Развертывание контейнера агента соединителя данных SAP Sentinel с помощью параметров экспертов
В этой статье приведены процедуры развертывания и настройки контейнера агента соединителя данных SAP и настройки microsoft Sentinel для агента соединителя данных SAP с помощью параметров эксперта, пользовательского или ручного настройки. Для типичных развертываний рекомендуется использовать портал .
Содержимое этой статьи предназначено для команд SAP BASIS . Дополнительные сведения см. в разделе "Развертывание агента соединителя данных SAP" из командной строки.
Примечание.
Эта статья относится только к агенту соединителя данных и не относится к решению SAP без агента (ограниченная предварительная версия).
Необходимые компоненты
- Перед началом работы убедитесь, что система соответствует соответствующим предварительным требованиям. Дополнительные сведения см. в разделе "Предварительные требования к развертыванию" для решений Microsoft Sentinel для приложений SAP.
Вручную добавьте секреты агента соединителя данных SAP Azure Key Vault
Используйте следующий сценарий, чтобы вручную добавить в хранилище ключей секреты системы SAP. Обязательно замените заполнители собственным идентификатором системы и учетными данными, которые вы хотите добавить:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Дополнительные сведения см. в кратком руководстве. Создание хранилища ключей с помощью Azure CLI и документации по az keyvault secret CLI.
Выполнение экспертной или выборочной установки
В этой процедуре описывается развертывание соединителя данных SAP в Microsoft Sentinel с помощью интерфейса командной строки с помощью эксперта или пользовательской установки, например при установке локальной среды.
Предварительные требования. Azure Key Vault — это рекомендуемый метод для хранения учетных данных проверки подлинности и данных конфигурации. Мы рекомендуем выполнить эту процедуру только после того, как у вас есть хранилище ключей, готовое к работе с учетными данными SAP.
Чтобы развернуть соединитель данных Microsoft Sentinel для SAP, выполните следующие действия.
Скачайте последний пакет SDK ДЛЯ SAP NW RFC на сайте>SAP Launchpad SAP NW RFC SDK SAP NW RFC SDK>7.50>nwrfc750X_X-xxxxxxx.zip и сохраните его на компьютере агента соединителя данных.
Примечание.
Для доступа к пакету SDK потребуются данные для входа пользователя SAP, и вам необходимо загрузить пакет SDK, соответствующий вашей операционной системе.
Обязательно выберите вариант LINUX ON X86_64.
На том же компьютере создайте папку с понятным именем и скопируйте ZIP-файл ПАКЕТА SDK в новую папку.
Клонируйте репозиторий решения Microsoft Sentinel GitHub на локальный компьютер и скопируйте решение Microsoft Sentinel для решения приложений SAP systemconfig.json в новую папку.
Например:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/При необходимости измените файл systemconfig.json с помощью внедренных комментариев в качестве руководства.
Определите следующие конфигурации с помощью инструкций в файле systemconfig.json :
- Журналы, которые необходимо принять в Microsoft Sentinel, с помощью инструкций в файле systemconfig.json .
- Следует ли включать в журналы аудита адреса электронной почты пользователей
- Следует ли повторять неудачные вызовы API
- Следует ли включать журналы аудита cexal
- Следует ли ожидать некоторое время между извлечениями данных, особенно в случае больших извлечений
Дополнительные сведения см. в разделе "Вручную настройка Microsoft Sentinel для соединителя данных SAP" и определение журналов SAP, отправляемых в Microsoft Sentinel.
Чтобы проверить конфигурацию, может потребоваться добавить пользователя и пароль непосредственно в файл конфигурации systemconfig.json . Хотя мы рекомендуем использовать хранилище ключей Azure для хранения учетных данных, вы также можете использовать файл env.list , секреты Docker или добавить учетные данные непосредственно в файл systemconfig.json .
Дополнительные сведения см. в разделе Конфигурации соединителей для журналов SAL.
Сохраните обновленный файл systemconfig.json в каталоге sapcon на компьютере.
Если вы решили использовать для своих учетных данных файл env.list, создайте временный файл env.list с необходимыми учетными данными. Проверив правильность работы контейнера Docker, не забудьте удалить этот файл.
Примечание.
В следующем скрипте каждый контейнер Docker подключается к определенной системе ABAP. Измените этот скрипт для своей среды.
Запустить:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Скачайте и запустите предопределенный образ Docker с установленным соединителем данных SAP. Запустить:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Убедитесь, что контейнер Docker работает правильно. Запустить:
docker logs –f sapcon-[SID]Продолжайте развертывание решения Microsoft Sentinel для приложений SAP.
Развертывание этого решения позволяет соединителю данных SAP отображаться в Microsoft Sentinel и развертывать книгу SAP и правила аналитики. Когда все будет готово, вручную добавьте и настройте свои списки отслеживания SAP.
Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP из концентратора содержимого".
Настройка соединителя данных Microsoft Sentinel для SAP вручную
При развертывании с помощью интерфейса командной строки соединитель данных Microsoft Sentinel для SAP настраивается в файле systemconfig.json , клонированном на компьютер соединителя данных SAP в рамках процедуры развертывания. Используйте содержимое этого раздела для настройки параметров соединителя данных вручную.
Дополнительные сведения см . в Systemconfig.json справочнике по файлам или справочнике по файлам Systemconfig.ini для устаревших систем.
Определение журналов SAP, отправляемых в Microsoft Sentinel
Файл по умолчанию systemconfig.json настроен для покрытия встроенной аналитики, таблиц основных данных авторизации пользователей SAP, с информацией о пользователях и привилегиях, а также возможность отслеживать изменения и действия в ландшафте SAP.
Конфигурация по умолчанию предоставляет дополнительные сведения о ведении журнала, чтобы разрешить исследования после нарушения работы и расширенные возможности охоты. Однако может потребоваться настроить конфигурацию с течением времени, особенно так как бизнес-процессы, как правило, являются сезонными.
Используйте следующие наборы кода, чтобы настроить файл systemconfig.json для определения журналов, отправляемых в Microsoft Sentinel.
Дополнительные сведения см. в разделе "Решение Microsoft Sentinel" для журналов решений SAP (общедоступная предварительная версия).
Настройка профиля по умолчанию
Следующий код настраивает конфигурацию по умолчанию:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Настройка профиля, ориентированного на обнаружение
Используйте следующий код, чтобы настроить профиль, ориентированный на обнаружение, который включает основные журналы безопасности ландшафта SAP, необходимые для эффективной работы большинства правил аналитики. Расследования после нарушения и возможности охоты ограничены.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Используйте следующий код для настройки минимального профиля, который включает журнал аудита безопасности SAP, который является самым важным источником данных, используемым решением Microsoft Sentinel для приложений SAP для анализа действий в ландшафте SAP. Включение этого журнала является минимальным требованием для предоставления покрытия безопасности.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Параметры соединителя журналов SAL
Добавьте следующий код в microsoft Sentinel для соединителя данных SAP, systemconfig.json файл, чтобы определить другие параметры для журналов SAP, приема в Microsoft Sentinel.
Дополнительные сведения см. в разделе Выполнение экспертной или выборочной установки соединителя данных SAP.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
В этом разделе можно настроить следующие параметры.
| Наименование параметра | Description |
|---|---|
| extractuseremail | Определяет, должны ли адреса электронной почты пользователей включаться в журналы аудита. |
| apiretry | Определяет, должны ли повторяться вызовы API в качестве механизма отработки отказа. |
| auditlogforcexal | Определяет, будет ли система принудительно использовать журналы аудита для систем, отличных от SAL, таких как SAP BASIS версии 7.4. |
| auditlogforcelegacyfiles | Определяет, будет ли система принудительно использовать журналы аудита с устаревшими системными возможностями, например из SAP BASIS версии 7.4 с более низкими уровнями исправлений. |
| timechunk | Определяет, должна ли система ожидать определенное количество минут в интервале между извлечениями данных. Используйте этот параметр, если ожидается большой объем данных. Например, во время начальной загрузки данных в течение первых 24 часов может потребоваться, чтобы извлечение данных запускалось только каждые 30 минут, чтобы предоставить каждому извлечению данных достаточно времени. В таком случае задайте значение 30. |
Настройка экземпляра ABAP SAP Control
Чтобы принимать в Microsoft Sentinel все журналы ABAP, включая журналы NW RFC и веб-службы SAP Control, настройте следующие данные ABAP SAP Control:
| Параметр | Description |
|---|---|
| javaappserver | Введите узел сервера ABAP SAP Control. Например: contoso-erp.appserver.com |
| javainstance | Введите номер экземпляра ABAP SAP Control. Например: 00 |
| abaptz | Введите часовой пояс, настроенный на сервере ABAP SAP Control, в формате GMT. Например: GMT+3 |
| abapseverity | Введите самый низкий уровень серьезности (включительно), для которого вы хотите принимать журналы ABAP в Microsoft Sentinel. К значениям относятся: - 0 = все журналы - 1 = предупреждение - 2 = ошибки |
Настройка экземпляра Java SAP Control
Чтобы принимать журналы веб-службы SAP Control в Microsoft Sentinel, настройте следующие сведения об экземпляре Java SAP Control:
| Параметр | Описание |
|---|---|
| javaappserver | Введите узел сервера Java SAP Control. Например: contoso-java.server.com |
| javainstance | Введите номер экземпляра ABAP SAP Control. Например: 10 |
| javatz | Введите часовой пояс, настроенный на сервере Java SAP Control, в формате GMT. Например: GMT+3 |
| javaseverity | Введите самый низкий уровень серьезности (включительно), для которого вы хотите принимать журналы веб-службы в Microsoft Sentinel. К значениям относятся: - 0 = все журналы - 1 = предупреждение - 2 = ошибки |
Настройка сбора основных данных о пользователе
Чтобы получать таблицы непосредственно из системы SAP с подробными сведениями о пользователях и авторизациях ролей, настройте файл systemconfig.json с инструкцией для каждой True/False таблицы.
Например:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Дополнительные сведения см. в статье "Справочник по таблицам, извлеченным непосредственно из систем SAP".
Связанный контент
Дополнительные сведения см. в разделе: