Параметры экспертной конфигурации, локальное развертывание и источники журналов SAPControl
В этой статье описывается, как развернуть соединитель данных Microsoft Sentinel для SAP в экспертном или пользовательском процессе, таком как использование локального компьютера и Azure Key Vault для хранения учетных данных.
Примечание
Процесс развертывания соединителя данных Microsoft Sentinel для SAP по умолчанию заключается в использовании виртуальной машины Azure. Это также и рекомендуемый метод. Эта статья предназначена для опытных пользователей.
Предварительные требования
Базовые требования к развертыванию соединителя данных Microsoft Sentinel для SAP одинаковы и не зависят от метода развертывания.
Перед началом убедитесь, что ваша система соответствует предварительным требованиям, задокументированным в основном документе о предварительных требованиях к соединителю данных SAP.
Создание хранилища ключей Azure
Создайте хранилище ключей Azure, которое можно выделить в решении Microsoft Sentinel для соединителя данных приложений SAP®.
Выполните следующую команду, чтобы создать хранилище ключей Azure и предоставить доступ субъекту-службе Azure:
kvgp=<KVResourceGroup>
kvname=<keyvaultname>
spname=<sp-name>
kvname=<keyvaultname>
# Optional when Azure MI not enabled - Create sp user for AZ cli connection, save details for env.list file
az ad sp create-for-rbac –name $spname --role Contributor --scopes /subscriptions/<subscription_id>
SpID=$(az ad sp list –display-name $spname –query “[].appId” --output tsv
#Create key vault
az keyvault create \
--name $kvname \
--resource-group $kvgp
# Add access to SP
az keyvault set-policy --name $kvname --resource-group $kvgp --object-id $spID --secret-permissions get list set
Дополнительные сведения см. в разделе Краткое руководство. Создание хранилища ключей с помощью Azure CLI.
Добавление секретов Azure Key Vault
Чтобы добавить секреты Azure Key Vault, выполните следующий скрипт с собственным идентификатором системы и учетными данными, которые вы хотите добавить.
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Дополнительные сведения см. в описании команды az keyvault secret в документации по CLI.
Выполнение экспертной или выборочной установки
В этой процедуре описывается, как развернуть соединитель данных Microsoft Sentinel для SAP с помощью экспертной или выборочной установки, например при установке в локальной среде.
Рекомендуется выполнить эту процедуру после того, как хранилище ключей будет готово к работе с учетными данными SAP.
Чтобы развернуть соединитель данных Microsoft Sentinel для SAP, выполните следующие действия.
На локальном компьютере скачайте последнюю версию пакета SDK SAP NW RFC: сайт панели запуска SAP>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip.
Примечание
Для доступа к пакету SDK потребуются данные для входа пользователя SAP, и вам необходимо загрузить пакет SDK, соответствующий вашей операционной системе.
Обязательно выберите вариант LINUX ON X86_64.
На локальном компьютере создайте новую папку с понятным именем и скопируйте ZIP-файл пакета SDK в эту папку.
Клонируйте репозиторий GitHub решения Microsoft Sentinel на локальный компьютер и скопируйте решение Microsoft Sentinel для приложений SAP® systemconfig.ini файл в новую папку.
Пример:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.ini cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
При необходимости измените файл systemconfig.ini, руководствуясь комментариями в файле. Дополнительные сведения см. в разделе Настройка соединителя данных Microsoft Sentinel для SAP вручную.
Чтобы проверить конфигурацию, вы можете добавить пользователя и пароль непосредственно в файл конфигурации systemconfig.ini. Хотя для хранения учетных данных рекомендуется использовать Azure Key Vault, вы также можете использовать файл env.list, секреты Docker или добавить свои учетные данные непосредственно в файл systemconfig.ini.
Укажите журналы, которые вы хотите принять в Microsoft Sentinel, с помощью инструкций в файле systemconfig.ini. Например, см. раздел Определение журналов SAP, отправляемых в Microsoft Sentinel.
Определите следующие конфигурации, используя инструкции в файле systemconfig.ini.
- Следует ли включать в журналы аудита адреса электронной почты пользователей
- Следует ли повторять неудачные вызовы API
- Следует ли включать журналы аудита cexal
- Следует ли ожидать некоторое время между извлечениями данных, особенно в случае больших извлечений
Дополнительные сведения см. в разделе Конфигурации соединителей для журналов SAL.
Сохраните обновленный файл systemconfig.ini в каталоге sapcon на своем компьютере.
Если вы решили использовать для своих учетных данных файл env.list, создайте временный файл env.list с необходимыми учетными данными. Проверив правильность работы контейнера Docker, не забудьте удалить этот файл.
Примечание
В следующем скрипте каждый контейнер Docker подключается к определенной системе ABAP. Измените этот скрипт для своей среды.
Выполните команду:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET SENTINEL WORKSPACE id> LOGWSPUBLICKEY=<SET SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################
Скачайте предварительно определенный образ Docker с установленным соединителем данных SAP и запустите его. Выполните команду:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>
Убедитесь, что контейнер Docker работает правильно. Выполните команду:
docker logs –f sapcon-[SID]
Продолжайте развертывание решения Microsoft Sentinel для приложений SAP®.
Развертывание этого решения позволяет соединителю данных SAP отображаться в Microsoft Sentinel и развертывать книгу SAP и правила аналитики. Когда все будет готово, вручную добавьте и настройте свои списки отслеживания SAP.
Дополнительные сведения см. в статье Развертывание решения Microsoft Sentinel для приложений® SAP из центра содержимого.
Настройка соединителя данных Microsoft Sentinel для SAP вручную
Соединитель данных Microsoft Sentinel для SAP настраивается в файле systemconfig.ini, который вы ранее клонировали на компьютер соединителя данных SAP в рамках процедуры развертывания.
Следующий код демонстрирует пример файла systemconfig.ini.
[Secrets Source]
secrets = '<DOCKER_RUNTIME/AZURE_KEY_VAULT/DOCKER_SECRETS/DOCKER_FIXED>'
keyvault = '<SET_YOUR_AZURE_KEYVAULT>'
intprefix = '<SET_YOUR_PREFIX>'
[ABAP Central Instance]
##############################################################
# Define the following values according to your server configuration.
ashost = <SET_YOUR_APPLICATION_SERVER_HOST>
mshost = <SET_YOUR_MESSAGE_SERVER_HOST> - #In case different then App
##############################################################
group = <SET_YOUR_LOGON_GROUP>
msserv = <SET_YOUR_MS_SERVICE> - #Required only if the message server service is not defined as sapms<SYSID> in /etc/services
sysnr = <SET_YOUR_SYS_NUMBER>
user = <SET_YOUR_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
passwd = <SET_YOUR_PASSWORD>
snc_partnername = <SET_YOUR_SNC_PARTNER_NAME>
snc_lib = <SET_YOUR_SNC_LIBRARY_PATH>
x509cert = <SET_YOUR_X509_CERTIFICATE>
##############################################################
sysid = <SET_YOUR_SYSTEM_ID>
client = <SET_YOUR_CLIENT>
[Azure Credentials]
loganalyticswsid = <SET_YOUR_LOG_ANALYTICS_WORKSPACE_ID>
publickey = <SET_YOUR_PUBLIC_KEY>
[File Extraction ABAP]
osuser = <SET_YOUR_SAPADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
ospasswd = <SET_YOUR_SAPADM_PASS>
x509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
appserver = <SET_YOUR_SAPCTRL_SERVER IP OR FQDN>
instance = <SET_YOUR_SAP_INSTANCE NUMBER, example 10>
abapseverity = <SET_ABAP_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
abaptz = <SET_ABAP_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use abaptz = GMT+12>
[File Extraction JAVA]
javaosuser = <SET_YOUR_JAVAADM_LIKE_USER>
##############################################################
# Enter your password OR your X509 SNC parameters
javaospasswd = <SET_YOUR_JAVAADM_PASS>
javax509pkicert = <SET_YOUR_X509_PKI_CERTIFICATE>
##############################################################
javaappserver = <SET_YOUR_JAVA_SAPCTRL_SERVER IP ADDRESS OR FQDN>
javainstance = <SET_YOUR_JAVA_SAP_INSTANCE for example 10>
javaseverity = <SET_JAVA_SEVERITY 0 = All logs ; 1 = Warning ; 2 = Error>
javatz = <SET_JAVA_TZ --Use ONLY GMT FORMAT-- example - For OS Timezone = NZST use javatz = GMT+12>
Определение журналов SAP, отправляемых в Microsoft Sentinel
Добавьте следующий код в решение Microsoft Sentinel для приложений SAP® systemconfig.ini файл, чтобы определить журналы, отправляемые в Microsoft Sentinel.
Дополнительные сведения см. в справочнике по журналам решений microsoft Sentinel для приложений SAP® (общедоступная предварительная версия).
##############################################################
# Enter True OR False for each log to send those logs to Microsoft Sentinel
[Logs Activation Status]
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
##############################################################
Параметры соединителя журналов SAL
Чтобы определить другие параметры для журналов SAP, отправляемых в Microsoft Sentinel, добавьте в файл systemconfig.ini соединителя данных Microsoft Sentinel для SAP следующий код.
Дополнительные сведения см. в разделе Выполнение экспертной или выборочной установки соединителя данных SAP.
##############################################################
[Connector Configuration]
extractuseremail = True
apiretry = True
auditlogforcexal = False
auditlogforcelegacyfiles = False
timechunk = 60
##############################################################
В этом разделе можно настроить следующие параметры.
Имя параметра | Описание |
---|---|
extractuseremail | Определяет, должны ли адреса электронной почты пользователей включаться в журналы аудита. |
apiretry | Определяет, должны ли повторяться вызовы API в качестве механизма отработки отказа. |
auditlogforcexal | Определяет, будет ли система принудительно использовать журналы аудита для систем, отличных от SAL, таких как SAP BASIS версии 7.4. |
auditlogforcelegacyfiles | Определяет, будет ли система принудительно использовать журналы аудита с устаревшими системными возможностями, например из SAP BASIS версии 7.4 с более низкими уровнями исправлений. |
timechunk | Определяет, должна ли система ожидать определенное количество минут в интервале между извлечениями данных. Используйте этот параметр, если ожидается большой объем данных. Например, во время начальной загрузки данных в течение первых 24 часов может потребоваться, чтобы извлечение данных запускалось только каждые 30 минут, чтобы предоставить каждому извлечению данных достаточно времени. В таком случае задайте значение 30. |
Настройка экземпляра ABAP SAP Control
Чтобы принимать в Microsoft Sentinel все журналы ABAP, включая журналы NW RFC и веб-службы SAP Control, настройте следующие данные ABAP SAP Control:
Параметр | Описание |
---|---|
javaappserver | Введите узел сервера ABAP SAP Control. Пример: contoso-erp.appserver.com |
javainstance | Введите номер экземпляра ABAP SAP Control. Пример: 00 |
abaptz | Введите часовой пояс, настроенный на сервере ABAP SAP Control, в формате GMT. Пример: GMT+3 |
abapseverity | Введите самый низкий уровень серьезности (включительно), для которого вы хотите принимать журналы ABAP в Microsoft Sentinel. К этим значениям относятся следующие. - 0 = все журналы - 1 = предупреждения - 2 = ошибки |
Настройка экземпляра Java SAP Control
Чтобы принимать журналы веб-службы SAP Control в Microsoft Sentinel, настройте следующие сведения об экземпляре Java SAP Control:
Параметр | Описание |
---|---|
javaappserver | Введите узел сервера Java SAP Control. Пример: contoso-java.server.com |
javainstance | Введите номер экземпляра ABAP SAP Control. Пример: 10 |
javatz | Введите часовой пояс, настроенный на сервере Java SAP Control, в формате GMT. Пример: GMT+3 |
javaseverity | Введите самый низкий уровень серьезности (включительно), для которого вы хотите принимать журналы веб-службы в Microsoft Sentinel. К этим значениям относятся следующие. - 0 = все журналы - 1 = предупреждения - 2 = ошибки |
Настройка сбора основных данных о пользователе
Чтобы принимать напрямую из системы SAP таблицы с подробными сведениями о пользователях и авторизации ролей, добавьте в файл systemconfig.ini инструкции True
/False
для каждой таблицы.
Пример:
[ABAP Table Selector]
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
UST04_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
USR21_FULL = True
AGR_1251_FULL = True
ADR6_FULL = True
AGR_TCODES_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
AGR_PROF_FULL = True
PAHI_FULL = True
Дополнительные сведения см. в разделе Таблицы, полученные непосредственно из систем SAP.
Дальнейшие действия
После установки соединителя данных SAP можно добавить связанное с SAP содержимое безопасности.
Дополнительные сведения см. в разделе Развертывание решения SAP.
Дополнительные сведения можно найти в разделе
- Развертывание соединителя данных решения Microsoft Sentinel для приложений SAP® с помощью SNC
- Мониторинг работоспособности системы SAP
- Подробное описание требований SAP к решению Microsoft Sentinel для приложений SAP®
- Справочник по журналам решений Microsoft Sentinel для приложений SAP®
- Решение Microsoft Sentinel для приложений SAP®: справочник по содержимому системы безопасности
- Устранение неполадок с развертыванием решения Microsoft Sentinel для приложений SAP®