Condividi tramite


Configurare il sistema SAP per la soluzione Microsoft Sentinel

Questo articolo descrive come preparare l'ambiente SAP per la connessione al connettore dati SAP. La preparazione varia a seconda se si usa l'agente del connettore dati in contenitori. Selezionare l'opzione nella parte superiore della pagina corrispondente all'ambiente.

Questo articolo fa parte del secondo passaggio della distribuzione delle applicazioni della soluzione Microsoft Sentinel per SAP.

Diagramma del flusso di distribuzione per le applicazioni della soluzione Microsoft Sentinel per SAP, con il passaggio di preparazione di SAP evidenziato.

Le procedure descritte in questo articolo vengono in genere eseguite dal team SAP BASIS.

Questo articolo fa parte del secondo passaggio della distribuzione delle applicazioni della soluzione Microsoft Sentinel per SAP. Anche se i passaggi eseguiti in Microsoft Sentinel richiedono che la soluzione venga installata per prima, altre operazioni di preparazione nell'ambiente SAP possono verificarsi in parallelo.

Diagramma del flusso di distribuzione per le applicazioni della soluzione Microsoft Sentinel per SAP, con il passaggio di preparazione di SAP evidenziato.

Molte delle procedure descritte in questo articolo vengono in genere eseguite dal team SAP BASIS . Alcuni passaggi coinvolgono anche il team di sicurezza.

Importante

Il connettore dati senza agente di Microsoft Sentinel per SAP è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Prerequisiti

  • Se si usa il connettore dati senza agente, alcuni passaggi vengono eseguiti in Microsoft Sentinel e richiedono prima di tutto l'installazione della soluzione.

Configurare il ruolo di Microsoft Sentinel

Per consentire al connettore dati SAP di connettersi al sistema SAP, è necessario creare un ruolo del sistema SAP appositamente per questo scopo.

È consigliabile creare questo ruolo distribuendo la richiesta di modifica SAP NPLK900271 (CR): K900271.NPL | R900271.NPL

Distribuire le richieste pull nel sistema SAP in base alle esigenze, proprio come si distribuiscono altre richieste pull. È consigliabile distribuire CR SAP tramite un amministratore di sistema SAP esperto. Per altre informazioni, vedere la documentazione di SAP.

In alternativa, caricare le autorizzazioni del ruolo dal file MSFTSEN_SENTINEL_CONNECTOR, che include tutte le autorizzazioni di base per il connettore dati da usare.

Gli amministratori SAP esperti possono scegliere di creare manualmente il ruolo e assegnargli le autorizzazioni appropriate. In questi casi, creare un ruolo manualmente con le autorizzazioni pertinenti necessarie per i log da inserire. Per altre informazioni, vedere Autorizzazioni ABAP necessarie. Gli esempi nella documentazione usano il nome /MSFTSEN/SENTINEL_RESPONDER.

Quando si configura il ruolo, è consigliabile:

  • Generare un profilo di ruolo attivo per Microsoft Sentinel eseguendo la transazione PFCG.
  • Usare /MSFTSEN/SENTINEL_RESPONDER come nome del ruolo.

Creare un ruolo usando il modello MSFTSEN_SENTINEL_READER, che include tutte le autorizzazioni di base per il funzionamento del connettore dati.

Per altre informazioni, vedere la documentazione di SAP sulla creazione di ruoli.

Creare un utente

Le applicazioni della soluzione Microsoft Sentinel SAP richiedono un account utente per connettersi al sistema SAP. Quando si crea l'utente:

  • Assicurarsi di creare un utente di sistema.
  • Assegnare il ruolo /MSFTSEN/SENTINEL_RESPONDER all'utente, creato nel passaggio precedente.
  • Assicurarsi di creare un utente di sistema.
  • Assegnare il ruolo MSFTSEN_SENTINEL_READER all'utente, creato nel passaggio precedente.

Per altre informazioni, vedere la documentazione di SAP.

Configurare il controllo SAP

Alcune installazioni di sistemi SAP potrebbero non avere la registrazione di controllo abilitata per impostazione predefinita. Per ottenere risultati ottimali nella valutazione delle prestazioni e dell'efficacia delle applicazioni della soluzione Microsoft Sentinel SAP, abilitare il controllo del sistema SAP e configurare i parametri di controllo. Per inserire i log del database SAP HANA, assicurarsi di abilitare anche il controllo per il database SAP HANA.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze nei costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca successive alla compromissione.

Per la copertura completa del monitoraggio con il connettore dati senza agente, è consigliabile abilitare il monitoraggio su tutti gli ID client dei sistemi SAP monitorati, inclusi i client 000 e 066.

Per altre informazioni, vedere la community SAP e Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel.

Configurare il sistema per l'uso di SNC per connessioni sicure

Per impostazione predefinita, l'agente del connettore dati SAP si connette a un server SAP usando una connessione RFC (Remote Function Call) e un nome utente e una password per l'autenticazione.

Potrebbe tuttavia essere necessario stabilire la connessione in un canale crittografato o usare i certificati client per l'autenticazione. In questi casi, usare Smart Network Communications (SNC) da SAP per proteggere le connessioni dati, come descritto in questa sezione.

In un ambiente di produzione, si raccomanda consultare gli amministratori SAP per creare un piano di distribuzione per la configurazione di SNC. Per altre informazioni, vedere la documentazione di SAP.

Quando si configura SNC:

  • Se il certificato client è stato emesso da un'autorità di certificazione dell'organizzazione, trasferire i certificati CA emittente e CA radice al sistema in cui si prevede di creare l'agente del connettore dati.
  • Se si usa l'agente del connettore dati, assicurarsi di immettere anche i valori pertinenti e di usare le procedure pertinenti durante la configurazione del contenitore dell'agente del connettore dati SAP. Se si usa il connettore dati senza agente, la configurazione SNC viene eseguita in SAP Cloud Connector.

Per altre informazioni su SNC, vedere Introduzione a SAP SNC per integrazioni RFC - Blog di SAP.

Anche se questo passaggio è facoltativo, è consigliabile abilitare il connettore dati SAP per recuperare le informazioni sul contenuto seguenti dal sistema SAP:

  • Log Tabella DB e Output spool
  • Informazioni sull'indirizzo IP del client dai log di controllo della sicurezza
  1. Distribuire i CR pertinenti dal repository GitHub di Microsoft Sentinel, in base alla versione SAP:

    Versioni di SAP BASIS CR consigliato
    750 e superiori NPLK900202: K900202.NPL, R900202.NPL

    Quando si distribuisce questo CR una delle versioni SAP seguenti, distribuire anche 2641084 - Accesso in lettura standardizzato ai dati del log di controllo della sicurezza:
    - Da 750 SP04 a SP12
    - Da 751 SP00 a SP06
    - Da 752 SP00 a SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Distribuire le richieste pull nel sistema SAP in base alle esigenze, proprio come si distribuiscono altre richieste pull. È consigliabile distribuire CR SAP tramite un amministratore di sistema SAP esperto. Per altre informazioni, vedere la documentazione di SAP.

    Per altre informazioni, vedere la community SAP e la documentazione di SAP.

  2. Per il supporto di SAP BASIS versioni 7.31-7.5 SP12 nell'invio di informazioni sull'indirizzo IP client a Microsoft Sentinel, attivare la registrazione per la tabella SAP USR41. Per altre informazioni, vedere la documentazione di SAP.

Verificare che la tabella PAHI venga aggiornata a intervalli regolari

La tabella SAP PAHI include dati sulla cronologia del sistema SAP, del database e dei parametri SAP. In alcuni casi, le applicazioni della soluzione Microsoft Sentinel per SAP non possono monitorare la tabella SAP PAHI a intervalli regolari, a causa di una configurazione mancante o difettosa. È importante aggiornare la tabella PAHI e monitorarla frequentemente, in modo che le applicazioni della soluzione Microsoft Sentinel per SAP possa avvisare su azioni sospette che possono verificarsi in qualsiasi momento durante il giorno. Per altre informazioni, vedere:

Se la tabella PAHI viene aggiornata regolarmente, il processo SAP_COLLECTOR_FOR_PERFMONITOR viene pianificato ed eseguito ogni ora. Se il processo SAP_COLLECTOR_FOR_PERFMONITOR non esiste, assicurarsi di configurarlo in base alle esigenze.

Per altre informazioni, vedere Agente di raccolta database in elaborazione in background e Configurazione dell'agente di raccolta dati.

Configurare le impostazioni di SAP BTP

  1. Nell'account secondario SAP BTP, aggiungere diritti per i servizi seguenti:

    • SAP Integration Suite
    • Runtime di Integrazione dei Processi SAP
    • Runtime Cloud Foundry
  2. Creare un'istanza del runtime Cloud Foundry e quindi creare anche uno spazio Cloud Foundry.

  3. Creare un'istanza di SAP Integration Suite.

  4. Assegnare il ruolo di Integration_Provisioner SAP BTP all'account utente dell'account secondario SAP BTP.

  5. In SAP Integration Suite, aggiungere la funzionalità di integrazione cloud.

  6. Assegnare i ruoli di integrazione del processo seguenti all'account utente:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Questi ruoli sono disponibili solo dopo aver attivato la funzionalità di integrazione cloud.

  7. Creare un'istanza del runtime di integrazione del processo SAP nell'account secondario.

  8. Creare una chiave di servizio per il runtime di SAP Process Integrations salvare il contenuto JSON in una posizione sicura. È necessario attivare la funzionalità di integrazione cloud prima di creare una chiave di servizio per il runtime di SAP Process Integration.

Per altre informazioni, vedere la documentazione di SAP.

Configurare il connettore in Microsoft Sentinel e nel sistema SAP

Questa procedura prevede passaggi sia in Microsoft Sentinel che nel sistema SAP e richiede il coordinamento con l'amministratore SAP.

  1. In Microsoft Sentinel passare alla pagina Connettori dati di configurazione > e individuare il connettore dati Microsoft Sentinel per SAP - senza agente (anteprima).

  2. Nella sezione Configurazione espandere e seguire le istruzioni riportate nella sezione Configurazione iniziale del connettore - Eseguire la procedura seguente una volta: . Questi passaggi richiederanno sia il tecnico SecuritySOC che l'amministratore SAP.

    1. Attivare la distribuzione automatica delle risorse di Azure (SOC Engineer). Se, dopo aver distribuito le risorse di Azure, i valori nei passaggi 2 e 3 non vengono popolati automaticamente, chiudere e espandere di nuovo il passaggio 1 per aggiornare i valori nei passaggi 2 e 3.

    2. Distribuire un artefatto di credenziali client OAuth2 nell'integrazione SAP (amministratore SAP).

    3. Distribuire un elemento Secure Parameter in SAP Integration (SAP Admin) denominato workspaceKey contenente la chiave dell'area di lavoro Log Analytics visibile nell'interfaccia utente del connettore dati.

    4. Distribuire il pacchetto SAP Agentless Data Connector nella SAP Integration Suite (Amministrazione SAP).

      1. Scaricare il pacchetto di integrazione e caricarlo in SAP Integration Suite. Per altre informazioni, vedere la documentazione di SAP.
      2. Aprire il pacchetto e passare alla scheda Artefatti . Selezionare quindi la configurazione dell'agente di raccolta dati . Per altre informazioni, vedere la documentazione di SAP.
      3. Configurare il flusso di integrazione con LogIngestionURL e DCRImmutableID.
      4. Distribuire il flusso I-Flow usando SAP Cloud Integration come servizio di runtime.

Eseguire il controllo dei prerequisiti

  1. Nel pacchetto è incluso il controllo dei prerequisiti iflow. È consigliabile eseguire questo flusso di dati prima di continuare con il passaggio successivo per assicurarsi che il sistema SAP soddisfi i prerequisiti di sistema.

    Per eseguire lo strumento:

    1. Aprire il pacchetto di integrazione, passare alla scheda artefatti e selezionare l'opzione Controllo prerequisiti iflow >Configura.

    2. Impostare la destinazione RFC sul sistema SAP da controllare.

    3. Distribuire l'iflow come altrimenti si farebbe per i sistemi SAP. Ad esempio, usare lo script di PowerShell dell'esempio seguente, modificando i valori segnaposto di esempio per l'ambiente:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

    Assicurarsi che il controllo dei prerequisiti venga eseguito correttamente prima di connettersi a Microsoft Sentinel.

  2. Scorrere più verso il basso nell'area Configurazione ed espandere e seguire le istruzioni riportate in Aggiungere sistemi SAP monitorati - Eseguire i passaggi seguenti per ogni sistema SAP monitorato: area per ogni sistema SAP da monitorare.

    Quando si arriva al passaggio 2. Connettere il sistema SAP a Microsoft Sentinel o al tecnico SOC, continuare con Connettere il sistema SAP a Microsoft Sentinel.

Configurare le impostazioni di SAP Cloud Connector

  1. Installare SAP Cloud Connector. Per altre informazioni, vedere la documentazione di SAP.

  2. Accedere all'interfaccia del connettore cloud e aggiungere l'account secondario usando le credenziali pertinenti. Per altre informazioni, vedere la documentazione di SAP.

  3. Nell'account secondario del connettore cloud, aggiungere un nuovo mapping di sistema al sistema back-end per eseguire il mapping del sistema ABAP al protocollo RFC.

  4. Definire le opzioni di bilanciamento del carico e immettere i dettagli del server ABAP back-end. In questo passaggio, copiare il nome dell'host virtuale in un percorso sicuro da usare più avanti nel processo di distribuzione.

  5. Aggiungere nuove risorse al mapping di sistema per ognuno dei nomi di funzione seguenti:

    • RSAU_API_GET_LOG_DATA per recuperare i dati del log di controllo della sicurezza SAP

    • BAPI_USER_GET_DETAIL per recuperare i dettagli utente SAP

    • RFC_READ_TABLE per leggere i dati dalle tabelle richieste

    • SIAG_ROLE_GET_AUTH per recuperare le autorizzazioni del ruolo di sicurezza

    • /OSP/SYSTEM_TIMEZONE per recuperare i dettagli del fuso orario del sistema SAP

  6. Aggiungere una nuova destinazione in SAP BTP che punta all'host virtuale creato in precedenza. Usare i dettagli seguenti per popolare la nuova destinazione:

    • Nome: immettere il nome da usare per la connessione a Microsoft Sentinel

    • TipoRFC

    • Tipo di proxy:On-Premise

    • Utente: immettere l'account utente ABAP creato in precedenza per Microsoft Sentinel

    • Tipo di autorizzazione:CONFIGURED USER

    • Proprietà aggiuntive:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Posizione: obbligatoria solo quando si connettono più connettori cloud allo stesso account secondario BTP. Per altre informazioni, vedere la documentazione di SAP.

Passaggio successivo