Microsoft Sentinel for SAP az Azure-ban

  • Cikk

Ez a cikk az "SAP kiterjesztése és innovációja biztonság: ajánlott eljárások" című cikksorozat része.

Ez a cikk a Microsoft Sentinel-megoldás sap-alkalmazásokhoz, SAP-alkalmazáskiszolgálókhoz, SAP HANA-adatbáziskiszolgálókhoz és Microsoft Sentinel-szabályokhoz készült Microsoft Sentinel-megoldással történő üzembe helyezésének legfontosabb tervezési szempontjait ismerteti.

A forgatókönyv előfeltételei:

  • Az SAP-rendszerekből származó adatok gyűjtéséhez telepítenie kell egy Microsoft Sentinel SAP-összekötőt.
  • Minden SAP biztonsági azonosítóhoz (SID) és ügyfélszám-kombinációhoz külön összekötőt kell üzembe helyeznie.

Kialakítási szempontok

Tekintse meg az egyes összetevőkre vonatkozó alábbi tervezési szempontokat.

Microsoft Sentinel-megoldás SAP-alkalmazásokhoz

  • Az SAP-architektúra topológiája több SAP-terméket is tartalmazhat több rendszerazonosító, ügyfél és példányszám között. Az architektúra több előtérbeli ABAP-kiszolgálóval is rendelkezhet, de csak egy ABAP-kiszolgálókapcsolatra van szükség. Érdemes lehet csatlakozni az SAP üzenetkiszolgálóhoz, amely az összekötőt a megfelelő ABAP-kiszolgálóhoz irányítja, és adatokat gyűjt az SAP-rendszer számára.

  • Az összekötő Docker-tárolóként települ egy gazdagép virtuális gépén vagy fizikai kiszolgálón. Az összekötőtároló támogatja az üzembe helyezést egy helyszíni gépen és egy Azure-alapú virtuális gépen. Az adatösszekötő nem támogatja a beépített magas rendelkezésre állású konfigurációt. Ha a forgatókönyv magas rendelkezésre állási lehetőséget igényel, fontolja meg az összekötő tároló üzembe helyezését egy Kubernetes-fürtön vagy Azure Kubernetes Service (AKS)-en.

    Az AKS részletes konfigurációjáért lásd: A Microsoft Sentinel Threat Monitoring telepítése SAP-ügynökhöz AKS-ben vagy Kubernetes-fürtön.

    Megjegyzés

    Az adatösszekötő magas rendelkezésre állását csak AKS vagy Kubernetes-környezet használatával érheti el.

  • A Kubernetes-fürtök csak egyetlen adatösszekötőt támogatnak, amely adatokat hív le egy SAP-rendszerből, és egyetlen Log Analytics-munkaterületre küldi az adatokat. Ha több podot futtat egy Kubernetes-fürtben, amelyek ugyanahhoz az SAP-rendszerhez csatlakoznak, és adatokat küldenek ugyanarra a Log Analytics-munkaterületre, a rendszer több másolatot küld az adatokról, ami megnövelheti az adatmegőrzési díjakat.

  • Docker-tárolók használatakor az SAP-rendszer összes adata egyetlen Log Analytics-munkaterületre kerül.

  • Az összekötőügynököket üzemeltető kiszolgálónak csatlakoznia kell az összes olyan ABAP-kiszolgálóhoz, amely adatlekérést igényel. Az összekötőnek például portokkal kell irányítania és csatlakoznia a cél ABAP-kiszolgálókhoz. További információ: Az SAP-hoz készült Microsoft Sentinel-megoldások üzembe helyezési előfeltételei.

  • Használjon Microsoft Sentinel-riasztásokat, például Microsoft Teams-, e-mail- vagy mobilriasztásokat.

  • Ha több összekötőt üzemeltet egyetlen gépen:

    • A tároló elnevezési mintája sapcon-<SID>a , így nem csatlakozhat több, azonos SID-et tartalmazó rendszerhez.
    • Ha több, eltérő ügyfélazonosítóval rendelkező rendszerhez csatlakozik, használja a --multi-clients nem dokumentált kapcsolót a kickstart szkript futtatásakor. A létrehozott tároló elnevezési mintája sapcon-<SID>-<client>.
    • Ha több olyan rendszerhez csatlakozik, amelyek azonos SID-et és azonos ügyfél-azonosítót használnak, az összekötőt különböző gazdagépeken kell üzembe helyezni. A rendszerek különböző rendszerszámokkal rendelkezhetnek. Az összekötőt több olyan rendszerkörnyezet különböző gazdagépén is üzembe kell helyezni, mint például az éles környezet, a fejlesztés vagy a tesztelés, amelyek ugyanazt az SID-et, ügyfél-azonosítót vagy rendszerszámot használják. Az ezekből a rendszerekből származó Log Analytics-adatok megkülönböztethetetlenek. Ha azonos azonosítókkal, ügyfélazonosítókkal vagy rendszerszámokkal rendelkező rendszerekkel dolgozik, különböző Log Analytics-munkaterületekkel különböztetheti meg az adatokat.

SAP-alkalmazáskiszolgálók

  • Az ABAP-kiszolgálók a Microsoft Sentinelhez való csatlakoztatásához használjon SAP-összekötőt.
  • Telepítse az SAP-összekötőt egy külön virtuális gépre.
  • Minden egyedi rendszerazonosítóval rendelkező SAP-rendszernek külön SAP-összekötőre van szüksége.
  • A hitelesítő adatokat az Azure Key Vault tárolja.
  • Az egyes SAP-rendszerek adatainak lekéréséhez rendelje hozzá a Microsoft Sentinel-integrációra jellemző megfelelő szerepköröket és engedélyeket.
  • A monitorozott SAP-rendszerekben engedélyezze az SAP-táblák változásnaplózását és az ABAP-naplózást.
  • Finomhangolja az SAP-összekötőt a rövid memóriaképek elkerülése és a megfelelő adatmennyiség lekérése érdekében.
  • A téves pozitívok kiküszöböléséhez implementáljon egy iteratív folyamatot a riasztások finomhangolásához a Microsoft Sentinelben. Engedélyezheti például, hogy a kiválasztott felhasználók bizalmas lekérdezéseket futtassanak.

SAP HANA-adatbáziskiszolgáló

  • A Microsoft Sentinel az SAP HANA által a munkaterületére a rendszernaplózási protokollon (syslog) keresztül leküldött naplókra támaszkodik. Ebben a forgatókönyvben nincsenek SAP-összekötők.

  • Ha le szeretné küldeni az SAP HANA syslogot egy Microsoft Sentinel-munkaterületre, telepítse az Azure Monitor Agentet párhuzamosan a Microsoft Operations Management Suite standard verziójával. Alapértelmezés szerint az Operations Management Suite leküldi az adatokat a telemetriai munkaterületre. Az Azure Monitor-ügynök naplóit átirányíthatja a Microsoft Sentinel-munkaterületre.

  • Alapértelmezés szerint az SAP HANA naplózási nyomvonala egy CSTABLE nevű adatbázistáblába van írva. A biztonsági csapat olyan funkciókat használ, mint a tűzoltói bejelentkezések rögzítése az adatbázisok naplóinak felhasználásához. Az alapértelmezett naplózás nem mutatható át a syslogra, de a különböző naplózási útvonalakat átirányíthatja különböző célokra, hogy a Microsoft Sentinelhez kapcsolódó összes naplózási szabályzat a riasztási szintre mutasson. A módosítás megvalósításakor az összes riasztási szintű napló a syslogba kerül.

Microsoft Sentinel-szabályok

A Microsoft Sentinel-szabályok segítenek felderíteni a környezetben lévő fenyegetéseket és rendellenes viselkedéseket. Az elemzési és tervezési fázisban:

  • Tekintse át a meglévő szabályokat. Határozza meg, hogy mely beépített elemzési szabályok léteznek az SAP-hoz és a Microsoft Sentinelhez.
  • Hatókör létrehozása. Határozza meg a helyzet hatókörét és használati eseteit.
  • Szabályfeltételek létrehozása. A szabályazonosítás és a rangsorolás feltételeinek meghatározása.
  • Szabályok rangsorolása. A megvalósítási szabályok azonosítása és rangsorolása.

A következő tervezési szempontok is érvényesek:

  • A téves pozitív értékek azonosításához és a lekérdezési logika és a figyelőlista bejegyzéseinek megfelelő módosításához hozzon létre egy folyamatot a riasztások áttekintéséhez és érvényesítéséhez.

  • A figyelőlisták segítségével korrelálhatja az adatforrásból származó adatokat a Microsoft Sentinel-környezet eseményeivel.

    • Létrehozhat például egy figyelőlistát a környezetében található nagy értékű objektumok, megszüntetett alkalmazottak vagy szolgáltatásfiókok listájával.
    • A meglévő szabályok statikus figyelőlistákat használnak, amelyek a felhasználók listáját tartalmazzák. De konfigurálhat szabályokat, hogy a Microsoft Sentinel frissíthető dinamikus adatforrást biztosítson a Microsoft Sentinel által kiértékelt eszközöknek.
    • Az elemzési szabályok kihasználják a SAP_User_Config figyelőlistát. Ha például egy felhasználó túl sok riasztást hoz létre, a rendszer hozzáadja a felhasználót a figyelőlistához olyan címkékkel, mint a MassiveLogonsOK vagy MassiveRFCOKa, hogy megelőzze a zavarokat.

  • A beépített munkafüzetek segítségével azonosíthatja az adatokban lévő hiányosságokat, és figyelheti a rendszer állapotát.

  • Az adatvesztés monitorozásához használjon exfiltrációs szabályokat. További információ: Adatkiszivárgási szabályok és Új adatkiszivárgási észlelési szabályok.

Következő lépések