Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I den här artikeln beskrivs hur du förbereder SAP-miljön för anslutning till SAP-dataanslutningen. Förberedelsen skiljer sig åt beroende på om du använder agenten för containerbaserad dataanslutning. Välj det alternativ överst på sidan som matchar din miljö.

Den här artikeln är en del av det andra steget i distributionen av Microsoft Sentinel-lösningen för SAP-program.

Procedurerna i den här artikeln utförs vanligtvis av SAP BASIS-teamet . Om du använder den agentlösa lösningen kan du också behöva involvera ditt säkerhetsteam .

Viktigt!

Microsoft Sentinels agentlösa lösning är i begränsad förhandsversion som en förhyrd produkt, som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier som uttrycks eller underförstås, med avseende på den information som tillhandahålls här. Åtkomst till den agentlösa lösningen kräver också registrering och är endast tillgänglig för godkända kunder och partner under förhandsversionen. Mer information finns i Microsoft Sentinel för SAP blir agentlös .

Förutsättningar

• Innan du börjar bör du granska förutsättningarna för att distribuera Microsoft Sentinel-lösningen för SAP-program.

Konfigurera Microsoft Sentinel-rollen

För att sap-dataanslutningen ska kunna ansluta till ditt SAP-system måste du skapa en SAP-systemroll specifikt för detta ändamål.

• Om du vill inkludera både svarsåtgärder för logghämtning och attackstörningar rekommenderar vi att du skapar den här rollen genom att läsa in rollauktoriseringar från filen /MSFTSEN/SENTINEL_RESPONDER.

• Om du bara vill inkludera logghämtning rekommenderar vi att du skapar den här rollen genom att distribuera NPLK900271 SAP-ändringsbegäran (CR): K900271.NPL | R900271. NPL

  Distribuera CRs på ditt SAP-system efter behov precis som du distribuerar andra CRs. Vi rekommenderar starkt att du distribuerar SAP CRs av en erfaren SAP-systemadministratör. Mer information finns i SAP-dokumentationen.

  Alternativt läser du in rollauktoriseringarna från MSFTSEN_SENTINEL_CONNECTOR-filen, som innehåller alla grundläggande behörigheter för att dataanslutningen ska fungera.

  Erfarna SAP-administratörer kan välja att skapa rollen manuellt och tilldela den lämpliga behörigheter. I sådana fall skapar du en roll manuellt med de relevanta auktoriseringar som krävs för loggarna som du vill mata in. Mer information finns i Nödvändiga ABAP-auktoriseringar. Exempel i vår dokumentation använder namnet /MSFTSEN/SENTINEL_RESPONDER .

När du konfigurerar rollen rekommenderar vi att du:

• Generera en aktiv rollprofil för Microsoft Sentinel genom att köra PFCG-transaktionen .
• Använd /MSFTSEN/SENTINEL_RESPONDER som rollnamn.

Skapa en roll med hjälp av mallen MSFTSEN_SENTINEL_READER , som innehåller alla grundläggande behörigheter för att dataanslutningen ska fungera.

Mer information finns i SAP-dokumentationen om hur du skapar roller.

Skapa en användare

Microsoft Sentinel-lösningen för SAP-program kräver ett användarkonto för att ansluta till ditt SAP-system. När du skapar din användare:

• Se till att skapa en systemanvändare.
• Tilldela rollen /MSFTSEN/SENTINEL_RESPONDER till användaren, som du skapade i föregående steg.

• Se till att skapa en systemanvändare.
• Tilldela den MSFTSEN_SENTINEL_READER rollen till användaren, som du skapade i föregående steg.

Mer information finns i SAP-dokumentationen.

Konfigurera SAP-granskning

Vissa installationer av SAP-system kanske inte har granskningsloggning aktiverat som standard. För bästa resultat vid utvärdering av prestanda och effekt för Microsoft Sentinel-lösningen för SAP-program kan du aktivera granskning av SAP-systemet och konfigurera granskningsparametrarna. Om du vill mata in SAP HANA DB-loggar måste du även aktivera granskning för SAP HANA DB.

Vi rekommenderar att du konfigurerar granskning för alla meddelanden från granskningsloggen i stället för endast specifika loggar. Skillnader i inmatningskostnader är i allmänhet minimala och data är användbara för Microsoft Sentinel-identifieringar och i undersökningar och jakt efter kompromisser.

Mer information finns i SAP-communityn och Samla in SAP HANA-granskningsloggar i Microsoft Sentinel.

Konfigurera systemet att använda SNC för säkra anslutningar

Som standard ansluter SAP-dataanslutningsagenten till en SAP-server med hjälp av en RFC-anslutning (Remote Function Call) och ett användarnamn och lösenord för autentisering.

Du kan dock behöva upprätta anslutningen på en krypterad kanal eller använda klientcertifikat för autentisering. I dessa fall använder du Smart Network Communications (SNC) från SAP för att skydda dina dataanslutningar, enligt beskrivningen i det här avsnittet.

I en produktionsmiljö rekommenderar vi starkt att du kontaktar SAP-administratörer för att skapa en distributionsplan för att konfigurera SNC. Mer information finns i SAP-dokumentationen.

När du konfigurerar SNC:

• Om klientcertifikatet har utfärdats av en företagscertifikatutfärdare överför du certifikatutfärdare och rotcertifikatutfärdarcertifikat till systemet där du planerar att skapa dataanslutningsagenten.
• Om du använder dataanslutningsagenten måste du även ange relevanta värden och använda relevanta procedurer när du konfigurerar SAP-dataanslutningsagentcontainern. Om du använder den agentlösa lösningen görs SNC-konfigurationen i SAP Cloud Connector.

Mer information om SNC finns i Komma igång med SAP SNC för RFC-integreringar – SAP-blogg.

Konfigurera stöd för extra datahämtning (rekommenderas)

Även om det här steget är valfritt rekommenderar vi att du aktiverar SAP-dataanslutningen för att hämta följande innehållsinformation från DITT SAP-system:

• Db Table- och Spool-utdataloggar
• Information om klientens IP-adress från säkerhetsgranskningsloggarna

1. Distribuera relevanta CRs från Microsoft Sentinel GitHub-lagringsplatsen enligt din SAP-version:

   SAP BASIS-versioner	Rekommenderad CR
   750 och högre	NPLK900202: K900202.NPL, R900202. NPL När du distribuerar den här CR:en någon av följande SAP-versioner distribuerar du även 2641084 – Standardiserad läsåtkomst till data i säkerhetsgranskningsloggen: - 750 SP04 till SP12 - 751 SP00 till SP06 - 752 SP00 till SP02
   740	NPLK900201: K900201.NPL, R900201. NPL

   Distribuera CRs på ditt SAP-system efter behov precis som du distribuerar andra CRs. Vi rekommenderar starkt att du distribuerar SAP CRs av en erfaren SAP-systemadministratör. Mer information finns i SAP-dokumentationen.

   Mer information finns i SAP Community och SAP-dokumentationen.

2. Aktivera loggning för SAP-tabellen USR41 för att stödja SAP BASIS-versionerna 7.31-7.5 SP12 i att skicka information om klientens IP-adress till Microsoft Sentinel. Mer information finns i SAP-dokumentationen.

Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum

SAP PAHI-tabellen innehåller data om historiken för SAP-systemet, databasen och SAP-parametrarna. I vissa fall kan Microsoft Sentinel-lösningen för SAP-program inte övervaka SAP PAHI-tabellen med jämna mellanrum på grund av att konfigurationen saknas eller är felaktig. Det är viktigt att uppdatera PAHI-tabellen och övervaka den ofta, så att Microsoft Sentinel-lösningen för SAP-program kan avisera om misstänkta åtgärder som kan inträffa när som helst under dagen. Mer information finns i:

• SAP-anteckning 12103
• Övervaka konfigurationen av statiska SAP-säkerhetsparametrar (förhandsversion)

Om PAHI-tabellen uppdateras regelbundet schemaläggs SAP_COLLECTOR_FOR_PERFMONITOR jobbet och körs varje timme. Om jobbet SAP_COLLECTOR_FOR_PERFMONITOR inte finns måste du konfigurera det efter behov.

Mer information finns i Databasinsamlare i Bakgrundsbearbetning och Konfigurera datainsamlaren.

Konfigurera SAP BTP-inställningar

1. Lägg till rättigheter för följande tjänster i ditt SAP BTP-underkonto:

   • SAP Integration Suite
   • SAP Process Integration Runtime
   • Cloud Foundry Runtime

2. Skapa en instans av Cloud Foundry Runtime och skapa sedan även ett Cloud Foundry-utrymme.

3. Skapa en instans av SAP Integration Suite.

4. Tilldela SAP BTP-Integration_Provisioner rollen till ditt SAP BTP-underkontoanvändarkonto.

5. Lägg till molnintegreringsfunktionen i SAP Integration Suite.

6. Tilldela följande processintegreringsroller till ditt användarkonto:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Dessa roller är endast tillgängliga när du har aktiverat molnintegreringsfunktionen.

7. Skapa en instans av SAP Process Integration Runtime i ditt underkonto.

8. Skapa en tjänstnyckel för SAP Process Integration Runtime och spara JSON-innehållet på en säker plats. Du måste aktivera molnintegreringsfunktionen innan du skapar en tjänstnyckel för SAP Process Integration Runtime.

Mer information finns i SAP-dokumentationen.

Konfigurera inställningar för SAP Cloud Connector

1. Installera SAP Cloud Connector. Mer information finns i SAP-dokumentationen.

2. Logga in på gränssnittet för molnanslutningsappen och lägg till underkontot med relevanta autentiseringsuppgifter. Mer information finns i SAP-dokumentationen.

3. Lägg till en ny systemmappning i serverdelssystemet i underkontot för molnanslutningsappen för att mappa ABAP-systemet till RFC-protokollet.

4. Definiera alternativ för belastningsutjämning och ange serverdelens ABAP-serverinformation. I det här steget kopierar du namnet på den virtuella värden till en säker plats som ska användas senare i distributionsprocessen.

5. Lägg till nya resurser i systemmappningen för vart och ett av följande funktionsnamn:

   • RSAU_API_GET_LOG_DATA för att hämta SAP-säkerhetsgranskningsloggdata

   • BAPI_USER_GET_DETAIL för att hämta SAP-användarinformation

   • RFC_READ_TABLE för att läsa data från obligatoriska tabeller

6. Lägg till ett nytt mål i SAP BTP som pekar på den virtuella värd som du skapade tidigare. Använd följande information för att fylla i det nya målet:

   • Namn: Ange det namn som du vill använda för Microsoft Sentinel-anslutningen

   • Typ RFC

   • Proxytyp: On-Premise

   • Användare: Ange det ABAP-användarkonto som du skapade tidigare för Microsoft Sentinel

   • Auktoriseringstyp: CONFIGURED USER

   • Ytterligare egenskaper:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Plats: Krävs endast när du ansluter flera molnanslutningar till samma BTP-underkonto. Mer information finns i SAP-dokumentationen.

Konfigurera inställningar för SAP Integration Suite

Skapa en ny OAuth2-klientautentiseringsuppgift för att lagra anslutningsinformationen för appregistreringen för Microsoft Entra-ID som du skapade tidigare.

När du skapar autentiseringsuppgifterna anger du följande information:

• Namn: LogIngestionAPI

• URL för tokentjänst: https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

• Klient-ID: <your app registration client ID>

• Klientautentisering: Skicka som brödtextparameter

• Omfång: https://monitor.azure.com//.default

• Innehållstyp: application/x-www-form-urlencoded

Importera och distribuera Microsoft Sentinel-lösningen för SAP-paketet

1. Ladda ned Microsoft Sentinel-lösningen för SAP-paketet från https://aka.ms/SAPAgentlessPackage.

2. Importera det nedladdade paketet till SAP Integration Suite.

3. Öppna Microsoft Sentinel-lösningen för SAP-paketet och bläddra till artefakterna.

4. Välj Skicka säkerhetsloggar till Microsoft – artefakt på programnivå .

5. Välj Konfigurera och ange sedan din DCR-information:

   • LogsIngestionURL inmatnings-URL:en från DCR:ens DCE, som sparades tidigare.
   • DCRImmutableId: DCR:s oföränderliga ID, som sparades tidigare.

6. Välj Distribuera för att distribuera i-flow med SAP Cloud Integration som körningstjänst.

Gå vidare

Ansluta DITT SAP-system till Microsoft Sentinel