Freigeben über


Überwachen der Integrität und Rolle Ihrer SAP-Systeme

Nachdem Sie die SAP-Lösung bereitgestellt haben, sollten Sie das ordnungsgemäße Funktionieren und die Leistung Ihrer SAP-Systeme sicherstellen und Ihre Integrität, Konnektivität und Leistung Ihres Systems nachverfolgen. In diesem Artikel wird beschrieben, wie Sie die Integrität von Verbindungen manuell auf der Datenconnectorseite überprüfen und eine dedizierte Warnungsregelvorlage verwenden, um die Integrität Ihrer SAP-Systeme zu überwachen.

Wichtig

Die Überwachung der Integrität Ihrer SAP-Systeme befindet sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Eine Videodemonstration der Verfahren in diesem Artikel finden Sie im folgenden Video:

Voraussetzungen

  • Damit Sie die Verfahren in diesem Artikel ausführen können, müssen Sie einen SAP-Datenconnector-Agent bereitstellen und mit Ihrem SAP-System verbinden. SAP-Protokolle werden erst auf der Seite Protokolle in Microsoft Sentinel angezeigt, wenn Ihr SAP-System verbunden ist und Daten an Microsoft Sentinel gestreamt werden.

Weitere Informationen finden Sie unter Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent.

Überprüfen der Integrität und Konnektivität Ihres Datenconnectors

In dieser Vorgehensweise wird beschrieben, wie Sie den Verbindungsstatus Ihres Datenconnectors über die Seite Ihres Microsoft Sentinel für SAP-Datenconnectors überprüfen.

  1. Wählen Sie in Microsoft Sentinel Datenconnectors aus, und suchen Sie nach Microsoft Sentinel für SAP.

  2. Wählen Sie den Connector Microsoft Sentinel für SAP und dann Connectorseite öffnen aus.

  3. Zeigen Sie im Bereich Konfiguration > 2. SAP-System konfigurieren und einem Sammel-Agent zuweisen Details zur Integrität Ihrer SAP-Systeme an.

    Zum Beispiel:

    Screenshot der Tabelle mit dem Integritätsstatus von Microsoft Sentinel für SAP-Anwendungen

    Im Folgenden finden Sie eine Beschreibung der Felder im Bereich SAP-System konfigurieren und einem Sammel-Agent zuweisen:

    • Systemanzeigename. Die SAP-System-ID (SID) und ihre Clientnummer. Gemeinsam identifiziert dieser Wert die Verbindung mit dem SAP-System und definiert für SAP BASIS, mit welchem System eine Verbindung besteht.

    • Systemrolle. Gibt an, ob das System in der Produktion ist (wirkt sich auch auf die Abrechnung aus). Weitere Informationen finden Sie unter Lösungspreise. Mögliche Werte:

      Wert Beschreibung
      Produktion Das System ist vom SAP-Administrator als Produktionssystem definiert.
      Unbekannt (Produktion) Microsoft Sentinel konnte den Systemstatus nicht abrufen. Microsoft Sentinel betrachtet diese Art von System als Produktionssystem für Sicherheits- und Abrechnungszwecke.

      In solchen Fällen sollten Sie die Microsoft Sentinel-Rollendefinitionen und -Berechtigungen im SAP-System überprüfen und sich vergewissern, dass das System Microsoft Sentinel gestattet, den Inhalt der T000-Tabelle zu lesen. Als Nächstes sollten Sie erwägen, den SAP-Connector auf die neueste Version zu aktualisieren.
      Nicht-Produktion Zeigt Rollen wie Entwickeln, Testen und Anpassen an.
    • Agent-Name. Eindeutige ID des installierten Datenconnector-Agents.

    • Integrität: Zeigt an, ob die SID fehlerfrei ist. Zum Beheben von Integritätsproblemen überprüfen Sie die Containerausführungsprotokolle, und prüfen Sie weitere Schritte zur Problembehandlung. Mögliche Werte:

      Wert Beschreibung
      System fehlerfrei (grünes Symbol) Gibt an, dass Microsoft Sentinel sowohl Protokolle als auch einen Heartbeat vom System identifiziert hat.
      System verbunden – nicht autorisiert, Rolle zu erfassen, Produktion angenommen (gelbes Symbol) Microsoft Sentinel verfügt nicht über ausreichende Berechtigungen, um zu definieren, ob es sich bei dem System um ein Produktionssystem handelt. In diesem Fall definiert Microsoft Sentinel das System als Produktionssystem.

      Überprüfen Sie in solchen Fällen die Microsoft Sentinel-Rollendefinitionen und -Berechtigungen im SAP-System, vergewissern Sie sich, dass das System Microsoft Sentinel gestattet, den Inhalt der T000-Tabelle zu lesen. Als Nächstes sollten Sie erwägen, den SAP-Connector auf die neueste Version zu aktualisieren.
      Mit Fehlern verbunden (gelbes Symbol) Die Verbindung war erfolgreich, aber Microsoft Sentinel hat Fehler beim Abrufen der Systemrolle erkannt und verfügt nicht über Informationen dazu, ob das System ein Produktionssystem ist.
      System nicht verbunden Microsoft Sentinel konnte keine Verbindung mit dem SAP-System herstellen und auch die Systemrolle nicht abrufen. In diesem Fall verfügt Microsoft Sentinel nicht über Informationen dazu, ob es sich bei dem System um ein Produktionssystem handelt.
      Weitere Status mit zusätzlichen Details zu Konnektivitätsproblemen Beispiel: System länger als 1 Tag nicht erreichbar.

Anzeigen des SAP-Protokollstreams in Microsoft Sentinel

Wählen Sie in Microsoft Sentinel Allgemein>Protokolle > Benutzerdefinierte Protokolle aus, um den Protokollstream aus dem SAP-System anzuzeigen. Zum Beispiel:

Screenshot der SAP ABAP-Protokolle im Bereich „Benutzerdefinierte Protokolle“ in Microsoft Sentinel

Weitere Informationen finden Sie unter Referenz zu den Lösungsprotokollen für die Microsoft Sentinel-Lösung für SAP-Anwendungen.

Verwenden einer Warnungsregelvorlage zum Überwachen der Integrität Ihrer SAP-Systeme

Die Microsoft Sentinel für SAP-Lösung enthält eine Warnungsregelvorlage, die darauf ausgelegt ist, Ihnen einen Einblick in die Integrität der Datensammlung Ihres SAP-Agents zu bieten.

Die Regel benötigt mindestens sieben Tage des Ladeverlaufs, um die verschiedenen Saisonalitätsmuster zu erkennen. Es wird ein Wert von 14 Tagen für den Look back-Parameter (Rückblick) der Warnungsregel empfohlen, um die Erkennung wöchentlicher Aktivitätsprofile zu ermöglichen.

Nach der Aktivierung bewertet die Regel die zuletzt im Arbeitsbereich beobachteten Telemetriedaten und Protokollvolumen gemäß dem erfassten Verlauf. Die Regel warnt dann bei potenziellen Problemen, wobei sie dynamisch Schweregrade gemäß dem Umfang des Problems zuweist.

Um die Analyseregel in Microsoft Sentinel zu aktivieren, wählen Sie Analyse > Regelvorlagen aus, und suchen Sie die Warnungsregel SAP – Integritätsprüfung der Datensammlung.

Die Analyseregel führt die folgenden Aktionen aus:

  • Wertet vom Agent gesendete Signale aus.
  • Wertet Telemetriedaten aus.
  • Wertet Warnungen zu Protokollfortsetzungs- und anderen Systemkonnektivitätsproblemen aus, falls welche gefunden werden.
  • Erfasst den Protokollerfassungsverlauf und funktioniert daher im Laufe der Zeit immer besser.

Der folgende Screenshot zeigt ein Beispiel für eine Warnung, die von der Warnungsregel SAP – Integritätsprüfung der Datensammlung generiert wurde:

Screenshot einer Warnung, die von der Warnungsregel „SAP – Integritätsprüfung der Datensammlung“ ausgelöst wurde.

Nächste Schritte