A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
Ez a cikk a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezéséhez szükséges előfeltételeket sorolja fel.
Üzembehelyezési mérföldkövek
Kövesse nyomon az SAP-megoldás üzembe helyezésének menetét ebben a cikksorozatban:
Üzembe helyezés előfeltételei (Ön itt van)
A megoldás használata több munkaterületen (ELŐZETES VERZIÓ)
Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz®
Nem kötelező üzembe helyezési lépések
Előfeltételek táblázata
A Microsoft Sentinel megoldás SAP-alkalmazásokhoz® való sikeres üzembe helyezéséhez meg kell felelnie a következő előfeltételeknek:
Azure-előfeltételek
| Előfeltétel | Description |
|---|---|
| Hozzáférés a Microsoft Sentinelhez | Jegyezze fel a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát. Ezeket a részleteket a Microsoft Sentinelben találja: a navigációs menüben válassza a Beállítások>Munkaterület beállításai>Ügynökök kezelése lehetőséget. Másolja ki a munkaterület azonosítóját és az elsődleges kulcsot , és illessze be őket az üzembe helyezési folyamat során való használatra. |
| [Nem kötelező]Engedélyek Azure-erőforrások létrehozásához | Legalább rendelkeznie kell a Microsoft Sentinel tartalomközpont megoldásainak üzembe helyezéséhez szükséges engedélyekkel. További információt a Microsoft Sentinel tartalomközpont katalógusában talál. |
| [Nem kötelező]Engedélyek azure key vault létrehozásához vagy meglévőhöz való hozzáféréshez | Az ajánlott üzembe helyezési forgatókönyv az Azure Key Vault használata az SAP-rendszerhez való csatlakozáshoz szükséges titkos kódok tárolására. További információt az Azure Key Vault dokumentációjában talál. |
Rendszer-előfeltételek
| Előfeltétel | Description |
|---|---|
| Rendszer-architektúra | Az SAP-megoldás adatösszekötő-összetevője Docker-tárolóként van üzembe helyezve, és minden SAP-ügyfélnek saját tárolópéldányra van szüksége. A tároló gazdagép lehet fizikai gép vagy virtuális gép, amely a helyszínen vagy bármely felhőben található. A tárolót üzemeltető virtuális gépnek nem kell ugyanabban az Azure-előfizetésben lennie, mint a Microsoft Sentinel-munkaterületnek, vagy akár ugyanabban a Azure AD bérlőben. |
| Virtuális gépek méretezési javaslatai | Minimális specifikáció, például tesztkörnyezet esetén: Standard_B2s Virtuális gép, a következőkkel: - 2 mag - 4 GB RAM Standard összekötő (alapértelmezett): Standard_D2as_v5 Virtuális gép vagy Standard_D2_v5 Virtuális gép, a következőkkel: - 2 mag - 8 GB RAM Több összekötő: Standard_D4as_v5 vagy Standard_D4_v5 Virtuális gép, a következőkkel: - 4 mag - 16 GB RAM |
| Rendszergazdai jogosultságok | A tároló gazdagépén rendszergazdai jogosultságokra (root) van szükség. |
| Támogatott Linux-verziók | Az SAP-adatösszekötő ügynök tesztelése a következő Linux-disztribúciókkal történt: - Ubuntu 18.04 vagy újabb - SLES 15-ös vagy újabb verzió - RHEL 7.7-es vagy újabb verzió Ha más operációs rendszerrel rendelkezik, előfordulhat, hogy manuálisan kell üzembe helyeznie és konfigurálnia a tárolót a kickstart szkript használata helyett. |
| Hálózati kapcsolat | Győződjön meg arról, hogy a tárológazda hozzáfér a következőhöz: - Microsoft Sentinel – Azure Key Vault (olyan üzembehelyezési forgatókönyvben, ahol az Azure Key Vault titkos kulcsok tárolására szolgál) - SAP-rendszer a következő TCP-portokon keresztül: 32xx, 5xx13, 33xx, 48xx (SNC használatakor), ahol xx az SAP-példány száma. |
| Szoftver-segédprogramok | Az SAP-adatösszekötő üzembehelyezési szkriptje a következő szükséges szoftvert telepíti a tárológazda virtuális gépre (a használt Linux-disztribúciótól függően a lista kissé eltérhet): - Csomagolja ki - Netcat - Docker - jq - Curl |
SAP-előfeltételek
| Előfeltétel | Description |
|---|---|
| Támogatott SAP-verziók | Az SAP-adatösszekötő ügynök támogatja az SAP NetWeaver-rendszereket, és SAP_BASIS 731-SAP_BASIS-os és újabb verziókon tesztelték. Az oktatóanyag bizonyos lépései alternatív útmutatást nyújtanak, ha a régebbi SAP_BASIS 740-es verzióján dolgozik. |
| Szükséges szoftverek | SAP NetWeaver RFC SDK 7.50 (Letöltés ide) Győződjön meg arról, hogy sap-felhasználói fiókkal is rendelkezik az SAP szoftverletöltési oldalának eléréséhez. |
| SAP-rendszer részletei | Jegyezze fel az alábbi SAP-rendszeradatokat az oktatóanyagban való használatra: - SAP-rendszer IP-címe és teljes tartományneve - SAP-rendszerszám, például 00- SAP-rendszerazonosító az SAP NetWeaver rendszerből (például NPL)- SAP-ügyfélazonosító, például 001 |
| SAP NetWeaver-példány hozzáférése | Az SAP-adatösszekötő-ügynök az alábbi mechanizmusok egyikével hitelesíti az SAP-rendszert: – SAP ABAP-felhasználó/jelszó – X.509-tanúsítvánnyal rendelkező felhasználó (Ez a beállítás további konfigurációs lépéseket igényel) |
SAP-környezet érvényesítési lépései
Megjegyzés
A CR üzembe helyezésére és a szükséges szerepkör hozzárendelésére vonatkozó részletes utasítások az SAP-hitelesítés üzembe helyezéséről és az engedélyezési útmutató konfigurálásáról című témakörben érhetők el. Határozza meg, hogy mely hitelesítésszolgáltatókat kell üzembe helyezni, kérje le a vonatkozó hitelesítésszolgáltatókat az alábbi táblázatok hivatkozásaiból, és folytassa a részletes útmutatóval.
- Szerepkör létrehozása és konfigurálása (kötelező)
- További információk lekérése az SAP-ból (nem kötelező)
Szerepkör létrehozása és konfigurálása (kötelező)
Ahhoz, hogy az SAP-adatösszekötő csatlakozzon az SAP-rendszerhez, létre kell hoznia egy szerepkört. Hozza létre a szerepkört a CR NPLK900271 üzembe helyezésével vagy a szerepkör-engedélyezések MSFTSEN_SENTINEL_CONNECTOR_ROLE_V0.0.27.SAP-fájlból való betöltésével.
Megjegyzés
Másik lehetőségként létrehozhat egy minimális engedélyekkel rendelkező szerepkört az NPLK900268 módosítási kérelem üzembe helyezésével, vagy a szerepkör-engedélyek MSFTSEN_SENTINEL_AGENT_BASIC_ROLE_V0.0.1.SAP-fájlból való betöltésével. Ez a változáskérési vagy engedélyezési fájl létrehozza az /MSFTSEN/SENTINEL_AGENT_BASIC szerepkört. Ez a szerepkör rendelkezik a minimálisan szükséges engedélyekkel az adatösszekötő működéséhez. Vegye figyelembe, hogy ha úgy dönt, hogy telepíti ezt a szerepkört, előfordulhat, hogy gyakran frissítenie kell.
A tapasztalt SAP-rendszergazdák dönthetnek úgy, hogy manuálisan hozzák létre a szerepkört, és hozzárendelik a megfelelő engedélyeket. Ilyen esetben nem szükséges üzembe helyezni a CR NPLK900271-et, hanem létre kell hoznia egy szerepkört a Expert: Deploy SAP CRs (SAP-tanúsítványok üzembe helyezése és a szükséges ABAP-engedélyek üzembe helyezése) című témakörben ismertetett javaslatok alapján.
| SAP BASIS-verziók | Cr-minta |
|---|---|
| Bármely verzió | NPLK900271: K900271.NPL, R900271.NPL |
További információk lekérése az SAP-ból (nem kötelező)
További hitelesítésszolgáltatókat helyezhet üzembe a Microsoft Sentinel GitHub-adattárból , hogy az SAP-adatösszekötő bizonyos információkat lekérhessen az SAP-rendszerből.
- SAP BASIS 7.5 SP12 és újabb verziók: Ügyfél IP-címének adatai a biztonsági auditnaplóból
- BÁRMELY SAP BASIS-verzió: DB Table logs, Spool Output log
| SAP BASIS-verziók | Ajánlott CR | Jegyzetek |
|---|---|---|
| - 750 és újabb | NPLK900202: K900202.NPL, R900202.NPL | Helyezze üzembe a vonatkozó SAP-megjegyzést. |
| - 740 | NPLK900201: K900201.NPL, R900201.NPL |
SAP-megjegyzés üzembe helyezése (nem kötelező)
Ha úgy dönt, hogy további információkat kér le az NPLK900202 opcionális CR-vel, győződjön meg arról, hogy a következő SAP-megjegyzés van üzembe helyezve az SAP-rendszerben annak verziójának megfelelően:
| SAP BASIS-verziók | Jegyzetek |
|---|---|
| - 750 SP04–SP12 - 751 SP00–SP06 - 752 SP00–SP02 |
2641084 – Szabványosított olvasási hozzáférés a biztonsági auditnapló adataihoz* |
Következő lépések
Miután meggyőződött arról, hogy az összes előfeltétel teljesült, folytassa a következő lépéssel a szükséges hitelesítésszolgáltatók SAP-rendszerben való üzembe helyezéséhez és az engedélyezés konfigurálásához.