通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Microsoft Sentinel 解决方案配置 SAP 系统

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文介绍如何准备 SAP 环境以连接到 SAP 数据连接器。 所做准备有所不同,具体取决于是否在使用容器化数据连接器代理。 选择页面顶部与环境匹配的选项。

本文是为 SAP 应用程序部署 Microsoft Sentinel 解决方案的第二步的一部分。

SAP 应用程序的 Microsoft Sentinel 解决方案的部署流示意图,其中突出显示了准备 SAP 步骤。

本文中的过程通常由 SAP BASIS 团队执行。 如果使用的是无代理解决方案,则还可能需要让安全团队参与。

重要

Microsoft Sentinel 的“无代理解决方案”作为一款处于受限预览状态的预发布产品,在正式上市前可能会对其进行重大修改。 对于此处提供的信息,Microsoft 不作任何明示或暗示的保证。 访问“无代理解决方案”同样需要完成注册,在预览期间目前仅提供给已获批准的客户和合作伙伴。 有关详细信息,请参阅适用于 SAP 的 Microsoft Sentinel 实现无代理

先决条件

配置 Microsoft Sentinel 角色

若要使 SAP 数据连接器可以连接到 SAP 系统,必须专门为此创建 SAP 系统角色。

  • 若要同时包括日志检索和攻击中断响应操作,建议通过从 /MSFTSEN/SENTINEL_RESPONDER 文件加载角色授权来创建此角色。

  • 若要仅包含日志检索,建议通过部署 NPLK900271 SAP 更改请求 (CR):K900271.NPL | R900271.NPL

    根据需要在 SAP 系统上部署 CR, 就像部署其他 CR 一样。 强烈建议由经验丰富的 SAP 系统管理员完成部署 SAP CR。 有关详细信息,请参阅 SAP 文档

    或者,从 MSFTSEN_SENTINEL_CONNECTOR 文件加载角色授权,其中包括数据连接器运行的所有基本权限。

    有经验的 SAP 管理员可以选择手动创建角色并为其分配适当的权限。 在这种情况下,使用要引入的日志所需的相关授权手动创建角色。 有关详细信息,请参阅所需的 ABAP 授权。 文档中的示例使用 /MSFTSEN/SENTINEL_RESPONDER 名称。

配置角色时,建议:

  • 通过运行 PFCG 事务,为 Microsoft Sentinel 生成活动角色配置文件。
  • 使用 /MSFTSEN/SENTINEL_RESPONDER 作为角色名称。

使用 MSFTSEN_SENTINEL_READER 模板创建角色,其中包括数据连接器运行所需的所有基本权限。

有关详细信息,请参阅 SAP 文档

创建用户

适用于 SAP 的 Microsoft Sentinel 解决方案应用程序要求用户帐户连接到 SAP 系统。 创建用户时:

  • 请确保创建系统用户。
  • /MSFTSEN/SENTINEL_RESPONDER 角色分配给在上一步骤中创建的用户。
  • 请确保创建系统用户。
  • MSFTSEN_SENTINEL_READER 角色分配给在上一步骤中创建的用户。

有关详细信息,请参阅 SAP 文档

配置 SAP 审核

默认情况下,SAP 系统的某些安装可能未启用审核日志。 在评估适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的性能和效果时,为获得最佳结果,请对 SAP 系统启用审核并配置审核参数。 如果要引入 SAP HANA DB 日志,请确保同时为 SAP HANA DB 启用审核。

建议为审核日志中的所有消息(而不是仅特定日志)配置审核。 引入成本差异通常很小,并且数据对于 Microsoft Sentinel 检测以及入侵后调查和搜寻很有用。

有关详细信息,请参阅 SAP 社区在 Microsoft Sentinel 中收集 SAP HANA 审核日志

将系统配置为使用 SNC 进行安全连接

默认情况下,SAP 数据连接器代理使用远程函数调用 (RFC) 连接以及用户名和密码连接到 SAP 服务器进行身份验证。

但是,可能需要在加密通道上建立连接,或使用客户端证书进行身份验证。 在这些情况下,请使用 SAP 中的智能网络通信 (SNC) 来保护数据连接,如本部分所述。

在生产环境中,强烈建议你咨询 SAP 管理员来创建配置 SNC 的部署计划。 有关详细信息,请参阅 SAP 文档

配置 SNC 时:

  • 如果客户端证书是由企业证书颁发机构颁发的,请将颁发的 CA 和根 CA 证书传输到计划创建数据连接器代理的系统。
  • 如果使用的是数据连接器代理,请确保在配置 SAP 数据连接器代理容器时,也输入相关值并使用相关过程。 如果使用的是无代理解决方案,则 SNC 配置在 SAP 云连接器中完成。

虽然此步骤是可选的,但建议启用 SAP 数据连接器,以便从 SAP 系统检索以下内容信息:

  • DB 表和后台输出日志
  • 安全审核日志中的客户端 IP 地址信息

  1. 根据 SAP 版本,从 Microsoft Sentinel GitHub 存储库部署相关的 CR:

    SAP Basis 版本 建议的 CR
    750 及更高版本 NPLK900202:K900202.NPLR900202.NPL

    部署以下任一 SAP 版本时,还要部署 2641084 - 对安全审核日志数据的标准化读取访问
    - 750 SP04 到 SP12
    - 751 SP00 到 SP06
    - 752 SP00 到 SP02
    740 NPLK900201:K900201.NPLR900201.NPL

    根据需要在 SAP 系统上部署 CR, 就像部署其他 CR 一样。 强烈建议由经验丰富的 SAP 系统管理员完成部署 SAP CR。 有关详细信息,请参阅 SAP 文档

    有关详细信息,请参阅 SAP 社区SAP 文档

  2. 若要支持 SAP BASIS 版本 7.31-7.5 SP12 将客户端 IP 地址信息发送到 Microsoft Sentinel,请激活 SAP 表 USR41 的日志记录。 有关详细信息,请参阅 SAP 文档

验证 PAHI 表是否定期更新

SAP PAHI 表包括有关 SAP 系统、数据库和 SAP 参数的历史记录数据。 在某些情况下,由于配置缺失或错误,适用于 SAP 的 Microsoft Sentinel 解决方案 应用程序无法定期监视 SAP PAHI 表。 请务必更新 PAHI 表并经常对其进行监视,以便适用于 SAP 的 Microsoft Sentinel 解决方案 应用程序可以针对全天随时可能发生的可疑操作发出警报。 有关详细信息,请参阅:

如果 PAHI 表定期更新,则会计划 SAP_COLLECTOR_FOR_PERFMONITOR 作业并每小时运行一次。 如果 SAP_COLLECTOR_FOR_PERFMONITOR 作业不存在,请确保根据需要对其进行配置。

有关详细信息,请参阅后台处理中的数据库收集器配置数据收集器

配置 SAP BTP 设置

  1. 在 SAP BTP 子帐户中,为以下服务添加权利:

    • SAP Integration Suite
    • SAP Process Integration Runtime
    • Cloud Foundry Runtime

  2. 创建 Cloud Foundry Runtime 的实例,然后创建 Cloud Foundry 空间。

  3. 创建 SAP Integration Suite 的实例。

  4. 将 SAP BTP Integration_Provisioner 角色分配给 SAP BTP 子帐户用户帐户。

  5. 在 SAP Integration Suite 中,添加云集成功能。

  6. 将以下流程集成角色分配给用户帐户:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    这些角色仅在激活云集成功能后可用。

  7. 在子帐户中创建 SAP Process Integration Runtime 的实例。

  8. 为 SAP Process Integration Runtime 创建服务密钥,并将 JSON 内容保存到安全位置。 必须先激活云集成功能,然后才能为 SAP Process Integration Runtime 创建服务密钥。

有关详细信息,请参阅 SAP 文档

配置 SAP 云连接器设置

  1. 安装 SAP 云连接器。 有关详细信息,请参阅 SAP 文档

  2. 在云连接器界面登录,并使用相关凭据添加子帐户。 有关详细信息,请参阅 SAP 文档

  3. 在云连接器子帐户中,将新的系统映射添加到后端系统,以将 ABAP 系统映射到 RFC 协议。

  4. 定义负载均衡选项并输入后端 ABAP 服务器详细信息。 在此步骤中,将虚拟主机的名称复制到安全位置,以便稍后在部署过程中使用。

  5. 将新资源添加到以下每个函数名称的系统映射:

    • RSAU_API_GET_LOG_DATA,用于提取 SAP 安全审核日志数据

    • BAPI_USER_GET_DETAIL,用于检索 SAP 用户详细信息

    • RFC_READ_TABLE,用于从所需表读取数据

  6. 在 SAP BTP 中添加一个新目标,该目标指向之前创建的虚拟主机。 使用以下详细信息填充新目标:

    • 名称:输入要用于 Microsoft Sentinel 连接的名称

    • 类型:RFC

    • 代理类型:On-Premise

    • 用户:输入前面为 Microsoft Sentinel 创建的 ABAP 用户帐户

    • 授权类型:CONFIGURED USER

    • 附加属性:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • 位置:仅当将多个云连接器连接到同一 BTP 子帐户时才需要。 有关详细信息,请参阅 SAP 文档

配置 SAP Integration Suite 设置

创建一个新的 OAuth2 客户端凭据,用于存储之前创建的 Microsoft Entra ID 应用注册的连接详细信息。

创建凭据时,请输入以下详细信息:

  • 名称LogIngestionAPI

  • 令牌服务 URL:https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

  • 客户端 ID<your app registration client ID>

  • 客户端身份验证:作为正文参数发送

  • 范围:https://monitor.azure.com//.default

  • 内容类型application/x-www-form-urlencoded

导入和部署适用于 SAP 的 Microsoft Sentinel 解决方案包

  1. https://aka.ms/SAPAgentlessPackage 下载适用于 SAP 的 Microsoft Sentinel 解决方案包。

  2. 将下载的包导入 SAP Integration Suite。

  3. 打开适用于 SAP 的 Microsoft Sentinel 解决方案包,并浏览到项目。

  4. 选择“将安全日志发送到 Microsoft - 应用层”项目。

  5. 选择“配置”,然后输入 DCR 详细信息:

    • LogsIngestionURL:DCR 的 DCE 中的引入 URL,如之前保存的 URL。
    • DCRImmutableId:DCR 的不可变 ID,如之前保存的 ID。

  6. 选择“部署”,以使用 SAP Cloud Integration 作为运行时服务部署 i-flow。

下一步

将 SAP 系统连接到 Microsoft Sentinel