Configuración del sistema SAP para la solución Microsoft Sentinel

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo se describe cómo preparar el entorno de SAP para conectarse al agente del conector de datos de SAP. La preparación difiere, en función de si usa el agente del conector de datos en contenedor. Seleccione la opción en la parte superior de la página que coincida con el entorno.

Este artículo forma parte del segundo paso para implementar las aplicaciones de Solución Microsoft Sentinel para SAP.

El equipo SAP BASIS suele realizar los procedimientos de este artículo. Si usa la solución sin agente, es posible que también tenga que implicar al equipo de seguridad.

Importante

La solución sin agente de Microsoft Sentinel está en versión preliminar limitada como un producto preliminar, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga ninguna garantía, explícita o implícita, con respecto a la información proporcionada aquí. El acceso a la solución sin agente también requiere el registro y solo está disponible para los clientes y asociados aprobados durante el período de versión preliminar. Para obtener más información, consulte Microsoft Sentinel para SAP sin agente .

Requisitos previos

• Antes de empezar, asegúrese de revisar los requisitos previos para implementar las aplicaciones de Solución Microsoft Sentinel para SAP.

Configurar la función Microsoft Sentinel

Para permitir que el conector de datos de SAP se conecte al sistema SAP, debe crear un rol de sistema SAP específicamente para este propósito.

• Para incluir acciones de respuesta de recuperación de registros y de interrupción de ataques, se recomienda crear este rol mediante la carga de autorizaciones de roles desde el archivo /MSFTSEN/SENTINEL_RESPONDER.

• Para incluir solo la recuperación de registros, se recomienda crear este rol mediante la implementación de la solicitud de cambio (CR) de SAP NPLK900271: K900271.NPL | R900271.NPL

  Implemente las solicitudes de cambio en el sistema SAP según sea necesario, al igual que implementaría otras solicitudes de cambios. Recomendamos encarecidamente que la implementación de los CR de SAP la realice un administrador de sistemas SAP con experiencia. Para obtener más información, consulte la documentación de SAP.

  Como alternativa, cargue las autorizaciones de rol desde el archivo MSFTSEN_SENTINEL_CONNECTOR, que incluye todos los permisos básicos para que funcione el conector de datos.

  Los administradores de SAP experimentados pueden optar por crear el rol manualmente y asignarle los permisos adecuados. En tales casos, cree una función de forma manual con las autorizaciones pertinentes requeridas para los registros que desea ingerir. Para obtener más información, consulta Autorizaciones de ABAP necesarias. En los ejemplos de nuestra documentación se usa el nombre /MSFTSEN/SENTINEL_RESPONDER.

Al configurar el rol, se recomienda:

• Generar un perfil de rol activo para Microsoft Sentinel mediante la ejecución de la transacción PFCG.
• Usar /MSFTSEN/SENTINEL_RESPONDER como nombre de rol.

Cree un rol mediante la plantilla de MSFTSEN_SENTINEL_READER, que incluye todos los permisos básicos para que funcione el conector de datos.

Para obtener más información, consulte la documentación de SAP sobre la creación de roles.

Creación de un usuario

Las aplicaciones de Solución Microsoft Sentinel para SAP requieren una cuenta de usuario para conectarse al sistema SAP. Al crear el usuario:

• Asegúrese de crear un usuario del sistema.
• Asigne el rol /MSFTSEN/SENTINEL_RESPONDER al usuario, que creó en el paso anterior.

• Asegúrese de crear un usuario del sistema.
• Asigne el rol MSFTSEN_SENTINEL_READER al usuario, que creó en el paso anterior.

Para obtener más información, consulte la documentación de SAP.

Configurar auditoría de SAP

Es posible que algunas instalaciones de sistemas SAP no tengan habilitado el registro de auditoría de forma predeterminada. Para los mejores resultados en la evaluación del rendimiento y la eficacia de las aplicaciones de Solución Microsoft Sentinel para SAP, habilite la auditoría del sistema SAP y configure los parámetros de auditoría. Si desea ingerir registros de base de datos de SAP HANA, asegúrese de habilitar también la auditoría de la base de datos de SAP HANA.

Se recomienda configurar la auditoría para todos los mensajes del registro de auditoría, en lugar de solo registros específicos. Las diferencias de costos de ingesta suelen ser mínimas y los datos son útiles para las detecciones de Microsoft Sentinel y en las investigaciones y la búsqueda posteriores al compromiso.

Para obtener más información, consulte la Comunidad de SAP y Recopilar registros de auditoría de SAP HANA en Microsoft Sentinel.

Configurar el sistema para usar SNC para conexiones seguras

De forma predeterminada, el agente del conector de datos de SAP se conecta a un servidor SAP mediante una conexión RFC (Remote Function Call) y un nombre de usuario y una contraseña para la autenticación.

Sin embargo, es posible que tenga que establecer la conexión en un canal cifrado o usar certificados de cliente para la autenticación. En estos casos, use Smart Network Communications (SNC) de SAP para proteger las conexiones de datos, tal y como se describe en esta sección.

En un entorno de producción, se recomienda que consulte con los administradores de SAP para crear un plan de implementación para configurar SNC. Para obtener más información, consulte la documentación de SAP.

Al configurar SNC:

• Si una entidad de certificación de empresa emitió el certificado de cliente, transfiera los certificados de entidad de certificación raíz y de entidad de certificación emisora al sistema donde planea crear el agente del conector de datos.
• Si usa el agente del conector de datos, asegúrese de escribir también los valores pertinentes y de usar los procedimientos pertinentes al configurar el contenedor del agente de conector de datos de SAP. Si usa la solución sin agente, la configuración de SNC se realiza en SAP Cloud Connector.

Configurar la compatibilidad con la recuperación de datos adicional (recomendado)

Aunque este paso es opcional, se recomienda habilitar el conector de datos de SAP para recuperar la siguiente información de contenido del sistema SAP:

• Registros Tabla de base de datos y Salida de Spool
• Información de dirección IP del cliente de los registros de auditoría de seguridad

1. Implemente las RS pertinentes desde el repositorio de GitHub de Microsoft Sentinel, según la versión de SAP:

   Versiones de SAP BASIS	Solicitud de cambio recomendada
   750 y versiones posteriores	NPLK900202: K900202.NPL, R900202.NPL Al implementar esta solicitud de cambio cualquiera de las siguientes versiones de SAP, implemente también 2641084: acceso de lectura estandarizado a los datos del registro de auditoría de seguridad: - 750 SP04 a SP12 - 751 SP00 a SP06 - 752 SP00 a SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   Implemente las solicitudes de cambio en el sistema SAP según sea necesario, al igual que implementaría otras solicitudes de cambio. Recomendamos encarecidamente que la implementación de los CR de SAP la realice un administrador de sistemas SAP con experiencia. Para obtener más información, consulte la documentación de SAP.

   Para obtener más información, consulte Comunidad de SAP y la documentación de SAP.

2. Para admitir las versiones 7.31-7.5 SP12 de SAP BASIS en el envío de información de dirección IP de cliente a Microsoft Sentinel, active el registro para la tabla DE SAP USR41. Para obtener más información, consulte la documentación de SAP.

Compruebe que la tabla PAHI se actualiza a intervalos regulares

La tabla PAHI de SAP incluye datos sobre el historial del sistema SAP, la base de datos y los parámetros de SAP. En algunos casos, las aplicaciones de Solución Microsoft Sentinel para SAP no pueden supervisar la tabla PAHI de SAP a intervalos regulares, debido a la falta de configuración o a errores. Es importante actualizar la tabla PAHI y supervisarla con frecuencia, de modo que la aplicaciones de Solución Microsoft Sentinel para SAP pueda alertar sobre acciones sospechosas que pueden producirse en cualquier momento durante todo el día. Para más información, vea:

• Nota de SAP 12103
• Supervisión de la configuración de parámetros de seguridad estáticos de SAP (versión preliminar)

Si la tabla PAHI se actualiza periódicamente, el trabajo SAP_COLLECTOR_FOR_PERFMONITOR se programa y se ejecuta cada hora. Si el trabajo SAP_COLLECTOR_FOR_PERFMONITOR no existe, asegúrese de configurarlo según sea necesario.

Para obtener más información, consulte el Recopilador de bases de datos en procesamiento en segundo plano y Configurar el recopilador de datos.

Configurar las opciones de SAP BTP

1. En la subcuenta de SAP BTP, agregue derechos para los siguientes servicios:

   • SAP Integration Suite
   • SAP Process Integration Runtime
   • Entorno de ejecución de Cloud Foundry

2. Cree una instancia de Cloud Foundry Runtime y, a continuación, cree un espacio de Cloud Foundry.

3. Cree una instancia de SAP Integration Suite.

4. Asigne el rol de Integration_Provisioner de SAP BTP a su cuenta de usuario de subcuenta de SAP BTP.

5. En SAP Integration Suite, agregue la funcionalidad de integración en la nube.

6. Asigne los siguientes roles de integración de procesos a su cuenta de usuario:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Estos roles solo están disponibles después de activar la funcionalidad de integración en la nube.

7. Cree una instancia de SAP Process Integration Runtime en la subcuenta.

8. Cree una clave de servicio para SAP Process Integration Runtime y guarde el contenido JSON en una ubicación segura. Debe activar la funcionalidad de integración en la nube antes de crear una clave de servicio para SAP Process Integration Runtime.

Para obtener más información, consulte la documentación de SAP.

Configurar los ajustes de SAP Cloud Connector

1. Instalar SAP Cloud Connector. Para obtener más información, consulte la documentación de SAP.

2. Inicie sesión en la interfaz del conector en la nube y agregue la subcuenta con las credenciales pertinentes. Para obtener más información, consulte la documentación de SAP.

3. En la subcuenta del conector en la nube, agregue una nueva asignación de sistema al sistema back-end para asignar el sistema ABAP al protocolo RFC.

4. Defina las opciones de equilibrio de carga y escriba los detalles del servidor ABAP de back-end. En este paso, copie el nombre del host virtual en una ubicación segura para usarlo más adelante en el proceso de implementación.

5. Agregue nuevos recursos a la asignación del sistema para cada uno de los siguientes nombres de función:

   • RSAU_API_GET_LOG_DATA, para capturar datos del registro de auditoría de seguridad de SAP

   • BAPI_USER_GET_DETAIL, para recuperar los detalles del usuario de SAP

   • RFC_READ_TABLE, para leer datos de tablas necesarias

6. Agregue un nuevo destino en SAP BTP que apunte al host virtual que creó anteriormente. Use los detalles siguientes para rellenar el nuevo destino:

   • Nombre: escriba el nombre que desea usar para la conexión de Microsoft Sentinel

   • Tipo RFC

   • Tipo de proxy: On-Premise

   • Usuario: escriba la cuenta de usuario de ABAP que creó anteriormente para Microsoft Sentinel

   • Tipo de autorización: CONFIGURED USER

   • Propiedades adicionales:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Ubicación: solo es necesario cuando se conectan varios conectores en la nube a la misma subcuenta BTP. Para obtener más información, consulte la documentación de SAP.

Configurar las opciones de SAP Integration Suite

Cree una nueva credencial de cliente de OAuth2 para almacenar los detalles de conexión para el registro de la aplicación Microsoft Entra ID que creó anteriormente.

Al crear la credencial, escriba los detalles siguientes:

• Nombre: LogIngestionAPI

• Servicio de token: https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

• Identificador de cliente: <your app registration client ID>

• Autenticación de cliente: enviar como parámetro de cuerpo

• Ámbito: https://monitor.azure.com//.default

• Tipo de contenido: application/x-www-form-urlencoded

Importar e implementar el paquete de la Solución Microsoft Sentinel para SAP

1. Descargue el paquete de la Solución Microsoft Sentinel para SAP desde https://aka.ms/SAPAgentlessPackage.

2. Importe el paquete descargado en SAP Integration Suite.

3. Abra el paquete de la Solución Microsoft Sentinel para SAP y vaya a los artefactos.

4. Seleccione el artefacto Enviar registros de seguridad a Microsoft: capa de aplicación.

5. Seleccione Configurar y escriba los detalles de DCR:

   • LogsIngestionURL la dirección URL de ingesta del DCE del DCR, como se guardó anteriormente.
   • DCRImmutableId: identificador inmutable de DCR, como se guardó anteriormente.

6. Seleccione Implementar para implementar el flujo i mediante SAP Cloud Integration como servicio en tiempo de ejecución.

Paso siguiente

Conexión del sistema SAP a Microsoft Sentinel