Microsoft Sentinel Lösung für SAP-Anwendungen: Übersicht über die Bereitstellung

Verwenden Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen, um Ihre SAP-Systeme mit Microsoft Sentinel zu überwachen und komplexe Bedrohungen in der Gesamten Geschäftslogik und den Anwendungsebenen Ihrer SAP-Anwendungen zu erkennen.

In diesem Artikel wird die Microsoft Sentinel Lösung für die Bereitstellung von SAP-Anwendungen vorgestellt.

Lösungskomponenten

Die Microsoft Sentinel-Lösung für SAP-Anwendungen umfasst einen Datenconnector, der Protokolle von Ihren SAP-Systemen sammelt und an Ihren Microsoft Sentinel Arbeitsbereich sendet, sowie sofort einsatzbereite Sicherheitsinhalte, mit denen Sie Einblick in die SAP-Umgebung Ihrer organization erhalten und Sicherheitsbedrohungen erkennen und darauf reagieren können.

Datenconnector

Die Microsoft Sentinel-Lösung für SAP-Anwendungen unterstützt sowohl einen Datenconnector ohne Agent als auch einen Container-Datenconnector-Agent. Beide Agents sammeln Anwendungsprotokolle für alle ihre integrierten SAP-SIDs aus der gesamten SAP-Systemlandschaft und senden diese Protokolle dann an Ihren Log Analytics-Arbeitsbereich in Microsoft Sentinel.

Wichtig

Der Datenconnector-Agent für SAP ist veraltet und wird bis zum 14. September 2026 dauerhaft deaktiviert. Es wird empfohlen, zum Datenconnector ohne Agent zu migrieren. Erfahren Sie mehr über den Agentless-Ansatz in unserem Blogbeitrag.

Wählen Sie eine der folgenden Registerkarten aus, um weitere Informationen zu erhalten:

Datenconnector ohne Agent

Der Microsoft Sentinel agentlose Datenconnector für SAP verwendet den SAP Cloud Connector und die SAP Integration Suite, um eine Verbindung mit Ihrem SAP-System herzustellen und Protokolle daraus abzurufen, wie in der folgenden Abbildung dargestellt:

Durch die Verwendung des SAP Cloud Connectors profitiert der Datenconnector ohne Agent von bereits vorhandenen Setups und etablierten Integrationsprozessen. Dies bedeutet, dass Sie sich nicht erneut mit Netzwerkproblemen befassen müssen, da die Personen, die Ihren SAP Cloud Connector ausführen, diesen Prozess bereits durchlaufen haben.

Der Datenconnector ohne Agent ist mit SAP NetWeaver-basierten Systemen kompatibel. Darunter SAP S/4HANA Cloud, Private Edition (RISE mit SAP), SAP S/4HANA lokal, SAP ERP Central Component (ECC), SAP Business Warehouse (BW) und mehr, um die kontinuierliche Funktionalität vorhandener Sicherheitsinhalte zu gewährleisten, einschließlich Erkennungen, Arbeitsmappen und Playbooks.

Der Datenconnector ohne Agent erfasst kritische Sicherheitsprotokolle wie das Sicherheitsüberwachungsprotokoll, Änderungsdokumentationsprotokolle und Benutzerdaten master Daten, einschließlich Benutzerrollen und Autorisierungen.

Containerisierter Datenconnector-Agent (veraltet)

Die folgende Abbildung zeigt beispielsweise eine MULTI-SID-SAP-Landschaft mit einer Aufteilung zwischen Produktions- und Nichtproduktionssystemen, einschließlich der SAP Business Technology Platform. Alle Systeme in diesem Image werden in Microsoft Sentinel für die SAP-Lösung integriert.

Der Agent stellt eine Verbindung mit Ihrem SAP-System her, um Protokolle und andere Daten daraus abzurufen, und sendet diese Protokolle dann an Ihren Microsoft Sentinel Arbeitsbereich. Dazu muss sich der Agent bei Ihrem SAP-System authentifizieren, indem er einen Benutzer und eine Rolle verwendet, die speziell für diesen Zweck erstellt wurde.

Microsoft Sentinel unterstützt einige Optionen zum Speichern ihrer Agent-Konfigurationsinformationen, einschließlich der Konfiguration für Ihre SAP-Authentifizierungsgeheimnisse. Die Entscheidung, welche Option möglicherweise davon abhängt, wo Sie Ihren virtuellen Computer bereitstellen und welchen SAP-Authentifizierungsmechanismus Sie verwenden. Unterstützte Optionen sind wie folgt, die in der Reihenfolge der Präferenzen aufgeführt sind:

• Eine Azure Key Vault, auf die über eine Azure systemseitig zugewiesene verwaltete Identität zugegriffen wird
• Eine Azure Key Vault, auf die über einen Microsoft Entra ID registrierten Anwendungsdienstprinzipal zugegriffen wird
• Eine Klartextkonfigurationsdatei

Sie können sich auch mit SNC-Zertifikaten (Secure Network Communication) und X.509 von SAP authentifizieren. Die Verwendung von SNC bietet zwar ein höheres Maß an Authentifizierungssicherheit, ist aber möglicherweise nicht für alle Szenarien praktisch.

Sicherheitsinhalte

Die Microsoft Sentinel Lösungen für SAP-Anwendungen umfassen die folgenden Arten von Sicherheitsinhalten, die Ihnen helfen, Einblicke in die SAP-Umgebung Ihrer organization zu erhalten und Sicherheitsbedrohungen zu erkennen und darauf zu reagieren:

• Analyseregeln und Watchlists für die Bedrohungserkennung .
• Funktionen für einfachen Datenzugriff.
• Arbeitsmappen zum Erstellen einer interaktiven Datenvisualisierung.
• Watchlists für die Anpassung der integrierten Lösungsparameter.
• Playbooks , die Sie verwenden können, um Reaktionen auf Bedrohungen zu automatisieren.

Weitere Informationen finden Sie unter Microsoft Sentinel Lösung für SAP-Anwendungen: Referenz zu Sicherheitsinhalten.

Bereitstellungsablauf und Personas

Die Bereitstellung der Microsoft Sentinel Lösungen für SAP-Anwendungen umfasst mehrere Schritte und erfordert die Zusammenarbeit über mehrere Teams hinweg, je nachdem, ob Sie den Agentlosen Datenconnector oder einen Datenconnector-Agent verwenden. Wählen Sie eine der folgenden Registerkarten aus, um weitere Informationen zu erhalten:

Datenconnector ohne Agent

Die Bereitstellung der Microsoft Sentinel Lösungen für SAP-Anwendungen umfasst mehrere Schritte und erfordert die Zusammenarbeit zwischen Ihren Sicherheits- und SAP BASIS-Teams. Die folgende Abbildung zeigt die Schritte beim Bereitstellen der Microsoft Sentinel Lösungen für SAP-Anwendungen, wobei die entsprechenden Teams angegeben sind:

Es wird empfohlen, dass Sie beide Teams bei der Planung Ihrer Bereitstellung einbeziehen, um sicherzustellen, dass der Aufwand zugeordnet wird und die Bereitstellung reibungslos ablaufen kann.

Zu den Bereitstellungsschritten gehören:

1. Überprüfen Sie die Voraussetzungen für die Bereitstellung des SAP-Datenconnectors ohne Agent.

2. Stellen Sie die SAP-Anwendungslösung über den Content Hub bereit. Dieser Schritt wird vom Sicherheitsteam auf dem Azure-Portal ausgeführt.

3. Konfigurieren Sie Ihr SAP-System für die Microsoft Sentinel-Lösung, einschließlich konfiguration von SAP-Autorisierungen, Konfigurieren der SAP-Überwachung und mehr. Es wird empfohlen, diese Schritte von Ihrem SAP BASIS-Team auszuführen, und unsere Dokumentation enthält Verweise auf die SAP-Dokumentation. Einige der Verfahren in diesem Schritt können vom SAP BASIS-Team durchgeführt werden, bevor die Lösung installiert wird.

4. Verbinden Sie Ihr SAP-System mithilfe eines Datenconnectors ohne Agent mit dem SAP Cloud Connector. Dieser Schritt wird von Ihrem Sicherheitsteam auf der Azure-Portal mithilfe von Informationen durchgeführt, die von Ihrem SAP BASIS-Team bereitgestellt werden.

5. Aktivieren Sie SAP-Erkennungen und Bedrohungsschutz. Dieser Schritt wird vom Sicherheitsteam auf dem Azure-Portal ausgeführt.

Agent für containerisierte Datenconnector

Die Bereitstellung der Microsoft Sentinel Lösungen für SAP-Anwendungen umfasst mehrere Schritte und erfordert die Zusammenarbeit über mehrere Teams hinweg, einschließlich der Sicherheits-, Infrastruktur- und SAP BASIS-Teams. Die folgende Abbildung zeigt die Schritte beim Bereitstellen der Microsoft Sentinel Lösungen für SAP-Anwendungen, wobei die entsprechenden Teams angegeben sind:

Es wird empfohlen, dass Sie alle relevanten Teams bei der Planung Ihrer Bereitstellung einbeziehen, um sicherzustellen, dass der Aufwand zugeordnet wird und die Bereitstellung reibungslos ablaufen kann.

Zu den Bereitstellungsschritten gehören:

1. Überprüfen Sie die Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen. Einige Voraussetzungen erfordern die Koordination mit Ihrer Infrastruktur oder SAP BASIS-Teams.

2. Die folgenden Schritte können parallel ausgeführt werden, da sie separate Teams umfassen und nicht voneinander abhängig sind:

   1. Stellen Sie die Microsoft Sentinel-Lösung für SAP-Anwendungen über den Inhaltshub bereit. Stellen Sie sicher, dass Sie die richtige Lösung für Ihre Umgebung installieren. Dieser Schritt wird vom Sicherheitsteam auf dem Azure-Portal ausgeführt.

   2. Konfigurieren Sie Ihr SAP-System für die Microsoft Sentinel-Lösung, einschließlich konfiguration von SAP-Autorisierungen, Konfigurieren der SAP-Überwachung und mehr. Es wird empfohlen, diese Schritte von Ihrem SAP BASIS-Team auszuführen, und unsere Dokumentation enthält Verweise auf die SAP-Dokumentation. Einige Schritte werden auch vom Sicherheitsteam ausgeführt.

3. Verbinden Sie Ihr SAP-System , indem Sie einen Container-Datenconnector-Agent bereitstellen. Dieser Schritt erfordert die Koordination zwischen Ihren Sicherheits-, Infrastruktur- und SAP BASIS-Teams.

4. Aktivieren Sie SAP-Erkennungen und Bedrohungsschutz. Dieser Schritt wird vom Sicherheitsteam auf dem Azure-Portal ausgeführt.

Zu den zusätzlichen Optionen gehören:

• Sammeln von SAP HANA-Überwachungsprotokollen
• Manuelles Bereitstellen eines SAP-Datenconnector-Agents

Beenden der SAP-Datensammlung

Wenn Sie den Datenconnector-Agent verwenden und verhindern müssen, dass Microsoft Sentinel Ihre SAP-Daten sammelt, beenden Sie die Protokollerfassung, und deaktivieren Sie den Connector. Entfernen Sie dann die zusätzliche Benutzerrolle und alle optionalen CRs, die auf Ihrem SAP-System installiert sind.

Weitere Informationen finden Sie unter Beenden der SAP-Datensammlung.

Verwandte Inhalte

Weitere Informationen finden Sie unter:

• Informationen zu Microsoft Sentinel Inhalten und Lösungen.
• Überwachen der Integrität und Rolle Ihrer SAP-Systeme
• Aktualisieren des SAP-Datenconnector-Agents von Microsoft Sentinel

Nächster Schritt

Beginnen Sie mit der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen, indem Sie die Voraussetzungen überprüfen:

Voraussetzungen