Udostępnij za pośrednictwem

Konfigurowanie systemu SAP dla rozwiązania Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule opisano sposób przygotowywania środowiska SAP do nawiązywania połączenia z łącznikiem danych SAP. Przygotowanie różni się w zależności od tego, czy używasz konteneryzowanego agenta łącznika danych. Wybierz opcję w górnej części strony zgodnej ze środowiskiem.

Ten artykuł jest częścią drugiego kroku wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP.

Diagram przepływu wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP z wyróżnionym krokiem przygotowywania oprogramowania SAP.

Procedury opisane w tym artykule są zwykle wykonywane przez zespół SAP BASIS . Jeśli używasz rozwiązania bez agenta, może być również konieczne zaangażowanie zespołu ds. zabezpieczeń .

Ważne

Rozwiązanie bez agenta usługi Microsoft Sentinel jest dostępne w ograniczonej wersji zapoznawczej jako wstępnie wydanego produktu, które może zostać znacząco zmodyfikowane przed jej wydaniem komercyjnie. Firma Microsoft nie udziela żadnych gwarancji wyrażonych ani domniemanych w odniesieniu do informacji podanych tutaj. Dostęp do rozwiązania bez agenta wymaga również rejestracji i jest dostępny tylko dla zatwierdzonych klientów i partnerów w okresie obowiązywania wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Usługa Microsoft Sentinel dla oprogramowania SAP jest bez agenta .

Wymagania wstępne

Konfigurowanie roli usługi Microsoft Sentinel

Aby umożliwić łącznikowi danych SAP łączenie się z systemem SAP, należy utworzyć rolę systemu SAP specjalnie w tym celu.

  • Aby uwzględnić zarówno akcje pobierania dziennika, jak i reagowania na zakłócenia ataków, zalecamy utworzenie tej roli przez załadowanie autoryzacji ról z pliku /MSFTSEN/SENTINEL_RESPONDER.

  • Aby uwzględnić tylko pobieranie dziennika, zalecamy utworzenie tej roli przez wdrożenie NPLK900271 żądania zmiany SAP (CR): K900271.NPL | R900271. NPL

    Wdróż urzędy certyfikacji w systemie SAP zgodnie z potrzebami, tak samo jak w przypadku wdrażania innych urzędów certyfikacji. Zdecydowanie zalecamy, aby wdrażanie usług SAP CRs odbywało się przez doświadczonego administratora systemu SAP. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

    Alternatywnie załaduj autoryzacje ról z pliku MSFTSEN_SENTINEL_CONNECTOR , który zawiera wszystkie podstawowe uprawnienia łącznika danych do działania.

    Doświadczeni administratorzy SYSTEMU SAP mogą ręcznie utworzyć rolę i przypisać jej odpowiednie uprawnienia. W takich przypadkach utwórz rolę ręcznie z odpowiednimi autoryzacjami wymaganymi dla dzienników, które chcesz pozyskać. Aby uzyskać więcej informacji, zobacz Wymagane autoryzacje ABAP. Przykłady w naszej dokumentacji używają nazwy /MSFTSEN/SENTINEL_RESPONDER .

Podczas konfigurowania roli zalecamy:

  • Wygeneruj aktywny profil roli dla usługi Microsoft Sentinel, uruchamiając transakcję PFCG .
  • Użyj /MSFTSEN/SENTINEL_RESPONDER jako nazwy roli.

Utwórz rolę przy użyciu szablonu MSFTSEN_SENTINEL_READER , który zawiera wszystkie podstawowe uprawnienia łącznika danych do działania.

Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP dotyczącą tworzenia ról.

Tworzenie użytkownika

Rozwiązanie Microsoft Sentinel dla aplikacji SAP wymaga konta użytkownika do nawiązania połączenia z systemem SAP. Podczas tworzenia użytkownika:

  • Pamiętaj, aby utworzyć użytkownika systemu.
  • Przypisz rolę /MSFTSEN/SENTINEL_RESPONDER do użytkownika, który został utworzony w poprzednim kroku.
  • Pamiętaj, aby utworzyć użytkownika systemu.
  • Przypisz rolę MSFTSEN_SENTINEL_READER do użytkownika, który został utworzony w poprzednim kroku.

Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

Konfigurowanie inspekcji sap

Niektóre instalacje systemów SAP mogą nie być domyślnie włączone rejestrowanie inspekcji. Aby uzyskać najlepsze wyniki w ocenie wydajności i skuteczności rozwiązania Microsoft Sentinel dla aplikacji SAP, włącz inspekcję systemu SAP i skonfiguruj parametry inspekcji. Jeśli chcesz pozyskać dzienniki bazy danych SAP HANA, pamiętaj o włączeniu inspekcji dla bazy danych SAP HANA.

Zalecamy skonfigurowanie inspekcji dla wszystkich komunikatów z dziennika inspekcji, a nie tylko określonych dzienników. Różnice kosztów pozyskiwania są zwykle minimalne, a dane są przydatne w przypadku wykrywania usługi Microsoft Sentinel i badania po naruszeniu zabezpieczeń oraz wyszukiwanie zagrożeń.

Aby uzyskać więcej informacji, zobacz społeczność SAP i Zbieranie dzienników inspekcji sap HANA w usłudze Microsoft Sentinel.

Konfigurowanie systemu pod kątem używania SNC na potrzeby bezpiecznych połączeń

Domyślnie agent łącznika danych SAP łączy się z serwerem SAP przy użyciu połączenia zdalnego wywołania funkcji (RFC) oraz nazwy użytkownika i hasła na potrzeby uwierzytelniania.

Może być jednak konieczne nawiązanie połączenia w zaszyfrowanym kanale lub użycie certyfikatów klienta do uwierzytelniania. W takich przypadkach użyj usługi Smart Network Communications (SNC) z systemu SAP, aby zabezpieczyć połączenia danych zgodnie z opisem w tej sekcji.

W środowisku produkcyjnym zdecydowanie zalecamy skonsultowanie się z administratorami systemu SAP w celu utworzenia planu wdrożenia na potrzeby konfigurowania SNC. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

Podczas konfigurowania SNC:

  • Jeśli certyfikat klienta został wystawiony przez urząd certyfikacji przedsiębiorstwa, przenieś certyfikaty urzędu wystawiającego certyfikaty urzędu certyfikacji i głównego urzędu certyfikacji do systemu, w którym planujesz utworzyć agenta łącznika danych.
  • Jeśli używasz agenta łącznika danych, wprowadź również odpowiednie wartości i użyj odpowiednich procedur podczas konfigurowania kontenera agenta łącznika danych SAP. Jeśli używasz rozwiązania bez agenta, konfiguracja SNC jest wykonywana w łączniku SAP Cloud Connector.

Mimo że ten krok jest opcjonalny, zalecamy włączenie łącznika danych SAP w celu pobrania następujących informacji o zawartości z systemu SAP:

  • Dzienniki wyjściowe tabeli bazy danych i buforu
  • Informacje o adresie IP klienta z dzienników inspekcji zabezpieczeń

  1. Wdróż odpowiednie żądanie ściągnięcia z repozytorium GitHub usługi Microsoft Sentinel zgodnie z wersją systemu SAP:

    Wersje PROGRAMU SAP BASIS Zalecana wartość CR
    750 i wyższe NPLK900202: K900202.NPL, R900202. NPL

    Podczas wdrażania tego cr dowolnej z następujących wersji systemu SAP należy również wdrożyć 2641084 — standardowy dostęp do odczytu do danych dziennika inspekcji zabezpieczeń:
    - 750 SP04 do SP12
    - 751 SP00 do SP06
    - 752 SP00 do SP02
    740 NPLK900201: K900201.NPL, R900201. NPL

    Wdróż urzędy certyfikacji w systemie SAP zgodnie z potrzebami, tak samo jak w przypadku wdrażania innych urzędów certyfikacji. Zdecydowanie zalecamy, aby wdrażanie usług SAP CRs odbywało się przez doświadczonego administratora systemu SAP. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

    Aby uzyskać więcej informacji, zobacz społeczność SAP i dokumentację systemu SAP.

  2. Aby obsługiwać oprogramowanie SAP BASIS w wersji 7.31-7.5 SP12 podczas wysyłania informacji o adresie IP klienta do usługi Microsoft Sentinel, aktywuj rejestrowanie dla tabeli SAP USR41. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

Sprawdź, czy tabela PAHI jest aktualizowana w regularnych odstępach czasu

Tabela SAP PAHI zawiera dane dotyczące historii systemu SAP, bazy danych i parametrów SAP. W niektórych przypadkach rozwiązanie Microsoft Sentinel dla aplikacji SAP nie może monitorować tabeli SAP PAHI w regularnych odstępach czasu z powodu braku lub nieprawidłowej konfiguracji. Ważne jest, aby zaktualizować tabelę PAHI i często ją monitorować, aby rozwiązanie Microsoft Sentinel dla aplikacji SAP mogło otrzymywać alerty dotyczące podejrzanych akcji, które mogą wystąpić w dowolnym momencie w ciągu dnia. Aby uzyskać więcej informacji, zobacz:

Jeśli tabela PAHI jest regularnie aktualizowana, SAP_COLLECTOR_FOR_PERFMONITOR zadanie jest zaplanowane i uruchamiane co godzinę. SAP_COLLECTOR_FOR_PERFMONITOR Jeśli zadanie nie istnieje, upewnij się, że zostało skonfigurowane zgodnie z potrzebami.

Aby uzyskać więcej informacji, zobacz Moduł zbierający bazy danych w przetwarzaniu w tle i Konfigurowanie modułu zbierającego dane.

Konfigurowanie ustawień protokołu SAP BTP

  1. Na koncie podrzędnym sap BTP dodaj uprawnienia dla następujących usług:

    • SAP Integration Suite
    • SAP Process Integration Runtime
    • Środowisko uruchomieniowe Cloud Foundry

  2. Utwórz wystąpienie środowiska Cloud Foundry Runtime, a następnie utwórz miejsce w usłudze Cloud Foundry.

  3. Utwórz wystąpienie pakietu SAP Integration Suite.

  4. Przypisz rolę Integration_Provisioner SAP BTP do konta użytkownika konta podrzędnego sap BTP.

  5. W pakiecie SAP Integration Suite dodaj możliwość integracji z chmurą.

  6. Przypisz następujące role integracji procesów do konta użytkownika:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Te role są dostępne dopiero po aktywowaniu możliwości integracji z chmurą.

  7. Utwórz wystąpienie środowiska SAP Process Integration Runtime w ramach konta podrzędnego.

  8. Utwórz klucz usługi dla środowiska SAP Process Integration Runtime i zapisz zawartość JSON w bezpiecznej lokalizacji. Przed utworzeniem klucza usługi dla środowiska SAP Process Integration Runtime należy aktywować funkcję integracji z chmurą.

Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

Konfigurowanie ustawień łącznika SAP Cloud Connector

  1. Zainstaluj łącznik SAP Cloud Connector. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

  2. Zaloguj się w interfejsie łącznika chmury i dodaj konto podrzędne przy użyciu odpowiednich poświadczeń. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

  3. W ramach konta podrzędnego łącznika chmury dodaj nowe mapowanie systemu do systemu zaplecza, aby zamapować system ABAP na protokół RFC.

  4. Zdefiniuj opcje równoważenia obciążenia i wprowadź szczegóły serwera ABAP zaplecza. W tym kroku skopiuj nazwę hosta wirtualnego do bezpiecznej lokalizacji, która będzie używana w dalszej części procesu wdrażania.

  5. Dodaj nowe zasoby do mapowania systemu dla każdej z następujących nazw funkcji:

    • RSAU_API_GET_LOG_DATA, aby pobrać dane dziennika inspekcji zabezpieczeń sap

    • BAPI_USER_GET_DETAIL, aby pobrać szczegóły użytkownika SAP

    • RFC_READ_TABLE odczytywanie danych z wymaganych tabel

  6. Dodaj nowe miejsce docelowe w oprogramowaniu SAP BTP, które wskazuje utworzony wcześniej host wirtualny. Użyj następujących szczegółów, aby wypełnić nowe miejsce docelowe:

    • Nazwa: wprowadź nazwę, której chcesz użyć dla połączenia usługi Microsoft Sentinel

    • Typ RFC

    • Typ serwera proxy: On-Premise

    • Użytkownik: wprowadź utworzone wcześniej konto użytkownika ABAP dla usługi Microsoft Sentinel

    • Typ autoryzacji: CONFIGURED USER

    • Dodatkowe właściwości:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Lokalizacja: wymagana tylko w przypadku łączenia wielu łączników w chmurze z tym samym kontem podrzędnym BTP. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.

Konfigurowanie ustawień pakietu SAP Integration Suite

Utwórz nowe poświadczenie klienta OAuth2, aby zapisać szczegóły połączenia dla utworzonej wcześniej rejestracji aplikacji Microsoft Entra ID.

Podczas tworzenia poświadczeń wprowadź następujące szczegóły:

  • Nazwa: LogIngestionAPI

  • Adres URL usługi tokenu: https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

  • Identyfikator klienta: <your app registration client ID>

  • Uwierzytelnianie klienta: Wyślij jako parametr treści

  • Zakres: https://monitor.azure.com//.default

  • Typ zawartości: application/x-www-form-urlencoded

Importowanie i wdrażanie rozwiązania Microsoft Sentinel dla pakietu SAP

  1. Pobierz rozwiązanie Microsoft Sentinel dla pakietu SAP z witryny https://aka.ms/SAPAgentlessPackage.

  2. Zaimportuj pobrany pakiet do pakietu SAP Integration Suite.

  3. Otwórz rozwiązanie Microsoft Sentinel dla pakietu SAP i przejdź do artefaktów.

  4. Wybierz pozycję Wyślij dzienniki zabezpieczeń do firmy Microsoft — artefakt warstwy aplikacji.

  5. Wybierz pozycję Konfiguruj , a następnie wprowadź szczegóły kontrolera domeny:

    • LogsIngestionURL adres URL pozyskiwania z kontrolera DCE kontrolera domeny, jak zapisano wcześniej.
    • DCRImmutableId: niezmienny identyfikator DCR, jak zapisano wcześniej.

  6. Wybierz pozycję Wdróż , aby wdrożyć przepływ i przy użyciu integracji z chmurą SAP jako usługi środowiska uruchomieniowego.

Następny krok

Łączenie systemu SAP z usługą Microsoft Sentinel