Bereitstellen des Containers mit dem Microsoft Sentinel für SAP-Datenconnector-Agent mit Expertenoptionen

In diesem Artikel finden Sie Verfahren zum Bereitstellen und Konfigurieren des Containers für den Microsoft Sentinel für SAP-Datenconnector-Agent mithilfe von komplexen, benutzerdefinierten oder manuellen Konfigurationsoptionen. Für typische Bereitstellungen wird empfohlen, stattdessen das Portal zu verwenden.

Die Inhalte in diesem Artikel sind insbesondere für Ihr SAP BASIS-Team vorgesehen. Weitere Informationen finden Sie unter Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile.

Voraussetzungen

Manuelles Hinzufügen von Azure Key Vault-Geheimnissen für den SAP-Datenconnector-Agent

Verwenden Sie das folgende Skript, um Ihrem Schlüsseltresor manuell SAP-Systemgeheimnisse hinzuzufügen. Ersetzen Sie die Platzhalter unbedingt durch Ihre eigene System-ID und die Anmeldeinformationen, die Sie hinzufügen möchten:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Weitere Informationen finden Sie im Schnellstart: Erstellen eines Schlüsseltresors mithilfe der Azure-Befehlszeilenschnittstelle und der CLI-Dokumentation zu az keyvault secret.

Durchführen einer Experten-/benutzerdefinierten Installation

In diesem Verfahren wird beschrieben, wie Sie Microsoft Sentinel für den SAP-Datenconnector über die CLI mithilfe einer Experteninstallation oder benutzerdefinierten Installation bereitstellen, z. B. bei der lokalen Installation.

Voraussetzungen: Azure Key Vault stellt die empfohlene Methode zum Speichern Ihrer Authentifizierungsanmeldeinformationen und Ihrer Konfigurationsdaten dar. Es wird empfohlen, dieses Verfahren auszuführen, nachdem Sie einen Schlüsseltresor mit Ihren SAP-Anmeldeinformationen eingerichtet haben.

Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP:

  1. Laden Sie das neueste SAP NW RFC SDK von der Website SAP Launchpad>SAP NW RFC SDK>SAP NW RFC SDK 7.50>nwrfc750X_X-xxxxxxx.zip herunter, und speichern Sie es auf dem Computer mit dem Datenconnector-Agent.

    Hinweis

    Sie benötigen Ihre SAP-Benutzeranmeldeinformationen, um auf das SDK zugreifen zu können. Außerdem müssen Sie das SDK herunterladen, das Ihrem Betriebssystem entspricht.

    Wählen Sie die Option LINUX ON X86_64 aus.

  2. Erstellen Sie auf demselben Computer einen neuen Ordner mit einem aussagekräftigen Namen, und kopieren Sie die ZIP-Datei des SDK in Ihren neuen Ordner.

  3. Klonen Sie das GitHub-Repository mit der Microsoft Sentinel-Lösung auf Ihren lokalen Computer, und kopieren Sie die Datei systemconfig.json der Microsoft Sentinel-Lösung für SAP-Anwendungen in Ihren neuen Ordner.

    Zum Beispiel:

    mkdir /home/$(pwd)/sapcon/<sap-sid>/
    cd /home/$(pwd)/sapcon/<sap-sid>/
    wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
    cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
    
  4. Bearbeiten Sie nach Bedarf die Datei systemconfig.json. Orientieren Sie sich dabei an den eingebetteten Kommentaren.

    Legen Sie die folgenden Konfigurationen anhand der Anweisungen in der Datei systemconfig.json fest:

    • Befolgen Sie die Anweisungen in der Datei systemconfig.json, um die Protokolle zu definieren, die Sie in Microsoft Sentinel erfassen möchten.
    • Ob E-Mail-Adressen von Benutzern in Überwachungsprotokollen enthalten sein sollen
    • Ob fehlgeschlagene API-Aufrufe wiederholt werden sollen
    • Ob cexal-Überwachungsprotokolle enthalten sein sollen
    • Ob ein Zeitintervall zwischen Datenextraktionen gewartet werden soll, insbesondere bei großen Extraktionen

    Weitere Informationen finden Sie unter Manuelles Konfigurieren des Microsoft Sentinel für SAP-Datenconnectors und Definieren der SAP-Protokolle, die an Microsoft Sentinel gesendet werden.

    Um Ihre Konfiguration zu testen, sollten Sie Benutzer und Kennwort direkt in der Konfigurationsdatei systemconfig.json hinzufügen. Es wird zwar empfohlen, Azure Key Vault zur Speicherung Ihrer Anmeldeinformationen zu verwenden, Sie können aber auch eine Datei vom Typ env.list oder Docker-Geheimnisse verwenden oder Ihre Anmeldeinformationen direkt in die Datei systemconfig.json einfügen.

    Weitere Informationen finden Sie unter Konfigurationen des SAL-Protokollconnectors.

  5. Speichern Sie die aktualisierte Datei systemconfig.json im Verzeichnis sapcon auf Ihrem Computer.

  6. Wenn Sie sich zum Angeben Ihrer Ihre Anmeldeinformationen in einer Datei des Typs env.list entschieden haben, erstellen Sie die temporäre Datei env.list mit den erforderlichen Anmeldeinformationen. Sobald Ihr Docker-Container ordnungsgemäß ausgeführt wird, löschen Sie unbedingt diese Datei.

    Hinweis

    Das folgende Skript enthält alle Docker-Container, die eine Verbindung mit einem bestimmten ABAP-System herstellen können. Ändern Sie bei Bedarf Ihr Skript für Ihre Umgebung.

    Führen Sie Folgendes aus:

    ##############################################################
    # Include the following section if you're using user authentication
    ##############################################################
    # env.list template for Credentials
    SAPADMUSER=<SET_SAPCONTROL_USER>
    SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
    LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
    LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
    ABAPUSER=SET_ABAP_USER>
    ABAPPASS=<SET_ABAP_PASS>
    JAVAUSER=<SET_JAVA_OS_USER>
    JAVAPASS=<SET_JAVA_OS_USER>
    ##############################################################
    # Include the following section if you are using Azure Keyvault
    ##############################################################
    # env.list template for AZ Cli when MI is not enabled
    AZURE_TENANT_ID=<your tenant id>
    AZURE_CLIENT_ID=<your client/app id>
    AZURE_CLIENT_SECRET=<your password/secret for the service principal>
    ##############################################################
    
  7. Laden Sie das vordefinierte Docker-Image herunter, und führen Sie es bei installiertem SAP-Datenconnector aus. Führen Sie Folgendes aus:

    docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
    docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
    rm -f <env.list_location>
    
  8. Überprüfen Sie, ob der Docker-Container ordnungsgemäß ausgeführt wird. Führen Sie Folgendes aus:

    docker logs –f sapcon-[SID]
    
  9. Fahren Sie mit dem Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen fort.

    Durch die Bereitstellung der Lösung wird der SAP-Datenconnector in Microsoft Sentinel angezeigt, und die SAP-Arbeitsmappe und -Analyseregeln werden bereitgestellt. Wenn Sie fertig sind, fügen Sie Ihre SAP-Watchlists manuell hinzu, und passen Sie sie an.

    Weitere Informationen finden Sie unter Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen aus dem Inhaltshub.

Manuelles Konfigurieren des Microsoft Sentinel-Datenconnectors für SAP

Bei Bereitstellung über die CLI wird der Microsoft Sentinel für SAP-Datenconnector in der Datei systemconfig.json konfiguriert, die Sie im Rahmen des Bereitstellungsvorgangs auf den Computer mit dem SAP-Datenconnector geklont haben. Verwenden Sie den Inhalt in diesem Abschnitt, um die Einstellungen des Datenconnectors manuell zu konfigurieren.

Weitere Informationen finden Sie in der Referenz zur Datei „systemconfig.json“ oder bei Legacysystemen in der Referenz zur Datei „systemconfig.ini“.

Definieren der an Microsoft Sentinel gesendeten SAP-Protokolle

Die Standarddatei systemconfig.json ist so konfiguriert, dass integrierte Analysen, die Masterdatentabellen zur SAP-Benutzerautorisierung mit Benutzer- und Berechtigungsinformationen sowie die Möglichkeit zum Nachverfolgen von Änderungen und Aktivitäten in der SAP-Umgebung abgedeckt werden.

Diese Standardkonfiguration bietet zusätzliche Protokollinformationen, um Untersuchungen nach Sicherheitsverletzungen und erweiterte Huntingfunktionen zu unterstützen. Möglicherweise möchten Sie Ihre Konfiguration jedoch im Lauf der Zeit anpassen, insbesondere wenn Geschäftsprozesse saisonal sind.

Verwenden Sie die folgenden Codeblöcke, um die Datei systemconfig.json zu konfigurieren und die Protokolle zu definieren, die an Microsoft Sentinel gesendet werden.

Weitere Informationen finden Sie unter Referenz zu den Lösungsprotokollen für die Microsoft Sentinel-Lösung für SAP-Anwendungen (Public Preview).

Konfigurieren eines Standardprofils

Mit dem folgenden Code wird eine Standardkonfiguration konfiguriert:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Konfigurieren eines erkennungsorientierten Profils

Verwenden Sie den folgenden Code, um ein erkennungsorientiertes Profil zu konfigurieren, das die wichtigsten Sicherheitsprotokolle der SAP-Umgebung enthält, die für eine reibungslose Funktion der meisten Analyseregeln erforderlich sind. Die Untersuchungsmöglichkeiten und Huntingfunktionen nach Sicherheitsverletzungen sind eingeschränkt.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Verwenden Sie den folgenden Code, um ein minimales Profil zu konfigurieren, das das SAP-Sicherheitsüberwachungsprotokoll enthält, das die wichtigste Datenquelle ist, die die Microsoft Sentinel-Lösung für SAP-Anwendungen zum Analysieren von Aktivitäten in der SAP-Landschaft verwenden. Die Aktivierung dieses Protokolls stellt die Mindestanforderung für die Bereitstellung von Sicherheit dar.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Einstellungen des SAL-Protokollconnectors

Fügen Sie den folgenden Code der Datei systemconfig.json des Microsoft Sentinel für SAP-Datenconnectors hinzu, um weitere Einstellungen für in Microsoft Sentinel erfasste SAP-Protokolle zu definieren.

Weitere Informationen finden Sie unter Ausführen einer Experten-/benutzerdefinierten Installation des SAP-Datenconnectors.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

In diesem Abschnitt können Sie die folgenden Parameter konfigurieren:

Parametername BESCHREIBUNG
extractuseremail Bestimmt, ob E-Mail-Adressen von Benutzern in Überwachungsprotokollen enthalten sind.
apiretry Bestimmt, ob API-Aufrufe als Failovermechanismus wiederholt werden.
auditlogforcexal Bestimmt, ob das System Überwachungsprotokolle für Nicht-SAL-Systeme erzwingt, z. B. für SAP BASIS-Version 7.4.
auditlogforcelegacyfiles Bestimmt, ob das System Überwachungsprotokolle mit Legacysystemfunktionen erzwingt, z. B. ab SAP BASIS-Version 7.4 mit niedrigeren Patchebenen.
timechunk Bestimmt, dass das System eine bestimmte Anzahl von Minuten als Intervall zwischen Datenextraktionen wartet. Verwenden Sie diesen Parameter, wenn eine große Datenmenge erwartet wird.

Während des ersten Datenladevorgangs in den ersten 24 Stunden sollten Sie z. B. die Datenextraktion nur alle 30 Minuten ausführen lassen, um jeder Datenextraktion genügend Zeit zu geben. Legen Sie in solchen Fällen diesen Wert auf 30 fest.

Konfigurieren einer ABAP SAP Control-Instanz

Konfigurieren Sie die folgenden Details für ABAP SAP Control, um alle ABAP-Protokolle in Microsoft Sentinel zu erfassen, einschließlich NW RFC- und SAP Control Web Service-basierter Protokolle:

Einstellung BESCHREIBUNG
javaappserver Geben Sie Ihren SAP Control ABAP-Serverhost ein.
Beispiel: contoso-erp.appserver.com
javainstance Geben Sie Ihre SAP Control ABAP-Instanznummer ein.
Beispiel: 00
abaptz Geben Sie die auf Ihrem SAP Control ABAP-Server konfigurierte Zeitzone im GMT-Format ein.
Beispiel: GMT+3
abapseverity Geben Sie den niedrigsten eingeschlossenen Schweregrad ein, für den Sie ABAP-Protokolle in Microsoft Sentinel erfassen möchten. Mögliche Werte sind:

- 0 = Alle Protokolle
- 1 = Warnung
- 2 = Fehler

Konfigurieren einer Java SAP Control-Instanz

Konfigurieren Sie die folgenden JAVA SAP Control-Instanzdetails, um SAP Control Web Service-Protokolle in Microsoft Sentinel zu erfassen:

Parameter BESCHREIBUNG
javaappserver Geben Sie Ihren SAP Control Java-Serverhost ein.
Beispiel: contoso-java.server.com
javainstance Geben Sie Ihre SAP Control ABAP-Instanznummer ein.
Beispiel: 10
javatz Geben Sie die auf Ihrem SAP Control Java-Server konfigurierte Zeitzone im GMT-Format ein.
Beispiel: GMT+3
javaseverity Geben Sie den niedrigsten eingeschlossenen Schweregrad ein, für den Sie Web Service-Protokolle in Microsoft Sentinel erfassen möchten. Mögliche Werte sind:

- 0 = Alle Protokolle
- 1 = Warnung
- 2 = Fehler

Konfigurieren der Benutzer-Masterdatensammlung

Um Tabellen direkt aus Ihrem SAP-System mit Details zu Ihren Benutzern und Rollenautorisierungen zu erfassen, konfigurieren Sie Ihre Datei systemconfig.json mit einer True/False-Anweisung für jede Tabelle.

Zum Beispiel:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Weitere Informationen finden Sie in der Referenz zu Tabellen, die direkt aus SAP-Systemen abgerufen werden.

Weitere Informationen finden Sie unter: