Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing
In dit artikel wordt beschreven hoe u uw SAP-omgeving voorbereidt om verbinding te maken met de SAP-gegevensconnectoragent. Voorbereiding omvat het configureren van vereiste SAP-autorisaties en het implementeren van extra SAP-wijzigingsaanvragen (CR's).
Dit artikel maakt deel uit van de tweede stap bij het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.
De procedures in dit artikel worden doorgaans uitgevoerd door uw SAP BASIS-team .
Vereisten
- Controleer voordat u begint de vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.
De rol Microsoft Sentinel configureren
Als u wilt toestaan dat de SAP-gegevensconnector verbinding kan maken met uw SAP-systeem, moet u hiervoor een SAP-systeemrol maken.
Als u zowel acties voor het ophalen van logboeken als reacties op aanvallen wilt opnemen, raden we u aan deze rol te maken door rolautorisaties uit het bestand /MSFTSEN/SENTINEL_RESPONDER te laden.
Als u alleen het ophalen van logboeken wilt opnemen, raden we u aan deze rol te maken door de NPLK900271 SAP-wijzigingsaanvraag (CR) te implementeren: K900271.NPL-R900271 | . NPL
Implementeer de CA's op uw SAP-systeem zo nodig, net zoals u andere CA's zou implementeren. Het wordt ten zeerste aangeraden SAP-AANVRAGEN te implementeren door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.
U kunt ook de rolautorisaties uit het MSFTSEN_SENTINEL_CONNECTOR-bestand laden, waaronder alle basismachtigingen voor de gegevensconnector die moeten worden uitgevoerd.
Ervaren SAP-beheerders kunnen ervoor kiezen om de rol handmatig te maken en deze de juiste machtigingen toe te wijzen. In dergelijke gevallen maakt u handmatig een rol met de relevante autorisaties die vereist zijn voor de logboeken die u wilt opnemen. Zie Vereiste ABAP-autorisaties voor meer informatie. Voorbeelden in onze documentatie gebruiken de naam /MSFTSEN/SENTINEL_RESPONDER .
Bij het configureren van de rol raden we u aan het volgende te doen:
- Genereer een actief rolprofiel voor Microsoft Sentinel door de PFCG-transactie uit te voeren.
- Gebruik
/MSFTSEN/SENTINEL_RESPONDERdeze naam als rolnaam.
Zie de SAP-documentatie over het maken van rollen voor meer informatie.
Een gebruiker maken
Voor de Microsoft Sentinel-oplossing voor SAP-toepassingen is een gebruikersaccount vereist om verbinding te maken met uw SAP-systeem. Bij het maken van uw gebruiker:
- Zorg ervoor dat u een systeemgebruiker maakt.
- Wijs de rol /MSFTSEN/SENTINEL_RESPONDER toe aan de gebruiker, die u in de vorige stap hebt gemaakt.
Zie de SAP-documentatie voor meer informatie.
SAP-controle configureren
Voor sommige installaties van SAP-systemen is controlelogboekregistratie mogelijk niet standaard ingeschakeld. Voor de beste resultaten bij het evalueren van de prestaties en werkzaamheid van de Microsoft Sentinel-oplossing voor SAP-toepassingen, schakelt u controle van uw SAP-systeem in en configureert u de controleparameters. Als u SAP HANA DB-logboeken wilt opnemen, moet u ook controle inschakelen voor SAP HANA DB.
We raden u aan om controle te configureren voor alle berichten uit het auditlogboek, omdat deze gegevens nuttig zijn voor Detecties van Microsoft Sentinel en in onderzoeken en opsporing na inbreuk.
Zie de SAP-community en verzamel sap HANA-auditlogboeken in Microsoft Sentinel voor meer informatie.
Ondersteuning configureren voor het ophalen van extra gegevens (aanbevolen)
Hoewel deze stap optioneel is, raden we u aan extra CR's te implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel om de SAP-gegevensconnector in staat te stellen de volgende inhoudsgegevens op te halen uit uw SAP-systeem:
- Db-tabel- en Spool-uitvoerlogboeken
- Client-IP-adresgegevens uit de beveiligingscontrolelogboeken (alleen SAP BASIS versie 7.5 SP12 en hoger)
Implementeer de relevante CA's op basis van uw SAP-versie:
| SAP BASIS-versies | Aanbevolen CR |
|---|---|
| 750 en hoger | NPLK900202: K900202.NPL, R900202. NPL Wanneer u deze CR implementeert op een van de volgende SAP-versies, implementeert u ook 2641084 - Gestandaardiseerde leestoegang tot gegevens van het beveiligingscontrolelogboek: - 750 SP04 naar SP12 - 751 SP00 naar SP06 - 752 SP00 naar SP02 |
| 740 | NPLK900201: K900201.NPL, R900201. NPL |
Implementeer de CA's op uw SAP-systeem zo nodig, net zoals u andere CA's zou implementeren. Het wordt ten zeerste aangeraden SAP-AANVRAGEN te implementeren door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.
Zie de SAP-community en de SAP-documentatie voor meer informatie.
Controleer of de PAHI-tabel regelmatig wordt bijgewerkt
De SAP PAHI-tabel bevat gegevens over de geschiedenis van het SAP-systeem, de database en SAP-parameters. In sommige gevallen kan de Microsoft Sentinel-oplossing voor SAP-toepassingen de SAP PAHI-tabel niet regelmatig bewaken vanwege ontbrekende of defecte configuratie. Het is belangrijk om de PAHI-tabel bij te werken en deze regelmatig te controleren, zodat de Microsoft Sentinel-oplossing voor SAP-toepassingen waarschuwingen kan geven over verdachte acties die zich op elk gewenst moment gedurende de dag kunnen voordoen. Zie voor meer informatie:
Tip
Voor optimale resultaten schakelt u in het systemconfig.json-bestand op de machine van de gegevensconnectoragent onder de [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) sectie zowel de PAHI_FULL als de PAHI_INCREMENTAL parameters in. Zie Systemconfig.json bestandsreferentie voor meer informatie.
Als de PAHI-tabel regelmatig wordt bijgewerkt, wordt de SAP_COLLECTOR_FOR_PERFMONITOR taak gepland en wordt deze elk uur uitgevoerd. Als de SAP_COLLECTOR_FOR_PERFMONITOR taak niet bestaat, moet u deze indien nodig configureren. Zie de SAP-documentatie: Database Collector op achtergrondverwerking en configureren van de gegevensverzamelaar voor meer informatie
Uw systeem configureren voor het gebruik van SNC voor beveiligde verbindingen
De SAP-gegevensconnectoragent maakt standaard verbinding met een SAP-server met behulp van een RFC-verbinding (remote function call) en een gebruikersnaam en wachtwoord voor verificatie.
Mogelijk moet u echter de verbinding maken op een versleuteld kanaal of clientcertificaten gebruiken voor verificatie. In deze gevallen gebruikt u Smart Network Communications (SNC) van SAP om uw gegevensverbindingen te beveiligen, zoals beschreven in deze sectie.
In een productieomgeving raden we u ten zeerste aan om met SAP-beheerders een implementatieplan te maken voor het configureren van SNC. Zie de SAP-documentatie voor meer informatie.
Bij het configureren van SNC:
- Als het clientcertificaat is uitgegeven door een certificeringsinstantie voor ondernemingen, moet u de verlenende CA- en basis-CA-certificaten overdragen naar het systeem waar u de agent voor de gegevensconnector wilt maken.
- Zorg ervoor dat u ook de relevante waarden invoert en de relevante procedures gebruikt bij het configureren van de agentcontainer van de SAP-gegevensconnector.