SAP 應用程式的 Microsoft Sentinel 解決方案部署必要條件
本文列出部署 SAP 應用程式的 Microsoft Sentinel 解決方案所需的必要條件,視您要部署數據連接器代理程式或使用無代理程式解決方案搭配 SAP Cloud Connector 而有所不同。 選取此頁面頂端符合部署的選項。
檢閱並確保您具備或瞭解所有必要條件,是部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案的第一個步驟。 選取連線類型以列出您環境的必要條件。
本文中的內容與您的 安全性、 基礎結構和 SAP BASIS 小組相關。
本文中的內容與您的 安全性和 SAP BASIS 小組有關。
重要
Microsoft Sentinel 的 無代理程式解決方案 處於有限預覽狀態,因為發行前產品可能經過大幅修改。 Microsoft未就此處提供的資訊表示或默示擔保。 存取無代理程式解決方案也需要註冊,而且只能在預覽期間提供給已核准的客戶和合作夥伴使用。 如需詳細資訊,請參閱 Microsoft Sentinel for SAP 無代理程式 。
Azure 必要條件
一般而言,Azure 必要條件是由您的 安全性 小組所管理。
| 必要條件 | 描述 | 必要條件/選擇性 |
|---|---|---|
| Microsoft Sentinel 的存取權 | 請記下針對 Microsoft Sentinel 啟用之 Log Analytics 工作區的 *工作區標識符和 主鍵 。 您可以在 Microsoft Sentinel 中找到這些詳細資料:從導覽功能表中,選取 [設定] >[工作區設定]>[代理程式管理]。 複製工作區識別碼和主索引鍵,並且加以貼上以供部署流程使用。 |
必要 |
| 建立 Azure 資源的權限 | 您至少必須具備從 Microsoft Sentinel 內容中樞部署解決方案的必要權限。 如需詳細資訊,請參閱 部署 Microsoft Sentinel 解決方案的必要條件。 | 必要 |
| 建立 Azure 金鑰保存庫或存取現有金鑰保存庫的權限 | 使用 Azure 金鑰保存庫 來儲存連線至 SAP 系統所需的秘密。 如需詳細資訊,請參閱指派金鑰保存庫存取權限。 | 如果您打算將 SAP 系統認證儲存在 Azure Key Vault 中,則為必要條件。 如果您打算將這些認證儲存在設定檔中,則為選用步驟。 如需詳細資訊,請參閱建立虛擬機器並設定認證的存取權。 |
| 將特殊權限角色指派給 SAP 資料連接器代理程式的權限 | 部署 SAP 資料連接器代理程式時,您必須使用 Microsoft Sentinel Business Applications 代理程式操作員角色,為代理程式的 VM 身分識別授與 Microsoft Sentinel 工作區的特定權限。 若要授與此角色,您必須在 Microsoft Sentinel 工作區所在的資源群組上具備擁有者權限。 如需詳細資訊,請參閱 部署數據連接器代理程式容器來連接SAP系統。 |
必要。 如果您沒有資源群組的擁有者權限,也可以在代理程式完全部署後,另外由擁有相關權限的另一位使用者執行相關步驟。 |
數據連接器代理程式容器的系統必要條件
一般而言,系統必要條件是由您的 基礎結構 小組所管理。
| 必要條件 | 描述 |
|---|---|
| 系統架構 | SAP 解決方案的數據連接器元件會部署為 Docker 容器。 容器主機可以是實體機器或虛擬機器,可以位於內部部署或任何雲端。 裝載容器的 VM 不一定要位於與 Microsoft Sentinel 工作區相同的 Azure 訂用帳戶中,甚或是相同的 Microsoft Entra 租用戶中。 |
| 支援的 Linux 版本 | SAP 資料連接器代理程式已經過下列 Linux 發行版本的測試: - Ubuntu 18.04 或更高版本 - SLES 15 版或更高版本 - RHEL 7.7 版或更高版本 如果您有不同的作業系統,您可能需要手動部署和設定容器。 如需詳細資訊,請參閱 使用專家選項 部署 Microsoft Sentinel for SAP 數據連接器代理程式容器,或開啟支援票證。 |
| 虛擬機器調整大小建議 | 最低規格,例如針對實驗室環境: 一個 Standard_B2s VM,具有: - 雙核心 - 4 GB RAM 標準連接器 (預設): Standard_D2as_v5 VM 或 Standard_D2_v5 VM,具有: - 雙核心 - 8 GB RAM 多個連接器: Standard_D4as_v5 或 Standard_D4_v5 VM,具有: - 四核心 - 16 GB RAM |
| 系統管理權限 | 容器主機機器上需要 (根) 的系統管理權限。 |
| 網路連線 | 確定容器主機可以存取: Microsoft Sentinel- - Azure 金鑰保存庫 (在 Azure 金鑰保存庫用於儲存密碼的部署案例中) SAP 系統透過以下 TCP 通訊埠:32xx、5xx13、33xx、48xx (使用 SNC 時),其中 xx 是 SAP 執行個體號碼。 |
| 軟體公用程式 | SAP 資料連線器部署指令碼會在容器主機 VM 上安裝下列必要軟體 (根據使用的 Linux 發行版本,清單可能會稍有不同): - 解壓縮 - NetCat - Docker - jq - curl |
| 受控識別或服務主體 | 最新版的 SAP 數據連接器代理程式需要 受控識別 或服務 主體 向 Sentinel Microsoft進行驗證。 舊版代理程式支援最新版本更新,然後使用受控識別或服務主體繼續更新至後續版本。 |
數據連接器代理程式容器的 SAP 必要條件
建議您的 SAP BASIS 小組確認並確認 SAP 系統必要條件。 強烈建議您 SAP 系統的任何管理都是由經驗豐富的 SAP 系統管理員執行。
| 必要條件 | 描述 |
|---|---|
| 支援的 SAP 版本 | SAP 資料連接器代理程式支援 SAP NetWeaver 系統,並已在 SAP_BASIS 731 版 (英文) 和更新版本上完成測試。 如果您使用的是舊版 SAP_BASIS 740 版,本教學課程中的某些步驟會提供替代指示。 |
| 必要軟體 | SAP NetWeaver RFC SDK 7.50 (在此下載) 請確定您也有 SAP 使用者帳戶,以便能夠存取 SAP 軟體下載頁面。 |
| SAP 系統詳細資料 | 記下下列 SAP 系統詳細資料: - SAP 系統 IP 位址和 FQDN 主機名稱 - SAP 系統編號,例如 00- SAP 系統識別碼,來自 SAP NetWeaver 系統 (例如, NPL)- SAP 用戶端識別碼,例如 001 |
| SAP NetWeaver 執行個體存取 | SAP 資料連接器代理程式會使用下列其中一種機制向 SAP 系統進行驗證: - SAP ABAP 使用者/密碼 - 具有 X.509 憑證的使用者。 此選項需要額外的設定步驟。 如需詳細資訊,請參閱 將系統設定為使用SNC進行安全連線。 |
| SAP 角色需求 | 若要允許 SAP 資料連接器連線到您的 SAP 系統,您必須建立 SAP 系統角色。 建議您藉由部署 SAP NPLK900271 變更要求 (CR) 來建立必要的系統角色。 如需詳細資訊,請參閱 設定Microsoft Sentinel 角色。 |
| 額外支持的建議CR | 在您的 SAP 系統上部署建議的 CR,以擷取額外的詳細數據,例如用戶端 IP 位址和額外的記錄。 如需詳細資訊,請參閱設定額外數據擷取的支持(建議)。 |
Azure 必要條件
一般而言,Azure 必要條件是由您的 安全性 小組所管理。
| 必要條件 | 描述 | 必要條件/選擇性 |
|---|---|---|
| 有限預覽的存取權 | 無代理程式解決方案會要求您註冊,而且只能在有限的預覽期間內提供給核准的客戶和合作夥伴使用。 如需詳細資訊,請參閱 有限預覽註冊:Microsoft適用於 SAP 的 Sentinel 解決方案 - 無代理程式數據連接器。 | 必要 |
| 建立 Azure 資源的權限 | 您必須具備: - 從 Microsoft Sentinel 內容中樞部署解決方案的必要許可權。 如需詳細資訊,請參閱 部署Microsoft Sentinel 解決方案 和 Microsoft Entra 內建角色的必要條件。 Microsoft Sentinel 資源群組的擁有者,需要: - 建立數據收集規則和數據收集端點。 - 監視數據收集規則的計量發行者角色指派。 |
必要 |
| Microsoft Entra 中的許可權 | 您必須擁有建立應用程式註冊所需的Microsoft Entra ID 許可權。 此許可權可透過內建Microsoft Entra ID 角色的成員資格取得: - 應用程式開發人員。 |
必要 |
無代理程式數據連接器的 SAP 必要條件
建議您的 SAP BASIS 小組確認並確認 SAP 系統必要條件。 強烈建議您 SAP 系統的任何管理都是由經驗豐富的 SAP 系統管理員執行。
| 必要條件 | 描述 |
|---|---|
| 支援的 SAP 版本 | 無代理程式解決方案支援具有 SAP_BASIS 750 版和更新版本的 SAP NetWeaver 系統。 |
| SAP 系統 | 您的 SAP 系統必須具有: 已啟用下列服務的 SAP BTP 子帳戶: - SAP Integration Suite - SAP Process Integration Runtime - Cloud Foundry Runtime 如需詳細資訊,請參閱 SAP 文件。 支援試用版帳戶 。 已部署 SAP Cloud Connector SAP NetWeaver 7.5 版或更高版本 |
| SAP 角色和許可權 | 您必須在 SAP 系統中具有下列角色: 在 SAP NetWeaver 7.5+:SAP Netweaver 系統管理員 在 SAP BTP 中,下列所有角色: - 子帳戶管理員 - 整合布建器 - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
規劃擷取
建議您測試系統,以判斷每個 SAP 系統傳送至 sentinel Microsoft記錄數目。 Microsoft Sentinel 計費取決於記錄擷取大小,這反過來又取決於系統使用量、部署的模組、用戶數目、執行使用案例、網路流量和記錄類型等因素。
如需詳細資訊,請參閱