Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen inneholder fremgangsmåter for distribusjon og konfigurering av Microsoft Sentinel for AGENTbeholder for SAP-datakobling med ekspert-, egendefinerte eller manuelle konfigurasjonsalternativer. For vanlige distribusjoner anbefaler vi at du bruker portalen i stedet.
Innholdet i denne artikkelen er ment for SAP BASIS-teamene dine. Hvis du vil ha mer informasjon, kan du se Distribuer en SAP-datakoblingsagent fra kommandolinjen.
Obs!
Denne artikkelen er bare relevant for datakoblingsagenten, og er ikke relevant for SAP-agentløs datakobling.
Forutsetninger
- Kontroller at systemet er i samsvar med de relevante forutsetningene før du begynner. Hvis du vil ha mer informasjon, kan du se forutsetninger for distribusjon for Microsoft Sentinel løsninger for SAP-programmer.
Legg til SAP-datakoblingsagent manuelt Azure Key Vault hemmeligheter
Bruk følgende skript til å legge til SAP-systemhemmeligheter manuelt i nøkkelhvelvet. Pass på å erstatte plassholderne med din egen system-ID og legitimasjonen du vil legge til:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Hvis du vil ha mer informasjon, kan du se Hurtigstart: Opprett et nøkkelhvelv ved hjelp av Azure CLI og den hemmelige CLI-dokumentasjonen for az keyvault.
Utfør en ekspert / egendefinert installasjon
Denne fremgangsmåten beskriver hvordan du distribuerer Microsoft Sentinel for SAP-datakobling via CLI ved hjelp av en ekspert eller egendefinert installasjon, for eksempel når du installerer lokalt.
Forutsetninger: Azure Key Vault er den anbefalte metoden for å lagre godkjenningslegitimasjonen og konfigurasjonsdataene. Vi anbefaler at du utfører denne prosedyren bare etter at du har et nøkkelhvelv klart med SAP-legitimasjonen.
Slik distribuerer du Microsoft Sentinel for SAP-datakobling:
Last ned den nyeste SAP NW RFC SDK-en fra SAP Launchpad-nettstedet>SAP NW RFC SDK>SAP NW RFC SDK 7,50>nwrfc750X_X-xxxxxxx.zip, og lagre den på datakoblingsagentmaskinen.
Obs!
Du trenger påloggingsinformasjonen for SAP-brukeren for å få tilgang til SDK-en, og du må laste ned SDK-en som samsvarer med operativsystemet ditt.
Pass på å velge alternativet LINUX ON X86_64 .
Opprett en ny mappe med et meningsfullt navn på samme maskin, og kopier SDK ZIP-filen til den nye mappen.
Klon Microsoft Sentinel løsnings-GitHub-repositoriet til den lokale maskinen, og kopier Microsoft Sentinel løsning for SAP-programmer systemconfig.json fil til den nye mappen.
Eksempel:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Rediger systemconfig.json-filen etter behov ved hjelp av de innebygde kommentarene som en veiledning.
Definer følgende konfigurasjoner ved hjelp av instruksjonene i systemconfig.json-filen :
- Loggene du vil ta inn i Microsoft Sentinel ved hjelp av instruksjonene i systemconfig.json-filen.
- Om du vil inkludere bruker-e-postadresser i overvåkingslogger
- Om du vil prøve mislykkede API-kall på nytt
- Om cexal-overvåkingslogger skal inkluderes
- Om du vil vente et tidsintervall mellom datautpakkinger, spesielt for store uttrekkinger
Hvis du vil ha mer informasjon, kan du se Konfigurere Microsoft Sentinel manuelt for SAP-datakoblingen og definere SAP-loggene som sendes til Microsoft Sentinel.
Hvis du vil teste konfigurasjonen, bør du legge til brukeren og passordet direkte i systemconfig.json konfigurasjonsfilen. Selv om vi anbefaler at du bruker Azure Key vault til å lagre legitimasjonen din, kan du også bruke en env.list-fil, Docker-hemmeligheter, eller du kan legge til legitimasjonen direkte i systemconfig.json-filen.
Hvis du vil ha mer informasjon, kan du se konfigurasjoner for SAL-loggkoblinger.
Lagre den oppdaterte systemconfig.json-filen i sapcon-katalogen på maskinen.
Hvis du har valgt å bruke en env.list-fil for legitimasjonen din, oppretter du en midlertidig env.list-fil med den nødvendige legitimasjonen. Når Docker-beholderen kjører riktig, må du slette denne filen.
Obs!
Følgende skript har hver Docker-beholder som kobler til et bestemt ABAP-system. Endre skriptet etter behov for miljøet.
Kjøre:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Last ned og kjør det forhåndsdefinerte Docker-bildet med SAP-datakoblingen installert. Kjøre:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Kontroller at Docker-beholderen kjører riktig. Kjøre:
docker logs –f sapcon-[SID]Fortsett med å distribuere Microsoft Sentinel løsning for SAP-programmer.
Ved å distribuere løsningen kan SAP-datakoblingen vises i Microsoft Sentinel og distribuerer SAP-arbeidsboken og analysereglene. Når du er ferdig, legger du til og tilpasser SAP-visningslistene manuelt.
Hvis du vil ha mer informasjon, kan du se Distribuer Microsoft Sentinel løsning for SAP-programmer fra innholdshuben.
Konfigurere Microsoft Sentinel for SAP-datakobling manuelt
Når den distribueres via CLI, konfigureres Microsoft Sentinel for SAP-datakoblingen i systemconfig.json-filen, som du klonet til SAP-datakoblingsmaskinen som en del av distribusjonsprosedyren. Bruk innholdet i denne delen til å konfigurere innstillinger for datakobling manuelt.
Hvis du vil ha mer informasjon, kan du se Systemconfig.json filreferanse eller Systemconfig.ini filreferanse for eldre systemer.
Definer SAP-loggene som sendes til Microsoft Sentinel
Standard systemconfig.json-filen er konfigurert til å dekke innebygde analyser, hoveddatatabeller for SAP-brukerautorisasjon, med brukere og rettighetsinformasjon og muligheten til å spore endringer og aktiviteter i SAP-landskapet.
Standardkonfigurasjonen gir mer loggingsinformasjon for å tillate undersøkelser etter brudd og utvidede jaktevner. Det kan imidlertid hende du vil tilpasse konfigurasjonen over tid, spesielt ettersom forretningsprosesser pleier å være sesongbetonte.
Bruk følgende sett med kode til å konfigurere systemconfig.json-filen til å definere loggene som sendes til Microsoft Sentinel.
Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel løsning for løsningslogger for SAP-programmer (offentlig forhåndsvisning).
Konfigurer en standardprofil
Følgende kode konfigurerer en standardkonfigurasjon:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Konfigurere en gjenkjenningsfokusert profil
Bruk følgende kode til å konfigurere en gjenkjenningsfokusert profil, som inkluderer kjernesikkerhetsloggene i SAP-landskapet som kreves for at de fleste analysereglene skal fungere bra. Undersøkelser og jaktfunksjoner etter brudd er begrenset.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Bruk følgende kode til å konfigurere en minimal profil, som inkluderer SAP Security Audit Log, som er den viktigste datakilden som Microsoft Sentinel løsning for SAP-programmer bruker til å analysere aktiviteter i SAP-landskapet. Aktivering av denne loggen er det minimale kravet for å gi sikkerhetsdekning.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Innstillinger for SAL-loggkobling
Legg til følgende kode i Microsoft Sentinel for SAP-datakoblingsfilen systemconfig.json for å definere andre innstillinger for SAP-logger som er inntatt i Microsoft Sentinel.
Hvis du vil ha mer informasjon, kan du se Utføre en ekspert / tilpasset installasjon av SAP-datakobling.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
I denne delen kan du konfigurere følgende parametere:
| Parameternavn | Beskrivelse |
|---|---|
| extractuseremail | Bestemmer om bruker-e-postadresser er inkludert i overvåkingslogger. |
| apiretry | Bestemmer om API-kall prøves på nytt som en failovermekanisme. |
| auditlogforcexal | Bestemmer om systemet tvinger bruken av overvåkingslogger for ikke-SAL-systemer, for eksempel SAP BASIS versjon 7.4. |
| auditlogforcelegacyfiles | Bestemmer om systemet tvinger bruken av overvåkingslogger med eldre systemfunksjoner, for eksempel fra SAP BASIS versjon 7.4 med lavere oppdateringsnivåer. |
| timechunk | Bestemmer at systemet venter et bestemt antall minutter som et intervall mellom datauthentinger. Bruk denne parameteren hvis du har en stor mengde data som forventes. I løpet av den første databelastningen i løpet av de første 24 timene vil du kanskje at datauthentingen bare skal kjøre hvert 30. minutt for å gi hver datauthenting nok tid. I slike tilfeller angir du denne verdien til 30. |
Konfigurere en ABAP SAP-kontrollforekomst
Hvis du vil innta alle ABAP-logger i Microsoft Sentinel, inkludert både NW RFC- og SAP Control Web Service-baserte logger, konfigurerer du følgende ABAP SAP-kontrolldetaljer:
| Innstilling | Beskrivelse |
|---|---|
| javaappserver | Angi SAP Control ABAP-serververten. For eksempel: contoso-erp.appserver.com |
| javainstance | Skriv inn forekomstnummeret for SAP-kontrollens ABAP-forekomst. For eksempel: 00 |
| abaptz | Angi tidssonen som er konfigurert på SAP-kontroll-ABAP-serveren, i GMT-format. For eksempel: GMT+3 |
| abapseverity | Skriv inn det laveste, inklusive alvorsgradnivået du vil innta ABAP-logger for i Microsoft Sentinel. Verdier inkluderer: - 0 = Alle logger - 1 = Advarsel - 2 = feil |
Konfigurere en Forekomst av Java SAP-kontroll
Hvis du vil ta inn pålogginger for SAP-kontrollwebtjenesten i Microsoft Sentinel, konfigurerer du følgende forekomstdetaljer for JAVA SAP-kontroll:
| Parameteren | Beskrivelse |
|---|---|
| javaappserver | Skriv inn JAVA-serververten for SAP-kontrollen. For eksempel: contoso-java.server.com |
| javainstance | Skriv inn forekomstnummeret for SAP-kontrollens ABAP-forekomst. For eksempel: 10 |
| javatz | Angi tidssonen som er konfigurert på JAVA-serveren for SAP-kontroll, i GMT-format. For eksempel: GMT+3 |
| javaseverity | Skriv inn det laveste og laveste alvorsgradnivået som du vil ta inn webtjenestelogger for i Microsoft Sentinel. Verdier inkluderer: - 0 = Alle logger - 1 = Advarsel - 2 = feil |
Konfigurere datainnsamling for brukeroriginal
Hvis du vil ta inn tabeller direkte fra SAP-systemet med detaljer om brukerne og rolleautorisasjoner, konfigurerer du systemconfig.json-filen med en True/False setning for hver tabell.
Eksempel:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Hvis du vil ha mer informasjon, kan du se Referanse for tabeller som hentes direkte fra SAP-systemer.
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: