你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

安装适用于 SAP 应用程序的 Microsoft Sentinel 解决方案

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括 SAP 数据连接器（用于从 SAP 系统收集日志，并将其发送到 Microsoft Sentinel 工作区）和现成的安全内容，可帮助你深入了解组织的 SAP 环境，以及检测和响应安全威胁。 安装解决方案是在配置数据连接器代理容器之前必须执行的步骤。

Microsoft Sentinel 支持容器化数据收集器代理和无代理解决方案。 在与环境匹配的页面顶部，选择部署选项。

本文的内容与安全团队相关。

重要

Microsoft Sentinel 的“无代理解决方案”作为一款处于受限预览状态的预发布产品，在正式上市前可能会对其进行重大修改。 对于此处提供的信息，Microsoft 不作任何明示或暗示的保证。 访问“无代理解决方案”同样需要完成注册，在预览期间目前仅提供给已获批准的客户和合作伙伴。 有关详细信息，请参阅适用于 SAP 的 Microsoft Sentinel 实现无代理。

先决条件

若要从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案，你需要：

• 一个启用了 Microsoft Sentinel 的 Log Analytics 工作区。
• 对该工作区拥有读写权限。 有关详细信息，请参阅 Microsoft Sentinel 中的角色和权限。

另请确保查看部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的先决条件，尤其是 Azure 先决条件。

从内容中心安装解决方案

安装 Microsoft Sentinel 的 SAP 应用程序解决方案能使适用于 SAP 的 Microsoft Sentinel 数据连接器可用作 Microsoft Sentinel 数据连接器。 该解决方案还会部署安全内容，例如“SAP - 审核控制”工作簿以及与 SAP 相关的分析规则。

1. 在 Microsoft Sentinel 的“内容中心”搜索“SAP 应用程序”，以便将提供容器化数据连接器代理的解决方案安装在启用了 Microsoft Sentinel 的 Log Analytics 工作区中。

2. 在“适用于 SAP 应用程序的 Microsoft Sentinel 解决方案”页面上，选择“创建”以定义部署设置。 例如：

   

3. 在“基本信息”选项卡上的“项目详细信息”下，选择要在其中安装解决方案的“订阅”和“资源组”。

4. 在“实例详细信息”下，选择要在其中安装解决方案的启用了 Microsoft Sentinel 的 Log Analytics 工作区。

   如果你要在多个工作区中使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案，请选择“部分数据位于不同的工作区”，然后定义目标工作区、SOC 工作区和 SAP 工作区。 例如：

   例如：

   

5. 选择“查看 + 创建”或“下一步”以浏览解决方案组件。 准备就绪后，选择“创建”。

   部署过程可能需要几分钟时间。 部署完成后，可以在 Microsoft Sentinel 中查看已部署的内容。

提示

如果你希望将 SAP 和 SOC 数据保存在同一工作区中，且不需要额外的访问控制，请不要选择“某些数据位于不同的工作区”。 在这种情况下，如需详细信息，请参阅在同一工作区中维护的 SAP 和 SOC 数据。

安装 Microsoft Sentinel 的 SAP 无代理解决方案能使无代理的适用于 SAP 的 Microsoft Sentinel 可用作 Microsoft Sentinel 数据连接器。 该解决方案还会部署安全内容，例如“SAP - 审核控制”工作簿、与 SAP 相关的分析规则，数据收集终结点以及数据收集规则 (DCR)。

1. 在 Microsoft Sentinel 的“内容中心”搜索“SAP 无代理(预览版)”，以便将提供无代理数据连接器的解决方案安装在启用了 Microsoft Sentinel 的 Log Analytics 工作区中。

2. 在“适用于 SAP 的 Sentinel 解决方案(无代理)(预览版)”页面上，选择“创建”以定义部署设置。

3. 在“基本信息”选项卡上的“项目详细信息”下，选择要在其中安装解决方案的“订阅”和“资源组”。

4. 在“实例详细信息”下，选择要在其中安装解决方案的启用了 Microsoft Sentinel 的 Log Analytics 工作区。

5. 选择“查看 + 创建”或“下一步”以浏览解决方案组件。 准备就绪后，选择“创建”。

   部署过程可能需要几分钟时间。 部署完成后，可以在 Microsoft Sentinel 中查看已部署的内容。

6. 在 Microsoft Sentinel 的“配置 > 数据连接器”页面上，找到并选择“使用云连接器的 SAP ABAP 和 S/4 (预览版)”数据连接器。

7. 在“使用云连接器的 SAP ABAP 和 S/4 (预览版)”页面上，在“配置”区域中，选择“部署推送连接器资源”，将数据收集规则 (DCR) 和 Microsoft Entra ID 应用注册部署到订阅。

8. 部署后，请注意以下值以备后续使用：

   • 不可变 ID
   • 日志引入 URL
   • 租户 ID
   • Entra 应用程序 ID
   • Entra 应用程序机密

重要

在选择“添加连接”以创建连接器之前，请确保已完成为 Microsoft Sentinel 解决方案配置 SAP 系统中的所有 SAP 部署步骤。 必须先完全配置和部署 SAP iflow，然后才能将 SAP 系统连接到 Microsoft Sentinel。

有关更多信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。

查看已部署的内容

部署完成后，通过在“内容中心”再次浏览到适用于 SAP 应用程序的 Microsoft Sentinel 解决方案来显示新内容。 也可使用以下命令：

• 对于 Microsoft Sentinel 中的内置 SAP 工作簿，请转到“威胁管理”>“工作簿”>“模板”。

• 对于一系列与 SAP 相关的分析规则，请转到“配置”>“分析规则模板”。

只有在配置数据连接器并完成连接之后，数据连接器才会显示为已连接。

下一步

为 Microsoft Sentinel 解决方案配置 SAP 系统

相关内容

有关详细信息，请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案：安全内容参考。