Prasyarat untuk menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
Artikel ini mencantumkan prasyarat yang diperlukan untuk penyebaran solusi Microsoft Sentinel untuk aplikasi SAP®.
Penting
Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Milestone penyebaran
Lacak perjalanan penyebaran solusi SAP Anda melalui serangkaian artikel ini:
Prasyarat penyebaran (Anda di sini)
Bekerja dengan solusi di beberapa ruang kerja (PRATINJAU)
Mengonfigurasi solusi Microsoft Sentinel untuk aplikasi SAP®
Langkah-langkah penyebaran opsional
Tabel prasyarat
Agar berhasil menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP®, Anda harus memenuhi prasyarat berikut:
Prasyarat Azure
Prasyarat | Deskripsi | Diperlukan/opsional |
---|---|---|
Akses ke Microsoft Sentinel | Catat ID ruang kerja Microsoft Sentinel dan kunci primer Anda. Anda dapat menemukan detail ini di Microsoft Sentinel: dari menu navigasi, pilih Setelan>Setelan ruang kerja>Manajemen agen. Salin ID Ruang Kerja dan Kunci primer lalu tempelkan selain untuk digunakan selama proses penyebaran. |
Wajib |
Izin untuk membuat sumber daya Azure | Anda setidaknya harus memiliki izin yang diperlukan untuk menyebarkan solusi dari hub konten Microsoft Sentinel. Untuk informasi selengkapnya, lihat Katalog hub konten Microsoft Sentinel. | Wajib |
Izin untuk membuat brankas kunci Azure atau mengakses yang sudah ada | Gunakan Azure Key Vault untuk menyimpan rahasia yang diperlukan untuk terhubung ke sistem SAP Anda (disarankan saat ini adalah prasyarat yang diperlukan). Untuk informasi selengkapnya, lihat Menetapkan izin akses brankas kunci. | Diperlukan jika Anda berencana untuk menyimpan kredensial sistem SAP di Azure Key Vault. Opsional jika Anda berencana untuk menyimpannya dalam file konfigurasi. Untuk informasi selengkapnya, lihat Membuat komputer virtual dan mengonfigurasi akses ke kredensial Anda. |
Izin untuk menetapkan peran istimewa ke agen konektor data SAP | Menyebarkan agen konektor data SAP mengharuskan Anda memberikan identitas VM agen Anda dengan izin tertentu ke ruang kerja Microsoft Azure Sentinel, menggunakan peran Operator Agen Aplikasi Bisnis Microsoft Sentinel. Untuk memberikan peran ini, Anda memerlukan izin Pemilik pada grup sumber daya tempat ruang kerja Microsoft Azure Sentinel Anda berada. Untuk informasi selengkapnya, lihat Menyebarkan agen konektor data. |
Harus diisi. Jika Anda tidak memiliki izin Pemilik pada grup sumber daya, langkah yang relevan juga dapat dilakukan oleh pengguna lain yang memang memiliki izin yang relevan, secara terpisah setelah agen sepenuhnya disebarkan. |
Prasyarat sistem
Prasyarat | Deskripsi |
---|---|
Arsitektur sistem | Komponen konektor data Solusi SAP disebarkan sebagai kontainer Docker, dan setiap klien SAP memerlukan instans kontainernya sendiri. Host kontainer dapat berupa mesin fisik atau mesin virtual, dapat ditemukan baik di lokal atau di cloud. VM yang menghosting kontainer tidak harus berada di langganan Azure yang sama dengan ruang kerja Microsoft Azure Sentinel Anda, atau bahkan di penyewa Microsoft Entra yang sama. |
Rekomendasi penentuan ukuran mesin virtual | Spesifikasi minimum, seperti untuk lingkungan lab: VM Standard_B2s, dengan: - Dua inti - RAM 4 GB Konektor standar (default): VM Standard_D2as_v5 atau Standard_D2_v5 VM, dengan: - Dua inti - RAM 8 GB Beberapa konektor: Standard_D4as_v5 atau Standard_D4_v5 VM, dengan: - Empat core - RAM 16 GB |
Hak istimewa administratif | Hak istimewa administratif (akar) diperlukan pada mesin host kontainer. |
Versi Linux yang didukung | Agen konektor data SAP diuji dengan distribusi Linux berikut: - Ubuntu 18.04 atau yang lebih baru - SLES versi 15 atau yang lebih baru - RHEL versi 7.7 atau yang lebih baru Jika Anda memiliki sistem operasi yang berbeda, Anda mungkin perlu menyebarkan dan mengonfigurasi kontainer secara manual. Untuk informasi selengkapnya, buka tiket dukungan. |
Konektivitas jaringan | Pastikan host kontainer memiliki akses ke: Microsoft Sentinel- - Brankas kunci Azure (dalam skenario penyebaran saat brankas kunci Azure digunakan untuk menyimpan rahasia - Sistem SAP melalui port TCP berikut: 32xx, 5xx13, 33xx, 48xx (jika SNC digunakan), dengan keterangan xx adalah nomor instans SAP. |
Utilitas perangkat lunak | Skrip penyebaran konektor data SAP menginstal perangkat lunak yang diperlukan berikut pada VM host kontainer (tergantung pada distribusi Linux yang digunakan, daftar mungkin sedikit berbeda): - Unzip - NetCat - Docker - jq - curl |
Identitas terkelola atau perwakilan layanan | Versi terbaru agen konektor data SAP memerlukan identitas terkelola atau perwakilan layanan untuk mengautentikasi ke Microsoft Azure Sentinel. Agen warisan didukung untuk pembaruan ke versi terbaru, lalu harus menggunakan identitas terkelola atau perwakilan layanan untuk terus memperbarui ke versi berikutnya. |
Prasyarat SAP
Prasyarat | Deskripsi |
---|---|
Versi SAP yang didukung | Agen konektor data SAP mendukung sistem SAP NetWeaver dan diuji pada SAP_BASIS versi 731 ke atas. Langkah-langkah tertentu dalam tutorial ini berisi petunjuk alternatif jika Anda sedang bekerja di SAP_BASIS versi 740 yang lebih lama. |
Perangkat lunak yang diperlukan | SAP NetWeaver RFC SDK 7.50 (Unduh di sini) Pastikan Anda juga memiliki akun pengguna SAP untuk mengakses halaman unduhan perangkat lunak SAP. |
Detail sistem SAP | Catat detail sistem SAP berikut untuk digunakan dalam tutorial ini: - Alamat IP sistem SAP dan nama host FQDN - Nomor sistem SAP, seperti 00 - ID Sistem SAP, dari sistem SAP NetWeaver (misalnya, NPL ) - ID klien SAP, seperti 001 |
Akses instans SAP NetWeaver | Agen konektor data SAP menggunakan salah satu mekanisme berikut untuk mengautentikasi ke sistem SAP: Pengguna/kata sandi ABAP SAP - Pengguna dengan sertifikat X.509 (Opsi ini memerlukan langkah-langkah konfigurasi tambahan) |
Langkah-langkah validasi lingkungan SAP
Catatan
Petunjuk langkah demi langkah untuk menyebarkan CR dan menetapkan peran yang diperlukan tersedia di panduan Menyebarkan CR SAP dan mengonfigurasi otorisasi. Tentukan CR mana yang perlu disebarkan, ambil CR yang relevan dari tautan dalam tabel di bawah ini, dan lanjutkan ke panduan langkah demi langkah.
Membuat dan mengonfigurasi peran (diperlukan)
Untuk mengizinkan konektor data SAP tersambung ke sistem SAP, Anda harus membuat peran. Buat peran dengan memuat otorisasi peran dari file /MSFTSEN/SENTINEL_RESPONDER .
Peran /MSFTSEN/SENTINEL_RESPONDER mencakup tindakan respons pengambilan log dan gangguan serangan. Untuk mengaktifkan hanya pengambilan log, tanpa tindakan respons gangguan serangan, sebarkan SAP NPLK900271 CR pada sistem SAP, atau muat otorisasi peran dari file MSFTSEN_SENTINEL_CONNECTOR. Peran /MSFTSEN/SENTINEL_CONNECTOR yang memiliki semua izin dasar bagi konektor data untuk beroperasi.
Versi SAP BASIS | CR sampel |
---|---|
Semua versi | NPLK900271: K900271.NPL, R900271.NPL |
Administrator SAP berpengalaman mungkin memilih untuk membuat peran secara manual dan menetapkan izin yang sesuai. Dalam kasus seperti itu, pastikan untuk mengikuti otorisasi yang direkomendasikan untuk setiap log. Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan.
Mengambil informasi tambahan dari SAP (opsional)
Anda dapat menyebarkan CR tambahan dari repositori GitHub Microsoft Sentinel untuk mengaktifkan konektor data SAP untuk mengambil informasi tertentu dari sistem SAP Anda.
- SAP BASIS 7.5 SP12 ke atas: Informasi Alamat IP Klien dari log audit keamanan
- Versi SAP BASIS APA PUN: Log Tabel DB, log Output Spool
Versi SAP BASIS | CR yang direkomendasikan | Catatan |
---|---|---|
- 750 dan yang lebih baru | NPLK900202: K900202.NPL, R900202.NPL | Sebarkan catatan SAP yang relevan. |
- 740 | NPLK900201: K900201.NPL, R900201.NPL |
Menyebarkan catatan SAP (opsional)
Jika Anda memilih untuk mengambil informasi tambahan dengan CR opsional NPLK900202, pastikan bahwa catatan SAP berikut disebarkan dalam sistem SAP Anda, sesuai dengan versinya:
Versi SAP BASIS | Catatan |
---|---|
- 750 SP04 ke SP12 - 751 SP00 ke SP06 - 752 SP00 ke SP02 |
2641084 - Akses baca standar ke data Log Audit Keamanan* |
Langkah berikutnya
Setelah memverifikasi bahwa semua prasyarat terpenuhi, lanjutkan ke langkah berikutnya untuk menyebarkan CR yang diperlukan ke sistem SAP Anda dan mengonfigurasi otorisasi.