Configurar autorizações SAP e implementar solicitações de alteração SAP opcionais
Este artigo descreve como preparar seu ambiente para a instalação do agente SAP para que ele possa se conectar corretamente aos seus sistemas SAP. A preparação inclui a configuração das autorizações SAP necessárias e, opcionalmente, a implementação de solicitações de alteração (CRs) SAP extras.
- O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Marcos de implantação
Acompanhe sua jornada de implantação da solução SAP através desta série de artigos:
Trabalhar com a solução em vários espaços de trabalho (VISUALIZAÇÃO)
Preparar ambiente SAP (Você está aqui)
Configurar a solução Microsoft Sentinel para aplicativos SAP®
Etapas de implantação opcionais
Configurar a função Microsoft Sentinel
Carregue autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER no GitHub.
Isso cria a função /MSFTSEN/SENTINEL_RESPONDER , que inclui todas as autorizações necessárias para recuperar logs dos sistemas SAP e executar ações de resposta a interrupções de ataques.
Como alternativa, crie uma função manualmente com as autorizações relevantes necessárias para os logs que você deseja ingerir. Para obter mais informações, consulte Autorizações ABAP necessárias. Os exemplos neste procedimento usam o nome /MSFTSEN/SENTINEL_RESPONDER .
A próxima etapa é gerar um perfil de função ativa para o Microsoft Sentinel usar. Execute a transação PFCG :
Na tela SAP Easy Access, digite
PFCG
o campo no canto superior esquerdo da tela e pressione ENTER.Na janela Manutenção da Função, digite o nome
/MSFTSEN/SENTINEL_RESPONDER
da função no campo Função e selecione o botão Alterar (o lápis).Na janela Alterar funções exibida, selecione a guia Autorizações.
Na guia Autorizações, selecione Alterar Dados de Autorização.
No pop-up Informações, leia a mensagem e selecione a marca de seleção verde para confirmar.
Na janela Alterar função: autorizações, selecione Gerar.
Veja se o campo Status foi alterado de Inalterado para Gerado.
Selecione Voltar (à esquerda do logotipo SAP na parte superior da tela).
De volta à janela Alterar Funções , verifique se a guia Autorizações exibe uma caixa verde e selecione Salvar.
Criar um utilizador
A solução Microsoft Sentinel para aplicativos SAP® requer uma conta de usuário para se conectar ao seu sistema SAP. Use as instruções a seguir para criar uma conta de usuário e atribuí-la à função que você criou na etapa anterior.
Nos exemplos mostrados aqui, usamos o nome da função /MSFTSEN/SENTINEL_RESPONDER.
Execute a transação SU01 :
Na tela SAP Easy Access, entre
SU01
no campo no canto superior esquerdo da tela e pressione ENTER.Na tela User Maintenance: Initial Screen, digite o nome do novo usuário no campo User e selecione Create Technical User (Criar usuário técnico) na barra de botões.
Na tela Manter usuários, selecione Sistema na lista suspensa Tipo de usuário. Crie e introduza uma palavra-passe complexa nos campos Nova Palavra-passe e Repetir Palavra-passe e, em seguida, selecione o separador Funções .
Na guia Funções, na seção Atribuições de Função, digite o nome completo da função -
/MSFTSEN/SENTINEL_RESPONDER
em nosso exemplo - e pressione Enter.Depois de pressionar Enter, verifique se o lado direito da seção Atribuições de Função é preenchido com dados, como Alterar Data de Início.
Selecione a guia Perfis , verifique se um perfil para a função aparece em Perfis de autorização atribuídos e selecione Salvar.
Autorizações ABAP necessárias
Esta seção lista as autorizações ABAP necessárias para garantir que a conta de usuário SAP usada pelo conector de dados SAP do Microsoft Sentinel possa recuperar corretamente os logs dos sistemas SAP e executar ações de resposta a interrupções de ataque.
As autorizações necessárias estão listadas aqui por sua finalidade. Você só precisa das autorizações listadas para os tipos de logs que deseja trazer para o Microsoft Sentinel e as ações de resposta a interrupção de ataque que deseja aplicar.
Gorjeta
Para criar uma função com todas as autorizações necessárias, carregue as autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER .
Como alternativa, para habilitar apenas a recuperação de logs, sem ações de resposta de interrupção de ataque, implante o SAP NPLK900271 CR no sistema SAP para criar a função /MSFTSEN/SENTINEL_CONNECTOR ou carregue as autorizações de função do arquivo /MSFTSEN/SENTINEL_CONNECTOR.
Se necessário, você pode remover a função de usuário e a CR opcional instalada em seu sistema ABAP.
Implantar CRs opcionais
Esta seção apresenta um guia passo a passo para implantar CRs extras opcionais. Destina-se a engenheiros ou implementadores de SOC que podem não ser necessariamente especialistas em SAP.
Administradores SAP experientes que estão familiarizados com o processo de implantação de CR podem preferir obter os CRs apropriados diretamente da seção de etapas de validação do ambiente SAP do guia e implantá-los.
É altamente recomendável que a implantação de CRs SAP seja feita por um administrador de sistema SAP experiente.
A tabela a seguir descreve as CRs opcionais disponíveis para implantação:
CR | Description |
---|---|
NPLK900271 | Cria e configura uma função de exemplo com as autorizações básicas necessárias para permitir que o conector de dados SAP se conecte ao seu sistema SAP. Como alternativa, você pode carregar autorizações diretamente de um arquivo ou definir manualmente a função de acordo com os logs que deseja ingerir. Para obter mais informações, consulte Autorizações ABAP necessárias e Criar e configurar uma função (obrigatório). |
NPLK900201 ou NPLK900202 | Recupera informações adicionais do SAP. Selecione um desses CRs de acordo com sua versão SAP. |
Pré-requisitos para a implantação de CRs
Certifique-se de ter copiado os detalhes da versão do sistema SAP, ID do sistema (SID), número do sistema, número do cliente, endereço IP, nome de usuário administrativo e senha antes de iniciar o processo de implantação. Para o exemplo a seguir, os seguintes detalhes são assumidos:
- Versão do sistema SAP:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Número do sistema:
00
- Número de cliente:
001
- Endereço IP:
192.168.136.4
- Usuário administrador:
a4hadm
no entanto, a conexão SSH com o sistema SAP é estabelecida comroot
credenciais de usuário.
- Versão do sistema SAP:
Certifique-se de saber qual CR você deseja implantar.
Se você estiver implantando o NPLK900202 CR para recuperar informações adicionais, certifique-se de ter instalado a nota SAP relevante.
Configurar os ficheiros
Faça login no sistema SAP usando SSH.
Transfira os arquivos CR para o sistema SAP ou faça o download dos arquivos diretamente para o sistema SAP a partir do prompt SSH. Use os seguintes comandos:
Baixar NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
Como alternativa, você pode carregar essas autorizações diretamente de um arquivo.
Baixar NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
Baixar NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Cada CR consiste em dois ficheiros, um começando com K e outro com R.
Altere a propriedade dos arquivos para usuário
<sid>
adm e grupo sapsys. (Substitua o ID do sistema SAP por<sid>
.)chown <sid>adm:sapsys *.NPL
No nosso exemplo:
chown a4hadm:sapsys *.NPL
Copie os cofiles (aqueles que começam com K) para a
/usr/sap/trans/cofiles
pasta. Preserve as permissões enquanto copia, usando ocp
comando com a-p
opção.cp -p K*.NPL /usr/sap/trans/cofiles/
Copie os arquivos de dados (aqueles que começam com R) para a
/usr/sap/trans/data
pasta. Preserve as permissões enquanto copia, usando ocp
comando com a-p
opção.cp -p R*.NPL /usr/sap/trans/data/
Importar os CRs
Inicie o aplicativo SAP Logon e faça login no console SAP GUI.
Execute o STMS_IMPORT transação:
Na tela SAP Easy Access, digite
STMS_IMPORT
o campo no canto superior esquerdo da tela e pressione ENTER.Na janela Fila de Importação exibida, selecione Mais > Extras > Outras Solicitações > Adicionar.
No pop-up Adicionar Solicitações de Transporte à Fila de Importação que aparece, selecione o campo Solicitação de Transp.
A janela Solicitações de transporte será exibida e exibirá uma lista de CRs disponíveis para serem implantadas. Selecione uma CR e selecione o botão de marca de seleção verde.
De volta à janela Adicionar solicitação de transporte para fila de importação, selecione Continuar (a marca de seleção verde) ou pressione ENTER.
Na caixa de diálogo de confirmação Adicionar Solicitação de Transporte, selecione Sim.
Se você planeja implantar mais CRs, repita o procedimento nas cinco etapas anteriores para as CRs restantes.
Na janela Fila de Importação , selecione a Solicitação de Transporte relevante uma vez e, em seguida, selecione F9 ou Selecionar/Desmarcar ícone de Solicitação .
Se você tiver solicitações de transporte restantes para adicionar à implantação, repita a etapa 9.
Selecione o ícone Importar solicitações:
Na janela Iniciar importação , selecione o campo Cliente de destino.
A caixa de diálogo Ajuda de entrada.. é exibida. Selecione o número do cliente no qual você deseja implantar os CRs (
001
no nosso exemplo) e, em seguida, selecione a marca de seleção verde para confirmar.De volta à janela Iniciar importação, selecione a guia Opções, marque a caixa de seleção Ignorar versão inválida do componente e selecione a marca de seleção verde para confirmar.
Na caixa de diálogo Iniciar confirmação de importação , selecione Sim para confirmar a importação.
De volta à janela Fila de importação , selecione Atualizar, aguarde até que a operação de importação seja concluída e a fila de importação apareça como vazia.
Para rever o estado da importação, na janela Fila de Importação , selecione Mais > Ir para > Histórico de Importações.
Se você implantou a CR NPLK900202 , espera-se que ela exiba um Aviso. Selecione a entrada para verificar se os avisos exibidos são do tipo "Table <tablename> was activated".
Os CRs e versões nas capturas de tela a seguir podem mudar de acordo com sua versão CR instalada.
Verifique se a tabela PAHI (histórico de parâmetros do sistema, banco de dados e SAP) é atualizada em intervalos regulares
A tabela SAP PAHI inclui dados sobre o histórico do sistema SAP, o banco de dados e os parâmetros SAP. Em alguns casos, a solução Microsoft Sentinel para aplicativos SAP® não pode monitorar a tabela SAP PAHI em intervalos regulares, devido à configuração ausente ou defeituosa (consulte a nota do SAP com mais detalhes sobre esse problema). É importante atualizar a tabela PAHI e monitorá-la com frequência, para que a solução Microsoft Sentinel para aplicativos SAP® possa alertar sobre ações suspeitas que podem acontecer a qualquer momento ao longo do dia.
Saiba mais sobre como a solução Microsoft Sentinel para aplicativos SAP® monitora alterações suspeitas de configuração nos parâmetros de segurança.
Nota
Para obter os melhores resultados, no arquivo de systemconfig.ini da sua máquina, na [ABAP Table Selector]
seção , habilite os PAHI_FULL
parâmetros e PAHI_INCREMENTAL
os parâmetros.
Para verificar se a tabela PAHI é atualizada em intervalos regulares:
- Verifique se o
SAP_COLLECTOR_FOR_PERFMONITOR
trabalho, com base no programa RSCOLL00, está agendado e em execução de hora em hora, pelo usuário DDIC no cliente 000. - Verifique se os nomes ,
RSHOSTPH
RSSTATPH
eRSDB_PAR
relatório são mantidos na tabela TCOLL.RSHOSTPH
report: Lê os parâmetros do kernel do sistema operacional e armazena esses dados na tabela PAHI.RSSTATPH
report: Lê os parâmetros do perfil SAP e armazena esses dados na tabela PAHI.RSDB_PAR
report: lê os parâmetros do banco de dados e os armazena na tabela PAHI.
Se o trabalho existir e estiver configurado corretamente, nenhuma etapa adicional será necessária.
Se o trabalho não existir:
Faça login no seu sistema SAP no cliente 000.
Execute a transação SM36.
Em Nome do Trabalho, digite SAP_COLLECTOR_FOR_PERFMONITOR.
Selecione Passo e preencha esta informação:
- Em Usuário, digite DDIC.
- Em Nome do Programa ABAP, digite RSCOLL00.
Guardar a configuração.
Selecione F3 para voltar à tela anterior.
Selecione Iniciar condição para definir a condição inicial.
Selecione Imediato e marque a caixa de seleção Trabalho periódico .
Selecione Valores de período e selecione Por hora.
Selecione Salvar dentro da caixa de diálogo e, em seguida, selecione Salvar na parte inferior.
Para liberar o trabalho, selecione Salvar na parte superior.
Próximos passos
Seu ambiente SAP agora está totalmente preparado para implantar um agente conector de dados. Uma função e um perfil são provisionados, uma conta de usuário é criada e atribuída ao perfil de função relevante e CRs são implantados conforme necessário para seu ambiente.
Agora, você está pronto para habilitar e configurar a auditoria SAP para o Microsoft Sentinel.