Configure seu sistema SAP para a solução Microsoft Sentinel
Este artigo descreve como preparar seu ambiente SAP para se conectar ao conector de dados SAP. A preparação é diferente, dependendo se você está usando o agente do conector de dados em contêiner. Selecione a opção na parte superior da página que corresponde ao seu ambiente.
Este artigo faz parte da segunda etapa na implantação da solução Microsoft Sentinel para aplicativos SAP.
Os procedimentos neste artigo são normalmente executados pela sua equipe SAP BASIS . Se você estiver usando a solução sem agente, talvez também seja necessário envolver sua equipe de segurança .
Importante
A solução Agentless do Microsoft Sentinel está em pré-visualização limitada como um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui. O acesso à solução Agentless também requer registro e só está disponível para clientes e parceiros aprovados durante o período de visualização. Para obter mais informações, consulte Microsoft Sentinel for SAP goes agentless .
Pré-requisitos
- Antes de começar, certifique-se de revisar os pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP.
Configurar a função Microsoft Sentinel
Para permitir que o conector de dados SAP se conecte ao seu sistema SAP, você deve criar uma função de sistema SAP especificamente para essa finalidade.
Para incluir ações de recuperação de log e resposta a interrupção de ataque, recomendamos criar essa função carregando autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER.
Para incluir apenas a recuperação de log, recomendamos a criação dessa função implantando o NPLK900271 SAP change request (CR): K900271.NPL | R900271. NPL
Implante os CRs em seu sistema SAP conforme necessário, assim como implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador de sistema SAP experiente. Para obter mais informações, consulte a documentação do SAP.
Como alternativa, carregue as autorizações de função do arquivo MSFTSEN_SENTINEL_CONNECTOR , que inclui todas as permissões básicas para o conector de dados operar.
Administradores SAP experientes podem optar por criar a função manualmente e atribuir-lhe as permissões apropriadas. Nesses casos, crie uma função manualmente com as autorizações relevantes necessárias para os logs que você deseja ingerir. Para obter mais informações, consulte Autorizações ABAP necessárias. Exemplos em nossa documentação usam o nome /MSFTSEN/SENTINEL_RESPONDER .
Ao configurar a função, recomendamos que você:
- Gere um perfil de função ativa para o Microsoft Sentinel executando a transação PFCG .
- Use
/MSFTSEN/SENTINEL_RESPONDERcomo o nome da função.
Crie uma função usando o modelo MSFTSEN_SENTINEL_READER , que inclui todas as permissões básicas para o conector de dados operar.
Para obter mais informações, consulte a documentação do SAP sobre a criação de funções.
Criar um utilizador
A solução Microsoft Sentinel para aplicativos SAP requer uma conta de usuário para se conectar ao seu sistema SAP. Ao criar seu usuário:
- Certifique-se de criar um usuário do sistema.
- Atribua a função /MSFTSEN/SENTINEL_RESPONDER ao usuário, que você criou na etapa anterior.
- Certifique-se de criar um usuário do sistema.
- Atribua a função MSFTSEN_SENTINEL_READER ao usuário, que você criou na etapa anterior.
Para obter mais informações, consulte a documentação do SAP.
Configurar auditoria SAP
Algumas instalações de sistemas SAP podem não ter o log de auditoria habilitado por padrão. Para obter melhores resultados na avaliação do desempenho e da eficácia da solução Microsoft Sentinel para aplicativos SAP, habilite a auditoria do seu sistema SAP e configure os parâmetros de auditoria. Se você quiser ingerir logs SAP HANA DB, certifique-se de ativar também a auditoria para o SAP HANA DB.
Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças de custo de ingestão são geralmente mínimas e os dados são úteis para deteções do Microsoft Sentinel e em investigações e caçadas pós-comprometimento.
Para obter mais informações, consulte a comunidade SAP e Coletar logs de auditoria do SAP HANA no Microsoft Sentinel.
Configure seu sistema para usar SNC para conexões seguras
Por padrão, o agente do conector de dados SAP se conecta a um servidor SAP usando uma conexão RFC (chamada de função remota) e um nome de usuário e senha para autenticação.
No entanto, talvez seja necessário fazer a conexão em um canal criptografado ou usar certificados de cliente para autenticação. Nesses casos, use o Smart Network Communications (SNC) da SAP para proteger suas conexões de dados, conforme descrito nesta seção.
Em um ambiente de produção, é altamente recomendável que você consulte os administradores do SAP para criar um plano de implantação para configurar o SNC. Para obter mais informações, consulte a documentação do SAP.
Ao configurar o SNC:
- Se o certificado do cliente tiver sido emitido por uma autoridade de certificação corporativa, transfira os certificados de CA emissores e de autoridade de certificação raiz para o sistema em que você planeja criar o agente do conector de dados.
- Se você estiver usando o agente do conector de dados, certifique-se de inserir também os valores relevantes e usar os procedimentos relevantes ao configurar o contêiner do agente do conector de dados SAP. Se você estiver usando a solução sem agente, a configuração do SNC será feita no SAP Cloud Connector.
Configurar suporte para recuperação de dados extra (recomendado)
Embora esta etapa seja opcional, recomendamos que você habilite o conector de dados SAP para recuperar as seguintes informações de conteúdo do seu sistema SAP:
- Logs de saída de tabela de banco de dados e spool
- Informações de endereço IP do cliente dos logs de auditoria de segurança
Implante as CRs relevantes a partir do repositório GitHub do Microsoft Sentinel, de acordo com sua versão SAP:
Versões do SAP BASIS CR recomendado 750 e superior NPLK900202: K900202.NPL, R900202. NPL
Ao implantar este CR em qualquer uma das seguintes versões do SAP, implante também 2641084 - Acesso de leitura padronizado aos dados do Log de Auditoria de Segurança:
- 750 SP04 a SP12
- 751 SP00 a SP06
- 752 SP00 a SP02740 NPLK900201: K900201.NPL, R900201. NPL Implante os CRs em seu sistema SAP conforme necessário, assim como implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador de sistema SAP experiente. Para obter mais informações, consulte a documentação do SAP.
Para obter mais informações, consulte a Comunidade SAP e a documentação do SAP.
Para suportar as versões 7.31-7.5 SP12 do SAP BASIS no envio de informações de endereço IP do cliente para o Microsoft Sentinel, ative o registro em log para a tabela SAP USR41. Para obter mais informações, consulte a documentação do SAP.
Verifique se a tabela PAHI é atualizada em intervalos regulares
A tabela SAP PAHI inclui dados sobre o histórico do sistema SAP, o banco de dados e os parâmetros SAP. Em alguns casos, a solução Microsoft Sentinel para aplicativos SAP não pode monitorar a tabela SAP PAHI em intervalos regulares, devido à configuração ausente ou defeituosa. É importante atualizar a tabela PAHI e monitorá-la com frequência, para que a solução Microsoft Sentinel para aplicativos SAP possa alertar sobre ações suspeitas que podem acontecer a qualquer momento ao longo do dia. Para obter mais informações, consulte:
Se a tabela PAHI for atualizada regularmente, o trabalho será agendado SAP_COLLECTOR_FOR_PERFMONITOR e executado de hora em hora. Se o SAP_COLLECTOR_FOR_PERFMONITOR trabalho não existir, certifique-se de configurá-lo conforme necessário.
Para obter mais informações, consulte Coletor de banco de dados em processamento em segundo plano e Configuração do coletor de dados.
Definir configurações do SAP BTP
Na sua subconta SAP BTP, adicione direitos para os seguintes serviços:
- Suíte de integração SAP
- Tempo de execução da integração de processos SAP
- Tempo de execução do Cloud Foundry
Crie uma instância do Cloud Foundry Runtime e, em seguida, crie também um espaço do Cloud Foundry.
Crie uma instância do SAP Integration Suite.
Atribua a função SAP BTP Integration_Provisioner à sua conta de usuário da subconta SAP BTP.
No SAP Integration Suite, adicione o recurso de integração na nuvem.
Atribua as seguintes funções de integração de processo à sua conta de usuário:
- PI_Administrator
- PI_Integration_Developer
- PI_Business_Expert
Essas funções só estarão disponíveis depois que você ativar o recurso de integração na nuvem.
Crie uma instância do SAP Process Integration Runtime em sua subconta.
Crie uma chave de serviço para o SAP Process Integration Runtime e salve o conteúdo JSON em um local seguro. Você deve ativar o recurso de integração na nuvem antes de criar uma chave de serviço para o SAP Process Integration Runtime.
Para obter mais informações, consulte a documentação do SAP.
Definir configurações do SAP Cloud Connector
Instale o SAP Cloud Connector. Para obter mais informações, consulte a documentação do SAP.
Entre na interface do conector de nuvem e adicione a subconta usando as credenciais relevantes. Para obter mais informações, consulte a documentação do SAP.
Na sua subconta do conector de nuvem, adicione um novo mapeamento de sistema ao sistema de back-end para mapear o sistema ABAP para o protocolo RFC.
Defina opções de balanceamento de carga e insira os detalhes do servidor ABAP de back-end. Nesta etapa, copie o nome do host virtual para um local seguro para usar posteriormente no processo de implantação.
Adicione novos recursos ao mapeamento do sistema para cada um dos seguintes nomes de função:
RSAU_API_GET_LOG_DATA, para buscar dados de log de auditoria de segurança SAP
BAPI_USER_GET_DETAIL, para recuperar detalhes do usuário SAP
RFC_READ_TABLE, para ler dados de tabelas obrigatórias
Adicione um novo destino no SAP BTP que aponte o host virtual criado anteriormente. Use os seguintes detalhes para preencher o novo destino:
Nome: Introduza o nome que pretende utilizar para a ligação do Microsoft Sentinel
Tipo
RFCTipo de proxy:
On-PremiseUsuário: insira a conta de usuário ABAP que você criou anteriormente para o Microsoft Sentinel
Tipo de autorização:
CONFIGURED USERPropriedades adicionais:
jco.client.ashost = <virtual host name>jco.client.client = <client e.g. 001>jco.client.sysnr = <system number = 00>jco.client.lang = EN
Local: Necessário apenas quando você conecta vários Cloud Connectors à mesma subconta BTP. Para obter mais informações, consulte a documentação do SAP.
Definir configurações do SAP Integration Suite
Crie uma nova credencial de cliente OAuth2 para armazenar os detalhes de conexão para o registro do aplicativo Microsoft Entra ID que você criou anteriormente.
Ao criar a credencial, insira os seguintes detalhes:
Designação:
LogIngestionAPIURL do Serviço de Token:
https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/tokenID do cliente:
<your app registration client ID>Autenticação de cliente: Enviar como parâmetro body
Âmbito de aplicação:
https://monitor.azure.com//.defaultTipo de conteúdo:
application/x-www-form-urlencoded
Importar e implantar o pacote da solução Microsoft Sentinel para SAP
Baixe o pacote da solução Microsoft Sentinel para SAP em https://aka.ms/SAPAgentlessPackage.
Importe o pacote baixado para o SAP Integration Suite.
Abra o pacote da solução Microsoft Sentinel para SAP e navegue até os artefatos.
Selecione Enviar logs de segurança para a Microsoft - artefato da camada de aplicativo.
Selecione Configurar e insira os detalhes do DCR:
- LogsIngestionURL o URL de ingestão do DCR DCE, conforme salvo anteriormente.
- DCRImmutableId: ID imutável do DCR, conforme salvo anteriormente.
Selecione Implantar para implantar o i-flow usando o SAP Cloud Integration como o serviço de tempo de execução.