Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldások üzembehelyezési előfeltételei
Ez a cikk felsorolja a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezéséhez szükséges előfeltételeket, amelyek attól függően különböznek, hogy adatösszekötő-ügynököt helyez üzembe, vagy az ügynök nélküli megoldást használja az SAP Cloud Connector használatával. Válassza a lap tetején az üzembe helyezésnek megfelelő lehetőséget.
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezésének első lépése, hogy áttekintse és megértse az összes előfeltételt. Válasszon ki egy kapcsolattípust a környezet előfeltételeinek listázásához.
A cikk tartalma a biztonsági, az infrastruktúra- és az SAP BASIS-csapatok szempontjából releváns.
A cikkben szereplő tartalom a biztonsági és AZ SAP BASIS-csapatok szempontjából releváns.
Fontos
A Microsoft Sentinel ügynök nélküli megoldása előzetes kiadású termékként korlátozott előzetes verzióban érhető el, amely a kereskedelmi forgalomba kerülése előtt jelentősen módosítható. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan. Az ügynök nélküli megoldáshoz való hozzáférés regisztrációt is igényel, és csak a jóváhagyott ügyfelek és partnerek számára érhető el az előzetes verzió időtartama alatt. További információ: Microsoft Sentinel for SAP goes agentless .
Azure-előfeltételek
Az Azure-előfeltételeket általában a biztonsági csapatok kezelik.
| Előfeltételek | Leírás | Kötelező/nem kötelező |
|---|---|---|
| Hozzáférés a Microsoft Sentinelhez | Jegyezze fel a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterület *munkaterület-azonosítóját és elsődleges kulcsát . Ezeket a részleteket a Microsoft Sentinelben találja: a navigációs menüben válassza a Beállítások>munkaterület beállításai>ügynökök kezelése lehetőséget. Másolja ki a munkaterület azonosítóját és elsődleges kulcsát , és illessze be őket az üzembe helyezési folyamat során való használatra. |
Kötelező |
| Azure-erőforrások létrehozásához szükséges engedélyek | Legalább rendelkeznie kell a Microsoft Sentinel tartalomközpont megoldásainak üzembe helyezéséhez szükséges engedélyekkel. További információ: A Microsoft Sentinel-megoldások üzembe helyezésének előfeltételei. | Kötelező |
| Az Azure Key Vault létrehozásához vagy egy meglévőhöz való hozzáféréshez szükséges engedélyek | Az Azure Key Vault használatával tárolhatja az SAP-rendszerhez való csatlakozáshoz szükséges titkos kulcsokat. További információ: Kulcstartó hozzáférési engedélyeinek hozzárendelése. | Akkor szükséges, ha az SAP rendszer hitelesítő adatait az Azure Key Vaultban szeretné tárolni. Nem kötelező, ha konfigurációs fájlban szeretné tárolni őket. További információ: Virtuális gép létrehozása és a hitelesítő adatokhoz való hozzáférés konfigurálása. |
| Jogosultsági szerepkör hozzárendelésének engedélyei az SAP-adatösszekötő-ügynökhöz | Az SAP-adatösszekötő-ügynök üzembe helyezéséhez meg kell adnia az ügynök virtuálisgép-identitását adott engedélyekkel a Microsoft Sentinel-munkaterületen a Microsoft Sentinel üzleti alkalmazások ügynökének operátori szerepkörével. A szerepkör megadásához tulajdonosi engedélyekre van szüksége ahhoz az erőforráscsoporthoz, amelyben a Microsoft Sentinel-munkaterület található. További információ: Az SAP-rendszer csatlakoztatása az adatösszekötő-ügynök tárolójának üzembe helyezésével. |
Szükséges. Ha nem rendelkezik tulajdonosi engedélyekkel az erőforráscsoporthoz, a megfelelő lépést egy másik felhasználó is végrehajthatja, aki rendelkezik a megfelelő engedélyekkel, külön-külön, az ügynök teljes üzembe helyezése után. |
Az adatösszekötő-ügynök tárolójának rendszer előfeltételei
A rendszer előfeltételeit általában az infrastruktúra-csapatok kezelik.
| Előfeltételek | Leírás |
|---|---|
| Rendszerarchitektúra | Az SAP-megoldás adatösszekötő-összetevője Docker-tárolóként van üzembe helyezve. A tároló gazdagép lehet fizikai gép vagy virtuális gép, amely a helyszínen vagy bármely felhőben található. A tárolót üzemeltető virtuális gépnek nem kell ugyanabban az Azure-előfizetésben lennie, mint a Microsoft Sentinel-munkaterülete, vagy akár ugyanabban a Microsoft Entra-bérlőben. |
| Támogatott Linux-verziók | Az SAP-adatösszekötő ügynök tesztelése a következő Linux-disztribúciókkal történik: - Ubuntu 18.04 vagy újabb - SLES 15-ös vagy újabb verzió - RHEL 7.7-es vagy újabb verzió Ha más operációs rendszerrel rendelkezik, előfordulhat, hogy manuálisan kell üzembe helyeznie és konfigurálnia a tárolót. További információ: A Microsoft Sentinel for SAP adatösszekötő-ügynök tárolójának üzembe helyezése szakértői lehetőségekkel , vagy támogatási jegy megnyitása. |
| Virtuális gépek méretezési javaslatai |
Minimális specifikáció, például tesztkörnyezet esetén: Standard_B2s virtuális gép, a következőkkel: - Két mag - 4 GB RAM Standard összekötő (alapértelmezett): Standard_D2as_v5 virtuális gép vagy Standard_D2_v5 virtuális gép, a következőkkel: - Két mag - 8 GB RAM Több összekötő: Standard_D4as_v5 vagy Standard_D4_v5 virtuális gép, a következőkkel: - Négy mag - 16 GB RAM |
| Rendszergazdai jogosultságok | A tárológazdagépen rendszergazdai jogosultságok (gyökér) szükségesek. |
| Hálózati kapcsolat | Győződjön meg arról, hogy a tároló gazdagép hozzáfér a következőhöz: - Microsoft Sentinel - Azure Key Vault (olyan üzembehelyezési forgatókönyvben, amelyben az Azure Key Vault titkos kulcsok tárolására szolgál - SAP-rendszer a következő TCP-portokon keresztül: 32xx, 5xx13, 33xx, 48xx (SNC használatakor), ahol xx az SAP-példány száma. |
| Szoftver-segédprogramok | Az SAP-adatösszekötő üzembehelyezési szkriptje a következő szükséges szoftvert telepíti a tárológazda virtuális gépre (a használt Linux-disztribúciótól függően a lista kissé eltérhet): - Csomagolja ki - NetCat - Docker - jq - csavarodik |
| Felügyelt identitás vagy szolgáltatásnév | Az SAP-adatösszekötő-ügynök legújabb verziójához felügyelt identitásra vagy szolgáltatásnévre van szükség a Microsoft Sentinel hitelesítéséhez. A régi ügynökök támogatottak a legújabb verzió frissítéséhez, majd egy felügyelt identitással vagy szolgáltatásnévvel kell folytatniuk a frissítést a következő verziókra. |
Az adatösszekötő-ügynök tárolójának SAP-előfeltételei
Javasoljuk, hogy az SAP BASIS csapata ellenőrizze és győződjön meg az SAP-rendszer előfeltételeiről. Határozottan javasoljuk, hogy az SAP-rendszer felügyeletét tapasztalt SAP-rendszergazda végezze.
| Előfeltételek | Leírás |
|---|---|
| Támogatott SAP-verziók | Az SAP-adatösszekötő-ügynök támogatja az SAP NetWeaver rendszereket, és SAP_BASIS 731-ben vagy újabb verziókban tesztelték. Az oktatóanyag bizonyos lépései alternatív útmutatást nyújtanak, ha a régebbi SAP_BASIS 740-es verzión dolgozik. |
| Szükséges szoftver | SAP NetWeaver RFC SDK 7.50 (Letöltés ide) Győződjön meg arról, hogy sap-felhasználói fiókkal is rendelkezik az SAP szoftverletöltési oldalának eléréséhez. |
| SAP-rendszer részletei | Jegyezze fel a következő SAP-rendszeradatokat: - SAP-rendszer IP-címe és teljes tartományneve - SAP-rendszer száma, például 00- SAP Rendszerazonosító az SAP NetWeaver rendszerből (például NPL) - SAP-ügyfélazonosító, például 001 |
| SAP NetWeaver-példány hozzáférése | Az SAP-adatösszekötő-ügynök az alábbi mechanizmusok egyikével hitelesíti az SAP-rendszert: - SAP ABAP-felhasználó/jelszó - X.509-tanúsítvánnyal rendelkező felhasználó. Ehhez a beállításhoz további konfigurációs lépések szükségesek. További információ: A rendszer konfigurálása az SNC biztonságos kapcsolatokhoz való használatára. |
| SAP-szerepkörökre vonatkozó követelmények | Ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez, létre kell hoznia egy SAP-rendszerszerepkört. Javasoljuk, hogy hozza létre a szükséges rendszerszerepkört az SAP NPLK900271 változáskérés (CR) üzembe helyezésével. További információ: A Microsoft Sentinel szerepkör konfigurálása. |
| Ajánlott hitelesítésszolgáltatók további támogatáshoz | A javasolt hitelesítésszolgáltatók üzembe helyezése az SAP-rendszeren további részletek, például az ügyfél IP-címe és a további naplók lekérése érdekében. További információt a További adatlekérés támogatásának konfigurálása (ajánlott) című témakörben talál. |
Azure-előfeltételek
Az Azure-előfeltételeket általában a biztonsági csapatok kezelik.
| Előfeltételek | Leírás | Kötelező/nem kötelező |
|---|---|---|
| Hozzáférés a korlátozott előzetes verzióhoz | Az Ügynök nélküli megoldás használatához regisztrálnia kell, és csak a jóváhagyott ügyfelek és partnerek számára érhető el a korlátozott előzetes verziós időszakban. További információ: Korlátozott előzetes regisztráció: Microsoft Sentinel-megoldás az SAP-hoz – Ügynök nélküli adatösszekötő. | Kötelező |
| Azure-erőforrások létrehozásához szükséges engedélyek | Rendelkeznie kell a következőképp: – A Megoldások a Microsoft Sentinel tartalomközpontból való üzembe helyezéséhez szükséges engedélyek. További információ: A Microsoft Sentinel-megoldások és a Beépített Microsoft Entra-szerepkörök üzembe helyezésének előfeltételei. Tulajdonos a Microsoft Sentinel erőforráscsoportban, amely a következőhöz szükséges: – Adatgyűjtési szabály és adatgyűjtési végpont létrehozása. – A Metrikák közzétevője szerepkör-hozzárendelésének figyelése adatgyűjtési szabályon. |
Kötelező |
| Engedélyek a Microsoft Entra-ban | Az alkalmazásregisztrációk létrehozásához a Microsoft Entra-azonosítóban engedélyekkel kell rendelkeznie. Ez az engedély a Beépített Microsoft Entra ID-szerepkör tagságával szerezhető be: - Alkalmazásfejlesztő. |
Kötelező |
Az ügynök nélküli adatösszekötő SAP-előfeltételei
Javasoljuk, hogy az SAP BASIS csapata ellenőrizze és győződjön meg az SAP-rendszer előfeltételeiről. Határozottan javasoljuk, hogy az SAP-rendszer felügyeletét tapasztalt SAP-rendszergazda végezze.
| Előfeltételek | Leírás |
|---|---|
| Támogatott SAP-verziók | Az ügynök nélküli megoldás támogatja az SAP NetWeaver-rendszereket SAP_BASIS 750-ös vagy újabb verzióval. |
| SAP-rendszer | Az SAP-rendszernek az alábbiakat kell tartalmaznia: Egy SAP BTP-alfiók, amelyen engedélyezve van a következő szolgáltatások: - SAP Integration Suite - SAP Folyamatintegrációs futtatókörnyezet - Cloud Foundry Runtime További információkért tekintse meg az SAP dokumentációját. A próbaverziós fiókok támogatottak. Üzembe helyezett SAP Cloud Connector SAP NetWeaver 7.5-ös vagy újabb verzió |
| SAP-szerepkörök és engedélyek | Az SAP-rendszerekben a következő szerepköröknek kell rendelkezniük: SAP NetWeaver 7.5+: SAP Netweaver-rendszergazda Az SAP BTP-ben az alábbi szerepkörök mindegyike: - Alfiók-rendszergazda - Integration Provisioner - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
A betöltés megtervezése
Javasoljuk, hogy tesztelje a rendszereit, hogy meghatározza az egyes SAP-rendszerek által a Microsoft Sentinelnek küldött naplók számát. A Microsoft Sentinel számlázása a naplóbetöltés méretétől függ, ami olyan tényezőktől függ, mint a rendszerhasználat, az üzembe helyezett modulok, a felhasználók száma, a futó használati esetek, a hálózati forgalom és a naplótípusok.
További információk:
- Megoldás díjszabása
- Költségek megtervezése és a Microsoft Sentinel díjszabásának és számlázásának ismertetése
- A Microsoft Sentinel költségeinek csökkentése
- A Microsoft Sentinel költségeinek kezelése és figyelése