABELA BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUTO Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Apresentar
Registro de documentos de alteração ABAP
S_TABU_NAM TABELA CDHDR
S_TABU_NAM TABELA CDPOS
ABAP CR Log
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABELA E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Apresentar
Log de dados da tabela ABAP DB
S_TABU_NAM TABELA DBTABLOG
S_TABU_NAM TABELA SACF_ALERT
S_TABU_NAM TABELA SOUD
S_TABU_NAM TABELA USR41
S_TABU_NAM TABELA TMSQAFILTER
Registro de trabalhos ABAP
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABELA TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUTO Azure Sentinel
S_XMI_PROD INTERFACE XBP
ABAP Spool Logs
S_TABU_NAM TABELA TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (Uso da Transação SP01 (todos os sistemas))
Log de fluxo de trabalho ABAP
S_TABU_NAM TABELA SWWLOGHIST
S_TABU_NAM TABELA SWWWIHEAD
Log de auditoria de segurança ABAP
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (Auditoria de base auth.)
S_SAL SAL_ACTVT SHOW_LOG (Avaliar o log baseado em arquivo)
S_USER_GRP CLASSE SUPER
S_USER_GRP ACTVT Apresentar
S_USER_GRP CLASSE SUPER
S_USER_GRP ACTVT Bloquear
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUTO Azure Sentinel
S_XMI_PROD INTERFACE XAL
Dados do Utilizador
S_TABU_NAM TABELA ADCP
S_TABU_NAM TABELA RAM6
S_TABU_NAM TABELA AGR_1251
S_TABU_NAM TABELA AGR_AGRS
S_TABU_NAM TABELA AGR_DEFINE
S_TABU_NAM TABELA AGR_FLAGS
S_TABU_NAM TABELA AGR_PROF
S_TABU_NAM TABELA AGR_TCODES
S_TABU_NAM TABELA AGR_USERS
S_TABU_NAM TABELA DEVACCESS
S_TABU_NAM TABELA USER_ADDR
S_TABU_NAM TABELA USGRP_USER
S_TABU_NAM TABELA USR01
S_TABU_NAM TABELA USR02
S_TABU_NAM TABELA USR05
S_TABU_NAM TABELA USR21
S_TABU_NAM TABELA USRSTAMP
S_TABU_NAM TABELA UST04
Histórico de configuração
S_TABU_NAM TABELA PAHI
Dados SNC
S_TABU_NAM TABELA SNCSYSACL
S_TABU_NAM TABELA USRACL
Ações de resposta a interrupções de ataques
S_RFC RFC_TYPE Módulo de função
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
Ao contrário do seu nome, esta função não elimina utilizadores, mas termina a sessão de utilizador ativa.
S_USER_GRP CLASSE *
Recomendamos substituir S_USER_GRP CLASS pelas classes relevantes em sua organização que representam usuários de diálogo.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

Se necessário, você pode remover a função de usuário e a CR opcional instalada em seu sistema ABAP.

Implantar CRs opcionais

Esta seção apresenta um guia passo a passo para implantar CRs extras opcionais. Destina-se a engenheiros ou implementadores de SOC que podem não ser necessariamente especialistas em SAP.

Administradores SAP experientes que estão familiarizados com o processo de implantação de CR podem preferir obter os CRs apropriados diretamente da seção de etapas de validação do ambiente SAP do guia e implantá-los.

É altamente recomendável que a implantação de CRs SAP seja feita por um administrador de sistema SAP experiente.

A tabela a seguir descreve as CRs opcionais disponíveis para implantação:

CR Description
NPLK900271 Cria e configura uma função de exemplo com as autorizações básicas necessárias para permitir que o conector de dados SAP se conecte ao seu sistema SAP. Como alternativa, você pode carregar autorizações diretamente de um arquivo ou definir manualmente a função de acordo com os logs que deseja ingerir.

Para obter mais informações, consulte Autorizações ABAP necessárias e Criar e configurar uma função (obrigatório).
NPLK900201 ou NPLK900202 Recupera informações adicionais do SAP. Selecione um desses CRs de acordo com sua versão SAP.

Pré-requisitos para a implantação de CRs

  1. Certifique-se de ter copiado os detalhes da versão do sistema SAP, ID do sistema (SID), número do sistema, número do cliente, endereço IP, nome de usuário administrativo e senha antes de iniciar o processo de implantação. Para o exemplo a seguir, os seguintes detalhes são assumidos:

    • Versão do sistema SAP:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • Número do sistema:00
    • Número de cliente:001
    • Endereço IP192.168.136.4:
    • Usuário administrador:a4hadm, no entanto, a conexão SSH com o sistema SAP é estabelecida com root credenciais de usuário.

  2. Certifique-se de saber qual CR você deseja implantar.

  3. Se você estiver implantando o NPLK900202 CR para recuperar informações adicionais, certifique-se de ter instalado a nota SAP relevante.

Configurar os ficheiros

  1. Faça login no sistema SAP usando SSH.

  2. Transfira os arquivos CR para o sistema SAP ou faça o download dos arquivos diretamente para o sistema SAP a partir do prompt SSH. Use os seguintes comandos:

    • Baixar NPLK900271

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      Como alternativa, você pode carregar essas autorizações diretamente de um arquivo.

    • Baixar NPLK900202

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • Baixar NPLK900201

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    Cada CR consiste em dois ficheiros, um começando com K e outro com R.

  3. Altere a propriedade dos arquivos para usuário <sid>adm e grupo sapsys. (Substitua o ID do sistema SAP por <sid>.)

    chown <sid>adm:sapsys *.NPL

    No nosso exemplo:

    chown a4hadm:sapsys *.NPL

  4. Copie os cofiles (aqueles que começam com K) para a /usr/sap/trans/cofiles pasta. Preserve as permissões enquanto copia, usando o cp comando com a -p opção.

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. Copie os arquivos de dados (aqueles que começam com R) para a /usr/sap/trans/data pasta. Preserve as permissões enquanto copia, usando o cp comando com a -p opção.

    cp -p R*.NPL /usr/sap/trans/data/

Importar os CRs

  1. Inicie o aplicativo SAP Logon e faça login no console SAP GUI.

  2. Execute o STMS_IMPORT transação:

    Na tela SAP Easy Access, digite STMS_IMPORT o campo no canto superior esquerdo da tela e pressione ENTER.

    Captura de tela da execução da transação de importação do STMS.

  3. Na janela Fila de Importação exibida, selecione Mais > Extras > Outras Solicitações > Adicionar.

    Captura de ecrã a mostrar a adição de uma fila de importação.

  4. No pop-up Adicionar Solicitações de Transporte à Fila de Importação que aparece, selecione o campo Solicitação de Transp.

  5. A janela Solicitações de transporte será exibida e exibirá uma lista de CRs disponíveis para serem implantadas. Selecione uma CR e selecione o botão de marca de seleção verde.

  6. De volta à janela Adicionar solicitação de transporte para fila de importação, selecione Continuar (a marca de seleção verde) ou pressione ENTER.

  7. Na caixa de diálogo de confirmação Adicionar Solicitação de Transporte, selecione Sim.

  8. Se você planeja implantar mais CRs, repita o procedimento nas cinco etapas anteriores para as CRs restantes.

  9. Na janela Fila de Importação , selecione a Solicitação de Transporte relevante uma vez e, em seguida, selecione F9 ou Selecionar/Desmarcar ícone de Solicitação .

  10. Se você tiver solicitações de transporte restantes para adicionar à implantação, repita a etapa 9.

  11. Selecione o ícone Importar solicitações:

    Captura de ecrã a mostrar a importação de todos os pedidos.

  12. Na janela Iniciar importação , selecione o campo Cliente de destino.

  13. A caixa de diálogo Ajuda de entrada.. é exibida. Selecione o número do cliente no qual você deseja implantar os CRs (001 no nosso exemplo) e, em seguida, selecione a marca de seleção verde para confirmar.

  14. De volta à janela Iniciar importação, selecione a guia Opções, marque a caixa de seleção Ignorar versão inválida do componente e selecione a marca de seleção verde para confirmar.

    Captura de ecrã da janela Iniciar importação.

  15. Na caixa de diálogo Iniciar confirmação de importação , selecione Sim para confirmar a importação.

  16. De volta à janela Fila de importação , selecione Atualizar, aguarde até que a operação de importação seja concluída e a fila de importação apareça como vazia.

  17. Para rever o estado da importação, na janela Fila de Importação , selecione Mais > Ir para > Histórico de Importações.

    Captura de ecrã do histórico de importações.

  18. Se você implantou a CR NPLK900202 , espera-se que ela exiba um Aviso. Selecione a entrada para verificar se os avisos exibidos são do tipo "Table <tablename> was activated".

    Os CRs e versões nas capturas de tela a seguir podem mudar de acordo com sua versão CR instalada.

    Captura de tela da exibição do status de importação.

    Captura de ecrã da exibição da mensagem de aviso de importação.

Verifique se a tabela PAHI (histórico de parâmetros do sistema, banco de dados e SAP) é atualizada em intervalos regulares

A tabela SAP PAHI inclui dados sobre o histórico do sistema SAP, o banco de dados e os parâmetros SAP. Em alguns casos, a solução Microsoft Sentinel para aplicativos SAP® não pode monitorar a tabela SAP PAHI em intervalos regulares, devido à configuração ausente ou defeituosa (consulte a nota do SAP com mais detalhes sobre esse problema). É importante atualizar a tabela PAHI e monitorá-la com frequência, para que a solução Microsoft Sentinel para aplicativos SAP® possa alertar sobre ações suspeitas que podem acontecer a qualquer momento ao longo do dia.

Saiba mais sobre como a solução Microsoft Sentinel para aplicativos SAP® monitora alterações suspeitas de configuração nos parâmetros de segurança.

Nota

Para obter os melhores resultados, no arquivo de systemconfig.ini da sua máquina, na [ABAP Table Selector] seção , habilite os PAHI_FULL parâmetros e PAHI_INCREMENTAL os parâmetros.

Para verificar se a tabela PAHI é atualizada em intervalos regulares:

  1. Verifique se o SAP_COLLECTOR_FOR_PERFMONITOR trabalho, com base no programa RSCOLL00, está agendado e em execução de hora em hora, pelo usuário DDIC no cliente 000.
  2. Verifique se os nomes , RSHOSTPHRSSTATPH e RSDB_PAR relatório são mantidos na tabela TCOLL.
    • RSHOSTPH report: Lê os parâmetros do kernel do sistema operacional e armazena esses dados na tabela PAHI.
    • RSSTATPH report: Lê os parâmetros do perfil SAP e armazena esses dados na tabela PAHI.
    • RSDB_PAR report: lê os parâmetros do banco de dados e os armazena na tabela PAHI.

Se o trabalho existir e estiver configurado corretamente, nenhuma etapa adicional será necessária.

Se o trabalho não existir:

  1. Faça login no seu sistema SAP no cliente 000.

  2. Execute a transação SM36.

  3. Em Nome do Trabalho, digite SAP_COLLECTOR_FOR_PERFMONITOR.

    Captura de tela da adição do trabalho usado para monitorar a tabela SAP PAHI.

  4. Selecione Passo e preencha esta informação:

    • Em Usuário, digite DDIC.
    • Em Nome do Programa ABAP, digite RSCOLL00.

  5. Guardar a configuração.

    Captura de tela da definição de um usuário para o trabalho usado para monitorar a tabela SAP PAHI.

  6. Selecione F3 para voltar à tela anterior.

  7. Selecione Iniciar condição para definir a condição inicial.

  8. Selecione Imediato e marque a caixa de seleção Trabalho periódico .

    Captura de tela da definição do trabalho usado para monitorar a tabela SAP PAHI como periódica.

  9. Selecione Valores de período e selecione Por hora.

  10. Selecione Salvardentro da caixa de diálogo e, em seguida, selecione Salvar na parte inferior.

    Captura de tela da definição do trabalho usado para monitorar a tabela SAP PAHI como horária.

  11. Para liberar o trabalho, selecione Salvar na parte superior.

    Captura de tela da liberação do trabalho usado para monitorar a tabela SAP PAHI como horária.

Próximos passos

Seu ambiente SAP agora está totalmente preparado para implantar um agente conector de dados. Uma função e um perfil são provisionados, uma conta de usuário é criada e atribuída ao perfil de função relevante e CRs são implantados conforme necessário para seu ambiente.

Agora, você está pronto para habilitar e configurar a auditoria SAP para o Microsoft Sentinel.

Habilitar e configurar a auditoria SAP para o Microsoft Sentinel