Configurare il sistema SAP per la soluzione Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo descrive come preparare l'ambiente SAP per la connessione al connettore dati SAP. La preparazione varia a seconda che si usi l'agente del connettore dati in contenitori. Selezionare l'opzione nella parte superiore della pagina corrispondente all'ambiente.

Questo articolo fa parte del secondo passaggio della distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.

Le procedure descritte in questo articolo vengono in genere eseguite dal team SAP BASIS . Se si usa la soluzione senza agente, potrebbe essere necessario coinvolgere anche il team di sicurezza .

Importante

La soluzione Agentless di Microsoft Sentinel è in anteprima limitata come prodotto non definitiva, che può essere modificato in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia espressa o implicita in relazione alle informazioni fornite qui. L'accesso alla soluzione senza agente richiede anche la registrazione ed è disponibile solo per i clienti e i partner approvati durante il periodo di anteprima. Per altre informazioni, vedere Microsoft Sentinel per SAP diventa senza agente .

Prerequisiti

• Prima di iniziare, assicurarsi di esaminare i prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.

Configurare il ruolo di Microsoft Sentinel

Per consentire al connettore dati SAP di connettersi al sistema SAP, è necessario creare un ruolo del sistema SAP in modo specifico per questo scopo.

• Per includere le azioni di risposta al recupero dei log e all'interruzione degli attacchi, è consigliabile creare questo ruolo caricando le autorizzazioni del ruolo dal file /MSFTSEN/SENTINEL_RESPONDER.

• Per includere solo il recupero dei log, è consigliabile creare questo ruolo distribuendo la NPLK900271 richiesta di modifica SAP (CR): K900271.NPL | R900271. NPL

  Distribuire le richieste pull nel sistema SAP in base alle esigenze proprio come si distribuiscono altre richieste pull. È consigliabile distribuire CR SAP tramite un amministratore di sistema SAP esperto. Per altre informazioni, vedere la documentazione di SAP.

  In alternativa, caricare le autorizzazioni del ruolo dal file di MSFTSEN_SENTINEL_CONNECTOR , che include tutte le autorizzazioni di base per il connettore dati da usare.

  Gli amministratori SAP esperti possono scegliere di creare manualmente il ruolo e assegnargli le autorizzazioni appropriate. In questi casi, creare un ruolo manualmente con le autorizzazioni pertinenti necessarie per i log da inserire. Per altre informazioni, vedere Autorizzazioni ABAP necessarie. Gli esempi nella documentazione usano il nome /MSFTSEN/SENTINEL_RESPONDER .

Quando si configura il ruolo, è consigliabile:

• Generare un profilo di ruolo attivo per Microsoft Sentinel eseguendo la transazione PFCG .
• Usare /MSFTSEN/SENTINEL_RESPONDER come nome del ruolo.

Creare un ruolo usando il modello di MSFTSEN_SENTINEL_READER , che include tutte le autorizzazioni di base per il funzionamento del connettore dati.

Per altre informazioni, vedere la documentazione sap sulla creazione di ruoli.

Creare un utente

La soluzione Microsoft Sentinel per le applicazioni SAP richiede un account utente per connettersi al sistema SAP. Quando si crea l'utente:

• Assicurarsi di creare un utente di sistema.
• Assegnare il ruolo /MSFTSEN/SENTINEL_RESPONDER all'utente, creato nel passaggio precedente.

• Assicurarsi di creare un utente di sistema.
• Assegnare il ruolo MSFTSEN_SENTINEL_READER all'utente, creato nel passaggio precedente.

Per altre informazioni, vedere la documentazione di SAP.

Configurare il controllo SAP

Alcune installazioni di sistemi SAP potrebbero non avere la registrazione di controllo abilitata per impostazione predefinita. Per ottenere risultati ottimali nella valutazione delle prestazioni e dell'efficacia della soluzione Microsoft Sentinel per le applicazioni SAP, abilitare il controllo del sistema SAP e configurare i parametri di controllo. Per inserire i log del database SAP HANA, assicurarsi di abilitare anche il controllo per il database SAP HANA.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze dei costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca post-compromissione.

Per altre informazioni, vedere la community SAP e Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel.

Configurare il sistema per l'uso di SNC per connessioni sicure

Per impostazione predefinita, l'agente del connettore dati SAP si connette a un server SAP usando una connessione RFC (Remote Function Call) e un nome utente e una password per l'autenticazione.

Potrebbe tuttavia essere necessario stabilire la connessione in un canale crittografato o usare i certificati client per l'autenticazione. In questi casi, usare Smart Network Communications (SNC) da SAP per proteggere le connessioni dati, come descritto in questa sezione.

In un ambiente di produzione è consigliabile rivolgersi agli amministratori SAP per creare un piano di distribuzione per la configurazione di SNC. Per altre informazioni, vedere la documentazione di SAP.

Quando si configura SNC:

• Se il certificato client è stato emesso da un'autorità di certificazione dell'organizzazione, trasferire i certificati ca e ca radice emittente al sistema in cui si prevede di creare l'agente del connettore dati.
• Se si usa l'agente del connettore dati, assicurarsi di immettere anche i valori pertinenti e di usare le procedure pertinenti durante la configurazione del contenitore dell'agente del connettore dati SAP. Se si usa la soluzione senza agente, la configurazione SNC viene eseguita in SAP Cloud Connector.

Configurare il supporto per il recupero dati aggiuntivo (scelta consigliata)

Anche se questo passaggio è facoltativo, è consigliabile abilitare il connettore dati SAP per recuperare le informazioni sul contenuto seguenti dal sistema SAP:

• Log di output della tabella e del pool di database
• Informazioni sull'indirizzo IP del client dai log di controllo della sicurezza

1. Distribuire i CR pertinenti dal repository GitHub di Microsoft Sentinel, in base alla versione SAP:

   Versioni di SAP BASIS	CR consigliato
   750 e superiori	NPLK900202: K900202.NPL, R900202.NPL Quando si distribuisce questo cr una delle versioni SAP seguenti, distribuire anche 2641084 - Accesso in lettura standardizzato ai dati del log di controllo della sicurezza: - Da 750 SP04 a SP12 - Da 751 SP00 a SP06 - Da 752 SP00 a SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   Distribuire le richieste pull nel sistema SAP in base alle esigenze proprio come si distribuiscono altre richieste pull. È consigliabile distribuire CR SAP tramite un amministratore di sistema SAP esperto. Per altre informazioni, vedere la documentazione di SAP.

   Per altre informazioni, vedere la community SAP e la documentazione di SAP.

2. Per supportare SAP BASIS versioni 7.31-7.5 SP12 nell'invio di informazioni sull'indirizzo IP client a Microsoft Sentinel, attivare la registrazione per la tabella SAP USR41. Per altre informazioni, vedere la documentazione di SAP.

Verificare che la tabella PAHI venga aggiornata a intervalli regolari

La tabella SAP PAHI include dati sulla cronologia del sistema SAP, del database e dei parametri SAP. In alcuni casi, la soluzione Microsoft Sentinel per le applicazioni SAP non può monitorare la tabella SAP PAHI a intervalli regolari, a causa di una configurazione mancante o difettosa. È importante aggiornare la tabella PAHI e monitorarla frequentemente, in modo che la soluzione Microsoft Sentinel per le applicazioni SAP possa avvisare su azioni sospette che possono verificarsi in qualsiasi momento durante il giorno. Per altre informazioni, vedi:

• Nota SAP 12103
• Monitoraggio della configurazione dei parametri di sicurezza SAP statici (anteprima)

Se la tabella PAHI viene aggiornata regolarmente, il SAP_COLLECTOR_FOR_PERFMONITOR processo viene pianificato ed eseguito ogni ora. Se il SAP_COLLECTOR_FOR_PERFMONITOR processo non esiste, assicurarsi di configurarlo in base alle esigenze.

Per altre informazioni, vedere Agente di raccolta database in elaborazione in background e Configurazione dell'agente di raccolta dati.

Configurare le impostazioni di SAP BTP

1. Nell'account secondario SAP BTP aggiungere diritti per i servizi seguenti:

   • SAP Integration Suite
   • SAP Process Integration Runtime
   • Cloud Foundry Runtime

2. Creare un'istanza di Cloud Foundry Runtime e quindi creare anche uno spazio Cloud Foundry.

3. Creare un'istanza di SAP Integration Suite.

4. Assegnare il ruolo di Integration_Provisioner SAP BTP all'account utente dell'account secondario SAP BTP.

5. In SAP Integration Suite aggiungere la funzionalità di integrazione cloud.

6. Assegnare i ruoli di integrazione del processo seguenti all'account utente:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Questi ruoli sono disponibili solo dopo aver attivato la funzionalità di integrazione cloud.

7. Creare un'istanza del runtime di integrazione del processo SAP nel sottoaccount.

8. Creare una chiave di servizio per il runtime di integrazione dei processi SAP e salvare il contenuto JSON in una posizione sicura. È necessario attivare la funzionalità di integrazione cloud prima di creare una chiave di servizio per SAP Process Integration Runtime.

Per altre informazioni, vedere la documentazione di SAP.

Configurare le impostazioni di SAP Cloud Connector

1. Installare SAP Cloud Connector. Per altre informazioni, vedere la documentazione di SAP.

2. Accedere all'interfaccia del connettore cloud e aggiungere il sottoaccount usando le credenziali pertinenti. Per altre informazioni, vedere la documentazione di SAP.

3. Nell'account secondario del connettore cloud aggiungere un nuovo mapping di sistema al sistema back-end per eseguire il mapping del sistema ABAP al protocollo RFC.

4. Definire le opzioni di bilanciamento del carico e immettere i dettagli del server ABAP back-end. In questo passaggio copiare il nome dell'host virtuale in un percorso sicuro da usare più avanti nel processo di distribuzione.

5. Aggiungere nuove risorse al mapping di sistema per ognuno dei nomi di funzione seguenti:

   • RSAU_API_GET_LOG_DATA per recuperare i dati del log di controllo della sicurezza SAP

   • BAPI_USER_GET_DETAIL per recuperare i dettagli utente SAP

   • RFC_READ_TABLE per leggere i dati dalle tabelle richieste

6. Aggiungere una nuova destinazione in SAP BTP che punta all'host virtuale creato in precedenza. Usare i dettagli seguenti per popolare la nuova destinazione:

   • Nome: immettere il nome da usare per la connessione a Microsoft Sentinel

   • Digitare RFC

   • Tipo di proxy: On-Premise

   • Utente: immettere l'account utente ABAP creato in precedenza per Microsoft Sentinel

   • Tipo di autorizzazione: CONFIGURED USER

   • Proprietà aggiuntive:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Percorso: obbligatorio solo quando si connettono più connettori cloud allo stesso sottoaccount BTP. Per altre informazioni, vedere la documentazione di SAP.

Configurare le impostazioni di SAP Integration Suite

Creare una nuova credenziale client OAuth2 per archiviare i dettagli di connessione per la registrazione dell'app Microsoft Entra ID creata in precedenza.

Quando si creano le credenziali, immettere i dettagli seguenti:

• Nome: LogIngestionAPI

• URL del servizio token: https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

• ID client: <your app registration client ID>

• Autenticazione client: parametro Send as body

• Ambito: https://monitor.azure.com//.default

• Tipo di contenuto: application/x-www-form-urlencoded

Importare e distribuire la soluzione Microsoft Sentinel per il pacchetto SAP

1. Scaricare la soluzione Microsoft Sentinel per il pacchetto SAP da https://aka.ms/SAPAgentlessPackage.

2. Importare il pacchetto scaricato in SAP Integration Suite.

3. Aprire la soluzione Microsoft Sentinel per il pacchetto SAP e passare agli artefatti.

4. Selezionare Invia log di sicurezza a Microsoft - Artefatto del livello applicazione.

5. Selezionare Configura e quindi immettere i dettagli del Registro Azure Container:

   • LogsIngestionURL l'URL di inserimento dal controller di dominio di DCR, come salvato in precedenza.
   • DCRImmutableId: ID non modificabile di DCR, come salvato in precedenza.

6. Selezionare Distribuisci per distribuire il flusso i usando SAP Cloud Integration come servizio di runtime.

Passaggio successivo

Connettere il sistema SAP a Microsoft Sentinel