Bagikan melalui

Menyebarkan kontainer agen konektor data Microsoft Azure Sentinel untuk SAP dengan opsi ahli

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menyediakan prosedur untuk menyebarkan dan mengonfigurasi kontainer agen konektor data Microsoft Azure Sentinel untuk SAP dengan opsi konfigurasi ahli, kustom, atau manual. Untuk penyebaran umum, kami sarankan Anda menggunakan portal sebagai gantinya.

Konten dalam artikel ini ditujukan untuk tim SAP BASIS Anda. Untuk informasi selengkapnya, lihat Menyebarkan agen konektor data SAP dari baris perintah.

Catatan

Artikel ini hanya relevan untuk agen konektor data, dan tidak relevan untuk solusi tanpa agen SAP (pratinjau terbatas).

Prasyarat

Menambahkan rahasia agen konektor data SAP Azure Key Vault secara manual

Gunakan skrip berikut untuk menambahkan rahasia sistem SAP secara manual ke brankas kunci Anda. Pastikan untuk mengganti tempat penampung dengan ID sistem Anda sendiri dan kredensial yang ingin Anda tambahkan:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Untuk informasi selengkapnya, lihat Mulai Cepat: Membuat brankas kunci menggunakan Azure CLI dan dokumentasi CLI rahasia keyvault az.

Lakukan instalasi ahli/kustom

Prosedur ini menjelaskan cara menyebarkan konektor data Microsoft Azure Sentinel untuk SAP melalui CLI menggunakan penginstalan ahli atau kustom, seperti saat menginstal lokal.

Prasyarat: Azure Key Vault adalah metode yang direkomendasikan untuk menyimpan kredensial autentikasi dan data konfigurasi Anda. Kami menyarankan agar Anda melakukan prosedur ini hanya setelah Anda memiliki brankas kunci yang siap dengan kredensial SAP Anda.

Menyebarkan konektor data Microsoft Sentinel for SAP:

  1. Unduh SAP NW RFC SDK terbaru dari situs>Launchpad SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip, dan simpan ke mesin agen konektor data Anda.

    Catatan

    Anda akan memerlukan informasi masuk pengguna SAP Anda untuk mengakses SDK, dan Anda harus mengunduh SDK yang cocok dengan sistem operasi Anda.

    Pastikan untuk memilih opsi LINUX ON X86_64.

  2. Pada komputer yang sama, buat folder baru dengan nama yang bermakna, dan salin file zip SDK ke folder baru Anda.

  3. Kloning repositori GitHub solusi Microsoft Sentinel ke komputer lokal Anda, dan salin solusi Microsoft Sentinel untuk solusi aplikasi SAP systemconfig.json file ke folder baru Anda.

    Contohnya:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/

  4. Edit file systemconfig.json sesuai kebutuhan, menggunakan komentar yang disematkan sebagai panduan.

    Tentukan konfigurasi berikut menggunakan instruksi dalam file systemconfig.json :

    • Log yang ingin Anda serap ke Microsoft Azure Sentinel menggunakan instruksi dalam file systemconfig.json .
    • Apakah menyertakan alamat email pengguna dalam log audit
    • Apakah mencoba kembali panggilan API yang gagal
    • Apakah menyertakan log audit cexal
    • Apakah menunggu selang waktu antara ekstraksi data, terutama untuk ekstraksi besar

    Untuk informasi selengkapnya, lihat Mengonfigurasi microsoft Sentinel untuk konektor data SAP secara manual dan Menentukan log SAP yang dikirim ke Microsoft Azure Sentinel.

    Untuk menguji konfigurasi, Anda mungkin ingin menambahkan pengguna dan kata sandi langsung ke file konfigurasi systemconfig.json . Meskipun kami menyarankan agar Anda menggunakan Azure Key vault untuk menyimpan kredensial, Anda juga dapat menggunakan file env.list , rahasia Docker, atau Anda dapat menambahkan kredensial Anda langsung ke file systemconfig.json .

    Untuk informasi selengkapnya, lihat Konfigurasi konektor log SAL.

  5. Simpan file systemconfig.json yang diperbarui di direktori sapcon di komputer Anda.

  6. Jika Anda telah memilih untuk menggunakan file env.list untuk kredensial Anda, buat file env.list sementara dengan kredensial yang diperlukan. Setelah kontainer Docker berjalan dengan benar, pastikan untuk menghapus file ini.

    Catatan

    Skrip berikut ini memiliki setiap kontainer Docker yang terhubung ke sistem ABAP tertentu. Ubah skrip Anda sesuai kebutuhan untuk lingkungan Anda.

    Jalankan:

    ##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

  7. Unduh dan jalankan gambar Docker yang telah ditentukan sebelumnya dengan konektor data SAP yang diinstal. Jalankan:

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

  8. Verifikasi bahwa kontainer Docker berjalan dengan benar. Jalankan:

    docker logs –f sapcon-[SID]

  9. Lanjutkan dengan menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.

    Penyebaran solusi akan memungkinkan konektor data SAP ditampilkan di Microsoft Sentinel serta menyebarkan aturan buku kerja dan analitik SAP. Setelah selesai, tambahkan dan sesuaikan daftar pengawasan SAP Anda secara manual.

    Untuk informasi selengkapnya, lihat Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP dari hub konten.

Mengonfigurasi Microsoft Sentinel untuk konektor data SAP secara manual

Saat disebarkan melalui CLI, konektor data Microsoft Sentinel untuk SAP dikonfigurasi dalam file systemconfig.json , yang Anda kloning ke mesin konektor data SAP Anda sebagai bagian dari prosedur penyebaran. Gunakan konten di bagian ini untuk mengonfigurasi pengaturan konektor data secara manual.

Untuk informasi selengkapnya, lihat referensi file Systemconfig.json, atau referensi file Systemconfig.ini untuk sistem warisan.

Menentukan log SAP yang dikirim ke Microsoft Azure Sentinel

File systemconfig.json default dikonfigurasi untuk mencakup analitik bawaan, tabel data master otorisasi pengguna SAP, dengan informasi pengguna dan hak istimewa, dan kemampuan untuk melacak perubahan dan aktivitas pada lanskap SAP.

Konfigurasi default menyediakan lebih banyak informasi pengelogan untuk memungkinkan penyelidikan pasca-pelanggaran dan kemampuan berburu yang diperluas. Namun Anda mungkin ingin menyesuaikan konfigurasi Anda dari waktu ke waktu, terutama karena proses bisnis cenderung musiman.

Gunakan set kode berikut untuk mengonfigurasi file systemconfig.json untuk menentukan log yang dikirim ke Microsoft Azure Sentinel.

Untuk informasi selengkapnya, lihat Solusi Microsoft Sentinel untuk referensi log solusi aplikasi SAP (pratinjau publik).

Mengonfigurasi profil default

Kode berikut mengonfigurasi konfigurasi default:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Mengonfigurasi profil yang berfokus pada deteksi

Gunakan kode berikut untuk mengonfigurasi profil yang berfokus pada deteksi, yang mencakup log keamanan inti lanskap SAP yang diperlukan agar sebagian besar aturan analitik berkinerja baik. Penyelidikan pasca-pelanggaran dan kemampuan berburu terbatas.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Gunakan kode berikut untuk mengonfigurasi profil minimal, yang mencakup Log Audit Keamanan SAP, yang merupakan sumber data terpenting yang digunakan solusi Microsoft Sentinel untuk aplikasi SAP untuk menganalisis aktivitas di lanskap SAP. Mengaktifkan log ini adalah persyaratan minimal untuk memberikan cakupan keamanan apa pun.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Pengaturan konektor log SAL

Tambahkan kode berikut ke file systemconfig.json konektor data Microsoft Azure Sentinel for SAP untuk menentukan pengaturan lain untuk log SAP yang diserap ke Microsoft Azure Sentinel.

Untuk informasi selengkapnya, lihat Melakukan instalasi konektor data SAP ahli/kustom.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

Bagian ini memungkinkan Anda untuk mengonfigurasi parameter berikut:

Nama Parameter Deskripsi
extractuseremail Menentukan apakah alamat email pengguna disertakan dalam log audit.
apiretry Menentukan apakah panggilan API dicoba kembali sebagai mekanisme failover.
auditlogforcexal Menentukan apakah sistem memaksa penggunaan log audit untuk sistem non-SAL, seperti SAP BASIS versi 7.4.
auditlogforcelegacyfiles Menentukan apakah sistem memaksa penggunaan log audit dengan kemampuan sistem lama, seperti dari SAP BASIS versi 7.4 dengan tingkat patch yang lebih rendah.
timechunk Menentukan bahwa sistem menunggu jumlah menit tertentu sebagai interval antara ekstraksi data. Gunakan parameter ini jika Anda memiliki sejumlah besar data yang diharapkan.

Misalnya, selama beban data awal selama 24 jam pertama, Anda mungkin ingin ekstraksi data hanya berjalan setiap 30 menit untuk memberikan waktu yang cukup bagi setiap ekstraksi data. Dalam kasus seperti itu, tetapkan nilai ini ke 30.

Mengonfigurasi instans Kontrol SAP ABAP

Untuk menyerap semua log ABAP ke Microsoft Azure Sentinel, termasuk log berbasis NW RFC dan Layanan Web Kontrol SAP, konfigurasikan detail Kontrol ABAP SAP berikut:

Pengaturan Deskripsi
javaappserver Memasukkan host server SAP Control ABAP Anda.
Misalnya: contoso-erp.appserver.com
javainstance Memasukkan nomor instans SAP Control ABAP Anda.
Misalnya: 00
abaptz Memasukkan zona waktu yang dikonfigurasi di server SAP Control ABAP Anda, dalam format GMT.
Misalnya: GMT+3
abapseverity Masukkan tingkat keparahan terendah, yang inklusif yang log ABAP-nya ingin diserap ke Microsoft Azure Sentinel. Nilai meliputi:

- 0 = Semua log
- 1 = Peringatan
- 2 = Error

Mengonfigurasi instans Kontrol SAP Java

Untuk menyerap log Layanan Web Kontrol SAP ke Microsoft Azure Sentinel, konfigurasikan detail instans Kontrol JAVA SAP berikut:

Parameter Deskripsi
javaappserver Memasukkan host server SAP Control Java Anda.
Misalnya: contoso-java.server.com
javainstance Memasukkan nomor instans SAP Control ABAP Anda.
Misalnya: 10
javatz Memasukkan zona waktu yang dikonfigurasi di server SAP Control Java Anda, dalam format GMT.
Misalnya: GMT+3
javaseverity Masukkan tingkat keparahan terendah yang inklusif log Layanan Web-nya ingin diserap ke Microsoft Azure Sentinel. Nilai meliputi:

- 0 = Semua log
- 1 = Peringatan
- 2 = Error

Mengonfigurasi pengumpulan data Master Pengguna

Untuk menyerap tabel langsung dari sistem SAP Anda dengan detail tentang pengguna dan otorisasi peran Anda, konfigurasikan file systemconfig.json Anda dengan True/False pernyataan untuk setiap tabel.

Contohnya:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Untuk informasi selengkapnya, lihat Referensi tabel yang diambil langsung dari sistem SAP.

Konten terkait

Untuk informasi selengkapnya, lihat: