Distribuire il contenitore dell'agente del connettore dati di Microsoft Sentinel per SAP con opzioni di esperti

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo illustra le procedure per la distribuzione e la configurazione del contenitore agente di Microsoft Sentinel per SAP Data Connector con opzioni di configurazione esperti, personalizzate o manuali. Per le distribuzioni tipiche, è consigliabile usare invece il portale .

Il contenuto di questo articolo è destinato ai team SAP BASIS . Per altre informazioni, vedere Distribuire un agente del connettore dati SAP dalla riga di comando.

Nota

Questo articolo è rilevante solo per l'agente del connettore dati e non è rilevante per la soluzione SAP senza agente (anteprima limitata).

Prerequisiti

• Assicurarsi che il sistema sia conforme ai prerequisiti pertinenti prima di iniziare. Per altre informazioni, vedere Prerequisiti di distribuzione per le soluzioni Di Microsoft Sentinel per le applicazioni SAP.

Aggiungere manualmente i segreti dell'agente di Azure Key Vault del connettore dati SAP

Usare lo script seguente per aggiungere manualmente segreti di sistema SAP all'insieme di credenziali delle chiavi. Assicurarsi di sostituire i segnaposto con il proprio ID di sistema e le credenziali da aggiungere:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Per altre informazioni, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi usando l'interfaccia della riga di comando di Azure e la documentazione dell'interfaccia della riga di comando az keyvault secret .

Eseguire un'installazione esperta/personalizzata

Questa procedura descrive come distribuire Microsoft Sentinel per SAP Data Connector tramite l'interfaccia della riga di comando usando un esperto o un'installazione personalizzata, ad esempio durante l'installazione locale.

Prerequisiti: Azure Key Vault è il metodo consigliato per archiviare le credenziali di autenticazione e i dati di configurazione. È consigliabile eseguire questa procedura solo dopo aver pronto un insieme di credenziali delle chiavi con le credenziali SAP.

Per distribuire Il connettore dati di Microsoft Sentinel per SAP:

1. Scaricare la versione più recente di SAP NW RFC SDK dal sito>SAP Launchpad SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip e salvarlo nel computer agente del connettore dati.

   Nota

   Sono necessarie le informazioni di accesso dell'utente SAP per accedere all'SDK ed è necessario scaricare l'SDK corrispondente al sistema operativo.

   Assicurarsi di selezionare l'opzione LINUX ON X86_64 .

2. Nello stesso computer creare una nuova cartella con un nome significativo e copiare il file ZIP dell'SDK nella nuova cartella.

3. Clonare il repository GitHub della soluzione Microsoft Sentinel nel computer locale e copiare la soluzione Microsoft Sentinel per le applicazioni SAP systemconfig.json file nella nuova cartella.

   Ad esempio:

   mkdir /home/$(pwd)/sapcon/<sap-sid>/
   cd /home/$(pwd)/sapcon/<sap-sid>/
   wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
   cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
   

4. Modificare il file systemconfig.json in base alle esigenze, usando i commenti incorporati come guida.

   Definire le configurazioni seguenti usando le istruzioni nel file systemconfig.json :

   • I log da inserire in Microsoft Sentinel usando le istruzioni nel file systemconfig.json .
   • Indica se includere gli indirizzi di posta elettronica degli utenti nei log di controllo
   • Indica se ripetere le chiamate API non riuscite
   • Indica se includere i log di controllo cexal
   • Indica se attendere un intervallo di tempo tra le estrazioni di dati, in particolare per le estrazioni di grandi dimensioni

   Per altre informazioni, vedere Configurare manualmente Microsoft Sentinel per il connettore dati SAP e Definire i log SAP inviati a Microsoft Sentinel.

   Per testare la configurazione, è possibile aggiungere l'utente e la password direttamente al file di configurazione systemconfig.json . Sebbene sia consigliabile usare Azure Key Vault per archiviare le credenziali, è anche possibile usare un file env.list , i segreti Docker oppure aggiungere le credenziali direttamente al file systemconfig.json .

   Per altre informazioni, vedere Configurazioni del connettore log SAL.

5. Salvare il file di systemconfig.json aggiornato nella directory sapcon nel computer.

6. Se si è scelto di usare un file env.list per le credenziali, creare un file env.list temporaneo con le credenziali necessarie. Quando il contenitore Docker è in esecuzione correttamente, assicurarsi di eliminare questo file.

   Nota

   Lo script seguente include ogni contenitore Docker che si connette a un sistema ABAP specifico. Modificare lo script in base alle esigenze per l'ambiente.

   Terza fase

   ##############################################################
   # Include the following section if you're using user authentication
   ##############################################################
   # env.list template for Credentials
   SAPADMUSER=<SET_SAPCONTROL_USER>
   SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
   LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
   LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
   ABAPUSER=SET_ABAP_USER>
   ABAPPASS=<SET_ABAP_PASS>
   JAVAUSER=<SET_JAVA_OS_USER>
   JAVAPASS=<SET_JAVA_OS_USER>
   ##############################################################
   # Include the following section if you are using Azure Keyvault
   ##############################################################
   # env.list template for AZ Cli when MI is not enabled
   AZURE_TENANT_ID=<your tenant id>
   AZURE_CLIENT_ID=<your client/app id>
   AZURE_CLIENT_SECRET=<your password/secret for the service principal>
   ##############################################################
   

7. Scaricare ed eseguire l'immagine Docker predefinita con il connettore dati SAP installato. Terza fase

   docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
   docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
   rm -f <env.list_location>
   

8. Verificare che il contenitore Docker sia in esecuzione correttamente. Terza fase

   docker logs –f sapcon-[SID]
   

9. Continuare con la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.

   La distribuzione della soluzione consente al connettore dati SAP di visualizzare in Microsoft Sentinel e di distribuire le regole di analisi e cartella di lavoro SAP. Al termine, aggiungere e personalizzare manualmente gli watchlist SAP.

   Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub del contenuto.

Configurare manualmente Microsoft Sentinel per il connettore dati SAP

Quando viene distribuito tramite l'interfaccia della riga di comando, il connettore dati di Microsoft Sentinel per SAP viene configurato nel file systemconfig.json , clonato nel computer del connettore dati SAP come parte della procedura di distribuzione. Usare il contenuto di questa sezione per configurare manualmente le impostazioni del connettore dati.

Per altre informazioni, vedere Systemconfig.json riferimento ai file o Systemconfig.ini riferimento ai file per i sistemi legacy.

Definire i log SAP inviati a Microsoft Sentinel

Il file di systemconfig.json predefinito è configurato per l'analisi predefinita, le tabelle dei dati master dell'autorizzazione utente SAP, con informazioni sugli utenti e sui privilegi e la possibilità di tenere traccia delle modifiche e delle attività nel panorama sap.

La configurazione predefinita fornisce altre informazioni di registrazione per consentire indagini post-violazione e capacità di ricerca estese. Tuttavia, è possibile personalizzare la configurazione nel tempo, in particolare perché i processi aziendali tendono a essere stagionali.

Usare i set di codice seguenti per configurare il file systemconfig.json per definire i log inviati a Microsoft Sentinel.

Per altre informazioni, vedere La soluzione Microsoft Sentinel per i log delle soluzioni delle applicazioni SAP (anteprima pubblica) .

Configurare un profilo predefinito

Il codice seguente configura una configurazione predefinita:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Configurare un profilo incentrato sul rilevamento

Usare il codice seguente per configurare un profilo incentrato sul rilevamento, che include i log di sicurezza principali del panorama applicativo SAP necessario per ottenere prestazioni migliori per la maggior parte delle regole di analisi. Le indagini post-violazione e le funzionalità di ricerca sono limitate.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Usare il codice seguente per configurare un profilo minimo, che include il log di controllo della sicurezza SAP, che è l'origine dei dati più importante usata dalla soluzione Microsoft Sentinel per le applicazioni SAP per analizzare le attività nel panorama SAP. L'abilitazione di questo log è il requisito minimo per fornire qualsiasi copertura di sicurezza.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Impostazioni del connettore log SAL

Aggiungere il codice seguente al file systemconfig.json del connettore dati di Microsoft Sentinel per SAP per definire altre impostazioni per i log SAP inseriti in Microsoft Sentinel.

Per altre informazioni, vedere Eseguire un'installazione del connettore dati SAP esperto/personalizzato.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

Questa sezione consente di configurare i parametri seguenti:

Nome parametro	Descrizione
extractuseremail	Determina se gli indirizzi di posta elettronica degli utenti sono inclusi nei log di controllo.
apiretry	Determina se le chiamate API vengono ritentate come meccanismo di failover.
auditlogforcexal	Determina se il sistema forza l'uso dei log di controllo per sistemi non SAL, ad esempio SAP BASIS versione 7.4.
auditlogforcelegacyfiles	Determina se il sistema forza l'uso dei log di controllo con funzionalità di sistema legacy, ad esempio da SAP BASIS versione 7.4 con livelli di patch inferiori.
timechunk	Determina che il sistema attende un numero specifico di minuti come intervallo tra le estrazioni di dati. Usare questo parametro se si dispone di una grande quantità di dati prevista. Ad esempio, durante il caricamento iniziale dei dati durante le prime 24 ore, potrebbe essere necessario che l'estrazione dei dati venga eseguita solo ogni 30 minuti per assegnare a ogni estrazione dati un tempo sufficiente. In questi casi, impostare questo valore su 30.

Configurazione di un'istanza del controllo SAP ABAP

Per inserire tutti i log ABAP in Microsoft Sentinel, inclusi i log RFC NW e SAP Control Web Service, configurare i dettagli del controllo SAP ABAP seguenti:

Impostazione	Descrizione
javaappserver	Immettere l'host server ABAP del controllo SAP. Ad esempio: contoso-erp.appserver.com
javainstance	Immettere il numero di istanza di SAP Control ABAP. Ad esempio: 00
abaptz	Immettere il fuso orario configurato nel server ABAP di controllo SAP in formato GMT. Ad esempio: GMT+3
abapseverity	Immettere il livello di gravità, inclusivo e minimo per il quale si vogliono inserire i log ABAP in Microsoft Sentinel. I valori includono: - 0 = Tutti i log - 1 = Avviso - 2 = Errore

Configurazione di un'istanza di Controllo SAP Java

Per inserire i log del servizio Web di controllo SAP SAP in Microsoft Sentinel, configurare i dettagli dell'istanza di controllo SAP JAVA seguenti:

Parametro	Descrizione
javaappserver	Immettere l'host server Java di controllo SAP. Ad esempio: contoso-java.server.com
javainstance	Immettere il numero di istanza di SAP Control ABAP. Ad esempio: 10
javatz	Immettere il fuso orario configurato nel server Java di controllo SAP in formato GMT. Ad esempio: GMT+3
javaseverity	Immettere il livello di gravità, inclusivo e minimo per il quale si vogliono inserire i log del servizio Web in Microsoft Sentinel. I valori includono: - 0 = Tutti i log - 1 = Avviso - 2 = Errore

Configurazione della raccolta dati master utente

Per inserire tabelle direttamente dal sistema SAP con informazioni dettagliate sugli utenti e sulle autorizzazioni dei ruoli, configurare il file systemconfig.json con un'istruzione True/False per ogni tabella.

Ad esempio:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Per altre informazioni, vedere Informazioni di riferimento sulle tabelle recuperate direttamente dai sistemi SAP.

Contenuto correlato

Per altre informazioni, vedi:

• Connettere il sistema SAP a Microsoft Sentinel
• Risoluzione dei problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP