Bagikan melalui

Mengonfigurasi sistem SAP Anda untuk solusi Microsoft Azure Sentinel

  • Berlaku untuk: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Artikel ini menjelaskan cara menyiapkan lingkungan SAP Anda untuk menyambungkan ke konektor data SAP. Persiapan berbeda, tergantung pada apakah Anda menggunakan agen penghubung data yang terkontainer. Pilih opsi di bagian atas halaman yang cocok dengan lingkungan Anda.

Artikel ini adalah bagian dari langkah kedua dalam menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.

Diagram alur penerapan untuk solusi Microsoft Sentinel untuk aplikasi SAP, dengan langkah persiapan SAP disorot.

Prosedur dalam artikel ini biasanya dilakukan oleh tim SAP BASIS Anda.

Artikel ini adalah bagian dari langkah kedua dalam menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP. Sementara langkah-langkah yang dilakukan di Microsoft Azure Sentinel mengharuskan solusi diinstal terlebih dahulu, persiapan lain di lingkungan SAP dapat terjadi secara paralel.

Diagram alur penerapan untuk solusi Microsoft Sentinel untuk aplikasi SAP, dengan langkah persiapan SAP disorot.

Banyak prosedur dalam artikel ini biasanya dilakukan oleh tim SAP BASIS Anda. Beberapa langkah juga melibatkan tim keamanan Anda.

Penting

Konektor data tanpa agen Microsoft Sentinel untuk SAP saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Prasyarat

  • Jika Anda bekerja dengan konektor data tanpa agen, beberapa langkah dilakukan di Microsoft Azure Sentinel dan mengharuskan solusi diinstal terlebih dahulu.

Mengonfigurasi peran Microsoft Sentinel

Untuk memungkinkan konektor data SAP terhubung ke sistem SAP Anda, Anda harus membuat peran sistem SAP khusus untuk tujuan ini.

Sebaiknya buat peran ini dengan menyebarkan permintaan perubahan (CR) SAP NPLK900271: K900271.NPL | R900271.NPL

Sebarkan CR pada sistem SAP Anda sesuai kebutuhan seperti yang Anda sebarkan CR lainnya. Kami sangat menyarankan agar penyebaran SAP CR dilakukan oleh administrator sistem SAP yang berpengalaman. Untuk informasi selengkapnya, lihat dokumentasi SAP.

Secara bergantian, muat otorisasi peran dari file MSFTSEN_SENTINEL_CONNECTOR , yang mencakup semua izin dasar untuk dioperasikan konektor data.

Administrator SAP berpengalaman mungkin memilih untuk membuat peran secara manual dan menetapkan izin yang sesuai. Dalam kasus seperti itu, buat peran secara manual dengan otorisasi relevan yang diperlukan untuk log yang ingin Anda serap. Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan. Contoh dalam dokumentasi kami menggunakan nama /MSFTSEN/SENTINEL_RESPONDER .

Saat mengonfigurasi peran, kami sarankan Anda:

  • Buat profil peran aktif untuk Microsoft Azure Sentinel dengan menjalankan transaksi PFCG .
  • Gunakan /MSFTSEN/SENTINEL_RESPONDER sebagai nama peran.

Buat peran menggunakan templat MSFTSEN_SENTINEL_READER , yang mencakup semua izin dasar agar konektor data beroperasi.

Untuk informasi selengkapnya, lihat dokumentasi SAP tentang membuat peran.

Buat pengguna

Solusi Microsoft Sentinel untuk aplikasi SAP memerlukan akun pengguna untuk terhubung ke sistem SAP Anda. Saat membuat pengguna Anda:

  • Pastikan untuk membuat pengguna sistem.
  • Tetapkan peran /MSFTSEN/SENTINEL_RESPONDER kepada pengguna, yang telah Anda buat di langkah sebelumnya.
  • Pastikan untuk membuat pengguna sistem.
  • Tetapkan peran MSFTSEN_SENTINEL_READER kepada pengguna, yang akan Anda buat di langkah sebelumnya.

Untuk informasi selengkapnya, lihat dokumentasi SAP.

Mengonfigurasi audit SAP

Beberapa penginstalan sistem SAP mungkin tidak mengaktifkan pengelogan audit secara default. Untuk hasil terbaik dalam mengevaluasi performa dan kemanjuran solusi Microsoft Sentinel untuk aplikasi SAP, aktifkan audit sistem SAP Anda dan konfigurasikan parameter audit. Jika Anda ingin menyerap log SAP Hana DB, pastikan juga mengaktifkan audit untuk SAP Hana DB.

Kami menyarankan agar Anda mengonfigurasi audit untuk semua pesan dari log audit, bukan hanya log tertentu. Perbedaan biaya penyerapan umumnya minimal dan data berguna untuk deteksi Microsoft Azure Sentinel dan dalam penyelidikan dan perburuan pasca-kompromi.

Untuk cakupan pemantauan penuh dengan konektor data tanpa agen, kami sarankan Anda mengaktifkan pemantauan pada semua ID klien sistem SAP yang dipantau, termasuk klien 000 dan 066.

Untuk informasi selengkapnya, lihat komunitas SAP dan Mengumpulkan log audit SAP HANA di Microsoft Sentinel.

Mengonfigurasi sistem Anda untuk menggunakan SNC untuk koneksi aman

Secara default, agen konektor data SAP terhubung ke server SAP menggunakan koneksi panggilan fungsi jarak jauh (RFC) dan nama pengguna dan kata sandi untuk autentikasi.

Namun, Anda mungkin perlu membuat koneksi pada saluran terenkripsi atau menggunakan sertifikat klien untuk autentikasi. Dalam kasus ini, gunakan Smart Network Communications (SNC) dari SAP untuk mengamankan koneksi data Anda, seperti yang dijelaskan di bagian ini.

Dalam lingkungan produksi, kami amat menyarankan agar Anda berkonsultasi dengan administrator SAP untuk membuat strategi implementasi dalam konfigurasi SNC. Untuk informasi selengkapnya, lihat dokumentasi SAP.

Saat mengonfigurasi SNC:

  • Jika sertifikat klien dikeluarkan oleh otoritas sertifikasi perusahaan, transfer sertifikat CA penerbit dan CA akar ke sistem tempat Anda berencana untuk membuat agen konektor data.
  • Jika Anda menggunakan agen konektor data, pastikan juga memasukkan nilai yang relevan dan menggunakan prosedur yang relevan saat mengonfigurasi kontainer agen konektor data SAP. Jika Anda menggunakan konektor data tanpa agen, konfigurasi SNC dilakukan di Konektor Cloud SAP.

Untuk informasi selengkapnya tentang SNC, lihat Mulai menggunakan SAP SNC untuk integrasi RFC - blog SAP.

Meskipun langkah ini bersifat opsional, kami sarankan Anda mengaktifkan konektor data SAP untuk mengambil informasi konten berikut dari sistem SAP Anda:

  • Log Tabel DB dan Output Spool
  • Informasi alamat IP klien dari log audit keamanan

  1. Sebarkan CR yang relevan dari repositori GitHub Microsoft Sentinel, sesuai dengan versi SAP Anda:

    Versi SAP BASIS CR yang Direkomendasikan
    750 dan lebih tinggi NPLK900202: K900202.NPL, R900202.NPL

    Ketika menyebarkan CR ini pada salah satu dari versi SAP berikut, sebarkan juga 2641084 - Akses baca standar ke data Log Audit Keamanan:
    - 750 SP04 ke SP12
    - 751 SP00 ke SP06
    - 752 SP00 ke SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Sebarkan CR pada sistem SAP Anda sesuai kebutuhan seperti yang Anda sebarkan CR lainnya. Kami sangat menyarankan agar penyebaran SAP CR dilakukan oleh administrator sistem SAP yang berpengalaman. Untuk informasi selengkapnya, lihat dokumentasi SAP.

    Untuk informasi selengkapnya, lihat Komunitas SAP dan dokumentasi SAP.

  2. Untuk mendukung SAP BASIS versi 7.31-7.5 SP12 dalam mengirim informasi alamat IP klien ke Microsoft Azure Sentinel, aktifkan pengelogan untuk tabel SAP USR41. Untuk informasi selengkapnya, lihat dokumentasi SAP.

Verifikasi bahwa tabel PAHI diperbarui secara berkala

Tabel SAP PAHI menyertakan data tentang riwayat sistem SAP, database, dan parameter SAP. Dalam beberapa kasus, solusi Microsoft Sentinel untuk aplikasi SAP tidak dapat memantau tabel SAP PAHI secara berkala, karena konfigurasi yang hilang atau rusak. Penting untuk memperbarui tabel PAHI dan untuk memantaunya secara sering, sehingga solusi Microsoft Sentinel untuk aplikasi SAP dapat memperingatkan tindakan mencurigakan yang mungkin terjadi kapan saja sepanjang hari. Untuk informasi selengkapnya, lihat:

Jika tabel PAHI diperbarui secara berkala, pekerjaan dijadwalkan SAP_COLLECTOR_FOR_PERFMONITOR dan dijalankan setiap jam. Jika SAP_COLLECTOR_FOR_PERFMONITOR tugas tersebut tidak ada, pastikan untuk mengonfigurasinya sesuai kebutuhan.

Untuk informasi selengkapnya, lihat Pengumpul Database di Pemrosesan Latar Belakang dan Mengonfigurasi Pengumpul Data.

Mengonfigurasi pengaturan SAP BTP

  1. Di subaccount SAP BTP Anda, tambahkan pemberian izin untuk layanan berikut:

    • SAP Integration Suite
    • Integrasi Proses SAP Runtime
    • Cloud Foundry Runtime

  2. Buat instans Cloud Foundry Runtime, lalu buat juga ruang Cloud Foundry.

  3. Buat instansi SAP Integration Suite.

  4. Berikan peran Integration_Provisioner SAP BTP kepada akun pengguna subaccount SAP BTP Anda.

  5. Di SAP Integration Suite, tambahkan kemampuan integrasi cloud.

  6. Tetapkan peran integrasi proses berikut ke akun pengguna Anda:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Peran ini hanya tersedia setelah Anda mengaktifkan kemampuan integrasi cloud.

  7. Buat instans SAP Process Integration Runtime di subaccount Anda.

  8. Buat kunci layanan untuk SAP Process Integration Runtime dan simpan konten JSON ke lokasi yang aman. Anda harus mengaktifkan kemampuan integrasi cloud sebelum membuat kunci layanan untuk SAP Process Integration Runtime.

Untuk informasi selengkapnya, lihat dokumentasi SAP.

Mengonfigurasi konektor di Microsoft Azure Sentinel dan di sistem SAP Anda

Prosedur ini memiliki langkah-langkah baik di Microsoft Sentinel maupun sistem SAP Anda, dan memerlukan koordinasi dengan administrator SAP.

  1. Di Microsoft Sentinel, buka halaman > dan temukan konektor data Microsoft Sentinel untuk SAP - tanpa agen (Pratinjau).

  2. Di bagian Konfigurasi , perluas dan ikuti instruksi di bagian Konfigurasi konektor awal - Jalankan langkah-langkah di bawah ini sekali: . Langkah-langkah ini akan memerlukan teknisi SecuritySOC dan admin SAP Anda.

    1. Memicu penyebaran otomatis sumber daya Azure (SOC Engineer). Jika, setelah Anda menyebarkan sumber daya Azure, nilai di langkah 2 dan 3 tidak diisi secara otomatis, tutup, dan perluas ulang langkah 1 untuk me-refresh nilai di langkah 2 dan 3.

    2. Terapkan artifak kredensial klien OAuth2 di Integrasi SAP (Admin SAP).

    3. Sebarkan artefak Parameter Aman di Integrasi SAP (Admin SAP) bernama workspaceKey yang berisi kunci ruang kerja Analitik Log yang terlihat di UI konektor data.

    4. Sebarkan paket konektor data tanpa agen SAP ke SAP Integration Suite (Admin SAP).

      1. Unduh paket integrasi dan unggah ke SAP Integration Suite Anda. Untuk informasi selengkapnya, lihat dokumentasi SAP.
      2. Buka paket dan buka tab Artefak . Kemudian pilih konfigurasi Pengumpul Data . Untuk informasi selengkapnya, lihat dokumentasi SAP.
      3. Konfigurasikan alur integrasi dengan LogIngestionURL dan DCRImmutableID.
      4. Sebarkan i-flow menggunakan Integrasi Cloud SAP sebagai layanan runtime.

Jalankan pemeriksa prasyarat

  1. Pemeriksa prasyarat iflow disertakan dalam paket. Sebaiknya jalankan iflow ini sebelum melanjutkan ke langkah berikutnya untuk memastikan bahwa sistem SAP Anda memenuhi prasyarat sistem.

    Untuk menjalankan alat:

    1. Buka paket integrasi, navigasikan ke tab artefak, dan pilih pemeriksa prasyarat iflow >Configure.

    2. Atur tujuan RFC target ke sistem SAP yang ingin Anda periksa.

    3. Sebarkan iflow seperti yang Anda lakukan untuk sistem SAP Anda. Misalnya, gunakan contoh skrip PowerShell berikut, memodifikasi nilai tempat penampung sampel untuk lingkungan Anda:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

    Pastikan bahwa pemeriksa prasyarat berhasil dijalankan sebelum menyambungkan ke Microsoft Azure Sentinel.

  2. Gulir lebih jauh ke bawah di area Konfigurasi , dan perluas dan ikuti instruksi di Tambahkan Sistem SAP yang dipantau - Jalankan langkah-langkah di bawah ini untuk setiap sistem SAP yang dipantau: area untuk setiap sistem SAP yang ingin Anda pantau.

    Ketika Anda sampai ke langkah 2. Sambungkan Sistem SAP ke Microsoft Sentinel / TEKNISI SOC, lanjutkan dengan Sambungkan sistem SAP Anda ke Microsoft Sentinel.

Mengonfigurasi pengaturan Konektor Cloud SAP

  1. Instal Konektor Cloud SAP. Untuk informasi selengkapnya, lihat dokumentasi SAP.

  2. Masuk di antarmuka konektor cloud, dan tambahkan subaccount menggunakan kredensial yang relevan. Untuk informasi selengkapnya, lihat dokumentasi SAP.

  3. Di subakun konektor cloud Anda, tambahkan pemetaan sistem baru ke sistem backend untuk mengaitkan sistem ABAP ke protokol RFC.

  4. Tentukan opsi penyeimbangan beban dan masukkan detail server ABAP backend Anda. Dalam langkah ini, salin nama host virtual ke lokasi aman untuk digunakan nanti dalam proses penyebaran.

  5. Tambahkan sumber daya baru ke pemetaan sistem untuk setiap nama fungsi berikut:

    • RSAU_API_GET_LOG_DATA, untuk mengambil data log audit keamanan SAP

    • BAPI_USER_GET_DETAIL, untuk mengambil detail pengguna SAP

    • RFC_READ_TABLE, untuk membaca data dari tabel yang diperlukan

    • SIAG_ROLE_GET_AUTH, untuk mengambil otorisasi peran keamanan

    • /OSP/SYSTEM_TIMEZONE, untuk mengambil detail zona waktu sistem SAP

  6. Tambahkan tujuan baru di SAP BTP yang mengarahkan host virtual yang telah Anda buat sebelumnya. Gunakan detail berikut untuk mengisi tujuan baru:

    • Nama: Masukkan nama yang ingin Anda gunakan untuk koneksi Microsoft Azure Sentinel

    • JenisRFC

    • Jenis Proksi:On-Premise

    • Pengguna: Masukkan akun pengguna ABAP yang Anda buat sebelumnya untuk Microsoft Azure Sentinel

    • Jenis Otorisasi:CONFIGURED USER

    • Properti tambahan:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Lokasi: Hanya diperlukan saat Anda menyambungkan beberapa Konektor Cloud ke subaccount BTP yang sama. Untuk informasi selengkapnya, lihat Dokumentasi SAP.

Langkah selanjutnya

Menyambungkan sistem SAP Anda ke Microsoft Azure Sentinel