Configurare il sistema SAP per la soluzione Microsoft Sentinel
Questo articolo descrive come preparare l'ambiente SAP per la connessione all'agente di SAP Data Connector. La preparazione include la configurazione delle autorizzazioni SAP necessarie e, facoltativamente, la distribuzione di richieste di modifica SAP aggiuntive.
Questo articolo fa parte del secondo passaggio della distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.
Le procedure descritte in questo articolo vengono in genere eseguite dal team SAP BASIS .
Prerequisiti
- Prima di iniziare, assicurarsi di esaminare i prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.
Configurare il ruolo di Microsoft Sentinel
Per consentire al connettore dati SAP di connettersi al sistema SAP, è necessario creare un ruolo del sistema SAP in modo specifico per questo scopo.
Per includere le azioni di risposta al recupero dei log e all'interruzione degli attacchi, è consigliabile creare questo ruolo caricando le autorizzazioni del ruolo dal file /MSFTSEN/SENTINEL_RESPONDER.
Per includere solo il recupero dei log, è consigliabile creare questo ruolo distribuendo la NPLK900271 richiesta di modifica SAP (CR): K900271.NPL | R900271. NPL
Distribuire le richieste pull nel sistema SAP in base alle esigenze proprio come si distribuiscono altre richieste pull. È consigliabile distribuire CR SAP tramite un amministratore di sistema SAP esperto. Per altre informazioni, vedere la documentazione di SAP.
In alternativa, caricare le autorizzazioni del ruolo dal file di MSFTSEN_SENTINEL_CONNECTOR , che include tutte le autorizzazioni di base per il connettore dati da usare.
Gli amministratori SAP esperti possono scegliere di creare manualmente il ruolo e assegnargli le autorizzazioni appropriate. In questi casi, creare un ruolo manualmente con le autorizzazioni pertinenti necessarie per i log da inserire. Per altre informazioni, vedere Autorizzazioni ABAP necessarie. Gli esempi nella documentazione usano il nome /MSFTSEN/SENTINEL_RESPONDER .
Quando si configura il ruolo, è consigliabile:
- Generare un profilo di ruolo attivo per Microsoft Sentinel eseguendo la transazione PFCG .
- Usare
/MSFTSEN/SENTINEL_RESPONDERcome nome del ruolo.
Per altre informazioni, vedere la documentazione sap sulla creazione di ruoli.
Creare un utente
La soluzione Microsoft Sentinel per le applicazioni SAP richiede un account utente per connettersi al sistema SAP. Quando si crea l'utente:
- Assicurarsi di creare un utente di sistema.
- Assegnare il ruolo /MSFTSEN/SENTINEL_RESPONDER all'utente, creato nel passaggio precedente.
Per altre informazioni, vedere la documentazione di SAP.
Configurare il controllo SAP
Alcune installazioni di sistemi SAP potrebbero non avere la registrazione di controllo abilitata per impostazione predefinita. Per ottenere risultati ottimali nella valutazione delle prestazioni e dell'efficacia della soluzione Microsoft Sentinel per le applicazioni SAP, abilitare il controllo del sistema SAP e configurare i parametri di controllo. Per inserire i log del database SAP HANA, assicurarsi di abilitare anche il controllo per il database SAP HANA.
È consigliabile configurare il controllo per tutti i messaggi del log di controllo, in quanto questi dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca post-compromissione.
Per altre informazioni, vedere la community SAP e Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel.
Configurare il supporto per il recupero dati aggiuntivo (scelta consigliata)
Anche se questo passaggio è facoltativo, è consigliabile distribuire record CR aggiuntivi dal repository GitHub di Microsoft Sentinel per consentire al connettore dati SAP di recuperare le informazioni sul contenuto seguenti dal sistema SAP:
- Log di output della tabella e del pool di database
- Informazioni sull'indirizzo IP client dai log di controllo della sicurezza (solo SAP BASIS versione 7.5 SP12 e successive)
Distribuire le richieste pull pertinenti in base alla versione SAP:
| Versioni di SAP BASIS | CR consigliato |
|---|---|
| 750 e superiori | NPLK900202: K900202.NPL, R900202.NPL Quando si distribuisce questo cr una delle versioni SAP seguenti, distribuire anche 2641084 - Accesso in lettura standardizzato ai dati del log di controllo della sicurezza: - Da 750 SP04 a SP12 - Da 751 SP00 a SP06 - Da 752 SP00 a SP02 |
| 740 | NPLK900201: K900201.NPL, R900201.NPL |
Distribuire le richieste pull nel sistema SAP in base alle esigenze proprio come si distribuiscono altre richieste pull. È consigliabile distribuire CR SAP tramite un amministratore di sistema SAP esperto. Per altre informazioni, vedere la documentazione di SAP.
Per altre informazioni, vedere la community SAP e la documentazione di SAP.
Verificare che la tabella PAHI venga aggiornata a intervalli regolari
La tabella SAP PAHI include dati sulla cronologia del sistema SAP, del database e dei parametri SAP. In alcuni casi, la soluzione Microsoft Sentinel per le applicazioni SAP non può monitorare la tabella SAP PAHI a intervalli regolari, a causa di una configurazione mancante o difettosa. È importante aggiornare la tabella PAHI e monitorarla frequentemente, in modo che la soluzione Microsoft Sentinel per le applicazioni SAP possa avvisare su azioni sospette che possono verificarsi in qualsiasi momento durante il giorno. Per altre informazioni, vedi:
Se la tabella PAHI viene aggiornata regolarmente, il SAP_COLLECTOR_FOR_PERFMONITOR processo viene pianificato ed eseguito ogni ora. Se il SAP_COLLECTOR_FOR_PERFMONITOR processo non esiste, assicurarsi di configurarlo in base alle esigenze.
Per altre informazioni, vedere Agente di raccolta database in elaborazione in background e Configurazione dell'agente di raccolta dati.
Configurare il sistema per l'uso di SNC per connessioni sicure
Per impostazione predefinita, l'agente del connettore dati SAP si connette a un server SAP usando una connessione RFC (Remote Function Call) e un nome utente e una password per l'autenticazione.
Potrebbe tuttavia essere necessario stabilire la connessione in un canale crittografato o usare i certificati client per l'autenticazione. In questi casi, usare Smart Network Communications (SNC) da SAP per proteggere le connessioni dati, come descritto in questa sezione.
In un ambiente di produzione è consigliabile rivolgersi agli amministratori SAP per creare un piano di distribuzione per la configurazione di SNC. Per altre informazioni, vedere la documentazione di SAP.
Quando si configura SNC:
- Se il certificato client è stato emesso da un'autorità di certificazione dell'organizzazione, trasferire i certificati ca e ca radice emittente al sistema in cui si prevede di creare l'agente del connettore dati.
- Assicurarsi di immettere anche i valori pertinenti e di usare le procedure pertinenti durante la configurazione del contenitore dell'agente del connettore dati SAP.