Pré-requisitos de implantação para as soluções Microsoft Sentinel para aplicativos SAP
Este artigo lista os pré-requisitos necessários para a implantação da solução Microsoft Sentinel para aplicativos SAP, que diferem dependendo se você está implantando um agente de conector de dados ou usando a solução sem agente com o SAP Cloud Connector. Selecione a opção na parte superior desta página que corresponde à sua implantação.
Revisar e garantir que você tenha ou compreenda todos os pré-requisitos é a primeira etapa na implantação da solução Microsoft Sentinel para aplicativos SAP. Selecione um tipo de conexão para listar os pré-requisitos para seu ambiente.
O conteúdo deste artigo é relevante para suas equipes de segurança, infraestrutura e SAP BASIS .
O conteúdo deste artigo é relevante para suas equipes de segurança e SAP BASIS .
Importante
A solução Agentless do Microsoft Sentinel está em pré-visualização limitada como um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui. O acesso à solução Agentless também requer registro e só está disponível para clientes e parceiros aprovados durante o período de visualização. Para obter mais informações, consulte Microsoft Sentinel for SAP goes agentless .
Pré-requisitos do Azure
Normalmente, os pré-requisitos do Azure são gerenciados por suas equipes de segurança .
| Pré-requisito | Description | Obrigatório/opcional |
|---|---|---|
| Acesso ao Microsoft Sentinel | Anote o ID do *espaço de trabalho e a chave primária do espaço de trabalho do Log Analytics habilitado para o Microsoft Sentinel. Você pode encontrar esses detalhes no Microsoft Sentinel: no menu de navegação, selecione Configurações>Configurações do espaço de trabalho Gerenciamento>de agentes. Copie a ID do espaço de trabalho e a chave primária e cole-as de lado para uso durante o processo de implantação. |
Necessário |
| Permissões para criar recursos do Azure | No mínimo, você deve ter as permissões necessárias para implantar soluções do hub de conteúdo do Microsoft Sentinel. Para obter mais informações, consulte Pré-requisitos para implantar soluções Microsoft Sentinel. | Necessário |
| Permissões para criar um cofre de chaves do Azure ou acessar um cofre existente | Use o Azure Key Vault para armazenar segredos necessários para se conectar ao seu sistema SAP. Para obter mais informações, consulte Atribuir permissões de acesso ao cofre de chaves. | Necessário se você planeja armazenar as credenciais do sistema SAP no Cofre de Chaves do Azure. Opcional se você planeja armazená-los em um arquivo de configuração. Para obter mais informações, consulte Criar uma máquina virtual e configurar o acesso às suas credenciais. |
| Permissões para atribuir uma função privilegiada ao agente do conector de dados SAP | A implantação do agente do conector de dados SAP requer que você conceda a identidade da VM do agente com permissões específicas para o espaço de trabalho do Microsoft Sentinel, usando a função Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel. Para conceder essa função, você precisa de permissões de Proprietário no grupo de recursos em que seu espaço de trabalho do Microsoft Sentinel reside. Para obter mais informações, consulte Conecte seu sistema SAP implantando seu contêiner do agente do conector de dados. |
Obrigatório. Se você não tiver permissões de Proprietário no grupo de recursos, a etapa relevante também poderá ser executada por outro usuário que tenha as permissões relevantes, separadamente depois que o agente for totalmente implantado. |
Pré-requisitos do sistema para o contêiner do agente do conector de dados
Normalmente, os pré-requisitos do sistema são gerenciados por suas equipes de infraestrutura .
| Pré-requisito | Description |
|---|---|
| Arquitetura do sistema | O componente conector de dados da solução SAP é implantado como um contêiner do Docker. O host de contêiner pode ser uma máquina física ou uma máquina virtual, pode ser localizado no local ou em qualquer nuvem. A VM que hospeda o contêiner não precisa estar localizada na mesma assinatura do Azure que seu espaço de trabalho do Microsoft Sentinel ou mesmo no mesmo locatário do Microsoft Entra. |
| Versões Linux suportadas | O agente do conector de dados SAP é testado com as seguintes distribuições Linux: - Ubuntu 18.04 ou superior - SLES versão 15 ou superior - RHEL versão 7.7 ou superior Se você tiver um sistema operacional diferente, talvez seja necessário implantar e configurar o contêiner manualmente. Para obter mais informações, consulte Implantar o contêiner do agente do conector de dados do Microsoft Sentinel for SAP com opções especializadas ou abrir um tíquete de suporte. |
| Recomendações de dimensionamento de máquinas virtuais | Especificação mínima, como para um ambiente de laboratório: Standard_B2s VM, com: - Dois núcleos - 4 GB de RAM Conector padrão (padrão): Standard_D2as_v5 VM ou Standard_D2_v5 VM, com: - Dois núcleos - 8 GB de RAM Vários conectores: Standard_D4as_v5 ou Standard_D4_v5 VM, com: - Quatro núcleos - 16 GB de RAM |
| Privilégios administrativos | Privilégios administrativos (raiz) são necessários na máquina host do contêiner. |
| Conectividade de rede | Verifique se o host do contêiner tem acesso a: - Microsoft Sentinel - Cofre de chaves do Azure (no cenário de implantação onde o cofre de chaves do Azure é usado para armazenar segredos - Sistema SAP através das seguintes portas TCP: 32xx, 5xx13, 33xx, 48xx (quando SNC é usado), onde xx é o número da instância SAP. |
| Utilitários de software | O script de implementação do conector de dados SAP instala o seguinte software necessário na VM host do contêiner (dependendo da distribuição Linux usada, a lista pode variar ligeiramente): - Descompacte - NetCat - Docker - JQ - ondulação |
| Identidade gerenciada ou entidade de serviço | A versão mais recente do agente do conector de dados SAP requer uma identidade gerenciada ou uma entidade de serviço para autenticação no Microsoft Sentinel. Os agentes herdados têm suporte para atualizações para a versão mais recente e, em seguida, devem usar uma identidade gerenciada ou uma entidade de serviço para continuar a atualizar para as versões subsequentes. |
Pré-requisitos SAP para o contêiner do agente do conector de dados
Recomendamos que sua equipe SAP BASIS verifique e garanta os pré-requisitos do sistema SAP. Recomendamos vivamente que qualquer gestão do seu sistema SAP seja realizada por um administrador de sistema SAP experiente.
| Pré-requisito | Description |
|---|---|
| Versões SAP suportadas | O agente conector de dados SAP suporta sistemas SAP NetWeaver e foi testado em SAP_BASIS versões 731 e superiores. Algumas etapas neste tutorial fornecem instruções alternativas se você estiver trabalhando na versão mais antiga do SAP_BASIS 740. |
| Software necessário | SAP NetWeaver RFC SDK 7.50 (Faça o download aqui) Certifique-se de que também tem uma conta de utilizador SAP para aceder à página de transferência do software SAP. |
| Detalhes do sistema SAP | Anote os seguintes detalhes do sistema SAP: - Endereço IP do sistema SAP e nome de host FQDN - Número do sistema SAP, como 00- ID do sistema SAP, do sistema SAP NetWeaver (por exemplo, NPL) - ID do cliente SAP, como 001 |
| Acesso à instância do SAP NetWeaver | O agente do conector de dados SAP usa um dos seguintes mecanismos para autenticar no sistema SAP: - Usuário/senha SAP ABAP - Um usuário com um certificado X.509. Esta opção requer etapas de configuração extras. Para obter mais informações, consulte Configurar o sistema para usar o SNC para conexões seguras. |
| Requisitos da função SAP | Para permitir que o conector de dados SAP se conecte ao seu sistema SAP, você deve criar uma função de sistema SAP. Recomendamos criar a função de sistema necessária implantando o SAP NPLK900271 change request (CR). Para obter mais informações, consulte Configurar a função Microsoft Sentinel. |
| CRs recomendados para suporte extra | Implante CRs recomendados em seu sistema SAP para recuperar detalhes extras, como endereço IP do cliente e logs extras. Para obter mais informações, consulte Configurar suporte para recuperação de dados extras (recomendado). |
Pré-requisitos do Azure
Normalmente, os pré-requisitos do Azure são gerenciados por suas equipes de segurança .
| Pré-requisito | Description | Obrigatório/opcional |
|---|---|---|
| Acesso à pré-visualização limitada | A solução Agentless requer que você se registre e só está disponível para clientes e parceiros aprovados durante o período de visualização limitado. Para obter mais informações, consulte Inscrição de visualização limitada: Microsoft Sentinel Solution for SAP - Agent-less Data Connector. | Necessário |
| Permissões para criar recursos do Azure | Deve ter: - As permissões necessárias para implantar soluções do hub de conteúdo Microsoft Sentinel. Para obter mais informações, consulte Pré-requisitos para implantar soluções Microsoft Sentinel e funções internas do Microsoft Entra. Proprietário no grupo de recursos do Microsoft Sentinel , necessário para: - Criação de regra de coleta de dados e endpoint de coleta de dados. - Monitoramento da atribuição de funções de Editor de Métricas na regra de coleta de dados. |
Necessário |
| Permissões no Microsoft Entra | Você deve ter permissões no Microsoft Entra ID necessárias para criar registros de aplicativos. Essa permissão pode ser obtida por meio da associação à função interna do Microsoft Entra ID: - Desenvolvedor de Aplicações. |
Necessário |
Pré-requisitos SAP para o conector de dados sem agente
Recomendamos que sua equipe SAP BASIS verifique e garanta os pré-requisitos do sistema SAP. Recomendamos vivamente que qualquer gestão do seu sistema SAP seja realizada por um administrador de sistema SAP experiente.
| Pré-requisito | Description |
|---|---|
| Versões SAP suportadas | A solução Agentless suporta sistemas SAP NetWeaver com SAP_BASIS versões 750 e superiores. |
| Sistema SAP | Seu sistema SAP deve ter: Uma subconta SAP BTP com os seguintes serviços ativados: - Suite de Integração SAP - Tempo de execução da integração de processos SAP - Tempo de execução do Cloud Foundry Para obter mais informações, consulte a documentação do SAP. As contas de avaliação são suportadas. O SAP Cloud Connector implantado SAP NetWeaver versão 7.5 ou superior |
| Funções e permissões SAP | Você deve ter as seguintes funções em seus sistemas SAP: No SAP NetWeaver 7.5+: Administrador do SAP Netweaver No SAP BTP, todas as seguintes funções: - Administrador de subconta - Provisionador de Integração - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Planeie a sua ingestão
Recomendamos que você teste seus sistemas para determinar o número de logs que cada um dos seus sistemas SAP envia para o Microsoft Sentinel. A cobrança do Microsoft Sentinel depende do tamanho da ingestão de logs, que, por sua vez, depende de fatores como uso do sistema, módulos implantados, número de usuários, casos de uso em execução, tráfego de rede e tipos de log.
Para obter mais informações, consulte:
- Preços da solução
- Planeje os custos e entenda os preços e a cobrança do Microsoft Sentinel
- Reduza os custos do Microsoft Sentinel
- Gerencie e monitore os custos do Microsoft Sentinel