Wymagania wstępne dotyczące wdrażania rozwiązań usługi Microsoft Sentinel dla aplikacji SAP
W tym artykule wymieniono wymagania wstępne wymagane do wdrożenia rozwiązania Microsoft Sentinel dla aplikacji SAP, które różnią się w zależności od tego, czy wdrażasz agenta łącznika danych, czy używasz rozwiązania bez agenta z łącznikiem SAP Cloud Connector. Wybierz opcję w górnej części tej strony, która jest zgodna z wdrożeniem.
Przeglądanie i upewnienie się, że masz lub rozumiesz wszystkie wymagania wstępne, jest pierwszym krokiem wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP. Wybierz typ połączenia, aby wyświetlić listę wymagań wstępnych dla danego środowiska.
Zawartość tego artykułu jest odpowiednia dla zespołów ds . zabezpieczeń, infrastruktury i platformy SAP BASIS .
Zawartość tego artykułu jest odpowiednia dla zespołów ds . zabezpieczeń i SAP BASIS .
Ważne
Rozwiązanie bez agenta usługi Microsoft Sentinel jest dostępne w ograniczonej wersji zapoznawczej jako wstępnie wydanego produktu, które może zostać znacząco zmodyfikowane przed jej wydaniem komercyjnie. Firma Microsoft nie udziela żadnych gwarancji wyrażonych ani domniemanych w odniesieniu do informacji podanych tutaj. Dostęp do rozwiązania bez agenta wymaga również rejestracji i jest dostępny tylko dla zatwierdzonych klientów i partnerów w okresie obowiązywania wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Usługa Microsoft Sentinel dla oprogramowania SAP jest bez agenta .
Wymagania wstępne platformy Azure
Zazwyczaj wymagania wstępne platformy Azure są zarządzane przez zespoły ds. zabezpieczeń .
| Wymaganie wstępne | opis | Wymagane/opcjonalne |
|---|---|---|
| Dostęp do usługi Microsoft Sentinel | Zanotuj identyfikator obszaru roboczego i klucz podstawowy dla obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel. Te szczegóły można znaleźć w usłudze Microsoft Sentinel: z menu nawigacji wybierz pozycję Ustawienia UstawieniaZasadzanie>>agentami. Skopiuj identyfikator obszaru roboczego i klucz podstawowy i wklej je do użytku podczas procesu wdrażania. |
Wymagania |
| Uprawnienia do tworzenia zasobów platformy Azure | Co najmniej musisz mieć niezbędne uprawnienia do wdrażania rozwiązań z centrum zawartości usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące wdrażania rozwiązań usługi Microsoft Sentinel. | Wymagania |
| Uprawnienia do tworzenia magazynu kluczy platformy Azure lub uzyskiwania dostępu do istniejącego magazynu | Usługa Azure Key Vault umożliwia przechowywanie wpisów tajnych wymaganych do nawiązania połączenia z systemem SAP. Aby uzyskać więcej informacji, zobacz Przypisywanie uprawnień dostępu do magazynu kluczy. | Wymagane, jeśli planujesz przechowywać poświadczenia systemu SAP w usłudze Azure Key Vault. Opcjonalnie, jeśli planujesz przechowywać je w pliku konfiguracji. Aby uzyskać więcej informacji, zobacz Tworzenie maszyny wirtualnej i konfigurowanie dostępu do poświadczeń. |
| Uprawnienia do przypisywania roli uprzywilejowanej do agenta łącznika danych SAP | Wdrożenie agenta łącznika danych SAP wymaga udzielenia tożsamości maszyny wirtualnej agenta z określonymi uprawnieniami do obszaru roboczego usługi Microsoft Sentinel przy użyciu roli Operator agenta aplikacji biznesowych usługi Microsoft Sentinel. Aby przyznać tę rolę, musisz mieć uprawnienia właściciela w grupie zasobów, w której znajduje się obszar roboczy usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Łączenie systemu SAP przez wdrożenie kontenera agenta łącznika danych. |
Wymagany. Jeśli nie masz uprawnień właściciela do grupy zasobów, odpowiedni krok może być również wykonywany przez innego użytkownika, który ma odpowiednie uprawnienia, oddzielnie po pełnym wdrożeniu agenta. |
Wymagania wstępne systemowe dla kontenera agenta łącznika danych
Zazwyczaj wymagania wstępne systemu są zarządzane przez zespoły ds. infrastruktury .
| Wymaganie wstępne | opis |
|---|---|
| Architektura systemu | Składnik łącznika danych rozwiązania SAP jest wdrażany jako kontener platformy Docker. Host kontenera może być maszyną fizyczną lub maszyną wirtualną, może znajdować się lokalnie lub w dowolnej chmurze. Maszyna wirtualna hostująca kontener nie musi znajdować się w tej samej subskrypcji platformy Azure co obszar roboczy usługi Microsoft Sentinel, a nawet w tej samej dzierżawie firmy Microsoft Entra. |
| Obsługiwane wersje systemu Linux | Agent łącznika danych SAP jest testowany przy użyciu następujących dystrybucji systemu Linux: — Ubuntu 18.04 lub nowszy - SLES w wersji 15 lub nowszej - RHEL w wersji 7.7 lub nowszej Jeśli masz inny system operacyjny, może być konieczne ręczne wdrożenie i skonfigurowanie kontenera. Aby uzyskać więcej informacji, zobacz Deploy the Microsoft Sentinel for SAP data connector agent container with expert options or open a support ticket (Wdrażanie kontenera agenta łącznika danych SAP dla łącznika danych SAP za pomocą opcji ekspertów) lub otwórz bilet pomocy technicznej. |
| Zalecenia dotyczące określania rozmiaru maszyny wirtualnej | Minimalna specyfikacja, taka jak środowisko laboratoryjne: Standard_B2s maszyny wirtualnej z: - Dwa rdzenie - 4 GB pamięci RAM Łącznik standardowy (ustawienie domyślne): Standard_D2as_v5 maszyny wirtualnej lub Standard_D2_v5 maszyny wirtualnej z: - Dwa rdzenie - 8 GB pamięci RAM Wiele łączników: Standard_D4as_v5 lub Standard_D4_v5 maszyny wirtualnej z: - Cztery rdzenie - 16 GB pamięci RAM |
| Uprawnienia administracyjne | Uprawnienia administracyjne (root) są wymagane na maszynie hosta kontenera. |
| Łączność sieciowa | Upewnij się, że host kontenera ma dostęp do: — Microsoft Sentinel — Azure Key Vault (w scenariuszu wdrażania, w którym usługa Azure Key Vault jest używana do przechowywania wpisów tajnych) - System SAP za pośrednictwem następujących portów TCP: 32xx, 5xx13, 33xx, 48xx (w przypadku użycia SNC), gdzie xx jest numerem wystąpienia SAP. |
| Narzędzia programowe | Skrypt wdrażania łącznika danych SAP instaluje następujące wymagane oprogramowanie na maszynie wirtualnej hosta kontenera (w zależności od używanej dystrybucji systemu Linux lista może się nieznacznie różnić): - Rozpiąć - NetCat - Docker - jq - lok |
| Tożsamość zarządzana lub jednostka usługi | Najnowsza wersja agenta łącznika danych SAP wymaga tożsamości zarządzanej lub jednostki usługi do uwierzytelniania w usłudze Microsoft Sentinel. Starsi agenci są obsługiwani w przypadku aktualizacji do najnowszej wersji, a następnie muszą używać tożsamości zarządzanej lub jednostki usługi, aby kontynuować aktualizowanie do kolejnych wersji. |
Wymagania wstępne sap dla kontenera agenta łącznika danych
Zalecamy zweryfikowanie i sprawdzenie wymagań wstępnych systemu SAP PRZEZ zespół SAP BASIS . Zdecydowanie zalecamy, aby każde zarządzanie systemem SAP odbywało się przez doświadczonego administratora systemu SAP.
| Wymaganie wstępne | opis |
|---|---|
| Obsługiwane wersje oprogramowania SAP | Agent łącznika danych SAP obsługuje systemy SAP NetWeaver i został przetestowany na SAP_BASIS w wersji 731 lub nowszej. Niektóre kroki w tym samouczku zawierają alternatywne instrukcje, jeśli pracujesz nad starszymi SAP_BASIS w wersji 740. |
| Wymagane oprogramowanie | SAP NetWeaver RFC SDK 7.50 (pobierz tutaj) Upewnij się, że masz również konto użytkownika sap, aby uzyskać dostęp do strony pobierania oprogramowania SAP. |
| Szczegóły systemu SAP | Zanotuj następujące szczegóły systemu SAP: - Adres IP systemu SAP i nazwa hosta nazwy FQDN — Numer systemu SAP, taki jak 00— Identyfikator systemu SAP z systemu SAP NetWeaver (na przykład NPL) — Identyfikator klienta SAP, taki jak 001 |
| Dostęp do wystąpienia oprogramowania SAP NetWeaver | Agent łącznika danych SAP używa jednego z następujących mechanizmów do uwierzytelniania w systemie SAP: — Użytkownik/hasło protokołu SAP ABAP — użytkownik z certyfikatem X.509. Ta opcja wymaga dodatkowych kroków konfiguracji. Aby uzyskać więcej informacji, zobacz Configure your system to use SNC for secure connections (Konfigurowanie systemu pod kątem używania SNC na potrzeby bezpiecznych połączeń). |
| Wymagania dotyczące roli SAP | Aby umożliwić łącznikowi danych SAP łączenie się z systemem SAP, musisz utworzyć rolę systemu SAP. Zalecamy utworzenie wymaganej roli systemu przez wdrożenie żądania zmiany systemu SAP NPLK900271 (CR). Aby uzyskać więcej informacji, zobacz Konfigurowanie roli usługi Microsoft Sentinel. |
| Zalecane reguły ściągnięcia w celu uzyskania dodatkowej pomocy technicznej | Wdróż zalecane żądania ściągnięcia w systemie SAP, aby pobrać dodatkowe szczegóły, takie jak adres IP klienta i dodatkowe dzienniki. Aby uzyskać więcej informacji, zobacz Konfigurowanie obsługi dodatkowego pobierania danych (zalecane). |
Wymagania wstępne platformy Azure
Zazwyczaj wymagania wstępne platformy Azure są zarządzane przez zespoły ds. zabezpieczeń .
| Wymaganie wstępne | opis | Wymagane/opcjonalne |
|---|---|---|
| Dostęp do ograniczonej wersji zapoznawczej | Rozwiązanie bez agenta wymaga zarejestrowania się i jest dostępne tylko dla zatwierdzonych klientów i partnerów w ograniczonym okresie obowiązywania wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Limited Preview Sign Up: Microsoft Sentinel Solution for SAP - Agent-less Data Connector (Ograniczone rejestrowanie w wersji zapoznawczej: rozwiązanie Microsoft Sentinel dla oprogramowania SAP — łącznik danych bez agenta). | Wymagania |
| Uprawnienia do tworzenia zasobów platformy Azure | Musisz mieć: — Niezbędne uprawnienia do wdrażania rozwiązań z centrum zawartości usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące wdrażania rozwiązań usługi Microsoft Sentinel i wbudowanych ról firmy Microsoft Entra. Właściciel grupy zasobów usługi Microsoft Sentinel , wymagany do: — Tworzenie reguły zbierania danych i punktu końcowego zbierania danych. — Monitorowanie przypisania roli wydawcy metryk dla reguły zbierania danych. |
Wymagania |
| Uprawnienia w usłudze Microsoft Entra | Aby utworzyć rejestracje aplikacji, musisz mieć uprawnienia w identyfikatorze Entra firmy Microsoft. To uprawnienie można uzyskać za pośrednictwem członkostwa wbudowanej roli Identyfikator entra firmy Microsoft: — Deweloper aplikacji. |
Wymagania |
Wymagania wstępne sap dla łącznika danych bez agenta
Zalecamy zweryfikowanie i sprawdzenie wymagań wstępnych systemu SAP PRZEZ zespół SAP BASIS . Zdecydowanie zalecamy, aby każde zarządzanie systemem SAP odbywało się przez doświadczonego administratora systemu SAP.
| Wymaganie wstępne | opis |
|---|---|
| Obsługiwane wersje oprogramowania SAP | Rozwiązanie bez agenta obsługuje systemy SAP NetWeaver z SAP_BASIS w wersji 750 lub nowszej. |
| System SAP | System SAP musi mieć: Konto podrzędne SAP BTP z włączonymi następującymi usługami: - SAP Integration Suite - SAP Process Integration Runtime — Środowisko uruchomieniowe Cloud Foundry Aby uzyskać więcej informacji, zobacz dokumentację systemu SAP. Obsługiwane są konta wersji próbnej. Wdrożony łącznik SAP Cloud Connector OPROGRAMOWANIE SAP NetWeaver w wersji 7.5 lub nowszej |
| Role i uprawnienia sap | Musisz mieć następujące role w systemach SAP: W programie SAP NetWeaver 7.5+: SAP Netweaver Administrator W systemie SAP BTP wszystkie następujące role: - Administrator konta podrzędnego — Inicjowanie obsługi administracyjnej integracji - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Planowanie pozyskiwania
Zalecamy przetestowanie systemów w celu określenia liczby dzienników wysyłanych przez poszczególne systemy SAP do usługi Microsoft Sentinel. Rozliczenia usługi Microsoft Sentinel zależą od rozmiaru pozyskiwania dzienników, który z kolei zależy od czynników, takich jak użycie systemu, wdrożone moduły, liczba użytkowników, uruchomione przypadki użycia, ruch sieciowy i typy dzienników.
Aby uzyskać więcej informacji, zobacz:
- Cennik rozwiązania
- Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel
- Obniżanie kosztów usługi Microsoft Sentinel
- Zarządzanie kosztami usługi Microsoft Sentinel i monitorowanie ich