Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembehelyezési előfeltételei
Ez a cikk az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezéséhez szükséges előfeltételeket sorolja fel. Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezésének első lépése, hogy áttekintse és megértse az összes előfeltételt.
A cikk tartalma a biztonsági, az infrastruktúra- és az SAP BASIS-csapatok szempontjából releváns.
Azure-előfeltételek
Az Azure-előfeltételeket általában a biztonsági csapatok kezelik.
| Előfeltételek | Leírás | Kötelező/nem kötelező |
|---|---|---|
| Hozzáférés a Microsoft Sentinelhez | Jegyezze fel a Microsoft Sentinel számára engedélyezett Log Analytics-munkaterület *munkaterület-azonosítóját és elsődleges kulcsát . Ezeket a részleteket a Microsoft Sentinelben találja: a navigációs menüben válassza a Beállítások>munkaterület beállításai>ügynökök kezelése lehetőséget. Másolja ki a munkaterület azonosítóját és elsődleges kulcsát , és illessze be őket az üzembe helyezési folyamat során való használatra. |
Kötelező |
| Azure-erőforrások létrehozásához szükséges engedélyek | Legalább rendelkeznie kell a Microsoft Sentinel tartalomközpont megoldásainak üzembe helyezéséhez szükséges engedélyekkel. További információ: A Microsoft Sentinel-megoldások üzembe helyezésének előfeltételei. | Kötelező |
| Az Azure Key Vault létrehozásához vagy egy meglévőhöz való hozzáféréshez szükséges engedélyek | Az Azure Key Vault használatával tárolhatja az SAP-rendszerhez való csatlakozáshoz szükséges titkos kulcsokat. További információ: Kulcstartó hozzáférési engedélyeinek hozzárendelése. | Akkor szükséges, ha az SAP rendszer hitelesítő adatait az Azure Key Vaultban szeretné tárolni. Nem kötelező, ha konfigurációs fájlban szeretné tárolni őket. További információ: Virtuális gép létrehozása és a hitelesítő adatokhoz való hozzáférés konfigurálása. |
| Jogosultsági szerepkör hozzárendelésének engedélyei az SAP-adatösszekötő-ügynökhöz | Az SAP-adatösszekötő-ügynök üzembe helyezéséhez meg kell adnia az ügynök virtuálisgép-identitását adott engedélyekkel a Microsoft Sentinel-munkaterületen a Microsoft Sentinel üzleti alkalmazások ügynökének operátori szerepkörével. A szerepkör megadásához tulajdonosi engedélyekre van szüksége ahhoz az erőforráscsoporthoz, amelyben a Microsoft Sentinel-munkaterület található. További információ: Az SAP-rendszer csatlakoztatása az adatösszekötő-ügynök tárolójának üzembe helyezésével. |
Szükséges. Ha nem rendelkezik tulajdonosi engedélyekkel az erőforráscsoporthoz, a megfelelő lépést egy másik felhasználó is végrehajthatja, aki rendelkezik a megfelelő engedélyekkel, külön-külön, az ügynök teljes üzembe helyezése után. |
Rendszer-előfeltételek
A rendszer előfeltételeit általában az infrastruktúra-csapatok kezelik. Az SAP-adatösszekötő-ügynök tárolójának üzembe helyezéséhez a következő rendszerelőfeltételekre van szükség:
| Előfeltételek | Leírás |
|---|---|
| Rendszerarchitektúra | Az SAP-megoldás adatösszekötő-összetevője Docker-tárolóként van üzembe helyezve. A tároló gazdagép lehet fizikai gép vagy virtuális gép, amely a helyszínen vagy bármely felhőben található. A tárolót üzemeltető virtuális gépnek nem kell ugyanabban az Azure-előfizetésben lennie, mint a Microsoft Sentinel-munkaterülete, vagy akár ugyanabban a Microsoft Entra-bérlőben. |
| Támogatott Linux-verziók | Az SAP-adatösszekötő ügynök tesztelése a következő Linux-disztribúciókkal történik: - Ubuntu 18.04 vagy újabb - SLES 15-ös vagy újabb verzió - RHEL 7.7-es vagy újabb verzió Ha más operációs rendszerrel rendelkezik, előfordulhat, hogy manuálisan kell üzembe helyeznie és konfigurálnia a tárolót. További információ: A Microsoft Sentinel for SAP adatösszekötő-ügynök tárolójának üzembe helyezése szakértői lehetőségekkel , vagy támogatási jegy megnyitása. |
| Virtuális gépek méretezési javaslatai | Minimális specifikáció, például tesztkörnyezet esetén: Standard_B2s virtuális gép, a következőkkel: - Két mag - 4 GB RAM Standard összekötő (alapértelmezett): Standard_D2as_v5 virtuális gép vagy Standard_D2_v5 virtuális gép, a következőkkel: - Két mag - 8 GB RAM Több összekötő: Standard_D4as_v5 vagy Standard_D4_v5 virtuális gép, a következőkkel: - Négy mag - 16 GB RAM |
| Rendszergazdai jogosultságok | A tárológazdagépen rendszergazdai jogosultságok (gyökér) szükségesek. |
| Hálózati kapcsolat | Győződjön meg arról, hogy a tároló gazdagép hozzáfér a következőhöz: - Microsoft Sentinel - Azure Key Vault (olyan üzembehelyezési forgatókönyvben, amelyben az Azure Key Vault titkos kulcsok tárolására szolgál - SAP-rendszer a következő TCP-portokon keresztül: 32xx, 5xx13, 33xx, 48xx (SNC használatakor), ahol xx az SAP-példány száma. |
| Szoftver-segédprogramok | Az SAP-adatösszekötő üzembehelyezési szkriptje a következő szükséges szoftvert telepíti a tárológazda virtuális gépre (a használt Linux-disztribúciótól függően a lista kissé eltérhet): - Csomagolja ki - NetCat - Docker - jq - csavarodik |
| Felügyelt identitás vagy szolgáltatásnév | Az SAP-adatösszekötő-ügynök legújabb verziójához felügyelt identitásra vagy szolgáltatásnévre van szükség a Microsoft Sentinel hitelesítéséhez. A régi ügynökök támogatottak a legújabb verzió frissítéséhez, majd egy felügyelt identitással vagy szolgáltatásnévvel kell folytatniuk a frissítést a következő verziókra. |
SAP-előfeltételek
Javasoljuk, hogy az SAP BASIS csapata ellenőrizze és győződjön meg az SAP-rendszer előfeltételeiről. Határozottan javasoljuk, hogy az SAP-rendszer felügyeletét tapasztalt SAP-rendszergazda végezze.
| Előfeltételek | Leírás |
|---|---|
| Támogatott SAP-verziók | Az SAP-adatösszekötő-ügynök támogatja az SAP NetWeaver rendszereket, és SAP_BASIS 731-ben vagy újabb verziókban tesztelték. Az oktatóanyag bizonyos lépései alternatív útmutatást nyújtanak, ha a régebbi SAP_BASIS 740-es verzión dolgozik. |
| Szükséges szoftver | SAP NetWeaver RFC SDK 7.50 (Letöltés ide) Győződjön meg arról, hogy sap-felhasználói fiókkal is rendelkezik az SAP szoftverletöltési oldalának eléréséhez. |
| SAP-rendszer részletei | Jegyezze fel a következő SAP-rendszeradatokat: - SAP-rendszer IP-címe és teljes tartományneve - SAP-rendszer száma, például 00- SAP Rendszerazonosító az SAP NetWeaver rendszerből (például NPL) - SAP-ügyfélazonosító, például 001 |
| SAP NetWeaver-példány hozzáférése | Az SAP-adatösszekötő-ügynök az alábbi mechanizmusok egyikével hitelesíti az SAP-rendszert: - SAP ABAP-felhasználó/jelszó - X.509-tanúsítvánnyal rendelkező felhasználó. Ehhez a beállításhoz további konfigurációs lépések szükségesek. További információ: A rendszer konfigurálása az SNC biztonságos kapcsolatokhoz való használatára. |
| SAP-szerepkörökre vonatkozó követelmények | Ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez, létre kell hoznia egy SAP-rendszerszerepkört. Javasoljuk, hogy hozza létre a szükséges rendszerszerepkört az SAP NPLK900271 változáskérés (CR) üzembe helyezésével. További információ: A Microsoft Sentinel szerepkör konfigurálása. |
| Ajánlott hitelesítésszolgáltatók további támogatáshoz | A javasolt hitelesítésszolgáltatók üzembe helyezése az SAP-rendszeren további részletek, például az ügyfél IP-címe és a további naplók lekérése érdekében. További információt a további adatlekérés támogatásának konfigurálása (ajánlott) című témakörben talál. |
A betöltés megtervezése
Javasoljuk, hogy tesztelje a rendszereit, hogy meghatározza az egyes SAP-rendszerek által a Microsoft Sentinelnek küldött naplók számát. A Microsoft Sentinel számlázása a naplóbetöltés méretétől függ, ami olyan tényezőktől függ, mint a rendszerhasználat, az üzembe helyezett modulok, a felhasználók száma, a futó használati esetek, a hálózati forgalom és a naplótípusok.
További információk:
- Megoldás díjszabása
- Költségek megtervezése és a Microsoft Sentinel díjszabásának és számlázásának ismertetése
- A Microsoft Sentinel költségeinek csökkentése
- A Microsoft Sentinel költségeinek kezelése és figyelése