Konfigurowanie systemu SAP dla rozwiązania Microsoft Sentinel
W tym artykule opisano sposób przygotowania środowiska SAP do nawiązywania połączenia z agentem łącznika danych SAP. Przygotowanie obejmuje konfigurowanie wymaganych autoryzacji SAP i, opcjonalnie, wdrażanie dodatkowych żądań zmiany SAP (CRs).
Ten artykuł jest częścią drugiego kroku wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP.
Procedury opisane w tym artykule są zwykle wykonywane przez zespół SAP BASIS .
Wymagania wstępne
- Przed rozpoczęciem zapoznaj się z wymaganiami wstępnymi dotyczącymi wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP.
Konfigurowanie roli usługi Microsoft Sentinel
Aby umożliwić łącznikowi danych SAP łączenie się z systemem SAP, należy utworzyć rolę systemu SAP specjalnie w tym celu.
Aby uwzględnić zarówno akcje pobierania dziennika, jak i reagowania na zakłócenia ataków, zalecamy utworzenie tej roli przez załadowanie autoryzacji ról z pliku /MSFTSEN/SENTINEL_RESPONDER.
Aby uwzględnić tylko pobieranie dziennika, zalecamy utworzenie tej roli przez wdrożenie NPLK900271 żądania zmiany SAP (CR): K900271.NPL | R900271. NPL
Wdróż urzędy certyfikacji w systemie SAP zgodnie z potrzebami, tak samo jak w przypadku wdrażania innych urzędów certyfikacji. Zdecydowanie zalecamy, aby wdrażanie usług SAP CRs odbywało się przez doświadczonego administratora systemu SAP. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.
Alternatywnie załaduj autoryzacje ról z pliku MSFTSEN_SENTINEL_CONNECTOR , który zawiera wszystkie podstawowe uprawnienia łącznika danych do działania.
Doświadczeni administratorzy SYSTEMU SAP mogą ręcznie utworzyć rolę i przypisać jej odpowiednie uprawnienia. W takich przypadkach utwórz rolę ręcznie z odpowiednimi autoryzacjami wymaganymi dla dzienników, które chcesz pozyskać. Aby uzyskać więcej informacji, zobacz Wymagane autoryzacje ABAP. Przykłady w naszej dokumentacji używają nazwy /MSFTSEN/SENTINEL_RESPONDER .
Podczas konfigurowania roli zalecamy:
- Wygeneruj aktywny profil roli dla usługi Microsoft Sentinel, uruchamiając transakcję PFCG .
- Użyj
/MSFTSEN/SENTINEL_RESPONDERjako nazwy roli.
Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP dotyczącą tworzenia ról.
Tworzenie użytkownika
Rozwiązanie Microsoft Sentinel dla aplikacji SAP wymaga konta użytkownika do nawiązania połączenia z systemem SAP. Podczas tworzenia użytkownika:
- Pamiętaj, aby utworzyć użytkownika systemu.
- Przypisz rolę /MSFTSEN/SENTINEL_RESPONDER do użytkownika, który został utworzony w poprzednim kroku.
Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.
Konfigurowanie inspekcji sap
Niektóre instalacje systemów SAP mogą nie być domyślnie włączone rejestrowanie inspekcji. Aby uzyskać najlepsze wyniki w ocenie wydajności i skuteczności rozwiązania Microsoft Sentinel dla aplikacji SAP, włącz inspekcję systemu SAP i skonfiguruj parametry inspekcji. Jeśli chcesz pozyskać dzienniki bazy danych SAP HANA, pamiętaj o włączeniu inspekcji dla bazy danych SAP HANA.
Zalecamy skonfigurowanie inspekcji dla wszystkich komunikatów z dziennika inspekcji, ponieważ te dane są przydatne w przypadku wykrywania usługi Microsoft Sentinel i badania po naruszeniu zabezpieczeń oraz wyszukiwanie zagrożeń.
Aby uzyskać więcej informacji, zobacz społeczność SAP i Zbieranie dzienników inspekcji sap HANA w usłudze Microsoft Sentinel.
Konfigurowanie obsługi dodatkowego pobierania danych (zalecane)
Mimo że ten krok jest opcjonalny, zalecamy wdrożenie dodatkowych reguł ściągnięcia z repozytorium GitHub usługi Microsoft Sentinel w celu umożliwienia łącznikowi danych SAP pobranie następujących informacji o zawartości z systemu SAP:
- Dzienniki wyjściowe tabeli bazy danych i buforu
- Informacje o adresie IP klienta z dzienników inspekcji zabezpieczeń (tylko program SAP BASIS w wersji 7.5 SP12 i nowszej)
Wdróż odpowiednie urzędy certyfikacji zgodnie z wersją systemu SAP:
| Wersje PROGRAMU SAP BASIS | Zalecana wartość CR |
|---|---|
| 750 i wyższe | NPLK900202: K900202.NPL, R900202. NPL Podczas wdrażania tego cr dowolnej z następujących wersji systemu SAP należy również wdrożyć 2641084 — standardowy dostęp do odczytu do danych dziennika inspekcji zabezpieczeń: - 750 SP04 do SP12 - 751 SP00 do SP06 - 752 SP00 do SP02 |
| 740 | NPLK900201: K900201.NPL, R900201. NPL |
Wdróż urzędy certyfikacji w systemie SAP zgodnie z potrzebami, tak samo jak w przypadku wdrażania innych urzędów certyfikacji. Zdecydowanie zalecamy, aby wdrażanie usług SAP CRs odbywało się przez doświadczonego administratora systemu SAP. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.
Aby uzyskać więcej informacji, zobacz społeczność SAP i dokumentację systemu SAP.
Sprawdź, czy tabela PAHI jest aktualizowana w regularnych odstępach czasu
Tabela SAP PAHI zawiera dane dotyczące historii systemu SAP, bazy danych i parametrów SAP. W niektórych przypadkach rozwiązanie Microsoft Sentinel dla aplikacji SAP nie może monitorować tabeli SAP PAHI w regularnych odstępach czasu z powodu braku lub nieprawidłowej konfiguracji. Ważne jest, aby zaktualizować tabelę PAHI i często ją monitorować, aby rozwiązanie Microsoft Sentinel dla aplikacji SAP mogło otrzymywać alerty dotyczące podejrzanych akcji, które mogą wystąpić w dowolnym momencie w ciągu dnia. Aby uzyskać więcej informacji, zobacz:
- Uwaga SAP 12103
- Monitorowanie konfiguracji statycznych parametrów zabezpieczeń sap (wersja zapoznawcza)
Jeśli tabela PAHI jest regularnie aktualizowana, SAP_COLLECTOR_FOR_PERFMONITOR zadanie jest zaplanowane i uruchamiane co godzinę. SAP_COLLECTOR_FOR_PERFMONITOR Jeśli zadanie nie istnieje, upewnij się, że zostało skonfigurowane zgodnie z potrzebami.
Aby uzyskać więcej informacji, zobacz Moduł zbierający bazy danych w przetwarzaniu w tle i Konfigurowanie modułu zbierającego dane.
Konfigurowanie systemu pod kątem używania SNC na potrzeby bezpiecznych połączeń
Domyślnie agent łącznika danych SAP łączy się z serwerem SAP przy użyciu połączenia zdalnego wywołania funkcji (RFC) oraz nazwy użytkownika i hasła na potrzeby uwierzytelniania.
Może być jednak konieczne nawiązanie połączenia w zaszyfrowanym kanale lub użycie certyfikatów klienta do uwierzytelniania. W takich przypadkach użyj usługi Smart Network Communications (SNC) z systemu SAP, aby zabezpieczyć połączenia danych zgodnie z opisem w tej sekcji.
W środowisku produkcyjnym zdecydowanie zalecamy skonsultowanie się z administratorami systemu SAP w celu utworzenia planu wdrożenia na potrzeby konfigurowania SNC. Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP.
Podczas konfigurowania SNC:
- Jeśli certyfikat klienta został wystawiony przez urząd certyfikacji przedsiębiorstwa, przenieś certyfikaty urzędu wystawiającego certyfikaty urzędu certyfikacji i głównego urzędu certyfikacji do systemu, w którym planujesz utworzyć agenta łącznika danych.
- Pamiętaj również, aby wprowadzić odpowiednie wartości i użyć odpowiednich procedur podczas konfigurowania kontenera agenta łącznika danych SAP.