Параметры экспертной конфигурации, локальное развертывание и источники журналов SAPControl

Статья
06/19/2023

В этой статье описывается, как развернуть соединитель данных Microsoft Sentinel для SAP в экспертном или пользовательском процессе, таком как использование локального компьютера и Azure Key Vault для хранения учетных данных.

Примечание

Процесс развертывания соединителя данных Microsoft Sentinel для SAP по умолчанию заключается в использовании виртуальной машины Azure. Это также и рекомендуемый метод. Эта статья предназначена для опытных пользователей.

Предварительные требования

Базовые требования к развертыванию соединителя данных Microsoft Sentinel для SAP одинаковы и не зависят от метода развертывания.

Перед началом убедитесь, что ваша система соответствует предварительным требованиям, задокументированным в основном документе о предварительных требованиях к соединителю данных SAP.

Создание хранилища ключей Azure

Создайте хранилище ключей Azure, которое можно выделить в решении Microsoft Sentinel для соединителя данных приложений SAP®.

Выполните следующую команду, чтобы создать хранилище ключей Azure и предоставить доступ субъекту-службе Azure:

kvgp=<KVResourceGroup>

kvname=<keyvaultname>

spname=<sp-name>

kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>

SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv

#Create key vault
az keyvault create \
  --name $kvname \
  --resource-group $kvgp
  
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set

Дополнительные сведения см. в разделе Краткое руководство. Создание хранилища ключей с помощью Azure CLI.

Добавление секретов Azure Key Vault

Чтобы добавить секреты Azure Key Vault, выполните следующий скрипт с собственным идентификатором системы и учетными данными, которые вы хотите добавить.

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Дополнительные сведения см. в описании команды az keyvault secret в документации по CLI.

Выполнение экспертной или выборочной установки

В этой процедуре описывается, как развернуть соединитель данных Microsoft Sentinel для SAP с помощью экспертной или выборочной установки, например при установке в локальной среде.

Рекомендуется выполнить эту процедуру после того, как хранилище ключей будет готово к работе с учетными данными SAP.

Чтобы развернуть соединитель данных Microsoft Sentinel для SAP, выполните следующие действия.

На локальном компьютере скачайте последнюю версию пакета SDK SAP NW RFC: сайт панели запуска SAP>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.

Примечание

Для доступа к пакету SDK потребуются данные для входа пользователя SAP, и вам необходимо загрузить пакет SDK, соответствующий вашей операционной системе.

Обязательно выберите вариант LINUX ON X86_64.
На локальном компьютере создайте новую папку с понятным именем и скопируйте ZIP-файл пакета SDK в эту папку.
Клонируйте репозиторий GitHub решения Microsoft Sentinel на локальный компьютер и скопируйте решение Microsoft Sentinel для приложений SAP® systemconfig.ini файл в новую папку.

Пример:
```
mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
```
При необходимости измените файл systemconfig.ini, руководствуясь комментариями в файле. Дополнительные сведения см. в разделе Настройка соединителя данных Microsoft Sentinel для SAP вручную.

Чтобы проверить конфигурацию, вы можете добавить пользователя и пароль непосредственно в файл конфигурации systemconfig.ini. Хотя для хранения учетных данных рекомендуется использовать Azure Key Vault, вы также можете использовать файл env.list, секреты Docker или добавить свои учетные данные непосредственно в файл systemconfig.ini.
Укажите журналы, которые вы хотите принять в Microsoft Sentinel, с помощью инструкций в файле systemconfig.ini. Например, см. раздел Определение журналов SAP, отправляемых в Microsoft Sentinel.
Определите следующие конфигурации, используя инструкции в файле systemconfig.ini.
- Следует ли включать в журналы аудита адреса электронной почты пользователей
- Следует ли повторять неудачные вызовы API
- Следует ли включать журналы аудита cexal
- Следует ли ожидать некоторое время между извлечениями данных, особенно в случае больших извлечений
Дополнительные сведения см. в разделе Конфигурации соединителей для журналов SAL.
Сохраните обновленный файл systemconfig.ini в каталоге sapcon на своем компьютере.

Если вы решили использовать для своих учетных данных файл env.list, создайте временный файл env.list с необходимыми учетными данными. Проверив правильность работы контейнера Docker, не забудьте удалить этот файл.

Примечание

В следующем скрипте каждый контейнер Docker подключается к определенной системе ABAP. Измените этот скрипт для своей среды.

Выполните команду:

##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET SENTINEL WORKSPACE id>
LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

Скачайте предварительно определенный образ Docker с установленным соединителем данных SAP и запустите его. Выполните команду:

docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

Убедитесь, что контейнер Docker работает правильно. Выполните команду:
```
docker logs –f sapcon-[SID]
```
Продолжайте развертывание решения Microsoft Sentinel для приложений SAP®.

Развертывание этого решения позволяет соединителю данных SAP отображаться в Microsoft Sentinel и развертывать книгу SAP и правила аналитики. Когда все будет готово, вручную добавьте и настройте свои списки отслеживания SAP.

Дополнительные сведения см. в статье Развертывание решения Microsoft Sentinel для приложений® SAP из центра содержимого.

Настройка соединителя данных Microsoft Sentinel для SAP вручную

Соединитель данных Microsoft Sentinel для SAP настраивается в файле systemconfig.ini, который вы ранее клонировали на компьютер соединителя данных SAP в рамках процедуры развертывания.

Следующий код демонстрирует пример файла systemconfig.ini.

[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'

[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>

[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>

[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>

[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY  0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>

Определение журналов SAP, отправляемых в Microsoft Sentinel

Добавьте следующий код в решение Microsoft Sentinel для приложений SAP® systemconfig.ini файл, чтобы определить журналы, отправляемые в Microsoft Sentinel.

Дополнительные сведения см. в справочнике по журналам решений microsoft Sentinel для приложений SAP® (общедоступная предварительная версия).

##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################

Параметры соединителя журналов SAL

Чтобы определить другие параметры для журналов SAP, отправляемых в Microsoft Sentinel, добавьте в файл systemconfig.ini соединителя данных Microsoft Sentinel для SAP следующий код.

Дополнительные сведения см. в разделе Выполнение экспертной или выборочной установки соединителя данных SAP.

##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################

В этом разделе можно настроить следующие параметры.

Имя параметра	Описание
extractuseremail	Определяет, должны ли адреса электронной почты пользователей включаться в журналы аудита.
apiretry	Определяет, должны ли повторяться вызовы API в качестве механизма отработки отказа.
auditlogforcexal	Определяет, будет ли система принудительно использовать журналы аудита для систем, отличных от SAL, таких как SAP BASIS версии 7.4.
auditlogforcelegacyfiles	Определяет, будет ли система принудительно использовать журналы аудита с устаревшими системными возможностями, например из SAP BASIS версии 7.4 с более низкими уровнями исправлений.
timechunk	Определяет, должна ли система ожидать определенное количество минут в интервале между извлечениями данных. Используйте этот параметр, если ожидается большой объем данных. Например, во время начальной загрузки данных в течение первых 24 часов может потребоваться, чтобы извлечение данных запускалось только каждые 30 минут, чтобы предоставить каждому извлечению данных достаточно времени. В таком случае задайте значение 30.

Настройка экземпляра ABAP SAP Control

Чтобы принимать в Microsoft Sentinel все журналы ABAP, включая журналы NW RFC и веб-службы SAP Control, настройте следующие данные ABAP SAP Control:

Параметр	Описание
javaappserver	Введите узел сервера ABAP SAP Control. Пример: `contoso-erp.appserver.com`
javainstance	Введите номер экземпляра ABAP SAP Control. Пример: `00`
abaptz	Введите часовой пояс, настроенный на сервере ABAP SAP Control, в формате GMT. Пример: `GMT+3`
abapseverity	Введите самый низкий уровень серьезности (включительно), для которого вы хотите принимать журналы ABAP в Microsoft Sentinel. К этим значениям относятся следующие. - 0 = все журналы - 1 = предупреждения - 2 = ошибки

Настройка экземпляра Java SAP Control

Чтобы принимать журналы веб-службы SAP Control в Microsoft Sentinel, настройте следующие сведения об экземпляре Java SAP Control:

Параметр	Описание
javaappserver	Введите узел сервера Java SAP Control. Пример: `contoso-java.server.com`
javainstance	Введите номер экземпляра ABAP SAP Control. Пример: `10`
javatz	Введите часовой пояс, настроенный на сервере Java SAP Control, в формате GMT. Пример: `GMT+3`
javaseverity	Введите самый низкий уровень серьезности (включительно), для которого вы хотите принимать журналы веб-службы в Microsoft Sentinel. К этим значениям относятся следующие. - 0 = все журналы - 1 = предупреждения - 2 = ошибки

Настройка сбора основных данных о пользователе

Чтобы принимать напрямую из системы SAP таблицы с подробными сведениями о пользователях и авторизации ролей, добавьте в файл systemconfig.ini инструкции True/False для каждой таблицы.

Пример:

[ABAP Table Selector] 
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True 
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True

Дополнительные сведения см. в разделе Таблицы, полученные непосредственно из систем SAP.

Дальнейшие действия

После установки соединителя данных SAP можно добавить связанное с SAP содержимое безопасности.

Дополнительные сведения см. в разделе Развертывание решения SAP.

Дополнительные сведения можно найти в разделе

Share via