Compartir a través de

Configuración del sistema SAP para la solución Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo se describe cómo preparar el entorno de SAP para conectarse al agente del conector de datos de SAP. La preparación difiere, en función de si usa el agente del conector de datos en contenedor. Seleccione la opción en la parte superior de la página que coincida con el entorno.

Este artículo forma parte del segundo paso para implementar las aplicaciones de Solución Microsoft Sentinel para SAP.

Diagrama del flujo de implementación de las aplicaciones de Solución Microsoft Sentinel para SAP, con el paso de preparación de SAP resaltado.

El equipo SAP BASIS suele realizar los procedimientos de este artículo.

Este artículo forma parte del segundo paso para implementar las aplicaciones de Solución Microsoft Sentinel para SAP. Aunque los pasos que se realizan en Microsoft Sentinel requieren que la solución se instale primero, otras preparación en el entorno de SAP pueden producirse en paralelo.

Diagrama del flujo de implementación de las aplicaciones de Solución Microsoft Sentinel para SAP, con el paso de preparación de SAP resaltado.

Muchos de los procedimientos de este artículo suelen realizarse por el equipo de SAP BASIS . Algunos pasos también incluyen a su equipo de seguridad.

Importante

El conector de datos sin agente de Microsoft Sentinel para SAP está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Requisitos previos

  • Si está trabajando con el conector de datos sin agente, algunos pasos se realizan en Microsoft Sentinel y requieren que la solución se instale primero.

Configurar la función Microsoft Sentinel

Para permitir que el conector de datos de SAP se conecte al sistema SAP, debe crear un rol de sistema SAP específicamente para este propósito.

Se recomienda crear este rol mediante la implementación de la solicitud de cambio de SAP (CR) de NPLK900271 : K900271.NPL | R900271.NPL

Implemente las solicitudes de cambio en el sistema SAP según sea necesario, al igual que implementaría otras solicitudes de cambio. Recomendamos encarecidamente que la implementación de los CR de SAP la realice un administrador de sistemas SAP con experiencia. Para obtener más información, consulte la documentación de SAP.

Como alternativa, cargue las autorizaciones de rol desde el archivo MSFTSEN_SENTINEL_CONNECTOR, que incluye todos los permisos básicos para que funcione el conector de datos.

Los administradores de SAP experimentados pueden optar por crear el rol manualmente y asignarle los permisos adecuados. En tales casos, cree una función de forma manual con las autorizaciones pertinentes requeridas para los registros que desea ingerir. Para obtener más información, consulta Autorizaciones de ABAP necesarias. En los ejemplos de nuestra documentación se usa el nombre /MSFTSEN/SENTINEL_RESPONDER.

Al configurar el rol, se recomienda:

  • Generar un perfil de rol activo para Microsoft Sentinel mediante la ejecución de la transacción PFCG.
  • Usar /MSFTSEN/SENTINEL_RESPONDER como nombre de rol.

Cree un rol mediante la plantilla de MSFTSEN_SENTINEL_READER, que incluye todos los permisos básicos para que funcione el conector de datos.

Para obtener más información, consulte la documentación de SAP sobre la creación de roles.

Creación de un usuario

Las aplicaciones de Solución Microsoft Sentinel para SAP requieren una cuenta de usuario para conectarse al sistema SAP. Al crear el usuario:

  • Asegúrese de crear un usuario del sistema.
  • Asigne el rol /MSFTSEN/SENTINEL_RESPONDER al usuario, que creó en el paso anterior.
  • Asegúrese de crear un usuario del sistema.
  • Asigne el rol MSFTSEN_SENTINEL_READER al usuario, que creó en el paso anterior.

Para obtener más información, consulte la documentación de SAP.

Configurar auditoría de SAP

Es posible que algunas instalaciones de sistemas SAP no tengan habilitado el registro de auditoría de forma predeterminada. Para los mejores resultados en la evaluación del rendimiento y la eficacia de las aplicaciones de Solución Microsoft Sentinel para SAP, habilite la auditoría del sistema SAP y configure los parámetros de auditoría. Si desea ingerir registros de base de datos de SAP HANA, asegúrese de habilitar también la auditoría de la base de datos de SAP HANA.

Se recomienda configurar la auditoría para todos los mensajes del registro de auditoría, en lugar de solo registros específicos. Las diferencias de costos de ingesta suelen ser mínimas y los datos son útiles para las detecciones de Microsoft Sentinel y en las investigaciones y la búsqueda posteriores al compromiso.

Para una cobertura de supervisión completa con el conector de datos sin agente, se recomienda habilitar la supervisión en todos los identificadores de cliente de los sistemas SAP supervisados, incluidos los clientes 000 y 066.

Para obtener más información, consulte la Comunidad de SAP y Recopilar registros de auditoría de SAP HANA en Microsoft Sentinel.

Configurar el sistema para usar SNC para conexiones seguras

De forma predeterminada, el agente del conector de datos de SAP se conecta a un servidor SAP mediante una conexión RFC (Remote Function Call) y un nombre de usuario y una contraseña para la autenticación.

Sin embargo, es posible que tenga que establecer la conexión en un canal cifrado o usar certificados de cliente para la autenticación. En estos casos, use Smart Network Communications (SNC) de SAP para proteger las conexiones de datos, tal y como se describe en esta sección.

En un entorno de producción, se recomienda que consulte con los administradores de SAP para crear un plan de implementación para configurar SNC. Para obtener más información, consulte la documentación de SAP.

Al configurar SNC:

  • Si una entidad de certificación de empresa emitió el certificado de cliente, transfiera los certificados de entidad de certificación raíz y de entidad de certificación emisora al sistema donde planea crear el agente del conector de datos.
  • Si usa el agente del conector de datos, asegúrese de escribir también los valores pertinentes y de usar los procedimientos pertinentes al configurar el contenedor del agente de conector de datos de SAP. Si usa el conector de datos sin agente, la configuración de SNC se realiza en SAP Cloud Connector.

Para obtener más información sobre SNC, consulte Introducción a las integraciones de SAP SNC para RFC: blog de SAP.

Aunque este paso es opcional, se recomienda habilitar el conector de datos de SAP para recuperar la siguiente información de contenido del sistema SAP:

  • Registros Tabla de base de datos y Salida de Spool
  • Información de dirección IP del cliente de los registros de auditoría de seguridad

  1. Implemente las RS pertinentes desde el repositorio de GitHub de Microsoft Sentinel, según la versión de SAP:

    Versiones de SAP BASIS Solicitud de cambio recomendada
    750 y versiones posteriores NPLK900202: K900202.NPL, R900202.NPL

    Al implementar esta solicitud de cambio cualquiera de las siguientes versiones de SAP, implemente también 2641084: acceso de lectura estandarizado a los datos del registro de auditoría de seguridad:
    - 750 SP04 a SP12
    - 751 SP00 a SP06
    - 752 SP00 a SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Implemente las solicitudes de cambio en el sistema SAP según sea necesario, al igual que implementaría otras solicitudes de cambio. Recomendamos encarecidamente que la implementación de los CR de SAP la realice un administrador de sistemas SAP con experiencia. Para obtener más información, consulte la documentación de SAP.

    Para obtener más información, consulte Comunidad de SAP y la documentación de SAP.

  2. Para admitir las versiones 7.31-7.5 SP12 de SAP BASIS en el envío de información de dirección IP de cliente a Microsoft Sentinel, active el registro para la tabla DE SAP USR41. Para obtener más información, consulte la documentación de SAP.

Compruebe que la tabla PAHI se actualiza a intervalos regulares

La tabla PAHI de SAP incluye datos sobre el historial del sistema SAP, la base de datos y los parámetros de SAP. En algunos casos, las aplicaciones de Solución Microsoft Sentinel para SAP no pueden supervisar la tabla PAHI de SAP a intervalos regulares, debido a la falta de configuración o a errores. Es importante actualizar la tabla PAHI y supervisarla con frecuencia, de modo que la aplicaciones de Solución Microsoft Sentinel para SAP pueda alertar sobre acciones sospechosas que pueden producirse en cualquier momento durante todo el día. Para más información, consulte:

Si la tabla PAHI se actualiza periódicamente, el trabajo SAP_COLLECTOR_FOR_PERFMONITOR se programa y se ejecuta cada hora. Si el trabajo SAP_COLLECTOR_FOR_PERFMONITOR no existe, asegúrese de configurarlo según sea necesario.

Para obtener más información, consulte el Recopilador de bases de datos en procesamiento en segundo plano y Configurar el recopilador de datos.

Configurar las opciones de SAP BTP

  1. En la subcuenta de SAP BTP, agregue derechos para los siguientes servicios:

    • SAP Integration Suite
    • Entorno de ejecución de integración de procesos SAP
    • Entorno de ejecución de Cloud Foundry

  2. Cree una instancia de Cloud Foundry Runtime y, a continuación, cree un espacio de Cloud Foundry.

  3. Cree una instancia de SAP Integration Suite.

  4. Asigne el rol de Integration_Provisioner de SAP BTP a su cuenta de usuario de subcuenta de SAP BTP.

  5. En SAP Integration Suite, agregue la funcionalidad de integración en la nube.

  6. Asigne los siguientes roles de integración de procesos a su cuenta de usuario:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Estos roles solo están disponibles después de activar la funcionalidad de integración en la nube.

  7. Cree una instancia de SAP Process Integration Runtime en la subcuenta.

  8. Cree una clave de servicio para SAP Process Integration Runtime y guarde el contenido JSON en una ubicación segura. Debe activar la funcionalidad de integración en la nube antes de crear una clave de servicio para SAP Process Integration Runtime.

Para obtener más información, consulte la documentación de SAP.

Configuración del conector en Microsoft Sentinel y en el sistema SAP

Este procedimiento tiene pasos tanto en Microsoft Sentinel como en el sistema SAP, y requiere coordinación con el administrador de SAP.

  1. En Microsoft Sentinel, vaya a la página Conectores de datos de configuración > y busque el conector de datos Microsoft Sentinel para SAP: sin agente (versión preliminar).

  2. En la sección Configuración, expanda y siga las instrucciones en la sección Configuración inicial del conector - Ejecute los pasos a continuación una sola vez:. Estos pasos requerirán tanto el ingeniero de SecuritySOC como el administrador de SAP.

    1. Desencadene la implementación automática de recursos de Azure (ingeniero de SOC). Si, después de implementar los recursos de Azure, los valores de los pasos 2 y 3 no se rellenan automáticamente, cierra y vuelve a expandir el paso 1 para refrescar los valores de los pasos 2 y 3.

    2. Implemente un artefacto de credenciales de cliente de OAuth2 en la integración de SAP (administrador de SAP).

    3. Implemente un artefacto de parámetro seguro en la SAP Integration (SAP Admin) denominado workspaceKey que contiene la clave del área de trabajo de Log Analytics visible en la interfaz de usuario del conector de datos.

    4. Implemente el paquete del conector de datos sin agente de SAP en SAP Integration Suite (administrador de SAP).

      1. Descargue el paquete de integración y cárguelo en sap Integration Suite. Para obtener más información, consulte la documentación de SAP.
      2. Abra el paquete y vaya a la pestaña Artefactos . A continuación, seleccione la configuración del recopilador de datos . Para obtener más información, consulte la documentación de SAP.
      3. Configure el flujo de integración con LogIngestionURL y DCRImmutableID.
      4. Implemente el flujo i con SAP Cloud Integration como servicio en tiempo de ejecución.

Ejecución del comprobador de requisitos previos

  1. El comprobador de requisitos previos iflow se incluye en el paquete. Se recomienda ejecutar este flujo antes de continuar con el siguiente paso para asegurarse de que el sistema SAP cumple los requisitos previos del sistema.

    Para ejecutar la herramienta:

    1. Abra el paquete de integración, vaya a la pestaña de artefactos y seleccione el comprobador de requisitos previos iflow >Configurar.

    2. Establezca el destino RFC de objetivo en el sistema SAP que desea comprobar.

    3. Implemente el iflow como lo haría normalmente para los sistemas SAP. Por ejemplo, use el siguiente ejemplo de script de PowerShell, modificando los valores de ejemplo para marcadores de posición según su entorno.

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

    Asegúrese de que el comprobador de requisitos previos se ejecuta correctamente antes de conectarse a Microsoft Sentinel.

  2. Desplácese más hacia abajo en el área Configuración y expanda y siga las instrucciones de Agregar sistemas SAP supervisados: ejecute los pasos siguientes para cada sistema SAP supervisado: área para cada sistema SAP que quiera supervisar.

    Cuando llegue al paso 2. Conecte el sistema SAP a Microsoft Sentinel o ingeniero de SOC y continúe con Conexión del sistema SAP a Microsoft Sentinel.

Configurar los ajustes de SAP Cloud Connector

  1. Instalar SAP Cloud Connector. Para obtener más información, consulte la documentación de SAP.

  2. Inicie sesión en la interfaz del conector en la nube y agregue la subcuenta con las credenciales pertinentes. Para obtener más información, consulte la documentación de SAP.

  3. En la subcuenta del conector en la nube, agregue una nueva asignación de sistema al sistema back-end para asignar el sistema ABAP al protocolo RFC.

  4. Defina las opciones de equilibrio de carga y escriba los detalles del servidor ABAP de back-end. En este paso, copie el nombre del host virtual en una ubicación segura para usarlo más adelante en el proceso de implementación.

  5. Agregue nuevos recursos a la asignación del sistema para cada uno de los siguientes nombres de función:

    • RSAU_API_GET_LOG_DATA, para capturar datos del registro de auditoría de seguridad de SAP

    • BAPI_USER_GET_DETAIL, para recuperar los detalles del usuario de SAP

    • RFC_READ_TABLE, para leer datos de tablas necesarias

    • SIAG_ROLE_GET_AUTH, para recuperar autorizaciones de roles de seguridad

    • /OSP/SYSTEM_TIMEZONE, para recuperar los detalles de la zona horaria del sistema SAP

  6. Agregue un nuevo destino en SAP BTP que apunte al host virtual que creó anteriormente. Use los detalles siguientes para rellenar el nuevo destino:

    • Nombre: escriba el nombre que desea usar para la conexión de Microsoft Sentinel

    • EscribaRFC

    • Tipo de proxy:On-Premise

    • Usuario: escriba la cuenta de usuario de ABAP que creó anteriormente para Microsoft Sentinel

    • Tipo de autorización:CONFIGURED USER

    • Propiedades adicionales:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Ubicación: solo es necesario cuando se conectan varios conectores en la nube a la misma subcuenta BTP. Para obtener más información, consulte la documentación de SAP.

Paso siguiente

Conexión del sistema SAP a Microsoft Sentinel