SAP veri bağlayıcısı aracısı kapsayıcısı için Microsoft Sentinel'i uzman seçenekleriyle dağıtma
Bu makalede uzman, özel veya el ile yapılandırma seçenekleriyle SAP veri bağlayıcısı aracı kapsayıcısı için Microsoft Sentinel'i dağıtma ve yapılandırma yordamları sağlanır. Tipik dağıtımlar için bunun yerine portalı kullanmanızı öneririz.
Bu makaledeki içerik SAP BASIS ekiplerinize yöneliktir. Daha fazla bilgi için bkz . Komut satırından SAP veri bağlayıcısı aracısı dağıtma.
Önkoşullar
- Başlamadan önce sisteminizin ana SAP veri bağlayıcısı önkoşulları belgesinde belirtilen önkoşullarla uyumlu olduğundan emin olun.
SAP veri bağlayıcı aracısı Azure Key Vault gizli dizilerini el ile ekleme
Anahtar kasanıza SAP sistem gizli dizilerini el ile eklemek için aşağıdaki betiği kullanın. Yer tutucuları kendi sistem kimliğiniz ve eklemek istediğiniz kimlik bilgileriyle değiştirdiğinizden emin olun:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Daha fazla bilgi için Hızlı Başlangıç: Azure CLI ve az keyvault secret CLI kullanarak anahtar kasası oluşturma belgelerine bakın.
Uzman /özel yükleme gerçekleştirme
Bu yordamda, şirket içi yükleme gibi bir uzman veya özel yükleme kullanarak CLI aracılığıyla SAP veri bağlayıcısı için Microsoft Sentinel'in nasıl dağıtılacağı açıklanır.
Önkoşullar: Azure Key Vault, kimlik doğrulama kimlik bilgilerinizi ve yapılandırma verilerinizi depolamak için önerilen yöntemdir. Bu yordamı yalnızca SAP kimlik bilgilerinizle hazır bir anahtar kasasına sahip olduktan sonra gerçekleştirmenizi öneririz.
SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtmak için:
SAP Launchpad sitesinde>SAP NW RFC SDK SAP NW RFC SDK> 7.50>nwrfc750X_X-xxxxxxx.zip en son SAP NW RFC SDK'sını indirin ve veri bağlayıcısı aracı makinenize kaydedin.
Not
SDK'ya erişmek için SAP kullanıcı oturum açma bilgilerinize ihtiyacınız olacak ve işletim sisteminizle eşleşen SDK'yı indirmeniz gerekir.
LINUX ON X86_64 seçeneğini belirlediğinizden emin olun.
Aynı makinenizde anlamlı bir adla yeni bir klasör oluşturun ve SDK zip dosyasını yeni klasörünüzde kopyalayın.
Microsoft Sentinel çözümü GitHub deposunu şirket içi makinenize kopyalayın ve SAP uygulamaları çözümü için Microsoft Sentinel çözümünü systemconfig.json dosyasını yeni klasörünüzde kopyalayın.
Örneğin:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Ekli açıklamaları kılavuz olarak kullanarak systemconfig.json dosyasını gerektiği gibi düzenleyin.
systemconfig.json dosyasındaki yönergeleri kullanarak aşağıdaki yapılandırmaları tanımlayın:
- systemconfig.json dosyasındaki yönergeleri kullanarak Microsoft Sentinel'e almak istediğiniz günlükler.
- Denetim günlüklerine kullanıcı e-posta adreslerinin eklenip eklenmeyeceği
- Başarısız API çağrılarının yeniden denenip denenmeyeceği
- Cexal denetim günlüklerinin dahil edilip edilmeyeceği
- Özellikle büyük ayıklamalar için veri ayıklama işlemleri arasında bir zaman aralığı beklenip beklenmeyeceği
Daha fazla bilgi için bkz . SAP veri bağlayıcısı için Microsoft Sentinel'i el ile yapılandırma ve Microsoft Sentinel'e gönderilen SAP günlüklerini tanımlama.
Yapılandırmanızı test etmek için kullanıcı ve parolayı doğrudan systemconfig.json yapılandırma dosyasına eklemek isteyebilirsiniz. Kimlik bilgilerinizi depolamak için Azure Key Vault kullanmanızı önersek de, bir env.list dosyası, Docker gizli dizileri kullanabilir veya kimlik bilgilerinizi doğrudan systemconfig.json dosyasına ekleyebilirsiniz.
Daha fazla bilgi için bkz . SAL günlükleri bağlayıcı yapılandırmaları.
Güncelleştirilmiş systemconfig.json dosyanızı makinenizdeki sapcon dizinine kaydedin.
Kimlik bilgileriniz için bir env.list dosyası kullanmayı seçtiyseniz, gerekli kimlik bilgileriyle geçici bir env.list dosyası oluşturun. Docker kapsayıcınız doğru şekilde çalıştırıldıktan sonra bu dosyayı sildiğinizden emin olun.
Not
Aşağıdaki betik, belirli bir ABAP sistemine bağlanan her Docker kapsayıcısına sahiptir. Ortamınız için betiğinizi gerektiği gibi değiştirin.
Çalıştır:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################SAP veri bağlayıcısı yüklü olarak önceden tanımlanmış Docker görüntüsünü indirin ve çalıştırın. Çalıştır:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Docker kapsayıcısının düzgün çalıştığını doğrulayın. Çalıştır:
docker logs –f sapcon-[SID]SAP uygulamaları için Microsoft Sentinel çözümünü dağıtmaya devam edin.
Çözümün dağıtılması SAP veri bağlayıcısının Microsoft Sentinel'de görüntülenmesini sağlar ve SAP çalışma kitabı ve analiz kurallarını dağıtır. İşiniz bittiğinde SAP izleme listelerinizi el ile ekleyin ve özelleştirin.
Daha fazla bilgi için bkz . İçerik hub'ından SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma.
SAP veri bağlayıcısı için Microsoft Sentinel'i el ile yapılandırma
CLI aracılığıyla dağıtıldığında SAP veri bağlayıcısı için Microsoft Sentinel, dağıtım yordamının bir parçası olarak SAP veri bağlayıcı makinenize kopyaladığınız systemconfig.json dosyasında yapılandırılır. Veri bağlayıcısı ayarlarını el ile yapılandırmak için bu bölümdeki içeriği kullanın.
Daha fazla bilgi için bkz . Systemconfig.json dosya başvurusu veya eski sistemler için Systemconfig.ini dosya başvurusu .
Microsoft Sentinel'e gönderilen SAP günlüklerini tanımlama
Varsayılan systemconfig.json dosyası yerleşik analizleri, SAP kullanıcı yetkilendirme ana veri tablolarını, kullanıcılar ve ayrıcalık bilgilerini ve SAP yatay üzerindeki değişiklikleri ve etkinlikleri izleme özelliğini kapsayacak şekilde yapılandırılır.
Varsayılan yapılandırma, ihlal sonrası araştırmalara ve genişletilmiş avlanma yeteneklerine izin vermek için daha fazla günlük bilgisi sağlar. Ancak, özellikle iş süreçleri mevsimsel olma eğiliminde olduğundan yapılandırmanızı zaman içinde özelleştirmek isteyebilirsiniz.
Microsoft Sentinel'e gönderilen günlükleri tanımlamak üzere systemconfig.json dosyasını yapılandırmak için aşağıdaki kod kümelerini kullanın.
Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümü çözüm günlükleri başvurusu (genel önizleme).
Varsayılan profili yapılandırma
Aşağıdaki kod varsayılan yapılandırmayı yapılandırıyor:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Algılama odaklı profil yapılandırma
Analiz kurallarının çoğunun iyi performans göstermesini sağlamak için gereken SAP ortamının temel güvenlik günlüklerini içeren algılama odaklı bir profil yapılandırmak için aşağıdaki kodu kullanın. İhlal sonrası araştırmalar ve avcılık özellikleri sınırlıdır.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
SAP uygulamaları için Microsoft Sentinel çözümünün SAP yatay üzerindeki etkinlikleri analiz etmek için kullandığı en önemli veri kaynağı olan SAP Güvenlik Denetim Günlüğü'nü içeren en düşük profili yapılandırmak için aşağıdaki kodu kullanın. Bu günlüğün etkinleştirilmesi, herhangi bir güvenlik kapsamı sağlamak için en düşük gereksinimdir.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
SAL günlükleri bağlayıcı ayarları
Microsoft Sentinel'e alınan SAP günlükleri için diğer ayarları tanımlamak üzere SAP veri bağlayıcısı için Microsoft Sentinel systemconfig.json dosyasına aşağıdaki kodu ekleyin.
Daha fazla bilgi için bkz . Uzman/ özel SAP veri bağlayıcısı yüklemesi gerçekleştirme.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
Bu bölüm aşağıdaki parametreleri yapılandırmanızı sağlar:
| Parametre adı | Açıklama |
|---|---|
| extractuseremail | Kullanıcı e-posta adreslerinin denetim günlüklerine eklenip eklenmeyeceğini belirler. |
| apiretry | API çağrılarının yük devretme mekanizması olarak yeniden denenip denenmeyeceğini belirler. |
| auditlogforcexal | Sistemin SAP BASIS sürüm 7.4 gibi SAL olmayan sistemler için denetim günlüklerinin kullanılmasını zorlayıp zorlamadığını belirler. |
| auditlogforcelegacyfiles | Sistemin, SAP BASIS sürüm 7.4 ve daha düşük düzeltme eki düzeyleri gibi eski sistem özellikleriyle denetim günlüklerinin kullanılmasını zorlayıp zorlamadığını belirler. |
| timechunk | Sistemin, veri ayıklama işlemleri arasında belirli bir süre için belirli bir süre beklediğini belirler. Beklenen çok miktarda veriniz varsa bu parametreyi kullanın. Örneğin, ilk 24 saatinizdeki ilk veri yükü sırasında, her veri ayıklamaya yeterli süre tanımak için veri ayıklama işleminin yalnızca 30 dakikada bir çalıştırılmasını isteyebilirsiniz. Böyle durumlarda bu değeri 30 olarak ayarlayın. |
ABAP SAP Denetim örneğini yapılandırma
Hem NW RFC hem de SAP Denetimi Web Hizmeti tabanlı günlükler dahil olmak üzere tüm ABAP günlüklerini Microsoft Sentinel'e almak için aşağıdaki ABAP SAP Denetimi ayrıntılarını yapılandırın:
| Ayar | Açıklama |
|---|---|
| javaappserver | SAP Denetimi ABAP sunucu konağınızı girin. Örneğin: contoso-erp.appserver.com |
| javainstance | SAP Denetimi ABAP örnek numaranızı girin. Örneğin: 00 |
| abaptz | SAP Denetimi ABAP sunucunuzda yapılandırılmış saat dilimini GMT biçiminde girin. Örneğin: GMT+3 |
| abapseverity | ABAP günlüklerini Microsoft Sentinel'e almak istediğiniz en düşük, kapsayıcı önem düzeyini girin. Değerler şunlardır: - 0 = Tüm günlükler - 1 = Uyarı - 2 = Hata |
Java SAP Control örneğini yapılandırma
SAP Denetimi Web Hizmeti günlüklerini Microsoft Sentinel'e almak için aşağıdaki JAVA SAP Control örneği ayrıntılarını yapılandırın:
| Parametre | Açıklama |
|---|---|
| javaappserver | SAP Denetimi Java sunucu konağınızı girin. Örneğin: contoso-java.server.com |
| javainstance | SAP Denetimi ABAP örnek numaranızı girin. Örneğin: 10 |
| javatz | SAP Control Java sunucunuzda yapılandırılmış saat dilimini GMT biçiminde girin. Örneğin: GMT+3 |
| javaseverity | Web Hizmeti günlüklerini Microsoft Sentinel'e almak istediğiniz en düşük, kapsayıcı önem düzeyini girin. Değerler şunlardır: - 0 = Tüm günlükler - 1 = Uyarı - 2 = Hata |
Kullanıcı Yöneticisi veri toplamayı yapılandırma
Kullanıcılarınız ve rol yetkilendirmelerinizle ilgili ayrıntıları içeren tabloları doğrudan SAP sisteminizden almak için, systemconfig.json dosyanızı her tablo için bir True/False deyimle yapılandırın.
Örneğin:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Daha fazla bilgi için bkz . Doğrudan SAP sistemlerinden alınan tabloların başvurusu.
İlgili içerik
Daha fazla bilgi için bkz.