تكوين نظام SAP لحل Microsoft Sentinel

مقالة
11/05/2024
ينطبق على:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

توضح هذه المقالة كيفية إعداد بيئة SAP للاتصال بعامل موصل بيانات SAP. يتضمن التحضير تكوين تخويلات SAP المطلوبة، واختياريا، نشر طلبات تغيير SAP الإضافية (CRs).

هذه المقالة هي جزء من الخطوة الثانية في نشر حل Microsoft Sentinel لتطبيقات SAP.

رسم تخطيطي لتدفق النشر لحل Microsoft Sentinel لتطبيقات SAP، مع تمييز خطوة إعداد SAP.

عادة ما يتم تنفيذ الإجراءات الواردة في هذه المقالة بواسطة فريق SAP BASIS.

المتطلبات الأساسية

قبل البدء، تأكد من مراجعة المتطلبات الأساسية لنشر حل Microsoft Sentinel لتطبيقات SAP.

تكوين دور Microsoft Sentinel

للسماح لموصل بيانات SAP بالاتصال بنظام SAP الخاص بك، يجب إنشاء دور نظام SAP خصيصا لهذا الغرض.

لتضمين كل من إجراءات استرداد السجل والاستجابة لتعطل الهجوم، نوصي بإنشاء هذا الدور عن طريق تحميل تخويلات الدور من ملف /MSFTSEN/SENTINEL_RESPONDER.
لتضمين استرداد السجل فقط، نوصي بإنشاء هذا الدور عن طريق نشر طلب تغيير NPLK900271 SAP (CR): K900271.NPL | R900271. NPL

نشر CRs على نظام SAP الخاص بك حسب الحاجة تماما كما كنت نشر CRs أخرى. نوصي بشدة بأن يتم نشر SAP CRs من قبل مسؤول نظام SAP ذوي الخبرة. لمزيد من المعلومات، راجع وثائق SAP.

بدلا من ذلك، قم بتحميل تخويلات الدور من ملف MSFTSEN_SENTINEL_CONNECTOR ، والذي يتضمن جميع الأذونات الأساسية لتشغيل موصل البيانات.

قد يختار مسؤولو SAP ذوي الخبرة إنشاء الدور يدويا وتعيين الأذونات المناسبة له. في مثل هذه الحالات، قم بإنشاء دور يدويا مع التخويلات ذات الصلة المطلوبة للسجلات التي تريد استيعابها. لمزيد من المعلومات، راجع تخويلات ABAP المطلوبة. تستخدم الأمثلة في وثائقنا اسم /MSFTSEN/SENTINEL_RESPONDER .

عند تكوين الدور، نوصي بما يلي:

إنشاء ملف تعريف دور نشط ل Microsoft Sentinel عن طريق تشغيل معاملة PFCG .
استخدم /MSFTSEN/SENTINEL_RESPONDER كاسم الدور.

لمزيد من المعلومات، راجع وثائق SAP حول إنشاء الأدوار.

أنشئ مجموعة

يتطلب حل Microsoft Sentinel لتطبيقات SAP حساب مستخدم للاتصال بنظام SAP الخاص بك. عند إنشاء المستخدم الخاص بك:

تأكد من إنشاء مستخدم نظام.
قم بتعيين دور /MSFTSEN/SENTINEL_RESPONDER للمستخدم، الذي قمت بإنشائه في الخطوة السابقة.

لمزيد من المعلومات، راجع وثائق SAP.

تكوين تدقيق SAP

قد لا يتم تمكين تسجيل التدقيق في بعض عمليات تثبيت أنظمة SAP بشكل افتراضي. للحصول على أفضل النتائج في تقييم أداء وفعالية حل Microsoft Sentinel لتطبيقات SAP، قم بتمكين تدقيق نظام SAP وتكوين معلمات التدقيق. إذا كنت ترغب في استيعاب سجلات SAP HANA DB، فتأكد أيضا من تمكين التدقيق ل SAP HANA DB.

نوصي بتكوين التدقيق لجميع الرسائل من سجل التدقيق، لأن هذه البيانات مفيدة لاكتشافات Microsoft Sentinel وفي التحقيقات والتتبع بعد الاختراق.

لمزيد من المعلومات، راجع مجتمع SAP وجمع سجلات تدقيق SAP HANA في Microsoft Sentinel.

تكوين الدعم لاسترداد البيانات الإضافية (مستحسن)

في حين أن هذه الخطوة اختيارية، نوصي بنشر CRs إضافية من مستودع Microsoft Sentinel GitHub لتمكين موصل بيانات SAP لاسترداد معلومات المحتوى التالية من نظام SAP الخاص بك:

جدول DB وسجلات إخراج Spool
معلومات عنوان IP للعميل من سجلات تدقيق الأمان (SAP BASIS الإصدار 7.5 SP12 والإصدارات الأحدث فقط)

توزيع CRs ذات الصلة وفقا لإصدار SAP الخاص بك:

إِصدارات SAP BASIS	المورد المخصص الموصى به
750 وأعلى	NPLK900202: K900202.NPL، R900202.NPL عند نشر CR هذا أي من إصدارات SAP التالية، قم أيضا بنشر 2641084 - وصول قراءة موحد إلى بيانات سجل تدقيق الأمان: - 750 SP04 إلى SP12 - 751 SP00 إلى SP06 - 752 SP00 إلى SP02
740	NPLK900201: K900201.NPL، R900201.NPL

نشر CRs على نظام SAP الخاص بك حسب الحاجة تماما كما كنت نشر CRs أخرى. نوصي بشدة بأن يتم نشر SAP CRs من قبل مسؤول نظام SAP ذوي الخبرة. لمزيد من المعلومات، راجع وثائق SAP.

لمزيد من المعلومات، راجع مجتمع SAP ووثائق SAP.

تحقق من تحديث جدول PAHI على فترات منتظمة

يتضمن جدول SAP PAHI بيانات حول محفوظات نظام SAP وقاعدة البيانات ومعلمات SAP. في بعض الحالات، لا يمكن لحل Microsoft Sentinel لتطبيقات SAP مراقبة جدول SAP PAHI على فترات منتظمة، بسبب التكوين المفقود أو الخاطئ. من المهم تحديث جدول PAHI ومراقبته بشكل متكرر، بحيث يمكن لحل Microsoft Sentinel لتطبيقات SAP التنبيه بشأن الإجراءات المشبوهة التي قد تحدث في أي وقت على مدار اليوم. لمزيد من المعلومات، راجع:

إذا تم تحديث جدول PAHI بانتظام، تتم جدولة SAP_COLLECTOR_FOR_PERFMONITOR المهمة وتشغيلها كل ساعة. SAP_COLLECTOR_FOR_PERFMONITOR إذا لم تكن الوظيفة موجودة، فتأكد من تكوينها حسب الحاجة.

لمزيد من المعلومات، راجع جامع قاعدة البيانات في معالجة الخلفية وتكوين مجمع البيانات.

تكوين النظام لاستخدام SNC للاتصالات الآمنة

بشكل افتراضي، يتصل عامل موصل بيانات SAP بخادم SAP باستخدام اتصال استدعاء دالة عن بعد (RFC) واسم مستخدم وكلمة مرور للمصادقة.

ومع ذلك، قد تحتاج إلى إجراء الاتصال على قناة مشفرة أو استخدام شهادات العميل للمصادقة. في هذه الحالات، استخدم اتصالات الشبكة الذكية (SNC) من SAP لتأمين اتصالات البيانات، كما هو موضح في هذا القسم.

في بيئة الإنتاج، نوصي بشدة بالتشاور مع مسؤولي SAP لإنشاء خطة توزيع لتكوين SNC. لمزيد من المعلومات، راجع وثائق SAP.

عند تكوين SNC:

إذا تم إصدار شهادة العميل من قبل مرجع مصدق مؤسسة، فنقل شهادات المرجع المصدق والجذر المصدر إلى النظام حيث تخطط لإنشاء عامل موصل البيانات.
تأكد أيضا من إدخال القيم ذات الصلة واستخدام الإجراءات ذات الصلة عند تكوين حاوية عامل موصل بيانات SAP.

الخطوة التالية

توصيل نظام SAP الخاص بك عن طريق نشر حاوية عامل موصل البيانات

مشاركة عبر