Prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®
Questo articolo elenca i prerequisiti necessari per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Attività cardine della distribuzione
Tenere traccia del percorso di distribuzione della soluzione SAP in questa serie di articoli:
Prerequisiti di distribuzione (qui)
Usare la soluzione in più aree di lavoro (ANTEPRIMA)
Distribuire il contenuto della soluzione dall'hub del contenuto
Configurare la soluzione Microsoft Sentinel per le applicazioni SAP®
Passaggi di distribuzione facoltativi
Tabella dei prerequisiti
Per distribuire correttamente la soluzione Microsoft Sentinel per le applicazioni SAP®, è necessario soddisfare i prerequisiti seguenti:
Prerequisiti di Azure
| Prerequisito | Descrizione | Obbligatoria/facoltativa |
|---|---|---|
| Accesso a Microsoft Sentinel | Prendere nota dell'ID e della chiave primaria dell'area di lavoro di Microsoft Sentinel. È possibile trovare questi dettagli in Microsoft Sentinel: dal menu di spostamento selezionare Impostazioni> Gestione degli agenti delle impostazioni>diWorkspace. Copiare l'ID dell'area di lavoro e la chiave primaria e incollarli per usarli durante il processo di distribuzione. |
Richiesto |
| Autorizzazioni per la creazione di risorse di Azure | È necessario disporre almeno delle autorizzazioni necessarie per distribuire soluzioni dall'hub del contenuto di Microsoft Sentinel. Per altre informazioni, vedere il catalogo dell'hub del contenuto di Microsoft Sentinel. | Richiesto |
| Autorizzazioni per creare un insieme di credenziali delle chiavi di Azure o accedere a un insieme di credenziali delle chiavi esistente | Usare Azure Key Vault per archiviare i segreti necessari per connettersi al sistema SAP (consigliato quando si tratta di un prerequisito necessario). Per altre informazioni, vedere Assegnare autorizzazioni di accesso all'insieme di credenziali delle chiavi. | Obbligatorio se si prevede di archiviare le credenziali di sistema SAP in Azure Key Vault. Facoltativo se si prevede di archiviarli in un file di configurazione. Per altre informazioni, vedere Creare una macchina virtuale e configurare l'accesso alle credenziali. |
| Autorizzazioni per assegnare un ruolo con privilegi all'agente del connettore dati SAP | Per distribuire l'agente del connettore dati SAP è necessario concedere all'identità della macchina virtuale dell'agente autorizzazioni specifiche per l'area di lavoro di Microsoft Sentinel, usando il ruolo Operatore agente applicazioni aziendali di Microsoft Sentinel. Per concedere questo ruolo, sono necessarie le autorizzazioni proprietario per il gruppo di risorse in cui risiede l'area di lavoro di Microsoft Sentinel. Per altre informazioni, vedere Distribuire l'agente del connettore dati. |
Obbligatorio. Se non si dispone delle autorizzazioni di proprietario per il gruppo di risorse, il passaggio pertinente può essere eseguito anche da un altro utente che dispone delle autorizzazioni pertinenti, separatamente dopo la distribuzione completa dell'agente. |
Prerequisiti di sistema
| Prerequisito | Descrizione |
|---|---|
| Architettura di sistema | Il componente connettore dati della soluzione SAP viene distribuito come contenitore Docker e ogni client SAP richiede una propria istanza del contenitore. L'host contenitore può essere una macchina fisica o una macchina virtuale, può trovarsi in locale o in qualsiasi cloud. La macchina virtuale che ospita il contenitore non deve trovarsi nella stessa sottoscrizione di Azure dell'area di lavoro di Microsoft Sentinel o anche nello stesso tenant di Microsoft Entra. |
| Consigli per il dimensionamento delle macchine virtuali | Specifica minima, ad esempio per un ambiente lab: Standard_B2s macchina virtuale con: - Due core - 4 GB di RAM Connettore Standard (impostazione predefinita): Standard_D2as_v5 macchina virtuale o Standard_D2_v5 macchina virtuale con: - Due core - 8 GB di RAM Più connettori: Standard_D4as_v5 o Standard_D4_v5 macchina virtuale con: - Quattro core - 16 GB di RAM |
| Privilegi amministrativi | Amministrazione i privilegi amministrativi (radice) sono necessari nel computer host del contenitore. |
| Versioni di Linux supportate | L'agente del connettore dati SAP viene testato con le distribuzioni Linux seguenti: - Ubuntu 18.04 o versione successiva - SLES versione 15 o successiva - RHEL versione 7.7 o successiva Se si dispone di un sistema operativo diverso, potrebbe essere necessario distribuire e configurare manualmente il contenitore. Per altre informazioni, aprire un ticket di supporto. |
| Connettività di rete | Assicurarsi che l'host del contenitore abbia accesso a: Microsoft Sentinel- - Insieme di credenziali delle chiavi di Azure (nello scenario di distribuzione in cui viene usato l'insieme di credenziali delle chiavi di Azure per archiviare i segreti - Sistema SAP tramite le porte TCP seguenti: 32xx, 5xx13, 33xx, 48xx (quando viene usato SNC), dove xx è il numero di istanza SAP. |
| Utilità software | Lo script di distribuzione del connettore dati SAP installa il software necessario seguente nella macchina virtuale host del contenitore (a seconda della distribuzione Linux usata, l'elenco potrebbe variare leggermente): - Decomprimere - NetCat - Docker - jq - curl |
| Identità gestita o entità servizio | La versione più recente dell'agente del connettore dati SAP richiede un'identità gestita o un'entità servizio per l'autenticazione in Microsoft Sentinel. Gli agenti legacy sono supportati per gli aggiornamenti alla versione più recente e quindi devono usare un'identità gestita o un'entità servizio per continuare l'aggiornamento alle versioni successive. |
Prerequisiti SAP
| Prerequisito | Descrizione |
|---|---|
| Versioni SAP supportate | L'agente di SAP Data Connector supporta i sistemi SAP NetWeaver ed è stato testato in SAP_BASIS versioni 731 e successive. Alcuni passaggi di questa esercitazione forniscono istruzioni alternative se si sta lavorando al SAP_BASIS versione 740 precedente. |
| Software obbligatorio | SAP NetWeaver RFC SDK 7.50 (scarica qui) Assicurarsi di disporre anche di un account utente SAP per accedere alla pagina di download del software SAP. |
| Dettagli del sistema SAP | Prendere nota dei dettagli di sistema SAP seguenti per l'uso in questa esercitazione: - Indirizzo IP del sistema SAP e nome host FQDN - Numero di sistema SAP, ad esempio 00- ID sistema SAP, dal sistema SAP NetWeaver (ad esempio, NPL) - ID client SAP, ad esempio 001 |
| Accesso all'istanza di SAP NetWeaver | L'agente del connettore dati SAP usa uno dei meccanismi seguenti per l'autenticazione nel sistema SAP: - Utente/password DI SAP ABAP - Un utente con un certificato X.509 (questa opzione richiede passaggi di configurazione aggiuntivi) |
Passaggi di convalida dell'ambiente SAP
Nota
Le istruzioni dettagliate per la distribuzione di un cring e l'assegnazione del ruolo richiesto sono disponibili nella guida Alla distribuzione di CR SAP e alla configurazione dell'autorizzazione. Determinare quali CR devono essere distribuiti, recuperare i CR pertinenti dai collegamenti nelle tabelle seguenti e passare alla guida dettagliata.
- Creare e configurare un ruolo (obbligatorio)
- Recuperare informazioni aggiuntive da SAP (facoltativo)
Creare e configurare un ruolo (obbligatorio)
Per consentire al connettore dati SAP di connettersi al sistema SAP, è necessario creare un ruolo. Creare il ruolo caricando le autorizzazioni del ruolo dal file /MSFT edizione Standard N/edizione Standard NTINEL_RESPONDER.
Il ruolo /MSFT edizione Standard N/edizione Standard NTINEL_RESPONDER include azioni di risposta sia al recupero dei log che alle interruzioni degli attacchi. Per abilitare solo il recupero dei log, senza azioni di risposta alle interruzioni degli attacchi, distribuire SAP NPLK900271 CR nel sistema SAP o caricare le autorizzazioni del ruolo dal file MSFT edizione Standard N_edizione Standard NTINEL_CONNECTOR. Ruolo /MSFT edizione Standard N/edizione Standard NTINEL_CONNECTOR che dispone di tutte le autorizzazioni di base per il connettore dati da usare.
| Versioni di SAP BASIS | Cr di esempio |
|---|---|
| Qualsiasi versione | NPLK900271: K900271.NPL, R900271. NPL |
Gli amministratori SAP esperti possono scegliere di creare manualmente il ruolo e assegnargli le autorizzazioni appropriate. In questi casi, assicurarsi di seguire le autorizzazioni consigliate per ogni log. Per altre informazioni, vedere Autorizzazioni ABAP necessarie.
Recuperare informazioni aggiuntive da SAP (facoltativo)
È possibile distribuire CR aggiuntivi dal repository GitHub di Microsoft Sentinel per consentire al connettore dati SAP di recuperare determinate informazioni dal sistema SAP.
- SAP BASIS 7.5 SP12 e versioni successive: Informazioni sull'indirizzo IP client dal log di controllo della sicurezza
- ANY SAP BASIS version: DB Table logs, Spool Output log
| Versioni di SAP BASIS | CR consigliato | Note |
|---|---|---|
| - 750 e versioni successive | NPLK900202: K900202.NPL, R900202. NPL | Distribuire la nota SAP pertinente. |
| - 740 | NPLK900201: K900201.NPL, R900201. NPL |
Distribuire la nota SAP (facoltativo)
Se si sceglie di recuperare informazioni aggiuntive con il NPLK900202 CR facoltativo, assicurarsi che la nota SAP seguente venga distribuita nel sistema SAP, in base alla relativa versione:
| Versioni di SAP BASIS | Note |
|---|---|
| - Da 750 SP04 a SP12 - Da 751 SP00 a SP06 - Da 752 SP00 a SP02 |
2641084 - Accesso in lettura standardizzato ai dati del log di controllo della sicurezza* |
Passaggi successivi
Dopo aver verificato che tutti i prerequisiti siano soddisfatti, procedere con il passaggio successivo per distribuire le richieste pull nel sistema SAP e configurare l'autorizzazione.