Überwachen der Integrität und Rolle Ihrer SAP-Systeme
Nachdem Sie die SAP-Lösung bereitgestellt haben, sollten Sie das ordnungsgemäße Funktionieren und die Leistung Ihrer SAP-Systeme sicherstellen und Ihre Integrität, Konnektivität und Leistung Ihres Systems nachverfolgen. In diesem Artikel erfahren Sie, wie Sie mit den folgenden Features diese Überwachung in Microsoft Sentinel bewerkstelligen können:
- Verwenden der Seite „SAP-Datenconnector“. Überprüfen Sie den Bereich Systemintegrität unter dem Microsoft Sentinel für SAP-Connector, um Informationen zur Integrität Ihrer verbundenen SAP-Systeme zu erhalten.
- Verwenden der Warnungsregel für die Integritätsprüfung der Datensammlung. Rufen Sie proaktive Warnungen zur Integrität der Datensammlung des SAP-Agents ab.
Wichtig
Die Überwachung der Integrität Ihrer SAP-Systeme befindet sich derzeit in der VORSCHAUPHASE. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Verwenden des SAP-Datenconnectors
Wählen Sie im Microsoft Sentinel-Portal Datenconnectors aus.
Geben Sie in der Suchleiste Microsoft Sentinel für SAP ein.
Wählen Sie den Microsoft Sentinel für SAP-Connector und dann die Seite "Connector öffnen" aus.
Zeigen Sie im Konfigurationskonfigurations-System > ein SAP-System an, und weisen Sie es einem Sammel-Agent-Bereich zu, und zeigen Sie Details zur Integrität Ihrer SAP-Systeme an. Beispiel:
Weitere Informationen finden Sie unter Bereitstellen und Konfigurieren des Containers, in dem der SAP-Datenconnector-Agent gehostet wird.
Systemintegritätsstatus und -details
In der folgenden Tabelle werden die verschiedenen Felder im Bereich SAP-System konfigurieren und einem Collector-Agent zuweisen beschrieben.
| Feld | BESCHREIBUNG | Werte | Notizen |
|---|---|---|---|
| SID | Der Name der verbundenen SAP-System-ID (SID). | ||
| Systemrolle | Zeigt an, ob das System produktiv ist oder nicht. Der Datenconnector-Agent ruft den Wert durch Lesen der SAP T000-Tabelle ab. Dieser Wert wirkt sich auch auf die Abrechnung aus. Um die Rolle zu ändern, muss ein SAP-Administrator die Konfiguration im SAP-System ändern. | • Produktion. Das System ist vom SAP-Administrator als Produktionssystem definiert. • Unbekannt (Produktion). Microsoft Sentinel konnte den Systemstatus nicht abrufen. Microsoft Sentinel betrachtet diese Art von System als Produktionssystem für Sicherheits- und Abrechnungszwecke. • Nicht-Produktion. Zeigt Rollen wie Entwickeln, Testen und Anpassen an. • Agent-Update verfügbar. Wird zusätzlich zum Integritätsstatus angezeigt, um anzuzeigen, dass eine neuere SAP-Connectorversion vorhanden ist. In diesem Fall wird empfohlen, den Connector zu aktualisieren. |
Wenn die Systemrolle Produktion (unbekannt) lautet, überprüfen Sie die Microsoft Sentinel-Rollendefinitionen und -Berechtigungen auf dem SAP-System, und überprüfen Sie, ob das System Microsoft Sentinel gestattet, den Inhalt der T000-Tabelle zu lesen. Als Nächstes sollten Sie erwägen, den SAP-Connector auf die neueste Version zu aktualisieren. |
| Agent-Name | Eindeutige ID des installierten Datenconnector-Agents. | ||
| Health | Zeigt an, ob die SID fehlerfrei ist. Zum Beheben von Integritätsproblemen überprüfen Sie die Containerausführungsprotokolle, und prüfen Sie weitere Schritte zur Problembehandlung. | • System fehlerfrei (grünes Symbol): Zeigt an, dass Microsoft Sentinel sowohl Protokolle als auch einen Heartbeat vom System identifiziert hat. • System verbunden – nicht autorisiert, Rolle zu erfassen, Produktion angenommen (gelbes Symbol): Microsoft Sentinel verfügt nicht über ausreichende Berechtigungen, um zu definieren, ob es sich bei dem System um ein Produktionssystem handelt. In diesem Fall definiert Microsoft Sentinel das System als Produktionssystem. Um Microsoft Sentinel den Empfang des Systemstatus zu gestatten, lesen Sie die Spalte „Notizen“. • Mit Fehlern verbunden (gelbes Symbol): Microsoft Sentinel hat Fehler beim Abrufen der Systemrolle erkannt. In diesem Fall hat Microsoft Sentinel Daten darüber erhalten, ob das System ein Produktionssystem ist oder nicht. • System nicht verbunden: Microsoft Sentinel konnte keine Verbindung mit dem SAP-System herstellen und auch die Systemrolle nicht abrufen. In diesem Fall hat Microsoft Sentinel Daten darüber erhalten, ob das System ein Produktionssystem ist oder nicht. Andere Status, z. B. System seit mehr als 1 Tag nicht erreichbar, zeigen den Konnektivitätsstatus an. |
Wenn der Systemintegritätsstatus System verbunden – nicht autorisiert, Rolle zu erfassen, Produktion angenommen lautet, überprüfen Sie die Microsoft Sentinel-Rollendefinitionen und -Berechtigungen auf dem SAP-System, und überprüfen Sie, ob das System Microsoft Sentinel gestattet, den Inhalt der T000-Tabelle zu lesen. Als Nächstes sollten Sie erwägen, den SAP-Connector auf die neueste Version zu aktualisieren. |
Verwenden einer Warnungsregelvorlage
Die Microsoft Sentinel für SAP-Lösung enthält eine Warnungsregelvorlage, die darauf ausgelegt ist, Ihnen einen Einblick in die Integrität der Datensammlung Ihres SAP-Agents zu bieten. So aktivieren Sie die Analyseregel
- Wählen Sie im Microsoft Sentinel-Portal Analysen aus.
- Suchen Sie unter Regelvorlagen die Warnungsregel SAP – Integritätsprüfung der Datensammlung.
Die Analyseregel:
- Wertet vom Agent gesendete Signale aus.
- Wertet Telemetriedaten aus.
- Wertet Warnungen zu Protokollfortsetzungs- und anderen Systemkonnektivitätsproblemen aus, falls welche gefunden werden.
- Erfasst den Protokollerfassungsverlauf und funktioniert daher im Laufe der Zeit immer besser.
Die Regel benötigt mindestens sieben Tage des Ladeverlaufs, um die verschiedenen Saisonalitätsmuster zu erkennen. Es wird ein Wert von 14 Tagen für den Look back-Parameter (Rückblick) der Warnungsregel empfohlen, um die Erkennung wöchentlicher Aktivitätsprofile zu ermöglichen.
Nach der Aktivierung bewertet die Regel die zuletzt im Arbeitsbereich beobachteten Telemetriedaten und Protokollvolumen gemäß dem erfassten Verlauf. Die Regel warnt dann bei potenziellen Problemen, wobei sie dynamisch Schweregrade gemäß dem Umfang des Problems zuweist.
Dieser Screenshot zeigt ein Beispiel für eine Warnung, die von der Warnungsregel SAP – Integritätsprüfung der Datensammlung generiert wurde.
Nächste Schritte
- Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP.
- Erfahren Sie, wie Sie die Microsoft Sentinel-Lösung für SAP bereitstellen.
- Erfahren Sie mehr über die Überwachung und Systemüberwachung in anderen Bereichen von Microsoft Sentinel.