Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dit artikel wordt beschreven hoe u uw SAP-omgeving voorbereidt om verbinding te maken met de SAP-gegevensconnector. De voorbereiding verschilt, afhankelijk van of u de agent voor de containergegevensconnector gebruikt. Selecteer de optie bovenaan de pagina die overeenkomt met uw omgeving.

Dit artikel maakt deel uit van de tweede stap bij het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.

De procedures in dit artikel worden doorgaans uitgevoerd door uw SAP BASIS-team . Als u de oplossing zonder agent gebruikt, moet u mogelijk ook uw beveiligingsteam betrekken.

Belangrijk

De oplossing zonder agent van Microsoft Sentinel is in beperkte preview als een vooraf uitgebracht product, dat aanzienlijk kan worden gewijzigd voordat deze commercieel wordt uitgebracht. Microsoft geeft geen garanties, uitgedrukt of impliciet, met betrekking tot de informatie die hier wordt verstrekt. Toegang tot de oplossing zonder agent vereist ook registratie en is alleen beschikbaar voor goedgekeurde klanten en partners tijdens de preview-periode. Zie Microsoft Sentinel voor SAP gaat zonder agent voor meer informatie.

Vereisten

• Controleer voordat u begint de vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.

De rol Microsoft Sentinel configureren

Als u wilt toestaan dat de SAP-gegevensconnector verbinding kan maken met uw SAP-systeem, moet u hiervoor een SAP-systeemrol maken.

• Als u zowel acties voor het ophalen van logboeken als reacties op aanvallen wilt opnemen, raden we u aan deze rol te maken door rolautorisaties uit het bestand /MSFTSEN/SENTINEL_RESPONDER te laden.

• Als u alleen het ophalen van logboeken wilt opnemen, raden we u aan deze rol te maken door de NPLK900271 SAP-wijzigingsaanvraag (CR) te implementeren: K900271.NPL-R900271 | . NPL

  Implementeer de CA's op uw SAP-systeem zo nodig, net zoals u andere CA's zou implementeren. Het wordt ten zeerste aangeraden SAP-AANVRAGEN te implementeren door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.

  U kunt ook de rolautorisaties uit het MSFTSEN_SENTINEL_CONNECTOR-bestand laden, waaronder alle basismachtigingen voor de gegevensconnector die moeten worden uitgevoerd.

  Ervaren SAP-beheerders kunnen ervoor kiezen om de rol handmatig te maken en deze de juiste machtigingen toe te wijzen. In dergelijke gevallen maakt u handmatig een rol met de relevante autorisaties die vereist zijn voor de logboeken die u wilt opnemen. Zie Vereiste ABAP-autorisaties voor meer informatie. Voorbeelden in onze documentatie gebruiken de naam /MSFTSEN/SENTINEL_RESPONDER .

Bij het configureren van de rol raden we u aan het volgende te doen:

• Genereer een actief rolprofiel voor Microsoft Sentinel door de PFCG-transactie uit te voeren.
• Gebruik /MSFTSEN/SENTINEL_RESPONDER deze naam als rolnaam.

Maak een rol met behulp van de MSFTSEN_SENTINEL_READER-sjabloon , die alle basismachtigingen bevat die de gegevensconnector kan gebruiken.

Zie de SAP-documentatie over het maken van rollen voor meer informatie.

Een gebruiker maken

Voor de Microsoft Sentinel-oplossing voor SAP-toepassingen is een gebruikersaccount vereist om verbinding te maken met uw SAP-systeem. Bij het maken van uw gebruiker:

• Zorg ervoor dat u een systeemgebruiker maakt.
• Wijs de rol /MSFTSEN/SENTINEL_RESPONDER toe aan de gebruiker, die u in de vorige stap hebt gemaakt.

• Zorg ervoor dat u een systeemgebruiker maakt.
• Wijs de MSFTSEN_SENTINEL_READER rol toe aan de gebruiker, die u in de vorige stap hebt gemaakt.

Zie de SAP-documentatie voor meer informatie.

SAP-controle configureren

Voor sommige installaties van SAP-systemen is controlelogboekregistratie mogelijk niet standaard ingeschakeld. Voor de beste resultaten bij het evalueren van de prestaties en werkzaamheid van de Microsoft Sentinel-oplossing voor SAP-toepassingen, schakelt u controle van uw SAP-systeem in en configureert u de controleparameters. Als u SAP HANA DB-logboeken wilt opnemen, moet u ook controle inschakelen voor SAP HANA DB.

Het is raadzaam om controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. Het kostenverschil is doorgaans minimaal en de gegevens zijn nuttig voor detectie door Microsoft Sentinel en voor onderzoek en opsporing na inbreuk.

Zie de SAP-community en verzamel sap HANA-auditlogboeken in Microsoft Sentinel voor meer informatie.

Uw systeem configureren voor het gebruik van SNC voor beveiligde verbindingen

De SAP-gegevensconnectoragent maakt standaard verbinding met een SAP-server met behulp van een RFC-verbinding (remote function call) en een gebruikersnaam en wachtwoord voor verificatie.

Mogelijk moet u echter de verbinding maken op een versleuteld kanaal of clientcertificaten gebruiken voor verificatie. In deze gevallen gebruikt u Smart Network Communications (SNC) van SAP om uw gegevensverbindingen te beveiligen, zoals beschreven in deze sectie.

In een productieomgeving raden we u ten zeerste aan om met SAP-beheerders een implementatieplan te maken voor het configureren van SNC. Zie de SAP-documentatie voor meer informatie.

Bij het configureren van SNC:

• Als het clientcertificaat is uitgegeven door een certificeringsinstantie voor ondernemingen, moet u de verlenende CA- en basis-CA-certificaten overdragen naar het systeem waar u de agent voor de gegevensconnector wilt maken.
• Als u de agent voor de gegevensconnector gebruikt, moet u ook de relevante waarden invoeren en de relevante procedures gebruiken bij het configureren van de agentcontainer van de SAP-gegevensconnector. Als u de oplossing zonder agent gebruikt, wordt de SNC-configuratie uitgevoerd in de SAP Cloud Connector.

Zie Aan de slag met SAP SNC voor RFC-integraties - SAP-blog voor meer informatie over SNC.

Ondersteuning configureren voor het ophalen van extra gegevens (aanbevolen)

Hoewel deze stap optioneel is, raden we u aan de SAP-gegevensconnector in te schakelen om de volgende inhoudsgegevens op te halen uit uw SAP-systeem:

• Db-tabel- en Spool-uitvoerlogboeken
• Client-IP-adresgegevens uit de beveiligingscontrolelogboeken

1. Implementeer de relevante CA's vanuit de GitHub-opslagplaats van Microsoft Sentinel, volgens uw SAP-versie:

   SAP BASIS-versies	Aanbevolen CR
   750 en hoger	NPLK900202: K900202.NPL, R900202. NPL Wanneer u deze CR implementeert op een van de volgende SAP-versies, implementeert u ook 2641084 - Gestandaardiseerde leestoegang tot gegevens van het beveiligingscontrolelogboek: - 750 SP04 naar SP12 - 751 SP00 naar SP06 - 752 SP00 naar SP02
   740	NPLK900201: K900201.NPL, R900201. NPL

   Implementeer de CA's op uw SAP-systeem zo nodig, net zoals u andere CA's zou implementeren. Het wordt ten zeerste aangeraden SAP-AANVRAGEN te implementeren door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.

   Zie de SAP-community en de SAP-documentatie voor meer informatie.

2. Activeer logboekregistratie voor SAP-tabel USR41 om SAP BASIS-versies 7.31-7.5 SP12 te ondersteunen bij het verzenden van IP-adresgegevens van de client naar Microsoft Sentinel. Zie de SAP-documentatie voor meer informatie.

Controleer of de PAHI-tabel regelmatig wordt bijgewerkt

De SAP PAHI-tabel bevat gegevens over de geschiedenis van het SAP-systeem, de database en SAP-parameters. In sommige gevallen kan de Microsoft Sentinel-oplossing voor SAP-toepassingen de SAP PAHI-tabel niet regelmatig bewaken vanwege ontbrekende of defecte configuratie. Het is belangrijk om de PAHI-tabel bij te werken en deze regelmatig te controleren, zodat de Microsoft Sentinel-oplossing voor SAP-toepassingen waarschuwingen kan geven over verdachte acties die zich op elk gewenst moment gedurende de dag kunnen voordoen. Zie voor meer informatie:

• SAP-notitie 12103
• De configuratie van statische SAP-beveiligingsparameters bewaken (preview)

Als de PAHI-tabel regelmatig wordt bijgewerkt, wordt de SAP_COLLECTOR_FOR_PERFMONITOR taak gepland en wordt deze elk uur uitgevoerd. Als de SAP_COLLECTOR_FOR_PERFMONITOR taak niet bestaat, moet u deze indien nodig configureren.

Zie DatabaseVerzamelaar op de achtergrond verwerken en de gegevensverzamelaar configureren voor meer informatie.

SAP BTP-instellingen configureren

1. Voeg in uw SAP BTP-subaccount rechten toe voor de volgende services:

   • SAP Integration Suite
   • SAP Process Integration Runtime
   • Cloud Foundry Runtime

2. Maak een exemplaar van Cloud Foundry Runtime en maak vervolgens ook een Cloud Foundry-ruimte.

3. Maak een exemplaar van SAP Integration Suite.

4. Wijs de SAP BTP-Integration_Provisioner-rol toe aan uw SAP BTP-subaccountgebruikersaccount.

5. Voeg in de SAP Integration Suite de mogelijkheid voor cloudintegratie toe.

6. Wijs de volgende procesintegratierollen toe aan uw gebruikersaccount:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Deze rollen zijn pas beschikbaar nadat u de mogelijkheid voor cloudintegratie hebt geactiveerd.

7. Maak een exemplaar van de SAP Process Integration Runtime in uw subaccount.

8. Maak een servicesleutel voor de SAP Process Integration Runtime en sla de JSON-inhoud op een veilige locatie op. U moet de mogelijkheid voor cloudintegratie activeren voordat u een servicesleutel maakt voor SAP Process Integration Runtime.

Zie de SAP-documentatie voor meer informatie.

Sap Cloud Connector-instellingen configureren

1. Installeer de SAP Cloud Connector. Zie de SAP-documentatie voor meer informatie.

2. Meld u aan bij de cloudconnectorinterface en voeg het subaccount toe met behulp van de relevante referenties. Zie de SAP-documentatie voor meer informatie.

3. Voeg in uw cloudconnectorsubaccount een nieuwe systeemtoewijzing toe aan het back-endsysteem om het ABAP-systeem toe te wijzen aan het RFC-protocol.

4. Definieer opties voor taakverdeling en voer de details van uw back-end ABAP-server in. In deze stap kopieert u de naam van de virtuele host naar een veilige locatie die u later in het implementatieproces wilt gebruiken.

5. Voeg nieuwe resources toe aan de systeemtoewijzing voor elk van de volgende functienamen:

   • RSAU_API_GET_LOG_DATA om SAP-beveiligingslogboekgegevens op te halen

   • BAPI_USER_GET_DETAIL om SAP-gebruikersdetails op te halen

   • RFC_READ_TABLE om gegevens uit de vereiste tabellen te lezen

6. Voeg een nieuwe bestemming toe in SAP BTP die verwijst naar de virtuele host die u eerder hebt gemaakt. Gebruik de volgende gegevens om de nieuwe bestemming te vullen:

   • Naam: Voer de naam in die u wilt gebruiken voor de Microsoft Sentinel-verbinding

   • TypeRFC

   • Proxytype:On-Premise

   • Gebruiker: Voer het ABAP-gebruikersaccount in dat u eerder hebt gemaakt voor Microsoft Sentinel

   • Autorisatietype:CONFIGURED USER

   • Aanvullende eigenschappen:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Locatie: Alleen vereist wanneer u meerdere cloudconnectors verbindt met hetzelfde BTP-subaccount. Zie de SAP-documentatie voor meer informatie.

SAP Integration Suite-instellingen configureren

Maak een nieuwe OAuth2-clientreferentie om de verbindingsgegevens op te slaan voor de registratie van de Microsoft Entra ID-app die u eerder hebt gemaakt.

Voer bij het maken van de referentie de volgende gegevens in:

• Naam:LogIngestionAPI

• Url van tokenservice:https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

• Client-id: <your app registration client ID>

• Clientverificatie: verzenden als hoofdtekstparameter

• Bereik: https://monitor.azure.com//.default

• Inhoudstype: application/x-www-form-urlencoded

De Microsoft Sentinel-oplossing voor SAP-pakket importeren en implementeren

1. Download de Microsoft Sentinel-oplossing voor SAP-pakket van https://aka.ms/SAPAgentlessPackage.

2. Importeer het gedownloade pakket in SAP Integration Suite.

3. Open de Microsoft Sentinel-oplossing voor SAP-pakket en blader naar de artefacten.

4. Selecteer Beveiligingslogboeken verzenden naar Microsoft - artefact van toepassingslaag .

5. Selecteer Configureren en voer de DCR-gegevens in:

   • LogsIngestionURL de opname-URL van dcr's DCE, zoals eerder is opgeslagen.
   • DCRImmutableId: de onveranderbare id van de DCR, zoals eerder is opgeslagen.

6. Selecteer Implementeren om de i-flow te implementeren met behulp van SAP Cloud Integration als runtimeservice.

Volgende stap

Uw SAP-systeem verbinden met Microsoft Sentinel