共用方式為

為 Microsoft Sentinel 解決方案設定 SAP 系統

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文說明如何準備 SAP 環境以連線到 SAP 資料連接器。 準備會根據您是否使用容器化數據連接器代理程式而有所不同。 選取頁面頂端符合您環境的選項。

本文是針對 SAP 應用程式部署 Microsoft Sentinel 解決方案的第二個步驟的一部分。

適用於 SAP 應用程式的 Microsoft Sentinel 解決方案部署流程圖表,其中已醒目提示準備 SAP 步驟。

本文中的程式通常是由您的 SAP BASIS 小組執行。 如果您使用無代理程式解決方案,您可能也需要牽涉到您的 安全性 小組。

重要

Microsoft Sentinel 的 無代理程式解決方案 處於有限預覽狀態,因為發行前產品可能經過大幅修改。 Microsoft未就此處提供的資訊表示或默示擔保。 存取無代理程式解決方案也需要註冊,而且只能在預覽期間提供給已核准的客戶和合作夥伴使用。 如需詳細資訊,請參閱 Microsoft Sentinel for SAP 無代理程式

必要條件

  • 開始之前,請務必檢閱 為 SAP 應用程式部署 Microsoft Sentinel 解決方案的必要條件。

設定 Microsoft Sentinel 角色

若要允許 SAP 資料連接器連線到您的 SAP 系統,您必須特別為此建立 SAP 系統角色。

  • 若要同時包含記錄擷取和攻擊中斷回應動作,建議您從 /MSFTSEN/SENTINEL_RESPONDER 檔案載入角色授權來建立此角色。

  • 若要只包含記錄擷取,建議您部署 NPLK900271 SAP 變更要求 (CR): K900271.NPL | R900271來建立此角色。NPL

    視需要在 SAP 系統上部署 PR,就像部署其他 CR 一樣。 強烈建議您由經驗豐富的 SAP 管理員完成 SAP CR 的部署。 如需詳細資訊,請參閱 SAP 文件

    或者,從 MSFTSEN_SENTINEL_CONNECTOR 檔案載入角色授權,其中包含數據連接器運作的所有基本許可權。

    有經驗的 SAP 管理員可以選擇手動建立角色,並指派適當的權限。 在這種情況下,請使用您想要內嵌的記錄所需的相關授權,手動建立角色。 如需詳細資訊,請參閱必要的 ABAP 授權 (部分機器翻譯)。 我們的檔中的範例會使用 /MSFTSEN/SENTINEL_RESPONDER 名稱。

設定角色時,建議您:

  • 執行 PFCG 交易,以產生Microsoft Sentinel 的作用中角色配置檔。
  • 使用 /MSFTSEN/SENTINEL_RESPONDER 作為角色名稱。

使用 MSFTSEN_SENTINEL_READER 範本建立角色,其中包含數據連接器運作的所有基本許可權。

如需詳細資訊,請參閱有關建立角色的 SAP 檔

建立使用者

適用於 SAP 應用程式的Microsoft Sentinel 解決方案需要用戶帳戶才能連線到您的 SAP 系統。 建立使用者時:

  • 請務必建立系統使用者。
  • /MSFTSEN/SENTINEL_RESPONDER 角色指派給您在上一個步驟建立的使用者。
  • 請務必建立系統使用者。
  • MSFTSEN_SENTINEL_READER角色指派給您在上一個步驟建立的使用者。

如需詳細資訊,請參閱 SAP 文件

設定 SAP 稽核

某些 SAP 系統的安裝預設可能未啟用稽核記錄。 為獲得最佳結果,評估 SAP 應用程式的 Microsoft Sentinel 解決方案效能和效力,請啟用 SAP 系統的稽核並設定稽核參數。 如果您想要內嵌 SAP HANA DB 記錄,請務必也啟用 SAP HANA DB 的稽核。

建議您設定 稽核記錄中所有 訊息的稽核,而不只是特定記錄。 擷取成本差異通常最少,數據對於Microsoft Sentinel 偵測和入侵後調查和搜捕很有用。

如需詳細資訊,請參閱 SAP 社群收集 Microsoft Sentinel 中的 SAP HANA 稽核記錄。

將您的系統設定為使用SNC進行安全連線

根據預設,SAP 資料連接器代理程式會使用遠端函數數據 (RFC) 連線和使用者名稱和密碼來連線到 SAP 伺服器以進行驗證。

不過,您可能需要在加密通道上建立連線,或使用用戶端憑證進行驗證。 在這些情況下,使用 SAP 的智慧網路通訊 (SNC) 來保護您的數據連線,如本節所述。

在生產環境中,強烈建議您洽詢 SAP 系統管理員,以建立設定 SNC 的部署計劃。 如需詳細資訊,請參閱 SAP 文件

設定 SNC 時:

  • 如果客戶端憑證是由企業證書頒發機構單位所簽發,請將發行 CA 和根 CA 憑證轉移至您計劃建立數據連接器代理程式的系統。
  • 如果您使用數據連接器代理程式,請務必也輸入相關值,並在設定 SAP 資料連接器代理程式容器使用相關程式。 如果您使用無代理程序解決方案,SNC 組態會在 SAP Cloud Connector 中完成。

雖然此步驟是選擇性的,但建議您啟用 SAP 數據連接器,以從 SAP 系統擷取下列內容資訊:

  • 資料庫數據表多任務緩衝處理輸出 記錄
  • 來自安全性稽核記錄的用戶端IP位址資訊

  1. 根據您的 SAP 版本,從 Microsoft Sentinel GitHub 存放庫部署相關的 CR:

    SAP BASIS 版本 建議 CR
    750 和更新版本 NPLK900202K900202.NPLR900202.NPL

    部署此 CR 時,下列任一 SAP 版本也會部署 2641084 - 安全性稽核記錄數據的標準化讀取許可權:
    - 750 SP04 至 SP12
    - 751 SP00 至 SP06
    - 752 SP00 至 SP02
    740 NPLK900201K900201.NPLR900201.NPL

    視需要在 SAP 系統上部署 PR,就像部署其他 CR 一樣。 強烈建議您由經驗豐富的 SAP 管理員完成 SAP CR 的部署。 如需詳細資訊,請參閱 SAP 文件

    如需詳細資訊,請參閱 SAP 社群SAP 檔

  2. 若要支援 SAP BASIS 7.31-7.5 SP12,將用戶端 IP 位址資訊傳送至 Microsoft Sentinel,請啟用 SAP 數據表 USR41 的記錄。 如需詳細資訊,請參閱 SAP 文件

確認PAHI數據表會定期更新

SAP PAHI 資料表包含 SAP 系統、資料庫和 SAP 參數歷程記錄的資料。 在某些情況下,SAP 應用程式的Microsoft Sentinel 解決方案無法定期監視 SAP PAHI 數據表,因為缺少或設定錯誤。 請務必更新 PAHI 數據表並經常監視它,讓 SAP 應用程式的Microsoft Sentinel 解決方案可以警示全天可能發生的可疑動作。 如需詳細資訊,請參閱

如果PAHI數據表會定期更新, SAP_COLLECTOR_FOR_PERFMONITOR 則會排程工作並每小時執行。 SAP_COLLECTOR_FOR_PERFMONITOR如果作業不存在,請務必視需要進行設定。

如需詳細資訊,請參閱 背景處理 中的資料庫收集器及 設定數據收集器

設定SAP BTP 設定

  1. 在您的 SAP BTP 子帳戶中,新增下列服務的權利:

    • SAP Integration Suite
    • SAP Process Integration Runtime
    • Cloud Foundry Runtime

  2. 建立 Cloud Foundry Runtime 的實例,然後建立 Cloud Foundry 空間。

  3. 建立 SAP Integration Suite 的實例。

  4. 將 SAP BTP Integration_Provisioner 角色指派給 SAP BTP 子帳戶用戶帳戶。

  5. 在 SAP Integration Suite 中,新增雲端整合功能。

  6. 將下列程式整合角色指派給您的用戶帳戶:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    只有在您啟用雲端整合功能之後,才能使用這些角色。

  7. 在子帳戶中建立 SAP Process Integration Runtime 的實例。

  8. 建立 SAP Process Integration Runtime 的服務密鑰,並將 JSON 內容儲存到安全的位置。 您必須先啟用雲端整合功能,才能建立 SAP Process Integration Runtime 的服務密鑰。

如需詳細資訊,請參閱 SAP 文件

設定 SAP Cloud Connector 設定

  1. 安裝 SAP Cloud Connector。 如需詳細資訊,請參閱 SAP 文件

  2. 在雲端連接器介面登入,並使用相關的認證新增子帳戶。 如需詳細資訊,請參閱 SAP 文件

  3. 在您的雲端連接器子帳戶中,將新的系統對應新增至後端系統,以將 ABAP 系統對應至 RFC 通訊協定。

  4. 定義負載平衡選項,並輸入您的後端 ABAP 伺服器詳細數據。 在此步驟中,將虛擬主機的名稱複製到安全的位置,以供稍後在部署程式中使用。

  5. 將新的資源新增至下列每個函式名稱的系統對應:

    • RSAU_API_GET_LOG_DATA,擷取 SAP 安全性稽核記錄數據

    • BAPI_USER_GET_DETAIL,以擷取 SAP 使用者詳細數據

    • RFC_READ_TABLE,從必要的數據表讀取數據

  6. 在 SAP BTP 中新增目的地,以指向您稍早建立的虛擬主機。 使用下列詳細資料填入新的目的地:

    • 名稱: 輸入您要用於Microsoft Sentinel 連線的名稱

    • 類型 RFC

    • Proxy 類型: On-Premise

    • 用戶:輸入您稍早為 Microsoft Sentinel 建立的 ABAP 用戶帳戶

    • 授權類型: CONFIGURED USER

    • 其他屬性:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • 位置:只有在您將多個雲端連接器連線到相同的 BTP 子帳戶時,才需要。 如需詳細資訊,請參閱 SAP 檔

設定SAP Integration Suite 設定

建立新的 OAuth2 用戶端認證,以儲存您稍早建立之Microsoft Entra ID 應用程式註冊的連線詳細數據。

建立認證時,請輸入下列詳細數據:

  • 名稱LogIngestionAPI

  • 令牌服務 URL: https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

  • 用戶端識別碼<your app registration client ID>

  • 客戶端驗證:以主體參數傳送

  • 範圍https://monitor.azure.com//.default

  • 內容類型application/x-www-form-urlencoded

匯入及部署適用於 SAP 套件的 Microsoft Sentinel 解決方案

  1. https://aka.ms/SAPAgentlessPackage下載適用於 SAP 套件的 Microsoft Sentinel 解決方案。

  2. 將下載的套件匯入 SAP Integration Suite。

  3. 開啟 sap 套件的 Microsoft Sentinel 解決方案,然後流覽至成品。

  4. 選取 [ 將安全性記錄傳送至Microsoft - 應用層 成品。

  5. 選取 [ 設定 ],然後輸入您的 DCR 詳細資料:

    • LogsIngestionURL 從 DCR 的 DCE 擷取 URL,如先前儲存
    • DCRImmutableId:D CR 的固定標識符,如先前儲存

  6. 選取 [部署] 以使用 SAP 雲端整合作為運行時間服務來部署 i-flow。

後續步驟

將 SAP 系統連線到 sentinel Microsoft