Microsoft Sentinel-oplossing voor SAP-toepassingen: overzicht van implementatie
Gebruik de Microsoft Sentinel-oplossing voor SAP-toepassingen om uw SAP-systemen te bewaken met Microsoft Sentinel en geavanceerde bedreigingen te detecteren in de bedrijfslogica en toepassingslagen van uw SAP-toepassingen.
In dit artikel maakt u kennis met de Microsoft Sentinel-oplossing voor implementatie van SAP-toepassingen.
Onderdelen van oplossing
De Microsoft Sentinel-oplossing voor SAP-toepassingen bevat een gegevensconnector, waarmee logboeken van uw SAP-systemen worden verzameld en verzonden naar uw Microsoft Sentinel-werkruimte en out-of-the-box-beveiligingsinhoud, waarmee u inzicht krijgt in de SAP-omgeving van uw organisatie en beveiligingsrisico's kunt detecteren en erop kunt reageren.
Gegevensconnector
Microsoft Sentinel voor SAP-gegevensconnector is een agent die is geïnstalleerd als een container op een virtuele Linux-machine, fysieke server of Kubernetes-cluster. De agent verzamelt toepassingslogboeken voor al uw onboarded SAP-SID's vanuit het hele SAP-systeemlandschap en verzendt deze logboeken vervolgens naar uw Log Analytics-werkruimte in Microsoft Sentinel.
In de volgende afbeelding ziet u bijvoorbeeld een SAP-landschap met meerdere SID's met een splitsing tussen productie- en niet-productiesystemen, waaronder het SAP Business Technology Platform. Alle systemen in deze installatiekopieën worden toegevoegd aan Microsoft Sentinel voor de SAP-oplossing.
De agent maakt verbinding met uw SAP-systeem om logboeken en andere gegevens uit het systeem op te halen en verzendt deze logboeken vervolgens naar uw Microsoft Sentinel-werkruimte. Hiervoor moet de agent zich verifiëren bij uw SAP-systeem met behulp van een gebruiker en rol die speciaal voor dit doel is gemaakt.
Microsoft Sentinel ondersteunt enkele opties voor het opslaan van uw agentconfiguratiegegevens, waaronder de configuratie voor uw SAP-verificatiegeheimen. De beslissing over welke optie kan afhankelijk zijn van de locatie waar u uw VIRTUELE machine implementeert en welk SAP-verificatiemechanisme u gebruikt. Ondersteunde opties worden als volgt weergegeven in volgorde van voorkeur:
- Een Azure Key Vault die wordt geopend via een door het Azure-systeem toegewezen beheerde identiteit
- Een Azure Key Vault die wordt geopend via een service-principal voor geregistreerde toepassingen van Microsoft Entra-id
- Een configuratiebestand met tekst zonder opmaak
U kunt ook verifiëren met behulp van SNC-certificaten (Secure Network Communication) en X.509 van SAP. Hoewel het gebruik van SNC een hoger verificatieniveau biedt, is het mogelijk niet praktisch voor alle scenario's.
Beveiligingsinhoud
De Microsoft Sentinel-oplossing voor SAP-toepassingen bevat de volgende typen beveiligingsinhoud om inzicht te krijgen in de SAP-omgeving van uw organisatie en beveiligingsrisico's te detecteren en erop te reageren:
- Analyseregels en volglijsten voor detectie van bedreigingen.
- Functies voor eenvoudige toegang tot gegevens.
- Werkmappen voor het maken van interactieve gegevensvisualisatie.
- Volglijsten voor aanpassing van de ingebouwde oplossingsparameters .
- Playbooks die u kunt gebruiken om reacties op bedreigingen te automatiseren.
Zie de Microsoft Sentinel-oplossing voor SAP-toepassingen voor meer informatie: naslaginformatie over beveiligingsinhoud.
Implementatiestroom en persona's
Het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen omvat verschillende stappen en vereist samenwerking tussen meerdere teams, waaronder de beveiligings-, infrastructuur- en SAP BASIS-teams . In de volgende afbeelding ziet u de stappen voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen, waarbij relevante teams zijn aangegeven:
We raden u aan om alle relevante teams bij het plannen van uw implementatie te betrekken om ervoor te zorgen dat er inspanningen worden toegewezen en dat de implementatie soepel kan verlopen.
Implementatiestappen zijn onder andere:
Bekijk de vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Voor sommige vereisten is coördinatie met uw infrastructuur- of SAP BASIS-teams vereist.
De volgende stappen kunnen parallel worden uitgevoerd, omdat ze afzonderlijke teams omvatten en niet afhankelijk zijn van elkaar:
Implementeer de Microsoft Sentinel-oplossing voor SAP-toepassingen vanuit de inhoudshub. Deze stap wordt verwerkt door het beveiligingsteam in Azure Portal.
Configureer uw SAP-systeem voor de Microsoft Sentinel-oplossing, waaronder het configureren van SAP-autorisaties, het configureren van SAP-controle en meer. We raden u aan deze stappen door uw SAP BASIS-team uit te voeren en onze documentatie bevat verwijzingen naar SAP-documentatie.
Verbind uw SAP-systeem door de agentcontainer voor de gegevensconnector te implementeren. Deze stap vereist coördinatie tussen uw beveiligings-, infrastructuur- en SAP BASIS-teams.
SCHAKEL SAP-detecties en bedreigingsbeveiliging in. Deze stap wordt verwerkt door het beveiligingsteam in Azure Portal.
Extra opties zijn onder andere:
Configuratiebestand voor SAP-gegevensconnectoragent
Met de implementatieprocedure wordt een systemconfig.json-bestand gegenereerd dat de configuratiegegevens voor de SAP-gegevensconnectoragent bevat. Het bestand bevindt zich in de /sapcon-app/sapcon/config/system map op uw VIRTUELE machine. U kunt dit bestand gebruiken om de configuratie van uw SAP-gegevensconnectoragent bij te werken.
In eerdere versies van het implementatiescript, uitgebracht vóór juni 2023, is in plaats daarvan een systemconfig.ini-bestand gegenereerd. Zie voor meer informatie:
Sap-gegevensverzameling stoppen
Als u wilt voorkomen dat Microsoft Sentinel uw SAP-gegevens verzamelt, stopt u de opname van logboeken en schakelt u de connector uit. Verwijder vervolgens de extra gebruikersrol en eventuele optionele CA's die op uw SAP-systeem zijn geïnstalleerd.
Zie Sap-gegevensverzameling stoppen voor meer informatie.
Gerelateerde inhoud
Zie voor meer informatie:
- Over Microsoft Sentinel-inhoud en -oplossingen.
- De status en rol van uw SAP-systemen bewaken
- De SAP-gegevensconnectoragent van Microsoft Sentinel bijwerken
Volgende stap
Begin met de implementatie van de Microsoft Sentinel-oplossing voor SAP-toepassingen door de vereisten te controleren: