Verbinden Ihres SAP-Systems mit Microsoft Sentinel

Damit die Microsoft Sentinel-Lösung für SAP-Anwendungen ordnungsgemäß funktioniert, müssen Sie zuerst Ihre SAP-Daten in Microsoft Sentinel übertragen. Stellen Sie dazu entweder den Microsoft Sentinel-Datenconnector-Agent für SAP bereit, oder verbinden Sie den Microsoft Sentinel-Datenconnector ohne Agent für SAP. Wählen Sie oben auf der Seite die Option aus, die Ihrer Umgebung entspricht.

Dieser Artikel beschreibt den dritten Schritt bei der Bereitstellung einer der Microsoft Sentinel-Lösungen für SAP-Anwendungen.

Die Inhalte in diesem Artikel sind für Ihre Sicherheits-, Infrastruktur- und SAP BASIS-Teams relevant. Stellen Sie sicher, dass Sie die Schritte in diesem Artikel in der angegebenen Reihenfolge ausführen.

Die Inhalte in diesem Artikel sind insbesondere für Ihr Sicherheitsteam relevant.

Wichtig

Der agentlose Datenkonnektor von Microsoft Sentinel für SAP befindet sich derzeit in LIMITED PREVIEW. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

Vor dem Verbinden Ihres SAP-Systems mit Microsoft Sentinel:

• Stellen Sie sicher, dass alle Voraussetzungen für die Bereitstellung erfüllt sind. Weitere Informationen finden Sie unter Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.

  Wichtig

  Wenn Sie mit dem agentlosen Datenconnector arbeiten, benötigen Sie die Rolle "Entra ID-Anwendungsentwickler " oder höher, um die relevanten Azure-Ressourcen erfolgreich bereitzustellen. Wenn Sie nicht über diese Berechtigung verfügen, arbeiten Sie mit einem Kollegen zusammen, der über die Berechtigung zum Abschließen des Vorgangs verfügt. Die vollständige Vorgehensweise finden Sie im Schritt zum Verbinden des agentlosen Datenkonnektors .

• Stellen Sie sicher, dass Sie die Microsoft Sentinel-Lösung für SAP-Anwendungenin Ihrem Microsoft Sentinel-Arbeitsbereich installiert haben.

• Stellen Sie sicher, dass Ihr SAP-System vollumfänglich für die Bereitstellung vorbereitet ist.

• Wenn Sie den Datenconnector-Agent für die Kommunikation mit Microsoft Sentinel über SNC bereitstellen, stellen Sie sicher, dass Sie die Schritte unter Konfigurieren Ihres Systems für die Verwendung von SNC für sichere Verbindungenabgeschlossen haben.

Sehen Sie sich ein Demovideo an.

Sehen Sie sich eine der folgenden Videodemonstrationen des in diesem Artikel beschriebenen Bereitstellungsprozesses an.

Ein umfassender Einblick in die Portaloptionen:

Enthält weitere Details zur Verwendung von Azure KeyVault. Demonstration ohne Audio, nur mit Untertiteln:

Erstellen einer VM und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen

Es wird empfohlen, eine dedizierte VM für Ihren Datenconnector-Agent-Container zu erstellen, um eine optimale Leistung sicherzustellen und potenzielle Konflikte zu vermeiden. Weitere Informationen finden Sie unter Systemvoraussetzungen für den Container für den Datenconnector-Agen.

Es wird empfohlen, Ihre SAP- und Authentifizierungsgeheimnisse in einem Azure Key Vault zu speichern. Wie Sie auf Ihren Schlüsseltresor zugreifen, hängt davon ab, wo Ihre virtuelle Maschine (VM) bereitgestellt wird:

Bereitstellungsmethode	Zugriffsmethode
Container in einer Azure-VM	Es wird empfohlen, eine von Azure systemseitig zugewiesene verwaltete Identität für den Zugriff auf Azure Key Vault zu verwenden. Wenn keine systemseitig zugewiesene verwaltete Identität verwendet werden kann, kann sich der Container auch mit einem in Microsoft Entra ID registrierten Anwendungsdienstprinzipal oder, als letzte Möglichkeit, mit einer Konfigurationsdatei bei Azure Key Vault authentifizieren.
Ein Container auf einer lokalen VM oder einer VM in der Cloudumgebung eines Drittanbieters	Authentifizieren Sie sich mithilfe eines in Microsoft Entra ID registrierten Anwendungsdienstprinzipals bei Azure Key Vault.

Wenn Sie keine registrierte Anwendung oder keinen Dienstprinzipal verwenden können, benutzen Sie eine Konfigurationsdatei zum Verwalten Ihrer Anmeldeinformationen. Diese Methode wird allerdings nicht empfohlen. Weitere Informationen finden Sie unter Bereitstellen des Datenconnectors mithilfe einer Konfigurationsdatei.

Weitere Informationen finden Sie unter

• Authentifizierung in Azure Key Vault
• Was sind verwaltete Identitäten für Azure-Ressourcen?
• Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID

Ihre VM wird in der Regel von Ihrem Infrastruktur-Team erstellt. Das Konfigurieren des Zugriffs auf Anmeldeinformationen und das Verwalten von Schlüsseltresoren erfolgt in der Regel durch ihr Sicherheitsteam.

Verwaltete Identität

Erstellen einer verwalteten Identität mit einer Azure-VM

1. Führen Sie den folgenden Befehl aus, um in Azure eine VM zu erstellen, wobei Sie die <placeholders> durch die tatsächlichen Namen aus Ihrer Umgebung ersetzen:

   az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
   
   

   Weitere Informationen finden Sie unter Schnellstart: Erstellen einer Linux-VM mit der Azure CLI.

   Wichtig

   Achten Sie nach dem Erstellen der VM unbedingt darauf, alle Sicherheitsanforderungen und Härtungsverfahren anzuwenden, die in Ihrer Organisation gültig sind.

   Dieser Befehl erstellt die VM-Ressource, wodurch die folgende Ausgabe erzeugt wird:

   {
     "fqdns": "",
     "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
     "identity": {
       "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
       "userAssignedIdentities": {}
     },
     "location": "westeurope",
     "macAddress": "00-11-22-33-44-55",
     "powerState": "VM running",
     "privateIpAddress": "192.168.136.5",
     "publicIpAddress": "",
     "resourceGroup": "resourcegroupname",
     "zones": ""
   }
   

2. Kopieren Sie die systemAssignedIdentity-GUID, da sie in den kommenden Schritten verwendet wird. Dies ist Ihre verwaltete Identität.

Registrierte Anwendung

Registrieren einer Anwendung zum Erstellen einer Anwendungsidentität

1. Führen Sie den folgenden Befehl über die Azure-Befehlszeile aus, um eine Anwendung zu erstellen und zu registrieren:

   az ad sp create-for-rbac
   

   Dieser Befehl erstellt die Anwendung, wodurch die folgende Ausgabe erzeugt wird:

   {
     "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
     "displayName": "azure-cli-2022-01-28-17-59-06",
     "password": "ssssssssssssssssssssssssssssssssss",
     "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
   }
   

   Weitere Informationen finden Sie in der Azure CLI-Referenzdokumentation.

2. Kopieren Sie die appId, den Mandanten und das Kennwort aus der Ausgabe. Sie benötigen diese, um die Zugriffsrichtlinie für den Schlüsseltresor zuzuweisen und das Bereitstellungsskript in den nächsten Schritten auszuführen.

3. Bevor Sie fortfahren, erstellen Sie eine VM, auf welcher der Agent bereitgestellt werden soll. Sie können diesen Computer in Azure, in einer anderen Cloud oder lokal erstellen.

Erstellen eines Schlüsseltresors

Diese Prozedur beschreibt, wie Sie einen Schlüsseltresor zum Speichern der Konfigurationsinformationen Ihres Agents erstellen, einschließlich Ihrer SAP-Authentifizierungsgeheimnisse. Wenn Sie einen vorhandenen Schlüsseltresor verwenden, fahren Sie direkt mit Schritt 2 fort.

So erstellen Sie Ihren Schlüsseltresor:

1. Führen Sie die folgenden Befehle aus, und ersetzen Sie die <placeholder>-Werte mit tatsächlichen Namen.

   az keyvault create \
     --name <KeyVaultName> \
     --resource-group <KeyVaultResourceGroupName>
   

2. Kopieren Sie den Namen Ihres Schlüsseltresors und den Namen seiner Ressourcengruppe. Sie benötigen diese, wenn Sie die Zugriffsberechtigungen für den Schlüsseltresor zuweisen und das Bereitstellungsskript in den nächsten Schritten ausführen.

Schlüsseltresor-Zugriffsberechtigungen zuweisen

1. Weisen Sie in Ihrem Schlüsseltresor die Azure Key Vault Secrets Reader-Rolle der Identität zu, die Sie erstellt und zuvor kopiert haben.

2. Weisen Sie der benutzenden Person, die den Datenconnector-Agent konfiguriert, die folgenden Azure-Rollen im selben Schlüsseltresor zu:

   • Key Vault-Mitwirkender, um den Agent bereitzustellen
   • Key Vault-Geheimnisbeauftragter, um neue Systeme hinzuzufügen

Bereitstellen des Datenconnector-Agents aus dem Portal (Vorschau)

Nachdem Sie nun eine VM und einen Schlüsseltresor erstellt haben, erstellen Sie im nächsten Schritt einen neuen Agent und stellen eine Verbindung mit einem Ihrer SAP-Systeme her. Sie können zwar mehrere Datenconnector-Agents auf einem einzelnen Computer ausführen, es wird jedoch empfohlen, nur mit einem zu beginnen, seine Leistung zu überwachen und dann die Anzahl der Connectors langsam zu erhöhen.

Dieses Verfahren beschreibt, wie Sie einen neuen Agent erstellen und ihn mithilfe des Azure- oder Defender-Portals mit Ihrem SAP-System verbinden. Es wird empfohlen, dass Ihr Sicherheitsteam dieses Verfahren in Zusammenarbeit mit dem SAP BASIS-Team durchführt.

Die Bereitstellung des Datenconnector-Agents über das Portal wird sowohl über das Azure- als auch über das Defender-Portal unterstützt, wenn Microsoft Sentinel im Defender-Portal integriert ist.

Eine Bereitstellung über die Befehlszeile wird zwar auch unterstützt, es wird jedoch empfohlen, für typische Bereitstellungen das Portal zu verwenden. Datenconnector-Agents, die mithilfe der Befehlszeile bereitgestellt werden, können nur über die Befehlszeile und nicht über das Portal verwaltet werden. Weitere Informationen finden Sie unter Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile.

Wichtig

Das Bereitstellen des Containers und das Erstellen von Verbindungen mit SAP-Systemen über das Azure-Portal befindet sich derzeit in der VORSCHAU. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen:

• Um Ihren Datenconnector-Agent über das Portal bereitzustellen, benötigen Sie Folgendes:

  • Authentifizierung über eine verwaltete Identität oder eine registrierte Anwendung
  • In Azure Key Vault gespeicherte Anmeldeinformationen

  Wenn Sie diese Voraussetzungen nicht erfüllen, stellen Sie den SAP-Datenconnector-Agent stattdessen über die Befehlszeile bereit.

• Um den Datenconnector-Agent bereitzustellen, benötigen Sie außerdem sudo- oder Stammberechtigungen auf dem Datenconnector-Agent-Computer.

• Wenn Sie NetWeaver/ABAP-Protokolle über eine sichere Verbindung mit Secure Network Communications (SNC) erfassen möchten, benötigen Sie Folgendes:

  • Den Pfad zur sapgenpse-Binär und zur libsapcrypto.so-Bibliothek
  • Die Details Ihres Clientzertifikats

  Weitere Informationen finden Sie unter Konfigurieren des Systems für die Verwendung von SNC für sichere Verbindungen.

Folgendermaßen stellen Sie den Agent für den Datenconnector bereit:

1. Melden Sie sich bei der neu erstellten VM, auf der Sie den Agent installieren, als Benutzer mit sudo-Berechtigungen an.

2. Laden Sie das SAP NetWeaver SDK auf den Computer herunter, oder übertragen Sie es.

3. Wählen Sie in Microsoft Sentinel die Option Konfiguration>Datenconnectors aus.

4. Geben Sie in der Suchleiste SAP ein. Wählen Sie Microsoft Sentinel für SAP – agentbasiert aus den Suchergebnissen und dann die Seite „Konnektor öffnen“ aus.

5. Wählen Sie im Bereich Konfiguration die Option Neuen Agent hinzufügen (Vorschau) aus.

   

6. Geben Sie im Bereich Collector-Agent erstellen die folgenden Agent-Details ein:

   Name	Beschreibung
   Agentname	Geben Sie einen aussagekräftigen Agent-Namen für Ihre Organisation ein. Es wird keine bestimmte Benennungskonvention empfohlen, der Name darf jedoch nur die folgenden Zeichentypen enthalten: a – z A – Z 0-9 _ (Unterstrich) . (Punkt) - (Bindestrich)
   Abonnement / Schlüsseltresor	Wählen Sie das Abonnement und den Schlüsseltresor aus den jeweiligen Dropdownlisten aus.
   NWRFC SDK ZIP-Dateipfad auf der Agent-VM	Geben Sie den Pfad in Ihrer VM ein, der das Software Development Kit (SDK)-Archiv (ZIP-Datei) für den SAP NetWeaver-Remote-Funktionsaufruf (Remote Function Call, RFC) enthält. Stellen Sie sicher, dass dieser Pfad die SDK-Versionsnummer in der folgenden Syntax enthält: <path>/NWRFC<version number>.zip. Beispiel: /src/test/nwrfc750P_12-70002726.zip.
   Aktivieren der SNC-Verbindungsunterstützung	Wählen Sie aus, dass NetWeaver/ABAP-Protokolle über eine sichere Verbindung mit SNC erfasst werden sollen. Wenn Sie diese Option auswählen, geben Sie unter dem SAP Cryptographic Library-Pfad auf der Agent-VM den Pfad an, der die sapgenpse-Binärdatei und die libsapcrypto.so-Bibliothek enthält. Wenn Sie eine SNC-Verbindung verwenden möchten, stellen Sie sicher, dass Sie in dieser Phase die SNC-Verbindungsunterstützung aktivieren, da Sie nicht zurückkehren und eine SNC-Verbindung aktivieren können, nachdem Sie die Bereitstellung des Agents abgeschlossen haben. Wenn Sie diese Einstellung später ändern möchten, wird empfehlen, stattdessen einen neuen Agent zu erstellen.
   Authentifizierung beim Azure Key Vault	Um sich mit einer verwalteten Identität bei Ihrem Schlüsseltresor zu authentifizieren, lassen Sie die Standardoption Verwaltete Identität ausgewählt. Um sich mit einer registrierten Anwendung bei Ihrem Schlüsseltresor zu authentifizieren, wählen Sie Anwendungsidentität aus. Sie müssen die verwaltete Identität oder registrierte Anwendung vorab eingerichtet haben. Weitere Informationen finden Sie unter Erstellen einer VM und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen.

   Beispiel:

   

7. Wählen Sie Erstellen aus, und überprüfen Sie die Empfehlungen, bevor Sie die Bereitstellung abschließen:

   

8. Für die Bereitstellung des SAP-Datenkonnektor-Agents müssen Sie der VM-Identität Ihres Agents bestimmte Berechtigungen für den Microsoft Sentinel-Arbeitsbereich gewähren, indem Sie die Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser verwenden.

   Um die Befehle in diesem Schritt auszuführen, müssen Sie ein Ressourcengruppenbesitzer in Ihrem Microsoft Sentinel-Arbeitsbereich sein. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann diese Prozedur auch ausgeführt werden, nachdem die Bereitstellung des Agents abgeschlossen ist.

   Kopieren Sie unter Nur noch wenige Schritte, bevor wir fertig sind die Rollenzuweisungsbefehle aus Schritt 1, und führen Sie diese auf Ihrer Agent-VM aus, und ersetzen Sie den [Object_ID]-Platzhalter durch die Objekt-ID Ihrer VM-Identität. Beispiel:

   

   So finden Sie die Objekt-ID Ihrer VM-Identität in Azure:

   • Bei einer verwalteten Identität finden Sie die Objekt-ID auf der Seite Identität der VM.

   • Bei einem Dienstprinzipal navigieren Sie in Azure zu Unternehmensanwendung. Wählen Sie Alle Anwendungen und dann Ihre VM aus. Die Objekt-ID wird auf der Seite Übersicht angezeigt.

   Mit diesem Befehl werden die Azure-Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser der verwalteten oder Anwendungsidentität Ihrer VM zugewiesen, wobei nur der Bereich der Daten des angegebenen Agents im Arbeitsbereich eingeschlossen wird.

   Wichtig

   Durch Zuweisen der Rollen Agent-Operator für Microsoft Sentinel-Geschäftsanwendungen und Leser über die CLI werden die Rollen nur für den Bereich der Daten des angegebenen Agents im Arbeitsbereich zugewiesen. Dies ist die sicherste und daher die empfohlene Option.

   Wenn Sie die Rollen über das Azure-Portal zuweisen müssen, empfehlen wir die Zuweisung der Rollen für einen kleinen Bereich, z. B. nur für den Microsoft Sentinel-Arbeitsbereich.

9. Wählen Sie Kopieren neben dem Agent-Bereitstellungsbefehl in Schritt 2 aus. Beispiel:

   

10. Kopieren Sie die Befehlszeile in einen separaten Speicherort, und wählen Sie dann Schließen aus.

    Die relevanten Agentinformationen werden in Azure Key Vault bereitgestellt, und der neue Agent ist in der Tabelle unter Hinzufügen eines API-basierten Collector-Agents sichtbar.

    In dieser Phase lautet der Integritätsstatus des Agents „Unvollständige Installation. Bitte befolgen Sie die Anweisungen“. Wenn der Agent erfolgreich hinzugefügt wurde, ändert sich der Status in Agent fehlerfrei. Diese Aktualisierung kann bis zu zehn Minuten dauern. Beispiel:

    

    Hinweis

    Die Tabelle zeigt den Agentnamen und den Integritätsstatus nur für die Agents, die Sie über das Azure-Portal bereitstellen. Agents, die über die Befehlszeile bereitgestellt werden, werden hier nicht angezeigt. Weitere Informationen finden Sie stattdessen auf der Registerkarte Befehlszeile.

11. Öffnen Sie auf der VM, auf der Sie den Agent installieren wollen, ein Terminal, und führen Sie den Agent-Bereitstellungsbefehl aus, den Sie im vorherigen Schritt kopiert haben. Für diesen Schritt sind sudo- oder Stammberechtigungen auf dem Datenconnector-Agent-Computer erforderlich.

    Das Skript aktualisiert die Betriebssystemkomponenten und installiert die Azure CLI, Docker-Software und andere erforderliche Dienstprogramme, z. B. jq, netcat und curl.

    Stellen Sie dem Skript nach Bedarf zusätzliche Parameter bereit, um die Containerbereitstellung anzupassen. Weitere Informationen zu verfügbaren Befehlszeilenoptionen finden Sie unter Kickstart-Skriptreferenz.

    Wenn Sie Ihren Befehl erneut kopieren müssen, wählen Sie Ansicht rechts neben der Spalte Integrität aus, und kopieren Sie den Befehl neben dem Agent-Bereitstellungsbefehl rechts unten.

12. Wählen Sie in der Datenconnectorseite der Microsoft Sentinel-Lösung für SAP-Anwendung im Bereich Konfiguration Neues System hinzufügen (Vorschau) aus, und geben Sie die folgenden Details ein:

    • Wählen Sie unter Agent auswählen den Agent, den Sie vorhin erstellt haben.

    • Wählen Sie unter Systembezeichner den Servertyp aus:

      • ABAP-Server
      • Nachrichtenserver, um einen Nachrichtenserver als Teil eines ABAP SAP Central Services (ASCS) zu verwenden.

    • Fahren Sie fort, indem Sie die entsprechenden Details für Ihren Servertyp definieren:

      • Für einen ABAP-Server geben Sie die IP-Adresse/den FQDN des ABAP-Anwendungsservers, die System-ID sowie die Nummer und die Client-ID ein.
      • Für einen Nachrichtenserver geben Sie die IP-Adresse/den FQDN des Nachrichtenservers, die Portnummer oder den Dienstnamen und die Anmeldegruppe ein.

    Wenn Sie fertig sind, wählen Sie Weiter: Authentifizierung aus.

    Beispiel:

    

13. Geben Sie auf der Registerkarte Authentifizierung die folgenden Details ein:

    • Geben Sie für die Standardauthentifizierung den Benutzer und das Kennwort an.
    • Wenn Sie beim Einrichten des Agents eine SNC-Verbindung ausgewählt haben, wählen Sie SNC aus, und geben Sie die Zertifikatdetails an.

    Wenn Sie fertig sind, klicken Sie auf Weiter: Protokolle.

14. Wählen Sie auf der Registerkarte Protokolle die Protokolle aus, die Sie aus SAP erfassen möchten, und wählen Sie dann Weiter: Überprüfen und erstellen aus. Beispiel:

    

15. (Optional) Um optimale Ergebnisse bei der Überwachung der SAP PAHI-Tabelle zu erzielen, wählen Sie Konfigurationsverlauf aus. Weitere Informationen finden Sie unter Überprüfen Sie, ob die PAHI-Tabelle regelmäßig aktualisiert wird.

16. Überprüfen Sie die von Ihnen definierten Einstellungen. Wählen Sie Zurück aus, um Einstellungen zu ändern, oder wählen Sie Bereitstellen aus, um das System bereitzustellen.

Die von Ihnen definierte Systemkonfiguration wird im Azure Key Vault bereitgestellt, den Sie während der Bereitstellung definiert haben. Die Systemdetails werden jetzt in der Tabelle unter Konfigurieren eines SAP-Systems und Zuweisen zu einem Collector-Agent angezeigt. In dieser Tabelle werden der zugehörige Agent-Name, die SAP-System-ID (SID) und der Integritätsstatus für Systeme angezeigt, die Sie über das Portal oder einen anderen Weg hinzugefügt haben.

In dieser Phase ist der Integritätsstatus des Systems Ausstehend. Wenn der Agent erfolgreich aktualisiert wurde, pullt er die Konfiguration aus dem Azure Key Vault, und der Status ändert sich in System fehlerfrei. Diese Aktualisierung kann bis zu zehn Minuten dauern.

Verbinden Sie Ihren agentlosen Datenkonnektor (eingeschränkte Vorschau)

1. Navigieren Sie in Microsoft Sentinel zur Seite Konfiguration > Datenconnectors, und suchen Sie den Datenconnector Microsoft Sentinel für SAP – ohne Agent (Vorschau).

2. Erweitern Sie im Konfigurationsbereich den Schritt 1. Automatische Bereitstellung der erforderlichen Azure-Ressourcen / SOC-Techniker auslösen, und wählen Sie Erforderliche Azure-Ressourcen bereitstellen aus.

   Wichtig

   Wenn Sie nicht über die Rolle " Entra-ID-Anwendungsentwickler " oder höher verfügen und die Bereitstellung erforderlicher Azure-Ressourcen auswählen, wird eine Fehlermeldung angezeigt, z. B.: "Bereitstellen erforderlicher Azure-Ressourcen" (Fehler können variieren). Dies bedeutet, dass die Datensammlungsregel (Data Collection Rule, DCR) und der Datensammlungsendpunkt (Data Collection Endpoint, DCE) erstellt wurden, jedoch müssen Sie sicherstellen, dass die Registrierung Ihrer Entra-ID-App autorisiert ist. Fahren Sie mit der Einrichtung der richtigen Autorisierung fort.

3. Führen Sie eine der folgenden Aktionen aus:

   • Wenn Sie über die Rolle "Entra ID-Anwendungsentwickler " oder höher verfügen, fahren Sie mit dem nächsten Schritt fort.

   • Wenn Sie nicht über die Rolle " Entra-ID-Anwendungsentwickler " oder höher verfügen:

     • Teilen Sie die DCR-ID mit Ihrem Entra-ID-Administrator oder einem Kollegen, der über die erforderlichen Berechtigungen verfügt.
     • Stellen Sie sicher, dass die Rolle Herausgeber von Überwachungsmetriken im DCR vorhanden ist und die Dienstprinzipal-Zuweisung unter Verwendung der Client-ID aus der Entra-ID-App-Registrierung erfolgt.
     • Rufen Sie die Client-ID und den geheimen Clientschlüssel aus der Entra ID-App-Registrierung ab, die für die Autorisierung für den DCR verwendet werden soll.

     Der SAP-Administrator verwendet die Client-ID und das Client-Geheimnis, um Daten an den DCR zu übermitteln.

     Hinweis

     Wenn Sie EIN SAP-Administrator sind und keinen Zugriff auf die Connectorinstallation haben, laden Sie das Integrationspaket direkt herunter.

4. Scrollen Sie nach unten, und wählen Sie "SAP-Client hinzufügen" aus.

5. Geben Sie im Bereich "Mit einem SAP-Client verbinden" die folgenden Details ein:

   Feld	Beschreibung
   RFC-Zielname	Der Name des RFC-Ziels, das vom BTP-Ziel stammt
   Client-ID für SAP ohne Agent	Der clientid-Wert aus der JSON-Datei des Process Integration Runtime-Dienstschlüssels.
   Geheimer Clientschlüssel für SAP ohne Agent	Der clientsecret-Wert aus der JSON-Datei des Process Integration Runtime-Dienstschlüssels.
   URL des Autorisierungsservers	Der tokenurl-Wert aus der JSON-Datei des Prozess-Integration Runtime-Dienstschlüssels. Beispiel: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
   Integration Suite-Endpunkt	Der url-Wert aus der JSON-Datei des Process Integration Runtime-Dienstschlüssels. Beispiel: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

6. Wählen Sie Verbinden aus.

Anpassen des Datenkonnektorverhaltens (optional)

Wenn Sie über einen SAP Agentless Data Connector für Microsoft Sentinel verfügen, können Sie die SAP Integration Suite verwenden, um anzupassen, wie der agentlose Datenconnector Daten aus Ihrem SAP-System in Microsoft Sentinel erfasst.

Dieses Verfahren ist nur relevant, wenn Sie das VERHALTEN des SAP-Agentenlosen Datenkonnektors anpassen möchten. Überspringen Sie dieses Verfahren, wenn Sie mit der Standardfunktionalität zufrieden sind. Wenn Sie beispielsweise Sybase verwenden, empfehlen wir, die Protokollierung von Änderungsdokumenten im IFlow zu deaktivieren, indem Sie den Parameter collect-changedocs-logs konfigurieren. Aufgrund von Datenbankleistungsproblemen wird das Erfassen von Änderungsdokumentationsprotokolle von Sybase nicht unterstützt.

Voraussetzungen für das Anpassen des Datenkonnektorverhaltens

• Sie benötigen Zugriff auf die SAP Integration Suite mit Berechtigungen zum Bearbeiten von Wertzuordnungen.
• Ein SAP-Integrationspaket, entweder vorhanden oder neu, um die Standardwertzuordnungsdatei hochzuladen.

Herunterladen der Konfigurationsdatei und Anpassen von Einstellungen

1. Laden Sie die Standarddatei example-parameters.zip herunter, die Einstellungen bereitstellt, die das Standardverhalten definieren, und ist ein guter Ausgangspunkt, um mit der Anpassung zu beginnen.

   Speichern Sie die example-parameters.zip Datei an einem Speicherort, auf den Sie in Ihrer SAP Integration Suite-Umgebung zugreifen können.

2. Verwenden Sie die standardmäßigen SAP-Verfahren zum Hochladen einer Wertzuordnungsdatei und Vornehmen von Änderungen zum Anpassen Ihrer Datenkonnektoreinstellungen:

   1. Laden Sie die dateiexample-parameters.zip als Wertzuordnungsartefakt in die SAP Integration Suite hoch. Weitere Informationen finden Sie in der SAP-Dokumentation.

   2. Verwenden Sie eine der folgenden Methoden, um Ihre Einstellungen anzupassen:

      • Um Einstellungen für alle SAP-Systeme anzupassen, fügen Sie Wertzuordnungen für die globale bidirektionale Zuordnungsagentur hinzu.
      • Um Einstellungen für bestimmte SAP-Systeme anzupassen, fügen Sie neue bidirektionale Zuordnungsagenturen für jedes SAP-System hinzu, und fügen Sie dann Wertzuordnungen für jedes einzelne hinzu. Benennen Sie Ihre Agenturen so, dass sie genau mit dem Namen des RFC-Ziels übereinstimmen, das Sie anpassen möchten, z. B. myRfc, key, myRfc, value.

      Weitere Informationen finden Sie in der SAP-Dokumentation zum Konfigurieren von Wertzuordnungen

   Stellen Sie sicher, dass Sie das Artefakt deployen, wenn Sie die Anpassung abgeschlossen haben, damit die aktualisierten Einstellungen aktiviert werden.

In der folgenden Tabelle sind die anpassbaren Parameter für den SAP-Datenconnector ohne Agent für Microsoft Sentinel aufgeführt:

Parameter	Beschreibung	Zulässige Werte	Standardwert
changedocs-object-classes	Liste der Objektklassen, die aus Änderungsdokumentprotokollen aufgenommen werden.	Durch Trennzeichen getrennte Liste von Objektklassen	BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
Prüfprotokolle sammeln	Bestimmt, ob Überwachungsprotokolldaten erfasst werden oder nicht.	wahr: Erfasst false: Nicht aufgenommen	STIMMT
collect-changedocs-logs	Bestimmt, ob Änderungsdokumentationsprotokolle erfasst werden oder nicht.	wahr: Erfasst false: Nicht aufgenommen	STIMMT
Sammeln von Benutzerstammdaten	Bestimmt, ob Benutzermasterdaten erfasst werden oder nicht.	wahr: Erfasst false: Nicht aufgenommen	STIMMT
force-audit-log-to-read-from-all-clients	Bestimmt, ob das Überwachungsprotokoll von allen Clients gelesen wird.	true: Von allen Clients lesen false: Nicht von allen Clients gelesen	FALSCH
Aufnahme-Zyklus-Tage	Zeit in Tagen, die zum Erfassen der vollständigen Benutzermasterdaten, einschließlich aller Rollen und Benutzenden, erteilt werden. Dieser Parameter wirkt sich nicht auf die Aufnahme von Änderungen an Benutzermasterdaten aus.	Ganze Zahl zwischen 1-14	1
offset-in-seconds	Bestimmt den Offset in Sekunden für die Start- und Endzeiten eines Datensammlungsfensters. Verwenden Sie diesen Parameter, um die Datensammlung um die konfigurierte Anzahl von Sekunden zu verzögern.	Ganze Zahl zwischen 1-600	60

Überprüfen von Konnektivität und Integrität

Überprüfen Sie nach der Bereitstellung des SAP-Datenconnectors die Integrität und Konnektivität Ihres Agents. Weitere Informationen finden Sie unter Überwachen der Integrität und Rolle Ihrer SAP-Systeme.

Nächster Schritt

Nachdem der Connector bereitgestellt wurde, fahren Sie mit dem Konfigurieren der Inhalte für die Microsoft Sentinel-Lösung für SAP-Anwendungen fort. Insbesondere das Konfiguration von Details in den Watchlists ist ein wesentlicher Schritt bei der Aktivierung von Erkennungen und Bedrohungsschutz.

Aktivieren von SAP-Erkennungen und -Bedrohungsschutz