Megosztás a következőn keresztül:


SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz

Ez a cikk azt ismerteti, hogyan készítse elő az SAP-környezetet az SAP-adatösszekötőhöz való csatlakozáshoz. Az előkészítés eltérő attól függően, hogy a tárolóalapú adatösszekötő-ügynököt használja-e. Válassza a környezetnek megfelelő beállítást a lap tetején.

Ez a cikk az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezésének második lépésének része.

Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembehelyezési folyamatának ábrája, kiemelve az SAP-lépés előkészítését.

A cikkben szereplő eljárásokat általában az SAP BASIS csapata hajtja végre. Ha ügynök nélküli megoldást használ, előfordulhat, hogy a biztonsági csapatot is be kell vonnia.

Fontos

A Microsoft Sentinel ügynök nélküli megoldása előzetes kiadású termékként korlátozott előzetes verzióban érhető el, amely a kereskedelmi forgalomba kerülése előtt jelentősen módosítható. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan. Az ügynök nélküli megoldáshoz való hozzáférés regisztrációt is igényel, és csak a jóváhagyott ügyfelek és partnerek számára érhető el az előzetes verzió időtartama alatt. További információ: Microsoft Sentinel for SAP goes agentless .

Előfeltételek

A Microsoft Sentinel szerepkör konfigurálása

Ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez, létre kell hoznia egy SAP-rendszerszerepkört kifejezetten erre a célra.

  • A naplólekérési és a támadáskimaradási válaszműveletek belefoglalásához javasoljuk, hogy hozza létre ezt a szerepkört az /MSFTSEN/SENTINEL_RESPONDER fájlból származó szerepkör-engedélyezések betöltésével.

  • Ha csak a naplólekérést szeretné belefoglalni, javasoljuk, hogy hozza létre ezt a szerepkört a NPLK900271 SAP változáskérésének (CR) üzembe helyezésével: K900271.NPL | R900271. NPL

    A CR-ket szükség szerint helyezze üzembe az SAP-rendszeren, ahogyan más hitelesítésszolgáltatókat is üzembe helyez. Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi. További információkért tekintse meg az SAP dokumentációját.

    Másik lehetőségként töltse be a szerepkör-engedélyeket a MSFTSEN_SENTINEL_CONNECTOR fájlból, amely tartalmazza az adatösszekötő működéséhez szükséges összes alapvető engedélyt.

    A tapasztalt SAP-rendszergazdák dönthetnek úgy, hogy manuálisan hozzák létre a szerepkört, és hozzárendelik a megfelelő engedélyeket. Ilyen esetekben hozzon létre manuálisan egy szerepkört a betöltendő naplókhoz szükséges megfelelő engedélyekkel. További információ: Kötelező ABAP-engedélyek. A dokumentációban szereplő példák az /MSFTSEN/SENTINEL_RESPONDER nevet használják .

A szerepkör konfigurálásakor a következőket javasoljuk:

  • Hozzon létre egy aktív szerepkörprofilt a Microsoft Sentinel számára a PFCG-tranzakció futtatásával.
  • Szerepkörnévként használható /MSFTSEN/SENTINEL_RESPONDER .

Hozzon létre egy szerepkört a MSFTSEN_SENTINEL_READER sablonnal, amely tartalmazza az adatösszekötő működéséhez szükséges összes alapvető engedélyt.

További információkért tekintse meg a szerepkörök létrehozásáról szóló SAP-dokumentációt .

Felhasználó létrehozása

Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldáshoz felhasználói fiók szükséges az SAP-rendszerhez való csatlakozáshoz. A felhasználó létrehozásakor:

  • Mindenképpen hozzon létre egy rendszerfelhasználót.
  • Rendelje hozzá az /MSFTSEN/SENTINEL_RESPONDER szerepkört a felhasználóhoz, amelyet az előző lépésben hozott létre.
  • Mindenképpen hozzon létre egy rendszerfelhasználót.
  • Rendelje hozzá a MSFTSEN_SENTINEL_READER szerepkört a felhasználóhoz, amelyet az előző lépésben hozott létre.

További információkért tekintse meg az SAP dokumentációját.

SAP-naplózás konfigurálása

Előfordulhat, hogy az SAP-rendszerek egyes telepítéseinél alapértelmezés szerint nincs engedélyezve a naplózás. Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás teljesítményének és hatékonyságának értékelésében a legjobb eredmények érdekében engedélyezze az SAP-rendszer naplózását és konfigurálja a naplózási paramétereket. Ha SAP HANA DB-naplókat szeretne beszedni, mindenképpen engedélyezze az SAP HANA DB naplózását is.

Azt javasoljuk, hogy csak adott naplók helyett konfigurálja a naplózást a napló összes üzenetéhez. A betöltési költség különbségei általában minimálisak, és az adatok a Microsoft Sentinel észleléseihez, valamint a behatolás utáni vizsgálatokhoz és a veszélyforrás-kereséshez hasznosak.

További információ: SAP-közösség és SAP HANA-naplók gyűjtése a Microsoft Sentinelben.

A rendszer konfigurálása az SNC biztonságos kapcsolatokhoz való használatára

Alapértelmezés szerint az SAP-adatösszekötő-ügynök távoli függvényhívási (RFC) kapcsolattal és felhasználónévvel és jelszóval csatlakozik egy SAP-kiszolgálóhoz a hitelesítéshez.

Előfordulhat azonban, hogy a kapcsolatot titkosított csatornán kell létrehoznia, vagy ügyféltanúsítványokat kell használnia a hitelesítéshez. Ezekben az esetekben az SAP Smart Network Communications (SNC) használatával biztonságossá teheti az adatkapcsolatokat az ebben a szakaszban leírtak szerint.

Éles környezetben erősen javasoljuk, hogy az SAP-rendszergazdákkal konzultálva hozzon létre egy üzembehelyezési tervet az SNC konfigurálásához. További információkért tekintse meg az SAP dokumentációját.

Az SNC konfigurálásakor:

  • Ha az ügyféltanúsítványt egy vállalati hitelesítésszolgáltató adta ki, a kiállító hitelesítésszolgáltatói és fő hitelesítésszolgáltatói tanúsítványokat adja át arra a rendszerre, ahol létre kívánja hozni az adatösszekötő-ügynököt.
  • Ha az adatösszekötő-ügynököt használja, mindenképpen adja meg a megfelelő értékeket, és használja a vonatkozó eljárásokat az SAP-adatösszekötő-ügynök tárolójának konfigurálásakor. Ha ügynök nélküli megoldást használ, az SNC-konfiguráció az SAP Cloud Connectorban történik.

Az SNC-vel kapcsolatos további információkért tekintse meg az SAP SNC használatának első lépéseit az RFC-integrációkhoz – SAP-blog.

Bár ez a lépés nem kötelező, javasoljuk, hogy engedélyezze az SAP-adatösszekötő számára a következő tartalominformációk lekérését az SAP-rendszerből:

  • DB Table and Spool Output logs
  • Ügyfél IP-címadatai a biztonsági auditnaplókból
  1. Telepítse a megfelelő hitelesítésszolgáltatókat a Microsoft Sentinel GitHub-adattárból az SAP-verziónak megfelelően:

    SAP BASIS-verziók Ajánlott CR
    750 vagy újabb NPLK900202: K900202.NPL, R900202. NPL

    A CR telepítésekor az alábbi SAP-verziók bármelyikét is üzembe kell helyeznie , 2641084 – Szabványosított olvasási hozzáférés a biztonsági naplózási napló adataihoz:
    - 750 SP04–SP12
    - 751 SP00-ról SP06-ra
    - 752 SP00–SP02
    740 NPLK900201: K900201.NPL, R900201. NPL

    A CR-ket szükség szerint helyezze üzembe az SAP-rendszeren, ahogyan más hitelesítésszolgáltatókat is üzembe helyez. Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi. További információkért tekintse meg az SAP dokumentációját.

    További információkért tekintse meg az SAP-közösséget és az SAP dokumentációját.

  2. Ha támogatni szeretné az SAP BASIS 7.31-7.5 SP12-s verzióját az ügyfél IP-címadatainak a Microsoft Sentinelnek való elküldéséhez, aktiválja az USR41 SAP-tábla naplózását. További információkért tekintse meg az SAP dokumentációját.

Ellenőrizze, hogy a PAHI-tábla rendszeres időközönként frissül-e

Az SAP PAHI táblázat az SAP-rendszer előzményeiről, az adatbázisról és az SAP-paraméterekről tartalmaz adatokat. Bizonyos esetekben az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás nem tudja rendszeres időközönként monitorozni az SAP PAHI-táblát a hiányzó vagy hibás konfiguráció miatt. Fontos frissíteni a PAHI-táblát, és gyakran figyelni, hogy az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás riasztást küldhessen a nap bármely szakában előforduló gyanús műveletekről. További információk:

Ha a PAHI-tábla rendszeresen frissül, a SAP_COLLECTOR_FOR_PERFMONITOR feladat ütemezve lesz, és óránként fut. Ha a SAP_COLLECTOR_FOR_PERFMONITOR feladat nem létezik, szükség szerint konfigurálja.

További információ: Adatbázis-gyűjtő a háttérfeldolgozásban és az adatgyűjtő konfigurálása.

SAP BTP-beállítások konfigurálása

  1. Az SAP BTP-alfiókban adjon hozzá jogosultságokat a következő szolgáltatásokhoz:

    • SAP Integration Suite
    • SAP-folyamatintegrációs futtatókörnyezet
    • Cloud Foundry Runtime
  2. Hozzon létre egy Cloud Foundry Runtime-példányt, majd hozzon létre egy Cloud Foundry-helyet is.

  3. Hozzon létre egy SAP Integration Suite-példányt.

  4. Rendelje hozzá az SAP BTP Integration_Provisioner szerepkört az SAP BTP-alfiók felhasználói fiókjához.

  5. Az SAP Integration Suite-ban adja hozzá a felhőintegrációs képességet.

  6. Rendelje hozzá a következő folyamatintegrációs szerepköröket a felhasználói fiókjához:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Ezek a szerepkörök csak a felhőintegrációs képesség aktiválása után érhetők el.

  7. Hozzon létre egy példányt az SAP-folyamatintegrációs futtatókörnyezetből az alfiókban.

  8. Hozzon létre egy szolgáltatáskulcsot az SAP-folyamatintegrációs futtatókörnyezethez, és mentse a JSON-tartalmat egy biztonságos helyre. Az SAP Process Integration Runtime szolgáltatáskulcsának létrehozása előtt aktiválnia kell a felhőintegrációs képességet.

További információkért tekintse meg az SAP dokumentációját.

AZ SAP Cloud Connector beállításainak konfigurálása

  1. Telepítse az SAP Cloud Connectort. További információkért tekintse meg az SAP dokumentációját.

  2. Jelentkezzen be a felhőbeli összekötő felületén, és adja hozzá az alfiókot a megfelelő hitelesítő adatokkal. További információkért tekintse meg az SAP dokumentációját.

  3. A felhőalapú összekötő alfiókjában adjon hozzá egy új rendszerleképezést a háttérrendszerhez az ABAP-rendszer RFC-protokollhoz való leképezéséhez.

  4. Adja meg a terheléselosztási beállításokat, és adja meg a háttérbeli ABAP-kiszolgáló adatait. Ebben a lépésben másolja a virtuális gazdagép nevét egy biztonságos helyre, amelyet az üzembe helyezési folyamat későbbi szakaszában használhat.

  5. Adjon hozzá új erőforrásokat a rendszerleképezéshez az alábbi függvénynevek mindegyikéhez:

    • RSAU_API_GET_LOG_DATA az SAP biztonsági auditnapló-adatainak lekéréséhez

    • BAPI_USER_GET_DETAIL az SAP felhasználói adatainak lekéréséhez

    • RFC_READ_TABLE, adatok beolvasása a szükséges táblákból

  6. Adjon hozzá egy új célhelyet az SAP BTP-ben, amely a korábban létrehozott virtuális gazdagépre mutat. Az új célhely feltöltéséhez használja az alábbi adatokat:

    • Név: Adja meg a Microsoft Sentinel-kapcsolathoz használni kívánt nevet

    • TípusRFC

    • Proxy típusa:On-Premise

    • Felhasználó: Adja meg a Microsoft Sentinelhez korábban létrehozott ABAP-felhasználói fiókot

    • Engedélyezési típus:CONFIGURED USER

    • További tulajdonságok:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Hely: Csak akkor szükséges, ha több felhőalapú összekötőt csatlakoztat ugyanahhoz a BTP-alfiókhoz. További információkért tekintse meg az SAP dokumentációját.

AZ SAP Integration Suite beállításainak konfigurálása

Hozzon létre egy új OAuth2-ügyfél-hitelesítő adatot a korábban létrehozott Microsoft Entra ID-alkalmazásregisztráció kapcsolati adatainak tárolásához.

A hitelesítő adatok létrehozásakor adja meg a következő adatokat:

  • Név:LogIngestionAPI

  • Jogkivonat-szolgáltatás URL-címe:https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

  • Ügyfélazonosító: <your app registration client ID>

  • Ügyfél-hitelesítés: Küldés törzsparaméterként

  • Hatókör: https://monitor.azure.com//.default

  • Tartalomtípus: application/x-www-form-urlencoded

Az SAP-csomaghoz készült Microsoft Sentinel-megoldás importálása és üzembe helyezése

  1. Töltse le az SAP-csomaghoz készült Microsoft Sentinel-megoldást.https://aka.ms/SAPAgentlessPackage

  2. Importálja a letöltött csomagot az SAP Integration Suite-ba.

  3. Nyissa meg az SAP-csomaghoz készült Microsoft Sentinel-megoldást, és keresse meg az összetevőket.

  4. Válassza a Biztonsági naplók küldése a Microsoft - alkalmazásréteg összetevőnek lehetőséget.

  5. Válassza a Konfigurálás lehetőséget, majd adja meg a DCR adatait:

    • LogsIngestionURL a DCR DCE-jének betöltési URL-címe a korábban mentett módon.
    • DCRImmutableId: A DCR nem módosítható azonosítója a korábban mentett módon.
  6. Válassza az Üzembe helyezés lehetőséget az i-flow üzembe helyezéséhez az SAP Cloud Integration használatával futtatókörnyezeti szolgáltatásként.

Következő lépés