Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller procedurer för att distribuera och konfigurera Microsoft Sentinel för SAP-dataanslutningsagentcontainern med expertalternativ, anpassade eller manuella konfigurationsalternativ. För vanliga distributioner rekommenderar vi att du använder portalen i stället.
Innehållet i den här artikeln är avsett för dina SAP BASIS-team . Mer information finns i Distribuera en SAP-dataanslutningsagent från kommandoraden.
Obs!
Den här artikeln är endast relevant för dataanslutningsagenten och är inte relevant för sap-agentlös dataanslutning.
Förhandskrav
- Kontrollera att systemet uppfyller de relevanta kraven innan du börjar. Mer information finns i Distributionskrav för Microsoft Sentinel lösningar för SAP-program.
Lägga till SAP-dataanslutningsagenten manuellt Azure Key Vault hemligheter
Använd följande skript för att manuellt lägga till SAP-systemhemligheter i ditt nyckelvalv. Ersätt platshållarna med ditt eget system-ID och de autentiseringsuppgifter som du vill lägga till:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Mer information finns i Snabbstart: Skapa ett nyckelvalv med hjälp av Azure CLI och az keyvault secret CLI-dokumentationen.
Utföra en expert-/anpassad installation
Den här proceduren beskriver hur du distribuerar Microsoft Sentinel för SAP-dataanslutningsappen via CLI med hjälp av en expert eller anpassad installation, till exempel när du installerar lokalt.
Förutsättningar: Azure Key Vault är den rekommenderade metoden för att lagra dina autentiseringsuppgifter och konfigurationsdata. Vi rekommenderar att du utför den här proceduren först när du har ett nyckelvalv klart med dina SAP-autentiseringsuppgifter.
Så här distribuerar du Microsoft Sentinel för SAP-dataanslutning:
Ladda ned den senaste SAP NW RFC SDK:n från SAP Launchpad-webbplatsen>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zipoch spara den på din dataanslutningsagentdator.
Obs!
Du behöver inloggningsinformation för SAP-användare för att få åtkomst till SDK:et och du måste ladda ned SDK:et som matchar ditt operativsystem.
Se till att välja alternativet LINUX ON X86_64 .
Skapa en ny mapp med ett beskrivande namn på samma dator och kopiera zip-filen SDK till den nya mappen.
Klona github-lagringsplatsen för Microsoft Sentinel lösning till din lokala dator och kopiera Microsoft Sentinel lösning för SAP-programlösning systemconfig.json fil till den nya mappen.
Till exempel:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Redigera den systemconfig.json filen efter behov med hjälp av inbäddade kommentarer som en guide.
Definiera följande konfigurationer med hjälp av anvisningarna i systemconfig.json-filen :
- Loggarna som du vill mata in i Microsoft Sentinel med hjälp av anvisningarna i systemconfig.json-filen.
- Om användarens e-postadresser ska inkluderas i granskningsloggar
- Om du vill försöka utföra misslyckade API-anrop igen
- Om du vill inkludera cexal-granskningsloggar
- Om du vill vänta ett tidsintervall mellan extrahering av data, särskilt för stora extraheringar
Mer information finns i Konfigurera Microsoft Sentinel manuellt för SAP-dataanslutningsappen och Definiera DE SAP-loggar som skickas till Microsoft Sentinel.
Om du vill testa konfigurationen kanske du vill lägga till användaren och lösenordet direkt i systemconfig.json konfigurationsfilen. Vi rekommenderar att du använder Azure Key Vault för att lagra dina autentiseringsuppgifter, men du kan också använda en env.list-fil, Docker-hemligheter eller lägga till dina autentiseringsuppgifter direkt i systemconfig.json-filen.
Mer information finns i KONFIGURATIONer för SAL-loggar.
Spara den uppdaterade systemconfig.json filen i sapcon-katalogen på datorn.
Om du har valt att använda en env.list-fil för dina autentiseringsuppgifter skapar du en temporär env.list-fil med nödvändiga autentiseringsuppgifter. När Docker-containern körs korrekt måste du ta bort den här filen.
Obs!
I följande skript finns varje Docker-container som ansluter till ett specifikt ABAP-system. Ändra skriptet efter behov för din miljö.
Köra:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Ladda ned och kör den fördefinierade Docker-avbildningen med SAP-dataanslutningsappen installerad. Köra:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Kontrollera att Docker-containern körs korrekt. Köra:
docker logs –f sapcon-[SID]Fortsätt med att distribuera Microsoft Sentinel lösning för SAP-program.
När du distribuerar lösningen kan SAP-dataanslutningsappen visas i Microsoft Sentinel och distribuerar SAP-arbetsboken och analysreglerna. När du är klar lägger du till och anpassar dina SAP-visningslistor manuellt.
Mer information finns i Distribuera Microsoft Sentinel lösning för SAP-program från innehållshubben.
Konfigurera Microsoft Sentinel för SAP-dataanslutningen manuellt
När du distribuerar via CLI konfigureras Microsoft Sentinel för SAP-dataanslutningsappen i systemconfig.json-filen, som du klonade till sap-dataanslutningsdatorn som en del av distributionsproceduren. Använd innehållet i det här avsnittet för att konfigurera inställningar för dataanslutningsappen manuellt.
Mer information finns i Systemconfig.json filreferens eller Systemconfig.ini filreferens för äldre system.
Definiera DE SAP-loggar som skickas till Microsoft Sentinel
Standardfilen systemconfig.json är konfigurerad för att täcka inbyggda analyser, huvuddatatabeller för SAP-användarauktorisering, med användare och behörighetsinformation samt möjligheten att spåra ändringar och aktiviteter i SAP-liggande.
Standardkonfigurationen ger mer loggningsinformation för att möjliggöra undersökningar efter intrång och utökade jaktförmågor. Men du kanske vill anpassa konfigurationen över tid, särskilt som affärsprocesser tenderar att vara säsongsbaserade.
Använd följande uppsättningar med kod för att konfigurera systemconfig.json-filen för att definiera loggarna som skickas till Microsoft Sentinel.
Mer information finns i Microsoft Sentinel lösning för REFERENS för SAP-programlösningsloggar (offentlig förhandsversion).
Konfigurera en standardprofil
Följande kod konfigurerar en standardkonfiguration:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Konfigurera en identifieringsfokuserad profil
Använd följande kod för att konfigurera en identifieringsfokuserad profil, som innehåller de kärnsäkerhetsloggar i SAP-landskapet som krävs för att de flesta analysreglerna ska fungera bra. Undersökningar efter intrång och jaktfunktioner är begränsade.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Använd följande kod för att konfigurera en minimal profil, som innehåller SAP-säkerhetsgranskningsloggen, som är den viktigaste datakällan som Microsoft Sentinel lösning för SAP-program använder för att analysera aktiviteter i SAP-liggande. Att aktivera den här loggen är det minsta kravet för att tillhandahålla säkerhetstäckning.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Inställningar för ANSLUTNINGsprogram för SAL-loggar
Lägg till följande kod i Microsoft Sentinel för SAP Data Connector systemconfig.json-filen för att definiera andra inställningar för SAP-loggar som matas in i Microsoft Sentinel.
Mer information finns i Utföra en expert-/anpassad installation av SAP-dataanslutningsappen.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
I det här avsnittet kan du konfigurera följande parametrar:
| Parameternamn | Beskrivning |
|---|---|
| extractuseremail | Avgör om användarens e-postadresser ingår i granskningsloggarna. |
| apiretry | Avgör om API-anrop görs om som en redundansmekanism. |
| auditlogforcexal | Avgör om systemet tvingar fram användning av granskningsloggar för icke-SAL-system, till exempel SAP BASIS version 7.4. |
| auditlogforcelegacyfiles | Avgör om systemet tvingar fram användning av granskningsloggar med äldre systemfunktioner, till exempel från SAP BASIS version 7.4 med lägre korrigeringsnivåer. |
| timechunk | Avgör att systemet väntar ett visst antal minuter som ett intervall mellan extrahering av data. Använd den här parametern om du har en stor mängd data som förväntas. Under den första datainläsningen under de första 24 timmarna kanske du vill att dataextraheringen bara ska köras var 30:e minut för att ge varje data extrahering tillräckligt med tid. I sådana fall anger du det här värdet till 30. |
Konfigurera en ABAP SAP-kontrollinstans
Om du vill mata in alla ABAP-loggar i Microsoft Sentinel, inklusive både NW RFC- och SAP Control Web Service-baserade loggar, konfigurerar du följande ABAP SAP-kontrollinformation:
| Inställning | Beskrivning |
|---|---|
| javaappserver | Ange SAP Control ABAP-servervärden. Till exempel: contoso-erp.appserver.com |
| javainstance | Ange ditt SAP Control ABAP-instansnummer. Till exempel: 00 |
| abaptz | Ange tidszonen som konfigurerats på SAP Control ABAP-servern i GMT-format. Till exempel: GMT+3 |
| abapseverity | Ange den lägsta, inkluderande allvarlighetsgrad som du vill mata in ABAP-loggar för i Microsoft Sentinel. Värdena är: - 0 = Alla loggar - 1 = Varning - 2 = Fel |
Konfigurera en Java SAP-kontrollinstans
Om du vill mata in SAP Control-webbtjänstloggar i Microsoft Sentinel konfigurerar du följande information om JAVA SAP-kontrollinstansen:
| Parameter | Beskrivning |
|---|---|
| javaappserver | Ange din SAP Control Java-servervärd. Till exempel: contoso-java.server.com |
| javainstance | Ange ditt SAP Control ABAP-instansnummer. Till exempel: 10 |
| javatz | Ange tidszonen som konfigurerats på SAP Control Java-servern i GMT-format. Till exempel: GMT+3 |
| javaseverity | Ange den lägsta, inkluderande allvarlighetsgrad som du vill mata in webbtjänstloggar för i Microsoft Sentinel. Värdena är: - 0 = Alla loggar - 1 = Varning - 2 = Fel |
Konfigurera insamling av användarhuvuddata
Om du vill mata in tabeller direkt från DITT SAP-system med information om dina användare och rollauktoriseringar konfigurerar du din systemconfig.json fil med en True/False instruktion för varje tabell.
Till exempel:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Mer information finns i Referens för tabeller som hämtats direkt från SAP-system.
Relaterat innehåll
Mer information finns i: