Решение Microsoft Sentinel для приложений SAP: обзор развертывания

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Используйте решение Microsoft Sentinel для приложений SAP для мониторинга систем SAP с помощью Microsoft Sentinel, обнаруживая сложные угрозы в бизнес-логике и уровнях приложений SAP.

В этой статье описано решение Microsoft Sentinel для развертывания приложений SAP.

Внимание

В настоящее время в предварительной версии доступны отмеченные функции. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Компоненты решения

Решение Microsoft Sentinel для приложений SAP включает соединитель данных, который собирает журналы из систем SAP и отправляет их в рабочую область Microsoft Sentinel и нестандартное содержимое безопасности, которое помогает получить представление о среде SAP вашей организации и обнаруживать и реагировать на угрозы безопасности.

Соединитель данных

Решение Microsoft Sentinel для приложений SAP поддерживает как агент соединителя контейнерных данных, так и соединитель без агента. Оба агента собирают журналы приложений для всех подключенных идентификаторов SAP с всего ландшафта системы SAP, а затем отправляют эти журналы в рабочую область Log Analytics в Microsoft Sentinel.

Выберите одну из следующих вкладок, чтобы узнать больше:

Агент соединителя контейнерных данных

Например, на следующем рисунке показан ландшафт SAP с несколькими sid SAP с разделением между производственными и непроизводственных системами, включая платформу SAP Business Technology Platform. Все системы в этом образе подключены к Microsoft Sentinel для решения SAP.

Агент подключается к системе SAP, чтобы извлечь из нее журналы и другие данные, а затем отправляет эти журналы в рабочую область Microsoft Sentinel. Для этого агент должен пройти проверку подлинности в системе SAP, используя пользователя и роль, созданную специально для этой цели.

Microsoft Sentinel поддерживает несколько вариантов хранения сведений о конфигурации агента, включая конфигурацию секретов проверки подлинности SAP. Решение о том, какой вариант может зависеть от места развертывания виртуальной машины и используемого вами механизма проверки подлинности SAP. Поддерживаемые параметры приведены в списке по порядку предпочтений:

• Доступ к Azure Key Vault с помощью управляемого удостоверения, назначаемого системой Azure
• Доступ к Azure Key Vault с помощью субъекта-службы зарегистрированного приложения идентификатора Microsoft Entra
• файл конфигурации с открытым текстом.

Вы также можете пройти проверку подлинности с помощью сертификатов SAP Secure Network Communication (SNC) и X.509. Хотя использование SNC обеспечивает более высокий уровень безопасности проверки подлинности, это может оказаться не практическим для всех сценариев.

Соединитель данных без агента (ограниченная предварительная версия)

Соединитель данных без агента Microsoft Sentinel для SAP использует SAP Cloud Connector и SAP Integration Suite для подключения к системе SAP и извлечения журналов, как показано на следующем рисунке:

Используя SAP Cloud Connector, решение без агента получает прибыль от уже существующих установок и установленных процессов интеграции. Это означает, что вам не нужно снова решать сетевые проблемы, так как люди, работающие в SAP Cloud Connector, уже прошли этот процесс.

Решение без агента совместимо с SAP S/4HANA Cloud, Private Edition RISE с SAP, SAP S/4HANA в локальной среде и компонентом SAP ERP Central (ECC), обеспечивая постоянную функциональность существующего содержимого безопасности, включая обнаружение, книги и сборники схем.

Решение без агента в ограниченной предварительной версии начинается с поддержки журнала аудита SAP, который обычно охватывает большинство сценариев угроз SAP.

Внимание

Решение Microsoft Sentinel без агента находится в ограниченной предварительной версии как предварительно выпущенный продукт, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь. Доступ к решению без агента также требует регистрации и доступен только утвержденным клиентам и партнерам в течение предварительного периода. Дополнительные сведения см. в разделе Microsoft Sentinel для SAP без агента .

Содержимое системы безопасности

Решения Microsoft Sentinel для приложений SAP включают следующие типы содержимого безопасности, которые помогут вам получить представление о среде SAP вашей организации и обнаружить и реагировать на угрозы безопасности:

• Правила аналитики и списки наблюдения для обнаружения угроз.
• Функции для простого доступа к данным.
• Книги для создания интерактивной визуализации данных.
• Списки наблюдения для настройки встроенных параметров решения.
• Сборники схем, которые можно использовать для автоматизации реагирования на угрозы.

Дополнительные сведения см . в решении Microsoft Sentinel для приложений SAP: справочник по содержимому безопасности.

Поток развертывания и лица

Развертывание решений Microsoft Sentinel для приложений SAP включает несколько шагов и требует совместной работы в нескольких командах, различаясь в зависимости от того, используете ли агент соединителя данных или решение без агента. Выберите одну из следующих вкладок, чтобы узнать больше:

Агент соединителя контейнерных данных

Развертывание решений Microsoft Sentinel для приложений SAP включает несколько шагов и требует совместной работы между несколькими командами, включая группы безопасности, инфраструктуры и SAP BASIS . На следующем рисунке показаны шаги при развертывании решений Microsoft Sentinel для приложений SAP с указанными соответствующими командами:

Рекомендуется включить все соответствующие команды при планировании развертывания, чтобы убедиться, что усилия выделены, и развертывание может плавно перемещаться.

Ниже приведены действия по развертыванию.

1. Ознакомьтесь с предварительными условиями развертывания решения Microsoft Sentinel для приложений SAP. Для некоторых предварительных требований требуется координация с вашей инфраструктурой или командами SAP BASIS.

2. Следующие шаги могут выполняться параллельно, так как они включают отдельные команды и не зависят друг от друга:

   1. Разверните решение Microsoft Sentinel для приложений SAP из концентратора содержимого. Убедитесь, что вы устанавливаете правильное решение для вашей среды. Этот шаг обрабатывается командой безопасности в портал Azure.

   2. Настройте систему SAP для решения Microsoft Sentinel, включая настройку авторизации SAP, настройку аудита SAP и многое другое. Мы рекомендуем выполнить эти действия командой SAP BASIS, а наша документация содержит ссылки на документацию ПО SAP.

3. Подключите систему SAP, развернув агент соединителя данных с контейнером. Для этого шага требуется координация между группами безопасности, инфраструктуры и SAP BASIS.

4. Включите обнаружение SAP и защиту от угроз. Этот шаг обрабатывается командой безопасности в портал Azure.

Дополнительные варианты:

• Сбор журналов аудита SAP HANA
• Развертывание агента соединителя данных SAP вручную

Остановка сбора данных SAP

Если вы используете агент соединителя данных и должны остановить Microsoft Sentinel от сбора данных SAP, остановите прием журналов и отключите соединитель. Затем удалите дополнительную роль пользователя и все необязательные CR, установленные в системе SAP.

Дополнительные сведения см. в разделе "Остановка сбора данных SAP".

Соединитель данных без агента (ограниченная предварительная версия)

Развертывание решений Microsoft Sentinel для приложений SAP включает несколько шагов и требует совместной работы в группах безопасности и SAP BASIS . На следующем рисунке показаны шаги при развертывании решений Microsoft Sentinel для приложений SAP с указанными соответствующими командами:

Рекомендуется включать обе команды при планировании развертывания, чтобы убедиться, что усилия выделены, и развертывание может плавно перемещаться.

Ниже приведены действия по развертыванию.

1. Просмотрите предварительные требования для развертывания решения SAP без агента.

2. Следующие шаги могут выполняться параллельно, так как они включают отдельные команды и не зависят друг от друга:

   1. Разверните решение SAP без агента из концентратора содержимого. Этот шаг обрабатывается командой безопасности в портал Azure.

   2. Настройте систему SAP для решения Microsoft Sentinel, включая настройку авторизации SAP, настройку аудита SAP и многое другое. Мы рекомендуем выполнить эти действия командой SAP BASIS, а наша документация содержит ссылки на документацию ПО SAP.

3. Подключите систему SAP с помощью соединителя данных без агента с помощью SAP Cloud Connector. Этот шаг обрабатывается командой безопасности в портал Azure, используя сведения, предоставляемые командой SAP BASIS.

4. Включите обнаружение SAP и защиту от угроз. Этот шаг обрабатывается командой безопасности в портал Azure.

Связанный контент

Дополнительные сведения см. в разделе:

• Сведения о содержимом и решениях Microsoft Sentinel.
• Мониторинг работоспособности и роли систем SAP
• Обновление агента соединителя данных SAP в Microsoft Sentinel

Следующий шаг

Начните развертывание решения Microsoft Sentinel для приложений SAP, просмотрите предварительные требования:

Необходимые условия