Развертывание контейнера агента соединителя данных SAP Sentinel с помощью параметров экспертов

2025-05-20
Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

В этой статье приведены процедуры развертывания и настройки контейнера агента соединителя данных SAP и настройки microsoft Sentinel для агента соединителя данных SAP с помощью параметров эксперта, пользовательского или ручного настройки. Для типичных развертываний рекомендуется использовать портал .

Содержимое этой статьи предназначено для команд SAP BASIS . Дополнительные сведения см. в разделе "Развертывание агента соединителя данных SAP" из командной строки.

Примечание.

Эта статья относится только к агенту соединителя данных и не относится к соединителю без агента SAP (ограниченная предварительная версия).

Необходимые компоненты

Перед началом работы убедитесь, что система соответствует соответствующим предварительным требованиям. Дополнительные сведения см. в разделе "Предварительные требования к развертыванию" для решений Microsoft Sentinel для приложений SAP.

Вручную добавьте секреты агента соединителя данных SAP Azure Key Vault

Используйте следующий сценарий, чтобы вручную добавить в хранилище ключей секреты системы SAP. Обязательно замените заполнители собственным идентификатором системы и учетными данными, которые вы хотите добавить:

#Add Abap username
az keyvault secret set \
  --name <SID>-ABAPUSER \
  --value "<abapuser>" \
  --description SECRET_ABAP_USER --vault-name $kvname

#Add Abap Username password
az keyvault secret set \
  --name <SID>-ABAPPASS \
  --value "<abapuserpass>" \
  --description SECRET_ABAP_PASSWORD --vault-name $kvname

#Add Java Username
az keyvault secret set \
  --name <SID>-JAVAOSUSER \
  --value "<javauser>" \
  --description SECRET_JAVAOS_USER --vault-name $kvname

#Add Java Username password
az keyvault secret set \
  --name <SID>-JAVAOSPASS \
  --value "<javauserpass>" \
  --description SECRET_JAVAOS_PASSWORD --vault-name $kvname

#Add abapos username
az keyvault secret set \
  --name <SID>-ABAPOSUSER \
  --value "<abaposuser>" \
  --description SECRET_ABAPOS_USER --vault-name $kvname

#Add abapos username password
az keyvault secret set \
  --name <SID>-ABAPOSPASS \
  --value "<abaposuserpass>" \
  --description SECRET_ABAPOS_PASSWORD --vault-name $kvname

#Add Azure Log ws ID
az keyvault secret set \
  --name <SID>-LOGWSID \
  --value "<logwsod>" \
  --description SECRET_AZURE_LOG_WS_ID --vault-name $kvname

#Add Azure Log ws public key
az keyvault secret set \
  --name <SID>-LOGWSPUBLICKEY \
  --value "<loswspubkey>" \
  --description SECRET_AZURE_LOG_WS_PUBLIC_KEY --vault-name $kvname

Для получения дополнительной информации см. краткое руководство: создание хранилища ключей с помощью Azure CLI и документацию CLI по az keyvault secret.

Выполнение экспертной или выборочной установки

В этой процедуре описывается развертывание соединителя данных SAP в Microsoft Sentinel с помощью интерфейса командной строки с помощью эксперта или пользовательской установки, например при установке локальной среды.

Необходимые условия: Azure Key Vault — это рекомендуемый метод хранения учетных данных проверки подлинности и данных конфигурации. Мы рекомендуем выполнить эту процедуру только после того, как у вас есть хранилище ключей, готовое к работе с учетными данными SAP.

Чтобы развернуть соединитель данных Microsoft Sentinel для SAP, выполните следующие действия.

Скачайте последнюю версию пакета SAP NW RFC SDK с сайта SAP Launchpad>SAP NW RFC SDK>7.50>nwrfc750X_X-xxxxxxx.zip и сохраните его на компьютере агента соединителя данных.

Примечание.

Для доступа к пакету SDK потребуются данные для входа пользователя SAP, и вам необходимо загрузить пакет SDK, соответствующий вашей операционной системе.

Обязательно выберите параметр LINUX ON X86_64 .
На том же компьютере создайте папку с понятным именем и скопируйте ZIP-файл ПАКЕТА SDK в новую папку.
Клонируйте репозиторий Microsoft Sentinel с GitHub на локальный компьютер и скопируйте файл решения Microsoft Sentinel для приложений SAP systemconfig.json в новую папку.

Например:
```
mkdir /home/$(pwd)/sapcon/<sap-sid>/
cd /home/$(pwd)/sapcon/<sap-sid>/
wget  https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/template/systemconfig.json 
cp <**nwrfc750X_X-xxxxxxx.zip**> /home/$(pwd)/sapcon/<sap-sid>/
```
При необходимости измените файлsystemconfig.json , используя внедренные комментарии в качестве руководства.

Определите следующие конфигурации с помощью инструкций в файлеsystemconfig.json :
- Журналы, которые вы хотите загрузить в Microsoft Sentinel, используя инструкции в файлеsystemconfig.json .
- Следует ли включать в журналы аудита адреса электронной почты пользователей
- Следует ли повторять неудачные вызовы API
- Следует ли включать журналы аудита cexal
- Следует ли ожидать некоторое время между извлечениями данных, особенно в случае больших извлечений
Дополнительные сведения см. в разделе "Вручную настройка Microsoft Sentinel для соединителя данных SAP " и определение журналов SAP, отправляемых в Microsoft Sentinel.

Чтобы проверить конфигурацию, может потребоваться добавить пользователя и пароль непосредственно в файл конфигурации systemconfig.json . Хотя мы рекомендуем использовать хранилище ключей Azure для хранения учетных данных, вы также можете использовать файл env.list , секреты Docker или добавить учетные данные непосредственно в файл systemconfig.json .

Дополнительные сведения см. в разделе конфигурации соединителя журналов SAL.
Сохраните обновленный файлsystemconfig.json в каталоге sapcon на компьютере.

Если вы решили использовать файл env.list для учетных данных, создайте временный файл env.list с необходимыми учетными данными. Проверив правильность работы контейнера Docker, не забудьте удалить этот файл.

Примечание.

В следующем скрипте каждый контейнер Docker подключается к определенной системе ABAP. Измените этот скрипт для своей среды.

Запустить:

##############################################################
# Include the following section if you're using user authentication
##############################################################
# env.list template for Credentials
SAPADMUSER=<SET_SAPCONTROL_USER>
SAPADMPASSWORD=<SET_SAPCONTROL_PASS>
LOGWSID=<SET MICROSOFT SENTINEL WORKSPACE ID>
LOGWSPUBLICKEY=<SET MICROSOFT SENTINEL WORKSPACE KEY>
ABAPUSER=SET_ABAP_USER>
ABAPPASS=<SET_ABAP_PASS>
JAVAUSER=<SET_JAVA_OS_USER>
JAVAPASS=<SET_JAVA_OS_USER>
##############################################################
# Include the following section if you are using Azure Keyvault
##############################################################
# env.list template for AZ Cli when MI is not enabled
AZURE_TENANT_ID=<your tenant id>
AZURE_CLIENT_ID=<your client/app id>
AZURE_CLIENT_SECRET=<your password/secret for the service principal>
##############################################################

Скачайте и запустите предопределенный образ Docker с установленным соединителем данных SAP. Запустить:

docker pull mcr.microsoft.com/azure-sentinel/solutions/sapcon:latest-preview
docker run --env-file=<env.list_location> -d --restart unless-stopped -v /home/$(pwd)/sapcon/<sap-sid>/:/sapcon-app/sapcon/config/system --name sapcon-<sid> sapcon
rm -f <env.list_location>

Убедитесь, что контейнер Docker работает правильно. Запустить:
```
docker logs –f sapcon-[SID]
```
Продолжайте развертывание решения Microsoft Sentinel для приложений SAP.

Развертывание этого решения позволяет соединителю данных SAP отображаться в Microsoft Sentinel и развертывать книгу SAP и правила аналитики. Когда все будет готово, вручную добавьте и настройте свои списки отслеживания SAP.

Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP из концентратора содержимого".

Настройка соединителя данных Microsoft Sentinel для SAP вручную

При развертывании с помощью интерфейса командной строки соединитель данных Microsoft Sentinel для SAP настраивается в файлеsystemconfig.json , клонированном на компьютер соединителя данных SAP в рамках процедуры развертывания. Используйте содержимое этого раздела для настройки параметров соединителя данных вручную.

Дополнительные сведения см. в Systemconfig.json справочнике по файлам, или Systemconfig.ini справочнике по файлам для устаревших систем.

Определение журналов SAP, отправляемых в Microsoft Sentinel

Файл по умолчанию systemconfig.json настроен для покрытия встроенной аналитики, таблиц основных данных авторизации пользователей SAP, с информацией о пользователях и привилегиях, а также возможность отслеживать изменения и действия в ландшафте SAP.

Конфигурация по умолчанию предоставляет дополнительные сведения о ведении журнала, чтобы разрешить исследования после нарушения работы и расширенные возможности охоты. Однако может потребоваться настроить конфигурацию с течением времени, особенно так как бизнес-процессы, как правило, являются сезонными.

Используйте следующие наборы кода, чтобы настроить файлsystemconfig.json , чтобы определить журналы, отправленные в Microsoft Sentinel.

Дополнительные сведения см. в разделе "Решение Microsoft Sentinel" для журналов решений SAP (общедоступная предварительная версия).

Настройка профиля по умолчанию

Следующий код настраивает конфигурацию по умолчанию:

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "True",
      "abapspoollog": "True",
      "abapspooloutputlog": "True",
      "abapchangedocslog": "True",
      "abapapplog": "True",
      "abapworkflowlog": "True",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"

Настройка профиля, ориентированного на обнаружение

Используйте следующий код, чтобы настроить профиль, ориентированный на обнаружение, который включает основные журналы безопасности ландшафта SAP, необходимые для эффективной работы большинства правил аналитики. Расследования после нарушения и возможности охоты ограничены.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Используйте следующий код для настройки минимального профиля, который включает журнал аудита безопасности SAP, который является самым важным источником данных, используемым решением Microsoft Sentinel для приложений SAP для анализа действий в ландшафте SAP. Включение этого журнала является минимальным требованием для предоставления покрытия безопасности.

"logs_activation_status": {
      "abapauditlog": "True",
      "abapjoblog": "False",
      "abapspoollog": "False",
      "abapspooloutputlog": "False",
      "abapchangedocslog": "True",
      "abapapplog": "False",
      "abapworkflowlog": "False",
      "abapcrlog": "True",
      "abaptabledatalog": "False",
      "abapfileslogs": "False",
      "syslog": "False",
      "icm": "False",
      "wp": "False",
      "gw": "False",
      "javafileslogs": "False"
    },
....
  "abap_table_selector": {
      "agr_tcodes_full": "False",
      "usr01_full": "False",
      "usr02_full": "False",
      "usr02_incremental": "False",
      "agr_1251_full": "False",
      "agr_users_full": "False",
      "agr_users_incremental": "False",
      "agr_prof_full": "False",
      "ust04_full": "False",
      "usr21_full": "False",
      "adr6_full": "False",
      "adcp_full": "False",
      "usr05_full": "False",
      "usgrp_user_full": "False",
      "user_addr_full": "False",
      "devaccess_full": "False",
      "agr_define_full": "False",
      "agr_define_incremental": "False",
      "pahi_full": "False",
      "pahi_incremental": "False",
      "agr_agrs_full": "False",
      "usrstamp_full": "False",
      "usrstamp_incremental": "False",
      "agr_flags_full": "False",
      "agr_flags_incremental": "False",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Параметры соединителя журналов SAL

Добавьте следующий код в файл systemconfig.json соединителя данных Microsoft Sentinel для SAP, чтобы определить другие параметры для журналов SAP, передаваемых в Microsoft Sentinel.

Для получения дополнительной информации см. Раздел об установке экспертного или настраиваемого соединителя данных SAP.

    "connector_configuration": {
      "extractuseremail": "True",
      "apiretry": "True",
      "auditlogforcexal": "False",
      "auditlogforcelegacyfiles": "False",
      "timechunk": "60"

В этом разделе можно настроить следующие параметры.

Наименование параметра	Описание
extractuseremail	Определяет, должны ли адреса электронной почты пользователей включаться в журналы аудита.
apiretry	Определяет, должны ли повторяться вызовы API в качестве механизма отработки отказа.
auditlogforcexal	Определяет, будет ли система принудительно использовать журналы аудита для систем, отличных от SAL, таких как SAP BASIS версии 7.4.
auditlogforcelegacyfiles	Определяет, будет ли система принудительно использовать журналы аудита с устаревшими системными возможностями, например из SAP BASIS версии 7.4 с более низкими уровнями исправлений.
отрезок времени	Определяет, должна ли система ожидать определенное количество минут в интервале между извлечениями данных. Используйте этот параметр, если ожидается большой объем данных. Например, во время начальной загрузки данных в течение первых 24 часов может потребоваться, чтобы извлечение данных запускалось только каждые 30 минут, чтобы предоставить каждому извлечению данных достаточно времени. В таких случаях задайте для этого значения значение 30.

Настройка экземпляра ABAP SAP Control

Чтобы принимать в Microsoft Sentinel все журналы ABAP, включая журналы NW RFC и веб-службы SAP Control, настройте следующие данные ABAP SAP Control:

Параметр	Описание
javaappserver	Введите узел сервера ABAP SAP Control. Например: `contoso-erp.appserver.com`
javainstance	Введите номер экземпляра ABAP SAP Control. Например: `00`
abaptz	Введите часовой пояс, настроенный на сервере ABAP SAP Control, в формате GMT. Например: `GMT+3`
абапсементность	Введите самый низкий уровень серьезности (включительно), для которого вы хотите принимать журналы ABAP в Microsoft Sentinel. К значениям относятся: - 0 = все журналы - 1 = предупреждение - 2 = ошибка

Настройка экземпляра Java SAP Control

Чтобы принимать журналы веб-службы SAP Control в Microsoft Sentinel, настройте следующие сведения об экземпляре Java SAP Control:

Параметр	Описание
javaappserver	Введите узел сервера Java SAP Control. Например: `contoso-java.server.com`
javainstance	Введите номер экземпляра ABAP SAP Control. Например: `10`
javatz	Введите часовой пояс, настроенный на сервере Java SAP Control, в формате GMT. Например: `GMT+3`
javaseverity	Введите самый низкий уровень серьезности (включительно), для которого вы хотите принимать журналы веб-службы в Microsoft Sentinel. К значениям относятся: - 0 = все журналы - 1 = предупреждение - 2 = ошибка

Настройка сбора основных данных о пользователе

Чтобы получать таблицы непосредственно из системы SAP с подробными сведениями о пользователях и авторизациях ролей, настройте файл systemconfig.json с инструкцией для каждой True/False таблицы.

Например:

    "abap_table_selector": {
      "agr_tcodes_full": "True",
      "usr01_full": "True",
      "usr02_full": "True",
      "usr02_incremental": "True",
      "agr_1251_full": "True",
      "agr_users_full": "True",
      "agr_users_incremental": "True",
      "agr_prof_full": "True",
      "ust04_full": "True",
      "usr21_full": "True",
      "adr6_full": "True",
      "adcp_full": "True",
      "usr05_full": "True",
      "usgrp_user_full": "True",
      "user_addr_full": "True",
      "devaccess_full": "True",
      "agr_define_full": "True",
      "agr_define_incremental": "True",
      "pahi_full": "True",
      "pahi_incremental": "True",
      "agr_agrs_full": "True",
      "usrstamp_full": "True",
      "usrstamp_incremental": "True",
      "agr_flags_full": "True",
      "agr_flags_incremental": "True",
      "sncsysacl_full": "False",
      "usracl_full": "False",

Дополнительные сведения см. в статье "Справочник по таблицам, извлеченным непосредственно из систем SAP".

Дополнительные сведения см. в разделе: