De Microsoft Sentinel voor sap-gegevensconnectoragentcontainer implementeren met deskundige opties

Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Dit artikel bevat procedures voor het implementeren en configureren van de Microsoft Sentinel voor sap-gegevensconnectoragentcontainer met deskundige, aangepaste of handmatige configuratieopties. Voor typische implementaties raden we u aan in plaats daarvan de portal te gebruiken.

Inhoud in dit artikel is bedoeld voor uw SAP BASIS-teams . Zie Een SAP-gegevensconnectoragent implementeren vanaf de opdrachtregel voor meer informatie.

Opmerking

Dit artikel is alleen relevant voor de gegevensconnectoragent en is niet relevant voor de SAP-gegevensconnector zonder agent.

Vereisten

Zorg ervoor dat uw systeem voldoet aan de relevante vereisten voordat u begint. Zie Implementatievereisten voor de Microsoft Sentinel-oplossingen voor SAP-toepassingen voor meer informatie.

SAP-gegevensconnectoragent handmatig toevoegen Azure Key Vault geheimen

Gebruik het volgende script om SAP-systeemgeheimen handmatig toe te voegen aan uw sleutelkluis. Zorg ervoor dat u de tijdelijke aanduidingen vervangt door uw eigen systeem-id en de referenties die u wilt toevoegen:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Zie de quickstart: een sleutelkluis maken met behulp van de Azure CLI en de cli-documentatie az keyvault secret voor meer informatie.

Een expert/aangepaste installatie uitvoeren

In deze procedure wordt beschreven hoe u de Microsoft Sentinel voor SAP-gegevensconnector implementeert via de CLI met behulp van een deskundige of aangepaste installatie, bijvoorbeeld wanneer u on-premises installeert.

Vereisten: Azure Key Vault is de aanbevolen methode om uw verificatiereferenties en configuratiegegevens op te slaan. We raden u aan deze procedure pas uit te voeren nadat u een sleutelkluis met uw SAP-referenties bij de hand hebt.

De Microsoft Sentinel voor SAP-gegevensconnector implementeren:

Download de nieuwste SAP NW RFC SDK van de SAP Launchpad-site>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zipen sla deze op uw dataconnectoragentcomputer op.

Opmerking

U hebt de aanmeldingsgegevens van uw SAP-gebruiker nodig om toegang te krijgen tot de SDK en u moet de SDK downloaden die overeenkomt met uw besturingssysteem.

Zorg ervoor dat u de optie LINUX ON X86_64 selecteert.
Maak op dezelfde computer een nieuwe map met een duidelijke naam en kopieer het SDK-zipbestand naar uw nieuwe map.

Kloon de GitHub-opslagplaats van de Microsoft Sentinel oplossing naar uw on-premises computer en kopieer Microsoft Sentinel oplossing voor SAP-toepassingen systemconfig.json bestand naar uw nieuwe map.

Bijvoorbeeld:

mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

Bewerk het systemconfig.json-bestand indien nodig met behulp van de ingesloten opmerkingen als richtlijn.

Definieer de volgende configuraties met behulp van de instructies in het systemconfig.json-bestand :
- De logboeken die u wilt opnemen in Microsoft Sentinel met behulp van de instructies in het systemconfig.json-bestand.
- Of e-mailadressen van gebruikers moeten worden opgenomen in auditlogboeken
- Of mislukte API-aanroepen opnieuw moeten worden geprobeerd
- Of cexale auditlogboeken moeten worden opgenomen
- Of u een tijdsinterval tussen gegevensextracties moet wachten, met name voor grote extracties
Zie De Microsoft Sentinel voor SAP-gegevensconnector handmatig configureren en De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden voor meer informatie.

Als u uw configuratie wilt testen, kunt u de gebruiker en het wachtwoord rechtstreeks toevoegen aan het systemconfig.json configuratiebestand. Hoewel u wordt aangeraden Azure Key Vault te gebruiken om uw referenties op te slaan, kunt u ook een env.list-bestand, Docker-geheimen gebruiken of uw referenties rechtstreeks toevoegen aan het systemconfig.json-bestand.

Zie connectorconfiguraties voor SAL-logboeken voor meer informatie.
Sla het bijgewerkte systemconfig.json-bestand op in de sapcon-map op uw computer.

Als u ervoor hebt gekozen om een bestand env.list te gebruiken voor uw referenties, maakt u een tijdelijk bestand env.list met de vereiste referenties. Zodra uw Docker-container correct wordt uitgevoerd, moet u dit bestand verwijderen.

Opmerking

Met het volgende script maakt elke Docker-container verbinding met een specifiek ABAP-systeem. Wijzig uw script indien nodig voor uw omgeving.

Uitvoeren:

##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

Download en voer de vooraf gedefinieerde Docker-installatiekopieën uit met de SAP-gegevensconnector geïnstalleerd. Uitvoeren:

docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

Controleer of de Docker-container correct wordt uitgevoerd. Uitvoeren:
```
docker logs –f sapcon-[SID]
```
Ga verder met het implementeren van Microsoft Sentinel oplossing voor SAP-toepassingen.

Als u de oplossing implementeert, kan de SAP-gegevensconnector worden weergegeven in Microsoft Sentinel en worden de SAP-werkmap- en analyseregels geïmplementeerd. Wanneer u klaar bent, kunt u uw SAP-volglijsten handmatig toevoegen en aanpassen.

Zie De Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen vanuit de inhoudshub voor meer informatie.

De Microsoft Sentinel voor SAP-gegevensconnector handmatig configureren

Bij implementatie via de CLI wordt de Microsoft Sentinel voor SAP-gegevensconnector geconfigureerd in het systemconfig.json-bestand dat u hebt gekloond naar uw SAP-gegevensconnectorcomputer als onderdeel van de implementatieprocedure. Gebruik de inhoud in deze sectie om de instellingen van de gegevensconnector handmatig te configureren.

Zie bestandsreferenties Systemconfig.json of Systemconfig.ini bestandsreferenties voor verouderde systemen voor meer informatie.

Definieer de SAP-logboeken die naar Microsoft Sentinel worden verzonden

Het standaardbestand systemconfig.json is geconfigureerd voor ingebouwde analyses, de hoofdgegevenstabellen voor SAP-gebruikersautorisatie, met gebruikers en bevoegdheidsinformatie, en de mogelijkheid om wijzigingen en activiteiten in het SAP-landschap bij te houden.

De standaardconfiguratie biedt meer informatie over logboekregistratie om onderzoek na inbreuk en uitgebreide opsporingsmogelijkheden mogelijk te maken. U kunt echter uw configuratie in de loop van de tijd aanpassen, vooral omdat bedrijfsprocessen meestal seizoensgebonden zijn.

Gebruik de volgende codesets om het systemconfig.json-bestand te configureren om de logboeken te definiëren die naar Microsoft Sentinel worden verzonden.

Zie Microsoft Sentinel oplossing voor logboeken van SAP-toepassingen (openbare preview) voor meer informatie.

Een standaardprofiel configureren

Met de volgende code wordt een standaardconfiguratie geconfigureerd:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Een op detectie gericht profiel configureren

Gebruik de volgende code om een op detectie gericht profiel te configureren, dat de kernbeveiligingslogboeken van het SAP-landschap bevat die nodig zijn om de meeste analyseregels goed te laten presteren. Onderzoek na inbreuk en opsporingsmogelijkheden zijn beperkt.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Gebruik de volgende code om een minimaal profiel te configureren, waaronder het SAP-beveiligingscontrolelogboek, de belangrijkste gegevensbron die de Microsoft Sentinel-oplossing voor SAP-toepassingen gebruikt om activiteiten in het SAP-landschap te analyseren. Het inschakelen van dit logboek is de minimale vereiste om eventuele beveiligingsdekking te bieden.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Connectorinstellingen voor SAL-logboeken

Voeg de volgende code toe aan de Microsoft Sentinel voor SAP-gegevensconnector systemconfig.json-bestand om andere instellingen te definiëren voor SAP-logboeken die worden opgenomen in Microsoft Sentinel.

Zie Een deskundige/aangepaste SAP-gegevensconnectorinstallatie uitvoeren voor meer informatie.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

In deze sectie kunt u de volgende parameters configureren:

Parameternaam	Beschrijving
extractuseremail	Bepaalt of e-mailadressen van gebruikers worden opgenomen in auditlogboeken.
apiretry	Bepaalt of API-aanroepen opnieuw worden geprobeerd als failovermechanisme.
auditlogforcexal	Bepaalt of het systeem het gebruik van auditlogboeken afding voor niet-SAL-systemen, zoals SAP BASIS versie 7.4.
auditlogforcelegacyfiles	Bepaalt of het systeem het gebruik van auditlogboeken met verouderde systeemmogelijkheden dwingt, zoals van SAP BASIS versie 7.4 met lagere patchniveaus.
timechunk	Bepaalt dat het systeem een bepaald aantal minuten wacht als interval tussen gegevensextracties. Gebruik deze parameter als u een grote hoeveelheid gegevens verwacht. Tijdens de initiële gegevensbelasting tijdens de eerste 24 uur wilt u de gegevensextractie bijvoorbeeld slechts om de 30 minuten laten uitvoeren om elke gegevensextractie voldoende tijd te geven. Stel in dergelijke gevallen deze waarde in op 30.

Een ABAP SAP Control-exemplaar configureren

Als u alle ABAP-logboeken wilt opnemen in Microsoft Sentinel, met inbegrip van zowel NW RFC- als SAP Control Web Service-logboeken, configureert u de volgende ABAP SAP Control-details:

Instelling	Beschrijving
javaappserver	Voer uw SAP Control ABAP-serverhost in. Bijvoorbeeld:`contoso-erp.appserver.com`
javainstance	Voer het exemplaarnummer van SAP Control ABAP in. Bijvoorbeeld:`00`
abaptz	Voer de tijdzone in die is geconfigureerd op uw SAP Control ABAP-server, in GMT-indeling. Bijvoorbeeld:`GMT+3`
abapseverity	Voer het laagste ernstniveau in waarvoor u ABAP-logboeken wilt opnemen in Microsoft Sentinel. Waarden zijn onder andere: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout

Een Java SAP Control-exemplaar configureren

Als u SAP Control Web Service-logboeken wilt opnemen in Microsoft Sentinel, configureert u de volgende details van het JAVA SAP Control-exemplaar:

Parameter	Beschrijving
javaappserver	Voer uw SAP Control Java-serverhost in. Bijvoorbeeld:`contoso-java.server.com`
javainstance	Voer het exemplaarnummer van SAP Control ABAP in. Bijvoorbeeld:`10`
javatz	Voer de tijdzone in die is geconfigureerd op uw SAP Control Java-server, in GMT-indeling. Bijvoorbeeld:`GMT+3`
javaseverity	Voer het laagste ernstniveau in waarvoor u webservicelogboeken wilt opnemen in Microsoft Sentinel. Waarden zijn onder andere: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout

Gebruikersmodelgegevensverzameling configureren

Als u tabellen rechtstreeks vanuit uw SAP-systeem wilt opnemen met details over uw gebruikers en rolautorisaties, configureert u uw systemconfig.json-bestand met een True/False instructie voor elke tabel.

Bijvoorbeeld:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Zie Naslaginformatie over tabellen die rechtstreeks uit SAP-systemen zijn opgehaald voor meer informatie.

Zie voor meer informatie:

Feedback

Is deze pagina nuttig?

Last updated on 2026-04-23