Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Verfahren zum Bereitstellen und Konfigurieren des Microsoft Sentinel für den AGENT-Container für SAP-Datenconnector mit expertenspezifischen, benutzerdefinierten oder manuellen Konfigurationsoptionen. Für typische Bereitstellungen wird empfohlen, stattdessen das Portal zu verwenden.
Die Inhalte in diesem Artikel sind für Ihre SAP BASIS-Teams bestimmt. Weitere Informationen finden Sie unter Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile.
Hinweis
Dieser Artikel ist nur für den Datenconnector-Agent und nicht für den SAP-Datenconnector ohne Agent relevant.
Voraussetzungen
- Stellen Sie sicher, dass Ihr System die relevanten Voraussetzungen erfüllt, bevor Sie beginnen. Weitere Informationen finden Sie unter Bereitstellungsvoraussetzungen für die Microsoft Sentinel Lösungen für SAP-Anwendungen.
Manuelles Hinzufügen des SAP-Datenconnector-Agents Azure Key Vault Geheimnissen
Verwenden Sie das folgende Skript, um Ihrem Schlüsseltresor manuell SAP-Systemgeheimnisse hinzuzufügen. Stellen Sie sicher, dass Sie die Platzhalter durch Ihre eigene System-ID und die Anmeldeinformationen ersetzen, die Sie hinzufügen möchten:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Weitere Informationen finden Sie in der Schnellstartanleitung: Erstellen eines Schlüsseltresors mithilfe der Azure CLI und in der Dokumentation az keyvault secret CLI.
Durchführen einer experten-/benutzerdefinierten Installation
In diesem Verfahren wird beschrieben, wie Sie den Microsoft Sentinel für SAP-Datenconnector über die CLI mithilfe einer Experteninstallation oder einer benutzerdefinierten Installation bereitstellen, z. B. bei der lokalen Installation.
Voraussetzungen: Azure Key Vault ist die empfohlene Methode zum Speichern Ihrer Authentifizierungsanmeldeinformationen und Konfigurationsdaten. Es wird empfohlen, dieses Verfahren erst auszuführen, nachdem Sie einen Schlüsseltresor mit Ihren SAP-Anmeldeinformationen bereit haben.
So stellen Sie den Microsoft Sentinel für den SAP-Datenconnector bereit:
Laden Sie das neueste SAP NW RFC SDK von der SAP Launchpad-Website>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zipherunter, und speichern Sie es auf Ihrem Computer mit dem Datenconnector-Agent.
Hinweis
Sie benötigen ihre SAP-Benutzeranmeldungsinformationen, um auf das SDK zugreifen zu können, und Sie müssen das SDK herunterladen, das Ihrem Betriebssystem entspricht.
Stellen Sie sicher, dass Sie die Option LINUX ON X86_64 auswählen.
Erstellen Sie auf demselben Computer einen neuen Ordner mit einem aussagekräftigen Namen, und kopieren Sie die SDK-ZIP-Datei in Ihren neuen Ordner.
Klonen Sie das GitHub-Repository der Microsoft Sentinel-Lösung auf Ihren lokalen Computer, und kopieren Sie Microsoft Sentinel Lösung für SAP-Anwendungen systemconfig.json Datei in Ihren neuen Ordner.
Zum Beispiel:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Bearbeiten Sie die systemconfig.json Datei nach Bedarf, und verwenden Sie dabei die eingebetteten Kommentare als Leitfaden.
Definieren Sie die folgenden Konfigurationen anhand der Anweisungen in der systemconfig.json-Datei :
- Die Protokolle, die Sie in Microsoft Sentinel mithilfe der Anweisungen in der systemconfig.json-Datei erfassen möchten.
- Ob Benutzer-E-Mail-Adressen in Überwachungsprotokolle eingeschlossen werden sollen
- Gibt an, ob fehlgeschlagene API-Aufrufe wiederholt werden sollen.
- Ob cexal-Überwachungsprotokolle eingeschlossen werden sollen
- Gibt an, ob ein Zeitintervall zwischen Datenextraktionen gewartet werden soll, insbesondere bei großen Extraktionen
Weitere Informationen finden Sie unter Manuelles Konfigurieren des Microsoft Sentinel für den SAP-Datenconnector und Definieren der SAP-Protokolle, die an Microsoft Sentinel gesendet werden.
Um Ihre Konfiguration zu testen, können Sie den Benutzer und das Kennwort direkt der systemconfig.json Konfigurationsdatei hinzufügen. Es wird zwar empfohlen, Azure Key Vault zum Speichern Ihrer Anmeldeinformationen zu verwenden, Sie können aber auch eine env.list-Datei oder Docker-Geheimnisse verwenden, oder Sie können Ihre Anmeldeinformationen direkt der systemconfig.json-Datei hinzufügen.
Weitere Informationen finden Sie unter Konfigurationen des SAL-Protokollconnectors.
Speichern Sie die aktualisierte systemconfig.json Datei im Verzeichnis sapcon auf Ihrem Computer.
Wenn Sie sich für die Verwendung einer env.list-Datei für Ihre Anmeldeinformationen entschieden haben, erstellen Sie eine temporäre env.list-Datei mit den erforderlichen Anmeldeinformationen. Sobald Ihr Docker-Container ordnungsgemäß ausgeführt wird, stellen Sie sicher, dass Sie diese Datei löschen.
Hinweis
Das folgende Skript verfügt über jeden Docker-Container, der eine Verbindung mit einem bestimmten ABAP-System herstellt. Ändern Sie Ihr Skript nach Bedarf für Ihre Umgebung.
Ausführen:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Laden Sie das vordefinierte Docker-Image mit installiertem SAP-Datenconnector herunter, und führen Sie es aus. Ausführen:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Vergewissern Sie sich, dass der Docker-Container ordnungsgemäß ausgeführt wird. Ausführen:
docker logs –f sapcon-[SID]Fahren Sie mit der Bereitstellung Microsoft Sentinel Lösung für SAP-Anwendungen fort.
Die Bereitstellung der Lösung ermöglicht es dem SAP-Datenconnector, in Microsoft Sentinel anzuzeigen und die SAP-Arbeitsmappe und Analyseregeln bereitzustellen. Wenn Sie fertig sind, fügen Sie Ihre SAP-Watchlists manuell hinzu und passen Sie sie an.
Weitere Informationen finden Sie unter Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen über den Content Hub.
Manuelles Konfigurieren des Microsoft Sentinel für den SAP-Datenconnector
Bei der Bereitstellung über die CLI wird der Microsoft Sentinel für den SAP-Datenconnector in der systemconfig.json-Datei konfiguriert, die Sie im Rahmen des Bereitstellungsverfahrens auf Ihren SAP-Datenconnectorcomputer geklont haben. Verwenden Sie den Inhalt in diesem Abschnitt, um Datenconnectoreinstellungen manuell zu konfigurieren.
Weitere Informationen finden Sie unter Systemconfig.json Dateireferenz oder Systemconfig.ini Dateireferenz für Legacysysteme.
Definieren der SAP-Protokolle, die an Microsoft Sentinel gesendet werden
Die Standarddatei systemconfig.json ist so konfiguriert, dass sie integrierte Analysen, die SAP-Benutzerautorisierung master Datentabellen mit Benutzer- und Berechtigungsinformationen sowie die Möglichkeit zum Nachverfolgen von Änderungen und Aktivitäten in der SAP-Landschaft abdeckt.
Die Standardkonfiguration bietet weitere Protokollierungsinformationen, um Untersuchungen nach einem Sicherheitsverstoß und erweiterte Suchfunktionen zu ermöglichen. Möglicherweise möchten Sie Ihre Konfiguration jedoch im Laufe der Zeit anpassen, insbesondere da Geschäftsprozesse in der Regel saisonal sind.
Verwenden Sie die folgenden Codesätze, um die systemconfig.json-Datei zu konfigurieren, um die Protokolle zu definieren, die an Microsoft Sentinel gesendet werden.
Weitere Informationen finden Sie unter Microsoft Sentinel Lösung für SAP-Anwendungslösungsprotokolle (öffentliche Vorschau).
Konfigurieren eines Standardprofils
Der folgende Code konfiguriert eine Standardkonfiguration:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Konfigurieren eines erkennungsorientierten Profils
Verwenden Sie den folgenden Code, um ein erkennungsorientiertes Profil zu konfigurieren, das die kernen Sicherheitsprotokolle der SAP-Landschaft enthält, die für die meisten Analyseregeln erforderlich sind, um eine gute Leistung zu gewährleisten. Untersuchungs- und Huntingfunktionen nach Einem Sicherheitsverstoß sind eingeschränkt.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Verwenden Sie den folgenden Code, um ein minimales Profil zu konfigurieren, das das SAP-Sicherheitsüberwachungsprotokoll enthält, das die wichtigste Datenquelle ist, die die Microsoft Sentinel Lösung für SAP-Anwendungen verwendet, um Aktivitäten in der SAP-Landschaft zu analysieren. Die Aktivierung dieses Protokolls ist die Mindestanforderung, um eine Sicherheitsabdeckung bereitzustellen.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Sal logs connector settings (Sal-Protokollconnectoreinstellungen)
Fügen Sie dem Microsoft Sentinel für SAP-Datenconnector systemconfig.json Datei den folgenden Code hinzu, um andere Einstellungen für SAP-Protokolle zu definieren, die in Microsoft Sentinel erfasst werden.
Weitere Informationen finden Sie unter Ausführen einer Experten-/benutzerdefinierten SAP-Datenconnector-Installation.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
In diesem Abschnitt können Sie die folgenden Parameter konfigurieren:
| Parametername | Beschreibung |
|---|---|
| extractuseremail | Bestimmt, ob Benutzer-E-Mail-Adressen in Überwachungsprotokollen enthalten sind. |
| apiretry | Bestimmt, ob API-Aufrufe als Failovermechanismus wiederholt werden. |
| auditlogforcexal | Bestimmt, ob das System die Verwendung von Überwachungsprotokollen für Nicht-SAL-Systeme erzwingt, z. B. SAP BASIS Version 7.4. |
| auditlogforcelegacyfiles | Bestimmt, ob das System die Verwendung von Überwachungsprotokollen mit Legacysystemfunktionen erzwingt, z. B. ab SAP BASIS Version 7.4 mit niedrigeren Patchebenen. |
| Timechunk | Bestimmt, dass das System eine bestimmte Anzahl von Minuten als Intervall zwischen Datenextraktionen wartet. Verwenden Sie diesen Parameter, wenn Sie eine große Menge an Daten erwarten. Beispielsweise sollten Sie während des ersten Ladens der Daten während der ersten 24 Stunden die Datenextraktion nur alle 30 Minuten ausführen, um jeder Datenextraktion genügend Zeit zu geben. Legen Sie in solchen Fällen diesen Wert auf 30 fest. |
Konfigurieren eines ABAP-SAP-instance
Um alle ABAP-Protokolle in Microsoft Sentinel zu erfassen, einschließlich NW RFC- und SAP Control Web Service-basierten Protokollen, konfigurieren Sie die folgenden ABAP SAP Control-Details:
| Einstellung | Beschreibung |
|---|---|
| javaappserver | Geben Sie Ihren SAP Control ABAP-Serverhost ein. Beispiel: contoso-erp.appserver.com |
| javainstance | Geben Sie Ihre SAP Control ABAP instance Nummer ein. Beispiel: 00 |
| abaptz | Geben Sie die auf Ihrem SAP Control ABAP-Server konfigurierte Zeitzone im GMT-Format ein. Beispiel: GMT+3 |
| abapseverity | Geben Sie den niedrigsten, inklusiven Schweregrad ein, für den Sie ABAP-Protokolle in Microsoft Sentinel erfassen möchten. Gültige Werte schließen ein: - 0 = Alle Protokolle - 1 = Warnung - 2 = Fehler |
Konfigurieren eines Java SAP-Steuerelements instance
Um SAP Control Web Service-Protokolle in Microsoft Sentinel zu erfassen, konfigurieren Sie die folgenden JAVA SAP Control instance Details:
| Parameter | Beschreibung |
|---|---|
| javaappserver | Geben Sie Ihren SAP Control Java-Serverhost ein. Beispiel: contoso-java.server.com |
| javainstance | Geben Sie Ihre SAP Control ABAP instance Nummer ein. Beispiel: 10 |
| javatz | Geben Sie die auf Ihrem SAP Control Java-Server konfigurierte Zeitzone im GMT-Format ein. Beispiel: GMT+3 |
| javaseverity | Geben Sie den niedrigsten, inklusiven Schweregrad ein, für den Sie Webdienstprotokolle in Microsoft Sentinel erfassen möchten. Gültige Werte schließen ein: - 0 = Alle Protokolle - 1 = Warnung - 2 = Fehler |
Konfigurieren der Benutzermasterdatensammlung
Um Tabellen direkt aus Ihrem SAP-System mit Details zu Ihren Benutzern und Rollenautorisierungen zu erfassen, konfigurieren Sie Ihre systemconfig.json-Datei mit einer True/False -Anweisung für jede Tabelle.
Zum Beispiel:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Weitere Informationen finden Sie unter Referenz zu Tabellen, die direkt aus SAP-Systemen abgerufen werden.
Verwandte Inhalte
Weitere Informationen finden Sie unter: