تكوين نظام SAP لحل Microsoft Sentinel

توضح هذه المقالة كيفية إعداد بيئة SAP للاتصال بموصل بيانات SAP. يختلف التحضير، اعتمادا على ما إذا كنت تستخدم عامل موصل البيانات المعبأة في حاويات. حدد الخيار في أعلى الصفحة الذي يتطابق مع بيئتك.

هذه المقالة هي جزء من الخطوة الثانية في نشر حل Microsoft Sentinel لتطبيقات SAP.

عادة ما يتم تنفيذ الإجراءات الواردة في هذه المقالة بواسطة فريق SAP BASIS .

هذه المقالة هي جزء من الخطوة الثانية في نشر حل Microsoft Sentinel لتطبيقات SAP. بينما تتطلب الخطوات التي يتم تنفيذها في Microsoft Sentinel تثبيت الحل أولا، يمكن أن تحدث الاستعدادات الأخرى في بيئة SAP بالتوازي.

عادة ما يتم تنفيذ العديد من الإجراءات في هذه المقالة بواسطة فريق SAP BASIS . تتضمن بعض الخطوات فريق الأمان الخاص بك أيضا.

هام

موصل البيانات بدون عامل ل Microsoft Sentinel ل SAP قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

• قبل البدء، تأكد من مراجعة المتطلبات الأساسية لنشر حل Microsoft Sentinel لتطبيقات SAP.

• إذا كنت تعمل مع موصل البيانات بدون عامل، يتم تنفيذ بعض الخطوات في Microsoft Sentinel وتتطلب تثبيت الحل أولا.

تكوين دور Microsoft Sentinel

للسماح لموصل بيانات SAP بالاتصال بنظام SAP الخاص بك، يجب إنشاء دور نظام SAP خصيصا لهذا الغرض.

نوصي بإنشاء هذا الدور عن طريق نشر طلب تغيير NPLK900271 SAP (CR): K900271.NPL | R900271.NPL

نشر CRs على نظام SAP الخاص بك حسب الحاجة تماما كما كنت نشر CRs أخرى. نوصي بشدة بأن يتم نشر SAP CRs من قبل مسؤول نظام SAP ذوي الخبرة. لمزيد من المعلومات، راجع وثائق SAP.

بدلا من ذلك، قم بتحميل تخويلات الدور من ملف MSFTSEN_SENTINEL_CONNECTOR ، والذي يتضمن جميع الأذونات الأساسية لتشغيل موصل البيانات.

قد يختار مسؤولو SAP ذوي الخبرة إنشاء الدور يدويا وتعيين الأذونات المناسبة له. في مثل هذه الحالات، قم بإنشاء دور يدويا مع التخويلات ذات الصلة المطلوبة للسجلات التي تريد استيعابها. لمزيد من المعلومات، راجع تخويلات ABAP المطلوبة. تستخدم الأمثلة في وثائقنا اسم /MSFTSEN/SENTINEL_RESPONDER .

عند تكوين الدور، نوصي بما يلي:

• إنشاء ملف تعريف دور نشط ل Microsoft Sentinel عن طريق تشغيل معاملة PFCG .
• استخدم /MSFTSEN/SENTINEL_RESPONDER كاسم الدور.

إنشاء دور باستخدام قالب MSFTSEN_SENTINEL_READER ، والذي يتضمن جميع الأذونات الأساسية لتشغيل موصل البيانات.

لمزيد من المعلومات، راجع وثائق SAP حول إنشاء الأدوار.

أنشئ مجموعة

يتطلب حل Microsoft Sentinel لتطبيقات SAP حساب مستخدم للاتصال بنظام SAP الخاص بك. عند إنشاء المستخدم الخاص بك:

• تأكد من إنشاء مستخدم نظام.
• قم بتعيين دور /MSFTSEN/SENTINEL_RESPONDER للمستخدم، الذي قمت بإنشائه في الخطوة السابقة.

• تأكد من إنشاء مستخدم نظام.
• قم بتعيين دور MSFTSEN_SENTINEL_READER للمستخدم، الذي قمت بإنشائه في الخطوة السابقة.

لمزيد من المعلومات، راجع وثائق SAP.

تكوين تدقيق SAP

قد لا يتم تمكين تسجيل التدقيق في بعض عمليات تثبيت أنظمة SAP بشكل افتراضي. للحصول على أفضل النتائج في تقييم أداء وفعالية حل Microsoft Sentinel لتطبيقات SAP، قم بتمكين تدقيق نظام SAP وتكوين معلمات التدقيق. إذا كنت ترغب في استيعاب سجلات SAP HANA DB، فتأكد أيضا من تمكين التدقيق ل SAP HANA DB.

نوصي بتكوين التدقيق لكافة الرسائل من سجل التدقيق، بدلا من سجلات محددة فقط. عادة ما تكون اختلافات تكلفة الاستيعاب ضئيلة والبيانات مفيدة لاكتشافات Microsoft Sentinel وفي التحقيقات والتتبع بعد الاختراق.

لتغطية المراقبة الكاملة مع موصل البيانات بدون عامل، نوصي بتمكين المراقبة على جميع معرفات العميل لأنظمة SAP المراقبة، بما في ذلك العملاء 000 و066.

لمزيد من المعلومات، راجع مجتمع SAPوجمع سجلات تدقيق SAP HANA في Microsoft Sentinel.

تكوين النظام لاستخدام SNC للاتصالات الآمنة

بشكل افتراضي، يتصل عامل موصل بيانات SAP بخادم SAP باستخدام اتصال استدعاء دالة عن بعد (RFC) واسم مستخدم وكلمة مرور للمصادقة.

ومع ذلك، قد تحتاج إلى إجراء الاتصال على قناة مشفرة أو استخدام شهادات العميل للمصادقة. في هذه الحالات، استخدم اتصالات الشبكة الذكية (SNC) من SAP لتأمين اتصالات البيانات، كما هو موضح في هذا القسم.

في بيئة الإنتاج، نوصي بشدة بالتشاور مع مسؤولي SAP لإنشاء خطة توزيع لتكوين SNC. لمزيد من المعلومات، راجع وثائق SAP.

عند تكوين SNC:

• إذا تم إصدار شهادة العميل من قبل مرجع مصدق مؤسسة، فنقل شهادات المرجع المصدق والجذر المصدر إلى النظام حيث تخطط لإنشاء عامل موصل البيانات.
• إذا كنت تستخدم عامل موصل البيانات، فتأكد أيضا من إدخال القيم ذات الصلة واستخدام الإجراءات ذات الصلة عند تكوين حاوية عامل موصل بيانات SAP. إذا كنت تستخدم موصل البيانات بدون عامل، يتم تكوين SNC في SAP Cloud Connector.

لمزيد من المعلومات حول SNC، راجع بدء استخدام SAP SNC لتكاملات RFC - مدونة SAP.

تكوين الدعم لاسترداد البيانات الإضافية (مستحسن)

في حين أن هذه الخطوة اختيارية، نوصي بتمكين موصل بيانات SAP لاسترداد معلومات المحتوى التالية من نظام SAP الخاص بك:

• جدول DB وسجلات إخراج Spool
• معلومات عنوان IP للعميل من سجلات تدقيق الأمان

1. انشر CRs ذات الصلة من مستودع Microsoft Sentinel GitHub، وفقا لإصدار SAP الخاص بك:

   إِصدارات SAP BASIS	المورد المخصص الموصى به
   750 وأعلى	NPLK900202: K900202.NPL، R900202.NPL عند نشر CR هذا أي من إصدارات SAP التالية، قم أيضا بنشر 2641084 - وصول قراءة موحد إلى بيانات سجل تدقيق الأمان: - 750 SP04 إلى SP12 - 751 SP00 إلى SP06 - 752 SP00 إلى SP02
   740	NPLK900201: K900201.NPL، R900201.NPL

   نشر CRs على نظام SAP الخاص بك حسب الحاجة تماما كما كنت نشر CRs أخرى. نوصي بشدة بأن يتم نشر SAP CRs من قبل مسؤول نظام SAP ذوي الخبرة. لمزيد من المعلومات، راجع وثائق SAP.

   لمزيد من المعلومات، راجع مجتمع SAPووثائق SAP.

2. لدعم إصدارات SAP BASIS 7.31-7.5 SP12 في إرسال معلومات عنوان IP للعميل إلى Microsoft Sentinel، قم بتنشيط التسجيل لجدول SAP USR41. لمزيد من المعلومات، راجع وثائق SAP.

تحقق من تحديث جدول PAHI على فترات منتظمة

يتضمن جدول SAP PAHI بيانات حول محفوظات نظام SAP وقاعدة البيانات ومعلمات SAP. في بعض الحالات، لا يمكن لحل Microsoft Sentinel لتطبيقات SAP مراقبة جدول SAP PAHI على فترات منتظمة، بسبب التكوين المفقود أو الخاطئ. من المهم تحديث جدول PAHI ومراقبته بشكل متكرر، بحيث يمكن لحل Microsoft Sentinel لتطبيقات SAP التنبيه بشأن الإجراءات المشبوهة التي قد تحدث في أي وقت على مدار اليوم. لمزيد من المعلومات، راجع:

• SAP note 12103
• مراقبة تكوين معلمات أمان SAP الثابتة (معاينة)

إذا تم تحديث جدول PAHI بانتظام، تتم جدولة SAP_COLLECTOR_FOR_PERFMONITOR المهمة وتشغيلها كل ساعة. SAP_COLLECTOR_FOR_PERFMONITOR إذا لم تكن الوظيفة موجودة، فتأكد من تكوينها حسب الحاجة.

لمزيد من المعلومات، راجع جامع قاعدة البيانات في معالجة الخلفيةوتكوين مجمع البيانات.

تكوين إعدادات SAP BTP

1. في حساب SAP BTP الفرعي، أضف استحقاقات للخدمات التالية:

   • مجموعة تكامل SAP
   • وقت تشغيل تكامل عملية SAP
   • وقت تشغيل Cloud Foundry

2. أنشئ مثيلا لوقت تشغيل Cloud Foundry، ثم قم أيضا بإنشاء مساحة Cloud Foundry.

3. إنشاء مثيل ل SAP Integration Suite.

4. قم بتعيين دور INTEGRATION_PROVISIONER SAP BTP لحساب مستخدم حساب SAP BTP الفرعي.

5. في SAP Integration Suite، أضف إمكانية التكامل السحابي.

6. تعيين أدوار تكامل العملية التالية لحساب المستخدم الخاص بك:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   تتوفر هذه الأدوار فقط بعد تنشيط إمكانية تكامل السحابة.

7. أنشئ مثيلا لوقت تشغيل تكامل عملية SAP في الحساب الفرعي.

8. إنشاء مفتاح خدمة لوقت تشغيل تكامل عملية SAP وحفظ محتويات JSON في موقع آمن. يجب تنشيط إمكانية تكامل السحابة قبل إنشاء مفتاح خدمة لوقت تشغيل تكامل عملية SAP.

لمزيد من المعلومات، راجع وثائق SAP.

تكوين الموصل في Microsoft Sentinel وفي نظام SAP الخاص بك

يحتوي هذا الإجراء على خطوات في كل من Microsoft Sentinel ونظام SAP الخاص بك، ويتطلب التنسيق مع مسؤول SAP.

1. في Microsoft Sentinel، انتقل إلى صفحة موصلات بيانات التكوين > وحدد موقع موصل بيانات Microsoft Sentinel ل SAP - بدون عامل (معاينة).

2. في قسم Configuration ، قم بتوسيع واتبع الإرشادات الموجودة في تكوين الموصل الأولي - قم بتشغيل الخطوات أدناه مرة واحدة: القسم . تتطلب هذه الخطوات كل من مهندس SecuritySOC الخاص بك ومسؤول SAP.

   1. تشغيل النشر التلقائي لموارد Azure (مهندس SOC). إذا لم يتم ملء القيم في الخطوين 2 و3 تلقائيا بعد توزيع موارد Azure، فقم بإغلاق الخطوة 1 وإعادة توسيعها لتحديث القيم في الخطوتي 2 و3.

   2. نشر بيانات اعتماد عميل OAuth2 في تكامل SAP (مسؤول SAP).

   3. نشر عنصر معلمة آمنة في SAP Integration (SAP Admin) المسمى workspaceKey الذي يحتوي على مفتاح مساحة عمل Log Analytics المرئي في واجهة مستخدم موصل البيانات.

   4. انشر حزمة موصل البيانات بدون عامل SAP إلى SAP Integration Suite (مسؤول SAP).

      1. قم بتنزيل حزمة التكامل وتحميلها إلى SAP Integration Suite. لمزيد من المعلومات، راجع وثائق SAP.
      2. افتح الحزمة وانتقل إلى علامة التبويب Artifacts . ثم حدد تكوين Data Collector . لمزيد من المعلومات، راجع وثائق SAP.
      3. تكوين تدفق التكامل مع LogIngestionURLوDCRImmutableID.
      4. نشر i-flow باستخدام SAP Cloud Integration كخدمة وقت التشغيل.

تشغيل مدقق المتطلبات الأساسية

1. يتم تضمين تدفق مدقق المتطلبات الأساسية في الحزمة. نوصي بتشغيل هذا iflow قبل المتابعة إلى الخطوة التالية للتأكد من أن نظام SAP الخاص بك يفي بالمتطلبات الأساسية للنظام.

   لتشغيل الأداة:

   1. افتح حزمة التكامل، وانتقل إلى علامة التبويب artifacts، وحدد مدقق المتطلبات الأساسية iflow >Configure.

   2. قم بتعيين وجهة RFC الهدف إلى نظام SAP الذي تريد التحقق منها.

   3. انشر iflow كما تفعل بخلاف ذلك لأنظمة SAP الخاصة بك. على سبيل المثال، استخدم نموذج البرنامج النصي PowerShell التالي، وتعديل قيم العنصر النائب النموذجي للبيئة الخاصة بك:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   تأكد من تشغيل مدقق المتطلبات الأساسية بنجاح قبل الاتصال ب Microsoft Sentinel.

2. قم بالتمرير لأسفل في منطقة التكوين ، وقم بتوسيع واتبع الإرشادات الواردة في إضافة أنظمة SAP المراقبة - قم بتشغيل الخطوات أدناه لكل نظام SAP مراقب: منطقة لكل نظام SAP تريد مراقبته.

   عندما تصل إلى الخطوة 2. قم بتوصيل نظام SAP بمهندس Microsoft Sentinel / SOC، تابع توصيل نظام SAP الخاص بك ب Microsoft Sentinel.

تكوين إعدادات SAP Cloud Connector

1. تثبيت SAP Cloud Connector. لمزيد من المعلومات، راجع وثائق SAP.

2. سجل الدخول إلى واجهة موصل السحابة، وأضف الحساب الفرعي باستخدام بيانات الاعتماد ذات الصلة. لمزيد من المعلومات، راجع وثائق SAP.

3. في الحساب الفرعي لموصل السحابة، أضف تعيين نظام جديد إلى نظام الواجهة الخلفية لتعيين نظام ABAP إلى بروتوكول RFC.

4. حدد خيارات موازنة التحميل وأدخل تفاصيل خادم ABAP الخلفية. في هذه الخطوة، انسخ اسم المضيف الظاهري إلى موقع آمن لاستخدامه لاحقا في عملية النشر.

5. إضافة موارد جديدة إلى تعيين النظام لكل من أسماء الوظائف التالية:

   • RSAU_API_GET_LOG_DATA، لإحضار بيانات سجل تدقيق أمان SAP

   • BAPI_USER_GET_DETAIL، لاسترداد تفاصيل مستخدم SAP

   • RFC_READ_TABLE، لقراءة البيانات من الجداول المطلوبة

   • SIAG_ROLE_GET_AUTH، لاسترداد أذونات دور الأمان

   • /OSP/SYSTEM_TIMEZONE، لاسترداد تفاصيل المنطقة الزمنية لنظام SAP

6. أضف وجهة جديدة في SAP BTP تشير إلى المضيف الظاهري الذي أنشأته سابقا. استخدم التفاصيل التالية لملء الوجهة الجديدة:

   • اسم: أدخل الاسم الذي تريد استخدامه لاتصال Microsoft Sentinel

   • نوعRFC

   • نوع الوكيل:On-Premise

   • المستخدم: أدخل حساب مستخدم ABAP الذي أنشأته سابقا ل Microsoft Sentinel

   • نوع التخويل:CONFIGURED USER

   • خصائص إضافية:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • الموقع: مطلوب فقط عند توصيل موصلات سحابية متعددة بنفس الحساب الفرعي BTP. لمزيد من المعلومات، راجع وثائق SAP.

الخطوة التالية

توصيل نظام SAP الخاص بك ب Microsoft Sentinel