Freigeben über


Microsoft Sentinel-Lösung für SAP-Anwendungen: Übersicht über die Bereitstellung

Verwenden Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen, um Ihre SAP-Systeme mit Microsoft Sentinel zu überwachen und komplexe Bedrohungen in der gesamten Geschäftslogik und auf Anwendungsebene Ihrer SAP-Anwendungen zu erkennen.

In diesem Artikel finden Sie eine Einführung in die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.

Lösungskomponenten

Zu den Microsoft Sentinel-Lösung für SAP-Anwendungen gehören der Datenconnector, der Protokolle von Ihren SAP-Systemen sammelt und an Ihren Microsoft Sentinel-Arbeitsbereich sendet, sowie sofort einsatzbereite Sicherheitsinhalte, mit denen Sie Erkenntnisse zur SAP-Umgebung Ihrer Organisation erhalten und Sicherheitsbedrohungen erkennen und darauf reagieren können.

Datenconnector

Der Microsoft Sentinel für SAP-Datenconnector ist ein Agent, der als Container auf einer Linux-VM, einem physischen Server oder in einem Kubernetes-Cluster installiert wird. Der Agent sammelt Anwendungsprotokolle für alle eingebundenen SAP-SIDs aus der gesamten SAP-Systemlandschaft und sendet diese Protokolle dann an Ihren Log Analytics-Arbeitsbereich in Microsoft Sentinel.

Die folgende Abbildung zeigt z. B. eine multi-SID SAP-Landschaft mit einer Aufteilung zwischen Produktions- und Nichtproduktionssystemen, einschließlich der SAP Business Technology Platform. Alle Systeme in diesem Image sind in Microsoft Sentinel für die SAP-Lösung integriert.

Abbildung einer SAP-Landschaft mit mehreren SIDs und Microsoft Sentinel

Der Agent stellt eine Verbindung mit Ihrem SAP-System her, um die Protokolle und andere Daten daraus abzurufen, und sendet diese Protokolle dann an Ihren Microsoft Sentinel-Arbeitsbereich. Dazu muss sich der Agent bei Ihrem SAP-System authentifizieren. Dazu verwendet er einen Benutzer und eine Rolle, die speziell für diesen Zweck erstellt wurden.

Microsoft Sentinel unterstützt einige Optionen zum Speichern Ihrer Agent-Konfigurationsinformationen, einschließlich der Konfiguration für Ihre SAP-Authentifizierungsgeheimnisse. Die Entscheidung, welche der Möglichkeiten Sie verwenden möchten, kann davon beeinflusst werden, wo Sie Ihre VM bereitstellen und welchen SAP-Authentifizierungsmechanismus Sie verwenden. Im Folgenden finden Sie die unterstützten Optionen in der bevorzugten Reihenfolge:

  • Eine Azure Key Vault-Instanz, auf die mit einer systemseitig zugewiesenen verwalteten Azure-Identität zugegriffen wird
  • Eine Azure Key Vault-Instanz, auf die über einen registrierten Microsoft Entra ID-Anwendungsdienstprinzipal zugegriffen wird.
  • Eine Konfigurationsdatei in Klartext

Sie haben auch die Möglichkeit, sich mit SNC (Secure Network Communication) von SAP und X.509-Zertifikaten zu authentifizieren. Die Verwendung von SNC bietet zwar eine höhere Sicherheit bei der Authentifizierung, ist aber nicht in allen Szenarien praktikabel.

Sicherheitsinhalte

Zu den Microsoft Sentinel-Lösung für SAP-Anwendungen gehören die folgenden Typen von Sicherheitsinhalten, mit den Sie Erkenntnisse zur SAP-Umgebung Ihrer Organisation erhalten und Sicherheitsbedrohungen erkennen und darauf reagieren können:

  • Analyseregeln und Watchlists für die Bedrohungserkennung
  • Funktionen für einfachen Datenzugriff
  • Arbeitsmappen zum Erstellen interaktiver Datenvisualisierungen
  • Watchlists für die Anpassung der integrierten Lösungsparameter
  • Playbooks zum Automatisieren der Reaktion auf Bedrohungen

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösung für SAP-Anwendungen: Referenz zu Sicherheitsinhalten.

Bereitstellungsflow und Personas

Die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen umfasst mehrere Schritte und erfordert die Zusammenarbeit mehrerer Teams, einschließlich der Sicherheits-, Infrastruktur- und SAP BASIS-Teams. Die folgende Abbildung zeigt die Schritte zur Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen mit Kennzeichnung der relevanten Teams:

Abbildung aller Schritte im Bereitstellungsflow für Microsoft Sentinel-Lösung für SAP-Anwendungen

Es wird empfohlen, alle relevanten Teams einzubeziehen, wenn Sie Ihre Bereitstellung planen, um sicherzustellen, dass alle Aufgaben zugeteilt werden und die Bereitstellung reibungslos verläuft.

Die Bereitstellungsschritte umfassen Folgendes:

  1. Überprüfen der Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen. Einige Voraussetzungen erfordern die Koordination mit Ihren Infrastruktur- oder SAP BASIS-Teams.

  2. Die folgenden Schritte können parallel ausgeführt werden, da verschiedene Teams dafür verantwortlich und sie nicht voneinander abhängig sind:

    1. Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen aus dem Inhaltshub. Dieser Schritt wird vom Sicherheitsteam im Azure-Portal vorgenommen.

    2. Konfigurieren Sie Ihr SAP-System für die Microsoft Sentinel-Lösung. Dies schließt auch die Konfiguration von SAP-Autorisierungen, die Konfiguration der SAP-Überwachung u. v. m. ein. Es wird empfohlen, diese Schritte von Ihrem SAP BASIS-Team ausführen zu lassen. Die Dokumentation enthält Verweise auf die SAP-Dokumentation.

  3. Verbinden Ihres SAP-Systems durch Bereitstellen des Containers mit dem Datenconnector-Agent. Dieser Schritt erfordert eine Koordination zwischen Ihren Sicherheits-, Infrastruktur- und SAP BASIS-Teams.

  4. Aktivieren von SAP-Erkennungen und -Bedrohungsschutz. Dieser Schritt wird vom Sicherheitsteam im Azure-Portal vorgenommen.

Zu den zusätzlichen Optionen gehören:

Beenden der SAP-Datensammlung

Wenn Microsoft Sentinel keine SAP-Daten mehr sammeln soll, beenden Sie die Protokollerfassung und deaktivieren den Connector. Entfernen Sie dann die zusätzliche Benutzerrolle und alle optionalen CRs, die in Ihrem SAP-System installiert sind.

Weitere Informationen finden Sie unter Beenden der SAP-Datensammlung.

Weitere Informationen finden Sie unter:

Nächster Schritt

Beginnen Sie mit der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen, indem Sie die Voraussetzungen überprüfen: