Pré-requisitos de implantação para as soluções do Microsoft Sentinel para aplicativos SAP
Este artigo lista os pré-requisitos necessários para a implantação da solução do Microsoft Sentinel para aplicativos SAP, que diferem dependendo se você está implantando um agente do conector de dados ou usando a solução sem agente com o SAP Cloud Connector. Selecione a opção na parte superior desta página que corresponde à sua implantação.
Examinar e garantir que você tenha ou entenda todos os pré-requisitos é a primeira etapa na implantação da solução do Microsoft Sentinel para aplicativos SAP. Selecione um tipo de conexão para listar os pré-requisitos do seu ambiente.
O conteúdo deste artigo é relevante para suas equipes de segurança, infraestrutura e SAP BASIS.
O conteúdo deste artigo é relevante para suas equipes de segurança e SAP BASIS .
Importante
A solução sem agente do Microsoft Sentinel está em versão prévia limitada como um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações fornecidas aqui. O acesso à solução sem agente também requer registro e está disponível apenas para clientes e parceiros aprovados durante o período de visualização. Para obter mais informações, consulte Microsoft Sentinel para SAP fica sem agente.
Pré-requisitos do Azure
Normalmente, os pré-requisitos do Azure são gerenciados por suas equipes de segurança .
| Pré-requisito | Descrição | Obrigatório/opcional |
|---|---|---|
| Acesso ao Microsoft Sentinel | Anote a *ID do workspace e a chave primária do workspace do Log Analytics habilitado para o Microsoft Sentinel. Veja esses detalhes no Microsoft Sentinel: no menu de navegação, selecione Configurações>Configurações do Workspace>Gerenciamento de agentes. Copie a ID do workspace e a chave primária e cole-as em algum local separado para uso durante o processo de implantação. |
Obrigatório |
| Permissões para criar recursos do Azure | No mínimo, você deve ter as permissões necessárias para implantar soluções do hub de conteúdo do Microsoft Sentinel. Para obter mais informações, consulte Pré-requisitos para implantar soluções do Microsoft Sentinel. | Obrigatório |
| Permissões para criar um cofre de chaves do Azure ou acessar um cofre existente | Use o Azure Key Vault para armazenar os segredos necessários para se conectar ao sistema SAP. Para obter mais informações, consulte Atribuir permissões de acesso do cofre de chaves. | Necessário se você planeja armazenar as credenciais do sistema SAP no Azure Key Vault. Opcional se você planeja armazená-los em um arquivo de configuração. Para obter mais informações, consulte Criar uma máquina virtual e configurar o acesso às suas credenciais. |
| Permissões para atribuir uma função privilegiada ao agente do conector de dados SAP | A implantação do agente do conector de dados SAP exige que você conceda a identidade da VM do agente com permissões específicas para o workspace do Microsoft Sentinel, usando a função Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel. Para conceder essa função, você precisa de permissões Proprietário no grupo de recursos em que o workspace do Microsoft Sentinel reside. Para obter mais informações, consulte Conectar seu sistema SAP implantando o contêiner do agente do conector de dados. |
Obrigatória. Se você não tiver permissões Proprietário no grupo de recursos, a etapa relevante também poderá ser executada por outro usuário que tenha as permissões relevantes, separadamente depois que o agente for totalmente implantado. |
Pré-requisitos do sistema para o contêiner do agente do conector de dados
Normalmente, os pré-requisitos do sistema são gerenciados por suas equipes de infraestrutura .
| Pré-requisito | Descrição |
|---|---|
| Arquitetura do sistema | O componente do conector de dados da solução SAP é implantado como um contêiner do Docker. O host do contêiner pode ser um computador físico ou uma máquina virtual e pode ser local ou em qualquer nuvem. A VM que hospeda o contêiner não precisa estar localizada na mesma assinatura do Azure que o workspace do Microsoft Sentinel, nem no mesmo locatário do Microsoft Entra. |
| Versões do Linux com suporte | O agente do conector de dados SAP é testado com as seguintes distribuições do Linux: - Ubuntu 18.04 ou superior - SLES versão 15 ou superior - RHEL versão 7.7 ou superior Se você tiver um sistema operacional diferente, talvez seja necessário implantar e configurar o contêiner manualmente. Para obter mais informações, consulte Implantar o contêiner do agente do conector de dados do Microsoft Sentinel para SAP com opções de especialistas ou abrir um tíquete de suporte. |
| Recomendações de dimensionamento de máquina virtual | Especificação mínima, como para um ambiente de laboratório: VM Standard_B2s, com: - Dois núcleos - 4 GB DE RAM Conector padrão (padrão): VM Standard_D2as_v5 ou VM Standard_D2_v5, com: - Dois núcleos - 8 GB DE RAM Vários conectores: Standard_D4as_v5 ou VM Standard_D4_v5, com: - Quatro núcleos - 16 GB DE RAM |
| Privilégios administrativos | São necessários privilégios administrativos (raiz) no computador host do contêiner. |
| Conectividade de rede | Verifique se o host do contêiner tem acesso ao: Microsoft Sentinel – - Cofre de chaves do Azure (no cenário de implantação em que o cofre de chaves do Azure é usado para armazenar segredos - Sistema SAP, por meio das seguintes portas TCP: 32xx, 5xx13, 33xx, 48xx (quando o SNC é usado), em que xx é o número de instância do SAP. |
| Utilitários de software | O script de implantação do conector de dados SAP instala o seguinte software necessário na VM do host de contêiner (dependendo da distribuição do Linux usada, a lista pode variar ligeiramente): - Unzip - NetCat - Docker - jq - curl |
| Identidade gerenciada ou entidade de serviço | A versão mais recente do agente do conector de dados SAP requer uma identidade gerenciada ou entidade de serviço para autenticar no Microsoft Sentinel. Os agentes herdados têm suporte para atualizações para a versão mais recente e, em seguida, devem usar uma identidade gerenciada ou uma entidade de serviço para continuar atualizando para versões subsequentes. |
Pré-requisitos do SAP para o contêiner do agente do conector de dados
Recomendamos que sua equipe SAP BASIS verifique e garanta os pré-requisitos do sistema SAP. É altamente recomendável que qualquer gerenciamento do sistema SAP seja realizado por um administrador experiente do sistema SAP.
| Pré-requisito | Descrição |
|---|---|
| Versões do SAP com suporte | O agente do conector de dados SAP dá suporte a sistemas SAP NetWeaver e foi testado nas versões 731 do SAP_BASIS e superiores. Determinadas etapas deste tutorial fornecem instruções alternativas para o caso de você estar trabalhando com SAP_BASIS na versão 740 mais antiga. |
| Software necessário | SDK do SAP NetWeaver RFC 7.50 (Baixe aqui) Verifique se você também tem uma conta de usuário SAP para acessar a página de download de software do SAP. |
| Detalhes do sistema SAP | Anote os seguintes detalhes do sistema SAP: - Endereço IP do sistema SAP e nome FQDN do host – Número do sistema SAP, como 00– ID do sistema SAP, do sistema SAP NetWeaver (por exemplo, NPL) - ID do cliente do SAP, como 001 |
| Acesso à instância do SAP NetWeaver | O agente do conector de dados do SAP usa um dos seguintes mecanismos para autenticar no sistema SAP: - Usuário/senha do SAP ABAP - Um usuário com um certificado X.509. Essa opção requer etapas extras de configuração. Para obter mais informações, confira Configurar seu sistema para usar o SNC para conexões seguras. |
| Requisitos da função SAP | Para permitir que o conector de dados SAP se conecte ao seu sistema SAP, você deve criar uma função do sistema SAP. Recomendamos criar a função de sistema necessária implantando a CR (solicitação de alteração de NPLK900271 SAP. Para obter mais informações, consulte Configurar a função do Microsoft Sentinel. |
| CRs recomendados para suporte extra | Implante CRs recomendadas em seu sistema SAP para recuperar detalhes extras, como endereço IP do cliente e logs extras. Para obter mais informações, consulte Configurar o suporte para recuperação de dados extra (recomendado). |
Pré-requisitos do Azure
Normalmente, os pré-requisitos do Azure são gerenciados por suas equipes de segurança .
| Pré-requisito | Descrição | Obrigatório/opcional |
|---|---|---|
| Acesso à visualização limitada | A solução sem agente exige que você se registre e só está disponível para clientes e parceiros aprovados durante o período de visualização limitado. Para obter mais informações, consulte Inscrição de visualização limitada: Solução do Microsoft Sentinel para SAP – Conector de dados sem agente. | Obrigatório |
| Permissões para criar recursos do Azure | Você deve ter: - As permissões necessárias para implantar soluções do hub de conteúdo do Microsoft Sentinel. Para obter mais informações, consulte Pré-requisitos para implantar soluções do Microsoft Sentinel e funções internas do Microsoft Entra. Proprietário no grupo de recursos do Microsoft Sentinel, necessário para: - Criação de regra de coleta de dados e endpoint de coleta de dados. - Monitorando a atribuição de função do Metrics Publisher na regra de coleta de dados. |
Necessário |
| Permissões no Microsoft Entra | Você deve ter permissões na ID do Microsoft Entra necessárias para criar registros de aplicativo. Essa permissão pode ser obtida por meio da associação da função interna de ID do Microsoft Entra: - Desenvolvedor de aplicativos. |
Necessário |
Pré-requisitos do SAP para o conector de dados sem agente
Recomendamos que sua equipe SAP BASIS verifique e garanta os pré-requisitos do sistema SAP. É altamente recomendável que qualquer gerenciamento do sistema SAP seja realizado por um administrador experiente do sistema SAP.
| Pré-requisito | Descrição |
|---|---|
| Versões do SAP com suporte | A solução sem agente oferece suporte a sistemas SAP NetWeaver com SAP_BASIS versões 750 e superiores. |
| Sistema SAP | Seu sistema SAP deve ter: Uma subconta SAP BTP com os seguintes serviços ativados: - SAP Integration Suite - Tempo de execução de integração de processos SAP - Tempo de execução do Cloud Foundry Para obter mais informações, confira a Documentação da SAP. Contas de avaliação são suportadas. O SAP Cloud Connector implantado SAP NetWeaver versão 7.5 ou superior |
| Funções e permissões SAP | Você deve ter as seguintes funções em seus sistemas SAP: No SAP NetWeaver 7.5+: Administrador do SAP Netweaver No SAP BTP, todas as seguintes funções: - Administrador de subconta - Provisionador de Integração - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Planeje sua ingestão
Recomendamos que você teste seus sistemas para determinar o número de logs que cada um dos seus sistemas SAP envia para o Microsoft Sentinel. A cobrança do Microsoft Sentinel depende do tamanho da ingestão de log, que, por sua vez, depende de fatores como uso do sistema, módulos implantados, número de usuários, casos de uso em execução, tráfego de rede e tipos de log.
Para saber mais, veja:
- Preços da solução
- Planeje os custos e entenda os preços e a cobrança do Microsoft Sentinel
- Reduzir custos para o Microsoft Sentinel
- Gerenciar e Monitorar custos para o Microsoft Sentinel