Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Denne artikel indeholder procedurer for installation og konfiguration af Microsoft Sentinel til OBJEKTBEHOLDER til SAP-dataconnector med ekspert-, brugerdefinerede eller manuelle konfigurationsindstillinger. I forbindelse med typiske udrulninger anbefaler vi, at du bruger portalen i stedet.
Indholdet i denne artikel er beregnet til dine SAP BASIS-teams . Du kan få flere oplysninger under Installér en SAP-dataconnectoragent fra kommandolinjen.
Bemærk!
Denne artikel er kun relevant for dataconnectoragenten og er ikke relevant for den SAP-agentløse dataconnector.
Forudsætninger
- Sørg for, at dit system overholder de relevante forudsætninger, før du starter. Du kan finde flere oplysninger under Udrulningsforudsætningerne for Microsoft Sentinel-løsninger til SAP-programmer.
Tilføj SAP Data Connector Agent manuelt Azure Key Vault hemmeligheder
Brug følgende script til manuelt at føje SAP-systemhemmeligheder til din key vault. Sørg for at erstatte pladsholderne med dit eget system-id og de legitimationsoplysninger, du vil tilføje:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Du kan få flere oplysninger i Hurtig start: Opret en key vault ved hjælp af kommandolinjegrænsefladen Azure og dokumentationen til den hemmelige kommandolinjegrænseflade az keyvault.
Udfør en ekspert/brugerdefineret installation
I denne procedure beskrives det, hvordan du installerer Microsoft Sentinel til SAP-dataconnectoren via kommandolinjegrænsefladen ved hjælp af en ekspertinstallation eller brugerdefineret installation, f.eks. når du installerer i det lokale miljø.
Forudsætninger: Azure Key Vault er den anbefalede metode til lagring af dine legitimationsoplysninger til godkendelse og konfigurationsdata. Vi anbefaler, at du kun udfører denne procedure, når du har en key vault klar med dine SAP-legitimationsoplysninger.
Sådan installerer du Microsoft Sentinel til SAP-dataconnectoren:
Download den nyeste SAP NW RFC SDK fra SAP Launchpad-webstedet>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip, og gem den på din dataconnectoragentcomputer.
Bemærk!
Du skal bruge dine SAP-brugerlogonoplysninger for at få adgang til SDK'et, og du skal downloade det SDK, der svarer til dit operativsystem.
Sørg for at vælge indstillingen LINUX ON X86_64 .
Opret en ny mappe med et sigende navn på den samme computer, og kopiér SDK-zip-filen til den nye mappe.
Klon GitHub-lageret med Microsoft Sentinel-løsningen til computeren i det lokale miljø, og kopiér Microsoft Sentinel løsning til SAP-løsningsløsningen systemconfig.json fil til din nye mappe.
Det kan f.eks. være:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Rediger systemconfig.json-filen efter behov ved hjælp af de integrerede kommentarer som vejledning.
Definer følgende konfigurationer ved hjælp af instruktionerne i filen systemconfig.json :
- De logfiler, du vil overføre til Microsoft Sentinel ved hjælp af instruktionerne i filen systemconfig.json.
- Om brugermailadresser skal medtages i overvågningslogge
- Angiver, om mislykkede API-kald skal forsøges igen
- Om cexal-overvågningslogge skal medtages
- Om du vil vente et tidsinterval mellem dataudtrækninger, især ved store udtrækninger
Du kan finde flere oplysninger under Konfigurer Microsoft Sentinel til SAP-dataconnector manuelt og Definer de SAP-logge, der sendes til Microsoft Sentinel.
Hvis du vil teste konfigurationen, kan det være en god idé at føje brugeren og adgangskoden direkte til systemconfig.json konfigurationsfilen. Selvom vi anbefaler, at du bruger Azure Key Vault til at gemme dine legitimationsoplysninger, kan du også bruge en env.list-fil, Docker-hemmeligheder, eller du kan føje dine legitimationsoplysninger direkte til filen systemconfig.json.
Du kan finde flere oplysninger under Konfigurationer af SAL-logfiler for connectors.
Gem din opdaterede systemconfig.json fil i mappen sapcon på computeren.
Hvis du har valgt at bruge en env.list-fil til dine legitimationsoplysninger, skal du oprette en midlertidig env.list-fil med de påkrævede legitimationsoplysninger. Når Docker-objektbeholderen kører korrekt, skal du sørge for at slette denne fil.
Bemærk!
Følgende script har hver Docker-objektbeholder, der opretter forbindelse til et bestemt ABAP-system. Rediger scriptet efter behov i dit miljø.
Køre:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Download og kør det foruddefinerede Docker-billede, hvor SAP-dataconnectoren er installeret. Køre:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Kontrollér, at Docker-objektbeholderen kører korrekt. Køre:
docker logs –f sapcon-[SID]Fortsæt med at installere Microsoft Sentinel løsning til SAP-programmer.
Hvis du installerer løsningen, kan SAP-dataconnectoren vises i Microsoft Sentinel og udruller SAP-projektmappe- og analysereglerne. Når du er færdig, kan du manuelt tilføje og tilpasse dine SAP-visningslister.
Du kan få flere oplysninger under Installér Microsoft Sentinel-løsningen til SAP-programmer fra indholdshubben.
Konfigurer Microsoft Sentinel til SAP-dataconnectoren manuelt
Når Microsoft Sentinel til SAP-dataconnector er udrullet via kommandolinjegrænsefladen, konfigureres den i systemconfig.json-filen, som du klonede til computeren med SAP-dataconnectoren som en del af installationsproceduren. Brug indholdet i dette afsnit til manuelt at konfigurere indstillingerne for dataconnectoren.
Du kan få flere oplysninger under Systemconfig.json filreference eller Systemconfig.ini filreference til ældre systemer.
Definer de SAP-logfiler, der sendes til Microsoft Sentinel
Standardfilen systemconfig.json er konfigureret til at dække indbyggede analyser, masterdatatabellerne for SAP-brugergodkendelse med oplysninger om brugere og rettigheder og muligheden for at spore ændringer og aktiviteter i SAP-liggende format.
Standardkonfigurationen giver flere logføringsoplysninger for at muliggøre undersøgelser efter brud og udvidede jagtevner. Det kan dog være en god idé at tilpasse konfigurationen over tid, især da forretningsprocesser har en tendens til at være sæsonafhængige.
Brug følgende kodesæt til at konfigurere filen systemconfig.json til at definere de logfiler, der sendes til Microsoft Sentinel.
Du kan finde flere oplysninger under Microsoft Sentinel løsning til SAP-programmers løsningslogge (offentlig prøveversion).
Konfigurer en standardprofil
Følgende kode konfigurerer en standardkonfiguration:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Konfigurer en profil med fokus på registrering
Brug følgende kode til at konfigurere en registreringsfokuseret profil, som indeholder kernesikkerhedslogfilerne for SAP-liggende, som kræves, for at de fleste af analysereglerne kan fungere godt. Efterforskninger efter sikkerhedsbrud og jagtkapaciteter er begrænsede.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Brug følgende kode til at konfigurere en minimal profil, som omfatter SAP Security Audit Log, som er den vigtigste datakilde, som den Microsoft Sentinel løsning til SAP-programmer bruger til at analysere aktiviteter i SAP-liggende format. Aktivering af denne log er minimalt krav om at levere sikkerhedsdækning.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Indstillinger for SAL-logfiler for connector
Føj følgende kode til Microsoft Sentinel for SAP-dataconnectoren systemconfig.json fil for at definere andre indstillinger for SAP-logge, der er indtaget i Microsoft Sentinel.
Du kan få flere oplysninger under Udfør installation af en ekspert/brugerdefineret SAP-dataconnector.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
I dette afsnit kan du konfigurere følgende parametre:
| Parameternavn | Beskrivelse |
|---|---|
| extractuseremail | Bestemmer, om brugermailadresser er inkluderet i overvågningslogge. |
| apiretry | Bestemmer, om API-kald prøves igen som en failovermekanisme. |
| auditlogforcexal | Bestemmer, om systemet gennemtvinger brugen af overvågningslogge for ikke-SAL-systemer, f.eks. SAP BASIS version 7.4. |
| auditlogforcelegacyfiles | Bestemmer, om systemet gennemtvinger brugen af overvågningslogge med ældre systemfunktioner, f.eks. fra SAP BASIS version 7.4 med lavere programrettelsesniveauer. |
| timechunk | Bestemmer, at systemet venter et bestemt antal minutter som et interval mellem dataudtrækninger. Brug denne parameter, hvis du har forventet en stor mængde data. Under den første dataindlæsning i løbet af de første 24 timer kan det f.eks. være en god idé kun at køre dataudtrækningen hvert 30. minut for at give hver dataudtrækning tilstrækkelig tid. I sådanne tilfælde skal du angive denne værdi til 30. |
Konfiguration af en forekomst af ABAP SAP-kontrolelementet
Hvis du vil overføre alle ABAP-logge til Microsoft Sentinel, herunder både NW RFC- og SAP Control-webtjenestebaserede logge, skal du konfigurere følgende oplysninger om ABAP SAP Control:
| Indstilling | Beskrivelse |
|---|---|
| javaappserver | Angiv din SAP Control ABAP-servervært. For eksempel: contoso-erp.appserver.com |
| javainstance | Angiv dit ABAP-forekomstnummer for SAP Control. For eksempel: 00 |
| abaptz | Angiv den tidszone, der er konfigureret på SAP Control ABAP-serveren, i GMT-format. For eksempel: GMT+3 |
| abapseverity | Angiv det laveste, inklusive alvorsgradsniveau, som du vil indføde ABAP-logge for, i Microsoft Sentinel. Værdier omfatter: - 0 = alle logge - 1 = Advarsel - 2 = Fejl |
Konfiguration af en Forekomst af Java SAP-kontrolelement
Hvis du vil hente logge på Microsoft Sentinel i SAP Control-webtjenesten, skal du konfigurere følgende oplysninger om forekomsten af JAVA SAP-kontrolelementet:
| Parameter | Beskrivelse |
|---|---|
| javaappserver | Angiv din SAP Control Java-servervært. For eksempel: contoso-java.server.com |
| javainstance | Angiv dit ABAP-forekomstnummer for SAP Control. For eksempel: 10 |
| javatz | Angiv den tidszone, der er konfigureret på DIN SAP Control Java-server, i GMT-format. For eksempel: GMT+3 |
| javaseverity | Angiv det laveste, inklusive alvorsgradsniveau, som du vil indlæse webtjenestelogge for i Microsoft Sentinel. Værdier omfatter: - 0 = alle logge - 1 = Advarsel - 2 = Fejl |
Konfiguration af brugermasterdatasamling
Hvis du vil hente tabeller direkte fra dit SAP-system med oplysninger om dine brugere og rolleautorisationer, skal du konfigurere din systemconfig.json-fil med en True/False sætning for hver tabel.
Det kan f.eks. være:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Du kan finde flere oplysninger under Reference til tabeller, der er hentet direkte fra SAP-systemer.
Relateret indhold
Du kan finde flere oplysninger under: