A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei

Ez a cikk a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezéséhez szükséges előfeltételeket sorolja fel.

Üzembehelyezési mérföldkövek

Kövesse nyomon az SAP-megoldás üzembe helyezésének menetét ebben a cikksorozatban:

  1. Az üzembe helyezés áttekintése

  2. Üzembe helyezés előfeltételei (Ön itt van)

  3. A megoldás használata több munkaterületen (ELŐZETES VERZIÓ)

  4. SAP-környezet előkészítése

  5. Adatösszekötő-ügynök üzembe helyezése

  6. SAP biztonsági tartalom üzembe helyezése

  7. Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz®

  8. Nem kötelező üzembe helyezési lépések

Előfeltételek táblázata

A Microsoft Sentinel megoldás SAP-alkalmazásokhoz® való sikeres üzembe helyezéséhez meg kell felelnie a következő előfeltételeknek:

Azure-előfeltételek

Előfeltétel Description
Hozzáférés a Microsoft Sentinelhez Jegyezze fel a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát.
Ezeket a részleteket a Microsoft Sentinelben találja: a navigációs menüben válassza a Beállítások>Munkaterület beállításai>Ügynökök kezelése lehetőséget. Másolja ki a munkaterület azonosítóját és az elsődleges kulcsot , és illessze be őket az üzembe helyezési folyamat során való használatra.
[Nem kötelező]Engedélyek Azure-erőforrások létrehozásához Legalább rendelkeznie kell a Microsoft Sentinel tartalomközpont megoldásainak üzembe helyezéséhez szükséges engedélyekkel. További információt a Microsoft Sentinel tartalomközpont katalógusában talál.
[Nem kötelező]Engedélyek azure key vault létrehozásához vagy meglévőhöz való hozzáféréshez Az ajánlott üzembe helyezési forgatókönyv az Azure Key Vault használata az SAP-rendszerhez való csatlakozáshoz szükséges titkos kódok tárolására. További információt az Azure Key Vault dokumentációjában talál.

Rendszer-előfeltételek

Előfeltétel Description
Rendszer-architektúra Az SAP-megoldás adatösszekötő-összetevője Docker-tárolóként van üzembe helyezve, és minden SAP-ügyfélnek saját tárolópéldányra van szüksége.
A tároló gazdagép lehet fizikai gép vagy virtuális gép, amely a helyszínen vagy bármely felhőben található.
A tárolót üzemeltető virtuális gépnek nem kell ugyanabban az Azure-előfizetésben lennie, mint a Microsoft Sentinel-munkaterületnek, vagy akár ugyanabban a Azure AD bérlőben.
Virtuális gépek méretezési javaslatai Minimális specifikáció, például tesztkörnyezet esetén:
Standard_B2s Virtuális gép, a következőkkel:
- 2 mag
- 4 GB RAM

Standard összekötő (alapértelmezett):
Standard_D2as_v5 Virtuális gép vagy
Standard_D2_v5 Virtuális gép, a következőkkel:
- 2 mag
- 8 GB RAM

Több összekötő:
Standard_D4as_v5 vagy
Standard_D4_v5 Virtuális gép, a következőkkel:
- 4 mag
- 16 GB RAM
Rendszergazdai jogosultságok A tároló gazdagépén rendszergazdai jogosultságokra (root) van szükség.
Támogatott Linux-verziók Az SAP-adatösszekötő ügynök tesztelése a következő Linux-disztribúciókkal történt:
- Ubuntu 18.04 vagy újabb
- SLES 15-ös vagy újabb verzió
- RHEL 7.7-es vagy újabb verzió

Ha más operációs rendszerrel rendelkezik, előfordulhat, hogy manuálisan kell üzembe helyeznie és konfigurálnia a tárolót a kickstart szkript használata helyett.
Hálózati kapcsolat Győződjön meg arról, hogy a tárológazda hozzáfér a következőhöz:
- Microsoft Sentinel
– Azure Key Vault (olyan üzembehelyezési forgatókönyvben, ahol az Azure Key Vault titkos kulcsok tárolására szolgál)
- SAP-rendszer a következő TCP-portokon keresztül: 32xx, 5xx13, 33xx, 48xx (SNC használatakor), ahol xx az SAP-példány száma.
Szoftver-segédprogramok Az SAP-adatösszekötő üzembehelyezési szkriptje a következő szükséges szoftvert telepíti a tárológazda virtuális gépre (a használt Linux-disztribúciótól függően a lista kissé eltérhet):
- Csomagolja ki
- Netcat
- Docker
- jq
- Curl

SAP-előfeltételek

Előfeltétel Description
Támogatott SAP-verziók Az SAP-adatösszekötő ügynök támogatja az SAP NetWeaver-rendszereket, és SAP_BASIS 731-SAP_BASIS-os és újabb verziókon tesztelték.

Az oktatóanyag bizonyos lépései alternatív útmutatást nyújtanak, ha a régebbi SAP_BASIS 740-es verzióján dolgozik.
Szükséges szoftverek SAP NetWeaver RFC SDK 7.50 (Letöltés ide)
Győződjön meg arról, hogy sap-felhasználói fiókkal is rendelkezik az SAP szoftverletöltési oldalának eléréséhez.
SAP-rendszer részletei Jegyezze fel az alábbi SAP-rendszeradatokat az oktatóanyagban való használatra:
- SAP-rendszer IP-címe és teljes tartományneve
- SAP-rendszerszám, például 00
- SAP-rendszerazonosító az SAP NetWeaver rendszerből (például NPL)
- SAP-ügyfélazonosító, például 001
SAP NetWeaver-példány hozzáférése Az SAP-adatösszekötő-ügynök az alábbi mechanizmusok egyikével hitelesíti az SAP-rendszert:
– SAP ABAP-felhasználó/jelszó
– X.509-tanúsítvánnyal rendelkező felhasználó (Ez a beállítás további konfigurációs lépéseket igényel)

SAP-környezet érvényesítési lépései

Megjegyzés

A CR üzembe helyezésére és a szükséges szerepkör hozzárendelésére vonatkozó részletes utasítások az SAP-hitelesítés üzembe helyezéséről és az engedélyezési útmutató konfigurálásáról című témakörben érhetők el. Határozza meg, hogy mely hitelesítésszolgáltatókat kell üzembe helyezni, kérje le a vonatkozó hitelesítésszolgáltatókat az alábbi táblázatok hivatkozásaiból, és folytassa a részletes útmutatóval.

Szerepkör létrehozása és konfigurálása (kötelező)

Ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez, létre kell hoznia egy szerepkört. Hozza létre a szerepkört a CR NPLK900271 üzembe helyezésével vagy a szerepkör-engedélyezések MSFTSEN_SENTINEL_CONNECTOR_ROLE_V0.0.27.SAP-fájlból való betöltésével.

Megjegyzés

Másik lehetőségként létrehozhat egy minimális engedélyekkel rendelkező szerepkört az NPLK900268 módosítási kérelem üzembe helyezésével, vagy a szerepkör-engedélyek MSFTSEN_SENTINEL_AGENT_BASIC_ROLE_V0.0.1.SAP-fájlból való betöltésével. Ez a változáskérési vagy engedélyezési fájl létrehozza az /MSFTSEN/SENTINEL_AGENT_BASIC szerepkört. Ez a szerepkör rendelkezik a minimálisan szükséges engedélyekkel az adatösszekötő működéséhez. Vegye figyelembe, hogy ha úgy dönt, hogy telepíti ezt a szerepkört, előfordulhat, hogy gyakran frissítenie kell.

A tapasztalt SAP-rendszergazdák dönthetnek úgy, hogy manuálisan hozzák létre a szerepkört, és hozzárendelik a megfelelő engedélyeket. Ilyen esetben nem szükséges üzembe helyezni a CR NPLK900271-et, hanem létre kell hoznia egy szerepkört a Expert: Deploy SAP CRs (SAP-tanúsítványok üzembe helyezése és a szükséges ABAP-engedélyek üzembe helyezése) című témakörben ismertetett javaslatok alapján.

SAP BASIS-verziók Cr-minta
Bármely verzió NPLK900271: K900271.NPL, R900271.NPL

További információk lekérése az SAP-ból (nem kötelező)

További hitelesítésszolgáltatókat helyezhet üzembe a Microsoft Sentinel GitHub-adattárból , hogy az SAP-adatösszekötő bizonyos információkat lekérhessen az SAP-rendszerből.

  • SAP BASIS 7.5 SP12 és újabb verziók: Ügyfél IP-címének adatai a biztonsági auditnaplóból
  • BÁRMELY SAP BASIS-verzió: DB Table logs, Spool Output log
SAP BASIS-verziók Ajánlott CR Jegyzetek
- 750 és újabb NPLK900202: K900202.NPL, R900202.NPL Helyezze üzembe a vonatkozó SAP-megjegyzést.
- 740 NPLK900201: K900201.NPL, R900201.NPL

SAP-megjegyzés üzembe helyezése (nem kötelező)

Ha úgy dönt, hogy további információkat kér le az NPLK900202 opcionális CR-vel, győződjön meg arról, hogy a következő SAP-megjegyzés van üzembe helyezve az SAP-rendszerben annak verziójának megfelelően:

SAP BASIS-verziók Jegyzetek
- 750 SP04–SP12
- 751 SP00–SP06
- 752 SP00–SP02
2641084 – Szabványosított olvasási hozzáférés a biztonsági auditnapló adataihoz*

Következő lépések

Miután meggyőződött arról, hogy az összes előfeltétel teljesült, folytassa a következő lépéssel a szükséges hitelesítésszolgáltatók SAP-rendszerben való üzembe helyezéséhez és az engedélyezés konfigurálásához.