Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel wird beschrieben, wie Sie Ihre SAP-Umgebung für eine Verbindung mit dem SAP-Datenconnector vorbereiten. Die Vorbereitung unterscheidet sich, je nachdem, ob Sie den containerisierten Datenconnector-Agent verwenden. Wählen Sie oben auf der Seite die Option aus, die Ihrer Umgebung entspricht.

Dieser Artikel ist Teil des zweiten Schritts bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.

Die Verfahren in diesem Artikel werden in der Regel von Ihrem SAP BASIS-Team durchgeführt. Wenn Sie die Lösung ohne Agent verwenden, müssen Sie möglicherweise auch Ihr Sicherheitsteam einbeziehen.

Wichtig

Die Lösung ohne Agent von Microsoft Sentinel ist in der eingeschränkten Vorschau als vorab freigegebenes Produkt verfügbar, das vor der kommerziellen Veröffentlichung noch erheblich geändert werden kann. Microsoft übernimmt hinsichtlich der hier bereitgestellten Informationen keine Gewährleistungen, weder ausdrücklich noch konkludent. Der Zugriff auf die Lösung ohne Agent erfordert außerdem die Registrierung und steht während des Vorschauzeitraums nur für genehmigte Kunden und Partner zur Verfügung. Weitere Informationen finden Sie unter Microsoft Sentinel for SAP goes agentless.

Voraussetzungen

• Bevor Sie beginnen, stellen Sie sicher, dass alle Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen erfüllt sind.

Konfigurieren der Microsoft Sentinel-Rolle

Damit der SAP-Datenconnector eine Verbindung mit Ihrem SAP-System herstellen kann, müssen Sie eine spezielle SAP-Systemrolle dafür erstellen.

• Um sowohl den Protokollabruf als auch Maßnahmen zur Angriffsunterbrechung einzuschließen, wird empfohlen, diese Rolle durch Laden von Rollenautorisierungen aus der Datei /MSFTSEN/SENTINEL_RESPONDER zu erstellen.

• Um nur den Protokollabruf einzuschließen, wird empfohlen, diese Rolle durch Bereitstellen des SAP-Änderungsantrags (Change Request, CR) NPLK900271 zu erstellen: K900271.NPL | R900271. NPL

  Stellen Sie die CRs nach Bedarf genauso wie andere CRs in Ihrem SAP-System bereit. Die Bereitstellung von SAP-CRs sollte unbedingt von einem erfahrenen SAP-Systemadministrator durchgeführt werden. Weitere Informationen finden Sie in der SAP-Dokumentation.

  Laden Sie alternativ die Rollenautorisierungen aus der Datei MSFTSEN_SENTINEL_CONNECTOR, die alle grundlegenden Berechtigungen für den Datenconnector enthält.

  Erfahrene SAP-Administratoren/-Administratorinnen können sich entscheiden, die Rolle manuell zu erstellen und ihr die entsprechenden Berechtigungen zuzuweisen. In solchen Fällen können Sie manuell eine Rolle mit den relevanten Autorisierungen erstellen, die für die zu erfassenden Protokolle erforderlich sind. Weitere Informationen finden Sie unter Erforderliche ABAP-Autorisierungen. In den Beispiele in der Dokumentation wird der Name /MSFTSEN/SENTINEL_RESPONDER verwendet.

Beim Konfigurieren der Rolle wird Folgendes empfohlen:

• Generieren Sie ein aktives Rollenprofil für Microsoft Sentinel, indem Sie die PFCG-Transaktion ausführen.
• Verwenden Sie als Rollennamen /MSFTSEN/SENTINEL_RESPONDER.

Erstellen Sie eine Rolle mithilfe der Vorlage MSFTSEN_SENTINEL_READER, die alle grundlegenden Berechtigungen für den Datenconnector enthält.

Weitere Informationen finden Sie in der SAP-Dokumentation zum Erstellen von Rollen.

Erstellen eines Benutzers

Die Microsoft Sentinel-Lösung für SAP-Anwendungen erfordern ein Benutzerkonto, um eine Verbindung mit Ihrem SAP-System herzustellen. Vorgehensweise beim Erstellen eines Benutzers:

• Achten Sie darauf, einen Systembenutzer zu erstellen.
• Weisen Sie dem Benutzer die Rolle /MSFTSEN/SENTINEL_RESPONDER zu, die Sie im vorherigen Schritt erstellt haben.

• Achten Sie darauf, einen Systembenutzer zu erstellen.
• Weisen Sie dem Benutzer die Rolle MSFTSEN_SENTINEL_READER zu, die Sie im vorherigen Schritt erstellt haben.

Weitere Informationen finden Sie in der SAP-Dokumentation.

Konfigurieren der SAP-Überwachung

Bei einigen Installationen von SAP-Systemen ist möglicherweise standardmäßig kein Überwachungsprotokoll aktiviert. Damit Sie optimale Ergebnisse bei der Bewertung von Leistung und Wirksamkeit der Microsoft Sentinel-Lösung für SAP-Anwendungen erzielen können, aktivieren Sie die Überwachung Ihres SAP-Systems, und konfigurieren Sie die Überwachungsparameter. Wenn Sie SAP HANA DB-Protokolle erfassen möchten, müssen Sie auch die Überwachung für SAP HANA DB aktivieren.

Es wird empfohlen, die Überwachung für alle Nachrichten vom Überwachungsprotokoll statt nur für bestimmte Protokolle zu konfigurieren. Die Kostenunterschiede bei der Erfassung sind im Allgemeinen minimal, die Daten sind aber nützlich für Microsoft Sentinel-Erkennungen und der Untersuchung und dem Hunting nach einer Kompromittierung.

Weitere Informationen erhalten Sie von der SAP-Community und unter Erfassen von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel.

Konfigurieren des Systems für die Verwendung von SNC für sichere Verbindungen

Der SAP-Datenconnector-Agent stellt standardmäßig eine Verbindung mit einem SAP-Server über eine RFC-Verbindung (Remote Functional Call, Remotefunktionsaufruf) her und verwendet den Benutzernamen und das Kennwort für die Authentifizierung.

Möglicherweise müssen Sie jedoch die Verbindung über einen verschlüsselten Kanal herstellen oder Clientzertifikate für die Authentifizierung verwenden. Verwenden Sie in diesen Fällen SNC (Smart Network Communications) von SAP wie in diesem Abschnitt beschrieben, um Ihre Datenverbindungen zu schützen.

In einer Produktionsumgebung wird dringend empfohlen, die SAP-Administratoren zu Rate zu ziehen, um einen Bereitstellungsplan für die Konfiguration von SNC zu erstellen. Weitere Informationen finden Sie in der SAP-Dokumentation.

Beim Konfigurieren von SNC:

• Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, übertragen Sie die Zertifikate der ausstellenden Zertifizierungsstelle und der Stammzertifizierungsstelle auf das System, in dem Sie den Datenconnector-Agent erstellen.
• Geben Sie bei Verwendung des Datenconnector-Agents unbedingt die relevanten Werte ein, und wenden Sie beim Konfigurieren des Containers für den SAP-Datenconnector-Agent die relevanten Verfahren an. Wenn Sie die Lösung ohne Agent verwenden, erfolgt die SNC-Konfiguration in SAP Cloud Connector.

Konfigurieren der Unterstützung für zusätzliche Datenabrufe (empfohlen)

Dieser Schritt ist zwar optional, es wird jedoch empfohlen, den SAP-Datenconnector zu aktivieren, damit er die folgenden Inhaltsinformationen aus Ihrem SAP-System abrufen kann:

• Protokolle von DB-Tabellen und Spoolausgabe
• Client-IP-Adressinformationen aus den Sicherheitsüberwachungsprotokollen

1. Stellen Sie die relevanten CRs aus dem GitHub-Repository für Microsoft Sentinelgemäß Ihrer SAP-Version bereit:

   SAP BASIS-Versionen	Empfohlener CR
   750 und höher	NPLK900202: K900202.NPL, R900202.NPL Stellen Sie bei der Bereitstellung dieses CR in eine der folgenden SAP-Versionen auch 2641084 – Standardisierter Lesezugriff auf Daten des Sicherheitsüberwachungsprotokolls bereit: – 750 SP04 bis SP12 – 751 SP00 bis SP06 – 752 SP00 bis SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   Stellen Sie die CRs nach Bedarf genauso wie andere CRs in Ihrem SAP-System bereit. Die Bereitstellung von SAP-CRs sollte unbedingt von einem erfahrenen SAP-Systemadministrator durchgeführt werden. Weitere Informationen finden Sie in der SAP-Dokumentation.

   Weitere Informationen erhalten Sie von der SAP Community und in der SAP-Dokumentation.

2. Um SAP BASIS-Versionen 7.31 bis 7.5 SP12 beim Senden von Client-IP-Adressinformationen an Microsoft Sentinel zu unterstützen, aktivieren Sie die Protokollierung für die SAP-Tabelle USR41. Weitere Informationen finden Sie in der SAP-Dokumentation.

Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird

Die SAP PAHI-Tabelle enthält Daten zum Verlauf des SAP-Systems, der Datenbank und SAP-Parameter. In einigen Fällen können die Microsoft Sentinel-Lösung für SAP-Anwendungen die SAP PAHI-Tabelle nicht in regelmäßigen Abständen überwachen, da die Konfiguration fehlt oder fehlerhaft ist. Es ist wichtig, die PAHI-Tabelle zu aktualisieren und regelmäßig zu überwachen, damit die Microsoft Sentinel-Lösung für SAP-Anwendungen Warnungen bei verdächtigen Aktionen ausgeben können, die jederzeit im Lauf des Tages auftreten können. Weitere Informationen finden Sie unter:

• SAP-Hinweis 12103
• Überwachen der Konfiguration statischer SAP-Sicherheitsparameter (Vorschau)

Wenn die PAHI-Tabelle regelmäßig aktualisiert wird, wird der SAP_COLLECTOR_FOR_PERFMONITOR-Auftrag geplant und stündlich ausgeführt. Wenn der SAP_COLLECTOR_FOR_PERFMONITOR-Auftrag nicht vorhanden ist, müssen Sie ihn bei Bedarf konfigurieren.

Weitere Informationen finden Sie unter Datenbankerfassung bei der Hintergrundverarbeitung und Konfigurieren des Datensammlers.

Konfigurieren von SAP BTP-Einstellungen

1. Fügen Sie in Ihrem SAP BTP-Unterkonto Berechtigungen für die folgenden Dienste hinzu:

   • SAP Integration Suite
   • SAP Process Integration Runtime
   • Cloud Foundry Runtime

2. Erstellen Sie eine Instanz von Cloud Foundry Runtime und außerdem einen Cloud Foundry-Bereich.

3. Erstellen Sie eine Instanz von SAP Integration Suite.

4. Weisen Sie dem Benutzerkonto des SAP BTP-Unterkontos die SAP BTP-Rolle Integration_Provisioner zu.

5. Fügen Sie in SAP Integration Suite die Cloud Integration-Funktion hinzu.

6. Weisen Sie Ihrem Benutzerkonto die folgenden Prozessintegrationsrollen zu:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Diese Rollen sind erst verfügbar, nachdem Sie die Cloud Integration-Funktion aktiviert haben.

7. Erstellen Sie eine Instanz von SAP Process Integration Runtime in Ihrem Unterkonto.

8. Erstellen Sie einen Dienstschlüssel für SAP Process Integration Runtime, und speichern Sie den JSON-Inhalt an einem sicheren Speicherort. Sie müssen die Cloud Integration-Funktion aktivieren, bevor Sie einen Dienstschlüssel für SAP Process Integration Runtime erstellen.

Weitere Informationen finden Sie in der SAP-Dokumentation.

Konfigurieren von SAP Cloud Connector-Einstellungen

1. Installieren Sie SAP Cloud Connector. Weitere Informationen finden Sie in der SAP-Dokumentation.

2. Melden Sie sich bei der Cloud Connector-Schnittstelle an, und fügen Sie das Unterkonto mithilfe der relevanten Anmeldeinformationen hinzu. Weitere Informationen finden Sie in der SAP-Dokumentation.

3. Fügen Sie im Unterkonto des Cloud-Konnektors dem Back-End-System eine neue Systemzuordnung hinzu, um das ABAP-System dem RFC-Protokoll zuzuordnen.

4. Definieren Sie Lastenausgleichsoptionen, und geben Sie die Back-End-ABAP-Serverdetails ein. Kopieren Sie in diesem Schritt den Namen des virtuellen Hosts an einen sicheren Speicherort, um ihn später im Bereitstellungsprozess zu verwenden.

5. Fügen Sie der Systemzuordnung neue Ressourcen für jeden der folgenden Funktionsnamen hinzu:

   • RSAU_API_GET_LOG_DATA, um Daten des SAP-Sicherheitsüberwachungsprotokolls abzurufen

   • BAPI_USER_GET_DETAIL, um SAP-Benutzerdetails abzurufen

   • RFC_READ_TABLE, um Daten aus erforderlichen Tabellen zu lesen

6. Fügen Sie in SAP BTP ein neues Ziel hinzu, das auf den virtuellen Host verweist, den Sie zuvor erstellt haben. Verwenden Sie die folgenden Details, um das neue Ziel aufzufüllen:

   • Name: Geben Sie den Namen ein, den Sie für die Microsoft Sentinel-Verbindung verwenden möchten.

   • Typ RFC

   • Proxytyp: On-Premise

   • Benutzer: Geben Sie das ABAP-Benutzerkonto ein, das Sie zuvor für Microsoft Sentinel erstellt haben.

   • Autorisierungstyp: CONFIGURED USER

   • Zusätzliche Eigenschaften:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Standort: Nur erforderlich, wenn Sie mehrere Cloud Connector-Instanzen mit demselben BTP-Unterkonto verbinden. Weitere Informationen finden Sie in der SAP-Dokumentation.

Konfigurieren von SAP Integration Suite-Einstellungen

Erstellen Sie neue OAuth2-Clientanmeldeinformationen, um die Verbindungsdetails für die Microsoft Entra ID-App-Registrierung zu speichern, die Sie zuvor erstellt haben.

Geben Sie beim Erstellen der Anmeldeinformationen die folgenden Details ein:

• Name: LogIngestionAPI

• Tokendienst-URL: https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

• Client-ID: <your app registration client ID>

• Clientauthentifizierung: Als Textkörperparameter senden

• Bereich: https://monitor.azure.com//.default

• Inhaltstyp: application/x-www-form-urlencoded

Importieren und Bereitstellen des Pakets für Microsoft Sentinel-Lösung für SAP

1. Laden Sie das Paket für Microsoft Sentinel-Lösung für SAP unter https://aka.ms/SAPAgentlessPackage herunter.

2. Importieren Sie das heruntergeladene Paket in SAP Integration Suite.

3. Öffnen Sie das Paket für Microsoft Sentinel-Lösung für SAP, und navigieren Sie zu den Artefakten.

4. Wählen Sie das Artefakt Sicherheitsprotokolle an Microsoft senden – Anwendungsebene aus.

5. Wählen Sie Konfigurieren aus, und geben Sie dann Ihre DCR-Details ein:

   • LogsIngestionURL ist die Erfassungs-URL aus der DCR-DCE, die Sie zuvor gespeichert haben.
   • DCRImmutableId: Die unveränderliche DCR-ID, die Sie zuvor gespeichert haben.

6. Wählen Sie Bereitstellen aus, um i-flow mithilfe von SAP Cloud Integration als Laufzeitdienst bereitzustellen.

Nächster Schritt

Verbinden Ihres SAP-Systems mit Microsoft Sentinel