Información general sobre la Solución Microsoft Sentinel para aplicaciones de SAP: implementación
Use la Solución Microsoft Sentinel para aplicaciones de SAP para supervisar los sistemas SAP y detectar amenazas sofisticadas en toda la lógica de negocios y las capas de aplicación de sus aplicaciones de SAP.
En este artículo se presenta la implementación de Solución Microsoft Sentinel para aplicaciones de SAP.
Componentes de solución
La Solución Microsoft Sentinel para aplicaciones de SAP incluye un conector de datos, que recopila registros de los sistemas SAP y los envía al área de trabajo de Microsoft Sentinel y al contenido de seguridad de serie, lo que le ayuda a obtener información sobre el entorno SAP de su organización y a detectar y responder a amenazas de seguridad.
Conector de datos
El conector de datos de Microsoft Sentinel para SAP es un agente instalado en un contenedor en una máquina virtual, un servidor físico o un clúster de Kubernetes. El agente recopila registros de aplicaciones para todos los SID de SAP incorporados desde todo el entorno del sistema SAP y, a continuación, envía esos registros al área de trabajo de Log Analytics en Microsoft Sentinel.
Por ejemplo, en la imagen siguiente se muestra un panorama de SAP de varios SID con una división entre sistemas de producción y no producción, incluida la plataforma de tecnología empresarial de SAP. Todos los sistemas de esta imagen se incorporan a Microsoft Sentinel para la solución de SAP.
El agente se conecta al sistema SAP para extraer los registros y otros datos de él y, luego, envía esos registros al área de trabajo de Microsoft Sentinel. Para ello, el agente debe autenticarse en el sistema SAP mediante un usuario y un rol creado específicamente para este propósito.
Microsoft Sentinel admite algunas opciones para almacenar la información de configuración del agente, incluida la configuración de los secretos de autenticación de SAP. La decisión de qué opción puede depender de por dónde se implementa la máquina virtual y por qué mecanismo de autenticación de SAP decide usar. Las opciones admitidas son las siguientes, enumeradas en orden de preferencia:
- Una instancia de Azure Key Vault a la que se accede mediante una identidad administrada asignada por el sistema de Azure
- Una instancia de Azure Key Vault a la que se accede mediante una entidad de servicio de aplicación registrada de Microsoft Entra ID
- Un archivo de configuración de texto no cifrado.
También puede autenticarse mediante el certificado de Comunicación de red segura (SNC) y X.509 de SAP. Aunque el uso de SNC proporciona un nivel superior de seguridad de autenticación, es posible que no sea práctico para todos los escenarios.
Contenido de seguridad
La Solución Microsoft Sentinel para aplicaciones de SAP incluye los siguientes tipos de contenido de seguridad para ayudarle a obtener información sobre el entorno SAP de su organización y detectar y responder a amenazas de seguridad:
- Reglas de análisis y listas de seguimiento para la detección de amenazas.
- Funciones para facilitar el acceso a los datos.
- Libros para crear la visualización interactiva de datos.
- Listas de seguimiento para la personalización de los parámetros de solución integrados.
- Cuadernos de estrategias que puede usar para automatizar las respuestas a las amenazas.
Para obtener más información, consulte Solución de Microsoft Sentinel para aplicaciones de SAP: referencia de contenido de seguridad.
Flujo de implementación y roles
La implementación de la Solución de Microsoft Sentinel para aplicaciones de SAP implica varios pasos y requiere la colaboración entre varios equipos, incluidos los de seguridad, infraestructuray SAP BASIS. En la imagen siguiente se muestran los pasos para implementar la Solución de Microsoft Sentinel para aplicaciones SAP, con los equipos pertinentes indicados:
Se recomienda implicar a todos los equipos pertinentes al planear la implementación para asegurarse de que se asigna el esfuerzo y que la implementación puede continuar sin problemas.
Los pasos de implementación incluyen:
Revise los requisitos previos para la implementación de Solución Microsoft Sentinel para aplicaciones de SAP. Algunos requisitos previos requieren la coordinación con la infraestructura o los equipos de SAP BASIS.
Los pasos siguientes se pueden realizar en paralelo, ya que implican equipos independientes y no dependen entre sí:
Implementación de Solución Microsoft Sentinel para aplicaciones de SAP desde el centro de contenido. Este paso lo controla el equipo de seguridad en Azure Portal.
Configure el sistema SAP para la solución de Microsoft Sentinel, incluida la configuración de autorizaciones de SAP, la configuración de la auditoría de SAP y mucho más. Se recomienda que el equipo de SAP BASIS realice estos pasos y que nuestra documentación incluya referencias a la documentación de SAP.
Conectar el sistema SAP mediante la implementación del contenedor del agente del conector de datos. Este paso requiere la coordinación entre los equipos de seguridad, infraestructura y SAP BASIS.
Habilitar las detecciones de SAP y la protección contra amenazas. Este paso lo controla el equipo de seguridad en Azure Portal.
Otras opciones incluyen:
Detener recopilación de datos de SAP
Si necesita impedir que Microsoft Sentinel recopile los datos de SAP, detenga la ingesta de registros y deshabilite el conector. A continuación, quite el rol de usuario adicional y cualquier CR opcional instalado en el sistema SAP.
Para más información, consulte Detener la recopilación de datos de SAP.
Contenido relacionado
Para más información, vea:
- Acerca del contenido y las soluciones de Microsoft Sentinel.
- Supervisión del estado y el rol de los sistemas SAP
- Actualización del agente conector de datos SAP de Microsoft Sentinel
Paso siguiente
Para comenzar la implementación de Solución Microsoft Sentinel para aplicaciones de SAP, revise los requisitos previos: