Sdílet prostřednictvím

Konfigurace systému SAP pro řešení Microsoft Sentinel

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek popisuje, jak připravit prostředí SAP na připojení k datovému konektoru SAP. Příprava se liší v závislosti na tom, jestli používáte agenta kontejnerizovaného datového konektoru. Vyberte možnost v horní části stránky, která odpovídá vašemu prostředí.

Tento článek je součástí druhého kroku nasazení řešení Microsoft Sentinel pro aplikace SAP.

Diagram toku nasazení pro řešení Microsoft Sentinel pro aplikace SAP se zvýrazněným krokem přípravy SAP

Postupy v tomto článku obvykle provádí váš tým SAP BASIS . Pokud používáte řešení bez agentů, možná budete muset zapojit i bezpečnostní tým.

Důležité

Řešení Bez agentů Microsoft Sentinelu je ve verzi Limited Preview jako předem připravený produkt, který se může podstatně upravit před komerčním vydáním. Společnost Microsoft neposkytuje žádné záruky vyjádřené ani předpokládané, pokud jde o informace uvedené zde. Přístup k řešení bez agentů také vyžaduje registraci a je k dispozici jenom schváleným zákazníkům a partnerům během období Preview. Další informace naleznete v tématu Microsoft Sentinel pro SAP jde bez agentů .

Požadavky

Konfigurace role Microsoft Sentinelu

Pokud chcete datovému konektoru SAP umožnit připojení k systému SAP, musíte pro tento účel vytvořit roli systému SAP.

  • Pokud chcete zahrnout akce odezvy na načtení protokolu i přerušení útoku, doporučujeme tuto roli vytvořit načtením autorizací rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER.

  • Pokud chcete zahrnout pouze načtení protokolu, doporučujeme vytvořit tuto roli nasazením žádosti o změnu NPLK900271 SAP (CR): K900271.NPL | R900271. NPL

    Podle potřeby nasaďte žádosti o přijetí změn do systému SAP stejně jako ostatní žádosti o přijetí změn. Důrazně doporučujeme nasadit žádosti o přijetí změn SAP zkušeným správcem systému SAP. Další informace najdete v dokumentaci k SAP.

    Případně načtěte autorizace rolí ze souboru MSFTSEN_SENTINEL_CONNECTOR , který zahrnuje všechna základní oprávnění pro provoz datového konektoru.

    Zkušení správci SAP se můžou rozhodnout, že roli vytvoří ručně a přiřadí jí příslušná oprávnění. V takových případech vytvořte roli ručně s příslušnými autorizací požadovanými pro protokoly, které chcete ingestovat. Další informace naleznete v tématu Povinné autorizace ABAP. Příklady v naší dokumentaci používají název /MSFTSEN/SENTINEL_RESPONDER .

Při konfiguraci role doporučujeme:

  • Spuštěním transakce PFCG vygenerujte aktivní profil role pro Microsoft Sentinel.
  • Slouží /MSFTSEN/SENTINEL_RESPONDER jako název role.

Vytvořte roli pomocí šablony MSFTSEN_SENTINEL_READER , která zahrnuje všechna základní oprávnění pro provoz datového konektoru.

Další informace najdete v dokumentaci k SAP týkající se vytváření rolí.

Vytvoření uživatele

Řešení Microsoft Sentinel pro aplikace SAP vyžaduje, aby se k vašemu systému SAP připojil uživatelský účet. Při vytváření uživatele:

  • Nezapomeňte vytvořit systémového uživatele.
  • Přiřaďte uživateli roli /MSFTSEN/SENTINEL_RESPONDER , kterou jste vytvořili v předchozím kroku.
  • Nezapomeňte vytvořit systémového uživatele.
  • Přiřaďte uživateli roli MSFTSEN_SENTINEL_READER, kterou jste vytvořili v předchozím kroku.

Další informace najdete v dokumentaci k SAP.

Konfigurace auditování SAP

Některé instalace systémů SAP nemusí mít ve výchozím nastavení povolené protokolování auditu. Pro zajištění nejlepších výsledků při vyhodnocování výkonu a účinnosti řešení Microsoft Sentinel pro aplikace SAP povolte auditování systému SAP a nakonfigurujte parametry auditu. Pokud chcete ingestovat protokoly databáze SAP HANA, nezapomeňte také povolit auditování databáze SAP HANA.

Doporučujeme nakonfigurovat auditování pro všechny zprávy z protokolu auditu, ne jenom pro konkrétní protokoly. Rozdíly v nákladech na příjem dat jsou obecně minimální a data jsou užitečná pro detekce Microsoft Sentinelu a při vyšetřování a proaktivního vyhledávání po ohrožení.

Další informace najdete v komunitě SAP a shromažďování protokolů auditu SAP HANA v Microsoft Sentinelu.

Konfigurace systému pro použití SNC pro zabezpečená připojení

Ve výchozím nastavení se agent datového konektoru SAP připojuje k serveru SAP pomocí připojení vzdáleného volání funkce (RFC) a uživatelského jména a hesla pro ověřování.

Možná ale budete muset vytvořit připojení v šifrovaných kanálech nebo použít klientské certifikáty k ověřování. V těchto případech použijte inteligentní síťovou komunikaci (SNC) ze SAP k zabezpečení datových připojení, jak je popsáno v této části.

V produkčním prostředí důrazně doporučujeme, abyste se s správci SAP poradili s vytvořením plánu nasazení pro konfiguraci SNC. Další informace najdete v dokumentaci k SAP.

Při konfiguraci SNC:

  • Pokud certifikát klienta vydal certifikační autorita organizace, přeneste vydávající certifikační autoritu a kořenové certifikační autority do systému, kde plánujete vytvořit agenta datového konektoru.
  • Pokud používáte agenta datového konektoru, nezapomeňte také zadat příslušné hodnoty a při konfiguraci kontejneru agenta datového konektoru SAP použít příslušné postupy. Pokud používáte řešení bez agentů, konfigurace SNC se provádí v konektoru SAP Cloud Connector.

I když je tento krok volitelný, doporučujeme datový konektor SAP povolit načtení následujících informací o obsahu ze systému SAP:

  • Výstupní protokoly tabulek a fondu databází
  • Informace o IP adrese klienta z protokolů auditu zabezpečení

  1. Podle vaší verze SAP nasaďte příslušné žádosti o přijetí změn z úložiště GitHub pro Microsoft Sentinel:

    Verze SAP BASIS Doporučená cr
    750 a vyšší NPLK900202: K900202.NPL, R900202. NPL

    Při nasazování této CR některé z následujících verzí SAP nasaďte také 2641084 – standardizovaný přístup pro čtení k datům protokolu auditu zabezpečení:
    - 750 SP04 až SP12
    - 751 SP00 až SP06
    - 752 SP00 až SP02
    740 NPLK900201: K900201.NPL, R900201. NPL

    Podle potřeby nasaďte žádosti o přijetí změn do systému SAP stejně jako ostatní žádosti o přijetí změn. Důrazně doporučujeme nasadit žádosti o přijetí změn SAP zkušeným správcem systému SAP. Další informace najdete v dokumentaci k SAP.

    Další informace najdete v komunitě SAP a v dokumentaci k SAP.

  2. Pokud chcete podporovat SAP BASIS verze 7.31-7.5 SP12 při odesílání informací o IP adresách klienta do Služby Microsoft Sentinel, aktivujte protokolování pro tabulku SAP USR41. Další informace najdete v dokumentaci k SAP.

Ověřte, že se tabulka PAHI aktualizuje v pravidelných intervalech.

Tabulka SAP PAHI obsahuje data o historii systému SAP, databáze a parametrů SAP. V některých případech řešení Microsoft Sentinel pro aplikace SAP nemůže v pravidelných intervalech monitorovat tabulku SAP PAHI kvůli chybějící nebo chybné konfiguraci. Je důležité aktualizovat tabulku PAHI a často ji monitorovat, aby řešení Microsoft Sentinelu pro aplikace SAP mohlo upozorňovat na podezřelé akce, ke kterým může dojít kdykoli během dne. Další informace naleznete v tématu:

Pokud se tabulka PAHI pravidelně aktualizuje, SAP_COLLECTOR_FOR_PERFMONITOR úloha se naplánuje a spustí každou hodinu. Pokud úloha SAP_COLLECTOR_FOR_PERFMONITOR neexistuje, nezapomeňte ji podle potřeby nakonfigurovat.

Další informace naleznete v tématu Kolektor databáze při zpracování na pozadí a konfigurace kolektoru dat.

Konfigurace nastavení SAP BTP

  1. Do podúčtu SAP BTP přidejte oprávnění pro následující služby:

    • SAP Integration Suite
    • SAP Process Integration Runtime
    • Cloud Foundry Runtime

  2. Vytvořte instanci modulu runtime Cloud Foundry a pak také vytvořte prostor Cloud Foundry.

  3. Vytvořte instanci sady SAP Integration Suite.

  4. Přiřaďte roli Integration_Provisioner SAP BTP k uživatelskému účtu podúčtu SAP BTP.

  5. V sadě SAP Integration Suite přidejte funkci cloudové integrace.

  6. Přiřaďte uživatelskému účtu následující role integrace procesu:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Tyto role jsou k dispozici až po aktivaci funkce integrace cloudu.

  7. V podúčtu vytvořte instanci prostředí SAP Process Integration Runtime.

  8. Vytvořte klíč služby pro prostředí SAP Process Integration Runtime a uložte obsah JSON do zabezpečeného umístění. Před vytvořením klíče služby pro PROSTŘEDÍ SAP Process Integration Runtime musíte aktivovat funkci integrace cloudu.

Další informace najdete v dokumentaci k SAP.

Konfigurace nastavení konektoru SAP Cloud

  1. Nainstalujte konektor SAP Cloud Connector. Další informace najdete v dokumentaci k SAP.

  2. Přihlaste se v rozhraní cloudového konektoru a přidejte podúčt pomocí příslušných přihlašovacích údajů. Další informace najdete v dokumentaci k SAP.

  3. V podúčtu cloudového konektoru přidejte do back-endového systému nové mapování systému, které mapuje systém ABAP na protokol RFC.

  4. Definujte možnosti vyrovnávání zatížení a zadejte podrobnosti o serveru ABAP back-endu. V tomto kroku zkopírujte název virtuálního hostitele do zabezpečeného umístění, abyste ho mohli použít později v procesu nasazení.

  5. Přidejte nové prostředky do mapování systému pro každý z následujících názvů funkcí:

    • RSAU_API_GET_LOG_DATA pro načtení dat protokolu auditu zabezpečení SAP

    • BAPI_USER_GET_DETAIL načtení podrobností o uživateli SAP

    • RFC_READ_TABLE čtení dat z požadovaných tabulek

  6. Do SAP BTP přidejte nový cíl, který odkazuje na virtuálního hostitele, kterého jste vytvořili dříve. K naplnění nového cíle použijte následující podrobnosti:

    • Název: Zadejte název, který chcete použít pro připojení Microsoft Sentinelu.

    • Typ RFC

    • Typ proxy serveru: On-Premise

    • Uživatel: Zadejte uživatelský účet ABAP, který jste vytvořili dříve pro Microsoft Sentinel.

    • Typ autorizace: CONFIGURED USER

    • Další vlastnosti:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Umístění: Vyžaduje se pouze v případě, že ke stejnému podúčtu BTP připojíte více cloudových konektorů. Další informace najdete v dokumentaci k SAP.

Konfigurace nastavení sap Integration Suite

Vytvořte nové přihlašovací údaje klienta OAuth2 pro uložení podrobností o připojení pro registraci aplikace Microsoft Entra ID, kterou jste vytvořili dříve.

Při vytváření přihlašovacích údajů zadejte následující podrobnosti:

  • Jméno: LogIngestionAPI

  • Adresa URL služby tokenů: https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

  • ID klienta: <your app registration client ID>

  • Ověřování klienta: Parametr Odeslat jako tělo

  • Rozsah: https://monitor.azure.com//.default

  • Typ obsahu: application/x-www-form-urlencoded

Import a nasazení řešení Microsoft Sentinel pro balíček SAP

  1. Stáhněte si řešení Microsoft Sentinel pro balíček SAP z https://aka.ms/SAPAgentlessPackagewebu .

  2. Naimportujte stažený balíček do sady SAP Integration Suite.

  3. Otevřete řešení Microsoft Sentinel pro balíček SAP a přejděte na artefakty.

  4. Vyberte Odeslat protokoly zabezpečení do Microsoftu – artefakt aplikační vrstvy .

  5. Vyberte Konfigurovat a zadejte podrobnosti DCR:

    • LogsIngestionURL adresu URL příjmu dat z DCE DCR, jak bylo uloženo dříve.
    • DCRImmutableId: NEMĚNNÉ ID řadiče domény, jak bylo uloženo dříve.

  6. Výběrem možnosti Nasadit nasadíte tok i-flow pomocí integrace SAP Cloud jako služby runtime.

Další krok

Připojení systému SAP k Microsoft Sentinelu