Microsoft Sentinel soluzione per le applicazioni SAP: Panoramica della distribuzione

Usare la soluzione Microsoft Sentinel per le applicazioni SAP per monitorare i sistemi SAP con Microsoft Sentinel, rilevando minacce sofisticate in tutta la logica di business e i livelli di applicazione delle applicazioni SAP.

Questo articolo presenta la soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP.

Componenti della soluzione

La soluzione Microsoft Sentinel per le applicazioni SAP include un connettore dati, che raccoglie i log dai sistemi SAP e li invia all'area di lavoro Microsoft Sentinel e contenuti di sicurezza predefiniti, che consentono di ottenere informazioni dettagliate sull'ambiente SAP dell'organizzazione e di rilevare e rispondere alle minacce alla sicurezza.

Connettore dati

La soluzione Microsoft Sentinel per le applicazioni SAP supporta sia un connettore dati senza agente che un agente connettore dati in contenitori. Entrambi gli agenti raccolgono i log delle applicazioni per tutti i SID SAP caricati dall'intero panorama del sistema SAP e quindi inviano tali log all'area di lavoro Log Analytics in Microsoft Sentinel.

Importante

L'agente del connettore dati per SAP è deprecato e verrà disabilitato definitivamente entro il 14 settembre 2026. È consigliabile eseguire la migrazione al connettore dati senza agente. Altre informazioni sull'approccio senza agente sono disponibili nel post di blog.

Selezionare una delle schede seguenti per altre informazioni:

Connettore dati senza agente

Il connettore dati senza agente Microsoft Sentinel per SAP usa SAP Cloud Connector e SAP Integration Suite per connettersi al sistema SAP ed eseguire il pull dei log da esso, come illustrato nell'immagine seguente:

Usando SAP Cloud Connector, il connettore dati senza agente trae profitto dalle configurazioni già esistenti e dai processi di integrazione stabiliti. Ciò significa che non è necessario affrontare di nuovo le sfide di rete, perché le persone che eseguono SAP Cloud Connector hanno già eseguito questo processo.

Il connettore dati senza agente è compatibile con i sistemi basati su SAP NetWeaver. Tra questi SAP S/4HANA Cloud, Private Edition (RISE con SAP), SAP S/4HANA locale, SAP ERP Central Component (ECC), SAP Business Warehouse (BW) e altro ancora, garantendo funzionalità continue del contenuto di sicurezza esistente, inclusi rilevamenti, cartelle di lavoro e playbook.

Il connettore dati senza agente inserisce log di sicurezza critici, ad esempio il log di controllo della sicurezza, i log della documentazione delle modifiche e i dati master degli utenti, inclusi i ruoli utente e le autorizzazioni.

Agente connettore dati in contenitori (deprecato)

Ad esempio, l'immagine seguente mostra un panorama SAP multi-SID con una suddivisione tra sistemi di produzione e non di produzione, tra cui SAP Business Technology Platform. Tutti i sistemi in questa immagine vengono caricati in Microsoft Sentinel per la soluzione SAP.

L'agente si connette al sistema SAP per eseguire il pull dei log e di altri dati, quindi invia tali log all'area di lavoro Microsoft Sentinel. A tale scopo, l'agente deve eseguire l'autenticazione nel sistema SAP usando un utente e un ruolo creati appositamente per questo scopo.

Microsoft Sentinel supporta alcune opzioni per archiviare le informazioni di configurazione dell'agente, inclusa la configurazione per i segreti di autenticazione SAP. La decisione su quale opzione può dipendere dalla posizione in cui si distribuisce la macchina virtuale e dal meccanismo di autenticazione SAP usato. Le opzioni supportate sono le seguenti, elencate in ordine di preferenza:

• Un Azure Key Vault accessibile tramite un'identità gestita assegnata dal sistema Azure
• Un Azure Key Vault accessibile tramite un'entità servizio di applicazione registrata Microsoft Entra ID
• Un file di configurazione in testo non crittografato

È anche possibile eseguire l'autenticazione usando i certificati SNC (Secure Network Communication) e X.509 di SAP. Sebbene l'uso di SNC offra un livello di sicurezza di autenticazione superiore, potrebbe non essere pratico per tutti gli scenari.

Contenuto di sicurezza

Le soluzioni Microsoft Sentinel per le applicazioni SAP includono i tipi di contenuto di sicurezza seguenti che consentono di ottenere informazioni dettagliate sull'ambiente SAP dell'organizzazione e di rilevare e rispondere alle minacce alla sicurezza:

• Regole di analisi e watchlist per il rilevamento delle minacce.
• Funzioni per un facile accesso ai dati.
• Cartelle di lavoro per creare una visualizzazione interattiva dei dati.
• Watchlist per la personalizzazione dei parametri predefiniti della soluzione.
• Playbook che è possibile usare per automatizzare le risposte alle minacce.

Per altre informazioni, vedere Microsoft Sentinel soluzione per le applicazioni SAP: informazioni di riferimento sul contenuto di sicurezza.

Flusso di distribuzione e persone

La distribuzione delle soluzioni Microsoft Sentinel per le applicazioni SAP prevede diversi passaggi e richiede la collaborazione tra più team, a seconda che si usi il connettore dati senza agente o un agente del connettore dati. Selezionare una delle schede seguenti per altre informazioni:

Connettore dati senza agente

La distribuzione delle soluzioni Microsoft Sentinel per le applicazioni SAP prevede diversi passaggi e richiede la collaborazione tra i team di sicurezza e SAP BASIS. L'immagine seguente illustra i passaggi per la distribuzione delle soluzioni Microsoft Sentinel per le applicazioni SAP, con i team pertinenti indicati:

È consigliabile coinvolgere entrambi i team durante la pianificazione della distribuzione per garantire che lo sforzo venga allocato e che la distribuzione possa muoversi senza problemi.

I passaggi di distribuzione includono:

1. Esaminare i prerequisiti per la distribuzione del connettore dati senza agente SAP.

2. Distribuire la soluzione delle applicazioni SAP dall'hub del contenuto. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.

3. Configurare il sistema SAP per la soluzione Microsoft Sentinel, inclusa la configurazione delle autorizzazioni SAP, la configurazione del controllo SAP e altro ancora. È consigliabile che questi passaggi vengano eseguiti dal team SAP BASIS e che la documentazione includa riferimenti alla documentazione SAP. Alcune delle procedure in questo passaggio possono essere eseguite dal team SAP BASIS prima di installare la soluzione.

4. Connettere il sistema SAP usando un connettore dati senza agente con SAP Cloud Connector. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure, usando le informazioni fornite dal team SAP BASIS.

5. Abilitare i rilevamenti SAP e la protezione dalle minacce. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.

Agente connettore dati in contenitori

La distribuzione delle soluzioni Microsoft Sentinel per le applicazioni SAP prevede diversi passaggi e richiede la collaborazione tra più team, inclusi i team di sicurezza, infrastruttura e SAP BASIS. L'immagine seguente illustra i passaggi per la distribuzione delle soluzioni Microsoft Sentinel per le applicazioni SAP, con i team pertinenti indicati:

È consigliabile coinvolgere tutti i team pertinenti durante la pianificazione della distribuzione per garantire che lo sforzo venga allocato e che la distribuzione possa muoversi senza problemi.

I passaggi di distribuzione includono:

1. Esaminare i prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP. Alcuni prerequisiti richiedono il coordinamento con l'infrastruttura o i team SAP BASIS.

2. I passaggi seguenti possono essere eseguiti in parallelo perché coinvolgono team separati e non dipendono l'uno dall'altro:

   1. Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub del contenuto. Assicurarsi di installare la soluzione corretta per l'ambiente. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.

   2. Configurare il sistema SAP per la soluzione Microsoft Sentinel, inclusa la configurazione delle autorizzazioni SAP, la configurazione del controllo SAP e altro ancora. È consigliabile che questi passaggi vengano eseguiti dal team SAP BASIS e che la documentazione includa riferimenti alla documentazione SAP. Alcuni passaggi vengono eseguiti anche dal team di sicurezza.

3. Connettere il sistema SAP distribuendo un agente del connettore dati in contenitori. Questo passaggio richiede il coordinamento tra i team di sicurezza, infrastruttura e SAP BASIS.

4. Abilitare i rilevamenti SAP e la protezione dalle minacce. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.

Le opzioni aggiuntive includono:

• Raccogliere i log di controllo di SAP HANA
• Distribuire manualmente un agente connettore dati SAP

Arrestare la raccolta di dati SAP

Se si usa l'agente del connettore dati e si deve arrestare Microsoft Sentinel dalla raccolta dei dati SAP, arrestare l'inserimento del log e disabilitare il connettore. Rimuovere quindi il ruolo utente aggiuntivo e tutti i CRs facoltativi installati nel sistema SAP.

Per altre informazioni, vedere Arrestare la raccolta di dati SAP.

Contenuto correlato

Per altre informazioni, vedere:

• Informazioni sul contenuto e sulle soluzioni Microsoft Sentinel.
• Monitorare l'integrità e il ruolo dei sistemi SAP
• Aggiornare l'agente del connettore dati SAP di Microsoft Sentinel

Passaggio successivo

Iniziare la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP esaminando i prerequisiti:

Prerequisiti