SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz
Ez a cikk azt ismerteti, hogyan készítse elő az SAP-környezetet az SAP-adatösszekötőhöz való csatlakozáshoz. Az előkészítés eltérő attól függően, hogy a tárolóalapú adatösszekötő-ügynököt használja-e. Válassza a környezetnek megfelelő beállítást a lap tetején.
Ez a cikk az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezésének második lépésének része.
A cikkben szereplő eljárásokat általában az SAP BASIS csapata hajtja végre. Ha ügynök nélküli megoldást használ, előfordulhat, hogy a biztonsági csapatot is be kell vonnia.
Fontos
A Microsoft Sentinel ügynök nélküli megoldása előzetes kiadású termékként korlátozott előzetes verzióban érhető el, amely a kereskedelmi forgalomba kerülése előtt jelentősen módosítható. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan. Az ügynök nélküli megoldáshoz való hozzáférés regisztrációt is igényel, és csak a jóváhagyott ügyfelek és partnerek számára érhető el az előzetes verzió időtartama alatt. További információ: Microsoft Sentinel for SAP goes agentless .
Előfeltételek
- Mielőtt hozzákezd, tekintse át a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezésének előfeltételeit.
A Microsoft Sentinel szerepkör konfigurálása
Ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez, létre kell hoznia egy SAP-rendszerszerepkört kifejezetten erre a célra.
A naplólekérési és a támadáskimaradási válaszműveletek belefoglalásához javasoljuk, hogy hozza létre ezt a szerepkört az /MSFTSEN/SENTINEL_RESPONDER fájlból származó szerepkör-engedélyezések betöltésével.
Ha csak a naplólekérést szeretné belefoglalni, javasoljuk, hogy hozza létre ezt a szerepkört a NPLK900271 SAP változáskérésének (CR) üzembe helyezésével: K900271.NPL | R900271. NPL
A CR-ket szükség szerint helyezze üzembe az SAP-rendszeren, ahogyan más hitelesítésszolgáltatókat is üzembe helyez. Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi. További információkért tekintse meg az SAP dokumentációját.
Másik lehetőségként töltse be a szerepkör-engedélyeket a MSFTSEN_SENTINEL_CONNECTOR fájlból, amely tartalmazza az adatösszekötő működéséhez szükséges összes alapvető engedélyt.
A tapasztalt SAP-rendszergazdák dönthetnek úgy, hogy manuálisan hozzák létre a szerepkört, és hozzárendelik a megfelelő engedélyeket. Ilyen esetekben hozzon létre manuálisan egy szerepkört a betöltendő naplókhoz szükséges megfelelő engedélyekkel. További információ: Kötelező ABAP-engedélyek. A dokumentációban szereplő példák az /MSFTSEN/SENTINEL_RESPONDER nevet használják .
A szerepkör konfigurálásakor a következőket javasoljuk:
- Hozzon létre egy aktív szerepkörprofilt a Microsoft Sentinel számára a PFCG-tranzakció futtatásával.
- Szerepkörnévként használható
/MSFTSEN/SENTINEL_RESPONDER
.
Hozzon létre egy szerepkört a MSFTSEN_SENTINEL_READER sablonnal, amely tartalmazza az adatösszekötő működéséhez szükséges összes alapvető engedélyt.
További információkért tekintse meg a szerepkörök létrehozásáról szóló SAP-dokumentációt .
Felhasználó létrehozása
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldáshoz felhasználói fiók szükséges az SAP-rendszerhez való csatlakozáshoz. A felhasználó létrehozásakor:
- Mindenképpen hozzon létre egy rendszerfelhasználót.
- Rendelje hozzá az /MSFTSEN/SENTINEL_RESPONDER szerepkört a felhasználóhoz, amelyet az előző lépésben hozott létre.
- Mindenképpen hozzon létre egy rendszerfelhasználót.
- Rendelje hozzá a MSFTSEN_SENTINEL_READER szerepkört a felhasználóhoz, amelyet az előző lépésben hozott létre.
További információkért tekintse meg az SAP dokumentációját.
SAP-naplózás konfigurálása
Előfordulhat, hogy az SAP-rendszerek egyes telepítéseinél alapértelmezés szerint nincs engedélyezve a naplózás. Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás teljesítményének és hatékonyságának értékelésében a legjobb eredmények érdekében engedélyezze az SAP-rendszer naplózását és konfigurálja a naplózási paramétereket. Ha SAP HANA DB-naplókat szeretne beszedni, mindenképpen engedélyezze az SAP HANA DB naplózását is.
Azt javasoljuk, hogy csak adott naplók helyett konfigurálja a naplózást a napló összes üzenetéhez. A betöltési költség különbségei általában minimálisak, és az adatok a Microsoft Sentinel észleléseihez, valamint a behatolás utáni vizsgálatokhoz és a veszélyforrás-kereséshez hasznosak.
További információ: SAP-közösség és SAP HANA-naplók gyűjtése a Microsoft Sentinelben.
A rendszer konfigurálása az SNC biztonságos kapcsolatokhoz való használatára
Alapértelmezés szerint az SAP-adatösszekötő-ügynök távoli függvényhívási (RFC) kapcsolattal és felhasználónévvel és jelszóval csatlakozik egy SAP-kiszolgálóhoz a hitelesítéshez.
Előfordulhat azonban, hogy a kapcsolatot titkosított csatornán kell létrehoznia, vagy ügyféltanúsítványokat kell használnia a hitelesítéshez. Ezekben az esetekben az SAP Smart Network Communications (SNC) használatával biztonságossá teheti az adatkapcsolatokat az ebben a szakaszban leírtak szerint.
Éles környezetben erősen javasoljuk, hogy az SAP-rendszergazdákkal konzultálva hozzon létre egy üzembehelyezési tervet az SNC konfigurálásához. További információkért tekintse meg az SAP dokumentációját.
Az SNC konfigurálásakor:
- Ha az ügyféltanúsítványt egy vállalati hitelesítésszolgáltató adta ki, a kiállító hitelesítésszolgáltatói és fő hitelesítésszolgáltatói tanúsítványokat adja át arra a rendszerre, ahol létre kívánja hozni az adatösszekötő-ügynököt.
- Ha az adatösszekötő-ügynököt használja, mindenképpen adja meg a megfelelő értékeket, és használja a vonatkozó eljárásokat az SAP-adatösszekötő-ügynök tárolójának konfigurálásakor. Ha ügynök nélküli megoldást használ, az SNC-konfiguráció az SAP Cloud Connectorban történik.
Az SNC-vel kapcsolatos további információkért tekintse meg az SAP SNC használatának első lépéseit az RFC-integrációkhoz – SAP-blog.
További adatlekérés támogatásának konfigurálása (ajánlott)
Bár ez a lépés nem kötelező, javasoljuk, hogy engedélyezze az SAP-adatösszekötő számára a következő tartalominformációk lekérését az SAP-rendszerből:
- DB Table and Spool Output logs
- Ügyfél IP-címadatai a biztonsági auditnaplókból
Telepítse a megfelelő hitelesítésszolgáltatókat a Microsoft Sentinel GitHub-adattárból az SAP-verziónak megfelelően:
SAP BASIS-verziók Ajánlott CR 750 vagy újabb NPLK900202: K900202.NPL, R900202. NPL
A CR telepítésekor az alábbi SAP-verziók bármelyikét is üzembe kell helyeznie , 2641084 – Szabványosított olvasási hozzáférés a biztonsági naplózási napló adataihoz:
- 750 SP04–SP12
- 751 SP00-ról SP06-ra
- 752 SP00–SP02740 NPLK900201: K900201.NPL, R900201. NPL A CR-ket szükség szerint helyezze üzembe az SAP-rendszeren, ahogyan más hitelesítésszolgáltatókat is üzembe helyez. Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi. További információkért tekintse meg az SAP dokumentációját.
További információkért tekintse meg az SAP-közösséget és az SAP dokumentációját.
Ha támogatni szeretné az SAP BASIS 7.31-7.5 SP12-s verzióját az ügyfél IP-címadatainak a Microsoft Sentinelnek való elküldéséhez, aktiválja az USR41 SAP-tábla naplózását. További információkért tekintse meg az SAP dokumentációját.
Ellenőrizze, hogy a PAHI-tábla rendszeres időközönként frissül-e
Az SAP PAHI táblázat az SAP-rendszer előzményeiről, az adatbázisról és az SAP-paraméterekről tartalmaz adatokat. Bizonyos esetekben az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás nem tudja rendszeres időközönként monitorozni az SAP PAHI-táblát a hiányzó vagy hibás konfiguráció miatt. Fontos frissíteni a PAHI-táblát, és gyakran figyelni, hogy az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás riasztást küldhessen a nap bármely szakában előforduló gyanús műveletekről. További információk:
- SAP-megjegyzés 12103
- Statikus SAP biztonsági paraméterek konfigurációjának monitorozása (előzetes verzió)
Ha a PAHI-tábla rendszeresen frissül, a SAP_COLLECTOR_FOR_PERFMONITOR
feladat ütemezve lesz, és óránként fut. Ha a SAP_COLLECTOR_FOR_PERFMONITOR
feladat nem létezik, szükség szerint konfigurálja.
További információ: Adatbázis-gyűjtő a háttérfeldolgozásban és az adatgyűjtő konfigurálása.
SAP BTP-beállítások konfigurálása
Az SAP BTP-alfiókban adjon hozzá jogosultságokat a következő szolgáltatásokhoz:
- SAP Integration Suite
- SAP-folyamatintegrációs futtatókörnyezet
- Cloud Foundry Runtime
Hozzon létre egy Cloud Foundry Runtime-példányt, majd hozzon létre egy Cloud Foundry-helyet is.
Hozzon létre egy SAP Integration Suite-példányt.
Rendelje hozzá az SAP BTP Integration_Provisioner szerepkört az SAP BTP-alfiók felhasználói fiókjához.
Az SAP Integration Suite-ban adja hozzá a felhőintegrációs képességet.
Rendelje hozzá a következő folyamatintegrációs szerepköröket a felhasználói fiókjához:
- PI_Administrator
- PI_Integration_Developer
- PI_Business_Expert
Ezek a szerepkörök csak a felhőintegrációs képesség aktiválása után érhetők el.
Hozzon létre egy példányt az SAP-folyamatintegrációs futtatókörnyezetből az alfiókban.
Hozzon létre egy szolgáltatáskulcsot az SAP-folyamatintegrációs futtatókörnyezethez, és mentse a JSON-tartalmat egy biztonságos helyre. Az SAP Process Integration Runtime szolgáltatáskulcsának létrehozása előtt aktiválnia kell a felhőintegrációs képességet.
További információkért tekintse meg az SAP dokumentációját.
AZ SAP Cloud Connector beállításainak konfigurálása
Telepítse az SAP Cloud Connectort. További információkért tekintse meg az SAP dokumentációját.
Jelentkezzen be a felhőbeli összekötő felületén, és adja hozzá az alfiókot a megfelelő hitelesítő adatokkal. További információkért tekintse meg az SAP dokumentációját.
A felhőalapú összekötő alfiókjában adjon hozzá egy új rendszerleképezést a háttérrendszerhez az ABAP-rendszer RFC-protokollhoz való leképezéséhez.
Adja meg a terheléselosztási beállításokat, és adja meg a háttérbeli ABAP-kiszolgáló adatait. Ebben a lépésben másolja a virtuális gazdagép nevét egy biztonságos helyre, amelyet az üzembe helyezési folyamat későbbi szakaszában használhat.
Adjon hozzá új erőforrásokat a rendszerleképezéshez az alábbi függvénynevek mindegyikéhez:
RSAU_API_GET_LOG_DATA az SAP biztonsági auditnapló-adatainak lekéréséhez
BAPI_USER_GET_DETAIL az SAP felhasználói adatainak lekéréséhez
RFC_READ_TABLE, adatok beolvasása a szükséges táblákból
Adjon hozzá egy új célhelyet az SAP BTP-ben, amely a korábban létrehozott virtuális gazdagépre mutat. Az új célhely feltöltéséhez használja az alábbi adatokat:
Név: Adja meg a Microsoft Sentinel-kapcsolathoz használni kívánt nevet
Típus
RFC
Proxy típusa:
On-Premise
Felhasználó: Adja meg a Microsoft Sentinelhez korábban létrehozott ABAP-felhasználói fiókot
Engedélyezési típus:
CONFIGURED USER
További tulajdonságok:
jco.client.ashost = <virtual host name>
jco.client.client = <client e.g. 001>
jco.client.sysnr = <system number = 00>
jco.client.lang = EN
Hely: Csak akkor szükséges, ha több felhőalapú összekötőt csatlakoztat ugyanahhoz a BTP-alfiókhoz. További információkért tekintse meg az SAP dokumentációját.
AZ SAP Integration Suite beállításainak konfigurálása
Hozzon létre egy új OAuth2-ügyfél-hitelesítő adatot a korábban létrehozott Microsoft Entra ID-alkalmazásregisztráció kapcsolati adatainak tárolásához.
A hitelesítő adatok létrehozásakor adja meg a következő adatokat:
Név:
LogIngestionAPI
Jogkivonat-szolgáltatás URL-címe:
https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token
Ügyfélazonosító:
<your app registration client ID>
Ügyfél-hitelesítés: Küldés törzsparaméterként
Hatókör:
https://monitor.azure.com//.default
Tartalomtípus:
application/x-www-form-urlencoded
Az SAP-csomaghoz készült Microsoft Sentinel-megoldás importálása és üzembe helyezése
Töltse le az SAP-csomaghoz készült Microsoft Sentinel-megoldást.https://aka.ms/SAPAgentlessPackage
Importálja a letöltött csomagot az SAP Integration Suite-ba.
Nyissa meg az SAP-csomaghoz készült Microsoft Sentinel-megoldást, és keresse meg az összetevőket.
Válassza a Biztonsági naplók küldése a Microsoft - alkalmazásréteg összetevőnek lehetőséget.
Válassza a Konfigurálás lehetőséget, majd adja meg a DCR adatait:
- LogsIngestionURL a DCR DCE-jének betöltési URL-címe a korábban mentett módon.
- DCRImmutableId: A DCR nem módosítható azonosítója a korábban mentett módon.
Válassza az Üzembe helyezés lehetőséget az i-flow üzembe helyezéséhez az SAP Cloud Integration használatával futtatókörnyezeti szolgáltatásként.