Požadavky nasazení pro řešení Microsoft Sentinel pro aplikace SAP
Tento článek uvádí požadavky potřebné pro nasazení řešení Microsoft Sentinel pro aplikace SAP, které se liší v závislosti na tom, jestli nasazujete agenta datového konektoru nebo používáte řešení bez agentů s konektorem SAP Cloud Connector. Vyberte možnost v horní části této stránky, která odpovídá vašemu nasazení.
Kontrola a pochopení všech požadavků je prvním krokem při nasazování řešení Microsoft Sentinel pro aplikace SAP. Vyberte typ připojení a vypište požadavky pro vaše prostředí.
Obsah v tomto článku je relevantní pro vaše týmy zabezpečení, infrastruktury a SAP BASIS .
Obsah v tomto článku je relevantní pro vaše týmy zabezpečení a SAP BASIS .
Důležité
Řešení Bez agentů Microsoft Sentinelu je ve verzi Limited Preview jako předem připravený produkt, který se může podstatně upravit před komerčním vydáním. Společnost Microsoft neposkytuje žádné záruky vyjádřené ani předpokládané, pokud jde o informace uvedené zde. Přístup k řešení bez agentů také vyžaduje registraci a je k dispozici jenom schváleným zákazníkům a partnerům během období Preview. Další informace naleznete v tématu Microsoft Sentinel pro SAP jde bez agentů .
Požadavky Azure
Požadavky Azure obvykle spravují vaše bezpečnostní týmy.
| Požadavek | Popis | Povinné nebo volitelné |
|---|---|---|
| Přístup k Microsoft Sentinelu | Poznamenejte si ID vašeho pracovního prostoru a primární klíč pro váš pracovní prostor služby Log Analytics, který je povolený pro Microsoft Sentinel. Tyto podrobnosti najdete v Microsoft Sentinelu: v navigační nabídce vyberte Nastavení> nastavení>nastavení Agenti nastavení. Zkopírujte ID pracovního prostoru a primární klíč a vložte je stranou pro použití během procesu nasazení. |
Požaduje se |
| Oprávnění k vytváření prostředků Azure | Minimálně musíte mít potřebná oprávnění k nasazení řešení z centra obsahu Služby Microsoft Sentinel. Další informace najdete v tématu Požadavky pro nasazení řešení Microsoft Sentinel. | Požaduje se |
| Oprávnění k vytvoření trezoru klíčů Azure nebo přístupu k existujícímu trezoru klíčů | Azure Key Vault slouží k ukládání tajných kódů potřebných pro připojení k systému SAP. Další informace najdete v tématu Přiřazení přístupových oprávnění trezoru klíčů. | Vyžaduje se, pokud plánujete ukládat přihlašovací údaje systému SAP ve službě Azure Key Vault. Volitelné, pokud je plánujete uložit do konfiguračního souboru. Další informace najdete v tématu Vytvoření virtuálního počítače a konfigurace přístupu k vašim přihlašovacím údajům. |
| Oprávnění k přiřazení privilegované role agentu datového konektoru SAP | Nasazení agenta datového konektoru SAP vyžaduje, abyste identitě virtuálního počítače vašeho agenta udělili konkrétní oprávnění k pracovnímu prostoru Služby Microsoft Sentinel pomocí role operátora agenta obchodních aplikací Microsoft Sentinelu. Pokud chcete této roli udělit, potřebujete oprávnění vlastníka pro skupinu prostředků, ve které se nachází váš pracovní prostor Služby Microsoft Sentinel. Další informace najdete v tématu Připojení systému SAP nasazením kontejneru agenta datového konektoru. |
Povinný: Pokud ve skupině prostředků nemáte oprávnění vlastníka , může příslušný krok provést také jiný uživatel, který má příslušná oprávnění, zvlášť po úplném nasazení agenta. |
Požadavky na systém pro kontejner agenta datového konektoru
Požadavky na systém obvykle spravují týmy infrastruktury.
| Požadavek | Popis |
|---|---|
| Systémová architektura | Komponenta datového konektoru řešení SAP se nasadí jako kontejner Dockeru. Hostitelem kontejneru může být fyzický počítač nebo virtuální počítač, který může být umístěný místně nebo v libovolném cloudu. Virtuální počítač, který je hostitelem kontejneru , nemusí být umístěný ve stejném předplatném Azure jako váš pracovní prostor Microsoft Sentinelu nebo dokonce ve stejném tenantovi Microsoft Entra. |
| Podporované verze Linuxu | Agent datového konektoru SAP se testuje s následujícími distribucemi Linuxu: – Ubuntu 18.04 nebo vyšší – SLES verze 15 nebo vyšší – RHEL verze 7.7 nebo vyšší Pokud máte jiný operační systém, možná budete muset kontejner nasadit a nakonfigurovat ručně. Další informace najdete v tématu Nasazení kontejneru agenta datového konektoru MICROSOFT Sentinel pro SAP s možnostmi expertů nebo otevřením lístku podpory. |
| Doporučení pro změnu velikosti virtuálních počítačů | Minimální specifikace, například pro testovací prostředí: Standard_B2s virtuální počítač s: - Dvě jádra – 4 GB PAMĚTI RAM Standardní konektor (výchozí): Standard_D2as_v5 virtuální počítač nebo Standard_D2_v5 virtuální počítač s: - Dvě jádra – 8 GB PAMĚTI RAM Více konektorů: Standard_D4as_v5 nebo Standard_D4_v5 virtuální počítač s: - Čtyři jádra – 16 GB PAMĚTI RAM |
| Oprávněními | Na hostitelském počítači kontejneru jsou vyžadována oprávnění správce (root). |
| Síťové připojení | Ujistěte se, že má hostitel kontejneru přístup k: – Microsoft Sentinel – Azure Key Vault (ve scénáři nasazení, ve kterém se trezor klíčů Azure používá k ukládání tajných kódů – Systém SAP přes následující porty TCP: 32xx, 5xx13, 33xx, 48xx (při použití SNC), kde xx je číslo instance SAP. |
| Softwarové nástroje | Skript nasazení datového konektoru SAP nainstaluje na virtuální počítač hostitele kontejneru následující požadovaný software (v závislosti na použité distribuci Linuxu se seznam může mírně lišit): - Rozepnout - NetCat - Docker - jq - kudrna |
| Spravovaná identita nebo instanční objekt | Nejnovější verze agenta datového konektoru SAP vyžaduje pro ověření ve službě Microsoft Sentinel spravovanou identitu nebo instanční objekt . Starší verze agentů se podporují pro aktualizace na nejnovější verzi a pak musí používat spravovanou identitu nebo instanční objekt, aby mohli pokračovat v aktualizaci na další verze. |
Požadavky SAP pro kontejner agenta datového konektoru
Doporučujeme, aby váš tým SAP BASIS ověřil a zajistil požadavky na systém SAP. Důrazně doporučujeme, aby veškerá správa systému SAP byla provedena zkušeným správcem systému SAP.
| Požadavek | Popis |
|---|---|
| Podporované verze SAP | Agent datového konektoru SAP podporuje systémy SAP NetWeaver a byl testován na SAP_BASIS verze 731 a vyšší. Některé kroky v tomto kurzu obsahují alternativní pokyny, pokud pracujete se staršími SAP_BASIS verze 740. |
| Požadovaný software | SAP NetWeaver RFC SDK 7.50 (stáhnout zde) Ujistěte se, že máte také uživatelský účet SAP, abyste měli přístup ke stránce pro stažení softwaru SAP. |
| Podrobnosti o systému SAP | Poznamenejte si následující podrobnosti o systému SAP: – IP adresa systému SAP a název hostitele plně kvalifikovaného názvu domény – systémové číslo SAP, například 00– ID systému SAP ze systému SAP NetWeaver (například NPL) – ID klienta SAP, například 001 |
| Přístup k instanci SAP NetWeaver | Agent datového konektoru SAP používá k ověření systému SAP jeden z následujících mechanismů: – Uživatel/heslo SAP ABAP – Uživatel s certifikátem X.509. Tato možnost vyžaduje další kroky konfigurace. Další informace najdete v tématu Konfigurace systému pro použití SNC pro zabezpečená připojení. |
| Požadavky na roli SAP | Pokud chcete datovému konektoru SAP povolit připojení k systému SAP, musíte vytvořit roli systému SAP. Doporučujeme vytvořit požadovanou systémovou roli nasazením žádosti SAP NPLK900271 o změnu (CR). Další informace najdete v tématu Konfigurace role Microsoft Sentinelu. |
| Doporučené žádosti o přijetí změn pro další podporu | Nasaďte do systému SAP doporučené žádosti o přijetí změn, abyste získali další podrobnosti, jako jsou IP adresa klienta a další protokoly. Další informace najdete v tématu Konfigurace podpory pro dodatečné načítání dat (doporučeno). |
Požadavky Azure
Požadavky Azure obvykle spravují vaše bezpečnostní týmy.
| Požadavek | Popis | Povinné nebo volitelné |
|---|---|---|
| Přístup k omezené verzi Preview | Řešení bez agentů vyžaduje registraci a je dostupné jenom schváleným zákazníkům a partnerům během omezeného období Preview. Další informace najdete v tématu Registrace s omezenou verzí Preview: Řešení Microsoft Sentinel pro SAP – Datový konektor bez agenta. | Požaduje se |
| Oprávnění k vytváření prostředků Azure | Musíte mít: – Potřebná oprávnění k nasazení řešení z centra obsahu Microsoft Sentinelu. Další informace najdete v tématu Požadavky pro nasazení řešení Microsoft Sentinel a předdefinovaných rolí Microsoft Entra. Vlastník skupiny prostředků Microsoft Sentinelu vyžadovaný pro: – Vytvoření pravidla shromažďování dat a koncového bodu shromažďování dat. – Monitorování přiřazení role vydavatele metrik u pravidla shromažďování dat. |
Požaduje se |
| Oprávnění v Microsoft Entra | Abyste mohli vytvářet registrace aplikací, musíte mít oprávnění v Microsoft Entra ID. Toto oprávnění lze získat prostřednictvím členství v předdefinované roli ID Microsoft Entra: - Vývojář aplikací. |
Požaduje se |
Požadavky SAP pro datový konektor bez agentů
Doporučujeme, aby váš tým SAP BASIS ověřil a zajistil požadavky na systém SAP. Důrazně doporučujeme, aby veškerá správa systému SAP byla provedena zkušeným správcem systému SAP.
| Požadavek | Popis |
|---|---|
| Podporované verze SAP | Řešení Bez agentů podporuje systémy SAP NetWeaver s SAP_BASIS verzemi 750 a vyššími. |
| Systém SAP | Váš systém SAP musí mít: Podúčt SAP BTP s povolenými následujícími službami: – SAP Integration Suite – SAP Process Integration Runtime – Cloud Foundry Runtime Další informace najdete v dokumentaci k SAP. Podporují se zkušební účty . Nasazený cloudový konektor SAP SAP NetWeaver verze 7.5 nebo novější |
| Role a oprávnění SAP | V systémech SAP musíte mít následující role: V SAP NetWeaver 7.5+: Správce SAP Netweaver V SAP BTP jsou všechny následující role: – Správce podúčtu – Zřizování integrace - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Plánování příjmu dat
Doporučujeme otestovat vaše systémy a určit počet protokolů, které jednotlivé systémy SAP odesílají do Služby Microsoft Sentinel. Fakturace služby Microsoft Sentinel závisí na velikosti příjmu protokolů, která zase závisí na faktorech, jako je využití systému, nasazené moduly, počet uživatelů, případy použití, síťový provoz a typy protokolů.
Další informace naleznete v tématu:
- Ceny řešení
- Plánování nákladů a vysvětlení cen a fakturace služby Microsoft Sentinel
- Snížení nákladů na Microsoft Sentinel
- Správa a monitorování nákladů pro Microsoft Sentinel