配置 SAP 授权并部署可选的 SAP 更改请求
本文介绍如何为安装 SAP 代理准备环境,以便它可以正确连接到 SAP 系统。 准备包括配置所需的 SAP 授权,以及(可选)部署额外的 SAP 更改请求 (CR)。
部署里程碑
通过以下系列文章跟踪 SAP 解决方案部署过程:
跨多个工作区使用解决方案(预览版)
准备 SAP 环境(你在此处)
可选部署步骤
配置 Microsoft Sentinel 角色
从 GitHub 中的 /MSFTSEN/SENTINEL_RESPONDER 文件上传角色授权。
这会创建 /MSFTSEN/SENTINEL_RESPONDER 角色,其中包括从 SAP 系统检索日志并运行攻击中断响应操作所需的所有授权。
或者,使用要引入的日志所需的相关授权手动创建角色。 有关详细信息,请参阅所需的 ABAP 授权。 此过程中的示例使用 /MSFTSEN/SENTINEL_RESPONDER 名称。
下一步是生成要使用的 Microsoft Sentinel 的活动角色配置文件。 运行 PFCG 事务:
在 SAP Easy Access 屏幕中,在屏幕左上角的字段中输入
PFCG
,然后按 Enter。在“角色维护”窗口中,在“角色”字段中键入角色名称
/MSFTSEN/SENTINEL_RESPONDER
,然后选择“更改”按钮(铅笔)。在显示的“更改角色”窗口中,选择“授权”选项卡。
在“授权”选项卡中,选择“更改授权数据”。
在“信息”弹出窗口中,阅读消息并选择绿色复选标记进行确认。
在“更改角色:授权”窗口中,选择“生成”。
查看“状态”字段已从“未更改”更改为“已生成”。
选择(屏幕顶部的 SAP 徽标左侧)的“返回”。
返回“更改角色”窗口,验证“授权”选项卡是否显示绿色框,然后选择“保存”。
创建用户
适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序要求用户帐户连接到 SAP 系统。 使用以下说明创建用户帐户,并将其分配给在上一步中创建的角色。
在此示例中,我们使用角色名称 /MSFTSEN/SENTINEL_RESPONDER。
使用 SU01 事务:
在 SAP Easy Access 屏幕中,在屏幕左上角的字段中输入
SU01
,按 Enter。在“用户维护:初始屏幕”屏幕中的“用户”字段中键入新用户的名称,然后从按钮栏中选择“创建技术用户”。
在“维护用户”屏幕中,从“用户类型”下拉列表中选择“系统”。 在“新建密码”和“重复密码”字段中创建并输入复杂密码,然后选择“角色”选项卡。
在“角色”选项卡的“角色分配”部分中,输入示例中的完整角色名称 -
/MSFTSEN/SENTINEL_RESPONDER
- 然后按”Enter”。按“Enter”后,验证“角色分配”部分右侧是否填充了数据,例如“更改开始日期”。
选择“配置文件”选项卡,验证角色的配置文件是否显示在“分配的授权配置文件”下,然后选择“保存”。
所需 ABAP 授权
本部分列出了确保 Microsoft Sentinel 的 SAP 数据连接器使用的 SAP 用户帐户能够正确检索 SAP 系统中的日志并运行攻击中断响应操作所需的 ABAP 授权。
所需的授权在此处按其用途列出。 只需为要引入 Microsoft Sentinel 的日志类型和要应用的攻击中断响应操作列出的授权。
提示
若要创建具有所有所需授权的角色,请从 /MSFTSEN/SENTINEL_RESPONDER 文件加载角色授权。
或者,若要仅启用日志检索,而不执行攻击中断响应操作,请在 SAP 系统上部署 SAP NPLK900271 CR,以创建 /MSFTSEN/SENTINEL_CONNECTOR 角色,或从 /MSFTSEN/SENTINEL_CONNECTOR 文件加载角色授权。
如果需要,可以移除用户角色和 ABAP 系统上安装的可选 CR。
部署可选 CR
本部分提供了部署额外可选 CR 的分步指南。 它适用于可能不一定是 SAP 专家的 SOC 工程师或实施者。
熟悉 CR 部署过程的经验丰富的 SAP 管理员可能更喜欢从指南的 SAP 环境验证步骤部分直接获取相应的 CR 并进行部署。
强烈建议由经验丰富的 SAP 系统管理员完成部署 SAP CR。
下表描述了可用于部署的可选 CR:
CR | 说明 |
---|---|
NPLK900271 | 使用允许 SAP 数据连接器连接到 SAP 系统所需的基本授权创建和配置示例角色。 或者,可以直接从文件加载授权,或根据要引入的日志手动定义角色。 有关详细信息,请参阅所需的 ABAP 授权和创建和配置角色(必需)。 |
NPLK900201 或 NPLK900202 | 从 SAP 检索其他信息。 根据你的 SAP 版本选择其中一个 CR。 |
部署 CRS 的先决条件
在开始部署过程之前,请确保已复制 SAP 系统版本、系统 ID (SID)、系统编号、客户端编号、IP 地址、管理用户名和密码的详细信息。 对于以下示例,假定以下详细信息:
- SAP 系统版本:
SAP ABAP Platform 1909 Developer edition
- SID:
A4H
- 系统编号:
00
- 客户端编号:
001
- IP 地址:
192.168.136.4
- 管理员用户:
a4hadm
,但与 SAP 系统的 SSH 连接是使用root
用户凭据建立的。
- SAP 系统版本:
确保知道要部署的 CR。
如果要部署 NPLK900202 CR 以检索其他信息,请确保已安装相关的 SAP 说明。
设置文件
使用 SSH 登录 SAP 系统。
将 CR 文件传输到 SAP 系统,或直接从 SSH 提示将文件下载到 SAP 系统。 使用以下命令:
下载 NPLK900271
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900271.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900271.NPL
或者,可以直接从文件中加载这些授权。
下载 NPLK900202
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900202.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900202.NPL
下载 NPLK900201
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/K900201.NPL wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/CR/R900201.NPL
每个 CR 由两个文件组成,一个以 K 开头,一个以 R 开头。
将文件的所有权更改为用户
<sid>
adm 和 组 sapsys。 (将 SAP 系统 ID 替换为<sid>
。)chown <sid>adm:sapsys *.NPL
在我们的示例中:
chown a4hadm:sapsys *.NPL
将共同文件(以 K 开头)复制到文件夹
/usr/sap/trans/cofiles
。 在复制时保留权限,使用具有-p
开关的cp
命令。cp -p K*.NPL /usr/sap/trans/cofiles/
将数据文件(以 R 开头)的数据文件复制到文件夹
/usr/sap/trans/data
。 在复制时保留权限,使用具有-p
开关的cp
命令。cp -p R*.NPL /usr/sap/trans/data/
导入 CR
启动 SAP 登录应用程序并登录到 SAP GUI 控制台。
运行 STMS_IMPORT 事务:
在 SAP Easy Access 屏幕中,在屏幕左上角的字段中输入
STMS_IMPORT
,然后按 Enter。在显示的“导入队列”窗口中,选择“更多”>“其他”>“其他请求”>“添加”。
在出现的“向导入队列添加传输请求”弹出窗口中,选择“传输、请求”字段。
“传输请求”窗口将显示并显示可供部署的 CR 列表。 选择 CR,然后选择绿色复选标记按钮。
返回“向导入队列添加传输请求”窗口,选择“继续”(绿色复选标记)或按 Enter 键。
在“添加传输请求”确认对话框中,选择“是”。
如果计划部署更多的 CR,请对剩余的 CR 重复前面 5 个步骤中的过程。
在“导入队列”窗口中,选择相关的传输请求一次,然后选择“F9”或“选择/取消选择请求”图标。
如果有剩余的传输请求要添加到部署,请重复步骤 9。
选择“导入请求”图标:
在“开始导入”窗口中,选择“目标客户端”字段。
此时会显示“输入帮助……”对话框。 选择要将 CR 部署到客户端的编号(示例中的
001
),然后选择要确认的绿色复选标记。返回“开始导入”窗口,选择“选项”选项卡,标记“忽略无效组件版本”复选框,然后选择绿色复选标记进行确认。
在“开始导入”确认对话框中,选择“是”以确认导入。
返回“导入队列”窗口,选择“刷新”,等待导入操作完成且导入队列显示为空。
若要查看导入状态,请在“导入队列”窗口中选择“更多”转到“导入历史记录”>>。
如果你部署了 NPLK900202 CR,预计会显示一个警告。 选择条目以验证显示的警告类型为“已激活表<TableName>”。
根据你安装的 CR 版本,以下屏幕截图中的 CR 和版本可能有所变化。
验证 PAHI 表(系统、数据库和 SAP 参数的历史记录)是否定期更新
SAP PAHI 表包括有关 SAP 系统、数据库和 SAP 参数的历史记录数据。 在某些情况下,由于配置缺失或错误,适用于 SAP 的 Microsoft Sentinel 解决方案® 应用程序无法定期监视 SAP PAHI 表(请参阅 SAP 说明,其中包含有关此问题的更多详细信息)。 请务必更新 PAHI 表并经常对其进行监视,以便适用于 SAP 的 Microsoft Sentinel 解决方案® 应用程序可以针对全天随时可能发生的可疑操作发出警报。
详细了解适用于 SAP 的 Microsoft Sentinel 解决方案应用程序如何监视对安全参数的可疑配置更改。
注意
为了获得最佳结果,请在计算机 systemconfig.ini 文件中的 [ABAP Table Selector]
部分下启用 PAHI_FULL
和 PAHI_INCREMENTAL
参数。
若要验证 PAHI 表是否定期更新,请执行以下操作:
- 检查基于 RSCOLL00 程序的作业
SAP_COLLECTOR_FOR_PERFMONITOR
是否由 000 客户端中的 DDIC 用户计划并每小时运行一次。 - 检查
RSHOSTPH
、RSSTATPH
和RSDB_PAR
报表名称是否保留在 TCOLL 表中。RSHOSTPH
报表:读取操作系统内核参数并将此数据存储在 PAHI 表中。RSSTATPH
报表:读取 SAP 配置文件参数并将此数据存储在 PAHI 表中。RSDB_PAR
报表:读取数据库参数并将其存储在 PAHI 表中。
如果作业存在且配置正确,则无需执行进一步的步骤。
如果作业不存在:
在 000 客户端中登录到 SAP 系统。
执行 SM36 事务。
在“作业名称”下,键入 SAP_COLLECTOR_FOR_PERFMONITOR。
选择“步骤”并填写以下信息:
- 在“用户”下,键入 DDIC。
- 在“ABAP 程序名称”下,键入 RSCOLL00。
保存配置。
选择 F3,返回到上一个屏幕。
选择“开始条件”,定义开始条件。
选择“即时”,然后选中“定期作业”复选框。
选择“周期值”,然后选择“每小时”。
在对话框中选择“保存”,然后选择底部的“保存”。
若要发布作业,请选择顶部的“保存”。
后续步骤
SAP 环境现在已完全准备好部署数据连接器代理。 预配角色和配置文件、创建用户帐户并分配相关角色配置文件,并根据需要为环境部署 PR。
现在,你已准备好为 Microsoft Sentinel 启用和配置 SAP 审核。