Distribuire l'Microsoft Sentinel per il contenitore dell'agente del connettore dati SAP con opzioni esperte

Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Questo articolo illustra le procedure per la distribuzione e la configurazione della Microsoft Sentinel per il contenitore dell'agente del connettore dati SAP con opzioni di configurazione esperte, personalizzate o manuali. Per le distribuzioni tipiche è consigliabile usare invece il portale .

Il contenuto di questo articolo è destinato ai team SAP BASIS . Per altre informazioni, vedere Distribuire un agente connettore dati SAP dalla riga di comando.

Nota

Questo articolo è pertinente solo per l'agente del connettore dati e non è pertinente per il connettore dati senza agente SAP.

Prerequisiti

Assicurarsi che il sistema sia conforme ai prerequisiti pertinenti prima di iniziare. Per altre informazioni, vedere Prerequisiti di distribuzione per le soluzioni Microsoft Sentinel per le applicazioni SAP.

Aggiungere manualmente i segreti Azure Key Vault dell'agente connettore dati SAP

Usare lo script seguente per aggiungere manualmente i segreti di sistema SAP all'insieme di credenziali delle chiavi. Assicurarsi di sostituire i segnaposto con il proprio ID di sistema e le credenziali da aggiungere:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Per altre informazioni, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi usando l'interfaccia della riga di comando Azure e la documentazione dell'interfaccia della riga di comando del segreto az keyvault.

Eseguire un'installazione personalizzata/esperta

Questa procedura descrive come distribuire il Microsoft Sentinel per il connettore dati SAP tramite l'interfaccia della riga di comando usando un'installazione personalizzata o un esperto, ad esempio durante l'installazione locale.

Prerequisiti: Azure Key Vault è il metodo consigliato per archiviare le credenziali di autenticazione e i dati di configurazione. È consigliabile eseguire questa procedura solo dopo aver creato un insieme di credenziali delle chiavi pronto con le credenziali SAP.

Per distribuire il Microsoft Sentinel per il connettore dati SAP:

Scaricare l'SDK SAP NW RFC più recente dal sito>SAP Launchpad SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zipe salvarlo nel computer dell'agente del connettore dati.

Nota

Per accedere all'SDK sono necessarie le informazioni di accesso degli utenti SAP ed è necessario scaricare l'SDK corrispondente al sistema operativo.

Assicurarsi di selezionare l'opzione X86_64 LINUX ON .
Nello stesso computer creare una nuova cartella con un nome significativo e copiare il file ZIP dell'SDK nella nuova cartella.

Clonare il repository GitHub della soluzione Microsoft Sentinel nel computer locale e copiare Microsoft Sentinel soluzione per le applicazioni SAP systemconfig.json file nella nuova cartella.

Ad esempio:

mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

Modificare il file systemconfig.json in base alle esigenze usando i commenti incorporati come guida.

Definire le configurazioni seguenti usando le istruzioni nel file systemconfig.json :
- I log che si desidera inserire in Microsoft Sentinel usando le istruzioni nel file systemconfig.json.
- Se includere gli indirizzi di posta elettronica degli utenti nei log di controllo
- Se ripetere le chiamate API non riuscite
- Se includere i log di controllo cexal
- Se attendere un intervallo di tempo tra le estrazioni dei dati, in particolare per le estrazioni di grandi dimensioni
Per altre informazioni, vedere Configurare manualmente la Microsoft Sentinel per il connettore dati SAP e Definire i log SAP inviati a Microsoft Sentinel.

Per testare la configurazione, è possibile aggiungere l'utente e la password direttamente al file di configurazione systemconfig.json . Anche se è consigliabile usare Azure insieme di credenziali delle chiavi per archiviare le credenziali, è anche possibile usare un file env.list, segreti Docker o aggiungere le credenziali direttamente al file systemconfig.json.

Per altre informazioni, vedere Configurazioni del connettore dei log SAL.
Salvare il file systemconfig.json aggiornato nella directory sapcon nel computer.

Se si è scelto di usare un file env.list per le credenziali, creare un file env.list temporaneo con le credenziali necessarie. Dopo aver eseguito correttamente il contenitore Docker, assicurarsi di eliminare il file.

Nota

Lo script seguente include ogni contenitore Docker che si connette a un sistema ABAP specifico. Modificare lo script in base alle esigenze per l'ambiente.

Correre:

##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

Scaricare ed eseguire l'immagine Docker predefinita con il connettore dati SAP installato. Correre:

docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

Verificare che il contenitore Docker sia in esecuzione correttamente. Correre:
```
docker logs –f sapcon-[SID]
```
Continuare con la distribuzione di Microsoft Sentinel soluzione per le applicazioni SAP.

La distribuzione della soluzione consente al connettore dati SAP di essere visualizzato in Microsoft Sentinel e distribuisce le regole di analisi e cartella di lavoro SAP. Al termine, aggiungere e personalizzare manualmente le watchlist SAP.

Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub del contenuto.

Configurare manualmente il Microsoft Sentinel per il connettore dati SAP

Quando viene distribuito tramite l'interfaccia della riga di comando, il Microsoft Sentinel per il connettore dati SAP viene configurato nel file di systemconfig.json, clonato nel computer del connettore dati SAP come parte della procedura di distribuzione. Usare il contenuto di questa sezione per configurare manualmente le impostazioni del connettore dati.

Per altre informazioni, vedere Systemconfig.json informazioni di riferimento sui file o Systemconfig.ini informazioni di riferimento sui file per i sistemi legacy.

Definire i log SAP inviati a Microsoft Sentinel

Il file di systemconfig.json predefinito è configurato per coprire l'analisi predefinita, le tabelle dati master di autorizzazione utente SAP, con utenti e informazioni sui privilegi e la possibilità di tenere traccia delle modifiche e delle attività nel panorama SAP.

La configurazione predefinita fornisce altre informazioni di registrazione per consentire le indagini post-violazione e le capacità di ricerca estese. Tuttavia, è possibile personalizzare la configurazione nel tempo, soprattutto perché i processi aziendali tendono ad essere stagionali.

Usare i set di codice seguenti per configurare il file systemconfig.json per definire i log inviati a Microsoft Sentinel.

Per altre informazioni, vedere Microsoft Sentinel riferimento ai log della soluzione per le applicazioni SAP (anteprima pubblica).For more information, see Microsoft Sentinel solution for SAP applications solution logs reference (public preview).

Configurare un profilo predefinito

Il codice seguente configura una configurazione predefinita:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Configurare un profilo incentrato sul rilevamento

Usare il codice seguente per configurare un profilo incentrato sul rilevamento, che include i log di sicurezza di base del panorama SAP necessari per eseguire correttamente la maggior parte delle regole di analisi. Le indagini post-violazione e le funzionalità di ricerca sono limitate.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Usare il codice seguente per configurare un profilo minimo, che include il log di controllo della sicurezza SAP, che è l'origine di dati più importante usata dalla soluzione Microsoft Sentinel per le applicazioni SAP per analizzare le attività nel panorama SAP. L'abilitazione di questo log è il requisito minimo per fornire qualsiasi copertura di sicurezza.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Impostazioni del connettore dei log sal

Aggiungere il codice seguente alla Microsoft Sentinel per il file systemconfig.json connettore dati SAP per definire altre impostazioni per i log SAP inseriti in Microsoft Sentinel.

Per altre informazioni, vedere Eseguire un'installazione di un connettore dati SAP esperto/personalizzato.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

Questa sezione consente di configurare i parametri seguenti:

Nome del parametro	Descrizione
extractuseremail	Determina se gli indirizzi di posta elettronica utente sono inclusi nei log di controllo.
apiretry	Determina se le chiamate API vengono ritentata come meccanismo di failover.
auditlogforcexal	Determina se il sistema forza l'uso dei log di controllo per i sistemi non SAL, ad esempio SAP BASIS versione 7.4.
auditlogforcelegacyfiles	Determina se il sistema forza l'uso dei log di controllo con funzionalità di sistema legacy, ad esempio da SAP BASIS versione 7.4 con livelli di patch inferiori.
timechunk	Determina che il sistema attende un numero specifico di minuti come intervallo tra le estrazioni dei dati. Usare questo parametro se è prevista una grande quantità di dati. Ad esempio, durante il caricamento iniziale dei dati durante le prime 24 ore, è possibile che l'estrazione dei dati venga eseguita solo ogni 30 minuti per concedere a ogni estrazione dati un tempo sufficiente. In questi casi, impostare questo valore su 30.

Configurazione di un'istanza del controllo SAP ABAP

Per inserire tutti i log ABAP in Microsoft Sentinel, inclusi i log basati su NW RFC e SAP Control Web Service, configurare i dettagli seguenti del controllo SAP ABAP:

Impostazione	Descrizione
javaappserver	Immettere l'host del server ABAP del controllo SAP. Ad esempio: `contoso-erp.appserver.com`
javainstance	Immettere il numero di istanza ABAP del controllo SAP. Ad esempio: `00`
abaptz	Immettere il fuso orario configurato nel server ABAP del controllo SAP in formato GMT. Ad esempio: `GMT+3`
abapseverity	Immettere il livello di gravità più basso, inclusivo e per il quale si desidera inserire i log ABAP in Microsoft Sentinel. I valori comprendono: - 0 = Tutti i log - 1 = Avviso - 2 = Errore

Configurazione di un'istanza del controllo SAP Java

Per inserire i log del servizio Web di controllo SAP in Microsoft Sentinel, configurare i dettagli seguenti dell'istanza del controllo SAP JAVA:

Parametro	Descrizione
javaappserver	Immettere l'host del server Java del controllo SAP. Ad esempio: `contoso-java.server.com`
javainstance	Immettere il numero di istanza ABAP del controllo SAP. Ad esempio: `10`
javatz	Immettere il fuso orario configurato nel server Java del controllo SAP in formato GMT. Ad esempio: `GMT+3`
javaseverity	Immettere il livello di gravità più basso, inclusivo e per il quale si desidera inserire i log del servizio Web in Microsoft Sentinel. I valori comprendono: - 0 = Tutti i log - 1 = Avviso - 2 = Errore

Configurazione della raccolta dati user master

Per inserire le tabelle direttamente dal sistema SAP con i dettagli sugli utenti e le autorizzazioni dei ruoli, configurare il file di systemconfig.json con un'istruzione True/False per ogni tabella.

Ad esempio:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Per altre informazioni, vedere Informazioni di riferimento sulle tabelle recuperate direttamente dai sistemi SAP.

Per altre informazioni, vedere:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-23