SAP-rendszer konfigurálása a Microsoft Sentinel-megoldáshoz

Ez a cikk azt ismerteti, hogyan készítse elő az SAP-környezetet az SAP-adatösszekötőhöz való csatlakozáshoz. Az előkészítés eltérő attól függően, hogy a tárolóalapú adatösszekötő-ügynököt használja-e. Válassza a környezetnek megfelelő beállítást a lap tetején.

Ez a cikk az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezésének második lépésének része.

A cikkben szereplő eljárásokat általában az SAP BASIS csapata hajtja végre.

Ez a cikk az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás üzembe helyezésének második lépésének része. Bár a Microsoft Sentinelben végrehajtott lépések megkövetelik a megoldás első telepítését, az SAP-környezetben más előkészületek párhuzamosan is megtörténhetnek.

A cikkben szereplő számos eljárást általában az SAP BASIS csapata hajtja végre. A biztonsági csapat is részt vesz néhány lépésben.

Fontos

A Microsoft Sentinel ügynök nélküli adatösszekötője az SAP-hoz jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

• Mielőtt hozzákezd, tekintse át a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz való üzembe helyezésének előfeltételeit.

• Ha az ügynök nélküli adatösszekötővel dolgozik, néhány lépés a Microsoft Sentinelben történik, és előbb telepítenie kell a megoldást.

A Microsoft Sentinel szerepkör konfigurálása

Ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez, létre kell hoznia egy SAP-rendszerszerepkört kifejezetten erre a célra.

Javasoljuk, hogy hozza létre ezt a szerepkört az NPLK900271 SAP változáskérésének (CR) üzembe helyezésével: K900271.NPL | R900271.NPL

A CR-ket szükség szerint helyezze üzembe az SAP-rendszeren, ahogyan más hitelesítésszolgáltatókat is üzembe helyez. Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi. További információkért tekintse meg az SAP dokumentációját.

Másik lehetőségként töltse be a szerepkör-engedélyeket a MSFTSEN_SENTINEL_CONNECTOR fájlból, amely tartalmazza az adatösszekötő működéséhez szükséges összes alapvető engedélyt.

A tapasztalt SAP-rendszergazdák dönthetnek úgy, hogy manuálisan hozzák létre a szerepkört, és hozzárendelik a megfelelő engedélyeket. Ilyen esetekben hozzon létre manuálisan egy szerepkört a betöltendő naplókhoz szükséges megfelelő engedélyekkel. További információ: Kötelező ABAP-engedélyek. A dokumentációban szereplő példák az /MSFTSEN/SENTINEL_RESPONDER nevet használják .

A szerepkör konfigurálásakor a következőket javasoljuk:

• Hozzon létre egy aktív szerepkörprofilt a Microsoft Sentinel számára a PFCG-tranzakció futtatásával.
• Szerepkörnévként használható /MSFTSEN/SENTINEL_RESPONDER .

Hozzon létre egy szerepkört a MSFTSEN_SENTINEL_READER sablonnal, amely tartalmazza az adatösszekötő működéséhez szükséges összes alapvető engedélyt.

További információkért tekintse meg a szerepkörök létrehozásáról szóló SAP-dokumentációt .

Felhasználó létrehozása

Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldáshoz felhasználói fiók szükséges az SAP-rendszerhez való csatlakozáshoz. A felhasználó létrehozásakor:

• Mindenképpen hozzon létre egy rendszerfelhasználót.
• Rendelje hozzá az /MSFTSEN/SENTINEL_RESPONDER szerepkört a felhasználóhoz, amelyet az előző lépésben hozott létre.

• Mindenképpen hozzon létre egy rendszerfelhasználót.
• Rendelje hozzá a MSFTSEN_SENTINEL_READER szerepkört a felhasználóhoz, amelyet az előző lépésben hozott létre.

További információkért tekintse meg az SAP dokumentációját.

SAP-naplózás konfigurálása

Előfordulhat, hogy az SAP-rendszerek egyes telepítéseinél alapértelmezés szerint nincs engedélyezve a naplózás. Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás teljesítményének és hatékonyságának értékelésében a legjobb eredmények érdekében engedélyezze az SAP-rendszer naplózását és konfigurálja a naplózási paramétereket. Ha SAP HANA DB-naplókat szeretne beszedni, mindenképpen engedélyezze az SAP HANA DB naplózását is.

Azt javasoljuk, hogy csak adott naplók helyett konfigurálja a naplózást a napló összes üzenetéhez. A betöltési költség különbségei általában minimálisak, és az adatok a Microsoft Sentinel észleléseihez, valamint a behatolás utáni vizsgálatokhoz és a veszélyforrás-kereséshez hasznosak.

Az ügynök nélküli adatösszekötő teljes monitorozásához javasoljuk, hogy engedélyezze a figyelést a figyelt SAP-rendszerek összes ügyfélazonosítóján, beleértve a 000-et és a 066-os ügyfelet is.

További információ: SAP-közösség és SAP HANA-naplók gyűjtése a Microsoft Sentinelben.

A rendszer konfigurálása az SNC biztonságos kapcsolatokhoz való használatára

Alapértelmezés szerint az SAP-adatösszekötő-ügynök távoli függvényhívási (RFC) kapcsolattal és felhasználónévvel és jelszóval csatlakozik egy SAP-kiszolgálóhoz a hitelesítéshez.

Előfordulhat azonban, hogy a kapcsolatot titkosított csatornán kell létrehoznia, vagy ügyféltanúsítványokat kell használnia a hitelesítéshez. Ezekben az esetekben az SAP Smart Network Communications (SNC) használatával biztonságossá teheti az adatkapcsolatokat az ebben a szakaszban leírtak szerint.

Éles környezetben erősen javasoljuk, hogy a SAP-rendszergazdákkal konzultálva készítsenek egy telepítési tervet az SNC konfigurálásához. További információkért tekintse meg az SAP dokumentációját.

Az SNC konfigurálásakor:

• Ha az ügyféltanúsítványt egy vállalati hitelesítésszolgáltató adta ki, a kiállító hitelesítésszolgáltatói és fő hitelesítésszolgáltatói tanúsítványokat adja át arra a rendszerre, ahol létre kívánja hozni az adatösszekötő-ügynököt.
• Ha az adatösszekötő-ügynököt használja, mindenképpen adja meg a megfelelő értékeket, és használja a vonatkozó eljárásokat az SAP-adatösszekötő-ügynök tárolójának konfigurálásakor. Ha ügynök nélküli adatösszekötőt használ, az SNC-konfiguráció az SAP Cloud Connectorban történik.

Az SNC-vel kapcsolatos további információkért tekintse meg az SAP SNC használatának első lépéseit az RFC-integrációkhoz – SAP-blog.

További adatlekérés támogatásának konfigurálása (ajánlott)

Bár ez a lépés nem kötelező, javasoljuk, hogy engedélyezze az SAP-adatösszekötő számára a következő tartalominformációk lekérését az SAP-rendszerből:

• DB tábla és Spool Output naplók
• Ügyfél IP-címadatai a biztonsági auditnaplókból

1. Telepítse a megfelelő módosítási kérelmeket a Microsoft Sentinel GitHub-adattárból az SAP-verziójának megfelelően.

   SAP BASIS-verziók	Ajánlott CR
   750 vagy újabb	NPLK900202: K900202.NPL, R900202.NPL A CR üzembe helyezésekor a következő SAP-verziók bármelyikét is üzembe kell helyeznie, 2641084 – Szabványosított olvasási hozzáférés a biztonsági naplózási napló adataihoz: - 750 SP04–SP12 - 751 SP00-ról SP06-ra - 752 SP00–SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   A CR-ket szükség szerint helyezze üzembe az SAP-rendszeren, ahogyan más hitelesítésszolgáltatókat is üzembe helyez. Határozottan javasoljuk, hogy az SAP-hitelesítésszolgáltatók üzembe helyezését tapasztalt SAP-rendszergazda végzi. További információkért tekintse meg az SAP dokumentációját.

   További információkért tekintse meg az SAP-közösséget és az SAP dokumentációját.

2. Ha támogatni szeretné az SAP BASIS 7.31-7.5 SP12-s verzióját az ügyfél IP-címadatainak a Microsoft Sentinelnek való elküldéséhez, aktiválja az USR41 SAP-tábla naplózását. További információkért tekintse meg az SAP dokumentációját.

Ellenőrizze, hogy a PAHI-tábla rendszeres időközönként frissül-e

Az SAP PAHI táblázat az SAP-rendszer előzményeiről, az adatbázisról és az SAP-paraméterekről tartalmaz adatokat. Bizonyos esetekben az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás nem tudja rendszeres időközönként monitorozni az SAP PAHI-táblát a hiányzó vagy hibás konfiguráció miatt. Fontos frissíteni a PAHI-táblát, és gyakran figyelni, hogy az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás riasztást küldhessen a nap bármely szakában előforduló gyanús műveletekről. További információkért lásd:

• SAP-megjegyzés 12103
• Statikus SAP biztonsági paraméterek konfigurációjának monitorozása (előzetes verzió)

Ha a PAHI-tábla rendszeresen frissül, a SAP_COLLECTOR_FOR_PERFMONITOR feladat ütemezve lesz, és óránként fut. Ha a SAP_COLLECTOR_FOR_PERFMONITOR feladat nem létezik, győződjön meg róla, hogy megfelelően konfigurálja.

További információ: Adatbázis-gyűjtő a háttérfeldolgozásban és az adatgyűjtő konfigurálása.

SAP BTP-beállítások konfigurálása

1. Az SAP BTP-alfiókban adjon hozzá jogosultságokat a következő szolgáltatásokhoz:

   • SAP Integration Suite
   • SAP-folyamatintegrációs futtatókörnyezet
   • Cloud Foundry futási környezet

2. Hozzon létre egy Cloud Foundry Runtime-példányt, majd hozzon létre egy Cloud Foundry-helyet is.

3. Hozzon létre egy SAP Integration Suite-példányt.

4. Rendelje hozzá az SAP BTP Integration_Provisioner szerepkört az SAP BTP alfiókjának felhasználói fiókjához.

5. Az SAP Integration Suite-ban adja hozzá a felhőintegrációs képességet.

6. Rendelje hozzá a következő folyamatintegrációs szerepköröket a felhasználói fiókjához:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Ezek a szerepkörök csak a felhőintegrációs képesség aktiválása után érhetők el.

7. Hozzon létre egy példányt az SAP-folyamatintegrációs futtatókörnyezetből az alfiókban.

8. Hozzon létre egy szolgáltatáskulcsot az SAP-folyamatintegrációs futtatókörnyezethez, és mentse a JSON-tartalmat egy biztonságos helyre. Az SAP Process Integration Runtime szolgáltatáskulcsának létrehozása előtt aktiválnia kell a felhőintegrációs képességet.

További információkért tekintse meg az SAP dokumentációját.

Az összekötő konfigurálása a Microsoft Sentinelben és az SAP-rendszerben

Ez az eljárás a Microsoft Sentinelben és az SAP-rendszerben is lépéseket tartalmaz, és koordinációt igényel az SAP-rendszergazdával.

1. A Microsoft Sentinelben lépjen a Configuration Data Connectors (Konfigurációs > adatösszekötők ) lapra, és keresse meg a Microsoft Sentinel for SAP – ügynök nélküli (előzetes verzió) adatösszekötőt.

2. A Konfiguráció szakaszban bontsa ki és kövesse a Kezdeti összekötő konfiguráció - Az alábbi lépéseket egyszer hajtsa végre: szakasz utasításait. Ezekhez a lépésekhez mind a SecuritySOC-mérnök, mind az SAP-rendszergazda szükséges.

   1. Azure-erőforrások automatikus üzembe helyezésének aktiválása (SOC-mérnök). Ha az Azure-erőforrások üzembe helyezése után a 2. és a 3. lépésben szereplő értékek nem lesznek automatikusan kitöltve, zárja be és bontsa ki újra az 1. lépést a 2. és a 3. lépés értékeinek frissítéséhez.

   2. OAuth2-ügyfél hitelesítő adatok összetevőjének üzembe helyezése az SAP-integrációban (SAP Admin).

   3. Helyezzen üzembe egy biztonságos paraméter-összetevőt az SAP Integration (SAP Admin) workspaceKey nevű összetevőjében, amely tartalmazza az adatösszekötő felhasználói felületén látható Log Analytics-munkaterületkulcsot.

   4. Helyezze üzembe az SAP ügynök nélküli adatösszekötő csomagját az SAP Integration Suite-ben (SAP Admin).

      1. Töltse le az integrációs csomagot , és töltse fel az SAP Integration Suite-ba. További információkért tekintse meg az SAP dokumentációját.
      2. Nyissa meg a csomagot, és lépjen az Összetevők lapra. Ezután válassza ki az Adatgyűjtő konfigurációját. További információkért tekintse meg az SAP dokumentációját.
      3. Konfigurálja az integrációs folyamatot a LogIngestionURL és a DCRImmutableID használatával.
      4. Telepítse az i-flow-t az SAP Cloud Integration használatával futtatókörnyezeti szolgáltatásként.

Az előfeltétel-ellenőrző futtatása

1. Az előfeltétel-ellenőrző iflow része a csomagnak. Javasoljuk, hogy futtassa ezt az iflow-t, mielőtt továbblép a következő lépésre, hogy az SAP-rendszer megfeleljen a rendszer előfeltételeinek.

   Az eszköz futtatása:

   1. Nyissa meg az integrációs csomagot, lépjen az összetevők lapra, és válassza az előfeltétel-ellenőrző>.

   2. Állítsa a cél RFC-célhelyet az ellenőrizni kívánt SAP-rendszerre.

   3. Helyezze üzembe az iflow-t, ahogyan egyébként az SAP-rendszerek esetében tenné. Használja például a következő PowerShell-példaszkriptet, és módosítsa a környezet helyőrző értékeit:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   A Microsoft Sentinelhez való csatlakozás előtt győződjön meg arról, hogy az előfeltételek ellenőrzője sikeresen fut.

2. Görgessen lejjebb a Konfiguráció területen, és bontsa ki és kövesse a figyelt SAP-rendszerek hozzáadása című szakasz utasításait – Futtassa az alábbi lépéseket minden monitorozott SAP-rendszer esetében: minden figyelni kívánt SAP-rendszer területe.

   Amikor eljutunk a 2. lépéshez. Csatlakoztassa az SAP System-t a Microsoft Sentinel/SOC-mérnökhöz, és folytassa az SAP-rendszer csatlakoztatása a Microsoft Sentinelrel.

AZ SAP Cloud Connector beállításainak konfigurálása

1. Telepítse az SAP Cloud Connectort. További információkért tekintse meg az SAP dokumentációját.

2. Jelentkezzen be a felhőbeli összekötő felületén, és adja hozzá az alfiókot a megfelelő hitelesítő adatokkal. További információkért tekintse meg az SAP dokumentációját.

3. A felhőalapú összekötő alfiókjában adjon hozzá egy új rendszerleképezést a háttérrendszerhez az ABAP-rendszer RFC-protokollhoz való leképezéséhez.

4. Adja meg a terheléselosztási beállításokat, és adja meg a háttérbeli ABAP-kiszolgáló adatait. Ebben a lépésben másolja a virtuális gazdagép nevét egy biztonságos helyre, amelyet az üzembe helyezési folyamat későbbi szakaszában használhat.

5. Adjon hozzá új erőforrásokat a rendszerleképezéshez az alábbi függvénynevek mindegyikéhez:

   • RSAU_API_GET_LOG_DATA az SAP biztonsági auditnapló-adatainak lekéréséhez

   • BAPI_USER_GET_DETAIL az SAP felhasználói adatainak lekéréséhez

   • RFC_READ_TABLE, adatok beolvasása a szükséges táblákból

   • SIAG_ROLE_GET_AUTH a biztonsági szerepkörök engedélyezésének lekéréséhez

   • /OSP/SYSTEM_TIMEZONE, az SAP rendszer időzónaadatainak lekéréséhez

6. Adjon hozzá egy új célhelyet az SAP BTP-ben. Ez a célhely az ön által korábban létrehozott virtuális gazdaszámítógépre mutat. Az új célhely feltöltéséhez használja az alábbi adatokat:

   • Név: Adja meg a Microsoft Sentinel-kapcsolathoz használni kívánt nevet

   • TípusRFC

   • Proxy típusa:On-Premise

   • Felhasználó: Adja meg a Microsoft Sentinelhez korábban létrehozott ABAP-felhasználói fiókot

   • Engedélyezési típus:CONFIGURED USER

   • További tulajdonságok:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Hely: Csak akkor szükséges, ha több felhő összekötőt csatlakoztat ugyanahhoz a BTP alfiókhoz. További információkért tekintse meg az SAP dokumentációját.

Következő lépés

SAP-rendszer csatlakoztatása a Microsoft Sentinelhez