SAP 권한 부여 구성 및 선택적 SAP 변경 요청 배포
이 문서에서는 SAP 시스템에 제대로 연결할 수 있도록 SAP 에이전트 설치를 위해 환경을 준비하는 방법을 설명합니다. 준비에는 필요한 SAP 권한 부여 구성 및 필요에 따라 추가 SAP CR(변경 요청) 배포가 포함됩니다.
- 이제 Microsoft Sentinel은 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
배포 마일스톤
다음과 같은 문서 시리즈를 통해 SAP 솔루션 배포 과정을 추적합니다.
여러 작업 영역에서 솔루션 작업(미리 보기)
SAP 환경 준비(현재 위치)
선택적 배포 단계
Microsoft Sentinel 역할 구성
GitHub의 /MSFTSEN/SENTINEL_RESPONDER 파일에서 역할 권한 부여를 업로드합니다.
그러면 SAP 시스템에서 로그를 검색하고 공격 중단 대응 작업을 실행하는 데 필요한 모든 권한 부여를 포함하는 /MSFTSEN/SENTINEL_RESPONDER 역할이 만들어집니다.
또는 수집하려는 로그에 필요한 관련 권한 부여를 사용하여 역할을 수동으로 만듭니다. 자세한 내용은 필요한 ABAP 권한 부여를 참조하세요. 이 절차의 예제에서는 /MSFTSEN/SENTINEL_RESPONDER 이름을 사용합니다.
다음 단계는 Microsoft Sentinel이 사용할 활성 역할 프로필을 생성하는 것입니다. PFCG 트랜잭션을 실행합니다.
SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에
PFCG
을 입력하고 Enter 키를 누릅니다.역할 유지 관리 창에서 역할 필드에 역할 이름
/MSFTSEN/SENTINEL_RESPONDER
를 입력하고 변경 단추(연필 모양)을 선택합니다.표시되는 역할 변경 창에서 권한 부여 탭을 선택합니다.
권한 부여 탭에서 권한 부여 데이터 변경을 선택합니다.
정보 팝업에서 메시지를 읽고 녹색 확인 표시를 선택하여 확인합니다.
역할 변경: 권한 부여 창에서 생성을 선택합니다.
상태 필드가 변경되지 않음에서 생성됨으로 변경되었는지 확인합니다.
뒤로(화면 상단의 SAP 로고 왼쪽)를 선택합니다.
역할 변경 창으로 돌아가서 권한 부여 탭에 녹색 상자가 표시되는지 확인한 다음 저장을 선택합니다.
사용자 만들기
SAP® 애플리케이션용 Microsoft Sentinel 솔루션에는 SAP 시스템에 연결하기 위한 사용자 계정이 필요합니다. 다음 지침에 따라 사용자 계정을 만들고 이전 단계에서 만든 역할에 할당합니다.
여기에 표시된 예에서는 역할 이름 /MSFTSEN/SENTINEL_RESPONDER를 사용합니다.
SU01 트랜잭션을 실행합니다.
SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에
SU01
을 입력하고 Enter 키를 누릅니다.사용자 유지 관리: 초기 화면 화면에서 사용자 필드에 새 사용자의 이름을 입력하고 단추 모음에서 기술 사용자 만들기를 선택합니다.
사용자 관리 화면의 사용자 유형 드롭다운 목록에서 시스템을 선택합니다. 새 암호 및 암호 반복 필드에 복잡한 암호를 만들어 입력한 다음 역할 탭을 선택합니다.
역할 탭의 역할 할당 섹션에 역할의 전체 이름(이 예에서는
/MSFTSEN/SENTINEL_RESPONDER
)을 입력하고 Enter 키를 누릅니다.Enter 키를 누른 후 역할 할당 섹션의 오른쪽이 시작 날짜 변경과 같은 데이터로 채워지는지 확인합니다.
프로필 탭을 선택하고 역할에 대한 프로필이 할당된 권한 부여 프로필 아래에 나타나는지 확인한 다음 저장을 선택합니다.
필요한 ABAP 권한
이 섹션에서는 Microsoft Sentinel의 SAP 데이터 커넥터에서 사용하는 SAP 사용자 계정이 SAP 시스템에서 로그를 올바르게 검색하고 공격 중단 대응 작업을 실행할 수 있도록 하는 데 필요한 ABAP 권한 부여를 나열합니다.
여기에 필요한 권한이 용도별로 나열됩니다. Microsoft Sentinel에 가져오려는 로그 종류 및 적용하려는 공격 중단 대응 작업에 대해 나열된 권한 부여만 필요합니다.
팁
필요한 모든 권한 부여를 사용하여 역할을 만들려면 /MSFTSEN/SENTINEL_RESPONDER 파일에서 역할 권한 부여를 로드합니다.
또는 공격 중단 대응 작업 없이 로그 검색만 사용하도록 설정하려면 SAP 시스템에 SAP NPLK900271 CR을 배포하여 /MSFTSEN/SENTINEL_CONNECTOR 역할을 만들거나 /MSFTSEN/SENTINEL_CONNECTOR 파일에서 역할 권한 부여를 로드합니다.
필요한 경우 ABAP 시스템에 설치된 사용자 역할 및 선택적 CR을 제거할 수 있습니다.
선택적 CR 배포
이 섹션에서는 추가 선택적 CR을 배포하는 단계별 가이드를 제공합니다. 이 가이드는 반드시 SAP 전문가는 아닐 수도 있는 SOC 엔지니어 또는 구현자에게 권장됩니다.
CR 배포 프로세스에 익숙한 숙련된 SAP 관리자는 가이드의 SAP 환경 유효성 검사 단계 섹션에서 직접 적절한 CR을 가져와 배포할 수 있습니다.
SAP CR 배포는 숙련된 SAP 시스템 관리자가 수행하는 것이 좋습니다.
다음 표에서는 배포할 수 있는 선택적 CR에 대해 설명합니다.
CR | 설명 |
---|---|
NPLK900271 | SAP 데이터 커넥터가 SAP 시스템에 연결할 수 있도록 허용하는 데 필요한 기본 권한 부여를 사용하여 샘플 역할을 만들고 구성합니다. 또는 파일에서 직접 권한 부여를 로드하거나 수집하려는 로그에 따라 역할을 수동으로 정의할 수 있습니다. 자세한 내용은 필수 ABAP 권한 부여 및 역할 만들기 및 구성(필수)을 참조하세요. |
NPLK900201 또는 NPLK900202 | SAP에서 추가 정보 검색 SAP 버전에 따라 관련 CR 중 하나를 선택합니다. |
CR 배포를 위한 필수 조건
배포 프로세스를 시작하기 전에 SAP 시스템 버전, SID(시스템 ID), 시스템 번호, 클라이언트 번호, IP 주소, 관리 사용자 이름 및 암호의 세부 정보를 복사했는지 확인합니다. 다음 예에서는 다음 세부 정보를 가정합니다.
- SAP 시스템 버전:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- 시스템 번호:
00
- 클라이언트 번호:
001
- IP 주소:
192.168.136.4
- 관리자 사용자:
a4hadm
, 그러나 SAP 시스템에 대한 SSH 연결은root
사용자 자격 증명으로 설정됩니다.
- SAP 시스템 버전:
배포하려는 CR을 알고 있는지 확인합니다.
추가 정보를 검색하기 위한 NPLK900202 CR을 배포하는 경우 관련 SAP Note를 설치했는지 확인합니다.
파일 설정
SSH를 사용하여 SAP 시스템에 로그인합니다.
CR 파일을 SAP 시스템으로 전송하거나 SSH 프롬프트에서 SAP 시스템에 직접 파일을 다운로드합니다. 다음 명령을 사용합니다.
NPLK900271 다운로드
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
또는 파일에서 직접 권한 부여를 로드할 수 있습니다.
NPLK900202 다운로드
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
NPLK900201 다운로드
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
각 CR은 두 개의 파일(K로 시작하는 파일과 R로 시작하는 파일)로 구성되어 있습니다.
파일 소유권을 사용자
<sid>
adm 및 그룹 sapsys로 변경합니다. (<sid>
를 SAP 시스템 ID로 대체합니다.)chown <sid>adm:sapsys *.NPL
이 예제에서
chown a4hadm:sapsys *.NPL
공동 파일(K로 시작하는 파일)을
/usr/sap/trans/cofiles
폴더에 복사합니다.-p
스위치와 함께cp
명령을 사용하여 복사하는 동안 권한을 유지합니다.cp -p K*.NPL /usr/sap/trans/cofiles/
데이터 파일(R로 시작하는 파일)을
/usr/sap/trans/data
폴더에 복사합니다.-p
스위치와 함께cp
명령을 사용하여 복사하는 동안 권한을 유지합니다.cp -p R*.NPL /usr/sap/trans/data/
CR 가져오기
SAP Logon 애플리케이션을 실행하고 SAP GUI 콘솔에 로그인합니다.
STMS_IMPORT 트랜잭션을 실행합니다.
SAP 간편 액세스 화면에서 화면 왼쪽 상단의 필드에
STMS_IMPORT
을 입력하고 Enter 키를 누릅니다.표시되는 가져오기 큐 창에서 자세히 > 추가 > 기타 요청 > 추가를 선택합니다.
표시되는 가져오기 큐에 전송 요청 추가 팝업에서 전송 요청 필드를 선택합니다.
전송 요청 창이 나타나고 배포할 수 있는 CR 목록이 표시됩니다. CR을 선택하고 녹색 확인 표시 단추를 선택합니다.
가져오기 큐에 전송 요청 추가 창으로 돌아가서 계속(녹색 확인 표시)을 선택하거나 Enter 키를 누릅니다.
전송 요청 추가 확인 대화 상자에서 예를 선택합니다.
더 많은 CR을 배포하려는 경우 나머지 CR에 대해 이전 5개 단계의 절차를 반복합니다.
큐 가져오기 창에서 관련 전송 요청을 한 번 선택한 다음, F9 또는 요청 선택/선택 취소 아이콘을 선택합니다.
배포에 추가할 나머지 전송 요청이 있는 경우 9단계를 반복합니다.
요청 가져오기 아이콘을 선택합니다.
가져오기 시작 창에서 대상 클라이언트 필드를 선택합니다.
입력 도움말.. 대화 상자가 나타납니다. CR을 배포할 클라이언트 번호(이 예에서는
001
)를 선택한 다음 녹색 확인 표시를 선택하여 확인합니다.가져오기 시작 창으로 돌아가서 옵션 탭을 선택하고 잘못된 구성 요소 버전 무시 확인란을 선택한 다음 녹색 확인 표시를 선택하여 확인합니다.
가져오기 시작 확인 대화 상자에서 예를 선택하여 가져오기를 확인합니다.
가져오기 큐 창으로 돌아가서 새로 고침을 선택하고 가져오기 작업이 완료되고 가져오기 큐가 비어 있는 것으로 표시될 때까지 기다립니다.
가져오기 상태를 검토하려면 가져오기 큐 창에서 자세히 > 이동 > 가져오기 기록을 선택합니다.
NPLK900202 CR을 배포한 경우 경고가 표시됩니다. 항목을 선택하여 표시된 경고가 "<tablename> 테이블이 활성화되었습니다." 형식인지 확인합니다.
다음 스크린샷의 CR 및 버전은 설치된 CR 버전에 따라 변경될 수 있습니다.
PAHI 테이블(시스템, 데이터베이스 및 SAP 매개 변수 기록)이 정기적으로 업데이트되는지 확인합니다.
SAP PAHI 테이블에는 SAP 시스템의 기록, 데이터베이스 및 SAP 매개 변수에 대한 데이터가 포함됩니다. 경우에 따라 SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 누락되거나 잘못된 구성으로 인해 정기적으로 SAP PAHI 테이블을 모니터링할 수 없습니다(이 문제에 대한 자세한 내용은 SAP 참고 참조). PAHI 테이블을 업데이트하고 자주 모니터링하여 SAP® 애플리케이션용 Microsoft Sentinel 솔루션이 하루 종일 발생할 수 있는 의심스러운 작업에 대해 경고할 수 있도록 하는 것이 중요합니다.
SAP® 애플리케이션용 Microsoft Sentinel 솔루션이 보안 매개 변수에 대한 의심스러운 구성 변경을 모니터링하는 방법에 대해 자세히 알아봅니다.
참고 항목
최적의 결과를 얻으려면 컴퓨터의 systemconfig.ini 파일에서 [ABAP Table Selector]
섹션 아래에 있는 PAHI_FULL
및 PAHI_INCREMENTAL
매개 변수를 모두 사용하도록 설정합니다.
PAHI 테이블이 정기적으로 업데이트되는지 확인하려면:
- RSCOLL00 프로그램을 기반으로 하는
SAP_COLLECTOR_FOR_PERFMONITOR
작업이 000 클라이언트의 DDIC 사용자에 의해 매시간 예약되고 실행되는지 확인합니다. RSHOSTPH
,RSSTATPH
및RSDB_PAR
보고서 이름이 TCOLL 테이블에서 유지되는지 확인합니다.RSHOSTPH
보고서: 운영 체제 커널 매개 변수를 읽고 이 데이터를 PAHI 테이블에 저장합니다.RSSTATPH
보고서: SAP 프로필 매개 변수를 읽고 이 데이터를 PAHI 테이블에 저장합니다.RSDB_PAR
보고서: 데이터베이스 매개 변수를 읽고 PAHI 테이블에 저장합니다.
작업이 존재하고 올바르게 구성된 경우 추가 단계가 필요하지 않습니다.
작업이 존재하지 않는 경우:
000 클라이언트에서 SAP 시스템에 로그인합니다.
SM36 트랜잭션을 실행합니다.
작업 이름에 SAP_COLLECTOR_FOR_PERFMONITOR를 입력합니다.
단계를 선택하고 다음 정보를 입력합니다.
- 사용자 아래에 DDIC를 입력합니다.
- ABAP 프로그램 이름에 RSCOLL00을 입력합니다.
구성을 저장합니다.
이전 화면으로 돌아가려면 F3을 선택합니다.
시작 조건을 선택하여 시작 조건을 정의합니다.
즉시를 선택하고 주기적 작업 확인란을 선택합니다.
기간 값을 선택하고 시간별을 선택합니다.
대화 상자 내에서 저장을 선택한 다음 하단에서 저장을 선택합니다.
작업을 해제하려면 상단에서 저장을 선택합니다.
다음 단계
이제 SAP 환경이 데이터 커넥터 에이전트를 배포할 준비가 되었습니다. 역할 및 프로필이 프로비전되고, 사용자 계정이 만들어지고 관련 역할 프로필이 할당되며, 사용자 환경에 필요한 대로 CR이 배포됩니다.
이제 Microsoft Sentinel에 대한 SAP 감사를 사용하고 구성할 준비가 되었습니다.