Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa on ohjeita sap-tietoliitinagentin säilön Microsoft Sentinel käyttöönottoon ja määrittämiseen asiantuntevien, mukautettujen tai manuaalisten määritysvaihtoehtojen avulla. Suosittelemme, että käytät tyypillisiä käyttöönottoja sen sijaan portaalia .
Tämän artikkelin sisältö on tarkoitettu SAP BASIS - tiimeille. Lisätietoja on ohjeaiheessa SAP-tietoyhdistinagentin käyttöönotto komentoriviltä.
Huomautus
Tämä artikkeli on merkityksellinen vain tietoliittimien agentille, eikä se ole merkityksellinen SAP Agentless Data Connectorin kannalta.
Ennakkovaatimukset
- Varmista ennen aloittamista, että järjestelmä täyttää tarvittavat edellytykset. Lisätietoja on artikkelissa sap-sovellusten Microsoft Sentinel ratkaisujen käyttöönottoedellytykset.
Sap-tietoyhdistinagentin lisääminen manuaalisesti salaisten Azure Key Vault
Käytä seuraavaa komentosarjaa SAP-järjestelmän salaisten koodien lisäämiseen key vaultiin manuaalisesti. Muista korvata paikkamerkit omalla järjestelmätunnuksellasi ja tunnistetiedoilla, jotka haluat lisätä:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Lisätietoja on pikaoppaassa Avainsäilön luominen Azure CLI:n ja az keyvault secret CLI -dokumentaation avulla.
Asiantuntijan tai mukautetun asennuksen suorittaminen
Tässä ohjeessa kuvataan, miten voit ottaa sap-tietoliittimen Microsoft Sentinel käyttöön komentorivikäyttöliittymän kautta käyttämällä asiantuntija-asennusta tai mukautettua asennusta, esimerkiksi asennettaessa paikallisesti.
Edellytykset: Azure Key Vault on suositeltava tapa tallentaa todentamisen tunnistetiedot ja määritystiedot. Suosittelemme, että suoritat tämän toiminnon vasta, kun key vault on valmiina SAP-tunnistetiedoillasi.
Sap-tietoliittimen Microsoft Sentinel käyttöönotto:
Lataa uusin SAP NW RFC SDK SAP Launchpad -sivustolta>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip, ja tallenna se tietoliittimen agentille.
Huomautus
Tarvitset SAP-käyttäjän kirjautumistiedot, jotta voit käyttää SDK:ta, ja sinun on ladattava käyttöjärjestelmääsi vastaava SDK.
Varmista, että valitset LINUX ON X86_64 -vaihtoehdon.
Luo samassa koneessa uusi kansio, jolla on merkityksellinen nimi, ja kopioi SDK zip -tiedosto uuteen kansioosi.
Kloonaa Microsoft Sentinel ratkaisun GitHub-säilö paikalliseen tietokoneeseesi ja kopioi Microsoft Sentinel ratkaisu SAP-sovellusten ratkaisulle systemconfig.json tiedosto uuteen kansioosi.
Esimerkki:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Muokkaa systemconfig.json tiedostoa tarvittaessa upotettujen kommenttien avulla.
Määritä seuraavat määritykset systemconfig.json-tiedoston ohjeiden avulla:
- Lokit, jotka haluat käyttää, Microsoft Sentinel systemconfig.json -tiedoston ohjeiden mukaisesti.
- Käyttäjän sähköpostiosoitteiden sisällyttäminen valvontalokeihin
- Epäonnistuneiden ohjelmointirajapintakutsujen uudelleenyritys
- Seksuaalisten valvontalokien sisällyttäminen
- Odotetaanko tietojen poimintojen välistä aikaa, erityisesti suurten poimintojen osalta
Lisätietoja on artikkelissa Microsoft Sentinel määrittäminen manuaalisesti SAP-tietoyhdistimelle ja Määritä Microsoft Sentinel lähetettävät SAP-lokit.
Määritysten testaamista varten haluat ehkä lisätä käyttäjän ja salasanan suoraan systemconfig.json määritystiedostoon. Vaikka suosittelemme, että käytät Azure Key Vaultia tunnistetietojen tallentamiseen, voit käyttää myös env.list-tiedostoa, Docker-salaisia koodeja tai voit lisätä tunnistetietosi suoraan systemconfig.json-tiedostoon.
Lisätietoja on kohdassa SAL-lokien liitinmääritykset.
Tallenna päivitetty systemconfig.json -tiedostosi tietokoneesi sapcon-hakemistoon .
Jos olet valinnut env.list-tiedoston käyttämisen tunnistetiedoillasi, luo väliaikainen env.list-tiedosto vaadituilla tunnistetiedoilla. Kun Docker-säilö toimii oikein, varmista, että poistat tämän tiedoston.
Huomautus
Seuraavassa komentosarjassa kukin Docker-säilö muodostaa yhteyden tiettyyn ABAP-järjestelmään. Muokkaa komentosarjaa tarpeen mukaan ympäristössäsi.
Suorita:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Lataa ja suorita ennalta määritetty Docker-kuva, johon on asennettu SAP-tietoyhdistin. Suorita:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Varmista, että Docker-säilö toimii oikein. Suorita:
docker logs –f sapcon-[SID]Jatka Microsoft Sentinel ratkaisun käyttöönottoa SAP-sovelluksissa.
Ratkaisun käyttöönotto mahdollistaa SEN, että SAP-tietoyhdistin näkyy Microsoft Sentinel ja ottaa käyttöön SAP-työkirjan ja analytiikkasäännöt. Kun olet valmis, lisää ja mukauta SAP-katseluluetteloita manuaalisesti.
Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun käyttöönotto SAP-sovelluksille sisältökeskuksesta.
Sap-tietoliittimen Microsoft Sentinel määrittäminen manuaalisesti
Kun se otetaan käyttöön komentorivikäyttöliittymän kautta, SAP-tietoliittimen Microsoft Sentinel määritetään systemconfig.json-tiedostossa, jonka kloonasit SAP-tietoyhdistinkoneeseen osana käyttöönottotoimintosarjaa. Tämän osion sisällön avulla voit määrittää tietoyhdistimen asetukset manuaalisesti.
Lisätietoja on kohdassa Systemconfig.json tiedostoviite tai Systemconfig.ini tiedostoviittaus vanhoista järjestelmistä.
Määritä Microsoft Sentinel lähetettävät SAP-lokit
Oletustiedosto systemconfig.json on määritetty kattamaan sisäiset analytiikkatiedot, SAP-käyttöoikeuksien valtuutuksen päätietotaulukot sekä käyttäjät ja käyttöoikeustiedot sekä mahdollisuuden seurata muutoksia ja toimintoja SAP-vaakanäkymässä.
Oletusmääritys tarjoaa lisää kirjaustietoja, jotka mahdollistavat murron jälkeiset tutkimukset ja laajennetut metsästysominaisuudet. Saatat kuitenkin haluta mukauttaa määrityksiä ajan kuluessa, varsinkin kun liiketoimintaprosessit ovat yleensä kausiluonteisia.
Seuraavien koodijoukkojen avulla voit määrittää systemconfig.json-tiedoston Microsoft Sentinel lähetettävien lokien määrittämiseen.
Lisätietoja on artikkelissa Microsoft Sentinel ratkaisu SAP-sovellusten ratkaisulokeihin (julkinen esikatselu).
Oletusprofiilin määrittäminen
Seuraava koodi määrittää oletusmäärityksen:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Tunnistamiskeskeisen profiilin määrittäminen
Seuraavan koodin avulla voit määrittää tunnistukseen keskittyvän profiilin, joka sisältää SAP-vaakatason tärkeimmät suojauslokit, joita tarvitaan, jotta useimmat analysointisäännöt toimivat hyvin. Murron jälkeiset tutkimukset ja metsästysvalmiudet ovat rajalliset.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Seuraavan koodin avulla voit määrittää vähimmäisprofiilin, joka sisältää SAP-suojauksen valvontalokin. Se on tärkein tietolähde, jota sap-sovellusten Microsoft Sentinel ratkaisu käyttää SAP-vaakatason toimintojen analysointiin. Tämän lokin ottaminen käyttöön on vähimmäisvaatimus suojauksen kattavuuden tarjoamiseksi.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
SAL-lokien yhdistimen asetukset
Lisää seuraava koodi Microsoft Sentinel SAP-tietoyhdistimelle systemconfig.json -tiedosto, jos haluat määrittää muita asetuksia Microsoft Sentinel sisäänotettuihin SAP-lokeihin.
Lisätietoja on artikkelissa Asiantuntija-/mukautetun SAP-tietoliittimen asennuksen suorittaminen.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
Tämän osan avulla voit määrittää seuraavat parametrit:
| Parametrin nimi | Kuvaus |
|---|---|
| extractuseremail | Määrittää, sisällytetäänkö käyttäjän sähköpostiosoitteet valvontalokeihin. |
| apiretry | Määrittää, yritetäänkö ohjelmointirajapintakutsuja uudelleen vikasietomekanismina. |
| auditlogforcexal | Määrittää, pakottaako järjestelmä valvontalokien käytön muissa kuin SAL-järjestelmissä, kuten SAP BASIS -versiossa 7.4. |
| auditlogforcelegacyfiles | Määrittää, pakottaako järjestelmä valvontalokien käytön vanhoilla järjestelmäominaisuuksilla, kuten SAP BASIS -versiosta 7.4, jossa on pienemmät korjaustiedostotasot. |
| aikatchunk | Määrittää, että järjestelmä odottaa tiettyä minuuttimäärää tietojen poimintojen välisenä aikana. Käytä tätä parametria, jos odotettu tietomäärä on suuri. Esimerkiksi ensimmäisen 24 tunnin tietojen lataamisen aikana saatat haluta, että tietojen poiminta suoritetaan vain 30 minuutin välein, jotta jokainen tietojen poiminta-aika on riittävä. Määritä tässä tapauksessa arvoksi 30. |
ABAP SAP -ohjausobjektiesiintymän määrittäminen
Jos haluat käyttää kaikkia ABAP-lokeja Microsoft Sentinel, mukaan lukien sekä NW RFC- että SAP Control Web Service -pohjaiset lokit, määritä seuraavat ABAP SAP -ohjausobjektin tiedot:
| Asetus | Kuvaus |
|---|---|
| javaappserver | Anna SAP Control ABAP -palvelimen isäntä. Esimerkiksi: contoso-erp.appserver.com |
| javainstance | Anna SAP Control ABAP -esiintymänumerosi. Esimerkiksi: 00 |
| abaptz | Anna SAP Control ABAP -palvelimessa määritetty aikavyöhyke GMT-muodossa. Esimerkiksi: GMT+3 |
| abapseverity | Anna alin, mukaan lukien vakavuustaso, jolle haluat käyttää ABAP-lokeja Microsoft Sentinel. Arvot ovat seuraavat: - 0 = Kaikki lokit - 1 = Varoitus - 2 = Virhe |
Java SAP -ohjausobjektiesiintymän määrittäminen
Jos haluat käyttää SAP Control Web Service -kirjautumisia Microsoft Sentinel, määritä seuraavat JAVA SAP -ohjausobjektin esiintymän tiedot:
| Parametri | Kuvaus |
|---|---|
| javaappserver | Anna SAP-hallinnan Java-palvelimen isäntä. Esimerkiksi: contoso-java.server.com |
| javainstance | Anna SAP Control ABAP -esiintymänumerosi. Esimerkiksi: 10 |
| javatz | Anna SAP-ohjausobjektin Java-palvelimessa määritetty aikavyöhyke GMT-muodossa. Esimerkiksi: GMT+3 |
| javaseverity | Anna alin, mukaan lukien vakavuustaso, jolle haluat käyttää verkkopalvelun kirjautumisia Microsoft Sentinel. Arvot ovat seuraavat: - 0 = Kaikki lokit - 1 = Varoitus - 2 = Virhe |
Määritetään käyttäjän päätietojen keräämistä
Jos haluat käyttää taulukoita suoraan SAP-järjestelmästäsi ja sisältää tietoja käyttäjistäsi ja roolivaltuuuksistasi, määritä systemconfig.json-tiedostosi lausekkeella True/False kullekin taulukolle.
Esimerkki:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Lisätietoja on kohdassa Viittaus taulukoihin, jotka on noudettu suoraan SAP-järjestelmistä.
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: