Konfigurace systému SAP pro řešení Microsoft Sentinel

Tento článek popisuje, jak připravit prostředí SAP na připojení k datovému konektoru SAP. Příprava se liší v závislosti na tom, jestli používáte agenta kontejnerizovaného datového konektoru. Vyberte možnost v horní části stránky, která odpovídá vašemu prostředí.

Tento článek je součástí druhého kroku nasazení řešení Microsoft Sentinel pro aplikace SAP.

Důležité

Agent datového konektoru pro SAP je zastaralý a do 14. září 2026 bude trvale zakázaný. Doporučujeme migrovat na bezagentní datový konektor. Více o přístupu bez agenta se dozvíte v našem blogovém příspěvku.

Postupy v tomto článku obvykle provádí váš tým SAP BASIS .

Tento článek je součástí druhého kroku nasazení řešení Microsoft Sentinel pro aplikace SAP. I když kroky prováděné v Microsoft Sentinelu vyžadují, aby se řešení nainstalovalo jako první, můžou k dalším přípravám v prostředí SAP dojít paralelně.

Mnoho postupů v tomto článku obvykle provádí váš tým SAP BASIS . Některé kroky zahrnují také váš bezpečnostní tým.

Požadavky

• Než začnete, nezapomeňte si projít požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP.

• Pokud pracujete s datovým konektorem bez agentů, některé kroky se provádějí v Microsoft Sentinelu a vyžadují, aby se řešení nainstalovalo jako první.

Nakonfigurujte roli Microsoft Sentinel

Pokud chcete datovému konektoru SAP umožnit připojení k systému SAP, musíte pro tento účel vytvořit roli systému SAP.

Tuto roli doporučujeme vytvořit nasazením žádosti o změnu NPLK900271 SAP (CR): K900271.NPL | .

Podle potřeby nasaďte žádosti o přijetí změn do systému SAP stejně jako ostatní žádosti o přijetí změn. Důrazně doporučujeme nasadit žádosti o přijetí změn SAP zkušeným správcem systému SAP. Další informace najdete v dokumentaci k SAP.

Případně načtěte autorizaci rolí ze souboru MSFTSEN_SENTINEL_CONNECTOR , který zahrnuje všechna základní oprávnění pro provoz datového konektoru.

Zkušení správci SAP se můžou rozhodnout, že roli vytvoří ručně a přiřadí jí příslušná oprávnění. V takových případech vytvořte roli ručně s příslušnými autorizacemi požadovanými pro načtení protokolů, které chcete načíst. Další informace naleznete v tématu Povinné autorizace ABAP. Příklady v naší dokumentaci používají název /MSFTSEN/SENTINEL_RESPONDER .

Při konfiguraci role doporučujeme:

• Spuštěním transakce PFCG vygenerujte aktivní profil role pro Microsoft Sentinel.
• Slouží /MSFTSEN/SENTINEL_RESPONDER jako název role.

Vytvořte roli pomocí šablony MSFTSEN_SENTINEL_READER , která zahrnuje všechna základní oprávnění pro provoz datového konektoru.

Další informace najdete v dokumentaci k SAP týkající se vytváření rolí.

Vytvoření uživatele

Řešení Microsoft Sentinel pro aplikace SAP vyžaduje, aby se k vašemu systému SAP připojil uživatelský účet. Při vytváření uživatele:

• Nezapomeňte vytvořit systémového uživatele.
• Přiřaďte uživateli roli /MSFTSEN/SENTINEL_RESPONDER , kterou jste vytvořili v předchozím kroku.

• Nezapomeňte vytvořit systémového uživatele.
• Přiřaďte uživateli roli MSFTSEN_SENTINEL_READER , kterou jste vytvořili v předchozím kroku.

Další informace najdete v dokumentaci k SAP.

Konfigurace auditování SAP

Některé instalace systémů SAP nemusí mít ve výchozím nastavení povolené protokolování auditu. Pro zajištění nejlepších výsledků při vyhodnocování výkonu a účinnosti řešení Microsoft Sentinel pro aplikace SAP povolte auditování systému SAP a nakonfigurujte parametry auditu.

Doporučujeme nakonfigurovat auditování pro všechny zprávy z protokolu auditu, ne jenom pro konkrétní protokoly. Rozdíly v nákladech na import dat jsou obecně minimální a data jsou užitečná pro detekce v rámci Microsoft Sentinel a při vyšetřování incidentů a aktivním vyhledávání hrozeb po ohrožení.

Návod

Pokud chcete ingestovat protokoly databáze SAP HANA, nezapomeňte také povolit auditování databáze SAP HANA. Další informace najdete v tématu Shromažďování protokolů auditu SAP HANA v Microsoft Sentinelu.

Návod

Pro systémy SAP spravované SAP RISE/ECS je povolení protokolu auditu zabezpečení součástí smlouvy o sdílené odpovědnosti. Ověřte u svého kontaktu SAP, jestli už je auditování ve výchozím nastavení aktivní nebo jestli je potřeba provést nějaké další kroky. Veřejné edice SAP S/4HANA Cloud mají ve výchozím nastavení povolené auditování.

Pro úplné pokrytí monitorování datovým konektorem bez agentů doporučujeme povolit monitorování na všech ID klientů monitorovaných systémů SAP, včetně klientů 000 a 066.

Další informace najdete v článku sap.

Konfigurace systému pro použití SNC pro zabezpečená připojení

Ve výchozím nastavení se agent datového konektoru SAP připojuje k serveru SAP pomocí vzdáleného volání funkcí (RFC) a uživatelského jména a hesla pro ověřování.

Možná ale budete muset vytvořit připojení v šifrovaných kanálech nebo použít klientské certifikáty k ověřování. V těchto případech použijte inteligentní síťovou komunikaci (SNC) ze SAP k zabezpečení datových připojení, jak je popsáno v této části.

V produkčním prostředí důrazně doporučujeme, abyste se s správci SAP poradili s vytvořením plánu nasazení pro konfiguraci SNC. Další informace najdete v dokumentaci k SAP.

Při konfiguraci SNC:

• Pokud certifikát klienta vydal certifikační autorita organizace, přeneste vydávající certifikační autoritu a kořenové certifikační autority do systému, kde plánujete vytvořit agenta datového konektoru.
• Pokud používáte agenta datového konektoru, nezapomeňte také zadat příslušné hodnoty a při konfiguraci kontejneru agenta datového konektoru SAP použít příslušné postupy. Pokud používáte datový konektor bez agentů, konfigurace SNC se provádí v konektoru SAP Cloud Connector.

Další informace o SNC najdete v tématu Začínáme se SAP SNC pro integraci RFC – blog SAP.

Konfigurace podpory pro extra načítání dat (doporučeno)

I když je tento krok volitelný, doporučujeme datový konektor SAP povolit načtení následujících informací o obsahu ze systému SAP:

• Protokoly databázové tabulky a spool výstupu
• Informace o IP adrese klienta z protokolů auditu zabezpečení

1. Příslušné požadavky na změnu z GitHubového repozitáře Microsoft Sentinel nasaďte podle verze vašeho SAPu.

   Verze SAP BASIS	Doporučená cr
   750 a vyšší	NPLK900202: K900202.NPL, R900202.NPL Při nasazování tohoto CR některé z následujících verzí SAP nasaďte také 2641084 – standardizovaný přístup pro čtení k datům protokolu auditu zabezpečení: - 750 SP04 až SP12 - 751 SP00 až SP06 - 752 SP00 až SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   Podle potřeby nasaďte žádosti o přijetí změn do systému SAP stejně jako ostatní žádosti o přijetí změn. Důrazně doporučujeme nasadit žádosti o přijetí změn SAP zkušeným správcem systému SAP. Další informace najdete v dokumentaci k SAP.

   Další informace najdete v komunitě SAP a v dokumentaci k SAP.

2. Pokud chcete podporovat SAP BASIS verze 7.31-7.5 SP12 při odesílání informací o IP adresách klienta do Služby Microsoft Sentinel, aktivujte protokolování pro tabulku SAP USR41. Další informace najdete v dokumentaci k SAP.

Ověřte, že se tabulka PAHI aktualizuje v pravidelných intervalech.

Tabulka SAP PAHI obsahuje data o historii systému SAP, databáze a parametrů SAP. V některých případech řešení Microsoft Sentinel pro aplikace SAP nemůže v pravidelných intervalech monitorovat tabulku SAP PAHI kvůli chybějící nebo chybné konfiguraci. Je důležité aktualizovat tabulku PAHI a často ji monitorovat, aby řešení Microsoft Sentinelu pro aplikace SAP mohlo upozorňovat na podezřelé akce, ke kterým může dojít kdykoli během dne. Další informace naleznete v tématu:

• SAP Note 12103
• Monitorování konfigurace statických parametrů zabezpečení SAP (Preview)

Pokud se tabulka PAHI pravidelně aktualizuje, SAP_COLLECTOR_FOR_PERFMONITOR úloha se naplánuje a spustí každou hodinu. Pokud úloha SAP_COLLECTOR_FOR_PERFMONITOR neexistuje, nezapomeňte ji podle potřeby nakonfigurovat.

Další informace naleznete v tématu Kolektor databáze při zpracování na pozadí a konfigurace kolektoru dat.

Konfigurace nastavení SAP BTP

1. Do podúčtu SAP BTP přidejte oprávnění pro následující služby:

   • SAP Integration Suite
   • Běhové prostředí pro integraci procesů SAP
   • Cloud Foundry Runtime

Poznámka:

Toto řešení bere v úvahu pouze SAP Cloud Integration v prostředí Cloud Foundry.

1. Vytvořte instanci běhového prostředí Cloud Foundry a poté vytvořte prostor Cloud Foundry.

2. Vytvořte instanci sady SAP Integration Suite.

3. Přiřaďte roli Integration_Provisioner SAP BTP k uživatelskému účtu vašeho podúčtu SAP BTP.

4. V sadě SAP Integration Suite přidejte funkci cloudové integrace.

5. Přiřaďte uživatelskému účtu následující role integrace procesu:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Tyto role jsou k dispozici až po aktivaci funkce integrace cloudu.

6. Vytvořte instanci prostředí SAP Process Integration Runtime v podúčtu pomocí plánu služby integration-flow (ne rozhraní API!).

7. Vytvořte klíč služby pro prostředí SAP Process Integration Runtime a uložte obsah JSON do zabezpečeného umístění. Před vytvořením klíče služby pro PROSTŘEDÍ SAP Process Integration Runtime musíte aktivovat funkci integrace cloudu.

Další informace najdete v dokumentaci k SAP.

Konfigurace konektoru v Microsoft Sentinelu a v systému SAP

Tento postup obsahuje kroky v Microsoft Sentinelu i ve vašem systému SAP a vyžaduje koordinaci se správcem SAP.

1. V Microsoft Sentinelu přejděte na stránku Konektory konfiguračních > dat a vyhledejte konektor Microsoft Sentinel pro SAP – bez agentů .

2. V části Konfigurace rozbalte a postupujte podle pokynů v Konfigurace počátečního konektoru - proveďte níže uvedené kroky jednou:. Tyto kroky budou vyžadovat vašeho inženýra SecuritySOC i správce SAP.

   1. Aktivace automatického nasazení prostředků Azure (SOC Engineer) Pokud se po nasazení prostředků Azure hodnoty v krocích 2 a 3 automaticky nenaplní, zavřete a znovu rozbalte krok 1 a aktualizujte hodnoty v krocích 2 a 3.

   2. Nasaďte artefakt přihlašovacích údajů klienta OAuth2 v integraci SAP (správce SAP).

   3. Nasaďte artefakt zabezpečeného parametru v SAP Integration (SAP Admin) s názvem workspaceKey obsahující klíč pracovního prostoru služby Log Analytics viditelný v uživatelském rozhraní datového konektoru.

   4. Nasaďte balíček datového konektoru SAP bez agenta do sady SAP Integration Suite (správa SAP).

      1. Stáhněte integrační balíček a nahrajte ho do sady SAP Integration Suite. Další informace najdete v dokumentaci k SAP.
      2. Otevřete balíček a přejděte na kartu Artefakty . Pak vyberte konfiguraci kolektoru dat . Další informace najdete v dokumentaci k SAP.
      3. Nakonfigurujte tok integrace pomocí logIngestionURL a DCRImmutableID.
      4. Nasaďte iflow pomocí služby SAP Cloud Integration jakožto služby runtime.

Spusťte kontrolu předpokladů

1. Iflow kontroly předpokladů je součástí balíčku. Než budete pokračovat dalším krokem, doporučujeme tento tok spustit ručně , abyste před pokusem o integraci z Microsoft Sentinelu zajistili, že váš systém SAP splňuje požadavky na systém.

   Spuštění nástroje:

   1. Otevřete integrační balíček, přejděte na kartu artefaktů a vyberte Kontrolu požadovaných součástí iflow. >Konfigurujte.

   2. Nastavte cílový název vzdáleného volání funkce (RFC) na systém SAP, který chcete zkontrolovat. Například: A4H-100-Sentinel-RFC.

   3. Nasaďte iflow stejně jako u jiných systémů SAP.

   4. Aktivujte iflow z libovolného klienta REST. Použijte například následující ukázkový skript PowerShellu a upravte ukázkové zástupné hodnoty pro vaše prostředí:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   Před připojením k Microsoft Sentinelu se ujistěte, že se kontrola požadavků úspěšně spustí (stavový kód 200) bez upozornění na výstup odpovědi.

   Pokud zjistíte nějaké nálezy, projděte si podrobnosti odpovědi pro pokyny k nápravným krokům. Starší systémy SAP často vyžadují další poznámky SAP. Pro další informace si prohlédněte část s řešením běžných problémů.

2. Posuňte se dále dolů v oblasti Konfigurace a rozbalte a postupujte podle pokynů v části Přidat monitorované systémy SAP – Spusťte následující kroky pro každý monitorovaný systém SAP: oblast pro každý systém SAP, který chcete monitorovat.

   Až se dostanete ke kroku 2. Připojte systém SAP ke službě Microsoft Sentinel / SOC Engineer a pokračujte v připojení systému SAP k Microsoft Sentinelu.

Konfigurace nastavení konektoru SAP Cloud

1. Nainstalujte konektor SAP Cloud Connector. Další informace najdete v dokumentaci k SAP.

2. Přihlaste se v rozhraní cloudového konektoru a přidejte podúčt pomocí příslušných přihlašovacích údajů. Další informace najdete v dokumentaci k SAP.

3. V podúčtu cloudového konektoru přidejte do back-endového systému nové mapování systému, které mapuje systém ABAP na protokol RFC.

4. Definujte možnosti vyrovnávání zatížení a zadejte podrobnosti o serveru ABAP back-endu. V tomto kroku zkopírujte název virtuálního hostitele do zabezpečeného umístění, abyste ho mohli použít později v procesu nasazení.

5. Přidejte nové prostředky do mapování systému pro každý z následujících názvů funkcí:

   • RSAU_API_GET_LOG_DATA pro načtení dat protokolu auditu zabezpečení SAP

   • BAPI_USER_GET_DETAIL pro načtení detailů uživatele SAP

   • RFC_READ_TABLE čtení dat z požadovaných tabulek

   • SIAG_ROLE_GET_AUTH pro načtení autorizací rolí zabezpečení

   • /OSP/SYSTEM_TIMEZONE pro načtení podrobností o systémovém časovém pásmu SAP

Poznámka:

Poskytnutá role je nakonfigurována pro dosažení co nejnižších oprávnění. Tím se zajistí, že moduly funkcí, jako je RFC_READ_TABLE, se použijí jenom podle potřeby. Zvažte osvědčené postupy SAP pro přístup k RFC a nastavení UCON (SAP Unified Connectivity), abyste mohli řídit přístup k modulům funkcí nad rámec ovládacích prvků konektoru SAP Cloud Connector a role SAP.

1. Do SAP BTP přidejte nový cíl, který odkazuje na virtuálního hostitele, kterého jste vytvořili dříve. K vyplnění nového cíle použijte následující údaje:

   • Jméno: Zadejte název, který chcete použít pro připojení k Microsoft Sentinelu.

   • TypRFC

   • Typ proxy serveru:On-Premise

   • Uživatel: Zadejte uživatelský účet ABAP , který jste vytvořili dříve pro Microsoft Sentinel.

   • Typ autorizace:CONFIGURED USER

   • Další vlastnosti:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Umístění: Vyžaduje se pouze v případě, že ke stejnému podúčtu BTP připojíte více cloudových konektorů. Další informace najdete v dokumentaci k SAP.

Další krok

Připojení systému SAP k Microsoft Sentinelu