Implementar o Microsoft Sentinel para o contentor do agente do conector de dados SAP com opções de peritos

Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo fornece procedimentos para implementar e configurar o Microsoft Sentinel para o contentor do agente do conector de dados SAP com opções de configuração especializadas, personalizadas ou manuais. Para implementações típicas, recomendamos que utilize o portal .

Os conteúdos neste artigo destinam-se às suas equipas SAP BASIS . Para obter mais informações, veja Implementar um agente do conector de dados SAP a partir da linha de comandos.

Nota

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para o conector de dados sem agente SAP.

Pré-requisitos

Certifique-se de que o seu sistema está em conformidade com os pré-requisitos relevantes antes de começar. Para obter mais informações, veja Pré-requisitos de implementação para as soluções de Microsoft Sentinel para aplicações SAP.

Adicionar manualmente o agente do conector de dados SAP Azure Key Vault segredos

Utilize o seguinte script para adicionar manualmente segredos do sistema SAP ao cofre de chaves. Certifique-se de que substitui os marcadores de posição pelo seu próprio ID de sistema e pelas credenciais que pretende adicionar:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Para obter mais informações, veja o Início Rápido: Criar um cofre de chaves com a CLI do Azure e a documentação da CLI az keyvault secret.

Efetuar uma instalação especializada/personalizada

Este procedimento descreve como implementar o Microsoft Sentinel para o conector de dados SAP através da CLI através de uma instalação personalizada ou especializada, como ao instalar no local.

Pré-requisitos: Azure Key Vault é o método recomendado para armazenar as credenciais de autenticação e os dados de configuração. Recomendamos que execute este procedimento apenas depois de ter um cofre de chaves pronto com as suas credenciais SAP.

Para implementar o Microsoft Sentinel para o conector de dados SAP:

Transfira o SDK RFC SAP NW mais recente a partir do site> sapLaunchpad SDK SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zipe guarde-o no computador do agente do conector de dados.

Nota

Precisará das suas informações de início de sessão de utilizador sap para aceder ao SDK e tem de transferir o SDK que corresponde ao seu sistema operativo.

Certifique-se de que seleciona a opção LINUX ON X86_64 .
No mesmo computador, crie uma nova pasta com um nome significativo e copie o ficheiro zip do SDK para a sua nova pasta.

Clone o repositório do GitHub da solução de Microsoft Sentinel no seu computador no local e copie Microsoft Sentinel solução para a solução de aplicações SAP systemconfig.json ficheiro para a sua nova pasta.

Por exemplo:

mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

Edite o ficheiro systemconfig.json conforme necessário, utilizando os comentários incorporados como um guia.

Defina as seguintes configurações com as instruções no ficheiro systemconfig.json :
- Os registos que pretende ingerir no Microsoft Sentinel com as instruções no ficheiro systemconfig.json.
- Se pretende incluir endereços de e-mail de utilizador nos registos de auditoria
- Se pretende repetir chamadas à API falhadas
- Se pretende incluir registos de auditoria cexal
- Se pretende aguardar um intervalo de tempo entre extrações de dados, especialmente para extrações de grandes dimensões
Para obter mais informações, veja Configurar manualmente o Microsoft Sentinel para o conector de dados SAP e Definir os registos SAP que são enviados para Microsoft Sentinel.

Para testar a configuração, poderá querer adicionar o utilizador e a palavra-passe diretamente ao ficheiro de configuração systemconfig.json . Embora recomendemos que utilize Azure Key Vault para armazenar as suas credenciais, também pode utilizar um ficheiro env.list, segredos do Docker ou pode adicionar as suas credenciais diretamente ao ficheiro de systemconfig.json.

Para obter mais informações, veja Configurações do conector de registos SAL.
Guarde o ficheiro de systemconfig.json atualizado no diretório sapcon do seu computador.

Se tiver optado por utilizar um ficheiro env.list para as suas credenciais, crie um ficheiro env.list temporário com as credenciais necessárias. Assim que o contentor do Docker estiver a ser executado corretamente, certifique-se de que elimina este ficheiro.

Nota

O script seguinte tem cada contentor do Docker a ligar a um sistema ABAP específico. Modifique o script conforme necessário para o seu ambiente.

Executar:

##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

Transfira e execute a imagem predefinida do Docker com o conector de dados SAP instalado. Executar:

docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

Verifique se o contentor do Docker está a ser executado corretamente. Executar:
```
docker logs –f sapcon-[SID]
```
Continue com a implementação Microsoft Sentinel solução para aplicações SAP.

A implementação da solução permite que o conector de dados SAP seja apresentado no Microsoft Sentinel e implementa o livro sap e as regras de análise. Quando terminar, adicione e personalize manualmente as suas listas de observação SAP.

Para obter mais informações, veja Implementar a solução de Microsoft Sentinel para aplicações SAP a partir do hub de conteúdos.

Configurar manualmente o Microsoft Sentinel para o conector de dados SAP

Quando implementado através da CLI, o Microsoft Sentinel do conector de dados SAP é configurado no ficheiro systemconfig.json, que clonou para o computador do conector de dados SAP como parte do procedimento de implementação. Utilize o conteúdo nesta secção para configurar manualmente as definições do conector de dados.

Para obter mais informações, veja Systemconfig.json referência de ficheiros ou Systemconfig.ini referência de ficheiros para sistemas legados.

Definir os registos SAP que são enviados para Microsoft Sentinel

O ficheiro de systemconfig.json predefinido está configurado para abranger análises incorporadas, tabelas de dados mestras de autorização de utilizador sap, com informações de utilizadores e privilégios e a capacidade de controlar alterações e atividades no panorama do SAP.

A configuração predefinida fornece mais informações de registo para permitir investigações pós-violação e capacidades de investigação alargada. No entanto, poderá querer personalizar a configuração ao longo do tempo, especialmente porque os processos empresariais tendem a ser sazonais.

Utilize os seguintes conjuntos de código para configurar o ficheiro systemconfig.json para definir os registos que são enviados para Microsoft Sentinel.

Para obter mais informações, veja Microsoft Sentinel solução para a referência de registos de soluções de aplicações SAP (pré-visualização pública).

Configurar um perfil predefinido

O código seguinte configura uma configuração predefinida:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Configurar um perfil focado na deteção

Utilize o seguinte código para configurar um perfil focado na deteção, que inclui os registos de segurança principais do panorama sap necessários para que a maioria das regras de análise tenha um bom desempenho. As investigações pós-violação e as capacidades de investigação são limitadas.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Utilize o seguinte código para configurar um perfil mínimo, que inclui o Registo de Auditoria de Segurança sap, que é a origem de dados mais importante que a solução Microsoft Sentinel para aplicações SAP utiliza para analisar atividades no panorama do SAP. Ativar este registo é o requisito mínimo para fornecer qualquer cobertura de segurança.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Definições do conector de registos SAL

Adicione o seguinte código à Microsoft Sentinel do conector de dados SAP systemconfig.json ficheiro para definir outras definições para registos SAP ingeridos no Microsoft Sentinel.

Para obter mais informações, veja Executar uma instalação especializada/personalizada do conector de dados SAP.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

Esta secção permite-lhe configurar os seguintes parâmetros:

Parameter name	Descrição
extractuseremail	Determina se os endereços de e-mail do utilizador estão incluídos nos registos de auditoria.
apiria	Determina se as chamadas à API são repetidas como um mecanismo de ativação pós-falha.
auditlogforcexal	Determina se o sistema força a utilização de registos de auditoria para sistemas não SAL, como SAP BASIS versão 7.4.
auditlogforcelegacyfiles	Determina se o sistema força a utilização de registos de auditoria com capacidades de sistema legadas, como a versão 7.4 do SAP BASIS com níveis de patch mais baixos.
timechunk	Determina que o sistema aguarda um número específico de minutos como um intervalo entre extrações de dados. Utilize este parâmetro se tiver uma grande quantidade de dados esperados. Por exemplo, durante o carregamento de dados inicial durante as primeiras 24 horas, poderá querer que a extração de dados seja executada apenas a cada 30 minutos para dar tempo suficiente a cada extração de dados. Nestes casos, defina este valor como 30.

Configurar uma instância do Controlo SAP do ABAP

Para ingerir todos os registos ABAP no Microsoft Sentinel, incluindo os registos baseados no SERVIÇO Web DE CONTROLO NW e SAP Control, configure os seguintes detalhes do Controlo SAP do ABAP:

Definição	Descrição
javaappserver	Introduza o anfitrião do servidor ABAP de Controlo SAP. Por exemplo: `contoso-erp.appserver.com`
javainstance	Introduza o número da instância do ABAP do Controlo SAP. Por exemplo: `00`
abaptz	Introduza o fuso horário configurado no servidor ABAP de Controlo SAP, no formato GMT. Por exemplo: `GMT+3`
abapseverity	Introduza o nível de gravidade mais baixo, inclusivo para o qual pretende ingerir registos ABAP no Microsoft Sentinel. Os valores incluem: - 0 = Todos os registos - 1 = Aviso - 2 = Erro

Configurar uma instância do Controlo SAP de Java

Para ingerir registos do Sap Control Web Service no Microsoft Sentinel, configure os seguintes detalhes da instância do SAP Control do JAVA:

Parâmetro	Descrição
javaappserver	Introduza o seu anfitrião de servidor Java de Controlo SAP. Por exemplo: `contoso-java.server.com`
javainstance	Introduza o número da instância do ABAP do Controlo SAP. Por exemplo: `10`
javatz	Introduza o fuso horário configurado no servidor Java de Controlo SAP, no formato GMT. Por exemplo: `GMT+3`
javaseverity	Introduza o nível de gravidade mais baixo, inclusivo para o qual pretende ingerir registos do Serviço Web no Microsoft Sentinel. Os valores incluem: - 0 = Todos os registos - 1 = Aviso - 2 = Erro

Configurar a recolha de dados do Modelo Global de Utilizadores

Para ingerir tabelas diretamente a partir do seu sistema SAP com detalhes sobre os seus utilizadores e autorizações de função, configure o seu ficheiro de systemconfig.json com uma True/False instrução para cada tabela.

Por exemplo:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Para obter mais informações, veja Referência das tabelas obtidas diretamente a partir de sistemas SAP.

Para mais informações, consulte:

Comentários

Esta página foi útil?

Last updated on 2026-04-23