Configuración del sistema SAP para la solución Microsoft Sentinel
En este artículo se describe cómo preparar el entorno de SAP para conectarse al agente del conector de datos de SAP. La preparación incluye la configuración de las autorizaciones SAP necesarias y, opcionalmente, la implementación de solicitudes de cambio (CR) SAP adicionales.
Este artículo forma parte del segundo paso para implementar las aplicaciones de Solución Microsoft Sentinel para SAP.
El equipo SAP BASIS suele realizar los procedimientos de este artículo.
Requisitos previos
- Antes de empezar, asegúrese de revisar los requisitos previos para implementar las aplicaciones de Solución Microsoft Sentinel para SAP.
Configurar la función Microsoft Sentinel
Para permitir que el conector de datos de SAP se conecte al sistema SAP, debe crear un rol de sistema SAP específicamente para este propósito.
Para incluir acciones de respuesta de recuperación de registros y de interrupción de ataques, se recomienda crear este rol mediante la carga de autorizaciones de roles desde el archivo /MSFTSEN/SENTINEL_RESPONDER.
Para incluir solo la recuperación de registros, se recomienda crear este rol mediante la implementación de la solicitud de cambio (CR) de SAP NPLK900271: K900271.NPL | R900271.NPL
Implemente las solicitudes de cambio en el sistema SAP según sea necesario, al igual que implementaría otras solicitudes de cambios. Recomendamos encarecidamente que la implementación de los CR de SAP la realice un administrador de sistemas SAP con experiencia. Para obtener más información, consulte la documentación de SAP.
Como alternativa, cargue las autorizaciones de rol desde el archivo MSFTSEN_SENTINEL_CONNECTOR, que incluye todos los permisos básicos para que funcione el conector de datos.
Los administradores de SAP experimentados pueden optar por crear el rol manualmente y asignarle los permisos adecuados. En tales casos, cree una función de forma manual con las autorizaciones pertinentes requeridas para los registros que desea ingerir. Para obtener más información, consulta Autorizaciones de ABAP necesarias. En los ejemplos de nuestra documentación se usa el nombre /MSFTSEN/SENTINEL_RESPONDER.
Al configurar el rol, se recomienda:
- Generar un perfil de rol activo para Microsoft Sentinel mediante la ejecución de la transacción PFCG.
- Usar
/MSFTSEN/SENTINEL_RESPONDERcomo nombre de rol.
Para obtener más información, consulte la documentación de SAP sobre la creación de roles.
Creación de un usuario
Las aplicaciones de Solución Microsoft Sentinel para SAP requieren una cuenta de usuario para conectarse al sistema SAP. Al crear el usuario:
- Asegúrese de crear un usuario del sistema.
- Asigne el rol /MSFTSEN/SENTINEL_RESPONDER al usuario, que creó en el paso anterior.
Para obtener más información, consulte la documentación de SAP.
Configurar auditoría de SAP
Es posible que algunas instalaciones de sistemas SAP no tengan habilitado el registro de auditoría de forma predeterminada. Para los mejores resultados en la evaluación del rendimiento y la eficacia de las aplicaciones de Solución Microsoft Sentinel para SAP, habilite la auditoría del sistema SAP y configure los parámetros de auditoría. Si desea ingerir registros de base de datos de SAP HANA, asegúrese de habilitar también la auditoría de la base de datos de SAP HANA.
Se recomienda configurar la auditoría de todos los mensajes del registro de auditoría, ya que estos datos son útiles para las detecciones de Microsoft Sentinel y en las investigaciones y la búsqueda posteriores al compromiso.
Para obtener más información, consulte la Comunidad de SAP y Recopilar registros de auditoría de SAP HANA en Microsoft Sentinel.
Configurar la compatibilidad con la recuperación de datos adicional (recomendado)
Aunque este paso es opcional, se recomienda implementar solicitudes de cambio adicionales desde el repositorio de GitHub de Microsoft Sentinel para permitir que el conector de datos de SAP recupere la siguiente información de contenido del sistema SAP:
- Registros Tabla de base de datos y Salida de Spool
- Información de dirección IP del cliente de los registros de auditoría de seguridad (solo SAP BASIS versión 7.5 SP12 y versiones posteriores)
Implemente las solicitudes de cambio pertinentes según la versión de SAP:
| Versiones de SAP BASIS | Solicitud de cambio recomendada |
|---|---|
| 750 y versiones posteriores | NPLK900202: K900202.NPL, R900202.NPL Al implementar esta solicitud de cambio cualquiera de las siguientes versiones de SAP, implemente también 2641084: acceso de lectura estandarizado a los datos del registro de auditoría de seguridad: - 750 SP04 a SP12 - 751 SP00 a SP06 - 752 SP00 a SP02 |
| 740 | NPLK900201: K900201.NPL, R900201.NPL |
Implemente las solicitudes de cambio en el sistema SAP según sea necesario, al igual que implementaría otras solicitudes de cambio. Recomendamos encarecidamente que la implementación de los CR de SAP la realice un administrador de sistemas SAP con experiencia. Para obtener más información, consulte la documentación de SAP.
Para obtener más información, consulte Comunidad de SAP y la documentación de SAP.
Compruebe que la tabla PAHI se actualiza a intervalos regulares
La tabla PAHI de SAP incluye datos sobre el historial del sistema SAP, la base de datos y los parámetros de SAP. En algunos casos, las aplicaciones de Solución Microsoft Sentinel para SAP no pueden supervisar la tabla PAHI de SAP a intervalos regulares, debido a la falta de configuración o a errores. Es importante actualizar la tabla PAHI y supervisarla con frecuencia, de modo que la aplicaciones de Solución Microsoft Sentinel para SAP pueda alertar sobre acciones sospechosas que pueden producirse en cualquier momento durante todo el día. Para más información, vea:
- Nota de SAP 12103
- Supervisión de la configuración de parámetros de seguridad estáticos de SAP (versión preliminar)
Si la tabla PAHI se actualiza periódicamente, el trabajo SAP_COLLECTOR_FOR_PERFMONITOR se programa y se ejecuta cada hora. Si el trabajo SAP_COLLECTOR_FOR_PERFMONITOR no existe, asegúrese de configurarlo según sea necesario.
Para más información, vea:
- Documentación de SAP: Recopilador de bases de datos en procesamiento en segundo plano y Configurar el recopilador de datos
- Optimización de la supervisión de tablas PAHI de SAP (recomendado)
Configurar el sistema para usar SNC para conexiones seguras
De forma predeterminada, el agente del conector de datos de SAP se conecta a un servidor SAP mediante una conexión RFC (Remote Function Call) y un nombre de usuario y una contraseña para la autenticación.
Sin embargo, es posible que tenga que establecer la conexión en un canal cifrado o usar certificados de cliente para la autenticación. En estos casos, use Smart Network Communications (SNC) de SAP para proteger las conexiones de datos, tal y como se describe en esta sección.
En un entorno de producción, se recomienda que consulte con los administradores de SAP para crear un plan de implementación para configurar SNC. Para obtener más información, consulte la documentación de SAP.
Al configurar SNC:
- Si una entidad de certificación de empresa emitió el certificado de cliente, transfiera los certificados de entidad de certificación raíz y de entidad de certificación emisora al sistema donde planea crear el agente del conector de datos.
- Asegúrese de escribir también los valores pertinentes y de usar los procedimientos pertinentes al configurar el contenedor del agente del conector de datos de SAP.