Partilhar via


Implante o contêiner do agente do conector de dados do Microsoft Sentinel for SAP com opções especializadas

Este artigo fornece procedimentos para implantar e configurar o contêiner do agente do conector de dados do Microsoft Sentinel for SAP com opções de configuração especializadas, personalizadas ou manuais. Para implantações típicas, recomendamos que você use o portal .

O conteúdo deste artigo destina-se às suas equipas SAP BASIS . Para obter mais informações, consulte Implantar um agente do conector de dados SAP a partir da linha de comando.

Nota

Este artigo é relevante apenas para o agente do conector de dados e não é relevante para a solução sem agente SAP (visualização limitada).

Pré-requisitos

Adicionar manualmente segredos do Azure Key Vault do agente do conector de dados SAP

Use o script a seguir para adicionar manualmente segredos do sistema SAP ao seu cofre de chaves. Certifique-se de substituir os espaços reservados pelo seu próprio ID de sistema e as credenciais que deseja adicionar:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Para obter mais informações, consulte Guia de início rápido: criar um cofre de chaves usando a CLI do Azure e a documentação da CLI secreta az keyvault.

Executar uma instalação especializada / personalizada

Este procedimento descreve como implantar o conector de dados do Microsoft Sentinel for SAP por meio da CLI usando uma instalação especializada ou personalizada, como ao instalar localmente.

Pré-requisitos: o Azure Key Vault é o método recomendado para armazenar suas credenciais de autenticação e dados de configuração. Recomendamos que você execute este procedimento somente depois de ter um cofre de chaves pronto com suas credenciais SAP.

Para implantar o conector de dados do Microsoft Sentinel for SAP:

  1. Faça o download do SAP NW RFC SDK mais recente do site>do SAP Launchpad SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip e salve-o em sua máquina do agente do conector de dados.

    Nota

    Você precisará das informações de login do usuário SAP para acessar o SDK e deve fazer o download do SDK que corresponde ao seu sistema operacional.

    Certifique-se de selecionar a opção LINUX ON X86_64 .

  2. Na mesma máquina, crie uma nova pasta com um nome significativo e copie o arquivo zip do SDK para a nova pasta.

  3. Clone o repositório GitHub da solução Microsoft Sentinel em sua máquina local e copie a solução Microsoft Sentinel para aplicativos SAP systemconfig.json arquivo para sua nova pasta.

    Por exemplo:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
    cd /home/$(pwd)/sapcon/<sap-sid>/
    wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
    cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
    
  4. Edite o arquivo systemconfig.json conforme necessário, usando os comentários incorporados como guia.

    Defina as seguintes configurações usando as instruções no arquivo systemconfig.json :

    • Os logs que você deseja ingerir no Microsoft Sentinel usando as instruções no arquivo systemconfig.json .
    • Se os endereços de e-mail do usuário devem ser incluídos nos logs de auditoria
    • Se as chamadas de API com falha devem ser repetidas
    • Se os logs de auditoria cexal devem ser incluídos
    • Se deve aguardar um intervalo de tempo entre extrações de dados, especialmente para extrações grandes

    Para obter mais informações, consulte Configurar manualmente o conector de dados do Microsoft Sentinel for SAP e Definir os logs SAP enviados ao Microsoft Sentinel.

    Para testar sua configuração, convém adicionar o usuário e a senha diretamente ao arquivo de configuração systemconfig.json . Embora recomendemos que você use o Cofre da Chave do Azure para armazenar suas credenciais, você também pode usar um arquivo env.list , segredos do Docker ou adicionar suas credenciais diretamente ao arquivo systemconfig.json .

    Para obter mais informações, consulte Configurações do conector de logs SAL.

  5. Salve seu arquivo de systemconfig.json atualizado no diretório sapcon em sua máquina.

  6. Se você optou por usar um arquivo env.list para suas credenciais, crie um arquivo env.list temporário com as credenciais necessárias. Quando o contêiner do Docker estiver sendo executado corretamente, certifique-se de excluir esse arquivo.

    Nota

    O script a seguir mostra cada contêiner do Docker se conectando a um sistema ABAP específico. Modifique seu script conforme necessário para seu ambiente.

    Executar:

    ##############################################################
    # Include the following section if you're using user authentication
    ##############################################################
    # env.list template for Credentials
    SAPADMUSER=<SET_SAPCONTROL_USER>
    SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
    LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
    LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
    ABAPUSER=SET_ABAP_USER>
    ABAPPASS=<SET_ABAP_PASS>
    JAVAUSER=<SET_JAVA_OS_USER>
    JAVAPASS=<SET_JAVA_OS_USER>
    ##############################################################
    # Include the following section if you are using Azure Keyvault
    ##############################################################
    # env.list template for AZ Cli when MI is not enabled
    AZURE_TENANT_ID=<your tenant id>
    AZURE_CLIENT_ID=<your client/app id>
    AZURE_CLIENT_SECRET=<your password/secret for the service principal>
    ##############################################################
    
  7. Faça o download e execute a imagem predefinida do Docker com o conector de dados SAP instalado. Executar:

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
    rm -f <env.list_location>
    
  8. Verifique se o contêiner do Docker está sendo executado corretamente. Executar:

    docker logs –f sapcon-[SID]
    
  9. Continue com a implantação da solução Microsoft Sentinel para aplicativos SAP.

    A implantação da solução permite que o conector de dados SAP seja exibido no Microsoft Sentinel e implanta a pasta de trabalho SAP e as regras de análise. Quando terminar, adicione e personalize manualmente suas listas de observação SAP.

    Para obter mais informações, consulte Implantar a solução Microsoft Sentinel para aplicativos SAP a partir do hub de conteúdo.

Configurar manualmente o conector de dados do Microsoft Sentinel for SAP

Quando implantado por meio da CLI, o conector de dados do Microsoft Sentinel for SAP é configurado no arquivo systemconfig.json, que você clonou para a máquina do conector de dados SAP como parte do procedimento de implantação. Use o conteúdo desta seção para configurar manualmente as configurações do conector de dados.

Para obter mais informações, consulte Systemconfig.json referência de arquivo ou Systemconfig.ini referência de arquivo para sistemas herdados.

Definir os logs SAP que são enviados para o Microsoft Sentinel

O arquivo de systemconfig.json padrão é configurado para cobrir análises integradas, as tabelas de dados mestre de autorização de usuário SAP, com usuários e informações de privilégio, e a capacidade de rastrear alterações e atividades no cenário SAP.

A configuração padrão fornece mais informações de registro para permitir investigações pós-violação e habilidades de caça estendidas. No entanto, você pode querer personalizar sua configuração ao longo do tempo, especialmente porque os processos de negócios tendem a ser sazonais.

Use os seguintes conjuntos de código para configurar o arquivo systemconfig.json para definir os logs que são enviados para o Microsoft Sentinel.

Para obter mais informações, consulte Referência de logs de solução da solução Microsoft Sentinel para aplicativos SAP (visualização pública).

Configurar um perfil padrão

O código a seguir configura uma configuração padrão:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Configurar um perfil focado em deteção

Use o código a seguir para configurar um perfil focado em deteção, que inclui os principais logs de segurança do cenário SAP necessários para que a maioria das regras de análise tenha um bom desempenho. As investigações pós-violação e as capacidades de caça são limitadas.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Use o código a seguir para configurar um perfil mínimo, que inclui o SAP Security Audit Log, que é a fonte de dados mais importante que a solução Microsoft Sentinel para aplicativos SAP usa para analisar atividades no cenário SAP. Habilitar esse log é o requisito mínimo para fornecer qualquer cobertura de segurança.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Configurações do conector de logs SAL

Adicione o seguinte código ao arquivo de systemconfig.json do conector de dados do Microsoft Sentinel for SAP para definir outras configurações para logs SAP ingeridos no Microsoft Sentinel.

Para obter mais informações, consulte Executar uma instalação de conector de dados SAP especializado/personalizado.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

Esta seção permite configurar os seguintes parâmetros:

Nome do parâmetro Description
extractuseremail Determina se os endereços de e-mail do usuário são incluídos nos logs de auditoria.
Apiretry Determina se as chamadas de API são repetidas como um mecanismo de failover.
auditlogforcexal Determina se o sistema força o uso de logs de auditoria para sistemas não-SAL, como o SAP BASIS versão 7.4.
auditlogforcelegacyfiles Determina se o sistema força o uso de logs de auditoria com recursos herdados do sistema, como do SAP BASIS versão 7.4 com níveis de patch mais baixos.
Timechunk Determina que o sistema aguarda um número específico de minutos como um intervalo entre extrações de dados. Use este parâmetro se você tiver uma grande quantidade de dados esperados.

Por exemplo, durante a carga inicial de dados durante as primeiras 24 horas, talvez você queira que a extração de dados seja executada apenas a cada 30 minutos para dar tempo suficiente a cada extração de dados. Nesses casos, defina esse valor como 30.

Configurando uma instância do ABAP SAP Control

Para ingerir todos os logs ABAP no Microsoft Sentinel, incluindo logs baseados em NW RFC e SAP Control Web Service, configure os seguintes detalhes do ABAP SAP Control:

Definição Descrição
javaappserver Entre no host do servidor SAP Control ABAP.
Por exemplo: contoso-erp.appserver.com
JavaInstance Insira o número da instância do SAP Control ABAP.
Por exemplo: 00
Abaptz Insira o fuso horário configurado no seu servidor SAP Control ABAP, no formato GMT.
Por exemplo: GMT+3
abapseverity Insira o nível de gravidade mais baixo, inclusive, para o qual você deseja ingerir logs ABAP no Microsoft Sentinel. Os valores incluem:

- 0 = Todos os logs
- 1 = Advertência
- 2 = Erro

Configurando uma instância do Java SAP Control

Para ingerir os logs do SAP Control Web Service no Microsoft Sentinel, configure os seguintes detalhes da instância do JAVA SAP Control:

Parâmetro Description
javaappserver Entre no host do servidor Java do SAP Control.
Por exemplo: contoso-java.server.com
JavaInstance Insira o número da instância do SAP Control ABAP.
Por exemplo: 10
Javatz Insira o fuso horário configurado no seu servidor Java do SAP Control, no formato GMT.
Por exemplo: GMT+3
Javaseverity Insira o nível de gravidade mais baixo, inclusive, para o qual você deseja ingerir logs de Serviço Web no Microsoft Sentinel. Os valores incluem:

- 0 = Todos os logs
- 1 = Advertência
- 2 = Erro

Configurando a coleta de dados mestre do usuário

Para ingerir tabelas diretamente do seu sistema SAP com detalhes sobre seus usuários e autorizações de função, configure seu arquivo de systemconfig.json com uma True/False instrução para cada tabela.

Por exemplo:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Para obter mais informações, consulte Referência de tabelas recuperadas diretamente de sistemas SAP.

Para obter mais informações, consulte: