Предварительные требования к развертыванию решений Microsoft Sentinel для приложений SAP
В этой статье перечислены предварительные требования, необходимые для развертывания решения Microsoft Sentinel для приложений SAP, которые отличаются в зависимости от того, развертываете агент соединителя данных или используете решение без агента с sap Cloud Connector. Выберите параметр в верхней части этой страницы, которая соответствует развертыванию.
Проверка и обеспечение того, что у вас есть или все необходимые компоненты являются первым шагом при развертывании решения Microsoft Sentinel для приложений SAP. Выберите тип подключения, чтобы вывести список необходимых компонентов для вашей среды.
Содержимое этой статьи относится к группам безопасности, инфраструктуры и SAP BASIS .
Содержимое этой статьи относится к группам безопасности и SAP BASIS .
Внимание
Решение Microsoft Sentinel без агента находится в ограниченной предварительной версии как предварительно выпущенный продукт, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь. Доступ к решению без агента также требует регистрации и доступен только утвержденным клиентам и партнерам в течение предварительного периода. Дополнительные сведения см. в разделе Microsoft Sentinel для SAP без агента .
Предварительные требования Azure
Как правило, предварительные требования Azure управляются командами безопасности .
| Предварительные требования | Description | Обязательный/необязательный |
|---|---|---|
| Доступ к Microsoft Sentinel | Запишите идентификатор рабочей области *и первичный ключ для рабочей области Log Analytics, включенной для Microsoft Sentinel. Эти сведения можно найти в Microsoft Sentinel: в меню навигации выберите Параметры>Параметры рабочей области>Управление агентами. Скопируйте идентификатор рабочей области и первичный ключ и сохраните их для использования в процессе развертывания. |
Обязательное поле |
| Разрешения на создание ресурсов Azure | У вас должны быть как минимум необходимые разрешения для развертывания решений из центра содержимого Microsoft Sentinel. Дополнительные сведения см. в статье "Предварительные требования для развертывания решений Microsoft Sentinel". | Обязательное поле |
| Разрешения на создание хранилища ключей Azure или доступ к существующему хранилищу ключей | Используйте Azure Key Vault для хранения секретов, необходимых для подключения к системе SAP. Дополнительные сведения см. в разделе "Назначение разрешений доступа к хранилищу ключей". | Требуется, если вы планируете хранить учетные данные системы SAP в Azure Key Vault. Необязательно, если вы планируете хранить их в файле конфигурации. Дополнительные сведения см. в статье "Создание виртуальной машины" и настройка доступа к учетным данным. |
| Разрешения на назначение привилегированной роли агенту соединителя данных SAP | При развертывании агента соединителя данных SAP требуется предоставить удостоверение виртуальной машины агента с определенными разрешениями для рабочей области Microsoft Sentinel с помощью роли оператора агента бизнес-приложений Microsoft Sentinel. Чтобы предоставить эту роль, вам нужны разрешения владельца в группе ресурсов, в которой находится рабочая область Microsoft Sentinel. Дополнительные сведения см. в статье "Подключение системы SAP" путем развертывания контейнера агента соединителя данных. |
Обязательный. Если у вас нет разрешений владельца в группе ресурсов, соответствующий шаг также может выполняться другим пользователем, у которого есть соответствующие разрешения, отдельно после полного развертывания агента. |
Предварительные требования к системе для контейнера агента соединителя данных
Как правило, предварительные требования к системе управляются командами инфраструктуры .
| Предварительные требования | Description |
|---|---|
| Системная архитектура | Компонент соединителя данных решения SAP развертывается как контейнер Docker. Узел контейнера может быть физической или виртуальной машиной, может находиться в локальной или любой облачной среде. Виртуальная машина, находящаяся в контейнере , не должна находиться в той же подписке Azure, что и рабочая область Microsoft Sentinel, или даже в том же клиенте Microsoft Entra. |
| Поддерживаемые версии Linux | Агент соединителя данных SAP тестируется со следующими дистрибутивами Linux: — Ubuntu 18.04 или более поздней версии; — SLES 15 или более поздней версии; — RHEL 7.7 или более поздней версии. Если у вас есть другая операционная система, может потребоваться развернуть и настроить контейнер вручную. Дополнительные сведения см. в статье "Развертывание контейнера агента соединителя данных SAP для Microsoft Sentinel" с помощью параметров эксперта или открытие запроса в службу поддержки. |
| Рекомендации по настройке размера виртуальных машин | Минимальная спецификация, например для лабораторной среды: Виртуальная машина Standard_B2s с такими характеристиками: - Два ядра — 4 ГБ ОЗУ Стандартный соединитель (по умолчанию): Виртуальная машина Standard_D2as_v5 или Standard_D2_v5 виртуальной машине с помощью: - Два ядра — 8 ГБ ОЗУ Несколько соединителей: Standard_D4as_v5 или Standard_D4_v5 виртуальной машине с помощью: - Четыре ядра - 16 ГБ ОЗУ |
| Права администратора | На компьютере узла контейнера необходимо иметь права администратора (root). |
| Сетевое подключение | Убедитесь, что узел контейнера имеет доступ к: Microsoft Sentinel- — хранилище ключей Azure (в сценарии развертывания, в котором хранилище ключей Azure используется для хранения секретов); — система SAP через следующие TCP-порты: 32xx, 5xx13 и 33xx, 48xx (в случае использования SNC), где xx — номер экземпляра SAP. |
| Служебные программы | Сценарий развертывания соединителя данных SAP устанавливает следующее необходимое программное обеспечение на виртуальной машине узла контейнера (в зависимости от используемого дистрибутива Linux список может немного отличаться): - Unzip - NetCat - Docker - jq - curl |
| Управляемое удостоверение или субъект-служба | Последняя версия агента соединителя данных SAP требует управляемого удостоверения или субъекта-службы для проверки подлинности в Microsoft Sentinel. Устаревшие агенты поддерживаются для обновлений до последней версии, а затем должны использовать управляемое удостоверение или субъект-службу для продолжения обновления до последующих версий. |
Предварительные требования SAP для контейнера агента соединителя данных
Мы рекомендуем команде SAP BASIS проверить и убедиться в предварительных требованиях к системе SAP. Мы настоятельно рекомендуем, чтобы управление системой SAP осуществлялось опытным системным администратором SAP.
| Предварительные требования | Description |
|---|---|
| Поддерживаемые версии SAP | Агент соединителя данных SAP поддерживает системы SAP NetWeaver и был протестирован на SAP_BASIS версии 731 и выше. Для некоторых шагов в этом учебнике приведены альтернативные инструкции при работе с более старой версией SAP — SAP_BASIS 740. |
| Обязательное программное обеспечение | SAP NetWeaver RFC SDK 7.50 (скачайте здесь) Убедитесь, что у вас также есть учетная запись пользователя SAP для доступа к странице скачивания программного обеспечения SAP. |
| Сведения о системе SAP | Запишите следующие сведения о системе SAP: — IP-адрес системы SAP и полное доменное имя узла; — номер системы SAP, например 00;— идентификатор системы SAP, из системы SAP NetWeaver (например, NPL) — идентификатор клиента SAP, например 001. |
| Доступ к экземпляру SAP NetWeaver | Агент соединителя данных SAP использует один из следующих механизмов для проверки подлинности в системе SAP: — имя пользователя и пароль SAP ABAP; — Пользователь с сертификатом X.509. Для этого параметра требуются дополнительные действия по настройке. Дополнительные сведения см. в статье "Настройка системы для использования SNC для безопасных подключений". |
| Требования к роли SAP | Чтобы разрешить соединителю данных SAP подключаться к системе SAP, необходимо создать роль системы SAP. Рекомендуется создать требуемую системную роль, развернув запрос на изменение SAP NPLK900271 (CR). Дополнительные сведения см. в разделе "Настройка роли Microsoft Sentinel". |
| Рекомендуемые CR для дополнительной поддержки | Разверните рекомендуемые CR в системе SAP для получения дополнительных сведений, таких как IP-адрес клиента и дополнительные журналы. Дополнительные сведения см. в разделе "Настройка поддержки получения дополнительных данных" (рекомендуется). |
Предварительные требования Azure
Как правило, предварительные требования Azure управляются командами безопасности .
| Предварительные требования | Description | Обязательный/необязательный |
|---|---|---|
| Доступ к ограниченной предварительной версии | Решение без агента требует регистрации и доступно только для утвержденных клиентов и партнеров в течение ограниченного периода предварительной версии. Дополнительные сведения см. в разделе "Ограниченная предварительная версия": решение Microsoft Sentinel для SAP — соединитель данных без агента. | Обязательное поле |
| Разрешения на создание ресурсов Azure | Необходимо: — Необходимые разрешения для развертывания решений из центра содержимого Microsoft Sentinel. Дополнительные сведения см. в разделе "Предварительные требования" для развертывания решений Microsoft Sentinel и встроенных ролей Microsoft Entra. Владелец группы ресурсов Microsoft Sentinel, необходимый для: — создание правила сбора данных и конечной точки сбора данных. — Мониторинг назначения ролей издателя метрик в правиле сбора данных. |
Обязательное поле |
| Разрешения в Microsoft Entra | Для создания регистраций приложений необходимо иметь разрешения в идентификаторе Microsoft Entra. Это разрешение можно получить через членство в встроенной роли идентификатора Microsoft Entra ID: — Разработчик приложений. |
Обязательное поле |
Предварительные требования SAP для соединителя данных без агента
Мы рекомендуем команде SAP BASIS проверить и убедиться в предварительных требованиях к системе SAP. Мы настоятельно рекомендуем, чтобы управление системой SAP осуществлялось опытным системным администратором SAP.
| Предварительные требования | Description |
|---|---|
| Поддерживаемые версии SAP | Решение без агента поддерживает системы SAP NetWeaver с SAP_BASIS версиями 750 и выше. |
| Система SAP | У вашей системы SAP должно быть следующее: Подсчет SAP BTP со следующими службами: — SAP Integration Suite — среда выполнения интеграции процессов SAP — Облачная среда выполнения Foundry Дополнительные сведения см. в документации по SAP. Поддерживаются пробные учетные записи. Развернутый соединитель SAP Cloud Connector SAP NetWeaver версии 7.5 или более поздней |
| Роли и разрешения SAP | В системах SAP должны быть следующие роли: В SAP NetWeaver 7.5+: администратор SAP Netweaver В SAP BTP все следующие роли: — администратор подсчетной учетной записи — Средство подготовки интеграции - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Планирование приема
Мы рекомендуем протестировать системы, чтобы определить количество журналов, которые каждая из систем SAP отправляет в Microsoft Sentinel. Выставление счетов Microsoft Sentinel зависит от размера приема журналов, который, в свою очередь, зависит от таких факторов, как использование системы, развернутые модули, число пользователей, выполнение вариантов использования, сетевой трафик и типы журналов.
Дополнительные сведения см. в разделе:
- Цены на решение
- Планирование затрат и общие сведения о ценах и выставлении счетов в Microsoft Sentinel
- Сокращение затрат на Microsoft Sentinel
- Управление затратами на Microsoft Sentinel и мониторинг