De agentcontainer microsoft Sentinel voor SAP-gegevensconnector implementeren met deskundige opties
Dit artikel bevat procedures voor het implementeren en configureren van de Microsoft Sentinel voor sap-gegevensconnectoragentcontainer met deskundige, aangepaste of handmatige configuratieopties. Voor typische implementaties wordt u aangeraden in plaats daarvan de portal te gebruiken.
Inhoud in dit artikel is bedoeld voor uw SAP BASIS-teams . Zie Een SAP-gegevensconnectoragent implementeren vanaf de opdrachtregel voor meer informatie.
Notitie
Dit artikel is alleen relevant voor de agent van de gegevensconnector en is niet relevant voor de SAP-oplossing zonder agent (beperkte preview).
Vereisten
- Zorg ervoor dat uw systeem voldoet aan de relevante vereisten voordat u begint. Zie Implementatievereisten voor de Microsoft Sentinel-oplossingen voor SAP-toepassingen voor meer informatie.
Azure Key Vault-geheimen handmatig toevoegen aan SAP-gegevensconnectoragent
Gebruik het volgende script om SAP-systeemgeheimen handmatig toe te voegen aan uw sleutelkluis. Vervang de tijdelijke aanduidingen door uw eigen systeem-id en de referenties die u wilt toevoegen:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Zie de quickstart: Een sleutelkluis maken met behulp van de Azure CLI en de az keyvault secret CLI-documentatie voor meer informatie.
Een expert/aangepaste installatie uitvoeren
In deze procedure wordt beschreven hoe u de Microsoft Sentinel voor SAP-gegevensconnector implementeert via de CLI met behulp van een deskundige of aangepaste installatie, zoals bij het installeren van on-premises.
Vereisten: Azure Key Vault is de aanbevolen methode voor het opslaan van uw verificatiereferenties en configuratiegegevens. U wordt aangeraden deze procedure pas uit te voeren nadat u een sleutelkluis hebt die klaar is met uw SAP-referenties.
De Microsoft Sentinel voor SAP-gegevensconnector implementeren:
Download de nieuwste SAP NW RFC SDK van de SAP Launchpad-site>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip en sla deze op uw gegevensconnectoragentmachine op.
Notitie
U hebt de aanmeldingsgegevens van uw SAP-gebruiker nodig om toegang te krijgen tot de SDK en u moet de SDK downloaden die overeenkomt met uw besturingssysteem.
Zorg ervoor dat u de optie LINUX ON X86_64 selecteert.
Maak op dezelfde computer een nieuwe map met een betekenisvolle naam en kopieer het ZIP-bestand van de SDK naar uw nieuwe map.
Kloon de GitHub-opslagplaats van de Microsoft Sentinel-oplossing naar uw on-premises computer en kopieer de Microsoft Sentinel-oplossing voor sap-toepassingen systemconfig.json bestand naar uw nieuwe map.
Voorbeeld:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Bewerk het systemconfig.json bestand indien nodig met behulp van de ingesloten opmerkingen als hulplijn.
Definieer de volgende configuraties met behulp van de instructies in het bestand systemconfig.json :
- De logboeken die u wilt opnemen in Microsoft Sentinel met behulp van de instructies in het bestand systemconfig.json .
- Of e-mailadressen van gebruikers moeten worden opgenomen in auditlogboeken
- Mislukte API-aanroepen opnieuw proberen
- Of cexal-auditlogboeken moeten worden opgenomen
- Of er een tijdsinterval tussen gegevensextracties moet worden gewacht, met name voor grote extracties
Zie De Microsoft Sentinel voor SAP-gegevensconnector handmatig configureren en de SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden voor meer informatie.
Als u uw configuratie wilt testen, kunt u de gebruiker en het wachtwoord rechtstreeks toevoegen aan het systemconfig.json-configuratiebestand . Hoewel het raadzaam is om Azure Key Vault te gebruiken om uw referenties op te slaan, kunt u ook een env.list-bestand, Docker-geheimen gebruiken of uw referenties rechtstreeks toevoegen aan het systemconfig.json-bestand.
Zie configuraties van SAL-logboekconnector voor meer informatie.
Sla het bijgewerkte systemconfig.json-bestand op in de sapcon-map op uw computer.
Als u ervoor hebt gekozen om een env.list-bestand voor uw referenties te gebruiken, maakt u een tijdelijk env.list-bestand met de vereiste referenties. Zodra uw Docker-container correct wordt uitgevoerd, moet u dit bestand verwijderen.
Notitie
Het volgende script heeft elke Docker-container die verbinding maakt met een specifiek ABAP-systeem. Pas het script zo nodig aan voor uw omgeving.
Run:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Download en voer de vooraf gedefinieerde Docker-installatiekopieën uit met de SAP-gegevensconnector geïnstalleerd. Run:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Controleer of de Docker-container correct wordt uitgevoerd. Run:
docker logs –f sapcon-[SID]Ga verder met het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.
Door de oplossing te implementeren, kan de SAP-gegevensconnector worden weergegeven in Microsoft Sentinel en worden de SAP-werkmap- en analyseregels geïmplementeerd. Wanneer u klaar bent, voegt u handmatig uw SAP-watchlists toe en past u deze aan.
Zie De Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen vanuit de inhoudshub voor meer informatie.
De Microsoft Sentinel handmatig configureren voor SAP-gegevensconnector
Wanneer deze wordt geïmplementeerd via de CLI, wordt de Microsoft Sentinel voor SAP-gegevensconnector geconfigureerd in het systemconfig.json-bestand , dat u hebt gekloond naar uw SAP-gegevensconnectormachine als onderdeel van de implementatieprocedure. Gebruik de inhoud in deze sectie om de instellingen van de gegevensconnector handmatig te configureren.
Zie Systemconfig.json bestandsreferentie of Systemconfig.ini bestandsreferentie voor verouderde systemen voor meer informatie.
De SAP-logboeken definiëren die naar Microsoft Sentinel worden verzonden
Het standaardbestand systemconfig.json is geconfigureerd voor ingebouwde analyses, de hoofdgegevenstabellen voor SAP-gebruikersautorisatie, met gebruikers en informatie over bevoegdheden en de mogelijkheid om wijzigingen en activiteiten in het SAP-landschap bij te houden.
De standaardconfiguratie biedt meer logboekinformatie om onderzoek na inbreuk en uitgebreide opsporingsmogelijkheden mogelijk te maken. Het is echter mogelijk dat u uw configuratie na verloop van tijd wilt aanpassen, met name omdat bedrijfsprocessen meestal seizoensgebonden zijn.
Gebruik de volgende codesets om het systemconfig.json-bestand te configureren om de logboeken te definiëren die naar Microsoft Sentinel worden verzonden.
Zie De Microsoft Sentinel-oplossing voor logboeken voor SAP-toepassingen voor logboeken (openbare preview) voor meer informatie.
Een standaardprofiel configureren
Met de volgende code wordt een standaardconfiguratie geconfigureerd:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Een detectiegericht profiel configureren
Gebruik de volgende code om een detectiegericht profiel te configureren, dat de kernbeveiligingslogboeken bevat van het SAP-landschap dat nodig is voor de meeste analyseregels om goed te presteren. Onderzoek na inbreuk en opsporingsmogelijkheden zijn beperkt.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Gebruik de volgende code om een minimaal profiel te configureren, waaronder het SAP-beveiligingscontrolelogboek. Dit is de belangrijkste gegevensbron van de Microsoft Sentinel-oplossing voor SAP-toepassingen om activiteiten in het SAP-landschap te analyseren. Het inschakelen van dit logboek is de minimale vereiste om eventuele beveiligingsdekking te bieden.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Connectorinstellingen voor SAL-logboeken
Voeg de volgende code toe aan de Microsoft Sentinel voor SAP-gegevensconnector systemconfig.json bestand om andere instellingen te definiëren voor SAP-logboeken die zijn opgenomen in Microsoft Sentinel.
Zie Een expert/aangepaste SAP-gegevensconnector installeren voor meer informatie.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
In deze sectie kunt u de volgende parameters configureren:
| Parameternaam | Beschrijving |
|---|---|
| extractuseremail | Bepaalt of e-mailadressen van gebruikers zijn opgenomen in auditlogboeken. |
| apiretry | Bepaalt of API-aanroepen opnieuw worden geprobeerd als failovermechanisme. |
| auditlogforcexal | Bepaalt of het systeem het gebruik van auditlogboeken voor niet-SAL-systemen dwingt, zoals SAP BASIS versie 7.4. |
| auditlogforcelegacyfiles | Bepaalt of het systeem het gebruik van auditlogboeken met verouderde systeemmogelijkheden dwingt, zoals van SAP BASIS versie 7.4 met lagere patchniveaus. |
| timechunk | Bepaalt dat het systeem een bepaald aantal minuten wacht als een interval tussen gegevensextracties. Gebruik deze parameter als u een grote hoeveelheid gegevens verwacht. Tijdens de initiële gegevensbelasting tijdens de eerste 24 uur wilt u bijvoorbeeld dat de gegevensextractie slechts om de 30 minuten wordt uitgevoerd om elke gegevensextractie voldoende tijd te geven. In dergelijke gevallen stelt u deze waarde in op 30. |
Een ABAP SAP Control-exemplaar configureren
Als u alle ABAP-logboeken wilt opnemen in Microsoft Sentinel, inclusief zowel NW RFC- als SAP Control Web Service-logboeken, configureert u de volgende ABAP SAP Control-details:
| Instelling | Beschrijving |
|---|---|
| javaappserver | Voer uw SAP Control ABAP-serverhost in. Bijvoorbeeld: contoso-erp.appserver.com |
| javainstance | Voer uw SAP Control ABAP-exemplaarnummer in. Bijvoorbeeld: 00 |
| abaptz | Voer de tijdzone in die is geconfigureerd op uw SAP Control ABAP-server, in GMT-indeling. Bijvoorbeeld: GMT+3 |
| abapseveriteit | Voer het laagste, inclusieve ernstniveau in waarvoor u ABAP-logboeken wilt opnemen in Microsoft Sentinel. Waarden zijn onder andere: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout |
Een Exemplaar van Java SAP Control configureren
Als u SAP Control Web Service-logboeken wilt opnemen in Microsoft Sentinel, configureert u de volgende details van het JAVA SAP Control-exemplaar:
| Parameter | Description |
|---|---|
| javaappserver | Voer uw SAP Control Java-serverhost in. Bijvoorbeeld: contoso-java.server.com |
| javainstance | Voer uw SAP Control ABAP-exemplaarnummer in. Bijvoorbeeld: 10 |
| javatz | Voer de tijdzone in die is geconfigureerd op uw SAP Control Java-server, in GMT-indeling. Bijvoorbeeld: GMT+3 |
| javaseverity | Voer het laagste, inclusieve ernstniveau in waarvoor u webservicelogboeken wilt opnemen in Microsoft Sentinel. Waarden zijn onder andere: - 0 = Alle logboeken - 1 = Waarschuwing - 2 = Fout |
Verzameling van gebruikershoofdgegevens configureren
Als u tabellen rechtstreeks vanuit uw SAP-systeem wilt opnemen met details over uw gebruikers en rolautorisaties, configureert u uw systemconfig.json-bestand met een True/False instructie voor elke tabel.
Voorbeeld:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Zie Naslaginformatie over tabellen die rechtstreeks zijn opgehaald uit SAP-systemen voor meer informatie.
Gerelateerde inhoud
Zie voor meer informatie: