共用方式為


使用專家選項部署Microsoft Sentinel for SAP 數據連接器代理程式容器

本文提供使用專家、自定義或手動設定選項,針對 SAP 數據連接器代理程式容器部署和設定Microsoft Sentinel 的程式。 針對一般部署,我們建議您改用入口 網站

本文中的內容適用於您的 SAP BASIS 小組。 如需詳細資訊,請參閱 從命令行部署 SAP 資料連接器代理程式。

注意

本文僅與數據連接器代理程序相關,且與 SAP 無代理程式解決方案無關(有限預覽)。

必要條件

  • 在開始之前,請確定您的系統符合相關的必要條件。 如需詳細資訊,請參閱 SAP 應用程式Microsoft Sentinel 解決方案的部署必要條件。

手動新增 SAP 資料連接器代理程式 Azure 金鑰保存庫 秘密

使用下列腳本,手動將 SAP 系統秘密新增至金鑰保存庫。 請務必將佔位元元取代為您自己的系統識別碼,以及您想要新增的認證:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

如需詳細資訊,請參閱 快速入門:使用 Azure CLI 建立密鑰保存庫和 az keyvault secret CLI 檔。

執行專家/自定義安裝

此程式描述如何使用專家或自定義安裝,透過 CLI 部署 Microsoft Sentinel for SAP 資料連接器,例如在內部部署安裝時。

必要條件:Azure 金鑰保存庫 是用來儲存驗證認證和組態數據的建議方法。 建議您只在使用 SAP 認證備妥密鑰保存庫之後,才執行此程式。

若要部署適用於 SAP 資料連接器的 Microsoft Sentinel:

  1. SAP Launchpad 網站>SAP NW RFC SDK SAP NW RFC SDK SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip下載最新的 SAP NW RFC SDK>,並將其儲存至您的資料連接器代理程式電腦。

    注意

    您需要 SAP 使用者登入資訊才能存取 SDK,而且您必須下載符合作業系統的 SDK。

    請務必選取 [ LINUX ON X86_64 ] 選項。

  2. 在相同的計算機上,建立具有有意義名稱的新資料夾,並將 SDK zip 檔案複製到新的資料夾。

  3. 將Microsoft Sentinel 解決方案 GitHub 存放庫複製到您的內部部署計算機,並將 Microsoft Sentinel 解決方案 for SAP 應用程式解決方案 systemconfig.json 檔案複製到新的資料夾中。

    例如:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
    cd /home/$(pwd)/sapcon/<sap-sid>/
    wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
    cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
    
  4. 視需要編輯systemconfig.json檔案,並使用內嵌批注作為指南。

    使用 systemconfig.json 檔案中的指示來定義下列組態:

    • 您想要使用 systemconfig.json 檔案中的指示,內嵌至 Microsoft Sentinel 的記錄。
    • 是否要在稽核記錄中包含使用者電子郵件位址
    • 是否重試失敗的 API 呼叫
    • 是否要包含 cexal 稽核記錄
    • 是否要等候數據擷取之間的時間間隔,特別是針對大型擷取

    如需詳細資訊,請參閱 手動設定適用於 SAP 數據連接器 的 Microsoft Sentinel 和 定義傳送至 sentinel Microsoft SAP 記錄。

    若要測試您的組態,您可能想要將使用者和密碼直接新增至 systemconfig.json 組態檔。 雖然我們建議您使用 Azure Key Vault 來儲存認證,但您也可以使用 env.list 檔案、 Docker 秘密,或將認證直接新增至 systemconfig.json 檔案。

    如需詳細資訊,請參閱 SAL 記錄連接器組態

  5. 將更新 systemconfig.json檔案儲存在 電腦上的sapcon 目錄中。

  6. 如果您選擇使用 env.list 檔案作為認證,請建立具有必要認證的暫存 env.list 檔案。 一旦 Docker 容器正確執行,請務必刪除此檔案。

    注意

    下列腳本會讓每個 Docker 容器連線到特定的 ABAP 系統。 視需要修改您的環境腳本。

    請執行:

    ##############################################################
    # Include the following section if you're using user authentication
    ##############################################################
    # env.list template for Credentials
    SAPADMUSER=<SET_SAPCONTROL_USER>
    SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
    LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
    LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
    ABAPUSER=SET_ABAP_USER>
    ABAPPASS=<SET_ABAP_PASS>
    JAVAUSER=<SET_JAVA_OS_USER>
    JAVAPASS=<SET_JAVA_OS_USER>
    ##############################################################
    # Include the following section if you are using Azure Keyvault
    ##############################################################
    # env.list template for AZ Cli when MI is not enabled
    AZURE_TENANT_ID=<your tenant id>
    AZURE_CLIENT_ID=<your client/app id>
    AZURE_CLIENT_SECRET=<your password/secret for the service principal>
    ##############################################################
    
  7. 下載並執行已安裝 SAP 資料連接器的預先定義 Docker 映射。 請執行:

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
    rm -f <env.list_location>
    
  8. 確認 Docker 容器已正確執行。 請執行:

    docker logs –f sapcon-[SID]
    
  9. 繼續部署 適用於 SAP 應用程式的Microsoft Sentinel 解決方案。

    部署解決方案可讓 SAP 資料連接器顯示在 sentinel Microsoft,並部署 SAP 活頁簿和分析規則。 完成時,請手動新增和自定義 SAP 監看清單。

    如需詳細資訊,請參閱 從內容中樞部署 SAP 應用程式的 Microsoft Sentinel 解決方案。

手動設定適用於 SAP 資料連接器Microsoft Sentinel

透過 CLI 部署時,Microsoft Sentinel for SAP 資料連接器會在您複製到 SAP 資料連接器機器的 systemconfig.json 檔案中設定為部署程式的一部分 使用本節中的內容手動設定數據連接器設定。

如需詳細資訊,請參閱 Systemconfig.json檔案參考,或 Systemconfig.ini舊版系統的檔案參考

定義傳送至 Sentinel Microsoft SAP 記錄

默認 systemconfig.json 檔案已設定為涵蓋內建分析、SAP 使用者授權主要數據表,以及使用者和許可權資訊,以及追蹤 SAP 環境變更和活動的能力。

默認組態提供更多記錄資訊,以允許入侵後調查和擴充搜捕功能。 不過,您可能會想要隨著時間自定義您的設定,特別是因為商務程式通常是季節性的。

使用下列程式代碼集來設定 systemconfig.json 檔案,以定義傳送至 sentinel Microsoft的記錄。

如需詳細資訊,請參閱適用於 SAP 應用程式解決方案記錄參考的 Microsoft Sentinel 解決方案參考 (公開預覽)。

設定預設配置檔

下列程式代碼會設定預設組態:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

設定偵測焦點配置檔

使用下列程式代碼來設定偵測焦點配置檔,其中包含大部分分析規則執行良好所需的 SAP 環境核心安全性記錄。 入侵後調查和搜捕功能有限。

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

使用下列程式代碼來設定最小配置檔,其中包含 SAP 安全性稽核記錄,這是 SAP 應用程式Microsoft Sentinel 解決方案用來分析 SAP 環境活動最重要的數據源。 啟用此記錄是提供任何安全性涵蓋範圍的最低需求。

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

SAL 記錄連接器設定

將下列程式代碼新增至 Microsoft Sentinel for SAP 數據連接器 systemconfig.json 檔案,以定義擷取至 sentinel Microsoft SAP 記錄的其他設定。

如需詳細資訊,請參閱 執行專家/自定義 SAP 資料連接器安裝

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

本節可讓您設定下列參數:

參數名稱 描述
extractuseremail 判斷稽核記錄中是否包含使用者電子郵件位址。
apiretry 判斷是否將 API 呼叫重試為故障轉移機制。
auditlogforcexal 判斷系統是否強制針對非 SAL 系統使用稽核記錄,例如 SAP BASIS 7.4 版。
auditlogforcelegacyfiles 判斷系統是否強制使用具有舊版系統功能的稽核記錄,例如從SAP BASIS 7.4 版使用較低修補程式層級。
timechunk 判斷系統等候特定分鐘數做為數據擷取之間的間隔。 如果您有大量數據,請使用此參數。

例如,在前 24 小時的初始數據載入期間,您可能只想每隔 30 分鐘執行一次數據擷取,讓每個數據擷取有足夠的時間。 在這種情況下,請將此值設定為 30

設定 ABAP SAP 控制件實例

若要將所有 ABAP 記錄擷取至 Microsoft Sentinel,包括 NW RFC 和 SAP Control Web 服務型記錄,請設定下列 ABAP SAP 控件詳細數據:

設定 描述
javaappserver 輸入您的 SAP 控制件 ABAP 伺服器主機。
例如:contoso-erp.appserver.com
javainstance 輸入您的 SAP 控制件 ABAP 實例編號。
例如:00
abaptz 以 GMT 格式輸入 SAP Control ABAP 伺服器上設定的時區。
例如:GMT+3
bapseverity 輸入您想要將 ABAP 記錄內嵌至 Microsoft Sentinel 的最低、內含嚴重性層級。 值包括:

- 0 = 所有記錄
- 1 = 警告
- 2 = 錯誤

設定 Java SAP 控制件實例

若要將 SAP Control Web 服務記錄內嵌至 Microsoft Sentinel,請設定下列 JAVA SAP Control 實例詳細數據:

參數 描述
javaappserver 輸入您的 SAP 控制件 Java 伺服器主機。
例如:contoso-java.server.com
javainstance 輸入您的 SAP 控制件 ABAP 實例編號。
例如:10
javatz 以 GMT 格式輸入 SAP Control Java 伺服器上設定的時區。
例如:GMT+3
javaseverity 輸入您想要將 Web 服務記錄內嵌至 Microsoft Sentinel 的最低、內含嚴重性層級。 值包括:

- 0 = 所有記錄
- 1 = 警告
- 2 = 錯誤

設定使用者主要數據收集

若要直接從 SAP 系統內嵌數據表,其中包含使用者和角色授權的詳細數據,請使用每個數據表的/TrueFalse 語句來設定您的systemconfig.json檔案。

例如:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

如需詳細資訊,請參閱 直接從 SAP 系統擷取的數據表參考。

如需詳細資訊,請參閱