Konfigurace systému SAP pro řešení Microsoft Sentinel
Tento článek popisuje, jak připravit prostředí SAP na připojení k agentu datového konektoru SAP. Příprava zahrnuje konfiguraci požadovaných autorizací SAP a volitelně nasazení dalších žádostí o změnu SAP (CRS).
Tento článek je součástí druhého kroku nasazení řešení Microsoft Sentinel pro aplikace SAP.
Postupy v tomto článku obvykle provádí váš tým SAP BASIS .
Požadavky
- Než začnete, nezapomeňte si projít požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP.
Konfigurace role Microsoft Sentinelu
Pokud chcete datovému konektoru SAP umožnit připojení k systému SAP, musíte pro tento účel vytvořit roli systému SAP.
Pokud chcete zahrnout akce odezvy na načtení protokolu i přerušení útoku, doporučujeme tuto roli vytvořit načtením autorizací rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER.
Pokud chcete zahrnout pouze načtení protokolu, doporučujeme vytvořit tuto roli nasazením žádosti o změnu NPLK900271 SAP (CR): K900271.NPL | R900271. NPL
Podle potřeby nasaďte žádosti o přijetí změn do systému SAP stejně jako ostatní žádosti o přijetí změn. Důrazně doporučujeme nasadit žádosti o přijetí změn SAP zkušeným správcem systému SAP. Další informace najdete v dokumentaci k SAP.
Případně načtěte autorizace rolí ze souboru MSFTSEN_SENTINEL_CONNECTOR , který zahrnuje všechna základní oprávnění pro provoz datového konektoru.
Zkušení správci SAP se můžou rozhodnout, že roli vytvoří ručně a přiřadí jí příslušná oprávnění. V takových případech vytvořte roli ručně s příslušnými autorizací požadovanými pro protokoly, které chcete ingestovat. Další informace naleznete v tématu Povinné autorizace ABAP. Příklady v naší dokumentaci používají název /MSFTSEN/SENTINEL_RESPONDER .
Při konfiguraci role doporučujeme:
- Spuštěním transakce PFCG vygenerujte aktivní profil role pro Microsoft Sentinel.
- Slouží
/MSFTSEN/SENTINEL_RESPONDERjako název role.
Další informace najdete v dokumentaci k SAP týkající se vytváření rolí.
Vytvoření uživatele
Řešení Microsoft Sentinel pro aplikace SAP vyžaduje, aby se k vašemu systému SAP připojil uživatelský účet. Při vytváření uživatele:
- Nezapomeňte vytvořit systémového uživatele.
- Přiřaďte uživateli roli /MSFTSEN/SENTINEL_RESPONDER , kterou jste vytvořili v předchozím kroku.
Další informace najdete v dokumentaci k SAP.
Konfigurace auditování SAP
Některé instalace systémů SAP nemusí mít ve výchozím nastavení povolené protokolování auditu. Pro zajištění nejlepších výsledků při vyhodnocování výkonu a účinnosti řešení Microsoft Sentinel pro aplikace SAP povolte auditování systému SAP a nakonfigurujte parametry auditu. Pokud chcete ingestovat protokoly databáze SAP HANA, nezapomeňte také povolit auditování databáze SAP HANA.
Doporučujeme nakonfigurovat auditování pro všechny zprávy z protokolu auditu, protože tato data jsou užitečná pro detekce Microsoft Sentinelu a při vyšetřování a proaktivního vyhledávání po ohrožení.
Další informace najdete v komunitě SAP a shromažďování protokolů auditu SAP HANA v Microsoft Sentinelu.
Konfigurace podpory pro extra načítání dat (doporučeno)
I když je tento krok volitelný, doporučujeme nasadit další žádosti o přijetí změn z úložiště GitHub služby Microsoft Sentinel, abyste umožnili datovému konektoru SAP načíst následující informace o obsahu ze systému SAP:
- Výstupní protokoly tabulek a fondu databází
- Informace o IP adrese klienta z protokolů auditu zabezpečení (pouze SAP BASIS verze 7.5 SP12 a vyšší)
Nasaďte příslušné žádosti o přijetí změn podle vaší verze SAP:
| Verze SAP BASIS | Doporučená cr |
|---|---|
| 750 a vyšší | NPLK900202: K900202.NPL, R900202. NPL Při nasazování této CR některé z následujících verzí SAP nasaďte také 2641084 – standardizovaný přístup pro čtení k datům protokolu auditu zabezpečení: - 750 SP04 až SP12 - 751 SP00 až SP06 - 752 SP00 až SP02 |
| 740 | NPLK900201: K900201.NPL, R900201. NPL |
Podle potřeby nasaďte žádosti o přijetí změn do systému SAP stejně jako ostatní žádosti o přijetí změn. Důrazně doporučujeme nasadit žádosti o přijetí změn SAP zkušeným správcem systému SAP. Další informace najdete v dokumentaci k SAP.
Další informace najdete v komunitě SAP a v dokumentaci k SAP.
Ověřte, že se tabulka PAHI aktualizuje v pravidelných intervalech.
Tabulka SAP PAHI obsahuje data o historii systému SAP, databáze a parametrů SAP. V některých případech řešení Microsoft Sentinel pro aplikace SAP nemůže v pravidelných intervalech monitorovat tabulku SAP PAHI kvůli chybějící nebo chybné konfiguraci. Je důležité aktualizovat tabulku PAHI a často ji monitorovat, aby řešení Microsoft Sentinelu pro aplikace SAP mohlo upozorňovat na podezřelé akce, ke kterým může dojít kdykoli během dne. Další informace naleznete v tématu:
Pokud se tabulka PAHI pravidelně aktualizuje, SAP_COLLECTOR_FOR_PERFMONITOR úloha se naplánuje a spustí každou hodinu. Pokud úloha SAP_COLLECTOR_FOR_PERFMONITOR neexistuje, nezapomeňte ji podle potřeby nakonfigurovat.
Další informace naleznete v tématu Kolektor databáze při zpracování na pozadí a konfigurace kolektoru dat.
Konfigurace systému pro použití SNC pro zabezpečená připojení
Ve výchozím nastavení se agent datového konektoru SAP připojuje k serveru SAP pomocí připojení vzdáleného volání funkce (RFC) a uživatelského jména a hesla pro ověřování.
Možná ale budete muset vytvořit připojení v šifrovaných kanálech nebo použít klientské certifikáty k ověřování. V těchto případech použijte inteligentní síťovou komunikaci (SNC) ze SAP k zabezpečení datových připojení, jak je popsáno v této části.
V produkčním prostředí důrazně doporučujeme, abyste se s správci SAP poradili s vytvořením plánu nasazení pro konfiguraci SNC. Další informace najdete v dokumentaci k SAP.
Při konfiguraci SNC:
- Pokud certifikát klienta vydal certifikační autorita organizace, přeneste vydávající certifikační autoritu a kořenové certifikační autority do systému, kde plánujete vytvořit agenta datového konektoru.
- Nezapomeňte také zadat relevantní hodnoty a při konfiguraci kontejneru agenta datového konektoru SAP použít příslušné postupy.