Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP
W tym artykule wymieniono wymagania wstępne wymagane do wdrożenia rozwiązania Microsoft Sentinel dla aplikacji SAP. Przeglądanie i upewnienie się, że masz lub rozumiesz wszystkie wymagania wstępne, jest pierwszym krokiem wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP.
Zawartość tego artykułu jest odpowiednia dla zespołów ds . zabezpieczeń, infrastruktury i platformy SAP BASIS .
Wymagania wstępne platformy Azure
Zazwyczaj wymagania wstępne platformy Azure są zarządzane przez zespoły ds. zabezpieczeń .
| Wymaganie wstępne | opis | Wymagane/opcjonalne |
|---|---|---|
| Dostęp do usługi Microsoft Sentinel | Zanotuj identyfikator obszaru roboczego i klucz podstawowy dla obszaru roboczego usługi Log Analytics włączonego dla usługi Microsoft Sentinel. Te szczegóły można znaleźć w usłudze Microsoft Sentinel: z menu nawigacji wybierz pozycję Ustawienia UstawieniaZasadzanie>>agentami. Skopiuj identyfikator obszaru roboczego i klucz podstawowy i wklej je do użytku podczas procesu wdrażania. |
Wymagania |
| Uprawnienia do tworzenia zasobów platformy Azure | Co najmniej musisz mieć niezbędne uprawnienia do wdrażania rozwiązań z centrum zawartości usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące wdrażania rozwiązań usługi Microsoft Sentinel. | Wymagania |
| Uprawnienia do tworzenia magazynu kluczy platformy Azure lub uzyskiwania dostępu do istniejącego magazynu | Usługa Azure Key Vault umożliwia przechowywanie wpisów tajnych wymaganych do nawiązania połączenia z systemem SAP. Aby uzyskać więcej informacji, zobacz Przypisywanie uprawnień dostępu do magazynu kluczy. | Wymagane, jeśli planujesz przechowywać poświadczenia systemu SAP w usłudze Azure Key Vault. Opcjonalnie, jeśli planujesz przechowywać je w pliku konfiguracji. Aby uzyskać więcej informacji, zobacz Tworzenie maszyny wirtualnej i konfigurowanie dostępu do poświadczeń. |
| Uprawnienia do przypisywania roli uprzywilejowanej do agenta łącznika danych SAP | Wdrożenie agenta łącznika danych SAP wymaga udzielenia tożsamości maszyny wirtualnej agenta z określonymi uprawnieniami do obszaru roboczego usługi Microsoft Sentinel przy użyciu roli Operator agenta aplikacji biznesowych usługi Microsoft Sentinel. Aby przyznać tę rolę, musisz mieć uprawnienia właściciela w grupie zasobów, w której znajduje się obszar roboczy usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Łączenie systemu SAP przez wdrożenie kontenera agenta łącznika danych. |
Wymagany. Jeśli nie masz uprawnień właściciela do grupy zasobów, odpowiedni krok może być również wykonywany przez innego użytkownika, który ma odpowiednie uprawnienia, oddzielnie po pełnym wdrożeniu agenta. |
Wymagania wstępne systemu
Zazwyczaj wymagania wstępne systemu są zarządzane przez zespoły ds. infrastruktury . Do wdrożenia kontenera agenta łącznika danych SAP są wymagane następujące wymagania wstępne systemu:
| Wymaganie wstępne | opis |
|---|---|
| Architektura systemu | Składnik łącznika danych rozwiązania SAP jest wdrażany jako kontener platformy Docker. Host kontenera może być maszyną fizyczną lub maszyną wirtualną, może znajdować się lokalnie lub w dowolnej chmurze. Maszyna wirtualna hostująca kontener nie musi znajdować się w tej samej subskrypcji platformy Azure co obszar roboczy usługi Microsoft Sentinel, a nawet w tej samej dzierżawie firmy Microsoft Entra. |
| Obsługiwane wersje systemu Linux | Agent łącznika danych SAP jest testowany przy użyciu następujących dystrybucji systemu Linux: — Ubuntu 18.04 lub nowszy - SLES w wersji 15 lub nowszej - RHEL w wersji 7.7 lub nowszej Jeśli masz inny system operacyjny, może być konieczne ręczne wdrożenie i skonfigurowanie kontenera. Aby uzyskać więcej informacji, zobacz Deploy the Microsoft Sentinel for SAP data connector agent container with expert options or open a support ticket (Wdrażanie kontenera agenta łącznika danych SAP dla łącznika danych SAP za pomocą opcji ekspertów) lub otwórz bilet pomocy technicznej. |
| Zalecenia dotyczące określania rozmiaru maszyny wirtualnej | Minimalna specyfikacja, taka jak środowisko laboratoryjne: Standard_B2s maszyny wirtualnej z: - Dwa rdzenie - 4 GB pamięci RAM Łącznik standardowy (ustawienie domyślne): Standard_D2as_v5 maszyny wirtualnej lub Standard_D2_v5 maszyny wirtualnej z: - Dwa rdzenie - 8 GB pamięci RAM Wiele łączników: Standard_D4as_v5 lub Standard_D4_v5 maszyny wirtualnej z: - Cztery rdzenie - 16 GB pamięci RAM |
| Uprawnienia administracyjne | Uprawnienia administracyjne (root) są wymagane na maszynie hosta kontenera. |
| Łączność sieciowa | Upewnij się, że host kontenera ma dostęp do: — Microsoft Sentinel — Azure Key Vault (w scenariuszu wdrażania, w którym usługa Azure Key Vault jest używana do przechowywania wpisów tajnych) - System SAP za pośrednictwem następujących portów TCP: 32xx, 5xx13, 33xx, 48xx (w przypadku użycia SNC), gdzie xx jest numerem wystąpienia SAP. |
| Narzędzia programowe | Skrypt wdrażania łącznika danych SAP instaluje następujące wymagane oprogramowanie na maszynie wirtualnej hosta kontenera (w zależności od używanej dystrybucji systemu Linux lista może się nieznacznie różnić): - Rozpiąć - NetCat - Docker - jq - lok |
| Tożsamość zarządzana lub jednostka usługi | Najnowsza wersja agenta łącznika danych SAP wymaga tożsamości zarządzanej lub jednostki usługi do uwierzytelniania w usłudze Microsoft Sentinel. Starsi agenci są obsługiwani w przypadku aktualizacji do najnowszej wersji, a następnie muszą używać tożsamości zarządzanej lub jednostki usługi, aby kontynuować aktualizowanie do kolejnych wersji. |
Wymagania wstępne dotyczące oprogramowania SAP
Zalecamy zweryfikowanie i sprawdzenie wymagań wstępnych systemu SAP PRZEZ zespół SAP BASIS . Zdecydowanie zalecamy, aby każde zarządzanie systemem SAP odbywało się przez doświadczonego administratora systemu SAP.
| Wymaganie wstępne | opis |
|---|---|
| Obsługiwane wersje oprogramowania SAP | Agent łącznika danych SAP obsługuje systemy SAP NetWeaver i został przetestowany na SAP_BASIS w wersji 731 lub nowszej. Niektóre kroki w tym samouczku zawierają alternatywne instrukcje, jeśli pracujesz nad starszymi SAP_BASIS w wersji 740. |
| Wymagane oprogramowanie | SAP NetWeaver RFC SDK 7.50 (pobierz tutaj) Upewnij się, że masz również konto użytkownika sap, aby uzyskać dostęp do strony pobierania oprogramowania SAP. |
| Szczegóły systemu SAP | Zanotuj następujące szczegóły systemu SAP: - Adres IP systemu SAP i nazwa hosta nazwy FQDN — Numer systemu SAP, taki jak 00— Identyfikator systemu SAP z systemu SAP NetWeaver (na przykład NPL) — Identyfikator klienta SAP, taki jak 001 |
| Dostęp do wystąpienia oprogramowania SAP NetWeaver | Agent łącznika danych SAP używa jednego z następujących mechanizmów do uwierzytelniania w systemie SAP: — Użytkownik/hasło protokołu SAP ABAP — użytkownik z certyfikatem X.509. Ta opcja wymaga dodatkowych kroków konfiguracji. Aby uzyskać więcej informacji, zobacz Configure your system to use SNC for secure connections (Konfigurowanie systemu pod kątem używania SNC na potrzeby bezpiecznych połączeń). |
| Wymagania dotyczące roli SAP | Aby umożliwić łącznikowi danych SAP łączenie się z systemem SAP, musisz utworzyć rolę systemu SAP. Zalecamy utworzenie wymaganej roli systemu przez wdrożenie żądania zmiany systemu SAP NPLK900271 (CR). Aby uzyskać więcej informacji, zobacz Konfigurowanie roli usługi Microsoft Sentinel. |
| Zalecane reguły ściągnięcia w celu uzyskania dodatkowej pomocy technicznej | Wdróż zalecane żądania ściągnięcia w systemie SAP, aby pobrać dodatkowe szczegóły, takie jak adres IP klienta i dodatkowe dzienniki. Aby uzyskać więcej informacji, zobacz Konfigurowanie obsługi dodatkowego pobierania danych (zalecane). |
Planowanie pozyskiwania
Zalecamy przetestowanie systemów w celu określenia liczby dzienników wysyłanych przez poszczególne systemy SAP do usługi Microsoft Sentinel. Rozliczenia usługi Microsoft Sentinel zależą od rozmiaru pozyskiwania dzienników, który z kolei zależy od czynników, takich jak użycie systemu, wdrożone moduły, liczba użytkowników, uruchomione przypadki użycia, ruch sieciowy i typy dzienników.
Aby uzyskać więcej informacji, zobacz:
- Cennik rozwiązania
- Planowanie kosztów i omówienie cen i rozliczeń usługi Microsoft Sentinel
- Obniżanie kosztów usługi Microsoft Sentinel
- Zarządzanie kosztami usługi Microsoft Sentinel i monitorowanie ich