Настройка системы SAP для решения Microsoft Sentinel
В этой статье описывается, как подготовить среду SAP для подключения к агенту соединителя данных SAP. Подготовка включает настройку необходимых авторизации SAP и, при необходимости, развертывание дополнительных запросов на изменение SAP (CR).
Эта статья является частью второго шага развертывания решения Microsoft Sentinel для приложений SAP.
Процедуры, описанные в этой статье, обычно выполняются командой SAP BASIS .
Необходимые компоненты
- Перед началом работы проверьте предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP.
Настройка роли Microsoft Sentinel
Чтобы разрешить соединителю данных SAP подключаться к системе SAP, необходимо создать роль системы SAP специально для этой цели.
Чтобы включить как получение журнала, так и действия реагирования на нарушения атак, рекомендуется создать эту роль, загрузив авторизацию ролей из файла /MSFTSEN/SENTINEL_RESPONDER.
Чтобы включить только извлечение журналов, рекомендуется создать эту роль, развернув запрос на изменение NPLK900271 SAP (CR): K900271.NPL | R900271. NPL
Разверните службы CR в системе SAP так же, как и при развертывании других CR. Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP. Дополнительные сведения см. в документации по SAP.
Кроме того, загрузите авторизацию роли из файла MSFTSEN_SENTINEL_CONNECTOR , включающую все основные разрешения для работы соединителя данных.
Опытные администраторы SAP могут вручную создать роль и назначить ему соответствующие разрешения. В таких случаях создайте роль вручную с соответствующими разрешениями, необходимыми для журналов, которые необходимо принять. Дополнительные сведения см. в разделе "Обязательные разрешения ABAP". Примеры в нашей документации используют имя /MSFTSEN/SENTINEL_RESPONDER .
При настройке роли рекомендуется:
- Создайте активный профиль роли для Microsoft Sentinel, выполнив транзакцию PFCG .
- Используйте
/MSFTSEN/SENTINEL_RESPONDERв качестве имени роли.
Дополнительные сведения см. в документации ПО SAP по созданию ролей.
Создание пользователя
Для решения Microsoft Sentinel для приложений SAP требуется учетная запись пользователя для подключения к системе SAP. При создании пользователя:
- Обязательно создайте системного пользователя.
- Назначьте роль /MSFTSEN/SENTINEL_RESPONDER пользователю, который вы создали на предыдущем шаге.
Дополнительные сведения см. в документации по SAP.
Настройка аудита SAP
Некоторые установки систем SAP могут не включать ведение журнала аудита по умолчанию. Чтобы лучше всего оценить производительность и эффективность решения Microsoft Sentinel для приложений SAP, включите аудит системы SAP и настройте параметры аудита. Если вы хотите принимать журналы SAP HANA DB, обязательно включите аудит для SAP HANA DB.
Рекомендуется настроить аудит для всех сообщений из журнала аудита, а не только для определенных журналов. Различия в затратах приема обычно минимальны, и данные полезны для обнаружения Microsoft Sentinel и после компрометации и охоты.
Дополнительные сведения см. в сообществе SAP и сбор журналов аудита SAP HANA в Microsoft Sentinel.
Настройка поддержки получения дополнительных данных (рекомендуется)
Хотя этот шаг является необязательным, рекомендуется развернуть дополнительные CR из репозитория Microsoft Sentinel GitHub, чтобы включить соединитель данных SAP для получения следующих сведений о содержимом из системы SAP:
- Журналы выходных данных и таблицы базы данных
- Сведения об IP-адресе клиента из журналов аудита безопасности (только SAP BASIS версии 7.5 с пакетом обновления 12 (SP12) и более поздних версий)
Разверните соответствующие CR в соответствии с версией SAP:
| Версии SAP BASIS | Рекомендуемая CR |
|---|---|
| 750 и выше | NPLK900202: K900202.NPL, R900202.NPL При развертывании этого cr любой из следующих версий SAP также разверните 2641084 — стандартный доступ на чтение к данным журнала аудита безопасности: — 750 с пакетом обновления 12 (SP12) — 751 SP00 до SP06 — 752 SP00 до SP02 |
| 740 | NPLK900201: K900201.NPL, R900201.NPL |
Разверните службы CR в системе SAP так же, как и при развертывании других CR. Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP. Дополнительные сведения см. в документации по SAP.
Дополнительные сведения см. в документации по SAP Community и SAP.
Убедитесь, что таблица PAHI обновляется через регулярные интервалы
Таблица SAP PAHI содержит данные по журналу системы SAP, базы данных и параметров SAP. В некоторых случаях решение Microsoft Sentinel для приложений SAP не может отслеживать таблицу SAP PAHI через регулярные интервалы из-за отсутствия или сбоя конфигурации. Важно обновить таблицу PAHI и часто отслеживать ее, чтобы решение Microsoft Sentinel для приложений SAP могло оповещать о подозрительных действиях, которые могут произойти в любое время в течение дня. Дополнительные сведения см. в разделе:
- Примечание SAP 12103
- Мониторинг конфигурации статических параметров безопасности SAP (предварительная версия)
Если таблица PAHI обновляется регулярно, SAP_COLLECTOR_FOR_PERFMONITOR задание планируется и выполняется почасово. SAP_COLLECTOR_FOR_PERFMONITOR Если задание не существует, обязательно настройте его по мере необходимости.
Дополнительные сведения см. в разделе "Сборщик баз данных" в фоновой обработке и настройке сборщика данных.
Настройка системы для использования SNC для безопасных подключений
По умолчанию агент соединителя данных SAP подключается к серверу SAP с помощью удаленного вызова функции (RFC) и имени пользователя и пароля для проверки подлинности.
Однако может потребоваться подключиться к зашифрованным каналам или использовать сертификаты клиента для проверки подлинности. В этих случаях используйте smart Network Communications (SNC) из SAP для защиты подключений к данным, как описано в этом разделе.
В рабочей среде настоятельно рекомендуется обратиться к администраторам SAP, чтобы создать план развертывания для настройки SNC. Дополнительные сведения см. в документации по SAP.
При настройке SNC:
- Если сертификат клиента был выдан центром сертификации предприятия, передайте выданные сертификаты ЦС и корневого ЦС в систему, в которой планируется создать агент соединителя данных.
- Обязательно введите соответствующие значения и используйте соответствующие процедуры при настройке контейнера агента соединителя данных SAP.