Share via

Настройка авторизации SAP и развертывание необязательных запросов на изменение SAP

  • Статья

В этой статье описывается, как подготовить среду к установке агента SAP, чтобы он смог правильно подключиться к системам SAP. Подготовка включает настройку необходимых авторизации SAP и, при необходимости, развертывание дополнительных запросов на изменение SAP (CR).

  • Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Вехи развертывания

Развертывайте свое решение SAP поэтапно, используя следующую серию статей:

  1. Общие сведения о развертывании

  2. Предварительные условия для развертывания

  3. Работа с решением в нескольких рабочих областях (предварительная версия)

  4. Подготовка среды SAP (текущая статья)

  5. Настройка аудита

  6. Развертывание содержимого решения из концентратора содержимого

  7. Развертывание агента соединителя данных

  8. Настройка решения Microsoft Sentinel для приложений SAP®

  9. Дополнительные этапы развертывания

Настройка роли Microsoft Sentinel

  1. Отправка авторизации ролей из файла /MSFTSEN/SENTINEL_RESPONDER в GitHub.

    При этом создается роль /MSFTSEN/SENTINEL_RESPONDER , которая включает все разрешения, необходимые для получения журналов из систем SAP и выполнения действий реагирования на нарушения атаки.

    Кроме того, создайте роль вручную с соответствующими разрешениями, необходимыми для журналов, которые необходимо принять. Дополнительные сведения см. в разделе "Обязательные разрешения ABAP". В примерах этой процедуры используется имя /MSFTSEN/SENTINEL_RESPONDER .

  2. Следующим шагом является создание активного профиля роли, который будет использоваться Microsoft Sentinel. Запустите транзакцию PFCG:

    На экране SAP Easy Access введите PFCG поле в левом верхнем углу экрана и нажмите клавишу ВВОД.

  3. В окне Role Maintenance (Обслуживание роли) введите имя роли /MSFTSEN/SENTINEL_RESPONDER в поле Role (Роль) и нажмите кнопку Change (Изменить; имеет вид карандаша).

  4. В появившемся окне Change Roles (Изменение ролей) выберите вкладку Authorizations (Авторизации).

  5. На вкладке Authorizations выберите Change Authorization Data (Изменить данные авторизации).

  6. Во всплывающем окне Information (Сведения) прочтите сообщение и нажмите на зеленый флажок для подтверждения.

  7. В окне Change Role: Authorizations (Изменение роли: авторизации) выберите Generate (Создать).

    Убедитесь, что значение поля Status (Состояние) изменилось с Unchanged (Без изменений) на generated (создано).

  8. Нажмите кнопку "Назад" (слева от логотипа SAP вверху экрана).

  9. Вернитесь в окно Change Roles и убедитесь, что на вкладке Authorizations отображается зеленое поле, а затем выберите Save (Сохранить).

Создание пользователя

Для решения Microsoft Sentinel для приложений SAP требуется учетная запись пользователя для подключения к системе SAP®. Выполните следующие инструкции, чтобы создать учетную запись пользователя и назначить ей роль, созданную на предыдущем этапе.

В примерах, приведенных здесь, мы используем имя роли /MSFTSEN/SENTINEL_RESPONDER.

  1. Выполните транзакцию SU01:

    На экране SAP Easy Access введите SU01 поле в левом верхнем углу экрана и нажмите клавишу ВВОД.

  2. На экране User Maintenance: Initial Screen (Обслуживание пользователей: начальный экран) введите имя нового пользователя в поле User (Пользователь) и в панели кнопок выберите Create Technical User (Создать технического пользователя).

  3. На экране Maintain Users (Обслуживание пользователей) выберите System (Системный) в раскрывающемся списке User Type (Тип пользователя). Создайте и введите сложный пароль в полях New Password (Новый пароль) и Repeat Password (Подтверждение пароля), а затем перейдите на вкладку Roles (Роли).

  4. На вкладке Roles в разделе Role Assignments (Назначения ролей) введите полное имя роли (в нашем примере — /MSFTSEN/SENTINEL_RESPONDER) и нажмите клавишу ВВОД.

    Нажав ВВОД, убедитесь, что правая часть раздела Role Assignments заполняется данными, такими как Change Start Date (Изменение даты начала).

  5. Перейдите на вкладку Profiles (Профили) и убедитесь, что в разделе Assigned Authorization Profiles (Назначенные профили авторизации) отображается профиль для роли, а затем выберите Save.

Требуемые разрешения ABAP

В этом разделе перечислены авторизации ABAP, необходимые для обеспечения правильности получения журналов из систем SAP и выполнения действий реагирования на нарушение атак, используемых соединителем данных SAP в Microsoft Sentinel.

Необходимые авторизации перечислены здесь по их назначению. Вам потребуются только авторизации, перечисленные для типов журналов, которые вы хотите перенести в Microsoft Sentinel и действия реагирования на нарушения атаки, которые вы хотите применить.

Совет

Чтобы создать роль со всеми необходимыми разрешениями, загрузите авторизацию роли из файла /MSFTSEN/SENTINEL_RESPONDER .

Кроме того, чтобы включить только извлечение журналов без действий реагирования на атаки, разверните SAP NPLK900271 CR в системе SAP для создания роли /MSFTSEN/SENTINEL_CONNECTOR или загрузки авторизации ролей из файла /MSFTSEN/SENTINEL_CONNECTOR.

Объект авторизации Поле значение
Все журналы
S_RFC RFC_TYPE Модуль функции
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Выполнить
S_TCODE TCD SM51
S_TABU_NAM ACTVT Отображать
S_TABU_NAM TABLE T000
Необязательно. Только если реализовано решение Sentinel CR
S_RFC RFC_NAME /MSFTSEN/*
Журнал приложений ABAP
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Рабочая область
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Отображать
Журнал изменений документов ABAP
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS
Журнал CR ABAP
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Отображать
Журнал данных таблицы базы данных ABAP
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER
Журнал заданий ABAP
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Рабочая область
S_XMI_PROD INTERFACE XBP
Журналы очереди печати ABAP
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (использование транзакций с пакетом обновления 01 (SP01), все системы)
Журнал ABAP Workflow
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD
Журнал аудита безопасности ABAP
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (проверка подлинности на основе аудита).
S_SAL SAL_ACTVT SHOW_LOG (оценка журнала на основе файлов).
S_USER_GRP КЛАССИЧЕСКАЯ… SUPER
S_USER_GRP ACTVT Отображать
S_USER_GRP КЛАССИЧЕСКАЯ… SUPER
S_USER_GRP ACTVT Заблокировать
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Рабочая область
S_XMI_PROD INTERFACE XAL
Данные пользователя
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04
Журнал конфигурации
S_TABU_NAM TABLE PAHI
Данные SNC
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL
Действия реагирования на нарушения атаки
S_RFC RFC_TYPE Модуль функции
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
В отличие от его имени, эта функция не удаляет пользователей, но заканчивает активный сеанс пользователя.
S_USER_GRP КЛАССИЧЕСКАЯ… *
Рекомендуется заменить класс S_USER_GRP соответствующими классами в организации, представляющими пользователей диалоговых окон.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

При необходимости можно удалить роль пользователя и необязательный cr, установленный в системе ABAP.

Развертывание необязательных CR

В этом разделе представлено пошаговое руководство по развертыванию дополнительных дополнительных необязательных CR. Он предназначен для инженеров SOC или разработчиков, которые могут не обязательно быть экспертами SAP.

Опытные администраторы SAP, знакомые с процессом развертывания CR, могут предпочесть получить соответствующие CR непосредственно из раздела шагов проверки среды SAP руководства и развернуть их.

Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP.

В следующей таблице описаны необязательные CR, доступные для развертывания:

CR Description
NPLK900271 Создает и настраивает пример роли с базовыми авторизациями, необходимыми для подключения соединителя данных SAP к системе SAP. Кроме того, можно загрузить авторизацию непосредственно из файла или вручную определить роль в соответствии с журналами, которые необходимо принять.

Дополнительные сведения см. в разделе "Обязательные авторизации ABAP" и "Создание" и настройка роли (обязательно).
NPLK900201 или NPLK900202 Извлекает дополнительные сведения из SAP. Выберите один из этих CR в соответствии с версией SAP.

Предварительные требования для развертывания CR

  1. Убедитесь, что вы скопировали сведения о системной версии SAP, идентификаторе системы (SID),номере системы, номере клиента, IP-адресе, имени администратора и пароле перед началом процесса развертывания. В примере далее предполагается следующее.

    • Версия системы SAP:SAP ABAP Platform 1909 Developer edition
    • SID:A4H
    • Номер системы:00
    • Номер клиента:001
    • IP-адрес:192.168.136.4
    • Пользователь с правами администратора:a4hadm, однако SSH-подключение к системе SAP устанавливается с учетными данными пользователя root.

  2. Убедитесь, что вы знаете, какой cr вы хотите развернуть.

  3. Если вы развертываете NPLK900202 CR для получения дополнительных сведений, убедитесь, что вы установили соответствующую заметку SAP.

Подготовка файлов

  1. Войдите в систему SAP по протоколу SSH.

  2. Перенесите файлы CR в систему SAP или скачайте файлы непосредственно в систему SAP из запроса SSH. Используйте следующие команды:

    • Скачивание NPLK900271

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL

      Кроме того, эти авторизации можно загрузить непосредственно из файла.

    • Скачивание NPLK900202

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL

    • Скачивание NPLK900201

      wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL

    Каждый cr состоит из двух файлов, начиная с K и одного с R.

  3. Измените права владения файлами, назначив их пользователю <sid>adm и группе sapsys. (Подставьте свой ИД системы SAP вместо <sid>.)

    chown <sid>adm:sapsys *.NPL

    В нашем примере:

    chown a4hadm:sapsys *.NPL

  4. Скопируйте файлы управления (начинающиеся на K) в папку /usr/sap/trans/cofiles. При копировании сохраните разрешения, используя команду cp с параметром -p.

    cp -p K*.NPL /usr/sap/trans/cofiles/

  5. Скопируйте файлы данных (начинающиеся на R) в папку /usr/sap/trans/data. При копировании сохраните разрешения, используя команду cp с параметром -p.

    cp -p R*.NPL /usr/sap/trans/data/

Импорт запросов

  1. Запустите приложение SAP Logon и войдите в консоль SAP GUI.

  2. Запустите транзакцию STMS_IMPORT:

    На экране SAP Easy Access введите STMS_IMPORT поле в левом верхнем углу экрана и нажмите клавишу ВВОД.

    Снимок экрана: запуск транзакции импорта STMS.

  3. В появившемся окне Import Queue (Очередь импорта) выберите More > Extras > Other Requests > Add (Дополнительно > Дополнения > Прочие запросы > Добавить).

    Снимок экрана: добавление очереди импорта.

  4. В появившемся всплывающем окне Add Transport Requests to Import Queue (Добавление запросов транспортировки в очередь импорта) выберите поле Transp.Request.

  5. Откроется окно Transport Requests (Запросы транспортировки) со списком запросов на изменение, которые можно развернуть. Выберите запрос и нажмите на кнопку с зеленым флажком.

  6. Вернитесь в окно "Добавить запрос транспорта для импорта очереди", нажмите кнопку "Продолжить" (зеленый проверка марк) или нажмите клавишу ВВОД.

  7. В диалоговом окне подтверждения Add Transport Request (Добавление запроса транспортировки) выберите Yes (Да).

  8. Если вы планируете развернуть дополнительные CR, повторите процедуру в предыдущих пяти шагах для оставшихся CR.

  9. В окне Очередь импорта выберите один раз соответствующий запрос транспортировки, а затем нажмите F9 или щелкните значок Выбрать запрос/Снять выбор.

  10. Если вы добавили в развертывание оставшиеся запросы транспорта, повторите шаг 9.

  11. Щелкните значок "Запросы на импорт":

    Снимок экрана: импорт всех запросов.

  12. В окне Start Import (Запуск импорта) выберите поле Target Client (Целевой клиент).

  13. Откроется диалоговое окно "Входная справка". Выберите номер клиента, который должен развернуть запросы на изменение (в нашем примере это 001), а затем нажмите на зеленый флажок для подтверждения.

  14. Вернитесь в окно Start Import, выберите вкладку Options (Параметры), установите флажок Ignore Invalid Component Version (Игнорировать недопустимую версию компонента) и нажмите на зеленый флажок для подтверждения.

    Снимок экрана: окно запуска импорта.

  15. В диалоговом окне подтверждения Start Import нажмите Yes, чтобы подтвердить импорт.

  16. Вернитесь в окно Import Queue, выберите Refresh (Обновить) и дождитесь, чтобы операция импорта завершилась, а очередь отображалась пустой.

  17. Чтобы проверить состояние импорта, в окне Import Queue выберите More > Go To > Import History (Дополнительно > Перейти > Журнал импорта).

    Снимок экрана: журнал импорта.

  18. Если вы развернули NPLK900202 CR, ожидается, что появится предупреждение. Выберите запись и убедитесь, что отображаются предупреждения типа "Table <имя таблицы> was activated" (Активирована таблица <имя таблицы>).

    CR и версии на следующих снимках экрана могут измениться в соответствии с установленной версией CR.

    Снимок экрана: отображение состояния импорта.

    Снимок экрана: отображается предупреждение об импорте.

Убедитесь, что таблица PAHI (журнал системных, баз данных и параметров SAP) обновляется регулярно.

Таблица SAP PAHI содержит данные по журналу системы SAP, базы данных и параметров SAP. В некоторых случаях решение Microsoft Sentinel для приложений SAP не может отслеживать таблицу SAP® PAHI через регулярные интервалы, из-за отсутствия или сбоя конфигурации (см . примечание SAP с дополнительными сведениями об этой проблеме). Важно обновить таблицу PAHI и часто отслеживать ее, чтобы решение Microsoft Sentinel для приложений SAP® могло оповещать о подозрительных действиях, которые могут произойти в любое время в течение дня.

Узнайте больше о том, как решение Microsoft Sentinel для приложений SAP® отслеживает подозрительные изменения конфигурации в параметрах безопасности.

Примечание.

Для оптимальных результатов в файле systemconfig.ini компьютера в разделе [ABAP Table Selector] включите оба PAHI_FULL параметра и PAHI_INCREMENTAL параметры.

Чтобы убедиться, что таблица PAHI обновляется через регулярные интервалы:

  1. Проверьте, планируется ли задание, основанное на программе RSCOLL00, и выполняется ли SAP_COLLECTOR_FOR_PERFMONITOR он почасово, пользователем DDIC в клиенте 000.
  2. Проверьте, поддерживаются ли RSHOSTPHRSSTATPH имена отчетов в RSDB_PAR таблице TCOLL.
    • RSHOSTPH отчет: считывает параметры ядра операционной системы и сохраняет эти данные в таблице PAHI.
    • RSSTATPH отчет: считывает параметры профиля SAP и сохраняет эти данные в таблице PAHI.
    • RSDB_PAR отчет: считывает параметры базы данных и сохраняет их в таблице PAHI.

Если задание существует и настроено правильно, дальнейшие шаги не требуются.

Если задание не существует:

  1. Войдите в систему SAP в клиенте 000.

  2. Выполните транзакцию SM36.

  3. В разделе "Имя задания" введите SAP_COLLECTOR_FOR_PERFMONITOR.

    Снимок экрана: добавление задания, используемого для мониторинга таблицы SAP PAHI.

  4. Выберите шаг и заполните следующие сведения:

    • В разделе "Пользователь" введите DDIC.
    • В разделе "Имя программы ABAP" введите RSCOLL00.

  5. Сохраните конфигурацию.

    Снимок экрана: определение пользователя для задания, используемого для мониторинга таблицы SAP PAHI.

  6. Выберите F3 , чтобы вернуться к предыдущему экрану.

  7. Выберите условие "Пуск", чтобы определить условие запуска.

  8. Выберите "Интерпретация" и выберите поле "Периодическое задание" проверка.

    Снимок экрана: определение задания, используемого для отслеживания таблицы SAP PAHI периодически.

  9. Выберите значения "Период" и выберите "Почасово".

  10. Нажмите кнопку "Сохранить в диалоговом окне", а затем нажмите кнопку "Сохранить " внизу.

    Снимок экрана: определение задания, используемого для отслеживания таблицы SAP PAHI по часам.

  11. Чтобы освободить задание, нажмите кнопку "Сохранить " в верхней части.

    Снимок экрана: освобождение задания, используемого для отслеживания таблицы SAP PAHI по часам.

Следующие шаги

Теперь среда SAP полностью готова к развертыванию агента соединителя данных. Подготовлена роль и профиль, создается учетная запись пользователя и назначается соответствующий профиль роли, а CR развертываются при необходимости для вашей среды.

Теперь вы готовы включить и настроить аудит SAP для Microsoft Sentinel.

Включение и настройка аудита SAP для Microsoft Sentinel