Distribuera Agentcontainern för Microsoft Sentinel för SAP-dataanslutning med expertalternativ
Den här artikeln innehåller procedurer för att distribuera och konfigurera Microsoft Sentinel för SAP-dataanslutningsagentcontainern med expertalternativ, anpassade eller manuella konfigurationsalternativ. För vanliga distributioner rekommenderar vi att du använder portalen i stället.
Innehållet i den här artikeln är avsett för dina SAP BASIS-team . Mer information finns i Distribuera en SAP-dataanslutningsagent från kommandoraden.
Förutsättningar
- Kontrollera att systemet uppfyller de krav som dokumenteras i dokumentet om förhandskrav för SAP-dataanslutningen innan du börjar.
Lägga till Azure Key Vault-hemligheter för SAP-dataanslutningsagenten manuellt
Använd följande skript för att manuellt lägga till SAP-systemhemligheter i ditt nyckelvalv. Ersätt platshållarna med ditt eget system-ID och de autentiseringsuppgifter som du vill lägga till:
#Add Abap username
az keyvault secret set \
--name <SID>-ABAPUSER \
--value "<abapuser>" \
--description SECRET_ABAP_USER --vault-name $kvname
#Add Abap Username password
az keyvault secret set \
--name <SID>-ABAPPASS \
--value "<abapuserpass>" \
--description SECRET_ABAP_PASSWORD --vault-name $kvname
#Add Java Username
az keyvault secret set \
--name <SID>-JAVAOSUSER \
--value "<javauser>" \
--description SECRET_JAVAOS_USER --vault-name $kvname
#Add Java Username password
az keyvault secret set \
--name <SID>-JAVAOSPASS \
--value "<javauserpass>" \
--description SECRET_JAVAOS_PASSWORD --vault-name $kvname
#Add abapos username
az keyvault secret set \
--name <SID>-ABAPOSUSER \
--value "<abaposuser>" \
--description SECRET_ABAPOS_USER --vault-name $kvname
#Add abapos username password
az keyvault secret set \
--name <SID>-ABAPOSPASS \
--value "<abaposuserpass>" \
--description SECRET_ABAPOS_PASSWORD --vault-name $kvname
#Add Azure Log ws ID
az keyvault secret set \
--name <SID>-LOGWSID \
--value "<logwsod>" \
--description SECRET_AZURE_LOG_WS_ID --vault-name $kvname
#Add Azure Log ws public key
az keyvault secret set \
--name <SID>-LOGWSPUBLICKEY \
--value "<loswspubkey>" \
--description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname
Mer information finns i Snabbstart: Skapa ett nyckelvalv med hjälp av Azure CLI och cli-dokumentationen az keyvault secret .
Utföra en expert/anpassad installation
Den här proceduren beskriver hur du distribuerar Microsoft Sentinel för SAP-dataanslutning via CLI med hjälp av en expert eller anpassad installation, till exempel när du installerar lokalt.
Förutsättningar: Azure Key Vault är den rekommenderade metoden för att lagra dina autentiseringsuppgifter och konfigurationsdata. Vi rekommenderar att du utför den här proceduren först när du har ett nyckelvalv klart med dina SAP-autentiseringsuppgifter.
Så här distribuerar du Microsoft Sentinel för SAP-dataanslutningsappen:
Ladda ned den senaste SAP NW RFC SDK:n från SAP Launchpad-webbplatsen>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip och spara den på din dataanslutningsagentdator.
Kommentar
Du behöver inloggningsinformation för SAP-användare för att få åtkomst till SDK:et och du måste ladda ned SDK:et som matchar ditt operativsystem.
Se till att välja alternativet LINUX ON X86_64 .
På samma dator skapar du en ny mapp med ett beskrivande namn och kopierar zip-filen SDK till den nya mappen.
Klona GitHub-lagringsplatsen för Microsoft Sentinel-lösningen till din lokala dator och kopiera Microsoft Sentinel-lösningen för SAP-programlösningen systemconfig.json fil till den nya mappen.
Till exempel:
mkdir /home/$(pwd)/sapcon/<sap-sid>/ cd /home/$(pwd)/sapcon/<sap-sid>/ wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/Redigera systemconfig.json-filen efter behov med hjälp av inbäddade kommentarer som en guide.
Definiera följande konfigurationer med hjälp av anvisningarna i filen systemconfig.json :
- Loggarna som du vill mata in i Microsoft Sentinel med hjälp av anvisningarna i filen systemconfig.json .
- Om användarens e-postadresser ska inkluderas i granskningsloggar
- Om api-anrop ska försöka igen
- Om cexal-granskningsloggar ska inkluderas
- Om du vill vänta ett tidsintervall mellan dataextraheringar, särskilt för stora extraheringar
Mer information finns i Konfigurera Microsoft Sentinel för SAP-dataanslutningen manuellt och Definiera DE SAP-loggar som skickas till Microsoft Sentinel.
Om du vill testa konfigurationen kanske du vill lägga till användaren och lösenordet direkt i systemconfig.json konfigurationsfilen. Vi rekommenderar att du använder Azure Key Vault för att lagra dina autentiseringsuppgifter, men du kan också använda en env.list-fil , Docker-hemligheter eller lägga till dina autentiseringsuppgifter direkt i filen systemconfig.json .
Mer information finns i KONFIGURATIONer av ANSLUTNINGSappar för SAL-loggar.
Spara den uppdaterade systemconfig.json filen i sapcon-katalogen på datorn.
Om du har valt att använda en env.list-fil för dina autentiseringsuppgifter skapar du en temporär env.list-fil med nödvändiga autentiseringsuppgifter. När Docker-containern körs korrekt måste du ta bort den här filen.
Kommentar
I följande skript finns varje Docker-container som ansluter till ett specifikt ABAP-system. Ändra skriptet efter behov för din miljö.
Kör:
############################################################## # Include the following section if you're using user authentication ############################################################## # env.list template for Credentials SAPADMUSER=<SET_SAPCONTROL_USER> SAPADMPASSWORD=<SET_SAPCONTROL_PASS> LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID> LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY> ABAPUSER=SET_ABAP_USER> ABAPPASS=<SET_ABAP_PASS> JAVAUSER=<SET_JAVA_OS_USER> JAVAPASS=<SET_JAVA_OS_USER> ############################################################## # Include the following section if you are using Azure Keyvault ############################################################## # env.list template for AZ Cli when MI is not enabled AZURE_TENANT_ID=<your tenant id> AZURE_CLIENT_ID=<your client/app id> AZURE_CLIENT_SECRET=<your password/secret for the service principal> ##############################################################Ladda ned och kör den fördefinierade Docker-avbildningen med SAP-dataanslutningsappen installerad. Kör:
docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon rm -f <env.list_location>Kontrollera att Docker-containern körs korrekt. Kör:
docker logs –f sapcon-[SID]Fortsätt med att distribuera Microsoft Sentinel-lösningen för SAP-program.
Genom att distribuera lösningen kan SAP-dataanslutningsappen visas i Microsoft Sentinel och SAP-arbetsboken och analysreglerna distribueras. När du är klar lägger du till och anpassar dina SAP-bevakningslistor manuellt.
Mer information finns i Distribuera Microsoft Sentinel-lösningen för SAP-program från innehållshubben.
Konfigurera Microsoft Sentinel för SAP-dataanslutningen manuellt
När den distribueras via CLI konfigureras Microsoft Sentinel för SAP-dataanslutningen i systemconfig.json-filen, som du klonade till din SAP-dataanslutningsdator som en del av distributionsproceduren. Använd innehållet i det här avsnittet för att manuellt konfigurera inställningar för dataanslutning.
Mer information finns i Systemconfig.json filreferens eller Systemconfig.ini filreferens för äldre system.
Definiera DE SAP-loggar som skickas till Microsoft Sentinel
Standardfilen systemconfig.json är konfigurerad för att täcka inbyggd analys, huvuddatatabeller för SAP-användarauktorisering, med användare och behörighetsinformation samt möjligheten att spåra ändringar och aktiviteter i SAP-liggande.
Standardkonfigurationen ger mer loggningsinformation för att möjliggöra undersökningar efter intrång och utökade jaktförmågor. Men du kanske vill anpassa konfigurationen över tid, särskilt eftersom affärsprocesser tenderar att vara säsongsbaserade.
Använd följande koduppsättningar för att konfigurera systemconfig.json-filen för att definiera loggarna som skickas till Microsoft Sentinel.
Mer information finns i Microsoft Sentinel-lösning för SAP-programlösningsloggreferens (offentlig förhandsversion).
Konfigurera en standardprofil
Följande kod konfigurerar en standardkonfiguration:
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "True",
"abapspoollog": "True",
"abapspooloutputlog": "True",
"abapchangedocslog": "True",
"abapapplog": "True",
"abapworkflowlog": "True",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
Konfigurera en identifieringsfokuserad profil
Använd följande kod för att konfigurera en identifieringsfokuserad profil, som innehåller kärnsäkerhetsloggarna i SAP-landskapet som krävs för att de flesta analysreglerna ska fungera bra. Undersökningar efter intrång och jaktfunktioner är begränsade.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Använd följande kod för att konfigurera en minimal profil, som innehåller SAP Security Audit Log, som är den viktigaste datakällan som Microsoft Sentinel-lösningen för SAP-program använder för att analysera aktiviteter i SAP-liggande. Att aktivera den här loggen är det minimala kravet för att tillhandahålla säkerhetstäckning.
"logs_activation_status": {
"abapauditlog": "True",
"abapjoblog": "False",
"abapspoollog": "False",
"abapspooloutputlog": "False",
"abapchangedocslog": "True",
"abapapplog": "False",
"abapworkflowlog": "False",
"abapcrlog": "True",
"abaptabledatalog": "False",
"abapfileslogs": "False",
"syslog": "False",
"icm": "False",
"wp": "False",
"gw": "False",
"javafileslogs": "False"
},
....
"abap_table_selector": {
"agr_tcodes_full": "False",
"usr01_full": "False",
"usr02_full": "False",
"usr02_incremental": "False",
"agr_1251_full": "False",
"agr_users_full": "False",
"agr_users_incremental": "False",
"agr_prof_full": "False",
"ust04_full": "False",
"usr21_full": "False",
"adr6_full": "False",
"adcp_full": "False",
"usr05_full": "False",
"usgrp_user_full": "False",
"user_addr_full": "False",
"devaccess_full": "False",
"agr_define_full": "False",
"agr_define_incremental": "False",
"pahi_full": "False",
"pahi_incremental": "False",
"agr_agrs_full": "False",
"usrstamp_full": "False",
"usrstamp_incremental": "False",
"agr_flags_full": "False",
"agr_flags_incremental": "False",
"sncsysacl_full": "False",
"usracl_full": "False",
Inställningar för ANSLUTNINGsprogram för SAL-loggar
Lägg till följande kod i Microsoft Sentinel för SAP-dataanslutningsappen systemconfig.json för att definiera andra inställningar för SAP-loggar som matas in i Microsoft Sentinel.
Mer information finns i Utföra en expert/anpassad installation av SAP-dataanslutningsappen.
"connector_configuration": {
"extractuseremail": "True",
"apiretry": "True",
"auditlogforcexal": "False",
"auditlogforcelegacyfiles": "False",
"timechunk": "60"
I det här avsnittet kan du konfigurera följande parametrar:
| Parameternamn | beskrivning |
|---|---|
| extractuseremail | Avgör om användarens e-postadresser ingår i granskningsloggarna. |
| apiretry | Avgör om API-anrop görs på nytt som en redundansmekanism. |
| auditlogforcexal | Avgör om systemet tvingar användning av granskningsloggar för icke-SAL-system, till exempel SAP BASIS version 7.4. |
| auditlogforcelegacyfiles | Avgör om systemet tvingar användningen av granskningsloggar med äldre systemfunktioner, till exempel från SAP BASIS version 7.4 med lägre korrigeringsnivåer. |
| timechunk | Avgör att systemet väntar ett visst antal minuter som ett intervall mellan dataextraheringar. Använd den här parametern om du har en stor mängd data som förväntas. Under den första datainläsningen under de första 24 timmarna kanske du bara vill att dataextraheringen ska köras var 30:e minut för att ge varje data extrahering tillräckligt med tid. I sådana fall anger du det här värdet till 30. |
Konfigurera en ABAP SAP Control-instans
Om du vill mata in alla ABAP-loggar i Microsoft Sentinel, inklusive både NW RFC- och SAP Control Web Service-baserade loggar, konfigurerar du följande INFORMATION om ABAP SAP-kontroll:
| Inställning | beskrivning |
|---|---|
| javaappserver | Ange SAP Control ABAP-servervärden. Till exempel: contoso-erp.appserver.com |
| javainstance | Ange ditt SAP Control ABAP-instansnummer. Till exempel: 00 |
| abaptz | Ange tidszonen som konfigurerats på SAP Control ABAP-servern i GMT-format. Till exempel: GMT+3 |
| abapseverity | Ange den lägsta, inkluderande allvarlighetsgrad som du vill mata in ABAP-loggar för i Microsoft Sentinel. Värden är: - 0 = Alla loggar - 1 = Varning - 2 = Fel |
Konfigurera en Java SAP Control-instans
Om du vill mata in SAP Control Web Service-loggar i Microsoft Sentinel konfigurerar du följande JAVA SAP Control-instansinformation:
| Parameter | Description |
|---|---|
| javaappserver | Ange din SAP Control Java-servervärd. Till exempel: contoso-java.server.com |
| javainstance | Ange ditt SAP Control ABAP-instansnummer. Till exempel: 10 |
| javatz | Ange tidszonen som konfigurerats på SAP Control Java-servern i GMT-format. Till exempel: GMT+3 |
| javaseverity | Ange den lägsta, inkluderande allvarlighetsgrad som du vill mata in webbtjänstloggar för i Microsoft Sentinel. Värden är: - 0 = Alla loggar - 1 = Varning - 2 = Fel |
Konfigurera datainsamling för användarbakgrund
Om du vill mata in tabeller direkt från SAP-systemet med information om dina användare och rollauktoriseringar konfigurerar du din systemconfig.json-fil med en True/False instruktion för varje tabell.
Till exempel:
"abap_table_selector": {
"agr_tcodes_full": "True",
"usr01_full": "True",
"usr02_full": "True",
"usr02_incremental": "True",
"agr_1251_full": "True",
"agr_users_full": "True",
"agr_users_incremental": "True",
"agr_prof_full": "True",
"ust04_full": "True",
"usr21_full": "True",
"adr6_full": "True",
"adcp_full": "True",
"usr05_full": "True",
"usgrp_user_full": "True",
"user_addr_full": "True",
"devaccess_full": "True",
"agr_define_full": "True",
"agr_define_incremental": "True",
"pahi_full": "True",
"pahi_incremental": "True",
"agr_agrs_full": "True",
"usrstamp_full": "True",
"usrstamp_incremental": "True",
"agr_flags_full": "True",
"agr_flags_incremental": "True",
"sncsysacl_full": "False",
"usracl_full": "False",
Mer information finns i Referens för tabeller som hämtats direkt från SAP-system.
Relaterat innehåll
Mer information finns i: