Azure-identiteits- en beveiligingsservices met SAP RISE

In dit artikel vindt u informatie over de integratie van Azure-identiteits- en beveiligingsservices met een SAP RISE-workload. Daarnaast wordt het gebruik van sommige Azure-bewakingsservices uitgelegd voor een SAP RISE-landschap.

Eenmalige aanmelding voor SAP

Eenmalige aanmelding (SSO) is geconfigureerd voor veel SAP-omgevingen. Wanneer SAP-workloads worden uitgevoerd in ECS/RISE, verschillen de stappen voor de implementatie niet van een systeemeigen SAP-systeem. De integratiestappen met eenmalige aanmelding op basis van Microsoft Entra ID zijn beschikbaar voor typische door ECS/RISE beheerde workloads:

• Zelfstudie: Eenmalige aanmelding van Microsoft Entra integreren met SAP NetWeaver
• Zelfstudie: Eenmalige aanmelding van Microsoft Entra integreren met SAP Fiori
• Zelfstudie: Microsoft Entra-integratie met SAP HANA

Methode voor eenmalige aanmelding	Identiteitsprovider	Typische gebruiksscenario's	Implementatie
SAML/OAuth	Microsoft Entra ID	SAP Fiori, web-GUI, portal, HANA	Configuratie per klant
SNC	Microsoft Entra ID	SAP GUI	Configuratie per klant
SPNEGO	Active Directory (AD)	Web-GUI, SAP Enterprise-portal	Configuratie per klant en SAP

Eenmalige aanmelding voor Active Directory (AD) van uw Windows-domein voor ecs/RISE beheerde SAP-omgeving, met SAP SSO Secure Login Client vereist AD-integratie voor apparaten van eindgebruikers. Met SAP RISE zijn alle Windows-systemen niet geïntegreerd met het Active Directory-domein van de klant. De domeinintegratie is niet nodig voor eenmalige aanmelding met AD/Kerberos omdat het domeinbeveiligingstoken wordt gelezen op het clientapparaat en veilig wordt uitgewisseld met SAP-systeem. Neem contact op met SAP als u wijzigingen nodig hebt om eenmalige aanmelding op basis van AD te integreren of andere producten van derden te gebruiken dan SAP SSO Secure Login Client, omdat er mogelijk enige configuratie op rise-beheerde systemen vereist is.

Copilot for Security met SAP RISE

Copilot for Security is een generatief AI-beveiligingsproduct waarmee beveiligings- en IT-professionals reageren op cyberbedreigingen, processignalen en risicoblootstelling beoordelen met de snelheid en schaal van AI. Het heeft een eigen portal en ingesloten ervaringen in Microsoft Defender XDR, Microsoft Sentinel en Intune.

Het kan worden gebruikt met elke gegevensbron die Defender XDR en Sentinel ondersteunen, waaronder SAP RISE/ECS. Hieronder ziet u de zelfstandige ervaring.

In deze afbeelding ziet u een voorbeeld van de Microsoft Copilot for Security-ervaring met behulp van een prompt om een SAP-incident te onderzoeken.

Daarnaast is de Copilot for Security-ervaring ingesloten in de Defender XDR-portal. Naast een door AI gegenereerde samenvatting worden aanbevelingen en herstel, zoals het opnieuw instellen van wachtwoorden voor SAP, standaard aangeboden. Meer informatie over automatische onderbreking van SAP-aanvallen vindt u hier.

In deze afbeelding ziet u een voorbeeld van Microsoft Copilot for Security waarbij een incident wordt geanalyseerd dat is gedetecteerd op SAP RISE via Defender XDR. Gegevensopname wordt uitgevoerd via de Microsoft Sentinel-oplossing voor SAP-toepassingen.

Microsoft Sentinel met SAP RISE

Met de SAP RISE-gecertificeerde Microsoft Sentinel-oplossing voor SAP-toepassingen kunt u verdachte activiteiten bewaken, detecteren en erop reageren. Microsoft Sentinel beschermt uw kritieke gegevens tegen geavanceerde cyberaanvallen voor SAP-systemen die worden gehost in Azure, andere clouds of on-premises infrastructuur. Microsoft Sentinel Solution voor SAP BTP breidt die dekking uit naar SAP Business Technology Platform (BTP).

Met de oplossing kunt u inzicht krijgen in gebruikersactiviteiten op SAP RISE/ECS en de bedrijfslogicalagen van SAP en de ingebouwde inhoud van Sentinel toepassen.

• Gebruik één console om al uw bedrijfsomgevingen te bewaken, inclusief SAP-exemplaren in SAP RISE/ECS in Azure en andere clouds, systeemeigen SAP Azure- en on-premises estate
• Bedreigingen detecteren en automatisch reageren: verdachte activiteiten detecteren, waaronder escalatie van bevoegdheden, onbevoegde wijzigingen, gevoelige transacties, gegevensexfiltratie en meer met out-of-the-box detectiemogelijkheden
• SAP-activiteit correleren met andere signalen: SAP-bedreigingen nauwkeuriger detecteren door eindpunten, Microsoft Entra-gegevens en meer kruislings te correleren
• Aanpassen op basis van uw behoeften - uw eigen detecties bouwen om gevoelige transacties en andere bedrijfsrisico's te bewaken
• De gegevens visualiseren met ingebouwde werkmappen

In dit diagram ziet u een voorbeeld van Microsoft Sentinel dat is verbonden via een tussenliggende VM of container met een door SAP beheerd SAP-systeem. De tussenliggende VM of container wordt uitgevoerd in het eigen abonnement van de klant met de geconfigureerde SAP-gegevensconnectoragent. Verbinding met SAP Business Technology Platform (BTP) maakt gebruik van de openbare API's van SAP voor de auditlogboekbeheerservice.

Voor SAP RISE/ECS moet de Microsoft Sentinel-oplossing worden geïmplementeerd in het Azure-abonnement van de klant. Alle onderdelen van de Sentinel-oplossing worden beheerd door de klant en niet door SAP. Er is een privénetwerkconnectiviteit van het vnet van de klant nodig om de SAP-landschappen te bereiken die worden beheerd door SAP RISE/ECS. Deze verbinding verloopt doorgaans via de tot stand gebrachte vnet-peering of via alternatieven die in dit document worden beschreven.

Als u de oplossing wilt inschakelen, is alleen een geautoriseerde RFC-gebruiker vereist en hoeft er niets te worden geïnstalleerd op de SAP-systemen. De agent voor het verzamelen van SAP-gegevens op basis van containers die deel uitmaakt van de oplossing, kan worden geïnstalleerd op de VM of op AKS/elke Kubernetes-omgeving. De collectoragent gebruikt een SAP-servicegebruiker om toepassingslogboekgegevens uit uw SAP-landschap te gebruiken via rfc-interface met behulp van standaard RFC-aanroepen.

• Verificatiemethoden die worden ondersteund in SAP RISE: SAP-gebruikersnaam en -wachtwoord of X509/SNC-certificaten
• Alleen RFC-verbindingen zijn momenteel mogelijk met SAP RISE/ECS-omgevingen

Belangrijk

• Voor het uitvoeren van Microsoft Sentinel in een SAP RISE/ECS-omgeving is vereist: Het importeren van een SAP-transportwijzigingsaanvraag voor de volgende logboekvelden/-bron: CLIENT-IP-adresgegevens uit sap-beveiligingscontrolelogboek, DB-tabellogboeken (preview), uitvoerlogboek van spool. De ingebouwde inhoud van Sentinel (detecties, werkmappen en playbooks) biedt uitgebreide dekking en correlatie zonder deze logboekbronnen.
• SAP-infrastructuur- en besturingssysteemlogboeken zijn niet beschikbaar voor Sentinel in RISE, vanwege het model voor gedeelde verantwoordelijkheid.

Automatisch antwoord met SOAR-mogelijkheden van Sentinel

Gebruik vooraf gemaakte playbooks voor beveiliging, indeling, automatisering en reactiemogelijkheden (SOAR) om snel op bedreigingen te reageren. Een populair eerste scenario is dat SAP-gebruikers blokkeren met een interventieoptie van Microsoft Teams. Het integratiepatroon kan worden toegepast op elk incidenttype en elke doelservice voor SAP Business Technology Platform (BTP) of Microsoft Entra ID met betrekking tot het verminderen van de kwetsbaarheid voor aanvallen.

Zie de blogserie Van nul tot hero-beveiligingsdekking met Microsoft Sentinel voor uw kritieke SAP-beveiligingssignalen voor meer informatie over Microsoft Sentinel en SOAR voor SAP.

In deze afbeelding ziet u een SAP-incident dat door Sentinel is gedetecteerd en de optie biedt om de verdachte gebruiker op het SAP ERP-, SAP Business Technology Platform of Microsoft Entra-id te blokkeren.

Zie de sentinel-productdocumentatie voor meer informatie over Microsoft Sentinel en SAP, inclusief een implementatiehandleiding.

Azure Monitoring voor SAP met SAP RISE

Azure Monitor voor SAP-oplossingen is een systeemeigen Azure-oplossing voor het bewaken van uw SAP-systeem. Het breidt de bewakingsmogelijkheid van het Azure Monitor-platform uit met ondersteuning voor het verzamelen van gegevens over SAP NetWeaver, de database en de details van het besturingssysteem.

SAP RISE/ECS is een volledig beheerde service voor uw SAP-landschap en daarom is Azure Monitoring voor SAP niet bedoeld om te worden gebruikt voor een dergelijke beheerde omgeving. SAP RISE/ECS biedt geen ondersteuning voor integratie met Azure Monitor voor SAP-oplossingen. De eigen bewaking en rapportage van SAP wordt gebruikt en aan de klant geleverd zoals gedefinieerd door uw servicebeschrijving met SAP.

Azure Center voor SAP-oplossingen

Net als bij Azure Monitoring voor SAP-oplossingen biedt SAP RISE/ECS geen ondersteuning voor integratie met Azure Center for SAP Solutions in geen enkele mogelijkheid. Alle SAP RISE-workloads worden geïmplementeerd door SAP en worden uitgevoerd in de Azure-tenant en het Azure-abonnement van SAP, zonder dat de klant toegang heeft tot de Azure-resources.

Volgende stappen

Raadpleeg de documentatie:

• Overzicht van de integratie van Azure met SAP RISE
• Opties voor netwerkconnectiviteit in Azure met SAP RISE
• Azure-services integreren met SAP RISE
• Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
• Microsoft Sentinel-oplossing implementeren voor SAP® BTP