전문가 옵션을 사용하여 SAP용 Microsoft Sentinel 데이터 커넥터 에이전트 컨테이너 배포
이 문서에서는 전문가, 사용자 지정 또는 수동 구성 옵션을 사용하여 SAP 데이터 커넥터 에이전트 컨테이너용 Microsoft Sentinel을 배포하고 구성하는 절차를 제공합니다. 일반적인 배포의 경우 포털을 대신 사용하는 것이 좋습니다.
이 문서의 콘텐츠는 SAP BASIS 팀을 위한 것입니다. 자세한 내용은 명령줄에서 SAP 데이터 커넥터 에이전트 배포를 참조 하세요.
필수 조건
- 시작하기 전에 시스템이 주 SAP 데이터 커넥터 필수 구성 요소 문서에 설명된 필수 구성 요소를 충족하는지 확인합니다.
SAP 데이터 커넥터 에이전트 Azure Key Vault 비밀 수동 추가
다음 스크립트를 사용하여 SAP 시스템 비밀을 키 자격 증명 모음에 수동으로 추가합니다. 자리 표시자를 사용자 고유의 시스템 ID 및 추가하려는 자격 증명으로 바꿔야 합니다.
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
자세한 내용은 빠른 시작: Azure CLI 및 az keyvault secret CLI 설명서를 사용하여 키 자격 증명 모음 만들기를 참조하세요.
전문가/사용자 지정 설치 수행
이 절차에서는 온-프레미스 설치와 같은 전문가 또는 사용자 지정 설치를 사용하여 CLI를 통해 SAP용 Microsoft Sentinel 데이터 커넥터를 배포하는 방법을 설명합니다.
필수 구성 요소: Azure Key Vault는 인증 자격 증명 및 구성 데이터를 저장하는 데 권장되는 방법입니다. SAP 자격 증명을 사용하여 키 자격 증명 모음을 준비한 후에만 이 절차를 수행하는 것이 좋습니다.
SAP용 Microsoft Sentinel 데이터 커넥터를 배포하려면 다음을 수행합니다.
SAP 실행 패드 사이트>SAP NW RFC SDK SAP NW RFC SDK> 7.50>nwrfc750X_X-xxxxxxx.zip 최신 SAP NW RFC SDK를 다운로드하고 데이터 커넥터 에이전트 컴퓨터에 저장합니다.
참고 항목
SDK에 액세스하려면 SAP 사용자 로그인 정보가 필요하며, 운영 체제와 일치하는 SDK를 다운로드해야 합니다.
LINUX ON X86_64 옵션을 선택해야 합니다.
동일한 컴퓨터에서 의미 있는 이름으로 새 폴더를 만들고 SDK zip 파일을 새 폴더에 복사합니다.
Microsoft Sentinel 솔루션 GitHub 리포지토리를 온-프레미스 컴퓨터에 복제하고 SAP 애플리케이션용 Microsoft Sentinel 솔루션 솔루션 systemconfig.json 파일을 새 폴더에 복사합니다.
예시:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/포함된 주석을 가이드로 사용하여 필요에 따라 systemconfig.json 파일을 편집합니다.
systemconfig.json 파일의 지침을 사용하여 다음 구성을 정의합니다.
- systemconfig.json 파일의 지침을 사용하여 Microsoft Sentinel에 수집하려는 로그입니다.
- 감사 로그에 사용자 메일 주소를 포함할지 여부
- 실패한 API 호출을 다시 시도할지 여부
- cexal 감사 로그를 포함할지 여부
- 데이터 추출(특히 큰 추출) 간의 시간 간격을 대기할지 여부
자세한 내용은 SAP 데이터 커넥터 용 Microsoft Sentinel 수동 구성 및 Microsoft Sentinel로 전송되는 SAP 로그 정의를 참조하세요.
구성을 테스트하려면 사용자 및 암호를 systemconfig.json 구성 파일에 직접 추가할 수 있습니다. Azure Key Vault를 사용하여 자격 증명을 저장하는 것이 좋지만 env.list 파일, Docker 비밀을 사용하거나 자격 증명을 systemconfig.json 파일에 직접 추가할 수도 있습니다.
자세한 내용은 SAL 로그 커넥터 구성을 참조하세요.
업데이트된 systemconfig.json 파일을 컴퓨터의 sapcon 디렉터리에 저장합니다.
자격 증명에 대해 env.list 파일을 사용하도록 선택한 경우 필요한 자격 증명을 사용하여 임시 env.list 파일을 만듭니다. Docker 컨테이너가 올바르게 실행되면 이 파일을 삭제해야 합니다.
참고 항목
다음 스크립트에는 특정 ABAP 시스템에 연결되는 각 Docker 컨테이너가 있습니다. 사용자 환경에 필요한 대로 스크립트를 수정합니다.
다음을 실행합니다.
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################SAP 데이터 커넥터가 설치된 미리 정의된 Docker 이미지를 다운로드하고 실행합니다. 다음을 실행합니다.
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Docker 어댑터가 제대로 실행되고 있는지 확인합니다. 다음을 실행합니다.
docker logs –f sapcon-[SID]SAP 애플리케이션용 Microsoft Sentinel 솔루션을 계속 배포합니다.
솔루션을 배포하면 SAP 데이터 커넥터가 Microsoft Sentinel에 표시되고 SAP 통합 문서 및 분석 규칙이 배포됩니다. 완료되면 SAP 관심 목록을 수동으로 추가하고 사용자 지정합니다.
자세한 내용은 콘텐츠 허브에서 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포를 참조하세요.
SAP용 Microsoft Sentinel 데이터 커넥터를 수동으로 구성
CLI를 통해 배포되는 경우 SAP 데이터 커넥터용 Microsoft Sentinel은 배포 절차의 일부로 SAP 데이터 커넥터 컴퓨터에 복제한 systemconfig.json 파일에 구성됩니다. 이 섹션의 콘텐츠를 사용하여 데이터 커넥터 설정을 수동으로 구성합니다.
자세한 내용은 Systemconfig.json 파일 참조 또는 레거시 시스템에 대한 Systemconfig.ini 파일 참조 를 참조하세요.
Microsoft Sentinel로 전송되는 SAP 로그 정의
기본 systemconfig.json 파일은 기본 제공 분석, SAP 사용자 권한 부여 마스터 데이터 테이블, 사용자 및 권한 정보, SAP 환경에서 변경 내용 및 활동을 추적하는 기능을 포함하도록 구성됩니다.
기본 구성은 위반 후 조사 및 확장된 헌팅 기능을 허용하는 더 많은 로깅 정보를 제공합니다. 그러나 특히 비즈니스 프로세스가 계절적일 수 있으므로 시간이 지남에 따라 구성을 사용자 지정할 수 있습니다.
다음 코드 집합을 사용하여 Microsoft Sentinel로 전송되는 로그를 정의하도록 systemconfig.json 파일을 구성합니다.
자세한 내용은 SAP 애플리케이션 솔루션 로그 참조(공개 미리 보기)용 Microsoft Sentinel 솔루션을 참조하세요.
기본 프로필 구성
다음 코드는 기본 구성을 구성합니다.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
검색 중심 프로필 구성
다음 코드를 사용하여 대부분의 분석 규칙이 잘 수행되는 데 필요한 SAP 환경의 핵심 보안 로그를 포함하는 검색 중심 프로필을 구성합니다. 위반 후 조사 및 헌팅 기능은 제한됩니다.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
SAP 애플리케이션용 Microsoft Sentinel 솔루션이 SAP 환경에서 활동을 분석하는 데 사용하는 가장 중요한 데이터 원본인 SAP 보안 감사 로그를 포함하는 최소 프로필을 구성하려면 다음 코드를 사용합니다. 이 로그를 사용하도록 설정하는 것은 보안 범위를 제공하기 위한 최소한의 요구 사항입니다.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
SAL 로그 커넥터 설정
SAP용 Microsoft Sentinel 데이터 커넥터 systemconfig.json 파일에 다음 코드를 추가하여 Microsoft Sentinel에 수집된 SAP 로그에 대한 다른 설정을 정의합니다.
자세한 내용은 전문가/사용자 지정 SAP 데이터 커넥터 설치를 참조하세요.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
이 섹션에서 다음 매개 변수를 구성할 수 있습니다.
| 매개 변수 이름 | 설명 |
|---|---|
| extractuseremail | 사용자 메일 주소가 감사 로그에 포함되는지 여부를 결정합니다. |
| apiretry | API 호출이 장애 조치 메커니즘으로 다시 시도되는지 여부를 결정합니다. |
| auditlogforcexal | 시스템에서 SAP BASIS 버전 7.4와 같은 비 SAL 시스템에 대해 감사 로그를 강제로 사용하도록 하는지 여부를 결정합니다. |
| auditlogforcelegacyfiles | 시스템에서 레거시 시스템 기능(예: 더 낮은 패치 수준의 SAP BASIS 버전 7.4)의 감사 로그를 강제로 사용하도록 하는지 여부를 결정합니다. |
| timechunk | 시스템에서 데이터 추출 간격으로 특정 시간(분) 동안 대기하는지 결정합니다. 많은 양의 데이터가 예상되는 경우 이 매개 변수를 사용합니다. 예를 들어, 처음 24시간 동안 초기 데이터를 로드할 때 각 데이터를 추출하는 데 충분한 시간을 주기 위해 데이터 추출이 30분마다 실행되도록 할 수 있습니다. 이러한 경우에는 이 값을 30으로 설정합니다. |
ABAP SAP Control 인스턴스 구성
NW RFC와 SAP Control 웹 서비스 기반 로그를 포함하여 모든 ABAP 로그를 Microsoft Sentinel에 수집하려면 다음 ABAP SAP Control 세부 정보를 구성합니다.
| 설정 | 설명 |
|---|---|
| javaappserver | SAP Control ABAP 서버 호스트를 입력합니다. 예: contoso-erp.appserver.com |
| javainstance | SAP Control ABAP 인스턴스 번호를 입력합니다. 예: 00 |
| abaptz | SAP Control ABAP 서버에서 구성된 표준 시간대를 GMT 형식으로 입력합니다. 예: GMT+3 |
| abapseverity | ABAP 로그를 Microsoft Sentinel에 수집할 가장 낮은 포괄적인 심각도 수준을 입력합니다. 다음과 같은 값이 올 수 있습니다. - 0 = 모든 로그 - 1 = 경고 - 2 = 오류 |
Java SAP Control 인스턴스 구성
SAP Control 웹 서비스 로그를 Microsoft Sentinel에 수집하려면 다음 JAVA SAP Control 인스턴스 세부 정보를 구성합니다.
| 매개 변수 | 설명 |
|---|---|
| javaappserver | SAP Control Java 서버 호스트를 입력합니다. 예: contoso-java.server.com |
| javainstance | SAP Control ABAP 인스턴스 번호를 입력합니다. 예: 10 |
| javatz | SAP Control Java 서버에서 구성된 표준 시간대를 GMT 형식으로 입력합니다. 예: GMT+3 |
| javaseverity | 웹 서비스 로그를 Microsoft Sentinel에 수집하려는 가장 낮은 심각도 수준(포함)을 입력합니다. 다음과 같은 값이 올 수 있습니다. - 0 = 모든 로그 - 1 = 경고 - 2 = 오류 |
사용자 마스터 데이터 수집 구성
사용자 및 역할 권한 부여에 대한 세부 정보를 사용하여 SAP 시스템에서 직접 테이블을 수집하려면 각 테이블에 대한 문을 사용하여 systemconfig.json 파일을 True/False 구성합니다.
예시:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
자세한 내용은 SAP 시스템에서 직접 검색된 테이블 참조를 참조 하세요.
관련 콘텐츠
자세한 내용은 다음을 참조하세요.