Поделиться через

Настройка системы SAP для решения Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье описывается, как подготовить среду SAP для подключения к соединителю данных SAP. Подготовка отличается в зависимости от того, используется ли агент соединителя контейнерных данных. Выберите параметр в верхней части страницы, которая соответствует вашей среде.

Эта статья является частью второго шага развертывания решения Microsoft Sentinel для приложений SAP.

Схема потока развертывания для решения Microsoft Sentinel для приложений SAP с выделенным этапом подготовки SAP.

Процедуры, описанные в этой статье, обычно выполняются командой SAP BASIS . Если вы используете решение без агента, возможно, вам также потребуется привлечь группу безопасности .

Внимание

Решение Microsoft Sentinel без агента находится в ограниченной предварительной версии как предварительно выпущенный продукт, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь. Доступ к решению без агента также требует регистрации и доступен только утвержденным клиентам и партнерам в течение предварительного периода. Дополнительные сведения см. в разделе Microsoft Sentinel для SAP без агента .

Необходимые компоненты

Настройка роли Microsoft Sentinel

Чтобы разрешить соединителю данных SAP подключаться к системе SAP, необходимо создать роль системы SAP специально для этой цели.

  • Чтобы включить как получение журнала, так и действия реагирования на нарушения атак, рекомендуется создать эту роль, загрузив авторизацию ролей из файла /MSFTSEN/SENTINEL_RESPONDER.

  • Чтобы включить только извлечение журналов, рекомендуется создать эту роль, развернув запрос на изменение NPLK900271 SAP (CR): K900271.NPL | R900271. NPL

    Разверните службы CR в системе SAP так же, как и при развертывании других CR. Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP. Дополнительные сведения см. в документации по SAP.

    Кроме того, загрузите авторизацию роли из файла MSFTSEN_SENTINEL_CONNECTOR , включающую все основные разрешения для работы соединителя данных.

    Опытные администраторы SAP могут вручную создать роль и назначить ему соответствующие разрешения. В таких случаях создайте роль вручную с соответствующими разрешениями, необходимыми для журналов, которые необходимо принять. Дополнительные сведения см. в разделе "Обязательные разрешения ABAP". Примеры в нашей документации используют имя /MSFTSEN/SENTINEL_RESPONDER .

При настройке роли рекомендуется:

  • Создайте активный профиль роли для Microsoft Sentinel, выполнив транзакцию PFCG .
  • Используйте /MSFTSEN/SENTINEL_RESPONDER в качестве имени роли.

Создайте роль с помощью шаблона MSFTSEN_SENTINEL_READER , который включает все основные разрешения для работы соединителя данных.

Дополнительные сведения см. в документации ПО SAP по созданию ролей.

Создание пользователя

Для решения Microsoft Sentinel для приложений SAP требуется учетная запись пользователя для подключения к системе SAP. При создании пользователя:

  • Обязательно создайте системного пользователя.
  • Назначьте роль /MSFTSEN/SENTINEL_RESPONDER пользователю, который вы создали на предыдущем шаге.
  • Обязательно создайте системного пользователя.
  • Назначьте MSFTSEN_SENTINEL_READER роль пользователю, который вы создали на предыдущем шаге.

Дополнительные сведения см. в документации по SAP.

Настройка аудита SAP

Некоторые установки систем SAP могут не включать ведение журнала аудита по умолчанию. Чтобы лучше всего оценить производительность и эффективность решения Microsoft Sentinel для приложений SAP, включите аудит системы SAP и настройте параметры аудита. Если вы хотите принимать журналы SAP HANA DB, обязательно включите аудит для SAP HANA DB.

Рекомендуется настроить аудит для всех сообщений из журнала аудита, а не только для определенных журналов. Разница в стоимости приема данных обычно минимальна, а эти данные полезны для обнаружений Microsoft Sentinel, а также при расследовании компрометаций и охоте.

Дополнительные сведения см. в сообществе SAP и сбор журналов аудита SAP HANA в Microsoft Sentinel.

Настройка системы для использования SNC для безопасных подключений

По умолчанию агент соединителя данных SAP подключается к серверу SAP с помощью удаленного вызова функции (RFC) и имени пользователя и пароля для проверки подлинности.

Однако может потребоваться подключиться к зашифрованным каналам или использовать сертификаты клиента для проверки подлинности. В этих случаях используйте smart Network Communications (SNC) из SAP для защиты подключений к данным, как описано в этом разделе.

В рабочей среде настоятельно рекомендуется обратиться к администраторам SAP, чтобы создать план развертывания для настройки SNC. Дополнительные сведения см. в документации по SAP.

При настройке SNC:

  • Если сертификат клиента был выдан центром сертификации предприятия, передайте выданные сертификаты ЦС и корневого ЦС в систему, в которой планируется создать агент соединителя данных.
  • Если вы используете агент соединителя данных, обязательно введите соответствующие значения и используйте соответствующие процедуры при настройке контейнера агента соединителя данных SAP. Если вы используете решение без агента, конфигурация SNC выполняется в SAP Cloud Connector.

Дополнительные сведения о SNC см. в статье "Начало работы с SAP SNC для интеграции RFC" — блог SAP.

Хотя этот шаг является необязательным, рекомендуется включить соединитель данных SAP для получения следующих сведений о содержимом из системы SAP:

  • Журналы выходных данных и таблицы базы данных
  • Сведения об IP-адресе клиента из журналов аудита безопасности

  1. Разверните соответствующие CR из репозитория Microsoft Sentinel GitHub в соответствии с версией SAP:

    Версии SAP BASIS Рекомендуемая CR
    750 и выше NPLK900202: K900202.NPL, R900202.NPL

    При развертывании этого cr любой из следующих версий SAP также разверните 2641084 — стандартный доступ на чтение к данным журнала аудита безопасности:
    — 750 с пакетом обновления 12 (SP12)
    — 751 SP00 до SP06
    — 752 SP00 до SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Разверните службы CR в системе SAP так же, как и при развертывании других CR. Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP. Дополнительные сведения см. в документации по SAP.

    Дополнительные сведения см. в документации по SAP Community и SAP.

  2. Чтобы поддерживать sap BASIS версии 7.31-7.5 с пакетом обновления 12 (SP12) при отправке сведений об IP-адресе клиента в Microsoft Sentinel, активируйте ведение журнала для таблицы SAP USR41. Дополнительные сведения см. в документации по SAP.

Убедитесь, что таблица PAHI обновляется через регулярные интервалы

Таблица SAP PAHI содержит данные по журналу системы SAP, базы данных и параметров SAP. В некоторых случаях решение Microsoft Sentinel для приложений SAP не может отслеживать таблицу SAP PAHI через регулярные интервалы из-за отсутствия или сбоя конфигурации. Важно обновить таблицу PAHI и часто отслеживать ее, чтобы решение Microsoft Sentinel для приложений SAP могло оповещать о подозрительных действиях, которые могут произойти в любое время в течение дня. Дополнительные сведения см. в разделе:

Если таблица PAHI обновляется регулярно, SAP_COLLECTOR_FOR_PERFMONITOR задание планируется и выполняется почасово. SAP_COLLECTOR_FOR_PERFMONITOR Если задание не существует, обязательно настройте его по мере необходимости.

Дополнительные сведения см. в разделе "Сборщик баз данных" в фоновой обработке и настройке сборщика данных.

Настройка параметров SAP BTP

  1. В подсчете SAP BTP добавьте права для следующих служб:

    • SAP Integration Suite
    • Среда выполнения интеграции процесса SAP
    • Среда выполнения Cloud Foundry

  2. Создайте экземпляр Cloud Foundry Runtime, а затем создайте пространство Cloud Foundry.

  3. Создайте экземпляр SAP Integration Suite.

  4. Назначьте роль SAP BTP Integration_Provisioner учетной записи пользователя подсчетной учетной записи SAP BTP.

  5. В SAP Integration Suite добавьте облачную интеграцию.

  6. Назначьте следующие роли интеграции процесса учетной записи пользователя:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Эти роли доступны только после активации функции интеграции с облаком.

  7. Создайте экземпляр среды выполнения интеграции процессов SAP в подсчетной учетной записи.

  8. Создайте ключ службы для среды выполнения интеграции процессов SAP и сохраните содержимое JSON в безопасном расположении. Перед созданием ключа службы для среды выполнения интеграции процесса SAP необходимо активировать функцию интеграции с облаком.

Дополнительные сведения см. в документации по SAP.

Настройка параметров SAP Cloud Connector

  1. Установите SAP Cloud Connector. Дополнительные сведения см. в документации по SAP.

  2. Войдите в интерфейс облачного соединителя и добавьте подсчет с помощью соответствующих учетных данных. Дополнительные сведения см. в документации по SAP.

  3. В подсчете облачного соединителя добавьте новое сопоставление системы в серверную систему, чтобы сопоставить систему ABAP с протоколом RFC.

  4. Определите параметры балансировки нагрузки и введите сведения о сервере ABAP серверной части. На этом шаге скопируйте имя виртуального узла в безопасное расположение, чтобы использовать его позже в процессе развертывания.

  5. Добавьте новые ресурсы в системное сопоставление для каждого из следующих имен функций:

    • RSAU_API_GET_LOG_DATA, чтобы получить данные журнала аудита безопасности SAP

    • BAPI_USER_GET_DETAIL для получения сведений о пользователе SAP

    • RFC_READ_TABLE для чтения данных из обязательных таблиц

  6. Добавьте новое назначение в SAP BTP, указывающее на созданный ранее виртуальный узел. Используйте следующие сведения для заполнения нового назначения:

    • Имя. Введите имя, которое вы хотите использовать для подключения Microsoft Sentinel

    • Тип RFC

    • Тип прокси-сервера: On-Premise

    • Пользователь: введите учетную запись пользователя ABAP, созданную ранее для Microsoft Sentinel

    • Тип авторизации: CONFIGURED USER

    • Дополнительные свойства:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Расположение: требуется только при подключении нескольких облачных соединителей к одной подсчетной учетной записи BTP. Дополнительные сведения см. в документации по SAP.

Настройка параметров SAP Integration Suite

Создайте новые учетные данные клиента OAuth2 для хранения сведений о подключении для регистрации приложения Идентификатора Microsoft Entra, созданного ранее.

При создании учетных данных введите следующие сведения:

  • Имя: LogIngestionAPI

  • URL-адрес службы токенов: https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

  • Идентификатор клиента: <your app registration client ID>

  • Проверка подлинности клиента: отправка в качестве параметра body

  • Область: https://monitor.azure.com//.default

  • Тип содержимого: application/x-www-form-urlencoded

Импорт и развертывание решения Microsoft Sentinel для пакета SAP

  1. Скачайте решение Microsoft Sentinel для пакета https://aka.ms/SAPAgentlessPackageSAP.

  2. Импорт загруженного пакета в SAP Integration Suite.

  3. Откройте решение Microsoft Sentinel для пакета SAP и перейдите к артефактам.

  4. Выберите " Отправить журналы безопасности в Корпорацию Майкрософт" — артефакт уровня приложений.

  5. Выберите "Настроить", а затем введите сведения о DCR:

    • LogsIngestionURL URL-адрес приема данных из DCE DCR, как было сохранено ранее.
    • DCRImmutableId: неизменяемый идентификатор DCR, как было сохранено ранее.

  6. Выберите "Развернуть" , чтобы развернуть поток i-flow с помощью SAP Cloud Integration в качестве службы среды выполнения.

Следующий шаг

Подключение системы SAP к Microsoft Sentinel