Requisitos previos de implementación para las soluciones de Microsoft Sentinel para aplicaciones SAP
En este artículo se enumeran los requisitos previos necesarios para la implementación de la solución microsoft Sentinel para aplicaciones SAP, que difieren en función de si va a implementar un agente de conector de datos o de usar la solución sin agente con SAP Cloud Connector. Seleccione la opción en la parte superior de esta página que coincida con la implementación.
Revisar y asegurarse de que tiene o comprende todos los requisitos previos es el primer paso para implementar la solución microsoft Sentinel para aplicaciones SAP. Seleccione un tipo de conexión para enumerar los requisitos previos de su entorno.
El contenido de este artículo es relevante para los equipos de seguridad, infraestructura y SAP BASIS.
El contenido de este artículo es relevante para los equipos de seguridad y SAP BASIS .
Importante
La solución sin agente de Microsoft Sentinel está en versión preliminar limitada como un producto preliminar, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no ofrece ninguna garantía expresa o implícita, con respecto a la información proporcionada aquí. El acceso a la solución sin agente también requiere el registro y solo está disponible para los clientes y asociados aprobados durante el período de versión preliminar. Para obtener más información, consulte Microsoft Sentinel para SAP no agente .
Requisitos previos de Azure
Normalmente, los equipos de seguridad administran los requisitos previos de Azure.
| Requisito previo | Descripción | Obligatorio/opcional |
|---|---|---|
| Acceso a Microsoft Azure Sentinel | Anote el identificador del área de trabajo *y la clave principal del área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Puede encontrar estos detalles en Microsoft Sentinel: en el menú de navegación, seleccione Configuración>Configuración del área de trabajo>Administración de agentes. Copie el Identificador del área de trabajo y la Clave principal y péguelos para usarlos durante el proceso de implementación. |
Obligatorio |
| Permisos para crear recursos de Azure | Como mínimo, debe tener los permisos necesarios para implementar soluciones desde el centro de contenidos de Microsoft Sentinel. Para obtener más información, consulte Requisitos previos para implementar soluciones de Microsoft Sentinel. | Obligatorio |
| Permisos para crear un almacén de claves de Azure o acceder a uno existente | Use Azure Key Vault para almacenar los secretos necesarios para conectarse al sistema SAP. Para más información, consulta Asignación de permisos de acceso de un almacén de claves. | Obligatorio si planeas almacenar las credenciales del sistema SAP en Azure Key Vault. Opcional si planeas almacenarlos en un archivo de configuración. Para más información, consulta Creación de una máquina virtual y configuración del acceso a las credenciales. |
| Permisos para asignar un rol con privilegios al agente del conector de datos de SAP | La implementación del agente del conector de datos de SAP requiere que concedas a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Microsoft Sentinel mediante el rol Operador del agente de aplicaciones empresariales de Microsoft Sentinel. Para conceder este rol, necesitas permisos de propietario en el grupo de recursos donde reside el área de trabajo de Microsoft Sentinel. Para más información, consulte Conexión del sistema SAP mediante la implementación del contenedor del agente del conector de datos. |
Necesario. Si no tienes permisos de propietario en el grupo de recursos, otro usuario que tenga los permisos pertinentes también puede realizar el paso pertinente, por separado después de que el agente esté completamente implementado. |
Requisitos previos del sistema para el contenedor del agente del conector de datos
Normalmente, los equipos de infraestructura administran los requisitos previos del sistema.
| Requisito previo | Descripción |
|---|---|
| Arquitectura del sistema | El componente del conector de datos de la solución SAP se implementa como un contenedor de Docker. El host de contenedor puede ser una máquina física o una máquina virtual, se puede ubicar en el entorno local o en cualquier nube. La máquina virtual que hospeda el contenedor no tiene que encontrarse en la misma suscripción de Azure que el área de trabajo de Microsoft Sentinel o incluso en el mismo inquilino de Microsoft Entra. |
| Versiones de Linux compatibles | El agente del conector de datos de SAP se ha probado con las siguientes distribuciones de Linux: - Ubuntu 18.04 o posterior - SLES versión 15 o posterior - RHEL versión 7.7 o posterior Si tienes otro sistema operativo, puede que necesites implementar y configurar el contenedor manualmente. Para obtener más información, consulte Implementación del contenedor del agente de conector de datos de Microsoft Sentinel para SAP con opciones de expertos o abra una incidencia de soporte técnico. |
| Recomendaciones de ajuste de tamaño de máquina virtual | Especificación mínima, como para un entorno de laboratorio: Máquina virtual Standard_B2s, con: - Dos núcleos - 4 GB DE RAM Conector estándar (valor predeterminado): Máquina virtual Standard_D2as_v5 o Máquina virtual Standard_D2_v5, con: - Dos núcleos - 8 GB DE RAM Varios conectores: Máquina virtual Standard_D4as_v5 o Standard_D4_v5, con: - Cuatro núcleos - 16 GB DE RAM |
| Privilegios administrativos | Se requieren privilegios administrativos (raíz) en la máquina host del contenedor. |
| Conectividad de red | Asegúrese de que el host de contenedor tenga acceso: Microsoft Sentinel: - A Azure Key Vault (en el escenario de implementación donde se usa Azure Key Vault para almacenar secretos) - Al sistema SAP, a través de los siguientes puertos TCP: 32xx, 5xx13, 33xx y 48xx (cuando se use SNC), donde xx es el número de instancia de SAP. |
| Utilidades de software | El script de implementación del conector de datos de SAP instala el siguiente software necesario en la máquina virtual del host de contenedor (en función de la distribución de Linux usada, la lista puede variar ligeramente): - Unzip - NetCat - Docker - jq - curl |
| Identidad administrada o entidad de servicio | La versión más reciente del agente del conector de datos de SAP requiere una identidad administrada o una entidad de servicio para autenticarse en Microsoft Sentinel. Los agentes heredados se admiten para las actualizaciones de la versión más reciente y, a continuación, deben usar una identidad administrada o una entidad de servicio para continuar actualizando a versiones posteriores. |
Requisitos previos de SAP para el contenedor del agente del conector de datos
Se recomienda que el equipo de SAP BASIS compruebe y asegúrese de que los requisitos previos del sistema SAP. Se recomienda encarecidamente que un administrador experimentado del sistema SAP lleve a cabo toda la administración del sistema SAP.
| Requisito previo | Descripción |
|---|---|
| Versiones de SAP admitidas | El agente del conector de datos de SAP admite los sistemas SAP NetWeaver y se probó en SAP_BASIS, versiones 731 y posteriores. Seleccione los pasos de este tutorial para proporcionar instrucciones alternativas si trabaja con la anterior versión 740 SAP_BASIS. |
| Requisitos de software | SAP NetWeaver RFC SDK 7.50 (descargar aquí) Asegúrese de que también tiene una cuenta de usuario de SAP para acceder a la página de descarga del software de SAP. |
| Detalles del sistema SAP | Anote los siguientes detalles del sistema SAP: - Dirección IP del sistema SAP y nombre de host FQDN - Número del sistema SAP como, por ejemplo, 00- Identificador del sistema SAP, del sistema SAP NetWeaver (por ejemplo, NPL) - Identificador de cliente de SAP como, por ejemplo, 001 |
| Acceso a la instancia de SAP NetWeaver | El agente del conector de datos de SAP usa uno de los siguientes mecanismos para autenticarse en el sistema SAP: - Usuario y contraseña de SAP ABAP - Un usuario con un certificado X.509. Esta opción requiere pasos de configuración adicionales. Para obtener más información, consulte Configuración del sistema para usar SNC para conexiones seguras. |
| Requisitos de roles de SAP | Para permitir que el conector de datos de SAP se conecte al sistema SAP, debe crear un rol de sistema SAP. Se recomienda crear el rol de sistema necesario mediante la implementación de la solicitud de cambio de SAP NPLK900271 (CR). Para obtener más información, consulte Configuración del rol de Microsoft Sentinel. |
| Solicitudes de incorporación de cambios recomendadas para soporte técnico adicional | Implemente las CREDENCIALes recomendadas en el sistema SAP para recuperar detalles adicionales, como la dirección IP del cliente y los registros adicionales. Para obtener más información, consulte Configuración de la compatibilidad con la recuperación de datos extra (recomendado). |
Requisitos previos de Azure
Normalmente, los equipos de seguridad administran los requisitos previos de Azure.
| Requisito previo | Descripción | Obligatorio/opcional |
|---|---|---|
| Acceso a la versión preliminar limitada | La solución sin agente requiere que se registre y solo esté disponible para los clientes y asociados aprobados durante el período de versión preliminar limitado. Para obtener más información, consulte Registro en versión preliminar limitada: Solución de Microsoft Sentinel para SAP: conector de datos sin agente. | Obligatorio |
| Permisos para crear recursos de Azure | Debe tener: - Los permisos necesarios para implementar soluciones desde el centro de contenido de Microsoft Sentinel. Para obtener más información, consulte Requisitos previos para implementar soluciones de Microsoft Sentinel y roles integrados de Microsoft Entra. Propietario en el grupo de recursos de Microsoft Sentinel , necesario para: - Creación de una regla de recopilación de datos y un punto de conexión de recopilación de datos. - Supervisión de la asignación de roles del publicador de métricas en la regla de recopilación de datos. |
Obligatorio |
| Permisos en Microsoft Entra | Debe tener permisos en el identificador de Entra de Microsoft necesario para crear registros de aplicaciones. Este permiso se puede obtener mediante la pertenencia al rol integrado de id. de Microsoft Entra: - Desarrollador de aplicaciones. |
Obligatorio |
Requisitos previos de SAP para el conector de datos sin agente
Se recomienda que el equipo de SAP BASIS compruebe y asegúrese de que los requisitos previos del sistema SAP. Se recomienda encarecidamente que un administrador experimentado del sistema SAP lleve a cabo toda la administración del sistema SAP.
| Requisito previo | Descripción |
|---|---|
| Versiones de SAP admitidas | La solución sin agente admite sistemas SAP NetWeaver con SAP_BASIS versiones 750 y posteriores. |
| Sistema SAP | El sistema SAP debe tener: Una subcuenta de SAP BTP con los siguientes servicios habilitados: - SAP Integration Suite - SAP Process Integration Runtime - Cloud Foundry Runtime Para obtener más información, consulte la documentación de SAP. Se admiten cuentas de prueba. Sap Cloud Connector implementado SAP NetWeaver versión 7.5 o posterior |
| Roles y permisos de SAP | Debe tener los siguientes roles en los sistemas SAP: En SAP NetWeaver 7.5+: Administrador de SAP Netweaver En SAP BTP, todos los roles siguientes: - Administrador de subcuentas - Aprovisionamiento de integración - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Planear la ingesta
Se recomienda probar los sistemas para determinar el número de registros que envía cada uno de los sistemas SAP a Microsoft Sentinel. La facturación de Microsoft Sentinel depende del tamaño de la ingesta de registros, que a su vez depende de factores como el uso del sistema, los módulos implementados, el número de usuarios, los casos de uso en ejecución, el tráfico de red y los tipos de registro.
Para más información, vea:
- Precios de la solución
- Planear los costos y conocer los precios y la facturación de Microsoft Sentinel
- Reducción de los costos de Microsoft Sentinel
- Administración y supervisión de los costos de Microsoft Sentinel