Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung

In diesem Artikel wird beschrieben, wie Sie Ihre SAP-Umgebung für eine Verbindung mit dem SAP-Datenconnector vorbereiten. Die Vorbereitung unterscheidet sich, je nachdem, ob Sie den containerisierten Datenconnector-Agent verwenden. Wählen Sie oben auf der Seite die Option aus, die Ihrer Umgebung entspricht.

Dieser Artikel ist Teil des zweiten Schritts bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.

Die Verfahren in diesem Artikel werden in der Regel von Ihrem SAP BASIS-Team durchgeführt.

Dieser Artikel ist Teil des zweiten Schritts bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen. Während in Microsoft Sentinel ausgeführte Schritte zuerst installiert werden müssen, können andere Vorbereitungen in der SAP-Umgebung parallel erfolgen.

Viele der Verfahren in diesem Artikel werden in der Regel von Ihrem SAP BASIS-Team durchgeführt. Einige Schritte beziehen auch Ihr Sicherheitsteam ein.

Wichtig

Der agentlose Datenkonnektor von Microsoft Sentinel für SAP befindet sich derzeit in der VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden.

Voraussetzungen

• Bevor Sie beginnen, stellen Sie sicher, dass alle Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen erfüllt sind.

• Wenn Sie mit dem agentlosen Datenconnector arbeiten, werden einige Schritte in Microsoft Sentinel ausgeführt und erfordern, dass die Lösung zuerst installiert wird.

Konfigurieren der Microsoft Sentinel-Rolle

Damit der SAP-Datenconnector eine Verbindung mit Ihrem SAP-System herstellen kann, müssen Sie eine spezielle SAP-Systemrolle dafür erstellen.

Wir empfehlen, diese Rolle durch Bereitstellen der NPLK900271 SAP-Änderungsanforderung (CR) zu erstellen: K900271.NPLR900271.NPL |

Stellen Sie die CRs nach Bedarf genauso wie andere CRs in Ihrem SAP-System bereit. Die Bereitstellung von SAP-CRs sollte unbedingt von einem erfahrenen SAP-Systemadministrator durchgeführt werden. Weitere Informationen finden Sie in der SAP-Dokumentation.

Laden Sie alternativ die Rollenautorisierungen aus der Datei MSFTSEN_SENTINEL_CONNECTOR, die alle grundlegenden Berechtigungen für den Datenconnector enthält.

Erfahrene SAP-Administratoren/-Administratorinnen können sich entscheiden, die Rolle manuell zu erstellen und ihr die entsprechenden Berechtigungen zuzuweisen. In solchen Fällen können Sie manuell eine Rolle mit den relevanten Autorisierungen erstellen, die für die zu erfassenden Protokolle erforderlich sind. Weitere Informationen finden Sie unter Erforderliche ABAP-Autorisierungen. In den Beispiele in der Dokumentation wird der Name /MSFTSEN/SENTINEL_RESPONDER verwendet.

Beim Konfigurieren der Rolle wird Folgendes empfohlen:

• Generieren Sie ein aktives Rollenprofil für Microsoft Sentinel, indem Sie die PFCG-Transaktion ausführen.
• Verwenden Sie als Rollennamen /MSFTSEN/SENTINEL_RESPONDER.

Erstellen Sie eine Rolle mithilfe der Vorlage MSFTSEN_SENTINEL_READER, die alle grundlegenden Berechtigungen für den Datenconnector enthält.

Weitere Informationen finden Sie in der SAP-Dokumentation zum Erstellen von Rollen.

Erstellen eines Benutzers

Die Microsoft Sentinel-Lösung für SAP-Anwendungen erfordern ein Benutzerkonto, um eine Verbindung mit Ihrem SAP-System herzustellen. Vorgehensweise beim Erstellen eines Benutzers:

• Achten Sie darauf, einen Systembenutzer zu erstellen.
• Weisen Sie dem Benutzer die Rolle /MSFTSEN/SENTINEL_RESPONDER zu, die Sie im vorherigen Schritt erstellt haben.

• Achten Sie darauf, einen Systembenutzer zu erstellen.
• Weisen Sie dem Benutzer die Rolle MSFTSEN_SENTINEL_READER zu, die Sie im vorherigen Schritt erstellt haben.

Weitere Informationen finden Sie in der SAP-Dokumentation.

Konfigurieren der SAP-Überwachung

Bei einigen Installationen von SAP-Systemen ist möglicherweise standardmäßig kein Überwachungsprotokoll aktiviert. Damit Sie optimale Ergebnisse bei der Bewertung von Leistung und Wirksamkeit der Microsoft Sentinel-Lösung für SAP-Anwendungen erzielen können, aktivieren Sie die Überwachung Ihres SAP-Systems, und konfigurieren Sie die Überwachungsparameter. Wenn Sie SAP HANA DB-Protokolle erfassen möchten, müssen Sie auch die Überwachung für SAP HANA DB aktivieren.

Es wird empfohlen, die Überwachung für alle Nachrichten vom Überwachungsprotokoll statt nur für bestimmte Protokolle zu konfigurieren. Die Kostenunterschiede bei der Erfassung sind im Allgemeinen minimal, die Daten sind aber nützlich für Microsoft Sentinel-Erkennungen und der Untersuchung und dem Hunting nach einer Kompromittierung.

Für die vollständige Abdeckung mit dem Datenconnector ohne Agenten empfehlen wir, die Überwachung aller Client-IDs Ihrer überwachten SAP-Systeme, einschließlich Clients 000 und 066, zu aktivieren.

Weitere Informationen erhalten Sie von der SAP-Community und unter Erfassen von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel.

Konfigurieren des Systems für die Verwendung von SNC für sichere Verbindungen

Der SAP-Datenconnector-Agent stellt standardmäßig eine Verbindung mit einem SAP-Server über eine RFC-Verbindung (Remote Functional Call, Remotefunktionsaufruf) her und verwendet den Benutzernamen und das Kennwort für die Authentifizierung.

Möglicherweise müssen Sie jedoch die Verbindung über einen verschlüsselten Kanal herstellen oder Clientzertifikate für die Authentifizierung verwenden. Verwenden Sie in diesen Fällen SNC (Smart Network Communications) von SAP wie in diesem Abschnitt beschrieben, um Ihre Datenverbindungen zu schützen.

In einer Produktionsumgebung wird dringend empfohlen, die SAP-Administratoren zu Rate zu ziehen, um einen Bereitstellungsplan für die Konfiguration von SNC zu erstellen. Weitere Informationen finden Sie in der SAP-Dokumentation.

Beim Konfigurieren von SNC:

• Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, übertragen Sie die Zertifikate der ausstellenden Zertifizierungsstelle und der Stammzertifizierungsstelle auf das System, in dem Sie den Datenconnector-Agent erstellen.
• Geben Sie bei Verwendung des Datenconnector-Agents unbedingt die relevanten Werte ein, und wenden Sie beim Konfigurieren des Containers für den SAP-Datenconnector-Agent die relevanten Verfahren an. Wenn Sie den agentlosen Datenkonnektor verwenden, erfolgt die SNC-Konfiguration im SAP Cloud Connector.

Weitere Informationen zu SNC finden Sie unter Erste Schritte mit SAP SNC für RFC-Integrationen – SAP-Blog.

Konfigurieren der Unterstützung für zusätzliche Datenabrufe (empfohlen)

Dieser Schritt ist zwar optional, es wird jedoch empfohlen, den SAP-Datenconnector zu aktivieren, damit er die folgenden Inhaltsinformationen aus Ihrem SAP-System abrufen kann:

• Protokolle von DB-Tabellen und Spoolausgabe
• Client-IP-Adressinformationen aus den Sicherheitsüberwachungsprotokollen

1. Stellen Sie die relevanten CRs aus dem GitHub-Repository für Microsoft Sentinelgemäß Ihrer SAP-Version bereit:

   SAP BASIS-Versionen	Empfohlener CR
   750 und höher	NPLK900202: K900202.NPL, R900202.NPL Stellen Sie bei der Bereitstellung dieses CR in eine der folgenden SAP-Versionen auch 2641084 – Standardisierter Lesezugriff auf Daten des Sicherheitsüberwachungsprotokolls bereit: – 750 SP04 bis SP12 – 751 SP00 bis SP06 – 752 SP00 bis SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   Stellen Sie die CRs nach Bedarf genauso wie andere CRs in Ihrem SAP-System bereit. Die Bereitstellung von SAP-CRs sollte unbedingt von einem erfahrenen SAP-Systemadministrator durchgeführt werden. Weitere Informationen finden Sie in der SAP-Dokumentation.

   Weitere Informationen erhalten Sie von der SAP Community und in der SAP-Dokumentation.

2. Um SAP BASIS-Versionen 7.31 bis 7.5 SP12 beim Senden von Client-IP-Adressinformationen an Microsoft Sentinel zu unterstützen, aktivieren Sie die Protokollierung für die SAP-Tabelle USR41. Weitere Informationen finden Sie in der SAP-Dokumentation.

Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird

Die SAP PAHI-Tabelle enthält Daten zum Verlauf des SAP-Systems, der Datenbank und SAP-Parameter. In einigen Fällen können die Microsoft Sentinel-Lösung für SAP-Anwendungen die SAP PAHI-Tabelle nicht in regelmäßigen Abständen überwachen, da die Konfiguration fehlt oder fehlerhaft ist. Es ist wichtig, die PAHI-Tabelle zu aktualisieren und regelmäßig zu überwachen, damit die Microsoft Sentinel-Lösung für SAP-Anwendungen Warnungen bei verdächtigen Aktionen ausgeben können, die jederzeit im Lauf des Tages auftreten können. Weitere Informationen finden Sie unter

• SAP-Hinweis 12103
• Überwachen der Konfiguration statischer SAP-Sicherheitsparameter (Vorschau)

Wenn die PAHI-Tabelle regelmäßig aktualisiert wird, wird der SAP_COLLECTOR_FOR_PERFMONITOR-Auftrag geplant und stündlich ausgeführt. Wenn der SAP_COLLECTOR_FOR_PERFMONITOR-Auftrag nicht vorhanden ist, müssen Sie ihn bei Bedarf konfigurieren.

Weitere Informationen finden Sie unter Datenbankerfassung bei der Hintergrundverarbeitung und Konfigurieren des Datensammlers.

Konfigurieren von SAP BTP-Einstellungen

1. Fügen Sie in Ihrem SAP BTP-Unterkonto Berechtigungen für die folgenden Dienste hinzu:

   • SAP Integration Suite
   • SAP Process Integration Runtime
   • Cloud Foundry Ausführungsumgebung

2. Erstellen Sie eine Instanz von Cloud Foundry Runtime und außerdem einen Cloud Foundry-Bereich.

3. Erstellen Sie eine Instanz von SAP Integration Suite.

4. Weisen Sie dem Benutzerkonto des SAP BTP-Unterkontos die SAP BTP-Rolle Integration_Provisioner zu.

5. Fügen Sie in SAP Integration Suite die Cloud Integration-Funktion hinzu.

6. Weisen Sie Ihrem Benutzerkonto die folgenden Prozessintegrationsrollen zu:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Diese Rollen sind erst verfügbar, nachdem Sie die Cloud Integration-Funktion aktiviert haben.

7. Erstellen Sie eine Instanz von SAP Process Integration Runtime in Ihrem Unterkonto.

8. Erstellen Sie einen Dienstschlüssel für SAP Process Integration Runtime, und speichern Sie den JSON-Inhalt an einem sicheren Speicherort. Sie müssen die Cloud Integration-Funktion aktivieren, bevor Sie einen Dienstschlüssel für SAP Process Integration Runtime erstellen.

Weitere Informationen finden Sie in der SAP-Dokumentation.

Konfigurieren des Connectors in Microsoft Sentinel und in Ihrem SAP-System

Dieses Verfahren umfasst Schritte sowohl in Microsoft Sentinel als auch in Ihrem SAP-System und erfordert eine Koordination mit dem SAP-Administrator.

1. Navigieren Sie in Microsoft Sentinel zur Seite Konfiguration > Datenconnectors, und suchen Sie den Datenconnector Microsoft Sentinel für SAP – ohne Agent (Vorschau).

2. Erweitern Sie im Abschnitt Konfiguration und folgen Sie den Anweisungen im Abschnitt Anfängliche Connectorkonfiguration - Führen Sie die folgenden Schritte einmal aus:. Diese Schritte erfordern sowohl Ihren SecuritySOC-Techniker als auch den SAP-Administrator.

   1. Auslösen der automatischen Bereitstellung von Azure-Ressourcen (SOC Engineer). Wenn die Werte in den Schritten 2 und 3 nach der Bereitstellung der Azure-Ressourcen nicht automatisch ausgefüllt werden, schließen Sie Schritt 1 und erweitern Sie ihn erneut, um die Werte in den Schritten 2 und 3 zu aktualisieren.

   2. Stellen Sie ein OAuth2-Client-Anmeldeinformationsartefakt in der SAP-Integration (SAP-Admin) bereit.

   3. Stellen Sie ein Secure Parameter-Artefakt in SAP Integration (SAP Admin) mit dem Namen workspaceKey bereit, der den Log Analytics-Arbeitsbereichsschlüssel enthält, der in der Datenconnector-Benutzeroberfläche sichtbar ist.

   4. Stellen Sie das SAP Agentless Data Connector-Paket in der SAP Integration Suite (SAP Admin) bereit.

      1. Laden Sie das Integrationspaket herunter, und laden Sie es in Ihre SAP Integration Suite hoch. Weitere Informationen finden Sie in der SAP-Dokumentation.
      2. Öffnen Sie das Paket, und wechseln Sie zur Registerkarte "Artefakte" . Wählen Sie dann die Konfiguration des Datensammlers aus . Weitere Informationen finden Sie in der SAP-Dokumentation.
      3. Konfigurieren Sie den Integrationsfluss mit logIngestionURL und dcRImmutableID.
      4. Stellen Sie den i-Flow mithilfe der SAP Cloud Integration als Laufzeitdienst bereit.

Ausführen der Voraussetzungsprüfung

1. Der iFlow für die Voraussetzungsprüfung ist im Paket enthalten. Wir empfehlen, diesen iflow auszuführen, bevor Sie mit dem nächsten Schritt fortfahren, um sicherzustellen, dass Ihr SAP-System die Systemvoraussetzungen erfüllt.

   So führen Sie das Tool aus:

   1. Öffnen Sie das Integrationspaket, navigieren Sie zur Registerkarte "Artefakte", und wählen Sie die Voraussetzungsprüfung "iflow >Konfigurieren" aus.

   2. Legen Sie das gewünschte RFC-Ziel auf das SAP-System fest, das Sie überprüfen möchten.

   3. Stellen Sie den iflow wie Sie es normalerweise tun würden für Ihre SAP-Systeme bereit. Verwenden Sie beispielsweise das folgende PowerShell-Beispielskript, und ändern Sie die Beispielplatzhalterwerte für Ihre Umgebung:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   Stellen Sie sicher, dass die Voraussetzungensprüfung erfolgreich ausgeführt wird, bevor Sie eine Verbindung mit Microsoft Sentinel herstellen.

2. Scrollen Sie weiter nach unten im Konfigurationsbereich, erweitern Sie den Bereich Überwachte SAP-Systeme hinzufügen und folgen Sie den Anweisungen darin für jedes SAP-System, das Sie überwachen möchten.

   Wenn Sie zu Schritt 2 gelangen. Verbinden Sie das SAP-System mit Microsoft Sentinel / SOC Engineer, und verbinden Sie Ihr SAP-System mit Microsoft Sentinel.

Konfigurieren von SAP Cloud Connector-Einstellungen

1. Installieren Sie SAP Cloud Connector. Weitere Informationen finden Sie in der SAP-Dokumentation.

2. Melden Sie sich bei der Cloud Connector-Schnittstelle an, und fügen Sie das Unterkonto mithilfe der relevanten Anmeldeinformationen hinzu. Weitere Informationen finden Sie in der SAP-Dokumentation.

3. Fügen Sie im Unterkonto des Cloud-Konnektors dem Back-End-System eine neue Systemzuordnung hinzu, um das ABAP-System dem RFC-Protokoll zuzuordnen.

4. Definieren Sie Lastenausgleichsoptionen, und geben Sie die Back-End-ABAP-Serverdetails ein. Kopieren Sie in diesem Schritt den Namen des virtuellen Hosts an einen sicheren Speicherort, um ihn später im Bereitstellungsprozess zu verwenden.

5. Fügen Sie der Systemzuordnung neue Ressourcen für jeden der folgenden Funktionsnamen hinzu:

   • RSAU_API_GET_LOG_DATA, um Daten des SAP-Sicherheitsüberwachungsprotokolls abzurufen

   • BAPI_USER_GET_DETAIL, um SAP-Benutzerdetails abzurufen

   • RFC_READ_TABLE, um Daten aus erforderlichen Tabellen zu lesen

   • SIAG_ROLE_GET_AUTH zum Abrufen von Sicherheitsrollenautorisierungen

   • /OSP/SYSTEM_TIMEZONE zum Abrufen von SAP-Systemzeitzonedetails

6. Fügen Sie in SAP BTP ein neues Ziel hinzu, das auf den virtuellen Host verweist, den Sie zuvor erstellt haben. Verwenden Sie die folgenden Details, um das neue Ziel aufzufüllen:

   • Name: Geben Sie den Namen ein, den Sie für die Microsoft Sentinel-Verbindung verwenden möchten

   • TypRFC

   • Proxytyp:On-Premise

   • Benutzer: Geben Sie das ABAP-Benutzerkonto ein, das Sie zuvor für Microsoft Sentinel erstellt haben

   • Autorisierungstyp:CONFIGURED USER

   • Zusätzliche Eigenschaften:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Standort: Nur erforderlich, wenn Sie mehrere Cloud Connector-Instanzen mit demselben BTP-Unterkonto verbinden. Weitere Informationen finden Sie in der SAP-Dokumentation.

Nächster Schritt

Verbinden Ihres SAP-Systems mit Microsoft Sentinel