Sdílet prostřednictvím

Nasazení řešení Microsoft Sentinel pro SAP BTP

  • Článek

Tento článek popisuje, jak nasadit řešení Microsoft Sentinel pro systém SAP Business Technology Platform (BTP). Řešení Microsoft Sentinel pro monitorování SAP BTP a ochrana systému SAP BTP. Shromažďuje protokoly auditu a protokoly aktivit z infrastruktury BTP a aplikací založených na protokolu BTP a pak detekuje hrozby, podezřelé aktivity, nelegitimní aktivity a další. Přečtěte si další informace o řešení.

Požadavky

Než začnete, ověřte, že:

  • Řešení Microsoft Sentinel je povolené.
  • Máte definovaný pracovní prostor Služby Microsoft Sentinel a máte oprávnění ke čtení a zápisu do pracovního prostoru.
  • Vaše organizace používá SAP BTP (v prostředí Cloud Foundry) ke zjednodušení interakcí s aplikacemi SAP a dalšími obchodními aplikacemi.
  • Máte účet SAP BTP (který podporuje účty BTP v prostředí Cloud Foundry). Můžete také použít zkušební účet SAP BTP.
  • Máte službu auditlogu auditlogu SAP BTP a klíč služby (viz Nastavení účtu A řešení BTP).
  • V cílovém pracovním prostoru Microsoft Sentinel máte roli Přispěvatel Microsoft Sentinelu.

Nastavení účtu A řešení BTP

Nastavení účtu BTP a řešení:

  1. Po přihlášení k účtu BTP (viz požadavky) postupujte podle kroků načtení protokolu auditu v systému SAP BTP.

  2. V kokpitu SAP BTP vyberte službu správy protokolů auditu.

    Snímek obrazovky znázorňující výběr služby správy protokolů auditu BTP

  3. Vytvořte instanci služby auditování správy protokolů v podúčtu BTP.

    Snímek obrazovky znázorňující vytvoření instance podúčtu BTP

  4. Vytvoření klíče služby a zaznamenání hodnot pro url, uaa.clientid, uaa.clientecreta uaa.url. Tyto hodnoty jsou potřeba k nasazení datového konektoru.

    Tady jsou příklady těchto hodnot polí:

    • url: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Přihlaste se k portálu Azure.

  6. Přejděte do služby Microsoft Sentinel.

  7. Vyberte Centrum obsahu a na panelu hledání vyhledejte BTP.

  8. Vyberte SAP BTP.

  9. Vyberte volbu Instalovat.

    Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.

  10. Vyberte Vytvořit.

    Snímek obrazovky, který ukazuje, jak vytvořit řešení Microsoft Sentinel pro SAP BTP

  11. Vyberte skupinu prostředků a pracovní prostor Microsoft Sentinelu, ve kterém chcete řešení nasadit.

  12. Vyberte Další , dokud neprojdete ověřením, a pak vyberte Vytvořit.

  13. Po dokončení nasazení řešení se vraťte do pracovního prostoru Služby Microsoft Sentinel a vyberte Datové konektory.

  14. Na panelu hledání zadejte BTP a pak vyberte SAP BTP.

  15. Vyberte Otevřít stránku konektoru.

  16. Na stránce konektoru se ujistěte, že splňujete požadované požadavky uvedené, a dokončete kroky konfigurace. Až budete připraveni, vyberte Přidat účet.

  17. Zadejte parametry, které jste definovali dříve během konfigurace. Zadaný název podúčtu je projektován jako sloupec v SAPBTPAuditLog_CL tabulce a lze ho použít k filtrování protokolů, pokud máte více podúčtů.

    Poznámka:

    Načítání auditů pro globální účet automaticky nenačítá audity pro podúčt. Postupujte podle kroků konfigurace konektoru pro každý z dílčích účtů, které chcete monitorovat, a postupujte také podle těchto kroků pro globální účet. Projděte si aspekty konfigurace auditování účtů.

  18. Ujistěte se, že se protokoly BTP přetékají do pracovního prostoru Služby Microsoft Sentinel:

    1. Přihlaste se k podúčtu BTP a spusťte několik aktivit, které generují protokoly, jako jsou přihlášení, přidání uživatelů, změna oprávnění a změna nastavení.
    2. Počkejte 20 až 30 minut, než se protokoly začnou spouštět.
    3. Na stránce konektoru SAP BTP ověřte, že Microsoft Sentinel přijímá data BTP nebo se dotazuje přímo na tabulku SAPBTPAuditLog_CL .

  19. Podle těchto pokynů povolte sešit a analytická pravidla, která jsou součástí řešení.

Zvažte konfigurace auditování účtu.

Posledním krokem v procesu nasazení je zvážení konfigurace globálního účtu a auditování podúčtů.

Konfigurace globálního auditování účtů

Když povolíte načítání protokolu auditu v kokpitu BTP pro globální účet: Pokud podúčt, pro který chcete službu správy protokolů auditování nárokovat, je v adresáři, musíte službu nejprve na úrovni adresáře získat. Službu pak můžete získat pouze na úrovni podúčtu.

Konfigurace auditování podúčtu

Pokud chcete povolit auditování pro podúčt, proveďte kroky v dokumentaci k rozhraní API pro načítání auditu v podúčtech SAP.

Dokumentace k rozhraní API popisuje, jak povolit načítání protokolu auditu pomocí rozhraní příkazového řádku Cloud Foundry.

Protokoly můžete načíst také pomocí uživatelského rozhraní:

  1. V podúčtu na webu SAP Service Marketplace vytvořte instanci služby pro správu protokolů auditu.
  2. V nové instanci vytvořte klíč služby.
  3. Zobrazte klíč služby a načtěte požadované parametry z kroku 4 pokynů ke konfiguraci v uživatelském rozhraní datového konektoru (url, uaa.url, uaa.clientid a uaa.clientsecret).

Obměna tajného klíče klienta BTP

Doporučujeme pravidelně obměňovat tajné kódy klienta podúčtu BPT. Následující ukázkový skript ukazuje proces aktualizace existujícího datového konektoru s novým tajným kódem načteným ze služby Azure Key Vault.

Než začnete, shromážděte hodnoty, které potřebujete pro parametry skriptů, včetně:

  • ID předplatného, skupina prostředků a název pracovního prostoru pro váš pracovní prostor Služby Microsoft Sentinel.
  • Trezor klíčů a název tajného klíče trezoru klíčů.
  • Název datového konektoru, který chcete aktualizovat novým tajným kódem. Pokud chcete identifikovat název datového konektoru, otevřete datový konektor SAP BPT na stránce datových konektorů Microsoft Sentinelu. Název datového konektoru má následující syntaxi: BTP_{název konektoru}
param(
    [Parameter(Mandatory = $true)] [string]$subscriptionId,
    [Parameter(Mandatory = $true)] [string]$workspaceName,
    [Parameter(Mandatory = $true)] [string]$resourceGroupName,
    [Parameter(Mandatory = $true)] [string]$connectorName,
    [Parameter(Mandatory = $true)] [string]$clientId,
    [Parameter(Mandatory = $true)] [string]$keyVaultName,
    [Parameter(Mandatory = $true)] [string]$secretName
)

# Import the required modules
Import-Module Az.Accounts
Import-Module Az.KeyVault

try {
    # Login to Azure
    Login-AzAccount

    # Retrieve BTP client secret from Key Vault
    $clientSecret = (Get-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName).SecretValue
    if (!($clientSecret)) {
        throw "Failed to retrieve the client secret from Azure Key Vault"
    }

    # Get the connector from data connectors API
    $path = "/subscriptions/{0}/resourceGroups/{1}/providers/Microsoft.OperationalInsights/workspaces/{2}/providers/Microsoft.SecurityInsights/dataConnectors/{3}?api-version=2024-01-01-preview" -f $subscriptionId, $resourceGroupName, $workspaceName, $connectorName
    $connector = (Invoke-AzRestMethod -Path $path -Method GET).Content | ConvertFrom-Json
    if (!($connector)) {
        throw "Failed to retrieve the connector"
    }

    # Add the updated client ID and client secret to the connector
    $connector.properties.auth | Add-Member -Type NoteProperty -Name "clientId" -Value $clientId
    $connector.properties.auth | Add-Member -Type NoteProperty -Name "clientSecret" -Value ($clientSecret | ConvertFrom-SecureString -AsPlainText)

    # Update the connector with the new auth object
    Invoke-AzRestMethod -Path $path -Method PUT -Payload ($connector | ConvertTo-Json -Depth 10)
}
catch {
    Write-Error "An error occurred: $_"
}

Související obsah