Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
In diesem Artikel sind die Voraussetzungen aufgeführt, die für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen erforderlich sind.
Wichtig
Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Bereitstellungsmeilensteine
Verfolgen Sie den Bereitstellungsweg Ihrer SAP-Lösung durch diese Reihe von Artikeln:
Bereitstellungsvoraussetzungen (hier sind Sie)
Mit der Lösung über mehrere Arbeitsbereiche hinweg arbeiten (VORSCHAU)
Konfigurieren der Microsoft Sentinel-Lösung für SAP®-Anwendungen
Optionale Bereitstellungsschritte
Tabelle der Voraussetzungen
Zum erfolgreichen Bereitstellen der Microsoft Sentinel-Lösung für SAP®-Anwendungen müssen Sie die folgenden Voraussetzungen erfüllen:
Voraussetzungen für Azure
| Voraussetzung | BESCHREIBUNG | Erforderlich/optional |
|---|---|---|
| Zugriff auf Microsoft Sentinel | Notieren Sie Ihre Microsoft Sentinel-Arbeitsbereichs-ID und den Primärschlüssel. Sie finden diese Details in Microsoft Sentinel: Wählen Sie im Navigationsmenü Einstellungen>Arbeitsbereichseinstellungen>Agent-Verwaltung aus. Kopieren Sie die Arbeitsbereichs-ID und den Primärschlüssel, und fügen Sie sie in eine temporäre Datei ein, um sie während des Bereitstellungsprozesses zu verwenden. |
Erforderlich |
| Berechtigungen zum Erstellen von Azure-Ressourcen | Sie müssen mindestens über die erforderlichen Berechtigungen verfügen, um Lösungen aus dem Microsoft Sentinel-Inhaltshub bereitzustellen. Weitere Informationen finden Sie im Katalog zum Microsoft Sentinel-Inhaltshub. | Erforderlich |
| Berechtigungen zum Erstellen eines Azure-Schlüsseltresors oder zum Zugriff auf einen bestehenden | Verwenden Sie Azure Key Vault, um Geheimnisse zu speichern, die für die Herstellung einer Verbindung mit Ihrem SAP-System erforderlich sind (empfohlen, wenn dies eine erforderliche Voraussetzung ist). Weitere Informationen finden Sie unter Zuweisen von Key Vault-Zugriffsberechtigungen. | Erforderlich, wenn Sie die SAP-Systemanmeldeinformationen in Azure Key Vault speichern möchten. Optional, wenn Sie sie in einer Konfigurationsdatei speichern möchten. Weitere Informationen finden Sie unter Erstellen eines virtuellen Computers und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen. |
| Berechtigungen zum Zuweisen einer privilegierten Rolle zum SAP-Datenconnector-Agent | Für die Bereitstellung des SAP-Datenconnector-Agents müssen Sie der VM-Identität Ihres Agents bestimmte Berechtigungen für den Microsoft Sentinel-Arbeitsbereich gewähren. Verwenden Sie dazu die Rolle des Agent-Operators für Microsoft Sentinel-Geschäftsanwendungen. Um diese Rolle zu gewähren, benötigen Sie Besitzer-Berechtigungen für die Ressourcengruppe, in der sich Ihr Microsoft Sentinel-Arbeitsbereich befindet. Weitere Informationen finden Sie unter Bereitstellen des Datenconnector-Agents. |
Erforderlich. Wenn Sie nicht über Besitzer-Berechtigungen für die Ressourcengruppe verfügen, kann der relevante Schritt auch von einer anderen Person ausgeführt werden, die über die entsprechenden Berechtigungen verfügt. Dies erfolgt dann separat, nachdem der Agent vollständig bereitgestellt wurde. |
Systemanforderungen
| Voraussetzung | BESCHREIBUNG |
|---|---|
| Systemarchitektur | Die Datenconnectorkomponente der SAP-Lösung wird als Docker-Container bereitgestellt, und jeder SAP-Client benötigt eine eigene Containerinstanz. Der Containerhost kann entweder ein physischer Computer oder ein virtueller Computer sein, er kann entweder lokal oder in einer beliebigen Cloud betrieben werden. Die VM, die den Container hostet, muss sich nicht im selben Azure-Abonnement wie Ihr Microsoft Sentinel-Arbeitsbereich befinden, nicht einmal im selben Microsoft Entra-Mandanten. |
| Empfehlungen für die Dimensionierung des virtuellen Computers | Mindestspezifikation, etwa für eine Laborumgebung: Standard_B2s-VM mit: – Zwei Kerne – 4 GB RAM Standardconnector (Standard): Standard D2as_v5-VM oder Standard_D2_v5-VM mit: – Zwei Kerne – 8 GB RAM Mehrere Connectors: Standard_D4as_v5 oder Standard_D4_v5-VM mit: – Vier Kerne – 16 GB RAM |
| Administratorrechte | Administratorrechte (Stamm) sind auf dem Containerhostcomputer erforderlich. |
| Unterstützte Linux-Versionen | Der SAP-Datenconnector-Agent wird mit den folgenden Linux-Distributionen getestet: – Ubuntu 18.04 oder höher – SLES Version 15 oder höher – RHEL Version 7.7 oder höher Wenn Sie ein anderes Betriebssystem verwenden, müssen Sie den Container möglicherweise manuell bereitstellen und konfigurieren. Um weitere Informationen zu erhalten, öffnen Sie ein Supportticket. |
| Netzwerkverbindungen | Stellen Sie sicher, dass der Container Zugriff auf Folgendes hat: Microsoft Sentinel: – Azure-Schlüsseltresor (in dem Bereitstellungsszenario, in dem der Azure-Schlüsseltresor zum Speichern von Geheimnissen verwendet wird – Den Host der SAP-Umgebung über die folgenden TCP-Ports: 32xx, 5xx13, 33xx und 48xx (falls SNC verwendet wird), wobei xx für die SAP-Instanznummer steht. |
| Software-Hilfsprogramme | Das Bereitstellungsskript für den SAP-Datenconnector installiert die folgende erforderliche Software auf der Containerhost-VM (je nach verwendeter Linux-Distribution kann die Liste geringfügig abweichen): - Unzip - NetCat - Docker - jq - curl |
| Verwaltete Identität oder Dienstprinzipal | Die neueste Version des SAP-Datenconnector-Agents erfordert eine verwaltete Identität oder einen Dienstprinzipal für die Authentifizierung bei Microsoft Sentinel. Legacy-Agents werden für Updates auf die neueste Version unterstützt und müssen dann eine verwaltete Identität oder einen Dienstprinzipal verwenden, um mit Updates auf nachfolgende Versionen fortzufahren. |
SAP-Voraussetzungen
| Voraussetzung | BESCHREIBUNG |
|---|---|
| Unterstützte SAP-Versionen | Der SAP-Datenconnector-Agent unterstützt SAP NetWeaver-Systeme und wurde mit SAP_BASIS-Versionen 731 und höher getestet. Für bestimmte Schritte in diesem Tutorial stehen alternative Anweisungen zur Verfügung, wenn Sie mit der älteren SAP-Version SAP_BASIS 740 arbeiten. |
| Erforderliche Software | SAP NetWeaver RFC SDK 7.50 (Hier herunterladen) Stellen Sie sicher, dass Sie auch über ein SAP-Benutzerkonto verfügen, um auf die Downloadseite für SAP-Software zugreifen zu können. |
| SAP-Systemdetails | Notieren Sie sich die folgenden SAP-Systemdetails, um sie in diesem Tutorial zu verwenden: – SAP-System-IP-Adresse und FQDN-Hostname – SAP-Systemnummer, z. B. 00– SAP-System-ID aus dem SAP NetWeaver-System (z. B. NPL) – SAP-Client-ID, z. B. 001 |
| Zugriff auf SAP NetWeaver-Instanz | Der SAP-Datenconnector-Agent verwendet einen der folgenden Mechanismen für die Authentifizierung beim SAP-System: – SAP ABAP-Benutzer/Kennwort – Ein Benutzer/eine Benutzerin mit einem X.509-Zertifikat (diese Option erfordert zusätzliche Konfigurationsschritte) |
Überprüfungsschritte für die SAP-Umgebung
Hinweis
Schrittweise Anleitungen zum Bereitstellen eines CR und Zuweisen der erforderlichen Rolle stehen im Leitfaden Bereitstellen von SAP-CRs und Konfigurieren der Autorisierung zur Verfügung. Ermitteln Sie, welche CRs bereitgestellt werden müssen, rufen Sie die relevanten CRs über die Links in den nachstehenden Tabellen ab, und fahren Sie mit der Schritt-für-Schritt-Anleitung fort.
- Erstellen und Konfigurieren einer Rolle (erforderlich)
- Abrufen zusätzlicher Informationen aus SAP (optional)
Erstellen und Konfigurieren einer Rolle (erforderlich)
Damit der SAP-Datenconnector eine Verbindung mit Ihrem SAP-System herstellen kann, müssen Sie eine Rolle erstellen. Erstellen Sie die Rolle, indem Sie die Rollenautorisierungen aus der Datei /MSFTSEN/SENTINEL_RESPONDER laden.
Die Rolle /MSFTSEN/SENTINEL_RESPONDER umfasst sowohl den Protokollabruf als auch Antwortaktionen zur Angriffsunterbrechung. Um nur den Protokollabruf zu aktivieren, ohne Antwortaktionen zur Angriffsunterbrechung, stellen Sie SAP NPLK900271 CR im SAP-System bereit, oder laden Sie die Rollenautorisierungen aus der Datei MSFTSEN_SENTINEL_CONNECTOR. Die Rolle /MSFTSEN/SENTINEL_CONNECTOR, die über alle grundlegenden Berechtigungen für den Betrieb des Datenconnectors verfügt.
| SAP BASIS-Versionen | Beispiel-CR |
|---|---|
| Beliebige Version | NPLK900271: K900271.NPL, R900271.NPL |
Erfahrene SAP-Administratoren/-Administratorinnen können sich entscheiden, die Rolle manuell zu erstellen und ihr die entsprechenden Berechtigungen zuzuweisen. Achten Sie in solchen Fällen darauf, die empfohlenen Autorisierungen für jedes Protokoll zu befolgen. Weitere Informationen finden Sie unter Erforderliche ABAP-Autorisierungen.
Abrufen zusätzlicher Informationen aus SAP (optional)
Damit der SAP-Datenconnector bestimmte Informationen aus Ihrem SAP-System abrufen kann, können Sie zusätzliche CRs aus dem Microsoft Sentinel-GitHub-Repository bereitstellen.
- SAP BASIS 7.5 SP12 und höher: Client-IP-Adressinformationen aus dem Sicherheitsüberwachungsprotokoll
- BELIEBIGE SAP-Basisversion: DB-Tabellenprotokolle, Spoolausgabeprotokoll
| SAP BASIS-Versionen | Empfohlener CR | Notizen |
|---|---|---|
| – 750 und höher | NPLK900202: K900202.NPL, R900202.NPL | Stellen Sie den relevanten SAP-Hinweis bereit. |
| – 740 | NPLK900201: K900201.NPL, R900201.NPL |
Bereitstellen des SAP-Hinweises (optional)
Wenn Sie zusätzliche Informationen mit der optionalen CR NPLK900202 abrufen möchten, stellen Sie sicher, dass der folgende SAP-Hinweis in Ihrem SAP-System entsprechend der jeweiligen Version bereitgestellt wird:
| SAP BASIS-Versionen | Notizen |
|---|---|
| – 750 SP04 bis SP12 – 751 SP00 bis SP06 – 752 SP00 bis SP02 |
2641084 – Standardisierter Lesezugriff auf Daten des Sicherheitsüberwachungsprotokolls* |
Nächste Schritte
Nach der Überprüfung, ob alle Voraussetzungen erfüllt wurden, fahren Sie mit dem nächsten Schritt fort, um die erforderlichen CRs in Ihrem SAP-System bereitzustellen und die Autorisierung zu konfigurieren.