Aktivieren und Konfigurieren der SAP-Überwachung für Microsoft Sentinel

  • Artikel

In diesem Artikel erfahren Sie, wie Sie die Überwachung für die Microsoft Sentinel-Lösung für SAP®-Anwendungen aktivieren und konfigurieren, damit Sie Ihre SAP-Lösung vollständig einsehen können.

Wichtig

Es ist dringend zu empfehlen, die Verwaltung Ihres SAP-Systems von einem erfahrenen SAP-Systemadministrator durchführen zu lassen.

Die Schritte in diesem Artikel können je nach SAP-Version variieren und sollten nur als Beispiel betrachtet werden.

Bei einigen Installationen von SAP-Systemen ist möglicherweise standardmäßig kein Überwachungsprotokoll aktiviert. Damit Sie optimale Ergebnisse bei der Bewertung von Leistung und Wirksamkeit der Microsoft Sentinel-Lösung für SAP®-Anwendungen erzielen können, aktivieren Sie die Überwachung Ihres SAP-Systems, und konfigurieren Sie die Überwachungsparameter.

Bereitstellungsmeilensteine

Verfolgen Sie den Bereitstellungsweg Ihrer SAP-Lösung durch diese Reihe von Artikeln:

  1. Übersicht über die Bereitstellung

  2. Voraussetzungen für die Bereitstellung

  3. Mit der Lösung über mehrere Arbeitsbereiche hinweg arbeiten (VORSCHAU)

  4. Vorbereiten einer SAP-Umgebung

  5. Konfigurieren der Überwachung (Sie sind hier)

  6. Bereitstellen des Datenconnector-Agents

  7. Bereitstellen von SAP-Sicherheitsinhalten

  8. Konfigurieren der Microsoft Sentinel-Lösung für SAP®-Anwendungen

  9. Optionale Bereitstellungsschritte

Überprüfung, ob die Überwachung aktiviert ist

  1. Melden Sie sich bei der SAP-Benutzeroberfläche an, und führen Sie die RSAU_CONFIG-Transaktion aus.

    Screenshot zur Ausführung der Transaktion „R S A U CONFIG“.

  2. Suchen Sie im Fenster Sicherheitsüberwachungsprotokoll – Anzeige der aktuellen Konfiguration im Abschnitt Konfiguration den Abschnitt Parameter. Überzeugen Sie sich, dass unter Allgemeine Parameter das Kontrollkästchen Statische Sicherheitsüberwachung aktiviert ist.

Aktivieren der Überwachung

Wichtig

Ihre Überwachungsrichtlinie sollte in enger Zusammenarbeit mit den SAP-Administratoren und Ihrer Sicherheitsabteilung bestimmt werden.

  1. Melden Sie sich bei der SAP-Benutzeroberfläche an, und führen Sie die RSAU_CONFIG-Transaktion aus.

  2. Wählen Sie auf dem Bildschirm Sicherheitsüberwachungsprotokoll in der Struktur Konfiguration im Abschnitt Security Audit Log Configuration (Konfiguration des Sicherheitsüberwachungsprotokolls) Parameter aus.

  3. Wenn das Kontrollkästchen Statische Sicherheitsüberwachung aktiv markiert ist, ist die Überwachung auf Systemebene aktiviert. Ist das nicht der Fall, wählen Sie Anzeigen <–> Ändern aus, und markieren Sie das Kontrollkästchen Statische Sicherheitsüberwachung aktiv.

  4. Standardmäßig protokolliert das SAP-System den Clientnamen (Terminal-ID) anstelle der Client-IP-Adresse. Wenn Sie möchten, dass das System stattdessen die Client-IP-Adresse protokolliert, markieren Sie das Kontrollkästchen Log peer address not terminal ID (Peer-Adresse anstelle von Client-ID protokollieren) im Abschnitt Allgemeine Parameter.

  5. Wenn Sie Einstellungen im Abschnitt Security Audit Log Configuration – Parameter (Konfiguration des Sicherheitsüberwachungsprotokolls – Parameter) geändert haben, wählen Sie Speichern aus, um die Änderungen zu speichern. Die Überwachung wird erst nach einem Neustart des Servers aktiviert.

    Wichtig

    Für SAP-Anwendungen, die unter Windows-Betriebssystemen ausgeführt werden, sollten die Empfehlungen im SAP-Hinweis 2360334 berücksichtigt werden, falls das Überwachungsprotokoll nach dem Setup nicht ordnungsgemäß gelesen wird.

    Screenshot mit den R S A U CONFIG-Parametern.

  6. Klicken Sie mit der rechten Maustaste auf Statische Konfiguration, und wählen Sie Profil erstellen aus.

    Screenshot des Bildschirms zur Erstellung des R S A U CONFIG-Profils.

  7. Geben Sie einen Namen für das Profil im Feld Profil-/Filternummer an.

    Hinweis

    Für die Vanilla-SAP-Installation ist dieser zusätzliche Schritt erforderlich: Klicken Sie mit der rechten Maustaste auf das Profil, das Sie erstellt haben, und erstellen Sie einen neuen Filter.

  8. Markieren Sie das Kontrollkästchen Filter für Aufzeichnung aktiv.

  9. Geben Sie im Feld Client* ein.

  10. Geben Sie im Feld Benutzer* ein.

  11. Wählen Sie unter Ereignisauswahl die Option Klassische Ereignisauswahl aus, und wählen Sie alle Ereignistypen in der Liste aus.

  12. Wählen Sie Speichern.

    Screenshot mit statischen Profileinstellungen.

  13. Sie sehen, dass das neu erstellte Profil im Abschnitt Statische Konfiguration angezeigt wird. Klicken Sie mit der rechten Maustaste auf das Profil, und wählen Sie Aktivieren aus.

  14. Wählen Sie im Bestätigungsfenster Ja aus, um das neu erstellte Profil zu aktivieren.

    Hinweis

    Die Statische Konfiguration wird erst nach einem Systemneustart wirksam. Erstellen Sie für ein sofortiges Setup einen zusätzlichen dynamischen Filter mit denselben Eigenschaften, indem Sie mit der rechten Maustaste auf das neu erstellte statische Profil klicken und „Auf dynamische Konfiguration anwenden“ auswählen.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie die SAP-Überwachung für Microsoft Sentinel aktivieren und konfigurieren.

Bereitstellen und Konfigurieren des Containers für den Datenconnector-Agent