مشاركة عبر

تكوين نظام SAP لحل Microsoft Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توضح هذه المقالة كيفية إعداد بيئة SAP للاتصال بموصل بيانات SAP. يختلف التحضير، اعتمادا على ما إذا كنت تستخدم عامل موصل البيانات المعبأة في حاويات. حدد الخيار في أعلى الصفحة الذي يتطابق مع بيئتك.

هذه المقالة هي جزء من الخطوة الثانية في نشر حل Microsoft Sentinel لتطبيقات SAP.

رسم تخطيطي لتدفق النشر لحل Microsoft Sentinel لتطبيقات SAP، مع تمييز خطوة إعداد SAP.

عادة ما يتم تنفيذ الإجراءات الواردة في هذه المقالة بواسطة فريق SAP BASIS. إذا كنت تستخدم الحل بدون عامل، فقد تحتاج أيضا إلى إشراك فريق الأمان الخاص بك.

هام

حل Microsoft Sentinel بدون عامل في معاينة محدودة كمنتج تم إصداره مسبقا، والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات صريحة أو ضمنية، فيما يتعلق بالمعلومات المقدمة هنا. يتطلب الوصول إلى الحل Agentless أيضا التسجيل ولا يتوفر إلا للعملاء والشركاء المعتمدين خلال فترة المعاينة. لمزيد من المعلومات، راجع Microsoft Sentinel for SAP يذهب بدون عامل .

المتطلبات الأساسية

تكوين دور Microsoft Sentinel

للسماح لموصل بيانات SAP بالاتصال بنظام SAP الخاص بك، يجب إنشاء دور نظام SAP خصيصا لهذا الغرض.

  • لتضمين كل من إجراءات استرداد السجل والاستجابة لتعطل الهجوم، نوصي بإنشاء هذا الدور عن طريق تحميل تخويلات الدور من ملف /MSFTSEN/SENTINEL_RESPONDER.

  • لتضمين استرداد السجل فقط، نوصي بإنشاء هذا الدور عن طريق نشر طلب تغيير NPLK900271 SAP (CR): K900271.NPL | R900271. NPL

    نشر CRs على نظام SAP الخاص بك حسب الحاجة تماما كما كنت نشر CRs أخرى. نوصي بشدة بأن يتم نشر SAP CRs من قبل مسؤول نظام SAP ذوي الخبرة. لمزيد من المعلومات، راجع وثائق SAP.

    بدلا من ذلك، قم بتحميل تخويلات الدور من ملف MSFTSEN_SENTINEL_CONNECTOR ، والذي يتضمن جميع الأذونات الأساسية لتشغيل موصل البيانات.

    قد يختار مسؤولو SAP ذوي الخبرة إنشاء الدور يدويا وتعيين الأذونات المناسبة له. في مثل هذه الحالات، قم بإنشاء دور يدويا مع التخويلات ذات الصلة المطلوبة للسجلات التي تريد استيعابها. لمزيد من المعلومات، راجع تخويلات ABAP المطلوبة. تستخدم الأمثلة في وثائقنا اسم /MSFTSEN/SENTINEL_RESPONDER .

عند تكوين الدور، نوصي بما يلي:

  • إنشاء ملف تعريف دور نشط ل Microsoft Sentinel عن طريق تشغيل معاملة PFCG .
  • استخدم /MSFTSEN/SENTINEL_RESPONDER كاسم الدور.

إنشاء دور باستخدام قالب MSFTSEN_SENTINEL_READER ، والذي يتضمن جميع الأذونات الأساسية لتشغيل موصل البيانات.

لمزيد من المعلومات، راجع وثائق SAP حول إنشاء الأدوار.

أنشئ مجموعة

يتطلب حل Microsoft Sentinel لتطبيقات SAP حساب مستخدم للاتصال بنظام SAP الخاص بك. عند إنشاء المستخدم الخاص بك:

  • تأكد من إنشاء مستخدم نظام.
  • قم بتعيين دور /MSFTSEN/SENTINEL_RESPONDER للمستخدم، الذي قمت بإنشائه في الخطوة السابقة.
  • تأكد من إنشاء مستخدم نظام.
  • قم بتعيين دور MSFTSEN_SENTINEL_READER للمستخدم، الذي قمت بإنشائه في الخطوة السابقة.

لمزيد من المعلومات، راجع وثائق SAP.

تكوين تدقيق SAP

قد لا يتم تمكين تسجيل التدقيق في بعض عمليات تثبيت أنظمة SAP بشكل افتراضي. للحصول على أفضل النتائج في تقييم أداء وفعالية حل Microsoft Sentinel لتطبيقات SAP، قم بتمكين تدقيق نظام SAP وتكوين معلمات التدقيق. إذا كنت ترغب في استيعاب سجلات SAP HANA DB، فتأكد أيضا من تمكين التدقيق ل SAP HANA DB.

نوصي بتكوين التدقيق لكافة الرسائل من سجل التدقيق، بدلا من سجلات محددة فقط. عادة ما تكون اختلافات تكلفة الاستيعاب ضئيلة والبيانات مفيدة لاكتشافات Microsoft Sentinel وفي التحقيقات والتتبع بعد الاختراق.

لمزيد من المعلومات، راجع مجتمع SAP وجمع سجلات تدقيق SAP HANA في Microsoft Sentinel.

تكوين النظام لاستخدام SNC للاتصالات الآمنة

بشكل افتراضي، يتصل عامل موصل بيانات SAP بخادم SAP باستخدام اتصال استدعاء دالة عن بعد (RFC) واسم مستخدم وكلمة مرور للمصادقة.

ومع ذلك، قد تحتاج إلى إجراء الاتصال على قناة مشفرة أو استخدام شهادات العميل للمصادقة. في هذه الحالات، استخدم اتصالات الشبكة الذكية (SNC) من SAP لتأمين اتصالات البيانات، كما هو موضح في هذا القسم.

في بيئة الإنتاج، نوصي بشدة بالتشاور مع مسؤولي SAP لإنشاء خطة توزيع لتكوين SNC. لمزيد من المعلومات، راجع وثائق SAP.

عند تكوين SNC:

  • إذا تم إصدار شهادة العميل من قبل مرجع مصدق مؤسسة، فنقل شهادات المرجع المصدق والجذر المصدر إلى النظام حيث تخطط لإنشاء عامل موصل البيانات.
  • إذا كنت تستخدم عامل موصل البيانات، فتأكد أيضا من إدخال القيم ذات الصلة واستخدام الإجراءات ذات الصلة عند تكوين حاوية عامل موصل بيانات SAP. إذا كنت تستخدم الحل بدون عامل، يتم تكوين SNC في SAP Cloud Connector.

لمزيد من المعلومات حول SNC، راجع بدء استخدام SAP SNC لتكاملات RFC - مدونة SAP.

في حين أن هذه الخطوة اختيارية، نوصي بتمكين موصل بيانات SAP لاسترداد معلومات المحتوى التالية من نظام SAP الخاص بك:

  • جدول DB وسجلات إخراج Spool
  • معلومات عنوان IP للعميل من سجلات تدقيق الأمان

  1. انشر CRs ذات الصلة من مستودع Microsoft Sentinel GitHub، وفقا لإصدار SAP الخاص بك:

    إِصدارات SAP BASIS المورد المخصص الموصى به
    750 وأعلى NPLK900202: K900202.NPL، R900202.NPL

    عند نشر CR هذا أي من إصدارات SAP التالية، قم أيضا بنشر 2641084 - وصول قراءة موحد إلى بيانات سجل تدقيق الأمان:
    - 750 SP04 إلى SP12
    - 751 SP00 إلى SP06
    - 752 SP00 إلى SP02
    740 NPLK900201: K900201.NPL، R900201.NPL

    نشر CRs على نظام SAP الخاص بك حسب الحاجة تماما كما كنت نشر CRs أخرى. نوصي بشدة بأن يتم نشر SAP CRs من قبل مسؤول نظام SAP ذوي الخبرة. لمزيد من المعلومات، راجع وثائق SAP.

    لمزيد من المعلومات، راجع مجتمع SAP ووثائق SAP.

  2. لدعم إصدارات SAP BASIS 7.31-7.5 SP12 في إرسال معلومات عنوان IP للعميل إلى Microsoft Sentinel، قم بتنشيط التسجيل لجدول SAP USR41. لمزيد من المعلومات، راجع وثائق SAP.

تحقق من تحديث جدول PAHI على فترات منتظمة

يتضمن جدول SAP PAHI بيانات حول محفوظات نظام SAP وقاعدة البيانات ومعلمات SAP. في بعض الحالات، لا يمكن لحل Microsoft Sentinel لتطبيقات SAP مراقبة جدول SAP PAHI على فترات منتظمة، بسبب التكوين المفقود أو الخاطئ. من المهم تحديث جدول PAHI ومراقبته بشكل متكرر، بحيث يمكن لحل Microsoft Sentinel لتطبيقات SAP التنبيه بشأن الإجراءات المشبوهة التي قد تحدث في أي وقت على مدار اليوم. لمزيد من المعلومات، راجع:

إذا تم تحديث جدول PAHI بانتظام، تتم جدولة SAP_COLLECTOR_FOR_PERFMONITOR المهمة وتشغيلها كل ساعة. SAP_COLLECTOR_FOR_PERFMONITOR إذا لم تكن الوظيفة موجودة، فتأكد من تكوينها حسب الحاجة.

لمزيد من المعلومات، راجع جامع قاعدة البيانات في معالجة الخلفية وتكوين مجمع البيانات.

تكوين إعدادات SAP BTP

  1. في حساب SAP BTP الفرعي، أضف استحقاقات للخدمات التالية:

    • مجموعة تكامل SAP
    • وقت تشغيل تكامل عملية SAP
    • وقت تشغيل Cloud Foundry

  2. أنشئ مثيلا لوقت تشغيل Cloud Foundry، ثم قم أيضا بإنشاء مساحة Cloud Foundry.

  3. إنشاء مثيل ل SAP Integration Suite.

  4. قم بتعيين دور INTEGRATION_PROVISIONER SAP BTP لحساب مستخدم حساب SAP BTP الفرعي.

  5. في SAP Integration Suite، أضف إمكانية التكامل السحابي.

  6. تعيين أدوار تكامل العملية التالية لحساب المستخدم الخاص بك:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    تتوفر هذه الأدوار فقط بعد تنشيط إمكانية تكامل السحابة.

  7. أنشئ مثيلا لوقت تشغيل تكامل عملية SAP في الحساب الفرعي.

  8. إنشاء مفتاح خدمة لوقت تشغيل تكامل عملية SAP وحفظ محتويات JSON في موقع آمن. يجب تنشيط إمكانية تكامل السحابة قبل إنشاء مفتاح خدمة لوقت تشغيل تكامل عملية SAP.

لمزيد من المعلومات، راجع وثائق SAP.

تكوين إعدادات SAP Cloud Connector

  1. تثبيت SAP Cloud Connector. لمزيد من المعلومات، راجع وثائق SAP.

  2. سجل الدخول إلى واجهة موصل السحابة، وأضف الحساب الفرعي باستخدام بيانات الاعتماد ذات الصلة. لمزيد من المعلومات، راجع وثائق SAP.

  3. في الحساب الفرعي لموصل السحابة، أضف تعيين نظام جديد إلى نظام الواجهة الخلفية لتعيين نظام ABAP إلى بروتوكول RFC.

  4. حدد خيارات موازنة التحميل وأدخل تفاصيل خادم ABAP الخلفية. في هذه الخطوة، انسخ اسم المضيف الظاهري إلى موقع آمن لاستخدامه لاحقا في عملية النشر.

  5. إضافة موارد جديدة إلى تعيين النظام لكل من أسماء الوظائف التالية:

    • RSAU_API_GET_LOG_DATA، لإحضار بيانات سجل تدقيق أمان SAP

    • BAPI_USER_GET_DETAIL، لاسترداد تفاصيل مستخدم SAP

    • RFC_READ_TABLE، لقراءة البيانات من الجداول المطلوبة

  6. أضف وجهة جديدة في SAP BTP تشير إلى المضيف الظاهري الذي أنشأته سابقا. استخدم التفاصيل التالية لملء الوجهة الجديدة:

    • الاسم: أدخل الاسم الذي تريد استخدامه لاتصال Microsoft Sentinel

    • نوعRFC

    • نوع الوكيل:On-Premise

    • المستخدم: أدخل حساب مستخدم ABAP الذي أنشأته سابقا ل Microsoft Sentinel

    • نوع التخويل:CONFIGURED USER

    • خصائص إضافية:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • الموقع: مطلوب فقط عند توصيل موصلات سحابية متعددة بنفس الحساب الفرعي BTP. لمزيد من المعلومات، راجع وثائق SAP.

تكوين إعدادات SAP Integration Suite

أنشئ بيانات اعتماد عميل OAuth2 جديدة لتخزين تفاصيل الاتصال لتسجيل تطبيق Microsoft Entra ID الذي قمت بإنشائه سابقا.

عند إنشاء بيانات الاعتماد، أدخل التفاصيل التالية:

  • الاسم:LogIngestionAPI

  • عنوان URL لخدمة الرمز المميز:https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

  • معرف العميل: <your app registration client ID>

  • مصادقة العميل: إرسال كمعلمة نصية

  • النطاق: https://monitor.azure.com//.default

  • نوع المحتوى: application/x-www-form-urlencoded

استيراد ونشر حل Microsoft Sentinel لحزمة SAP

  1. قم بتنزيل حل Microsoft Sentinel لحزمة SAP من https://aka.ms/SAPAgentlessPackage.

  2. استيراد الحزمة التي تم تنزيلها إلى SAP Integration Suite.

  3. افتح حل Microsoft Sentinel لحزمة SAP واستعرض للوصول إلى البيانات الاصطناعية.

  4. حدد Send security logs to Microsoft - application layer artifact.

  5. حدد تكوين ثم أدخل تفاصيل DCR:

    • LogsIngestionURL عنوان URL للإيعاب من DCE الخاص ب DCR، كما تم حفظه سابقا.
    • DCRImmutableId: معرف DCR غير القابل للتغيير، كما تم حفظه سابقا.

  6. حدد Deploy لنشر i-flow باستخدام SAP Cloud Integration كخدمة وقت التشغيل.

الخطوة التالية

توصيل نظام SAP الخاص بك ب Microsoft Sentinel