Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
Tento článek uvádí požadavky potřebné pro nasazení řešení Microsoft Sentinel pro aplikace SAP®.
Důležité
Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Milníky nasazení
Sledujte cestu k nasazení řešení SAP prostřednictvím této série článků:
Požadavky na nasazení (tady jste)
Práce s řešením napříč několika pracovními prostory (PREVIEW)
Volitelné kroky nasazení
Tabulka požadavků
Pokud chcete úspěšně nasadit řešení Microsoft Sentinel pro aplikace SAP®, musíte splnit následující požadavky:
Požadavky Azure
| Požadavek | Popis | Povinné nebo volitelné |
|---|---|---|
| Přístup k Microsoft Sentinelu | Poznamenejte si ID pracovního prostoru Microsoft Sentinelu a primární klíč. Tyto podrobnosti najdete v Microsoft Sentinelu: v navigační nabídce vyberte Nastavení> Správa agentů nastaveníWorkspace.> Zkopírujte ID pracovního prostoru a primární klíč a vložte je stranou pro použití během procesu nasazení. |
Požaduje se |
| Oprávnění k vytváření prostředků Azure | Minimálně musíte mít potřebná oprávnění k nasazení řešení z centra obsahu Služby Microsoft Sentinel. Další informace najdete v katalogu centra obsahu Služby Microsoft Sentinel. | Požaduje se |
| Oprávnění k vytvoření trezoru klíčů Azure nebo přístupu k existujícímu trezoru klíčů | Pomocí služby Azure Key Vault uložte tajné kódy potřebné pro připojení k systému SAP (doporučuje se, pokud se jedná o požadovaný požadavek). Další informace najdete v tématu Přiřazení přístupových oprávnění trezoru klíčů. | Vyžaduje se, pokud plánujete ukládat přihlašovací údaje systému SAP ve službě Azure Key Vault. Volitelné, pokud je plánujete uložit do konfiguračního souboru. Další informace najdete v tématu Vytvoření virtuálního počítače a konfigurace přístupu k vašim přihlašovacím údajům. |
| Oprávnění k přiřazení privilegované role agentu datového konektoru SAP | Nasazení agenta datového konektoru SAP vyžaduje, abyste identitě virtuálního počítače vašeho agenta udělili konkrétní oprávnění k pracovnímu prostoru Služby Microsoft Sentinel pomocí role operátora agenta obchodních aplikací Microsoft Sentinelu. Pokud chcete této roli udělit, potřebujete oprávnění vlastníka pro skupinu prostředků, ve které se nachází váš pracovní prostor Služby Microsoft Sentinel. Další informace najdete v tématu Nasazení agenta datového konektoru. |
Povinný: Pokud ve skupině prostředků nemáte oprávnění vlastníka , může příslušný krok provést také jiný uživatel, který má příslušná oprávnění, zvlášť po úplném nasazení agenta. |
Systémové požadavky
| Požadavek | Popis |
|---|---|
| Systémová architektura | Komponenta datového konektoru řešení SAP je nasazená jako kontejner Dockeru a každý klient SAP vyžaduje vlastní instanci kontejneru. Hostitelem kontejneru může být fyzický počítač nebo virtuální počítač, který může být umístěný místně nebo v libovolném cloudu. Virtuální počítač, který je hostitelem kontejneru , nemusí být umístěný ve stejném předplatném Azure jako váš pracovní prostor Microsoft Sentinelu nebo dokonce ve stejném tenantovi Microsoft Entra. |
| Doporučení pro změnu velikosti virtuálních počítačů | Minimální specifikace, například pro testovací prostředí: Standard_B2s virtuální počítač s: - Dvě jádra – 4 GB PAMĚTI RAM Standardní konektor (výchozí): Standard_D2as_v5 virtuální počítač nebo Standard_D2_v5 virtuální počítač s: - Dvě jádra – 8 GB PAMĚTI RAM Více konektorů: Standard_D4as_v5 nebo Standard_D4_v5 virtuální počítač s: - Čtyři jádra – 16 GB PAMĚTI RAM |
| Správa istrativní oprávnění | na hostitelském počítači kontejneru se vyžadují Správa istrativní oprávnění (root). |
| Podporované verze Linuxu | Agent datového konektoru SAP se testuje s následujícími distribucemi Linuxu: – Ubuntu 18.04 nebo vyšší – SLES verze 15 nebo vyšší – RHEL verze 7.7 nebo vyšší Pokud máte jiný operační systém, možná budete muset kontejner nasadit a nakonfigurovat ručně. Další informace potřebujete otevřít lístek podpory. |
| Síťové připojení | Ujistěte se, že má hostitel kontejneru přístup k: – Microsoft Sentinel – Azure Key Vault (ve scénáři nasazení, ve kterém se trezor klíčů Azure používá k ukládání tajných kódů – Systém SAP přes následující porty TCP: 32xx, 5xx13, 33xx, 48xx (při použití SNC), kde xx je číslo instance SAP. |
| Softwarové nástroje | Skript nasazení datového konektoru SAP nainstaluje na virtuální počítač hostitele kontejneru následující požadovaný software (v závislosti na použité distribuci Linuxu se seznam může mírně lišit): - Rozbalte - NetCat - Docker - jq - Curl |
| Spravovaná identita nebo instanční objekt | Nejnovější verze agenta datového konektoru SAP vyžaduje pro ověření ve službě Microsoft Sentinel spravovanou identitu nebo instanční objekt. Starší verze agentů se podporují pro aktualizace na nejnovější verzi a pak musí používat spravovanou identitu nebo instanční objekt, aby mohli pokračovat v aktualizaci na další verze. |
Požadavky SAP
| Požadavek | Popis |
|---|---|
| Podporované verze SAP | Agent datového konektoru SAP podporuje systémy SAP NetWeaver a byl testován na SAP_BASIS verze 731 a vyšší. Některé kroky v tomto kurzu obsahují alternativní pokyny, pokud pracujete se staršími SAP_BASIS verze 740. |
| Požadovaný software | SAP NetWeaver RFC SDK 7.50 (stáhnout zde) Ujistěte se, že máte také uživatelský účet SAP, abyste měli přístup ke stránce pro stažení softwaru SAP. |
| Podrobnosti o systému SAP | Poznamenejte si následující podrobnosti o systému SAP, které můžete použít v tomto kurzu: – IP adresa systému SAP a název hostitele plně kvalifikovaného názvu domény – systémové číslo SAP, například 00– ID systému SAP ze systému SAP NetWeaver (například NPL) – ID klienta SAP, například 001 |
| Přístup k instanci SAP NetWeaver | Agent datového konektoru SAP používá k ověření systému SAP jeden z následujících mechanismů: – SAP jazyk ABAP uživatel/heslo – Uživatel s certifikátem X.509 (tato možnost vyžaduje další kroky konfigurace) |
Kroky ověření prostředí SAP
Poznámka:
Podrobné pokyny pro nasazení CR a přiřazení požadované role jsou k dispozici v průvodci nasazením CRS SAP a konfigurací autorizace . Určete, které žádosti o přijetí změn je potřeba nasadit, načtěte příslušné žádosti o přijetí změn z odkazů v následujících tabulkách a pokračujte podrobným průvodcem.
Vytvoření a konfigurace role (povinné)
Pokud chcete datovému konektoru SAP povolit připojení k systému SAP, musíte vytvořit roli. Vytvořte roli načtením autorizací rolí ze souboru /MSFTSEN/SENTINEL_RESPONDER .
Role /MSFTSEN/SENTINEL_RESPONDER zahrnuje akce odezvy na načtení protokolu i přerušení útoku. Pokud chcete povolit pouze načítání protokolů, bez akcí odezvy na přerušení útoku, nasaďte SAP NPLK900271 CR do systému SAP nebo načtěte autorizaci rolí ze souboru MSFTSEN_SENTINEL_CONNECTOR. Role /MSFTSEN/SENTINEL_CONNECTOR , která má všechna základní oprávnění pro provoz datového konektoru.
| Verze SAP BASIS | Ukázka CR |
|---|---|
| Libovolná verze | NPLK900271: K900271.NPL, R900271. NPL |
Zkušení správci SAP se můžou rozhodnout, že roli vytvoří ručně a přiřadí jí příslušná oprávnění. V takových případech nezapomeňte postupovat podle doporučených autorizací pro každý protokol. Další informace naleznete v tématu Povinné jazyk ABAP autorizace.
Načtení dalších informací ze SAP (volitelné)
Můžete nasadit další žádosti o přijetí změn z úložiště GitHub služby Microsoft Sentinel, abyste umožnili datovému konektoru SAP načíst určité informace z vašeho systému SAP.
- SAP BASIS 7.5 SP12 a vyšší: Informace o IP adrese klienta z protokolu auditu zabezpečení
- Libovolná verze SAP BASIS: protokoly tabulek DATABÁZE, výstupní protokol fondu
| Verze SAP BASIS | Doporučená cr | Notes |
|---|---|---|
| - 750 a novější | NPLK900202: K900202.NPL, R900202. NPL | Nasaďte příslušnou poznámku SAP. |
| - 740 | NPLK900201: K900201.NPL, R900201. NPL |
Nasazení poznámky SAP (volitelné)
Pokud se rozhodnete načíst další informace s NPLK900202 volitelným CR, ujistěte se, že je v systému SAP nasazená následující poznámka SAP podle jeho verze:
| Verze SAP BASIS | Notes |
|---|---|
| - 750 SP04 až SP12 - 751 SP00 až SP06 - 752 SP00 až SP02 |
2641084 – Standardizovaný přístup pro čtení k datům protokolu auditu zabezpečení* |
Další kroky
Po ověření splnění všech požadavků přejděte k dalšímu kroku a nasaďte požadované žádosti o přijetí změn do systému SAP a nakonfigurujte autorizaci.