Microsoft Sentinel 솔루션에 맞게 SAP 시스템 구성

이 문서에서는 SAP 데이터 커넥터에 연결하기 위해 SAP 환경을 준비하는 방법을 설명합니다. 컨테이너화된 데이터 커넥터 에이전트를 사용하는지 여부에 따라 준비가 다릅니다. 페이지 상단에서 사용자의 환경에 맞는 옵션을 선택합니다.

이 문서는 SAP 애플리케이션에 Microsoft Sentinel 솔루션을 배포하는 두 번째 단계의 일부입니다.

중요

SAP용 데이터 커넥터 에이전트는 2026년 9월 30일까지 영구적으로 비활성화될 예정입니다. 에이전트 리스 데이터 커넥터로 마이그레이션하는 것을 권장합니다. 에이전트리스 접근법에 대해 더 알고 싶다면 저희 블로그 글을 참고하세요.

이 문서의 절차는 일반적으로 SAP BASIS 팀에서 수행합니다.

이 문서는 SAP 애플리케이션에 Microsoft Sentinel 솔루션을 배포하는 두 번째 단계의 일부입니다. Microsoft Sentinel에서 수행되는 단계를 수행하려면 솔루션을 먼저 설치해야 하지만 SAP 환경의 다른 준비는 병렬로 수행될 수 있습니다.

이 문서의 많은 절차는 일반적으로 SAP BASIS 팀에서 수행합니다. 일부 단계에는 보안 팀도 포함됩니다.

필수 구성 요소

• 시작하기 전에 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 배포하기 위한 필수 구성 요소를 검토해야 합니다.

• 에이전트 없는 데이터 커넥터를 사용하는 경우 Microsoft Sentinel에서 몇 가지 단계를 수행하고 솔루션을 먼저 설치해야 합니다.

Microsoft Sentinel 역할 구성

SAP 데이터 커넥터가 SAP 시스템에 연결되도록 하려면 이 목적에 맞는 SAP 시스템 역할을 만들어야 합니다.

NPLK900271 SAP CR(변경 요청): K900271.NPL | R900271.NPL을 배포하여 이 역할을 만드는 것이 좋습니다.

다른 CR을 배포하는 것과 마찬가지로 필요에 따라 SAP 시스템에 CR 배포 SAP CR 배포는 숙련된 SAP 시스템 관리자가 수행하는 것이 좋습니다. 자세한 내용은 SAP 설명서를 참조하세요.

또는 데이터 커넥터가 작동하기 위한 모든 기본 권한을 포함하는 MSFTSEN_SENTINEL_CONNECTOR 파일에서 역할 권한 부여를 로드합니다.

숙련된 SAP 관리자는 역할을 수동으로 만들고 적절한 권한을 할당하도록 선택할 수 있습니다. 이런 경우, 수집하려는 로그에 필요한 관련 권한을 가진 역할을 수동으로 만듭니다. 자세한 내용은 필수 ABAP 권한 부여를 참조하세요. 설명서의 예제에서는 /MSFTSEN/SENTINEL_RESPONDER 이름을 사용합니다.

역할을 구성할 때 다음을 권장합니다.

• PFCG 트랜잭션을 실행하여 Microsoft Sentinel에 대한 활성 역할 프로필을 생성합니다.
• 역할 이름으로 /MSFTSEN/SENTINEL_RESPONDER를 사용합니다.

데이터 커넥터가 작동할 모든 기본 권한을 포함하는 MSFTSEN_SENTINEL_READER 템플릿을 사용하여 역할을 만듭니다.

자세한 내용은 역할 만들기에 대한 SAP 설명서를 참조하세요.

사용자 만들기

SAP 애플리케이션용 Microsoft Sentinel 솔루션을 사용하려면 SAP 시스템에 연결하기 위한 사용자 계정이 필요합니다. 사용자를 만들 때:

• 시스템 사용자를 만듭니다.
• 이전 단계에서 만든 /MSFTSEN/SENTINEL_RESPONDER 역할을 사용자에게 할당합니다.

• 시스템 사용자를 만듭니다.
• 이전 단계에서 만든 사용자에게 MSFTSEN_SENTINEL_READER 역할을 할당합니다.

자세한 내용은 SAP 설명서를 참조하세요.

SAP 감사 구성

일부 SAP 시스템 설치에서는 기본적으로 감사 로깅이 사용하도록 설정되어 있지 않을 수 있습니다. SAP 애플리케이션을 위한 Microsoft Sentinel 솔루션의 성능과 효율성을 평가하여 최상의 결과를 얻으려면 SAP 시스템 감사를 사용하도록 설정하고 감사 매개 변수를 구성합니다. SAP HANA DB 로그를 수집하려면 SAP HANA DB에 대한 감사 기능도 사용하도록 설정해야 합니다.

특정 로그 대신 감사 로그의 모든 메시지에 대한 감사를 구성하는 것이 좋습니다. 수집 비용 차이는 일반적으로 최소화되며 해당 데이터는 Microsoft Sentinel 검색 및 침해 후 조사와 헌팅에 유용합니다.

에이전트 없는 데이터 커넥터를 사용한 전체 모니터링 범위를 위해 클라이언트 000 및 066을 포함하여 모니터링되는 SAP 시스템의 모든 클라이언트 ID에서 모니터링을 사용하도록 설정하는 것이 좋습니다.

자세한 내용은 MICROSOFT Sentinel에서 SAP 커뮤니티 및 SAP HANA 감사 로그 수집을 참조하세요.

보안 연결을 위해 SNC를 사용하도록 시스템을 구성합니다.

기본적으로 SAP 데이터 커넥터 에이전트는 RFC(원격 함수 호출) 연결과 인증을 위한 사용자 이름과 암호를 사용하여 SAP 서버에 연결합니다.

하지만 암호화된 채널에서 연결을 해야 하거나 인증을 위해 클라이언트 인증서를 사용해야 할 수도 있습니다. 이러한 경우, 이 섹션에서 설명한 대로 SAP의 SNC(Smart Network Communications)를 사용하여 데이터 연결을 보호합니다.

프로덕션 환경에서는 SAP 관리자와 상의하여 SNC 구성을 위한 배포 계획을 세우는 것을 적극 권장합니다. 자세한 내용은 SAP 설명서를 참조하세요.

SNC를 구성할 때:

• 클라이언트 인증서가 엔터프라이즈 인증 기관에서 발급된 경우 발급 CA 및 루트 CA 인증서를 데이터 커넥터 에이전트를 만들려는 시스템으로 전송합니다.
• 데이터 커넥터 에이전트를 사용하는 경우 관련 값을 입력하고 SAP 데이터 커넥터 에이전트 컨테이너를 구성할 때 관련 절차를 사용해야 합니다. 에이전트 없는 데이터 커넥터를 사용하는 경우 SNC 구성은 SAP Cloud Connector에서 수행됩니다.

SNC에 대한 자세한 내용은 RFC 통합을 위한 SAP SNC 시작 - SAP 블로그를 참조하세요.

추가 데이터 검색 지원 구성(권장)

이 단계는 선택 사항이지만 SAP 시스템에서 다음 콘텐츠 정보를 검색하려면 SAP 데이터 커넥터를 사용하도록 설정하는 것이 좋습니다.

• DB 테이블 및 스풀 출력 로그
• 보안 감사 로그의 클라이언트 IP 주소 정보

1. SAP 버전에 따라 Microsoft Sentinel GitHub 리포지토리에서 관련 CR을 배포합니다.

   SAP BASIS 버전	권장 CR
   750 이상	NPLK900202: K900202.NPL, R900202.NPL 다음의 SAP 버전들 중에서 하나라도 배포할 때 이 CR도 배포하고, 보안 감사 로그의 데이터에 대한 표준화된 읽기 액세스인 2641084도 배포합니다. - 750 SP04~SP12 - 751 SP00~SP06 - 752 SP00~SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   다른 CR을 배포하는 것과 마찬가지로 필요에 따라 SAP 시스템에 CR 배포 SAP CR 배포는 숙련된 SAP 시스템 관리자가 수행하는 것이 좋습니다. 자세한 내용은 SAP 설명서를 참조하세요.

   자세한 내용은 SAP 커뮤니티 및 SAP 설명서를 참조하세요.

2. SAP BASIS 버전 7.31-7.5 SP12가 클라이언트 IP 주소 정보를 Microsoft Sentinel로 전송할 수 있도록 지원하려면 SAP 테이블 USR41에 대한 로깅을 활성화합니다. 자세한 내용은 SAP 설명서를 참조하세요.

PAHI 테이블이 정기적으로 업데이트되는지 확인

SAP PAHI 테이블에는 SAP 시스템의 기록, 데이터베이스 및 SAP 매개 변수에 대한 데이터가 포함됩니다. 어떤 경우에는 SAP 애플리케이션용 Microsoft Sentinel 솔루션이 구성이 누락되었거나 잘못되어 정기적으로 SAP PAHI 테이블을 모니터링할 수 없습니다. Microsoft Sentinel 솔루션이 SAP 애플리케이션을 위해 하루 종일 발생할 수 있는 의심스러운 작업에 대해 경고할 수 있도록 PAHI 테이블을 업데이트하고 자주 모니터링해야 합니다. 자세한 내용은 다음을 참조하세요.

• SAP Note 12103
• 정적 SAP 보안 매개 변수의 구성 모니터링(미리 보기)

PAHI 테이블이 정기적으로 업데이트되면 SAP_COLLECTOR_FOR_PERFMONITOR 작업이 예약되어 매시간 실행됩니다. SAP_COLLECTOR_FOR_PERFMONITOR 작업이 존재하지 않으면 필요에 따라 구성해야 합니다.

자세한 내용은 백그라운드 처리의 데이터베이스 수집기 및 데이터 수집기 구성을 참조하세요.

SAP BTP 설정 구성

1. SAP BTP 하위 계정에서 다음 서비스에 대한 권한을 추가합니다.

   • SAP Integration Suite
   • SAP 프로세스 통합 런타임 (SAP Process Integration Runtime)
   • 클라우드 파운드리 실행 환경

비고

이 문서에서는 Cloud Foundry 환경의 SAP 클라우드 통합만 고려합니다. Neo 환경의 경우 Cloud Foundry 서비스 키 대신 SAP의 최신 설명서 및 OAuth2 구성을 확인합니다.

1. Cloud Foundry Runtime 인스턴스를 만든 다음 Cloud Foundry 공간도 만듭니다.

2. SAP Integration Suite 인스턴스를 만듭니다.

3. SAP BTP 하위 계정 사용자 계정에 SAP BTP Integration_Provisioner 역할을 할당합니다.

4. SAP Integration Suite에서 클라우드 통합 기능을 추가합니다.

5. 사용자 계정에 다음 프로세스 통합 역할을 할당합니다.

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   이러한 역할은 클라우드 통합 기능을 활성화한 후에만 사용할 수 있습니다.

6. 서비스 계획 통합 흐름(API 아님)을 사용하여 서브카운트에서 SAP 프로세스 통합 런타임의 인스턴스를 만듭니다.

7. SAP Process Integration Runtime에 대한 서비스 키를 만들고 JSON 콘텐츠를 안전한 위치에 저장합니다. SAP Process Integration Runtime에 대한 서비스 키를 만들기 전에 클라우드 통합 기능을 활성화해야 합니다.

자세한 내용은 SAP 설명서를 참조하세요.

Microsoft Sentinel 및 SAP 시스템에서 커넥터 구성

이 절차에는 Microsoft Sentinel 및 SAP 시스템 모두에 단계가 있으며 SAP 관리자와의 조정이 필요합니다.

1. Microsoft Sentinel에서 구성 > 데이터 커넥터 페이지로 이동하여 SAP용 Microsoft Sentinel - 에이전트 없는 데이터 커넥터를 찾습니다.

2. 구성 섹션에서 초기 커넥터 구성 - 아래 단계를 한 번 실행: 섹션을 확장하고 지침을 따릅니다. 이러한 단계를 수행하려면 SecuritySOC 엔지니어와 SAP 관리자가 모두 필요합니다.

   1. Azure 리소스의 자동 배포를 트리거합니다(SOC 엔지니어). Azure 리소스를 배포한 후 2단계와 3단계의 값이 자동으로 채워지지 않는 경우 1단계를 닫고 다시 확장하여 2단계와 3단계의 값을 새로 고칩니다.

   2. SAP 통합(SAP 관리자)에서 OAuth2 클라이언트 자격 증명 아티팩트를 배포합니다.

   3. 데이터 커넥터 UI에 표시되는 Log Analytics 작업 영역 키를 포함하는 workspaceKey 라는 SAP 통합(SAP Admin)에 보안 매개 변수 아티팩트를 배포합니다.

   4. SAP 에이전트 없는 데이터 커넥터 패키지를 SAP Integration Suite(SAP Admin)에 배포합니다.

      1. 통합 패키지를 다운로드하여 SAP Integration Suite에 업로드합니다. 자세한 내용은 SAP 설명서를 참조하세요.
      2. 패키지를 열고 아티팩트 탭으로 이동합니다. 그런 다음 , 데이터 수집기 구성을 선택합니다. 자세한 내용은 SAP 설명서를 참조하세요.
      3. LogIngestionURL 및 DCRImmutableID를 사용하여 통합 흐름을 구성합니다.
      4. SAP 클라우드 통합을 런타임 서비스로 사용하여 iflow를 배포합니다.

필수 구성 요소 검사기 실행

1. 필수 구성 요소 검사기 iflow가 패키지에 포함되어 있습니다. Microsoft Sentinel에서 통합을 시도하기 전에 SAP 시스템이 시스템 필수 구성 요소를 충족하는지 확인하기 위해 다음 단계를 계속하기 전에 이 iflow를 수동으로 실행하는 것이 좋습니다.

   도구를 실행하려면 다음을 수행합니다.

   1. 통합 패키지를 열고 아티팩트 탭으로 이동한 다음 필수 구성 요소 검사기 iflow>구성을 선택합니다.

   2. RFC(원격 함수 호출)의 대상 대상 이름을 확인하려는 SAP 시스템으로 설정합니다. 예: A4H-100-Sentinel-RFC.

   3. SAP 시스템에 대해 다른 경우와 마찬가지로 iflow를 배포하십시오.

   4. REST 클라이언트에서 iflow를 트리거합니다. 예를 들어 다음 샘플 PowerShell 스크립트를 사용하여 사용자 환경에 대한 샘플 자리 표시자 값을 수정합니다.

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   Microsoft Sentinel에 연결하기 전에 응답 출력에 대한 경고 없이 필수 구성 요소 검사기가 성공적으로 실행(상태 코드 200)인지 확인합니다.

   결과가 있는 경우 수정 단계에 대한 지침은 응답 세부 정보를 참조하세요. 레거시 SAP 시스템에는 추가 SAP 노트가 필요한 경우가 많습니다. 또한 일반적인 문제 및 해결 방법은 문제 해결 섹션 을 참조하세요.

2. 구성 영역에서 더 아래로 스크롤하여 모니터링되는 SAP 시스템 추가 섹션의 지침을 확장하고 따르십시오. 모니터링할 각 SAP 시스템에 대해 아래 단계들을 실행하십시오.

   2단계에서는 SAP 시스템을 Microsoft Sentinel/SOC 엔지니어에 연결한 다음, SAP 시스템을 Microsoft Sentinel에 연결을 계속합니다.

SAP Cloud Connector 설정 구성

1. SAP Cloud Connector를 설치합니다. 자세한 내용은 SAP 설명서를 참조하세요.

2. 클라우드 커넥터 인터페이스에 로그인하고 관련 자격 증명을 사용하여 하위 계정을 추가합니다. 자세한 내용은 SAP 설명서를 참조하세요.

3. 클라우드 커넥터 하위 계정에서 백 엔드 시스템에 대한 새 시스템 매핑을 추가하여 ABAP 시스템을 RFC 프로토콜에 매핑합니다.

4. 부하 분산 옵션을 정의하고 백 엔드 ABAP 서버 세부 정보를 입력합니다. 이 단계에서는 나중에 배포 프로세스에서 사용할 수 있도록 가상 호스트의 이름을 안전한 위치에 복사합니다.

5. 다음 각 함수 이름에 대한 시스템 매핑에 새 리소스를 추가합니다.

   • RSAU_API_GET_LOG_DATA SAP 보안 감사 로그 데이터를 가져오려면

   • BAPI_USER_GET_DETAIL SAP 사용자 세부 정보를 검색합니다.

   • RFC_READ_TABLE 필요한 테이블에서 데이터를 읽으려면

   • SIAG_ROLE_GET_AUTH, 보안 역할 권한을 가져오기 위한 방법

   • /OSP/SYSTEM_TIMEZONE, SAP 시스템 표준 시간대 세부 정보를 검색합니다.

비고

제공된 역할은 최소 권한 액세스에 대해 구성됩니다. 이렇게 하면 RFC_READ_TABLE 같은 함수 모듈이 필요에 따라만 사용됩니다. SAP 클라우드 커넥터 및 SAP 역할의 제어를 벗어나 함수 모듈 액세스를 제어하려면 RFC 액세스 및 SAP UCON(통합 연결) 설정에 대한 SAP의 모범 사례를 고려합니다.

1. 이전에 만든 가상 호스트를 가리키는 새로운 대상을 SAP BTP에 추가합니다. 다음 세부 정보를 사용하여 새 대상을 채웁니다.

   • 이름: Microsoft Sentinel 연결에 사용할 이름을 입력합니다.

   • 형식RFC

   • 프록시 유형:On-Premise

   • 사용자: 이전에 Microsoft Sentinel용 으로 만든 ABAP 사용자 계정을 입력합니다.

   • 권한 부여 유형:CONFIGURED USER

   • 추가 속성:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • 위치: 여러 클라우드 커넥터를 동일한 BTP 하위 계정에 연결하는 경우에만 필요합니다. 자세한 내용은 SAP 설명서를 참조하세요.

다음 단계

MICROSOFT Sentinel에 SAP 시스템 연결