Wdrażanie kontenera agenta łącznika danych SAP Sentinel dla usługi Microsoft Sentinel przy użyciu opcji ekspertów
Ten artykuł zawiera procedury wdrażania i konfigurowania kontenera agenta łącznika danych SAP Sentinel na potrzeby specjalistycznej, niestandardowej lub ręcznej konfiguracji. W przypadku typowych wdrożeń zalecamy użycie portalu .
Zawartość w tym artykule jest przeznaczona dla zespołów SAP BASIS . Aby uzyskać więcej informacji, zobacz Wdrażanie agenta łącznika danych SAP z poziomu wiersza polecenia.
Wymagania wstępne
- Przed rozpoczęciem upewnij się, że system spełnia wymagania wstępne opisane w głównym dokumencie wymagań wstępnych łącznika danych SAP.
Ręczne dodawanie wpisów tajnych agenta łącznika danych SAP Key Vault
Użyj poniższego skryptu, aby ręcznie dodać wpisy tajne systemu SAP do magazynu kluczy. Pamiętaj, aby zastąpić symbole zastępcze własnym identyfikatorem systemu i poświadczeniami, które chcesz dodać:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Aby uzyskać więcej informacji, zobacz Szybki start: tworzenie magazynu kluczy przy użyciu interfejsu wiersza polecenia platformy Azure i dokumentację interfejsu wiersza polecenia wpisów tajnych az keyvault.
Przeprowadzanie instalacji specjalistycznej/niestandardowej
W tej procedurze opisano sposób wdrażania usługi Microsoft Sentinel dla łącznika danych SAP za pośrednictwem interfejsu wiersza polecenia przy użyciu specjalistycznej lub niestandardowej instalacji, na przykład podczas instalowania lokalnego.
Wymagania wstępne: Usługa Azure Key Vault jest zalecaną metodą przechowywania poświadczeń uwierzytelniania i danych konfiguracji. Zalecamy wykonanie tej procedury dopiero po dokonaniu gotowości magazynu kluczy przy użyciu poświadczeń SAP.
Aby wdrożyć usługę Microsoft Sentinel dla łącznika danych SAP:
Pobierz najnowszy zestaw SDK oprogramowania SAP NW RFC z witryny>sap Launchpad SAP NW RFC SDK SAP NW RFC SDK>7.50>nwrfc750X_X-xxxxxxx.zip i zapisz go na maszynie agenta łącznika danych.
Uwaga
Aby uzyskać dostęp do zestawu SDK, potrzebne będą informacje logowania użytkownika SAP. Musisz pobrać zestaw SDK zgodny z systemem operacyjnym.
Upewnij się, że wybrano opcję LINUX ON X86_64 .
Na tym samym komputerze utwórz nowy folder o znaczącej nazwie i skopiuj plik zip zestawu SDK do nowego folderu.
Sklonuj repozytorium GitHub rozwiązania Microsoft Sentinel na maszynę lokalną i skopiuj rozwiązanie Microsoft Sentinel dla rozwiązania SAP applications systemconfig.json pliku do nowego folderu.
Na przykład:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Edytuj plik systemconfig.json zgodnie z potrzebami, używając osadzonych komentarzy jako przewodnika.
Zdefiniuj następujące konfiguracje, korzystając z instrukcji w pliku systemconfig.json :
- Dzienniki, które chcesz pozyskać do usługi Microsoft Sentinel, korzystając z instrukcji w pliku systemconfig.json .
- Czy należy uwzględnić adresy e-mail użytkownika w dziennikach inspekcji
- Czy ponowić próbę niepowodzenia wywołań interfejsu API
- Czy należy uwzględnić dzienniki inspekcji cexal
- Czy poczekać interwał czasu między wyodrębnianiem danych, szczególnie w przypadku dużych wyodrębnień
Aby uzyskać więcej informacji, zobacz Ręczne konfigurowanie łącznika danych sap w usłudze Microsoft Sentinel i Definiowanie dzienników SAP wysyłanych do usługi Microsoft Sentinel.
Aby przetestować konfigurację, możesz dodać użytkownika i hasło bezpośrednio do pliku konfiguracji systemconfig.json . Zalecamy przechowywanie poświadczeń przy użyciu usługi Azure Key Vault, ale możesz również użyć pliku env.list , wpisów tajnych platformy Docker lub dodać poświadczenia bezpośrednio do pliku systemconfig.json .
Aby uzyskać więcej informacji, zobacz Konfiguracje łącznika dzienników SAL.
Zapisz zaktualizowany plik systemconfig.json w katalogu sapcon na maszynie.
Jeśli wybrano użycie pliku env.list dla swoich poświadczeń, utwórz tymczasowy plik env.list z wymaganymi poświadczeniami. Po poprawnym uruchomieniu kontenera platformy Docker upewnij się, że ten plik został usunięty.
Uwaga
Poniższy skrypt zawiera każdy kontener platformy Docker łączący się z określonym systemem ABAP. Zmodyfikuj skrypt zgodnie z potrzebami środowiska.
Uruchom:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Pobierz i uruchom wstępnie zdefiniowany obraz platformy Docker z zainstalowanym łącznikiem danych SAP. Uruchom:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Sprawdź, czy kontener platformy Docker działa poprawnie. Uruchom:
docker logs –f sapcon-[SID]Kontynuuj wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP.
Wdrożenie rozwiązania umożliwia wyświetlanie łącznika danych SAP w usłudze Microsoft Sentinel i wdrażanie reguł skoroszytu SAP i analizy. Gdy skończysz, ręcznie dodaj i dostosuj listy obserwowanych sap.
Aby uzyskać więcej informacji, zobacz Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP z centrum zawartości.
Ręczne konfigurowanie usługi Microsoft Sentinel dla łącznika danych SAP
Po wdrożeniu za pośrednictwem interfejsu wiersza polecenia łącznik danych usługi Microsoft Sentinel dla oprogramowania SAP jest skonfigurowany w pliku systemconfig.json , który został sklonowany na maszynie łącznika danych SAP w ramach procedury wdrażania. Użyj zawartości w tej sekcji, aby ręcznie skonfigurować ustawienia łącznika danych.
Aby uzyskać więcej informacji, zobacz dokumentację Systemconfig.json pliku lub Systemconfig.ini dokumentację dotyczącą plików dla starszych systemów.
Definiowanie dzienników SAP wysyłanych do usługi Microsoft Sentinel
Domyślny plik systemconfig.json jest skonfigurowany tak, aby obejmował wbudowane analizy, tabele danych głównych autoryzacji użytkownika SAP z informacjami o użytkownikach i uprawnieniach oraz możliwość śledzenia zmian i działań w środowisku SAP.
Domyślna konfiguracja udostępnia więcej informacji rejestrowania, aby umożliwić badanie po naruszeniu zabezpieczeń i rozszerzone możliwości wyszukiwania zagrożeń. Jednak w miarę upływu czasu możesz dostosować konfigurację, zwłaszcza że procesy biznesowe wydają się być sezonowe.
Użyj następujących zestawów kodu, aby skonfigurować plik systemconfig.json w celu zdefiniowania dzienników wysyłanych do usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Microsoft Sentinel solution for SAP applications solution logs reference (publiczna wersja zapoznawcza).
Konfigurowanie profilu domyślnego
Poniższy kod konfiguruje konfigurację domyślną:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Konfigurowanie profilu ukierunkowanego na wykrywanie
Użyj poniższego kodu, aby skonfigurować profil skoncentrowany na wykrywaniu, który zawiera podstawowe dzienniki zabezpieczeń środowiska SAP wymagane przez większość reguł analizy do zapewnienia dobrego działania. Badania po naruszeniu zabezpieczeń i możliwości wyszukiwania zagrożeń są ograniczone.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Użyj poniższego kodu, aby skonfigurować minimalny profil, który zawiera dziennik inspekcji zabezpieczeń SAP, który jest najważniejszym źródłem danych używanych przez rozwiązanie Microsoft Sentinel dla aplikacji SAP do analizowania działań w środowisku SAP. Włączenie tego dziennika jest minimalnym wymaganiem do zapewnienia dowolnego pokrycia zabezpieczeń.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Ustawienia łącznika dzienników SAL
Dodaj następujący kod do pliku systemconfig.json łącznika danych sap Sentinel dla usługi Microsoft Sentinel, aby zdefiniować inne ustawienia dzienników SAP pozyskanych do usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Perform an expert/ custom SAP data connector installation (Wykonywanie instalacji specjalistycznej/niestandardowej instalacji łącznika danych SAP).
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
Ta sekcja umożliwia skonfigurowanie następujących parametrów:
| Nazwa parametru | opis |
|---|---|
| extractuseremail | Określa, czy adresy e-mail użytkownika są uwzględniane w dziennikach inspekcji. |
| apiretry | Określa, czy wywołania interfejsu API są ponawiane jako mechanizm trybu failover. |
| auditlogforcexal | Określa, czy system wymusza użycie dzienników inspekcji dla systemów innych niż SAL, takich jak SAP BASIS w wersji 7.4. |
| auditlogforcelegacyfiles | Określa, czy system wymusza użycie dzienników inspekcji ze starszymi możliwościami systemu, takimi jak z programu SAP BASIS w wersji 7.4 z niższymi poziomami poprawek. |
| fragment czasu | Określa, że system czeka określoną liczbę minut jako interwał między wyodrębnianiem danych. Użyj tego parametru, jeśli masz oczekiwaną dużą ilość danych. Na przykład podczas początkowego ładowania danych w ciągu pierwszych 24 godzin wyodrębnianie danych może być uruchamiane co 30 minut, aby dać każdemu wyodrębnieniu danych wystarczająco dużo czasu. W takich przypadkach ustaw tę wartość na 30. |
Konfigurowanie wystąpienia kontroli oprogramowania SAP ABAP
Aby pozyskać wszystkie dzienniki ABAP w usłudze Microsoft Sentinel, w tym dzienniki oparte na usługach internetowych NW RFC i SAP Control, skonfiguruj następujące szczegóły kontroli oprogramowania SAP ABAP:
| Ustawienie | opis |
|---|---|
| javaappserver | Wprowadź hosta serwera ABAP kontroli systemu SAP. Na przykład: contoso-erp.appserver.com. |
| javainstance | Wprowadź numer wystąpienia programu SAP Control ABAP. Na przykład: 00. |
| abaptz | Wprowadź strefę czasową skonfigurowaną na serwerze SAP Control ABAP w formacie GMT. Na przykład: GMT+3. |
| abapseverity | Wprowadź najniższy, włącznie z poziomem ważności, dla którego chcesz pozyskać dzienniki ABAP do usługi Microsoft Sentinel. Wartości obejmują: - 0 = wszystkie dzienniki - 1 = Ostrzeżenie - 2 = Błąd |
Konfigurowanie wystąpienia kontroli oprogramowania SAP w języku Java
Aby pozyskać dzienniki usługi internetowej sap Control w usłudze Microsoft Sentinel, skonfiguruj następujące szczegóły wystąpienia kontroli oprogramowania SAP JAVA:
| Parametr | Opis |
|---|---|
| javaappserver | Wprowadź hosta serwera SAP Control Java. Na przykład: contoso-java.server.com. |
| javainstance | Wprowadź numer wystąpienia programu SAP Control ABAP. Na przykład: 10. |
| javatz | Wprowadź strefę czasową skonfigurowaną na serwerze SAP Control Java w formacie GMT. Na przykład: GMT+3. |
| javaseverity | Wprowadź najniższy, włącznie z poziomem ważności, dla którego chcesz pozyskać dzienniki usługi sieci Web w usłudze Microsoft Sentinel. Wartości obejmują: - 0 = wszystkie dzienniki - 1 = Ostrzeżenie - 2 = Błąd |
Konfigurowanie zbierania danych wzorca użytkownika
Aby pozyskiwać tabele bezpośrednio z systemu SAP ze szczegółowymi informacjami na temat użytkowników i autoryzacji ról, skonfiguruj plik systemconfig.json za pomocą True/False instrukcji dla każdej tabeli.
Na przykład:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Aby uzyskać więcej informacji, zobacz Reference of tables retrieved directly from SAP systems (Dokumentacja tabel pobieranych bezpośrednio z systemów SAP).
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: