Настройка авторизации SAP и развертывание необязательных запросов на изменение SAP
В этой статье описывается, как подготовить среду к установке агента SAP, чтобы он смог правильно подключиться к системам SAP. Подготовка включает настройку необходимых авторизации SAP и, при необходимости, развертывание дополнительных запросов на изменение SAP (CR).
- Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Вехи развертывания
Развертывайте свое решение SAP поэтапно, используя следующую серию статей:
Работа с решением в нескольких рабочих областях (предварительная версия)
Подготовка среды SAP (текущая статья)
Развертывание содержимого решения из концентратора содержимого
Дополнительные этапы развертывания
Настройка роли Microsoft Sentinel
Отправка авторизации ролей из файла /MSFTSEN/SENTINEL_RESPONDER в GitHub.
При этом создается роль /MSFTSEN/SENTINEL_RESPONDER , которая включает все разрешения, необходимые для получения журналов из систем SAP и выполнения действий реагирования на нарушения атаки.
Кроме того, создайте роль вручную с соответствующими разрешениями, необходимыми для журналов, которые необходимо принять. Дополнительные сведения см. в разделе "Обязательные разрешения ABAP". В примерах этой процедуры используется имя /MSFTSEN/SENTINEL_RESPONDER .
Следующим шагом является создание активного профиля роли, который будет использоваться Microsoft Sentinel. Запустите транзакцию PFCG:
На экране SAP Easy Access введите
PFCG
поле в левом верхнем углу экрана и нажмите клавишу ВВОД.В окне Role Maintenance (Обслуживание роли) введите имя роли
/MSFTSEN/SENTINEL_RESPONDER
в поле Role (Роль) и нажмите кнопку Change (Изменить; имеет вид карандаша).В появившемся окне Change Roles (Изменение ролей) выберите вкладку Authorizations (Авторизации).
На вкладке Authorizations выберите Change Authorization Data (Изменить данные авторизации).
Во всплывающем окне Information (Сведения) прочтите сообщение и нажмите на зеленый флажок для подтверждения.
В окне Change Role: Authorizations (Изменение роли: авторизации) выберите Generate (Создать).
Убедитесь, что значение поля Status (Состояние) изменилось с Unchanged (Без изменений) на generated (создано).
Нажмите кнопку "Назад" (слева от логотипа SAP вверху экрана).
Вернитесь в окно Change Roles и убедитесь, что на вкладке Authorizations отображается зеленое поле, а затем выберите Save (Сохранить).
Создание пользователя
Для решения Microsoft Sentinel для приложений SAP требуется учетная запись пользователя для подключения к системе SAP®. Выполните следующие инструкции, чтобы создать учетную запись пользователя и назначить ей роль, созданную на предыдущем этапе.
В примерах, приведенных здесь, мы используем имя роли /MSFTSEN/SENTINEL_RESPONDER.
Выполните транзакцию SU01:
На экране SAP Easy Access введите
SU01
поле в левом верхнем углу экрана и нажмите клавишу ВВОД.На экране User Maintenance: Initial Screen (Обслуживание пользователей: начальный экран) введите имя нового пользователя в поле User (Пользователь) и в панели кнопок выберите Create Technical User (Создать технического пользователя).
На экране Maintain Users (Обслуживание пользователей) выберите System (Системный) в раскрывающемся списке User Type (Тип пользователя). Создайте и введите сложный пароль в полях New Password (Новый пароль) и Repeat Password (Подтверждение пароля), а затем перейдите на вкладку Roles (Роли).
На вкладке Roles в разделе Role Assignments (Назначения ролей) введите полное имя роли (в нашем примере —
/MSFTSEN/SENTINEL_RESPONDER
) и нажмите клавишу ВВОД.Нажав ВВОД, убедитесь, что правая часть раздела Role Assignments заполняется данными, такими как Change Start Date (Изменение даты начала).
Перейдите на вкладку Profiles (Профили) и убедитесь, что в разделе Assigned Authorization Profiles (Назначенные профили авторизации) отображается профиль для роли, а затем выберите Save.
Требуемые разрешения ABAP
В этом разделе перечислены авторизации ABAP, необходимые для обеспечения правильности получения журналов из систем SAP и выполнения действий реагирования на нарушение атак, используемых соединителем данных SAP в Microsoft Sentinel.
Необходимые авторизации перечислены здесь по их назначению. Вам потребуются только авторизации, перечисленные для типов журналов, которые вы хотите перенести в Microsoft Sentinel и действия реагирования на нарушения атаки, которые вы хотите применить.
Совет
Чтобы создать роль со всеми необходимыми разрешениями, загрузите авторизацию роли из файла /MSFTSEN/SENTINEL_RESPONDER .
Кроме того, чтобы включить только извлечение журналов без действий реагирования на атаки, разверните SAP NPLK900271 CR в системе SAP для создания роли /MSFTSEN/SENTINEL_CONNECTOR или загрузки авторизации ролей из файла /MSFTSEN/SENTINEL_CONNECTOR.
При необходимости можно удалить роль пользователя и необязательный cr, установленный в системе ABAP.
Развертывание необязательных CR
В этом разделе представлено пошаговое руководство по развертыванию дополнительных дополнительных необязательных CR. Он предназначен для инженеров SOC или разработчиков, которые могут не обязательно быть экспертами SAP.
Опытные администраторы SAP, знакомые с процессом развертывания CR, могут предпочесть получить соответствующие CR непосредственно из раздела шагов проверки среды SAP руководства и развернуть их.
Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP.
В следующей таблице описаны необязательные CR, доступные для развертывания:
CR | Description |
---|---|
NPLK900271 | Создает и настраивает пример роли с базовыми авторизациями, необходимыми для подключения соединителя данных SAP к системе SAP. Кроме того, можно загрузить авторизацию непосредственно из файла или вручную определить роль в соответствии с журналами, которые необходимо принять. Дополнительные сведения см. в разделе "Обязательные авторизации ABAP" и "Создание" и настройка роли (обязательно). |
NPLK900201 или NPLK900202 | Извлекает дополнительные сведения из SAP. Выберите один из этих CR в соответствии с версией SAP. |
Предварительные требования для развертывания CR
Убедитесь, что вы скопировали сведения о системной версии SAP, идентификаторе системы (SID),номере системы, номере клиента, IP-адресе, имени администратора и пароле перед началом процесса развертывания. В примере далее предполагается следующее.
- Версия системы SAP:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- Номер системы:
00
- Номер клиента:
001
- IP-адрес:
192.168.136.4
- Пользователь с правами администратора:
a4hadm
, однако SSH-подключение к системе SAP устанавливается с учетными данными пользователяroot
.
- Версия системы SAP:
Убедитесь, что вы знаете, какой cr вы хотите развернуть.
Если вы развертываете NPLK900202 CR для получения дополнительных сведений, убедитесь, что вы установили соответствующую заметку SAP.
Подготовка файлов
Войдите в систему SAP по протоколу SSH.
Перенесите файлы CR в систему SAP или скачайте файлы непосредственно в систему SAP из запроса SSH. Используйте следующие команды:
Скачивание NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
Кроме того, эти авторизации можно загрузить непосредственно из файла.
Скачивание NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
Скачивание NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
Каждый cr состоит из двух файлов, начиная с K и одного с R.
Измените права владения файлами, назначив их пользователю
<sid>
adm и группе sapsys. (Подставьте свой ИД системы SAP вместо<sid>
.)chown <sid>adm:sapsys *.NPL
В нашем примере:
chown a4hadm:sapsys *.NPL
Скопируйте файлы управления (начинающиеся на K) в папку
/usr/sap/trans/cofiles
. При копировании сохраните разрешения, используя командуcp
с параметром-p
.cp -p K*.NPL /usr/sap/trans/cofiles/
Скопируйте файлы данных (начинающиеся на R) в папку
/usr/sap/trans/data
. При копировании сохраните разрешения, используя командуcp
с параметром-p
.cp -p R*.NPL /usr/sap/trans/data/
Импорт запросов
Запустите приложение SAP Logon и войдите в консоль SAP GUI.
Запустите транзакцию STMS_IMPORT:
На экране SAP Easy Access введите
STMS_IMPORT
поле в левом верхнем углу экрана и нажмите клавишу ВВОД.В появившемся окне Import Queue (Очередь импорта) выберите More > Extras > Other Requests > Add (Дополнительно > Дополнения > Прочие запросы > Добавить).
В появившемся всплывающем окне Add Transport Requests to Import Queue (Добавление запросов транспортировки в очередь импорта) выберите поле Transp.Request.
Откроется окно Transport Requests (Запросы транспортировки) со списком запросов на изменение, которые можно развернуть. Выберите запрос и нажмите на кнопку с зеленым флажком.
Вернитесь в окно "Добавить запрос транспорта для импорта очереди", нажмите кнопку "Продолжить" (зеленый проверка марк) или нажмите клавишу ВВОД.
В диалоговом окне подтверждения Add Transport Request (Добавление запроса транспортировки) выберите Yes (Да).
Если вы планируете развернуть дополнительные CR, повторите процедуру в предыдущих пяти шагах для оставшихся CR.
В окне Очередь импорта выберите один раз соответствующий запрос транспортировки, а затем нажмите F9 или щелкните значок Выбрать запрос/Снять выбор.
Если вы добавили в развертывание оставшиеся запросы транспорта, повторите шаг 9.
Щелкните значок "Запросы на импорт":
В окне Start Import (Запуск импорта) выберите поле Target Client (Целевой клиент).
Откроется диалоговое окно "Входная справка". Выберите номер клиента, который должен развернуть запросы на изменение (в нашем примере это
001
), а затем нажмите на зеленый флажок для подтверждения.Вернитесь в окно Start Import, выберите вкладку Options (Параметры), установите флажок Ignore Invalid Component Version (Игнорировать недопустимую версию компонента) и нажмите на зеленый флажок для подтверждения.
В диалоговом окне подтверждения Start Import нажмите Yes, чтобы подтвердить импорт.
Вернитесь в окно Import Queue, выберите Refresh (Обновить) и дождитесь, чтобы операция импорта завершилась, а очередь отображалась пустой.
Чтобы проверить состояние импорта, в окне Import Queue выберите More > Go To > Import History (Дополнительно > Перейти > Журнал импорта).
Если вы развернули NPLK900202 CR, ожидается, что появится предупреждение. Выберите запись и убедитесь, что отображаются предупреждения типа "Table <имя таблицы> was activated" (Активирована таблица <имя таблицы>).
CR и версии на следующих снимках экрана могут измениться в соответствии с установленной версией CR.
Убедитесь, что таблица PAHI (журнал системных, баз данных и параметров SAP) обновляется регулярно.
Таблица SAP PAHI содержит данные по журналу системы SAP, базы данных и параметров SAP. В некоторых случаях решение Microsoft Sentinel для приложений SAP не может отслеживать таблицу SAP® PAHI через регулярные интервалы, из-за отсутствия или сбоя конфигурации (см . примечание SAP с дополнительными сведениями об этой проблеме). Важно обновить таблицу PAHI и часто отслеживать ее, чтобы решение Microsoft Sentinel для приложений SAP® могло оповещать о подозрительных действиях, которые могут произойти в любое время в течение дня.
Узнайте больше о том, как решение Microsoft Sentinel для приложений SAP® отслеживает подозрительные изменения конфигурации в параметрах безопасности.
Примечание.
Для оптимальных результатов в файле systemconfig.ini компьютера в разделе [ABAP Table Selector]
включите оба PAHI_FULL
параметра и PAHI_INCREMENTAL
параметры.
Чтобы убедиться, что таблица PAHI обновляется через регулярные интервалы:
- Проверьте, планируется ли задание, основанное на программе RSCOLL00, и выполняется ли
SAP_COLLECTOR_FOR_PERFMONITOR
он почасово, пользователем DDIC в клиенте 000. - Проверьте, поддерживаются ли
RSHOSTPH
RSSTATPH
имена отчетов вRSDB_PAR
таблице TCOLL.RSHOSTPH
отчет: считывает параметры ядра операционной системы и сохраняет эти данные в таблице PAHI.RSSTATPH
отчет: считывает параметры профиля SAP и сохраняет эти данные в таблице PAHI.RSDB_PAR
отчет: считывает параметры базы данных и сохраняет их в таблице PAHI.
Если задание существует и настроено правильно, дальнейшие шаги не требуются.
Если задание не существует:
Войдите в систему SAP в клиенте 000.
Выполните транзакцию SM36.
В разделе "Имя задания" введите SAP_COLLECTOR_FOR_PERFMONITOR.
Выберите шаг и заполните следующие сведения:
- В разделе "Пользователь" введите DDIC.
- В разделе "Имя программы ABAP" введите RSCOLL00.
Сохраните конфигурацию.
Выберите F3 , чтобы вернуться к предыдущему экрану.
Выберите условие "Пуск", чтобы определить условие запуска.
Выберите "Интерпретация" и выберите поле "Периодическое задание" проверка.
Выберите значения "Период" и выберите "Почасово".
Нажмите кнопку "Сохранить в диалоговом окне", а затем нажмите кнопку "Сохранить " внизу.
Чтобы освободить задание, нажмите кнопку "Сохранить " в верхней части.
Следующие шаги
Теперь среда SAP полностью готова к развертыванию агента соединителя данных. Подготовлена роль и профиль, создается учетная запись пользователя и назначается соответствующий профиль роли, а CR развертываются при необходимости для вашей среды.
Теперь вы готовы включить и настроить аудит SAP для Microsoft Sentinel.