Compartir vía


Conexión del sistema SAP a Microsoft Sentinel

A fin de que la solución Microsoft Sentinel para aplicaciones SAP funcione correctamente, primero debe llevar los datos de SAP a Microsoft Sentinel. Para ello, implante el agente del conector de datos SAP de Microsoft Sentinel o conecte el conector de datos sin agente de Microsoft Sentinel para SAP. Seleccione la opción en la parte superior de la página que coincida con el entorno.

Este artículo describe el tercer paso en la implantación de una de las soluciones Microsoft Sentinel para aplicaciones SAP.

Diagrama del flujo de implementación de soluciones de SAP, en el que se resalta el paso Conectar el sistema SAP.

El contenido de este artículo es relevante para los equipos de seguridad, infraestructura y SAP BASIS. Asegúrese de realizar los pasos de este artículo en el orden en que se presentan.

Diagrama del flujo de implementación de soluciones de SAP, en el que se resalta el paso Conectar el sistema SAP.

El contenido de este artículo es relevante para su equipo de seguridad, mediante la información proporcionada por los equipos de SAP BASIS.

Importante

La solución sin agente de Microsoft Sentinel está en versión preliminar limitada como un producto preliminar, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga ninguna garantía, explícita o implícita, con respecto a la información proporcionada aquí. El acceso a la solución sin agente también requiere el registro y solo está disponible para los clientes y asociados aprobados durante el período de versión preliminar. Para obtener más información, consulte Microsoft Sentinel para SAP sin agente .

Requisitos previos

Antes de conectar el sistema SAP a Microsoft Sentinel:

Vea un vídeo de demostración

Vea una de las siguientes demostraciones de vídeo del proceso de implementación descrito en este artículo.

Una profundización en las opciones del portal:

Incluye más detalles sobre el uso de Azure KeyVault. Sin audio, demostración solo con subtítulos:

Creación de una máquina virtual y configuración del acceso a las credenciales

Se recomienda crear una máquina virtual dedicada para el contenedor del agente del conector de datos para garantizar un rendimiento óptimo y evitar posibles conflictos. Para más información, consulte Requisitos previos del sistema para el contenedor del agente del conector de datos.

Se recomienda almacenar los secretos de SAP y de autenticación enAzure key vault. La forma de acceder al almacén de claves depende de dónde se implemente la máquina virtual:

Método de implementación Método de acceso
Contenedor en una máquina virtual de Azure Se recomienda usar una identidad administrada asignada por el sistema de Azure para acceder a Azure Key Vault.

Si no se puede usar una identidad administrada asignada por el sistema, el contenedor también se puede autenticar en Azure Key Vault mediante una entidad de servicio de aplicación registrada de Id. de Microsoft Entra o, como último recurso, un archivo de configuración.
Un contenedor en una máquina virtuallocal o una máquina virtual en un entorno de nube de terceros Autentíquese en Azure Key Vault mediante una entidad de servicio de aplicación registrada de Id. de Microsoft Entra.

Si no puede usar una aplicación registrada o una entidad de servicio, use un archivo de configuración para administrar las credenciales, aunque no se prefiere este método. Para obtener más información, consulte Implementación del conector de datos mediante un archivo de configuración.

Para más información, vea:

Normalmente, la máquina virtual se crea mediante el equipo de la infraestructura. La configuración del acceso a las credenciales y la administración de almacenes de claves se suele realizar mediante el equipo de seguridad.

Creación de una identidad administrada con una máquina virtual de Azure

  1. Ejecute el comando siguiente para Crear una máquina virtual en Azure, sustituyendo los nombres reales del entorno por el <placeholders>:

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
    
    

    Para más información, consulte Inicio rápido: Creación rápida de una máquina virtual con la CLI de Azure.

    Importante

    Una vez creada la máquina virtual, asegúrese de aplicar los requisitos de seguridad y los procedimientos de protección aplicables en su organización.

    Este comando crea el recurso de máquina virtual, lo que genera un resultado similar al siguiente:

    {
      "fqdns": "",
      "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
      "identity": {
        "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
        "userAssignedIdentities": {}
      },
      "location": "westeurope",
      "macAddress": "00-11-22-33-44-55",
      "powerState": "VM running",
      "privateIpAddress": "192.168.136.5",
      "publicIpAddress": "",
      "resourceGroup": "resourcegroupname",
      "zones": ""
    }
    
  2. Copie el GUID systemAssignedIdentity , ya que se usará en los pasos siguientes. Esta es su identidad administrada.

Creación de un Almacén de claves

Este procedimiento describe cómo crear un almacén de claves para almacenar la información de configuración de su agente, incluidos sus secretos de autenticación de SAP. Si usa un almacén de claves existente, vaya directamente a paso 2.

Para crear el almacén de claves:

  1. Ejecute los comandos siguientes, sustituyendo los nombres reales por los valores de <placeholder>.

    az keyvault create \
      --name <KeyVaultName> \
      --resource-group <KeyVaultResourceGroupName>
    
  2. Copie el nombre del almacén de claves y el nombre de su grupo de recursos. Los necesitará al asignar los permisos de acceso del almacén de claves y ejecutar el script de implementación en los pasos siguientes.

Asignación de permisos de acceso del almacén de claves

  1. En el almacén de claves, asigne el rol lector de secretos de Azure Key Vault a la identidad que creó y copió anteriormente.

  2. En el mismo almacén de claves, asigne los siguientes roles de Azure al usuario que configura el agente del conector de datos:

    • Colaborador de Key Vault, para implementar el agente
    • Director de secretos de Key Vaultpara agregar nuevos sistemas

Implementación del agente del conector de datos desde el portal (versión preliminar)

Ahora que ha creado una máquina virtual y una instancia de Key Vault, el siguiente paso es crear un nuevo agente y conectarse a uno de los sistemas SAP. Aunque puede ejecutar varios agentes de conector de datos en una sola máquina, se recomienda empezar con un solo, supervisar el rendimiento y, a continuación, aumentar el número de conectores lentamente.

En este procedimiento se describe cómo crear un nuevo agente y conectarlo al sistema SAP mediante los portales de Azure o Defender. Se recomienda que el equipo de seguridad realice este procedimiento con ayuda del equipo de SAP BASIS.

La implementación del agente del conector de datos desde el portal se admite tanto desde Azure Portal como desde el portal de Defender si ha incorporado el área de trabajo a la plataforma unificada de operaciones de seguridad.

Aunque también se admite la implementación desde la línea de comandos, se recomienda usar el portal para implementaciones típicas. Los agentes del conector de datos implementados mediante la línea de comandos solo se pueden administrar a través de la línea de comandos y no a través del portal. Para obtener más información, consulteImplementación de un agente de conector de datos de SAP desde la línea de comandos.

Importante

La implementación del contenedor y la creación de conexiones a sistemas SAP desde el portal se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Requisitos previos:

  • Para implementar el agente del conector de datos a través del portal, necesita lo siguiente:

    • Autenticación a través de una identidad administrada o una aplicación registrada
    • Credenciales almacenadas en una instancia de Azure Key Vault

    Si no tiene estos requisitos previos, implemente el agente del conector de datos de SAP desde la línea de comandos en su lugar.

  • Para implementar el agente del conector de datos, también necesita privilegios de sudo o raíz en la máquina del agente del conector de datos.

  • Si desea ingerir registros de Netweaver/ABAP a través de una conexión segura mediante Comunicaciones de red segura (SNC), necesita lo siguiente:

    • La ruta de acceso al archivo binario sapgenpse y la bibliotecalibsapcrypto.so
    • Detalles del certificado de cliente

    Para obtener más información, consulte Configuración del sistema para usar SNC para conexiones seguras.

Para implementar el agente del conector de datos:

  1. Inicie sesión en la máquina virtual recién creada en la que va a instalar el agente, como usuario con privilegios de sudo.

  2. Descargue o transfiera el SDK de SAP NetWeaver a la máquina.

  3. En Microsoft Sentinel, seleccione la Configuración >Conectores de datos.

  4. En la barra de búsqueda, escriba SAP. Seleccione Microsoft Sentinel para SAP en los resultados de la búsqueda y, a continuación, Abra la página del conector.

  5. En el área Configuración, seleccione Agregar agente nuevo (versión preliminar).

    Captura de pantalla de las instrucciones para agregar un agente de recopilador basado en la API de SAP.

  6. En el panel Crear un agente de recopilador, escriba los siguientes detalles del agente:

    Nombre Descripción
    Nombre del agente Escriba un nombre descriptivo del agente para su organización. No se recomienda ninguna convención de nomenclatura específica, salvo que el nombre solo puede incluir los siguientes tipos de caracteres:
    • a-z
    • A-Z
    • 0-9
    • _ (carácter de subrayado)
    • . (punto)
    • - (guión)
    Suscripción / Almacén de claves Seleccione Suscripción y el Almacén de claves de sus respectivas listas desplegables.
    Ruta de acceso del archivo ZIP del SDK de NWRFC en la máquina virtual del agente Escriba la ruta de acceso en la máquina virtual que contiene el archivo del kit de desarrollo de software (SDK) de SAP NetWeaver Remote Function Call (RFC) (archivo .zip).

    Asegúrese de que esta ruta de acceso incluya el número de versión del SDK en la sintaxis siguiente: <path>/NWRFC<version number>.zip. Por ejemplo: /src/test/nwrfc750P_12-70002726.zip.
    Habilitación de la compatibilidad con la conexión SNC Seleccione esta opción para ingerir registros de NetWeaver/ABAP a través de una conexión segura mediante SNC.

    Si selecciona esta opción, escriba la ruta que contiene el binario sapgenpse y la biblioteca libsapcrypto.so, en Ruta de acceso a la biblioteca criptográfica de SAP en la máquina virtual del agente.

    Si quiere usar una conexión SNC, asegúrese de seleccionar Habilitar compatibilidad con conexión SNC en esta fase, ya que no puede volver atrás y habilitar una conexión SNC después de finalizar la implementación del agente. Si desea cambiar esta configuración después, se recomienda crear un nuevo agente en su lugar.
    Autenticación en Azure Key Vault Para autenticarse en el almacén de claves mediante una identidad administrada, deje seleccionada la opción predeterminada Identidad administrada. Para autenticarse en el almacén de claves mediante una aplicación registrada, seleccione Identidad de aplicación.

    Debe tener configurada la identidad administrada o la aplicación registrada con antelación. Para más información, consulta Creación de una máquina virtual y configuración del acceso a las credenciales.

    Por ejemplo:

    Captura de pantalla del área Crear un agente recopilador.

  7. Seleccione Crear y revise las recomendaciones antes de completar la implementación:

    Captura de pantalla de la etapa final de la implementación del agente.

  8. La implementación del agente del conector de datos de SAP requiere que conceda a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Microsoft Sentinel mediante los roles de Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector.

    Para ejecutar los comandos en este paso, debe ser propietario del grupo de recursos en el área de trabajo de Microsoft Sentinel. Si no es propietario del grupo de recursos en el área de trabajo, este procedimiento también se puede realizar una vez completada la implementación del agente.

    En Solo unos pocos pasos más antes de finalizar, copie los comandos de asignación de roles del paso 1 y ejecútelos en la máquina virtual del agente, reemplazando el marcador de posición [Object_ID] por el identificador de objeto de identidad de la máquina virtual. Por ejemplo:

    Captura de pantalla del icono Copiar del comando del paso 1.

    Para buscar el identificador de objeto de identidad de máquina virtual en Azure:

    • Para una identidad administrada, el identificador de objeto aparece en la página Identidadde la máquina virtual.

    • En el caso de una entidad de servicio, vaya a la aplicación Empresarial en Azure. Seleccione Todas las aplicaciones y, a continuación, seleccione la máquina virtual. El identificador de objeto se muestra en la página Información general.

    Estos comandos asignan los roles del operador de Aplicaciones empresarialesde Microsoft Sentinel y Reader Azure a la identidad gestionada o de aplicación de su VM, incluyendo solo el ámbito de los datos del agente especificado en el área de trabajo.

    Importante

    La asignación de los roles Operador del agente de aplicaciones empresariales de Microsoft Sentinel y Lector a través de la CLI asigna los roles solo en el ámbito de los datos del agente especificado en el área de trabajo. Esta es la opción más segura y, por tanto, recomendada.

    Si debe asignar los roles a través de Azure Portal, recomendamos asignar los roles en un ámbito reducido, como solo en el área de trabajo de Microsoft Sentinel.

  9. Seleccione Copiar Recorte de pantalla del icono Copiar situado junto al comando de implementación del agente. junto al comando de implementación del agente en el paso 2. Por ejemplo:

    Captura de pantalla del comando de agente que se va a copiar en el paso 2.

  10. Copie la línea de comandos en una ubicación independiente y seleccione Cerrar.

    La información pertinente del agente se implementa en Azure Key Vault y el nuevo agente está visible en la tabla en Agregar un agente recopilador basado en API.

    En esta fase, el estado de mantenimiento del agente es "Instalación incompleta. Siga las instrucciones". Una vez instalado correctamente el agente, el estado cambia a Agente correcto. La actualización puede tardar hasta 10 minutos. Por ejemplo:

    Recorte de pantalla de los estados de mantenimiento de los agentes recopiladores basados en API en la página del conector de datos SAP.

    Nota:

    La tabla muestra el nombre del agente y su estado de mantenimiento solo para aquellos agentes que implemente a través de Azure Portal. Los agentes implementados mediante la línea de comandos no se muestran aquí. Para obtener más información, consulte lapestaña Línea de comandos en su lugar.

  11. En la máquina virtual en la que planea instalar el agente, abra un terminal y ejecute el comando de implementación del Agente que copió en el paso anterior. Este paso requiere privilegios de sudo o raíz en la máquina del agente del conector de datos.

    El script actualiza los componentes del sistema operativo e instala la CLI de Azure, el software de Docker y otras utilidades necesarias, como jq, netcat y curl.

    Proporcione parámetros adicionales al script según sea necesario para personalizar la implementación del contenedor. Para más información sobre las opciones de línea de comandos disponibles, vea Referencia del script kickstart.

    Si necesita volver a copiar el comando, seleccione Vista Recorte de pantalla del icono Ver situado junto a la columna Estado. a la derecha de la columna Estado y copie el comando junto al comando de implementación del agente en la parte inferior derecha.

  12. En la página conector de datos de la Solución Microsoft Sentinel para SAP, en el área Configuración, seleccione Agregar nuevo sistema (versión preliminar) y escriba los detalles siguientes:

    • En Seleccionar un agente, seleccione el agente que creó anteriormente.

    • En Identificador del sistema, seleccione el tipo de servidor:

      • Servidor ABAP
      • Servidor de mensajes para usar un servidor de mensajes como parte de un ABAP SAP Central Services (ASCS).
    • Continúe definiendo detalles relacionados para el tipo de servidor:

      • Para un servidor ABAP, escriba la dirección IP/FQDN del servidor de aplicaciones de ABAP, el identificador y el número del sistema y el identificador de cliente.
      • Para un servidor de mensajes, escriba la dirección IP/FQDN del servidor de mensajes, el número de puerto o el nombre del servicio y el grupo de inicio de sesión

    Cuando haya terminado, seleccione Siguiente: Autenticación.

    Por ejemplo:

    Recorte de pantalla de la pestaña Agregar nueva configuración del sistema del área del sistema.

  13. En la pestaña Autenticación, escriba los detalles siguientes:

    • Para la autenticación básica, escriba el usuario y la contraseña.
    • Si seleccionó una conexión SNC al configurar el agente, seleccione SNC y escriba los detalles del certificado.

    Cuando haya terminado, seleccione Siguiente: Registros.

  14. En la pestaña Registros, seleccione los registros que desea ingerir de SAP y, a continuación, seleccione Siguiente: Revisar y crear. Por ejemplo:

    Recorte de pantalla de la pestaña Registros en el panel lateral Agregar nuevo sistema.

  15. (Opcional) Para obtener resultados óptimos en la supervisión de la tabla PAHI de SAP, seleccione Historial de configuración. Para obtener más información, consulte Comprobar que la tabla PAHI se actualiza a intervalos regulares.

  16. Revise la configuración que ha definido. Seleccione Anterior para modificar cualquier valor o seleccione Implementar para implementar el sistema.

La configuración del sistema definida se implementa en el almacén de claves de Azure que definió durante la implementación. Ahora puede ver los detalles del sistema en la tabla en Configurar un sistema SAP y asignarlo a un agente recopilador. En esta tabla se muestra el nombre del agente asociado, el identificador de sistema de SAP (SID) y el estado de mantenimiento de los sistemas que agregó a través del portal o de lo contrario.

En esta fase, el estado de mantenimiento del sistema es Pendiente. Si el agente se actualiza correctamente, extrae la configuración de Azure Key Vault y el estado cambia a Estado correcto del sistema. La actualización puede tardar hasta 10 minutos.

Conexión del conector de datos sin agente

  1. En Microsoft Sentinel, vaya a la página Conectores> de datos de la configuración y busque el conector de datos de SAP ABAP y S/4 a través de Cloud Connector (versión preliminar).

  2. En el áreaConfiguración, en Conectar un conjunto de integración de SAP a Microsoft Sentinel, seleccione Agregar conexión.

  3. En el panel lateral de conexión sin agente, escriba los detalles siguientes:

    Campo Descripción
    nombre de destino RFC Nombre del destino RFC, tomado del destino BTP.
    Identificador de cliente sin agente de SAP Valor clientidtomado del archivo JSON de claves de servicio de Process Integration Runtime.
    Secreto de cliente sin agente de SAP Valor clientecret tomado del archivo JSON de claves de servicio de Process Integration Runtime.
    Servidor de autorización de URL Valor tokenurlurl tomado del archivo JSON de claves de servicio de Process Integration Runtime. Por ejemplo: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Punto de conexión de Integration Suite Valor de dirección URL tomado del archivo JSON de clave del servicio Process Integration Runtime. Por ejemplo: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

Comprobación de la conectividad y el estado

Después de implementar el conector de datos de SAP, compruebe el estado y la conectividad del agente. Para obtener más información, consulte Supervisión del estado y el rol de los sistemas SAP.

Paso siguiente

Una vez implementado el conector, continúe con la configuración de la solución de Microsoft Sentinel para el contenido de las aplicaciones de SAP. En concreto, la configuración de detalles en las listas de reproducción es un paso esencial para habilitar las detecciones y la protección contra amenazas.