Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP®
En este artículo se enumeran los requisitos previos necesarios para la implementación de la solución Microsoft Sentinel para aplicaciones SAP®.
Importante
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulta Microsoft Sentinel en el portal de Microsoft Defender.
Hitos de la implementación
Realice un seguimiento del recorrido de implementación de la solución de SAP mediante esta serie de artículos:
Requisitos previos de implementación (está aquí)
Trabajar con la solución en varias áreas de trabajo (VERSIÓN PRELIMINAR)
Implementar el contenido de la solución desde el centro de contenido
Configuración de la solución Microsoft Sentinel para aplicaciones SAP®
Pasos de implementación opcionales
Tabla de requisitos previos
Para implementar correctamente la solución Microsoft Sentinel para aplicaciones SAP®, es necesario cumplir los siguientes requisitos previos:
Requisitos previos de Azure
| Requisito previo | Descripción | Obligatorio/opcional |
|---|---|---|
| Acceso a Microsoft Azure Sentinel | Anote el identificador del área de trabajo de Microsoft Sentinel y la clave principal. Puede encontrar estos detalles en Microsoft Sentinel: en el menú de navegación, seleccione Configuración>Configuración del área de trabajo>Administración de agentes. Copie el Identificador del área de trabajo y la Clave principal y péguelos para usarlos durante el proceso de implementación. |
Obligatorio |
| Permisos para crear recursos de Azure | Como mínimo, debe tener los permisos necesarios para implementar soluciones desde el centro de contenidos de Microsoft Sentinel. Para más información, consulte el Catálogo del centro de contenidos de Microsoft Sentinel. | Obligatorio |
| Permisos para crear un almacén de claves de Azure o acceder a uno existente | Use Azure Key Vault para almacenar los secretos necesarios para conectarse al sistema SAP (se recomienda cuando se trata de un requisito previo necesario). Para más información, consulta Asignación de permisos de acceso de un almacén de claves. | Obligatorio si planeas almacenar las credenciales del sistema SAP en Azure Key Vault. Opcional si planeas almacenarlos en un archivo de configuración. Para más información, consulta Creación de una máquina virtual y configuración del acceso a las credenciales. |
| Permisos para asignar un rol con privilegios al agente del conector de datos de SAP | La implementación del agente del conector de datos de SAP requiere que concedas a la identidad de máquina virtual del agente permisos específicos para el área de trabajo de Microsoft Sentinel mediante el rol Operador del agente de aplicaciones empresariales de Microsoft Sentinel. Para conceder este rol, necesitas permisos de propietario en el grupo de recursos donde reside el área de trabajo de Microsoft Sentinel. Para más información, consulta Implementación del agente del conector de datos. |
Necesario. Si no tienes permisos de propietario en el grupo de recursos, otro usuario que tenga los permisos pertinentes también puede realizar el paso pertinente, por separado después de que el agente esté completamente implementado. |
Requisitos previos del sistema
| Requisito previo | Descripción |
|---|---|
| Arquitectura del sistema | El componente de conector de datos de la solución SAP se implementa en una máquina virtual como un contenedor de Docker, y cada cliente de SAP requiere su propia instancia de contenedor. El host de contenedor puede ser una máquina física o una máquina virtual, se puede ubicar en el entorno local o en cualquier nube. La máquina virtual que hospeda el contenedor no tiene que encontrarse en la misma suscripción de Azure que el área de trabajo de Microsoft Sentinel o incluso en el mismo inquilino de Microsoft Entra. |
| Recomendaciones de ajuste de tamaño de máquina virtual | Especificación mínima, como para un entorno de laboratorio: Máquina virtual Standard_B2s, con: - Dos núcleos - 4 GB DE RAM Conector estándar (valor predeterminado): Máquina virtual Standard_D2as_v5 o Máquina virtual Standard_D2_v5, con: - Dos núcleos - 8 GB DE RAM Varios conectores: Máquina virtual Standard_D4as_v5 o Standard_D4_v5, con: - Cuatro núcleos - 16 GB DE RAM |
| Privilegios administrativos | Se requieren privilegios administrativos (raíz) en la máquina host del contenedor. |
| Versiones de Linux compatibles | El agente del conector de datos de SAP se ha probado con las siguientes distribuciones de Linux: - Ubuntu 18.04 o posterior - SLES versión 15 o posterior - RHEL versión 7.7 o posterior Si tienes otro sistema operativo, puede que necesites implementar y configurar el contenedor manualmente. Para más información, abre una incidencia de soporte técnico. |
| Conectividad de red | Asegúrese de que el host de contenedor tenga acceso: Microsoft Sentinel: - A Azure Key Vault (en el escenario de implementación donde se usa Azure Key Vault para almacenar secretos) - Al sistema SAP, a través de los siguientes puertos TCP: 32xx, 5xx13, 33xx y 48xx (cuando se use SNC), donde xx es el número de instancia de SAP. |
| Utilidades de software | El script de implementación del conector de datos de SAP instala el siguiente software necesario en la máquina virtual del host de contenedor (en función de la distribución de Linux usada, la lista puede variar ligeramente): - Unzip - NetCat - Docker - jq - curl |
| Identidad administrada o entidad de servicio | La versión más reciente del agente del conector de datos de SAP requiere una identidad administrada o una entidad de servicio para autenticarse en Microsoft Sentinel. Los agentes heredados se admiten para las actualizaciones de la versión más reciente y, a continuación, deben usar una identidad administrada o una entidad de servicio para continuar actualizando a versiones posteriores. |
Requisitos previos de SAP
| Requisito previo | Descripción |
|---|---|
| Versiones de SAP admitidas | El agente del conector de datos de SAP admite los sistemas SAP NetWeaver y se probó en SAP_BASIS, versiones 731 y posteriores. Seleccione los pasos de este tutorial para proporcionar instrucciones alternativas si trabaja con la anterior versión 740 SAP_BASIS. |
| Requisitos de software | SAP NetWeaver RFC SDK 7.50 (descargar aquí) Asegúrese de que también tiene una cuenta de usuario de SAP para acceder a la página de descarga del software de SAP. |
| Detalles del sistema SAP | Tome nota de los siguientes detalles del sistema SAP para usarlos en este tutorial: - Dirección IP del sistema SAP y nombre de host FQDN - Número del sistema SAP como, por ejemplo, 00- Identificador del sistema SAP, del sistema SAP NetWeaver (por ejemplo, NPL) - Identificador de cliente de SAP como, por ejemplo, 001 |
| Acceso a la instancia de SAP NetWeaver | El agente del conector de datos de SAP usa uno de los siguientes mecanismos para autenticarse en el sistema SAP: - Usuario y contraseña de SAP ABAP - Un usuario con un certificado X.509 (esta opción requiere pasos de configuración adicionales) |
Pasos de validación del entorno de SAP
Nota
Las instrucciones paso a paso para implementar una solicitud de cambio y asignar el rol necesario están disponibles en la guía Implementación de solicitudes de cambio de SAP y configuración de la autorización. Determine qué solicitudes de cambio hay que implementar, recupere las que proceda desde los vínculos de las tablas siguientes y vaya a la guía paso a paso.
- Creación y configuración de un rol (obligatorio)
- Recuperación de información adicional de SAP (opcional)
Creación y configuración de un rol (obligatorio)
Para permitir que el conector de datos de SAP se conecte al sistema SAP, debe crear un rol. Crea el rol cargando las autorizaciones de rol desde el archivo /MSFTSEN/SENTINEL_RESPONDER.
El rol /MSFTSEN/SENTINEL_RESPONDER incluye acciones de respuesta de recuperación de registros y de interrupción de ataques. Para habilitar solo la recuperación de registros, sin acciones de respuesta de interrupción de ataques, implementa SAP NPLK900271 CR en el sistema SAP o carga las autorizaciones de rol desde el archivo MSFTSEN_SENTINEL_CONNECTOR. El rol /MSFTSEN/SENTINEL_CONNECTOR, que tiene todos los permisos básicos para que funcione el conector de datos.
| Versiones de SAP BASIS | Solicitud de cambio de ejemplo |
|---|---|
| Cualquier versión | NPLK900271: K900271.NPL, R900271.NPL |
Los administradores de SAP experimentados pueden optar por crear el rol manualmente y asignarle los permisos adecuados. En tales casos, asegúrate de seguir las autorizaciones recomendadas para cada registro. Para saber más, consulta Autorizaciones de ABAP necesarias.
Recuperación de información adicional de SAP (opcional)
Para permitir que el conector de datos de SAP recupere cierta información del sistema SAP, puedes implementar más solicitudes de cambio desde el repositorio de GitHub de Microsoft Sentinel.
- SAP BASIS 7.5 SP12 y versiones posteriores: información de dirección IP del cliente del registro de auditoría de seguridad
- CUALQUIER versión de SAP BASIS: registros de tabla de base de datos, registro de salida de cola
| Versiones de SAP BASIS | Solicitud de cambio recomendada | Notas |
|---|---|---|
| - 750 y versiones posteriores | NPLK900202: K900202.NPL, R900202.NPL | Implemente la nota de SAP pertinente. |
| - 740 | NPLK900201: K900201.NPL, R900201.NPL |
Implementación de la nota de SAP (opcional)
Si decide recuperar información adicional con la solicitud de cambio opcional NPLK900202, asegúrese de que la siguiente nota de SAP se implementa en el sistema SAP, según la versión:
| Versiones de SAP BASIS | Notas |
|---|---|
| - 750 SP04 a SP12 - 751 SP00 a SP06 - 752 SP00 a SP02 |
2641084: acceso de lectura estandarizado a los datos del registro de auditoría de seguridad* |
Pasos siguientes
Después de comprobar que se han cumplido todos los requisitos previos, continúa con el paso siguiente para implementar las solicitudes de cambio necesarias en el sistema SAP y configurar la autorización.