SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포를 위한 필수 조건
이 문서에는 SAP® 애플리케이션용 Microsoft Sentinel 솔루션을 배포하는 데 필요한 필수 구성 요소가 나와 있습니다.
Important
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
배포 마일스톤
다음과 같은 문서 시리즈를 통해 SAP 솔루션 배포 과정을 추적합니다.
배포 필수 구성 요소(현재 위치)
여러 작업 영역에서 솔루션 작업(미리 보기)
선택적 배포 단계
필수 구성 요소 표
SAP® 애플리케이션용 Microsoft Sentinel 솔루션을 성공적으로 배포하려면 다음 필수 조건을 충족해야 합니다.
Azure 필수 조건
| 필수 요소 | 설명 | 필수/선택 |
|---|---|---|
| Microsoft Sentinel에 대한 액세스 권한 | Microsoft Sentinel 작업 영역 ID와 기본 키를 적어 둡니다. 이러한 세부 정보는 Microsoft Sentinel에서 찾을 수 있습니다. 탐색 메뉴에서 설정>작업 영역 설정>에이전트 관리를 차례로 선택합니다. 배포 프로세스 중에 사용할 수 있도록 작업 영역 ID 및 기본 키를 복사하여 별도로 붙여넣습니다. |
Required |
| Azure 리소스를 만들 수 있는 권한 | 최소한 Microsoft Sentinel 콘텐츠 허브에서 솔루션을 배포하는 데 필요한 권한이 있어야 합니다. 자세한 내용은 Microsoft Sentinel 콘텐츠 허브 카탈로그를 참조하세요. | Required |
| Azure 키 자격 증명 모음을 만들거나 기존 키 자격 증명 모음에 액세스할 수 있는 권한 | Azure Key Vault를 사용하여 SAP 시스템에 연결하는 데 필요한 비밀을 저장합니다(필수 구성 요소인 경우 권장). 자세한 내용은 키 자격 증명 모음 액세스 권한 할당을 참조하세요. | Azure Key Vault에 SAP 시스템 자격 증명을 저장하려는 경우 필요합니다. 구성 파일에 저장하려는 경우 선택 사항입니다. 자세한 내용은 가상 머신 만들기 및 자격 증명에 대한 액세스 구성을 참조하세요. |
| 권한 있는 역할을 SAP 데이터 커넥터 에이전트에 할당할 수 있는 권한 | SAP 데이터 커넥터 에이전트를 배포하려면 Microsoft Sentinel Business Applications 에이전트 운영자 역할을 사용하여 Microsoft Sentinel 작업 영역에 대한 특정 권한으로 에이전트의 VM ID를 부여해야 합니다. 이 역할을 부여하려면 Microsoft Sentinel 작업 영역이 있는 리소스 그룹에 대해 소유자 권한이 필요합니다. 자세한 내용은 데이터 커넥터 에이전트 배포를 참조하세요. |
필수입니다. 리소스 그룹에 대한 소유자 권한이 없는 경우 에이전트가 완전히 배포된 후 별도로 관련 권한이 있는 다른 사용자가 관련 단계를 수행할 수도 있습니다. |
시스템 필수 구성 요소
| 필수 요소 | 설명 |
|---|---|
| 시스템 아키텍처 | SAP 솔루션의 데이터 커넥터 구성 요소는 Docker 컨테이너로 배포되며 각 SAP 클라이언트에는 자체 컨테이너 인스턴스가 필요합니다. 컨테이너 호스트는 물리적 컴퓨터 또는 가상 머신일 수 있으며 온-프레미스 또는 클라우드에 있을 수 있습니다. 컨테이너를 호스트하는 VM은 Microsoft Sentinel 작업 영역과 동일한 Azure 구독 또는 동일한 Microsoft Entra 테넌트에 있을 필요가 없습니다. |
| 가상 머신 크기 조정 권장 사항 | 최소 사양(랩 환경의 경우와 같음): 다음이 포함된 Standard_B2s VM - 코어 2개 - 4GB RAM 표준 커넥터(기본값): 다음이 포함된 Standard_D2as_v5 VM 또는 Standard_D2_v5 VM: - 코어 2개 - 8GB RAM 여러 커넥터: 다음이 포함된 Standard_D4as_v5 또는 Standard_D4_v5 VM: - 코어 4개 - 16GB RAM |
| 관리자 권한 | 컨테이너 호스트 컴퓨터에 대한 관리자 권한(루트)이 필요합니다. |
| 지원되는 Linux 버전 | SAP 데이터 커넥터 에이전트는 다음 Linux 배포판으로 테스트되었습니다. - Ubuntu 18.04 이상 - SLES 버전 15 이상 - RHEL 버전 7.7 이상 다른 운영 체제를 사용하는 경우 컨테이너를 수동으로 배포 및 구성해야 할 수 있습니다. 자세한 내용은 지원 티켓을 엽니다. |
| 네트워크 연결 | 다음에 대한 액세스 권한이 컨테이너 호스트에 있어야 합니다. Microsoft Sentinel- - Azure 키 자격 증명 모음(Azure 키 자격 증명 모음을 사용하여 비밀을 저장하는 배포 시나리오에서) - SNC를 사용하는 경우 32xx, 5xx13, 33xx, 48xx TCP 포트를 통한 SAP 시스템(여기서 xx는 SAP 인스턴스 번호임) |
| 소프트웨어 유틸리티 | SAP 데이터 커넥터 배포 스크립트는 다음 필수 소프트웨어를 컨테이너 호스트 VM에 설치합니다(사용되는 Linux 배포에 따라 목록이 약간 다를 수 있음). - Unzip - NetCat - Docker - jq - curl |
| 관리 ID 또는 서비스 주체 | 최신 버전의 SAP 데이터 커넥터 에이전트에서는 Microsoft Sentinel에서 인증을 받기 위해 관리 ID 또는 서비스 주체가 필요합니다. 레거시 에이전트는 최신 버전에 대한 업데이트에 대해 지원되며 관리 ID 또는 서비스 주체를 사용하여 후속 버전으로 계속 업데이트해야 합니다. |
SAP 필수 조건
| 필수 요소 | 설명 |
|---|---|
| 지원되는 SAP 버전 | SAP 데이터 커넥터 에이전트는 SAP NetWeaver 시스템을 지원하며 SAP_BASIS 버전 731 이상에서 테스트되었습니다. 이전 SAP_BASIS 버전 740에서 작업하는 경우 이 자습서의 특정 단계에서 대체 지침을 제공합니다. |
| 필수 소프트웨어 | SAP NetWeaver RFC SDK 7.50(여기서 다운로드) SAP 소프트웨어 다운로드 페이지에 액세스하려면 SAP 사용자 계정도 있어야 합니다. |
| SAP 시스템 세부 정보 | 이 자습서에서 사용할 수 있도록 다음과 같은 SAP 시스템 세부 정보를 기록해 둡니다. - SAP 시스템 IP 주소 및 FQDN 호스트 이름 - SAP 시스템 번호(예: 00)- SAP NetWeaver 시스템의 SAP 시스템 ID(예: NPL) - SAP 클라이언트 ID(예: 001) |
| SAP NetWeaver 인스턴스 액세스 | SAP 데이터 커넥터 에이전트는 다음 메커니즘 중 하나를 사용하여 SAP 시스템에 인증합니다. - SAP ABAP 사용자/암호 - X.509 인증서가 있는 사용자(이 옵션에는 추가 구성 단계가 필요함) |
SAP 환경 유효성 검사 단계
참고 항목
CR을 배포하고 필요한 역할을 할당하기 위한 단계별 지침은 SAP CR 배포 및 권한 부여 구성 가이드에서 사용할 수 있습니다. 배포해야 하는 CR을 결정하고, 아래 표의 링크에서 관련 CR을 검색하고, 단계별 지침을 진행합니다.
역할 만들기 및 구성(필수)
SAP 데이터 커넥터가 SAP 시스템에 연결할 수 있도록 하려면 역할을 만들어야 합니다. /MSFTSEN/SENTINEL_RESPONDER 파일에서 역할 권한 부여를 로드하여 역할을 만듭니다.
/MSFTSEN/SENTINEL_RESPONDER 역할에는 로그 검색 및 공격 중단 대응 작업이 모두 포함됩니다. 공격 중단 대응 작업 없이 로그 검색만 사용하도록 설정하려면 SAP 시스템에 SAP NPLK900271 CR을 배포하거나 MSFTSEN_SENTINEL_CONNECTOR 파일에서 역할 권한 부여를 로드합니다. 데이터 커넥터가 작동하기 위한 모든 기본 권한이 있는 /MSFTSEN/SENTINEL_CONNECTOR 역할.
| SAP BASIS 버전 | 샘플 CR |
|---|---|
| 모든 버전 | NPLK900271: K900271.NPL, R900271.NPL |
숙련된 SAP 관리자는 역할을 수동으로 만들고 적절한 권한을 할당하도록 선택할 수 있습니다. 이러한 경우 각 로그에 대해 권장되는 권한 부여를 따라야 합니다. 자세한 내용은 필요한 ABAP 권한 부여를 참조하세요.
SAP에서 추가 정보 검색(선택 사항)
Microsoft Sentinel GitHub 리포지토리에서 추가 CR을 배포하여 SAP 데이터 커넥터가 SAP 시스템에서 특정 정보를 검색할 수 있도록 설정할 수 있습니다.
- SAP BASIS 7.5 SP12 이상: 보안 감사 로그의 클라이언트 IP 주소 정보
- 임의 SAP BASIS 버전: DB 테이블 로그, 스풀 출력 로그
| SAP BASIS 버전 | 권장 CR | 주의 |
|---|---|---|
| - 750 이상 | NPLK900202: K900202.NPL, R900202.NPL | 관련 SAP 노트를 배포합니다. |
| - 740 | NPLK900201: K900201.NPL, R900201.NPL |
SAP 참고 배포(선택 사항)
NPLK900202 선택적 CR을 사용하여 추가 정보를 검색하도록 선택하는 경우 해당 버전에 따라 다음 SAP 노트가 SAP 시스템에 배포되었는지 확인합니다.
| SAP BASIS 버전 | 주의 |
|---|---|
| - 750 SP04~SP12 - 751 SP00~SP06 - 752 SP00~SP02 |
2641084 - 보안 감사 로그 데이터에 대한 표준화된 읽기 액세스* |
다음 단계
모든 필수 구성 요소가 충족되었는지 확인한 후 다음 단계로 진행하여 SAP 시스템에 필요한 CR을 배포하고 권한 부여를 구성합니다.