Implementatievereisten voor de Microsoft Sentinel-oplossingen voor SAP-toepassingen
Dit artikel bevat de vereisten die vereist zijn voor de implementatie van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Deze verschillen, afhankelijk van of u een gegevensconnectoragent implementeert of de oplossing zonder agent gebruikt met de SAP Cloud Connector. Selecteer de optie boven aan deze pagina die overeenkomt met uw implementatie.
Het controleren en controleren of u over alle vereisten beschikt of begrijpt, is de eerste stap bij het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Selecteer een verbindingstype om de vereisten voor uw omgeving weer te geven.
Inhoud in dit artikel is relevant voor uw beveiligings-, infrastructuur- en SAP BASIS-teams .
Inhoud in dit artikel is relevant voor uw beveiligings - en SAP BASIS-teams .
Belangrijk
De oplossing zonder agent van Microsoft Sentinel is in beperkte preview als een vooraf uitgebracht product, dat aanzienlijk kan worden gewijzigd voordat deze commercieel wordt uitgebracht. Microsoft geeft geen garanties, uitgedrukt of impliciet, met betrekking tot de informatie die hier wordt verstrekt. Toegang tot de oplossing zonder agent vereist ook registratie en is alleen beschikbaar voor goedgekeurde klanten en partners tijdens de preview-periode. Zie Microsoft Sentinel voor SAP gaat zonder agent voor meer informatie.
Vereisten voor Azure
Azure-vereisten worden doorgaans beheerd door uw beveiligingsteams .
| Vereiste | Beschrijving | Vereist/optioneel |
|---|---|---|
| Toegang tot Microsoft Sentinel | Noteer uw *werkruimte-id en primaire sleutel voor uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel. U vindt deze details in Microsoft Sentinel: selecteer in het navigatiemenu Instellingen>werkruimte-instellingen>agents beheren. Kopieer de werkruimte-id en primaire sleutel en plak deze apart voor gebruik tijdens het implementatieproces. |
Vereist |
| Machtigingen voor het maken van Azure-resources | U moet minimaal over de benodigde machtigingen beschikken om oplossingen te implementeren vanuit de Microsoft Sentinel-inhoudshub. Zie Vereisten voor het implementeren van Microsoft Sentinel-oplossingen voor meer informatie. | Vereist |
| Machtigingen voor het maken van een Azure-sleutelkluis of toegang tot een bestaande sleutelkluis | Gebruik Azure Key Vault om geheimen op te slaan die nodig zijn om verbinding te maken met uw SAP-systeem. Zie Toegangsmachtigingen voor key vault toewijzen voor meer informatie. | Vereist als u de SAP-systeemreferenties wilt opslaan in Azure Key Vault. Optioneel als u van plan bent om ze op te slaan in een configuratiebestand. Zie Een virtuele machine maken en toegang tot uw referenties configureren voor meer informatie. |
| Machtigingen voor het toewijzen van een bevoorrechte rol aan de SAP-gegevensconnectoragent | Voor het implementeren van de SAP-gegevensconnectoragent moet u de VM-identiteit van uw agent met specifieke machtigingen verlenen aan de Microsoft Sentinel-werkruimte, met behulp van de rol Agentoperator voor Microsoft Sentinel Business Applications. Als u deze rol wilt verlenen, hebt u eigenaarsmachtigingen nodig voor de resourcegroep waarin uw Microsoft Sentinel-werkruimte zich bevindt. Zie Uw SAP-systeem verbinden door de agentcontainer voor de gegevensconnector te implementeren voor meer informatie. |
Vereist. Als u geen eigenaarsmachtigingen voor de resourcegroep hebt, kan de relevante stap ook worden uitgevoerd door een andere gebruiker die de relevante machtigingen heeft, afzonderlijk nadat de agent volledig is geïmplementeerd. |
Systeemvereisten voor de agentcontainer voor de gegevensconnector
Normaal gesproken worden systeemvereisten beheerd door uw infrastructuurteams .
| Vereiste | Beschrijving |
|---|---|
| Systeemarchitectuur | Het gegevensconnectoronderdeel van de SAP-oplossing wordt geïmplementeerd als een Docker-container. De containerhost kan een fysieke machine of een virtuele machine zijn, kan zich on-premises of in elke cloud bevinden. De VM die als host fungeert voor de container hoeft zich niet te bevinden in hetzelfde Azure-abonnement als uw Microsoft Sentinel-werkruimte of zelfs in dezelfde Microsoft Entra-tenant. |
| Ondersteunde Linux-versies | De SAP-gegevensconnectoragent wordt getest met de volgende Linux-distributies: - Ubuntu 18.04 of hoger - SLES versie 15 of hoger - RHEL versie 7.7 of hoger Als u een ander besturingssysteem hebt, moet u de container mogelijk handmatig implementeren en configureren. Zie De container microsoft Sentinel voor sap-gegevensconnectoragent implementeren met deskundige opties of een ondersteuningsticket openen voor meer informatie. |
| Aanbevelingen voor het aanpassen van de grootte van virtuele machines | Minimale specificatie, zoals voor een testomgeving: Standard_B2s VM met: - Twee kernen - 4 GB RAM-geheugen Standaardconnector (standaard): Standard_D2as_v5 VM of Standard_D2_v5 VM met: - Twee kernen - 8 GB RAM-geheugen Meerdere connectors: Standard_D4as_v5 of Standard_D4_v5 VM met: - Vier kernen - 16 GB RAM |
| Beheerdersbevoegdheden | Beheerdersbevoegdheden (root) zijn vereist op de containerhostcomputer. |
| Netwerkverbinding | Zorg ervoor dat de containerhost toegang heeft tot: - Microsoft Sentinel - Azure Key Vault (in implementatiescenario waarin Azure Key Vault wordt gebruikt voor het opslaan van geheimen - SAP-systeem via de volgende TCP-poorten: 32xx, 5xx13, 33xx, 48xx (wanneer SNC wordt gebruikt), waarbij xx het SAP-exemplaarnummer is. |
| Hulpprogramma's voor software | Het implementatiescript voor de SAP-gegevensconnector installeert de volgende vereiste software op de containerhost-VM (afhankelijk van de gebruikte Linux-distributie kan de lijst enigszins variëren): - Unzippen - NetCat - Docker - jq - curl |
| Beheerde identiteit of service-principal | Voor de nieuwste versie van de SAP-gegevensconnectoragent is een beheerde identiteit of service-principal vereist voor verificatie bij Microsoft Sentinel. Verouderde agents worden ondersteund voor updates naar de nieuwste versie en moeten vervolgens een beheerde identiteit of service-principal gebruiken om door te gaan met het bijwerken naar volgende versies. |
SAP-vereisten voor de agentcontainer voor de gegevensconnector
Het is raadzaam dat uw SAP BASIS-team de vereisten van het SAP-systeem verifieert en garandeert. We raden u ten zeerste aan dat elk beheer van uw SAP-systeem wordt uitgevoerd door een ervaren SAP-systeembeheerder.
| Vereiste | Beschrijving |
|---|---|
| Ondersteunde SAP-versies | De SAP-gegevensconnectoragent ondersteunt SAP NetWeaver-systemen en is getest op SAP_BASIS versies 731 en hoger. Bepaalde stappen in deze zelfstudie bevatten alternatieve instructies als u aan de oudere SAP_BASIS versie 740 werkt. |
| Vereiste software | SAP NetWeaver RFC SDK 7.50 (download hier) Zorg ervoor dat u ook een SAP-gebruikersaccount hebt om toegang te krijgen tot de sap-softwaredownloadpagina. |
| SAP-systeemdetails | Noteer de volgende SAP-systeemdetails: - IP-adres van SAP-systeem en FQDN-hostnaam - SAP-systeemnummer, zoals 00- SAP-systeem-id, van het SAP NetWeaver-systeem (bijvoorbeeld NPL) - SAP-client-id, zoals 001 |
| Toegang tot SAP NetWeaver-exemplaar | De SAP-gegevensconnectoragent maakt gebruik van een van de volgende mechanismen om te verifiëren bij het SAP-systeem: - SAP ABAP-gebruiker/wachtwoord - Een gebruiker met een X.509-certificaat. Voor deze optie zijn extra configuratiestappen vereist. Zie Uw systeem configureren voor het gebruik van SNC voor beveiligde verbindingen voor meer informatie. |
| Vereisten voor SAP-rollen | Als u wilt toestaan dat de SAP-gegevensconnector verbinding maakt met uw SAP-systeem, moet u een SAP-systeemrol maken. U wordt aangeraden de vereiste systeemrol te maken door de SAP NPLK900271 wijzigingsaanvraag (CR) te implementeren. Zie De rol Microsoft Sentinel configureren voor meer informatie. |
| Aanbevolen CA's voor extra ondersteuning | Implementeer aanbevolen CA's op uw SAP-systeem om extra details op te halen, zoals het IP-adres van de client en extra logboeken. Zie Ondersteuning configureren voor extra gegevens ophalen (aanbevolen) voor meer informatie. |
Vereisten voor Azure
Azure-vereisten worden doorgaans beheerd door uw beveiligingsteams .
| Vereiste | Beschrijving | Vereist/optioneel |
|---|---|---|
| Toegang tot de beperkte preview | De oplossing zonder agent vereist dat u zich registreert en alleen beschikbaar is voor goedgekeurde klanten en partners tijdens de beperkte preview-periode. Zie Beperkte preview-registratie: Microsoft Sentinel-oplossing voor SAP - Gegevensconnector zonder agent voor meer informatie. | Vereist |
| Machtigingen voor het maken van Azure-resources | U moet beschikken over: - De benodigde machtigingen voor het implementeren van oplossingen van de Microsoft Sentinel-inhoudshub. Zie Vereisten voor het implementeren van Microsoft Sentinel-oplossingen en ingebouwde Microsoft Entra-rollen voor meer informatie. Eigenaar van de Microsoft Sentinel-resourcegroep, vereist voor: - Het maken van een regel voor gegevensverzameling en eindpunt voor gegevensverzameling. - Roltoewijzing van de uitgever van metrische gegevens bewaken op gegevensverzamelingsregel. |
Vereist |
| Machtigingen in Microsoft Entra | U moet machtigingen hebben in de Microsoft Entra-id die is vereist om app-registraties te maken. Deze machtiging kan worden verkregen via het lidmaatschap van de ingebouwde Microsoft Entra ID-rol: - Toepassingsontwikkelaar. |
Vereist |
SAP-vereisten voor de gegevensconnector zonder agent
Het is raadzaam dat uw SAP BASIS-team de vereisten van het SAP-systeem verifieert en garandeert. We raden u ten zeerste aan dat elk beheer van uw SAP-systeem wordt uitgevoerd door een ervaren SAP-systeembeheerder.
| Vereiste | Beschrijving |
|---|---|
| Ondersteunde SAP-versies | De oplossing zonder agent ondersteunt SAP NetWeaver-systemen met SAP_BASIS versie 750 en hoger. |
| SAP-systeem | Uw SAP-systeem moet het volgende hebben: Een SAP BTP-subaccount waarvoor de volgende services zijn ingeschakeld: - SAP Integration Suite - SAP Process Integration Runtime - Cloud Foundry Runtime Zie de SAP-documentatie voor meer informatie. Proefaccounts worden ondersteund. De SAP Cloud Connector geïmplementeerd SAP NetWeaver versie 7.5 of hoger |
| SAP-rollen en -machtigingen | U moet de volgende rollen hebben in uw SAP-systemen: In SAP NetWeaver 7.5+: SAP Netweaver Administrator In SAP BTP zijn alle volgende rollen: - Subaccountbeheerder - Integratieinrichting - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Uw opname plannen
U wordt aangeraden uw systemen te testen om het aantal logboeken te bepalen dat door elk van uw SAP-systemen naar Microsoft Sentinel wordt verzonden. De facturering van Microsoft Sentinel is afhankelijk van de grootte van logboekopname, die op zijn beurt afhankelijk is van factoren zoals systeemgebruik, modules die zijn geïmplementeerd, het aantal gebruikers, het uitvoeren van use cases, netwerkverkeer en logboektypen.
Zie voor meer informatie:
- Prijsinformatie voor oplossingen
- Kosten plannen en inzicht in prijzen en facturering van Microsoft Sentinel
- Kosten verlagen voor Microsoft Sentinel
- Kosten voor Microsoft Sentinel beheren en bewaken