Configure seu sistema SAP para a solução Microsoft Sentinel
Este artigo descreve como preparar o seu ambiente do SAP para se conectar ao conector de dados do SAP. A preparação difere dependendo de você estar usando o agente do conector de dados em contêineres ou não. Selecione a opção na parte superior da página que corresponde ao seu ambiente.
Esse artigo faz parte da segunda etapa da implantação de aplicativos de Solução do Microsoft Sentinel para SAP.
Os procedimentos neste artigo normalmente são executados pela sua equipe do SAP BASIS. Se você estiver usando a solução sem agente, talvez também precise envolver a sua equipe de segurança.
Importante
A solução sem agente do Microsoft Sentinel está em versão prévia limitada como um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias expressas ou implícitas em relação às informações fornecidas aqui. O acesso à solução sem agente também requer registro e só está disponível para clientes e parceiros aprovados durante o período de versão prévia. Para obter mais informações, confira O Microsoft Sentinel para SAP torna-se sem agente .
Pré-requisitos
- Antes de começar, certifique-se de revisar os pré-requisitos para implantar de aplicativos de Solução do Microsoft Sentinel para SAP.
Configurar a função do Microsoft Sentinel
Para permitir que o conector de dados SAP se conecte ao seu sistema SAP, você deve criar uma função do sistema SAP especificamente para essa finalidade.
Para incluir ações de recuperação de log e resposta à interrupção de ataque, recomendamos criar essa função carregando autorizações de função do arquivo/MSFTSEN/SENTINEL_RESPONDER.
Para incluir apenas a recuperação de log, recomendamos criar esta função implantando a solicitação de alteração SAP NPLK900271 (CR): K900271.NPL | R900271.NPL
Implante os CRs no seu sistema SAP conforme necessário, assim como você implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador experiente do sistema SAP. Para obter mais informações, confira a Documentação da SAP.
Como alternativa, carregue as autorizações de função do arquivo MSFTSEN_SENTINEL_CONNECTOR, que inclui todas as permissões básicas para o conector de dados operar.
Os administradores experientes do SAP podem optar por criar a função manualmente e atribuí-la às permissões apropriadas. Nesses casos, crie uma função manualmente com as autorizações relevantes necessárias para os logs que você deseja ingerir. Para obter mais informações, consulte Autorizações do ABAP necessárias. Exemplos em nossa documentação usam o nome /MSFTSEN/SENTINEL_RESPONDER.
Ao configurar a função, recomendamos que você:
- Gere um perfil de função ativo para o Microsoft Sentinel executando a transação PFCG.
- Use
/MSFTSEN/SENTINEL_RESPONDERcomo nome da função.
Crie uma função usando o modelo MSFTSEN_SENTINEL_READER, que inclui todas as permissões básicas para o conector de dados operar.
Para obter mais informações, veja a documentação da SAP sobre como criar funções.
Criar um usuário
Aplicativos de Solução do Microsoft Sentinel para SAP requer uma conta de usuário para se conectar ao seu sistema SAP. Ao criar seu usuário:
- Certifique-se de criar um usuário do sistema.
- Atribua a função /MSFTSEN/SENTINEL_RESPONDER ao usuário que você criou na etapa anterior.
- Certifique-se de criar um usuário do sistema.
- Atribua a função MSFTSEN_SENTINEL_READER ao usuário, que você criou na etapa anterior.
Para obter mais informações, confira a Documentação da SAP.
Configurar auditoria SAP
Algumas instalações de sistemas SAP podem não ter o registro de auditoria habilitado por padrão. Para obter melhores resultados na avaliação do desempenho e da eficácia de aplicativos de Solução do Microsoft Sentinel para SAP, habilite a auditoria do seu sistema SAP e configure os parâmetros de auditoria. Se você quiser ingerir logs do SAP HANA DB, certifique-se de habilitar também a auditoria para o SAP HANA DB.
Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças de custo de ingestão geralmente são mínimas e os dados são úteis para detecções do Microsoft Sentinel e em investigações e busca pós-comprometimento.
Para obter mais informações, veja a comunidade SAP e Coletar logs de auditoria SAP HANA no Microsoft Sentinel.
Configure seu sistema para usar SNC para conexões seguras
Por padrão, o agente do conector de dados SAP se conecta a um servidor SAP usando uma conexão de chamada de função remota (RFC) e um nome de usuário e senha para autenticação.
No entanto, pode ser necessário fazer a conexão em um canal criptografado ou usar certificados de cliente para autenticação. Nesses casos, use o Smart Network Communications (SNC) da SAP para proteger suas conexões de dados, conforme descrito nessa seção.
Em um ambiente de produção, recomendamos fortemente que você consulte os administradores do SAP para criar um plano de implantação para configurar o SNC. Para obter mais informações, confira a Documentação da SAP.
Ao configurar o SNC:
- Se o certificado do cliente foi emitido por uma autoridade de certificação corporativa, transfira os certificados da CA emissora e da CA raiz para o sistema onde você planeja criar o agente do conector de dados.
- Se você estiver usando o agente do conector de dados, insira também os valores relevantes e use os procedimentos relevantes ao configurar o contêiner do agente do conector de dados SAP. Se você estiver usando a solução sem agente, a configuração do SNC será feita no Conector de Nuvem do SAP.
Configurar suporte para recuperação de dados extras (recomendado)
Embora esta etapa seja opcional, recomendamos que você habilite o conector de dados do SAP para recuperar as seguintes informações de conteúdo do seu sistema SAP:
- Tabela de BD e Logs de saída de Spool
- Informações de endereço IP do cliente dos logs de auditoria de segurança
Implante as CRs relevantes do repositório GitHub do Microsoft Sentinel, de acordo com a sua versão do SAP:
Versões do SAP BASIS CR recomendada 750 e superior NPLK900202: K900202.NPL, R900202.NPL
Ao implantar esse CR em qualquer uma das seguintes versões do SAP, implante também 2641084 - Acesso de leitura padronizado aos dados do Log de Auditoria de Segurança:
– 750 SP04 a SP12
– 751 SP00 a SP06
– 752 SP00 a SP02740 NPLK900201: K900201.NPL, R900201.NPL Implante os CRs no seu sistema SAP conforme necessário, assim como você implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador experiente do sistema SAP. Para obter mais informações, confira a Documentação da SAP.
Para obter mais informações, veja a Comunidade SAP e a documentação SAP.
Para dar suporte às versões 7.31 a 7.5 SP12 do SAP BASIS no envio de informações de endereço IP do cliente para o Microsoft Sentinel, ative o registro em log para a tabela USR41 do SAP. Para obter mais informações, confira a Documentação da SAP.
Verifique se a tabela PAHI é atualizada em intervalos regulares
A tabela PAHI do SAP inclui dados sobre o histórico do sistema SAP, do banco de dados e dos parâmetros do SAP. Em alguns casos, de aplicativos de Solução do Microsoft Sentinel para SAP não consegue monitorar a tabela SAP PAHI em intervalos regulares devido a configuração ausente ou defeituosa. É importante atualizar a tabela PAHI e monitorá-la com frequência, para que de aplicativos de Solução do Microsoft Sentinel para SAP possa alertar sobre ações suspeitas que podem acontecer a qualquer momento do dia. Para saber mais, veja:
- nota SAP 12103
- Monitoramento da configuração de parâmetros de segurança SAP estáticos (Versão prévia)
Se a tabela PAHI for atualizada regularmente, o SAP_COLLECTOR_FOR_PERFMONITOR trabalho será agendado e executado de hora em hora. Se o SAP_COLLECTOR_FOR_PERFMONITOR trabalho não existir, certifique-se de configurá-lo conforme necessário.
Para obter mais informações, veja a documentação do SAP: Coletor do Banco de Dados em Processamento em Segundo Plano e Configurando o Coletor de Dados.
Definir configurações do SAP BTP
Em sua subconta do SAP BTP, adicione direitos para os seguintes serviços:
- SAP Integration Suite
- SAP Process Integration Runtime
- Cloud Foundry Runtime
Crie uma instância do Cloud Foundry Runtime e crie também um espaço do Cloud Foundry.
Crie uma instância do SAP Integration Suite.
Atribua a função Integration_Provisioner do SAP BTP à sua conta de usuário da subconta do SAP BTP.
No SAP Integration Suite, adicione a funcionalidade de integração de nuvem.
Atribua as seguintes funções de integração de processo à sua conta de usuário:
- PI_Administrator
- PI_Integration_Developer
- PI_Business_Expert
Essas funções só estão disponíveis depois que você ativa a funcionalidade de integração de nuvem.
Crie uma instância do SAP Process Integration Runtime em sua subconta.
Crie uma chave de serviço para o SAP Process Integration Runtime e salve o conteúdo JSON em um local seguro. Você deve ativar a funcionalidade de integração de nuvem antes de criar uma chave de serviço para o SAP Process Integration Runtime.
Para obter mais informações, confira a Documentação da SAP.
Definir configurações do SAP Cloud Connector
Instale o SAP Cloud Connector. Para obter mais informações, confira a Documentação da SAP.
Entre na interface do conector de nuvem e adicione a subconta usando as credenciais relevantes. Para obter mais informações, confira a Documentação da SAP.
Na subconta do conector de nuvem, adicione um novo mapeamento do sistema ao sistema de back-end para mapear o sistema ABAP para o protocolo RFC.
Defina as opções de balanceamento de carga e insira os detalhes do servidor ABAP de back-end. Nesta etapa, copie o nome do host virtual para um local seguro a ser usado posteriormente no processo de implantação.
Adicione novos recursos ao mapeamento do sistema para cada um dos seguintes nomes de função:
RSAU_API_GET_LOG_DATA, para buscar dados de log de auditoria de segurança do SAP
BAPI_USER_GET_DETAIL, para recuperar os detalhes do usuário do SAP
RFC_READ_TABLE, para ler dados de tabelas necessárias
Adicione um novo destino no SAP BTP que aponte o host virtual criado por você anteriormente. Use os seguintes detalhes para preencher o novo destino:
Nome: insira o nome que você deseja usar para a conexão do Microsoft Sentinel
Tipo
RFCTipo de proxy:
On-PremiseUsuário: insira a conta de usuário do ABAP que você criou anteriormente para o Microsoft Sentinel
Tipo de autorização:
CONFIGURED USERPropriedades adicionais:
jco.client.ashost = <virtual host name>jco.client.client = <client e.g. 001>jco.client.sysnr = <system number = 00>jco.client.lang = EN
Local: necessário somente quando você conecta vários Conectores de Nuvem à mesma subconta do BTP. Para obter mais informações, confira a Documentação do SAP.
Definir configurações do SAP Integration Suite
Crie uma nova credencial de cliente OAuth2 para armazenar os detalhes da conexão para o registro do aplicativo do Microsoft Entra ID que você havia criado anteriormente.
Ao criar a credencial, insira os seguintes detalhes:
Nome:
LogIngestionAPIURL do Serviço de Token:
https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/tokenID do cliente:
<your app registration client ID>Autenticação de Cliente: Enviar como parâmetro de corpo
Escopo:
https://monitor.azure.com//.defaultTipo de conteúdo:
application/x-www-form-urlencoded
Importar e implantar a solução do Microsoft Sentinel para o pacote SAP
Baixe a solução do Microsoft Sentinel para o pacote SAP de https://aka.ms/SAPAgentlessPackage.
Importe o pacote baixado para o SAP Integration Suite.
Abra a solução do Microsoft Sentinel para o pacote SAP e navegue até os artefatos.
Selecione Enviar logs de segurança para a Microsoft – artefato da camada de aplicativo.
Selecione Configurar e, em seguida, insira os detalhes do DCR:
- LogsIngestionURL a URL de Ingestão do DCE do DCR, conforme salva anteriormente.
- DCRImmutableId: A ID imutável do DCR, conforme salva anteriormente.
Selecione Implantar para implantar o i-flow usando o SAP Cloud Integration como o serviço de runtime.