Microsoft Sentinel-Lösung für SAP-Anwendungen: Übersicht über die Bereitstellung
Verwenden Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen, um Ihre SAP-Systeme mit Microsoft Sentinel zu überwachen und komplexe Bedrohungen in der gesamten Geschäftslogik und auf Anwendungsebene Ihrer SAP-Anwendungen zu erkennen.
In diesem Artikel finden Sie eine Einführung in die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.
Lösungskomponenten
Zu den Microsoft Sentinel-Lösung für SAP-Anwendungen gehören der Datenconnector, der Protokolle von Ihren SAP-Systemen sammelt und an Ihren Microsoft Sentinel-Arbeitsbereich sendet, sowie sofort einsatzbereite Sicherheitsinhalte, mit denen Sie Erkenntnisse zur SAP-Umgebung Ihrer Organisation erhalten und Sicherheitsbedrohungen erkennen und darauf reagieren können.
Datenconnector
Der Microsoft Sentinel für SAP-Datenconnector ist ein Agent, der als Container auf einer Linux-VM, einem physischen Server oder in einem Kubernetes-Cluster installiert wird. Der Agent sammelt Anwendungsprotokolle für alle eingebundenen SAP-SIDs aus der gesamten SAP-Systemlandschaft und sendet diese Protokolle dann an Ihren Log Analytics-Arbeitsbereich in Microsoft Sentinel.
Die folgende Abbildung zeigt z. B. eine multi-SID SAP-Landschaft mit einer Aufteilung zwischen Produktions- und Nichtproduktionssystemen, einschließlich der SAP Business Technology Platform. Alle Systeme in diesem Image sind in Microsoft Sentinel für die SAP-Lösung integriert.
Der Agent stellt eine Verbindung mit Ihrem SAP-System her, um die Protokolle und andere Daten daraus abzurufen, und sendet diese Protokolle dann an Ihren Microsoft Sentinel-Arbeitsbereich. Dazu muss sich der Agent bei Ihrem SAP-System authentifizieren. Dazu verwendet er einen Benutzer und eine Rolle, die speziell für diesen Zweck erstellt wurden.
Microsoft Sentinel unterstützt einige Optionen zum Speichern Ihrer Agent-Konfigurationsinformationen, einschließlich der Konfiguration für Ihre SAP-Authentifizierungsgeheimnisse. Die Entscheidung, welche der Möglichkeiten Sie verwenden möchten, kann davon beeinflusst werden, wo Sie Ihre VM bereitstellen und welchen SAP-Authentifizierungsmechanismus Sie verwenden. Im Folgenden finden Sie die unterstützten Optionen in der bevorzugten Reihenfolge:
- Eine Azure Key Vault-Instanz, auf die mit einer systemseitig zugewiesenen verwalteten Azure-Identität zugegriffen wird
- Eine Azure Key Vault-Instanz, auf die über einen registrierten Microsoft Entra ID-Anwendungsdienstprinzipal zugegriffen wird.
- Eine Konfigurationsdatei in Klartext
Sie haben auch die Möglichkeit, sich mit SNC (Secure Network Communication) von SAP und X.509-Zertifikaten zu authentifizieren. Die Verwendung von SNC bietet zwar eine höhere Sicherheit bei der Authentifizierung, ist aber nicht in allen Szenarien praktikabel.
Sicherheitsinhalte
Zu den Microsoft Sentinel-Lösung für SAP-Anwendungen gehören die folgenden Typen von Sicherheitsinhalten, mit den Sie Erkenntnisse zur SAP-Umgebung Ihrer Organisation erhalten und Sicherheitsbedrohungen erkennen und darauf reagieren können:
- Analyseregeln und Watchlists für die Bedrohungserkennung
- Funktionen für einfachen Datenzugriff
- Arbeitsmappen zum Erstellen interaktiver Datenvisualisierungen
- Watchlists für die Anpassung der integrierten Lösungsparameter
- Playbooks zum Automatisieren der Reaktion auf Bedrohungen
Weitere Informationen finden Sie unter Microsoft Sentinel-Lösung für SAP-Anwendungen: Referenz zu Sicherheitsinhalten.
Bereitstellungsflow und Personas
Die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen umfasst mehrere Schritte und erfordert die Zusammenarbeit mehrerer Teams, einschließlich der Sicherheits-, Infrastruktur- und SAP BASIS-Teams. Die folgende Abbildung zeigt die Schritte zur Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen mit Kennzeichnung der relevanten Teams:
Es wird empfohlen, alle relevanten Teams einzubeziehen, wenn Sie Ihre Bereitstellung planen, um sicherzustellen, dass alle Aufgaben zugeteilt werden und die Bereitstellung reibungslos verläuft.
Die Bereitstellungsschritte umfassen Folgendes:
Überprüfen der Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen. Einige Voraussetzungen erfordern die Koordination mit Ihren Infrastruktur- oder SAP BASIS-Teams.
Die folgenden Schritte können parallel ausgeführt werden, da verschiedene Teams dafür verantwortlich und sie nicht voneinander abhängig sind:
Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen aus dem Inhaltshub. Dieser Schritt wird vom Sicherheitsteam im Azure-Portal vorgenommen.
Konfigurieren Sie Ihr SAP-System für die Microsoft Sentinel-Lösung. Dies schließt auch die Konfiguration von SAP-Autorisierungen, die Konfiguration der SAP-Überwachung u. v. m. ein. Es wird empfohlen, diese Schritte von Ihrem SAP BASIS-Team ausführen zu lassen. Die Dokumentation enthält Verweise auf die SAP-Dokumentation.
Verbinden Ihres SAP-Systems durch Bereitstellen des Containers mit dem Datenconnector-Agent. Dieser Schritt erfordert eine Koordination zwischen Ihren Sicherheits-, Infrastruktur- und SAP BASIS-Teams.
Aktivieren von SAP-Erkennungen und -Bedrohungsschutz. Dieser Schritt wird vom Sicherheitsteam im Azure-Portal vorgenommen.
Zu den zusätzlichen Optionen gehören:
Konfigurationsdatei des SAP-Datenconnector-Agents
Während der Bereitstellung wird eine Datei systemconfig.json erstellt, die die Konfigurationsdetails für den SAP-Datenconnector-Agent enthält. Die Datei befindet sich im Verzeichnis /sapcon-app/sapcon/config/system auf Ihrer VM. Sie können mit dieser Datei die Konfiguration Ihres SAP-Datenconnector-Agents aktualisieren.
In früheren Versionen des Bereitstellungsskripts, die vor Juni 2023 veröffentlicht wurden, wurde stattdessen eine Datei systemconfig.ini generiert. Weitere Informationen finden Sie unter:
Beenden der SAP-Datensammlung
Wenn Microsoft Sentinel keine SAP-Daten mehr sammeln soll, beenden Sie die Protokollerfassung und deaktivieren den Connector. Entfernen Sie dann die zusätzliche Benutzerrolle und alle optionalen CRs, die in Ihrem SAP-System installiert sind.
Weitere Informationen finden Sie unter Beenden der SAP-Datensammlung.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter:
- Informationen zu Microsoft Sentinel-Inhalten und -Lösungen
- Überwachen der Integrität und Rolle Ihrer SAP-Systeme
- Aktualisieren des SAP-Datenconnector-Agents von Microsoft Sentinel
Nächster Schritt
Beginnen Sie mit der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen, indem Sie die Voraussetzungen überprüfen: