Microsoft Sentinel for SAP az Azure-ban
Ez a cikk az "SAP kiterjesztése és innovációja biztonság: ajánlott eljárások" című cikksorozat része.
- SQL Server adatbázis-biztonság az Azure-beli SAP-hez
- Microsoft Sentinel for SAP az Azure-ban
- Biztonsági műveletek az SAP-hez az Azure-ban
Ez a cikk a Microsoft Sentinel-megoldás sap-alkalmazásokhoz, SAP-alkalmazáskiszolgálókhoz, SAP HANA-adatbáziskiszolgálókhoz és Microsoft Sentinel-szabályokhoz készült Microsoft Sentinel-megoldással történő üzembe helyezésének legfontosabb tervezési szempontjait ismerteti.
A forgatókönyv előfeltételei:
- Az SAP-rendszerekből származó adatok gyűjtéséhez telepítenie kell egy Microsoft Sentinel SAP-összekötőt.
- Minden SAP biztonsági azonosítóhoz (SID) és ügyfélszám-kombinációhoz külön összekötőt kell üzembe helyeznie.
Kialakítási szempontok
Tekintse meg az egyes összetevőkre vonatkozó alábbi tervezési szempontokat.
Microsoft Sentinel-megoldás SAP-alkalmazásokhoz
Az SAP-architektúra topológiája több SAP-terméket is tartalmazhat több rendszerazonosító, ügyfél és példányszám között. Az architektúra több előtérbeli ABAP-kiszolgálóval is rendelkezhet, de csak egy ABAP-kiszolgálókapcsolatra van szükség. Érdemes lehet csatlakozni az SAP üzenetkiszolgálóhoz, amely az összekötőt a megfelelő ABAP-kiszolgálóhoz irányítja, és adatokat gyűjt az SAP-rendszer számára.
Az összekötő Docker-tárolóként települ egy gazdagép virtuális gépén vagy fizikai kiszolgálón. Az összekötőtároló támogatja az üzembe helyezést egy helyszíni gépen és egy Azure-alapú virtuális gépen. Az adatösszekötő nem támogatja a beépített magas rendelkezésre állású konfigurációt. Ha a forgatókönyv magas rendelkezésre állási lehetőséget igényel, fontolja meg az összekötő tároló üzembe helyezését egy Kubernetes-fürtön vagy Azure Kubernetes Service (AKS)-en.
Az AKS részletes konfigurációjáért lásd: A Microsoft Sentinel Threat Monitoring telepítése SAP-ügynökhöz AKS-ben vagy Kubernetes-fürtön.
Megjegyzés
Az adatösszekötő magas rendelkezésre állását csak AKS vagy Kubernetes-környezet használatával érheti el.
A Kubernetes-fürtök csak egyetlen adatösszekötőt támogatnak, amely adatokat hív le egy SAP-rendszerből, és egyetlen Log Analytics-munkaterületre küldi az adatokat. Ha több podot futtat egy Kubernetes-fürtben, amelyek ugyanahhoz az SAP-rendszerhez csatlakoznak, és adatokat küldenek ugyanarra a Log Analytics-munkaterületre, a rendszer több másolatot küld az adatokról, ami megnövelheti az adatmegőrzési díjakat.
Docker-tárolók használatakor az SAP-rendszer összes adata egyetlen Log Analytics-munkaterületre kerül.
Az összekötőügynököket üzemeltető kiszolgálónak csatlakoznia kell az összes olyan ABAP-kiszolgálóhoz, amely adatlekérést igényel. Az összekötőnek például portokkal kell irányítania és csatlakoznia a cél ABAP-kiszolgálókhoz. További információ: Az SAP-hoz készült Microsoft Sentinel-megoldások üzembe helyezési előfeltételei.
Használjon Microsoft Sentinel-riasztásokat, például Microsoft Teams-, e-mail- vagy mobilriasztásokat.
Ha több összekötőt üzemeltet egyetlen gépen:
- A tároló elnevezési mintája
sapcon-<SID>
a , így nem csatlakozhat több, azonos SID-et tartalmazó rendszerhez. - Ha több, eltérő ügyfélazonosítóval rendelkező rendszerhez csatlakozik, használja a
--multi-clients
nem dokumentált kapcsolót a kickstart szkript futtatásakor. A létrehozott tároló elnevezési mintájasapcon-<SID>-<client>
. - Ha több olyan rendszerhez csatlakozik, amelyek azonos SID-et és azonos ügyfél-azonosítót használnak, az összekötőt különböző gazdagépeken kell üzembe helyezni. A rendszerek különböző rendszerszámokkal rendelkezhetnek. Az összekötőt több olyan rendszerkörnyezet különböző gazdagépén is üzembe kell helyezni, mint például az éles környezet, a fejlesztés vagy a tesztelés, amelyek ugyanazt az SID-et, ügyfél-azonosítót vagy rendszerszámot használják. Az ezekből a rendszerekből származó Log Analytics-adatok megkülönböztethetetlenek. Ha azonos azonosítókkal, ügyfélazonosítókkal vagy rendszerszámokkal rendelkező rendszerekkel dolgozik, különböző Log Analytics-munkaterületekkel különböztetheti meg az adatokat.
- A tároló elnevezési mintája
SAP-alkalmazáskiszolgálók
- Az ABAP-kiszolgálók a Microsoft Sentinelhez való csatlakoztatásához használjon SAP-összekötőt.
- Telepítse az SAP-összekötőt egy külön virtuális gépre.
- Minden egyedi rendszerazonosítóval rendelkező SAP-rendszernek külön SAP-összekötőre van szüksége.
- A hitelesítő adatokat az Azure Key Vault tárolja.
- Az egyes SAP-rendszerek adatainak lekéréséhez rendelje hozzá a Microsoft Sentinel-integrációra jellemző megfelelő szerepköröket és engedélyeket.
- A monitorozott SAP-rendszerekben engedélyezze az SAP-táblák változásnaplózását és az ABAP-naplózást.
- Finomhangolja az SAP-összekötőt a rövid memóriaképek elkerülése és a megfelelő adatmennyiség lekérése érdekében.
- A téves pozitívok kiküszöböléséhez implementáljon egy iteratív folyamatot a riasztások finomhangolásához a Microsoft Sentinelben. Engedélyezheti például, hogy a kiválasztott felhasználók bizalmas lekérdezéseket futtassanak.
SAP HANA-adatbáziskiszolgáló
A Microsoft Sentinel az SAP HANA által a munkaterületére a rendszernaplózási protokollon (syslog) keresztül leküldött naplókra támaszkodik. Ebben a forgatókönyvben nincsenek SAP-összekötők.
Ha le szeretné küldeni az SAP HANA syslogot egy Microsoft Sentinel-munkaterületre, telepítse az Azure Monitor Agentet párhuzamosan a Microsoft Operations Management Suite standard verziójával. Alapértelmezés szerint az Operations Management Suite leküldi az adatokat a telemetriai munkaterületre. Az Azure Monitor-ügynök naplóit átirányíthatja a Microsoft Sentinel-munkaterületre.
Alapértelmezés szerint az SAP HANA naplózási nyomvonala egy CSTABLE nevű adatbázistáblába van írva. A biztonsági csapat olyan funkciókat használ, mint a tűzoltói bejelentkezések rögzítése az adatbázisok naplóinak felhasználásához. Az alapértelmezett naplózás nem mutatható át a syslogra, de a különböző naplózási útvonalakat átirányíthatja különböző célokra, hogy a Microsoft Sentinelhez kapcsolódó összes naplózási szabályzat a riasztási szintre mutasson. A módosítás megvalósításakor az összes riasztási szintű napló a syslogba kerül.
Microsoft Sentinel-szabályok
A Microsoft Sentinel-szabályok segítenek felderíteni a környezetben lévő fenyegetéseket és rendellenes viselkedéseket. Az elemzési és tervezési fázisban:
- Tekintse át a meglévő szabályokat. Határozza meg, hogy mely beépített elemzési szabályok léteznek az SAP-hoz és a Microsoft Sentinelhez.
- Hatókör létrehozása. Határozza meg a helyzet hatókörét és használati eseteit.
- Szabályfeltételek létrehozása. A szabályazonosítás és a rangsorolás feltételeinek meghatározása.
- Szabályok rangsorolása. A megvalósítási szabályok azonosítása és rangsorolása.
A következő tervezési szempontok is érvényesek:
A téves pozitív értékek azonosításához és a lekérdezési logika és a figyelőlista bejegyzéseinek megfelelő módosításához hozzon létre egy folyamatot a riasztások áttekintéséhez és érvényesítéséhez.
A figyelőlisták segítségével korrelálhatja az adatforrásból származó adatokat a Microsoft Sentinel-környezet eseményeivel.
- Létrehozhat például egy figyelőlistát a környezetében található nagy értékű objektumok, megszüntetett alkalmazottak vagy szolgáltatásfiókok listájával.
- A meglévő szabályok statikus figyelőlistákat használnak, amelyek a felhasználók listáját tartalmazzák. De konfigurálhat szabályokat, hogy a Microsoft Sentinel frissíthető dinamikus adatforrást biztosítson a Microsoft Sentinel által kiértékelt eszközöknek.
- Az elemzési szabályok kihasználják a SAP_User_Config figyelőlistát. Ha például egy felhasználó túl sok riasztást hoz létre, a rendszer hozzáadja a felhasználót a figyelőlistához olyan címkékkel, mint a
MassiveLogonsOK
vagyMassiveRFCOK
a, hogy megelőzze a zavarokat.
A beépített munkafüzetek segítségével azonosíthatja az adatokban lévő hiányosságokat, és figyelheti a rendszer állapotát.
Az adatvesztés monitorozásához használjon exfiltrációs szabályokat. További információ: Adatkiszivárgási szabályok és Új adatkiszivárgási észlelési szabályok.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: