Delen via


Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing

In dit artikel wordt beschreven hoe u uw SAP-omgeving voorbereidt om verbinding te maken met de SAP-gegevensconnectoragent. Voorbereiding omvat het configureren van vereiste SAP-autorisaties en het implementeren van extra SAP-wijzigingsaanvragen (CR's).

Dit artikel maakt deel uit van de tweede stap bij het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.

Diagram van de implementatiestroom voor de Microsoft Sentinel-oplossing voor SAP-toepassingen, met de voorbereiding van de SAP-stap gemarkeerd.

De procedures in dit artikel worden doorgaans uitgevoerd door uw SAP BASIS-team .

Vereisten

De rol Microsoft Sentinel configureren

Als u wilt toestaan dat de SAP-gegevensconnector verbinding kan maken met uw SAP-systeem, moet u hiervoor een SAP-systeemrol maken.

  • Als u zowel acties voor het ophalen van logboeken als reacties op aanvallen wilt opnemen, raden we u aan deze rol te maken door rolautorisaties uit het bestand /MSFTSEN/SENTINEL_RESPONDER te laden.

  • Als u alleen het ophalen van logboeken wilt opnemen, raden we u aan deze rol te maken door de NPLK900271 SAP-wijzigingsaanvraag (CR) te implementeren: K900271.NPL-R900271 | . NPL

    Implementeer de CA's op uw SAP-systeem zo nodig, net zoals u andere CA's zou implementeren. Het wordt ten zeerste aangeraden SAP-AANVRAGEN te implementeren door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.

    U kunt ook de rolautorisaties uit het MSFTSEN_SENTINEL_CONNECTOR-bestand laden, waaronder alle basismachtigingen voor de gegevensconnector die moeten worden uitgevoerd.

    Ervaren SAP-beheerders kunnen ervoor kiezen om de rol handmatig te maken en deze de juiste machtigingen toe te wijzen. In dergelijke gevallen maakt u handmatig een rol met de relevante autorisaties die vereist zijn voor de logboeken die u wilt opnemen. Zie Vereiste ABAP-autorisaties voor meer informatie. Voorbeelden in onze documentatie gebruiken de naam /MSFTSEN/SENTINEL_RESPONDER .

Bij het configureren van de rol raden we u aan het volgende te doen:

  • Genereer een actief rolprofiel voor Microsoft Sentinel door de PFCG-transactie uit te voeren.
  • Gebruik /MSFTSEN/SENTINEL_RESPONDER deze naam als rolnaam.

Zie de SAP-documentatie over het maken van rollen voor meer informatie.

Een gebruiker maken

Voor de Microsoft Sentinel-oplossing voor SAP-toepassingen is een gebruikersaccount vereist om verbinding te maken met uw SAP-systeem. Bij het maken van uw gebruiker:

  • Zorg ervoor dat u een systeemgebruiker maakt.
  • Wijs de rol /MSFTSEN/SENTINEL_RESPONDER toe aan de gebruiker, die u in de vorige stap hebt gemaakt.

Zie de SAP-documentatie voor meer informatie.

SAP-controle configureren

Voor sommige installaties van SAP-systemen is controlelogboekregistratie mogelijk niet standaard ingeschakeld. Voor de beste resultaten bij het evalueren van de prestaties en werkzaamheid van de Microsoft Sentinel-oplossing voor SAP-toepassingen, schakelt u controle van uw SAP-systeem in en configureert u de controleparameters. Als u SAP HANA DB-logboeken wilt opnemen, moet u ook controle inschakelen voor SAP HANA DB.

We raden u aan om controle te configureren voor alle berichten uit het auditlogboek, omdat deze gegevens nuttig zijn voor Detecties van Microsoft Sentinel en in onderzoeken en opsporing na inbreuk.

Zie de SAP-community en verzamel sap HANA-auditlogboeken in Microsoft Sentinel voor meer informatie.

Hoewel deze stap optioneel is, raden we u aan extra CR's te implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel om de SAP-gegevensconnector in staat te stellen de volgende inhoudsgegevens op te halen uit uw SAP-systeem:

  • Db-tabel- en Spool-uitvoerlogboeken
  • Client-IP-adresgegevens uit de beveiligingscontrolelogboeken (alleen SAP BASIS versie 7.5 SP12 en hoger)

Implementeer de relevante CA's op basis van uw SAP-versie:

SAP BASIS-versies Aanbevolen CR
750 en hoger NPLK900202: K900202.NPL, R900202. NPL

Wanneer u deze CR implementeert op een van de volgende SAP-versies, implementeert u ook 2641084 - Gestandaardiseerde leestoegang tot gegevens van het beveiligingscontrolelogboek:
- 750 SP04 naar SP12
- 751 SP00 naar SP06
- 752 SP00 naar SP02
740 NPLK900201: K900201.NPL, R900201. NPL

Implementeer de CA's op uw SAP-systeem zo nodig, net zoals u andere CA's zou implementeren. Het wordt ten zeerste aangeraden SAP-AANVRAGEN te implementeren door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.

Zie de SAP-community en de SAP-documentatie voor meer informatie.

Controleer of de PAHI-tabel regelmatig wordt bijgewerkt

De SAP PAHI-tabel bevat gegevens over de geschiedenis van het SAP-systeem, de database en SAP-parameters. In sommige gevallen kan de Microsoft Sentinel-oplossing voor SAP-toepassingen de SAP PAHI-tabel niet regelmatig bewaken vanwege ontbrekende of defecte configuratie. Het is belangrijk om de PAHI-tabel bij te werken en deze regelmatig te controleren, zodat de Microsoft Sentinel-oplossing voor SAP-toepassingen waarschuwingen kan geven over verdachte acties die zich op elk gewenst moment gedurende de dag kunnen voordoen. Zie voor meer informatie:

Als de PAHI-tabel regelmatig wordt bijgewerkt, wordt de SAP_COLLECTOR_FOR_PERFMONITOR taak gepland en wordt deze elk uur uitgevoerd. Als de SAP_COLLECTOR_FOR_PERFMONITOR taak niet bestaat, moet u deze indien nodig configureren.

Zie DatabaseVerzamelaar op de achtergrond verwerken en de gegevensverzamelaar configureren voor meer informatie.

Uw systeem configureren voor het gebruik van SNC voor beveiligde verbindingen

De SAP-gegevensconnectoragent maakt standaard verbinding met een SAP-server met behulp van een RFC-verbinding (remote function call) en een gebruikersnaam en wachtwoord voor verificatie.

Mogelijk moet u echter de verbinding maken op een versleuteld kanaal of clientcertificaten gebruiken voor verificatie. In deze gevallen gebruikt u Smart Network Communications (SNC) van SAP om uw gegevensverbindingen te beveiligen, zoals beschreven in deze sectie.

In een productieomgeving raden we u ten zeerste aan om met SAP-beheerders een implementatieplan te maken voor het configureren van SNC. Zie de SAP-documentatie voor meer informatie.

Bij het configureren van SNC:

  • Als het clientcertificaat is uitgegeven door een certificeringsinstantie voor ondernemingen, moet u de verlenende CA- en basis-CA-certificaten overdragen naar het systeem waar u de agent voor de gegevensconnector wilt maken.
  • Zorg ervoor dat u ook de relevante waarden invoert en de relevante procedures gebruikt bij het configureren van de agentcontainer van de SAP-gegevensconnector.

Volgende stap