使用 SNC 部署適用於 SAP 的 Microsoft Sentinel 資料連接器
本文說明如何使用安全網路通訊,透過安全連線部署適用於 SAP 的 Microsoft Sentinel 資料連接器,以擷取 NetWeaver/ABAP 記錄。
SAP 資料連接器代理程式通常會使用 RFC 連線連接到 SAP ABAP 伺服器,並以使用者的使用者名稱和密碼進行驗證。
不過,某些環境可能需要透過加密通道進行連線,而用戶端憑證則用於驗證。 在這些情況下,您可以針對此目的使用 SAP 安全網路通訊,且必須依照本文所述採取適當的步驟。
先決條件
- SAP 密碼編譯程式庫下載 SAP 密碼編譯程式庫。
- 網路連線能力。 SNC 會使用連接埠 48xx (其中 xx 是 SAP 執行個體號碼) 連線至 ABAP 伺服器。
- 設定為支援 SNC 驗證的 SAP 伺服器。
- 用於使用者驗證的自我簽署或企業 CA 發行的憑證。
注意
本指南是設定 SNC 的範例案例。 在生產環境中,強烈建議諮詢 SAP 系統管理員以設計部署計畫。
設定您的 SNC 部署
匯出伺服器憑證
登入您的 SAP 用戶端並執行 STRUST 交易。
瀏覽並展開左側窗格中的 [SNC SAPCryptolib] 區段。
選取系統,然後選取 [主旨] 欄位的值。
伺服器憑證資訊將會顯示在頁面底部的 [憑證] 區段中。
選取頁面底部的 [匯出憑證] 按鈕。
在 [匯出憑證] 對話方塊中,選取 [Base64] 作為檔案格式,接著選取 [檔案路徑] 欄位旁邊的雙方塊圖示,然後選取要匯出憑證的檔案名稱,最後選取綠色核取記號以匯出憑證。
匯入您的憑證
本節說明如何匯入憑證,使其受到 ABAP 伺服器信任。 請務必瞭解哪些憑證需要匯入 SAP 系統。 在任何情況下,只需要將憑證的公開金鑰匯入 SAP 系統。
如果使用者憑證是自我簽署的:匯入使用者憑證。
如果使用者憑證是由企業 CA 所發行:匯入企業 CA 憑證。 如果使用根和次級 CA 伺服器,請匯入根和次級 CA 公開憑證。
執行 STRUST 交易。
選取 [顯示]<-[變更]>。
選取頁面底部的 [匯入憑證]。
在 [匯入憑證] 對話方塊中,選取 [檔案路徑] 欄位旁的雙方塊圖示,然後找出憑證。
找出包含憑證的檔案 (公開金鑰),然後選取綠色核取記號以匯入憑證。
憑證資訊會顯示在 [憑證] 區段中。
選取 [新增至憑證清單]。
憑證會出現在 [憑證清單] 區域中。
建立憑證與使用者帳戶的關聯
執行 SM30 交易。
在 [資料表/檢視] 欄位中,輸入 USRACLEXT,然後選取 [維護]。
檢閱輸出,識別目標使用者是否已經有相關聯的 SNC 名稱。 如果沒有,請選取 [新增項目]。
在 [使用者] 欄位中輸入目標使用者的使用者名稱,並在 [SNC 名稱] 欄位中輸入前面加上 p: 的使用者憑證主體名稱,然後選取 [儲存]。
使用憑證授與登入權限
執行 SM30 交易。
在 [資料表/檢視] 欄位中,輸入 VSNCSYSACL,然後選取 [維護]。
確認資料表在出現的參考提示中是跨用戶端。
在 [ACL 項目類型] 欄位的 [決定工作區域:項目] 中輸入類型 E,然後選取綠色核取記號。
檢閱輸出,識別目標使用者是否已經有相關聯的 SNC 名稱。 如果沒有,請選取 [新增項目]。
使用 p: 前置詞輸入您的系統識別碼和使用者憑證主體名稱。
確定已 [啟動 RFC 的項目],以及 [啟動憑證的項目] 核取方塊已標示,然後選取 [儲存]。
將 ABAP 服務提供者的使用者對應至外部使用者識別碼
執行 SM30 交易。
在 [ 資料表/檢視] 欄位中,輸入 VUSREXTID,然後選取 [ 維護]。
在 [ 決定工作區域:輸入] 頁面中,選取 [DN 識別碼類型] 作為 [工作區域]。
輸入下列詳細資料:
- 外部識別碼: CN=Sentinel, C=US
- Seq. No: 000
- 使用者: SENTINEL
選取 [儲存 ] 並 輸入。
設定容器
注意
如果您透過 UI 設定 SAP 資料連線器代理程式容器,請勿執行本節中的步驟。 請改為在 連接器頁面中 繼續設定連接器。
將 libsapcrypto.so 和 sapgenpse 檔案傳送至將建立容器的目標系統。
將用戶端憑證 (私人和公開金鑰) 傳送至將建立容器的目標系統。
用戶端憑證和金鑰可以是 .p12、.pfx 或 Base-64 .crt 和 .key 格式。
將伺服器憑證 (僅限公開金鑰) 傳送至將建立容器的目標系統。
伺服器憑證必須是 Base-64 .crt 格式。
如果用戶端憑證是由企業憑證授權單位單位所發行,請將發行 CA 和根 CA 憑證轉移至將建立容器的目標系統。
從 Microsoft Sentinel GitHub 存放庫擷取啟動指令碼:
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
變更指令碼的權限,使其成為可執行檔:
chmod +x ./sapcon-sentinel-kickstart.sh
執行指令碼,並指定下列基底參數:
./sapcon-sentinel-kickstart.sh \ --use-snc \ --cryptolib <path to sapcryptolib.so> \ --sapgenpse <path to sapgenpse> \ --server-cert <path to server certificate public key> \
如果用戶端憑證採用 .crt/.key 格式,請使用下列參數:
--client-cert <path to client certificate public key> \ --client-key <path to client certificate private key> \
如果用戶端憑證採用 .pfx 或 .p12 格式:
--client-pfx <pfx filename> --client-pfx-passwd <password>
如果用戶端憑證是由企業 CA 所發行,請針對信任鏈結中的每個 CA 新增此參數:
--cacert <path to ca certificate>
例如:
./sapcon-sentinel-kickstart.sh \ --use-snc \ --cryptolib /home/azureuser/libsapcrypto.so \ --sapgenpse /home/azureuser/sapgenpse \ --client-cert /home/azureuser/client.crt \ --client-key /home/azureuser/client.key \ --cacert /home/azureuser/issuingca.crt --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt \
如需有關啟動指令碼中可用選項的其他資訊,請檢閱參考:啟動指令碼
下一步
深入瞭解適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案:
- 為 SAP® 應用程式部署 Microsoft Sentinel 解決方案
- 部署適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案的必要條件
- 部署 SAP 變更要求 (CR) 並設定授權
- 從內容中樞部署解決方案內容
- 部署和設定裝載 SAP 資料連接器代理程式的容器
- 啟用和設定 SAP 稽核
- 監視 SAP 系統的健康情況
- 收集 SAP Hana 稽核記錄
疑難排解:
參考檔案:
- 適用于 SAP® 應用程式資料參考的 Microsoft Sentinel 解決方案
- 適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考
- 快速啟動指令碼參考
- 更新指令碼參考
- Systemconfig.ini 檔案參考
如需詳細資訊,請參閱 Microsoft Sentinel 解決方案。