SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz
Ez a cikk azt ismerteti, hogyan készítse elő az SAP-környezetet az SAP-adatösszekötő-ügynökhöz való csatlakozáshoz. Az előkészítés magában foglalja a szükséges SAP-engedélyek konfigurálását, és opcionálisan további SAP-változáskérések (CRs) üzembe helyezését is.
Ez a cikk az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezésének második lépésének része.
A cikkben szereplő eljárásokat általában az SAP BASIS csapata hajtja végre.
Előfeltételek
- Mielőtt hozzákezd, tekintse át a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezésének előfeltételeit.
A Microsoft Sentinel szerepkör konfigurálása
Ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez, létre kell hoznia egy SAP-rendszerszerepkört kifejezetten erre a célra.
A naplólekérési és a támadáskimaradási válaszműveletek belefoglalásához javasoljuk, hogy hozza létre ezt a szerepkört az /MSFTSEN/SENTINEL_RESPONDER fájlból származó szerepkör-engedélyezések betöltésével.
Ha csak a naplólekérést szeretné belefoglalni, javasoljuk, hogy hozza létre ezt a szerepkört a NPLK900271 SAP változáskérésének (CR) üzembe helyezésével: K900271.NPL | R900271. NPL
A CR-ket szükség szerint helyezze üzembe az SAP-rendszeren, ahogyan más hitelesítésszolgáltatókat is üzembe helyez. Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi. További információkért tekintse meg az SAP dokumentációját.
Másik lehetőségként töltse be a szerepkör-engedélyeket a MSFTSEN_SENTINEL_CONNECTOR fájlból, amely tartalmazza az adatösszekötő működéséhez szükséges összes alapvető engedélyt.
A tapasztalt SAP-rendszergazdák dönthetnek úgy, hogy manuálisan hozzák létre a szerepkört, és hozzárendelik a megfelelő engedélyeket. Ilyen esetekben hozzon létre manuálisan egy szerepkört a betöltendő naplókhoz szükséges megfelelő engedélyekkel. További információ: Kötelező ABAP-engedélyek. A dokumentációban szereplő példák az /MSFTSEN/SENTINEL_RESPONDER nevet használják .
A szerepkör konfigurálásakor a következőket javasoljuk:
- Hozzon létre egy aktív szerepkörprofilt a Microsoft Sentinel számára a PFCG-tranzakció futtatásával.
- Szerepkörnévként használható
/MSFTSEN/SENTINEL_RESPONDER.
További információkért tekintse meg a szerepkörök létrehozásáról szóló SAP-dokumentációt .
Felhasználó létrehozása
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldáshoz felhasználói fiók szükséges az SAP-rendszerhez való csatlakozáshoz. A felhasználó létrehozásakor:
- Mindenképpen hozzon létre egy rendszerfelhasználót.
- Rendelje hozzá az /MSFTSEN/SENTINEL_RESPONDER szerepkört a felhasználóhoz, amelyet az előző lépésben hozott létre.
További információkért tekintse meg az SAP dokumentációját.
SAP-naplózás konfigurálása
Előfordulhat, hogy az SAP-rendszerek egyes telepítéseinél alapértelmezés szerint nincs engedélyezve a naplózás. Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás teljesítményének és hatékonyságának értékelésében a legjobb eredmények érdekében engedélyezze az SAP-rendszer naplózását és konfigurálja a naplózási paramétereket. Ha SAP HANA DB-naplókat szeretne beszedni, mindenképpen engedélyezze az SAP HANA DB naplózását is.
Javasoljuk, hogy konfigurálja a naplózást a napló összes üzenetéhez, mivel ezek az adatok hasznosak a Microsoft Sentinel észleléseihez, valamint a kompromittálás utáni vizsgálatokhoz és a vadászathoz.
További információ: SAP-közösség és SAP HANA-naplók gyűjtése a Microsoft Sentinelben.
További adatlekérés támogatásának konfigurálása (ajánlott)
Bár ez a lépés nem kötelező, javasoljuk, hogy telepítsen további hitelesítésszolgáltatókat a Microsoft Sentinel GitHub-adattárból , hogy az SAP-adatösszekötő lekérhesse a következő tartalomadatokat az SAP-rendszerből:
- DB Table and Spool Output logs
- Ügyfél IP-címadatai a biztonsági auditnaplókból (csak az SAP BASIS 7.5 SP12-es vagy újabb verziója)
Telepítse a megfelelő hitelesítésszolgáltatókat az SAP-verziónak megfelelően:
| SAP BASIS-verziók | Ajánlott CR |
|---|---|
| 750 vagy újabb | NPLK900202: K900202.NPL, R900202. NPL A CR telepítésekor az alábbi SAP-verziók bármelyikét is üzembe kell helyeznie , 2641084 – Szabványosított olvasási hozzáférés a biztonsági naplózási napló adataihoz: - 750 SP04–SP12 - 751 SP00-ról SP06-ra - 752 SP00–SP02 |
| 740 | NPLK900201: K900201.NPL, R900201. NPL |
A CR-ket szükség szerint helyezze üzembe az SAP-rendszeren, ahogyan más hitelesítésszolgáltatókat is üzembe helyez. Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi. További információkért tekintse meg az SAP dokumentációját.
További információkért tekintse meg az SAP-közösséget és az SAP dokumentációját.
Ellenőrizze, hogy a PAHI-tábla rendszeres időközönként frissül-e
Az SAP PAHI táblázat az SAP-rendszer előzményeiről, az adatbázisról és az SAP-paraméterekről tartalmaz adatokat. Bizonyos esetekben az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás nem tudja rendszeres időközönként monitorozni az SAP PAHI-táblát a hiányzó vagy hibás konfiguráció miatt. Fontos frissíteni a PAHI-táblát, és gyakran figyelni, hogy az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás riasztást küldhessen a nap bármely szakában előforduló gyanús műveletekről. További információk:
- SAP-megjegyzés 12103
- Statikus SAP biztonsági paraméterek konfigurációjának monitorozása (előzetes verzió)
Ha a PAHI-tábla rendszeresen frissül, a SAP_COLLECTOR_FOR_PERFMONITOR feladat ütemezve lesz, és óránként fut. Ha a SAP_COLLECTOR_FOR_PERFMONITOR feladat nem létezik, szükség szerint konfigurálja.
További információ: Adatbázis-gyűjtő a háttérfeldolgozásban és az adatgyűjtő konfigurálása.
A rendszer konfigurálása az SNC biztonságos kapcsolatokhoz való használatára
Alapértelmezés szerint az SAP-adatösszekötő-ügynök távoli függvényhívási (RFC) kapcsolattal és felhasználónévvel és jelszóval csatlakozik egy SAP-kiszolgálóhoz a hitelesítéshez.
Előfordulhat azonban, hogy a kapcsolatot titkosított csatornán kell létrehoznia, vagy ügyféltanúsítványokat kell használnia a hitelesítéshez. Ezekben az esetekben az SAP Smart Network Communications (SNC) használatával biztonságossá teheti az adatkapcsolatokat az ebben a szakaszban leírtak szerint.
Éles környezetben erősen javasoljuk, hogy az SAP-rendszergazdákkal konzultálva hozzon létre egy üzembehelyezési tervet az SNC konfigurálásához. További információkért tekintse meg az SAP dokumentációját.
Az SNC konfigurálásakor:
- Ha az ügyféltanúsítványt egy vállalati hitelesítésszolgáltató adta ki, a kiállító hitelesítésszolgáltatói és fő hitelesítésszolgáltatói tanúsítványokat adja át arra a rendszerre, ahol létre kívánja hozni az adatösszekötő-ügynököt.
- Ügyeljen arra, hogy adja meg a megfelelő értékeket is, és használja a vonatkozó eljárásokat az SAP-adatösszekötő-ügynök tárolójának konfigurálásakor.