Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing

In dit artikel wordt beschreven hoe u uw SAP-omgeving voorbereidt om verbinding te maken met de SAP-gegevensconnector. De voorbereiding verschilt, afhankelijk van of u de agent voor de containergegevensconnector gebruikt. Selecteer de optie bovenaan de pagina die overeenkomt met uw omgeving.

Dit artikel maakt deel uit van de tweede stap bij het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.

De procedures in dit artikel worden doorgaans uitgevoerd door uw SAP BASIS-team .

Dit artikel maakt deel uit van de tweede stap bij het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Hoewel stappen die worden uitgevoerd in Microsoft Sentinel vereisen dat de oplossing eerst wordt geïnstalleerd, kunnen andere voorbereidingen in de SAP-omgeving parallel plaatsvinden.

Veel van de procedures in dit artikel worden doorgaans uitgevoerd door uw SAP BASIS-team . Sommige stappen omvatten ook uw beveiligingsteam .

Belangrijk

De gegevensconnector zonder agent van Microsoft Sentinel voor SAP is momenteel in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die zich in bèta, preview of anderszins nog niet in algemene beschikbaarheid bevinden.

Vereiste voorwaarden

• Controleer voordat u begint de vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.

• Als u met de gegevensconnector zonder agent werkt, worden sommige stappen uitgevoerd in Microsoft Sentinel en moet de oplossing eerst worden geïnstalleerd.

De rol Microsoft Sentinel configureren

Als u wilt toestaan dat de SAP-gegevensconnector verbinding kan maken met uw SAP-systeem, moet u hiervoor een SAP-systeemrol maken.

We raden u aan deze rol te maken door de NPLK900271 SAP-wijzigingsaanvraag (CR) te implementeren: K900271.NPL | R900271.NPL

Implementeer de CA's op uw SAP-systeem zo nodig, net zoals u andere CA's zou implementeren. Het wordt ten zeerste aanbevolen dat het implementeren van SAP-CR's wordt uitgevoerd door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.

U kunt ook de rolauthorisaties uit het MSFTSEN_SENTINEL_CONNECTOR-bestand laden, inclusief alle basismachtigingen zodat de gegevensconnector kan functioneren.

Ervaren SAP-beheerders kunnen ervoor kiezen om de rol handmatig te maken en deze de juiste machtigingen toe te wijzen. In dergelijke gevallen maakt u handmatig een rol met de relevante autorisaties die vereist zijn voor de logboeken die u wilt opnemen. Zie Vereiste ABAP-autorisaties voor meer informatie. Voorbeelden in onze documentatie gebruiken de naam /MSFTSEN/SENTINEL_RESPONDER .

Bij het configureren van de rol raden we u aan het volgende te doen:

• Genereer een actief rolprofiel voor Microsoft Sentinel door de PFCG-transactie uit te voeren.
• Gebruik /MSFTSEN/SENTINEL_RESPONDER deze naam als rolnaam.

Maak een rol met behulp van de MSFTSEN_SENTINEL_READER-sjabloon, die alle basismachtigingen bevat voor het functioneren van de gegevensconnector.

Zie de SAP-documentatie over het maken van rollen voor meer informatie.

Een gebruiker maken

Voor de Microsoft Sentinel-oplossing voor SAP-toepassingen is een gebruikersaccount vereist om verbinding te maken met uw SAP-systeem. Bij het maken van uw gebruiker:

• Zorg ervoor dat u een systeemgebruiker maakt.
• Wijs de rol /MSFTSEN/SENTINEL_RESPONDER toe aan de gebruiker, die u in de vorige stap hebt gemaakt.

• Zorg ervoor dat u een systeemgebruiker maakt.
• Wijs de MSFTSEN_SENTINEL_READER rol toe aan de gebruiker die u in de vorige stap hebt gemaakt.

Zie de SAP-documentatie voor meer informatie.

SAP-controle configureren

Voor sommige installaties van SAP-systemen is controlelogboekregistratie mogelijk niet standaard ingeschakeld. Voor de beste resultaten bij het evalueren van de prestaties en werkzaamheid van de Microsoft Sentinel-oplossing voor SAP-toepassingen, schakelt u controle van uw SAP-systeem in en configureert u de controleparameters. Als u SAP HANA DB-logboeken wilt opnemen, moet u ook controle inschakelen voor SAP HANA DB.

Het is raadzaam om controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. Het kostenverschil is doorgaans minimaal en de gegevens zijn nuttig voor detectie door Microsoft Sentinel en voor onderzoek en opsporing na inbreuk.

Voor volledige bewaking met de gegevensconnector zonder agent raden we u aan om bewaking in te schakelen op alle client-id's van uw bewaakte SAP-systemen, inclusief clients 000 en 066.

Zie de SAP-community en verzamel sap HANA-auditlogboeken in Microsoft Sentinel voor meer informatie.

Uw systeem configureren voor het gebruik van SNC voor beveiligde verbindingen

De SAP-gegevensconnectoragent maakt standaard verbinding met een SAP-server met behulp van een RFC-verbinding (remote function call) en een gebruikersnaam en wachtwoord voor verificatie.

Mogelijk moet u echter de verbinding maken op een versleuteld kanaal of clientcertificaten gebruiken voor verificatie. In deze gevallen gebruikt u Smart Network Communications (SNC) van SAP om uw gegevensverbindingen te beveiligen, zoals beschreven in deze sectie.

In een productieomgeving raden we u ten zeerste aan om met SAP-beheerders een implementatieplan te maken voor het configureren van SNC. Zie de SAP-documentatie voor meer informatie.

Bij het configureren van SNC:

• Als het clientcertificaat is uitgegeven door een certificeringsinstantie voor ondernemingen, moet u de verlenende CA- en basis-CA-certificaten overdragen naar het systeem waar u de agent voor de gegevensconnector wilt maken.
• Als u de agent voor de gegevensconnector gebruikt, moet u ook de relevante waarden invoeren en de relevante procedures gebruiken bij het configureren van de agentcontainer van de SAP-gegevensconnector. Als u de gegevensconnector zonder agent gebruikt, wordt de SNC-configuratie uitgevoerd in de SAP Cloud Connector.

Zie Aan de slag met SAP SNC voor RFC-integraties - SAP-blog voor meer informatie over SNC.

Ondersteuning configureren voor het ophalen van extra gegevens (aanbevolen)

Hoewel deze stap optioneel is, raden we u aan de SAP-gegevensconnector in te schakelen om de volgende inhoudsgegevens op te halen uit uw SAP-systeem:

• DB-tabel en spool-uitvoerlogs
• Client-IP-adresgegevens uit de beveiligingscontrolelogboeken

1. Implementeer de relevante CR's vanuit de GitHub-opslagplaats van Microsoft Sentinel, op basis van uw SAP-versie.

   SAP BASIS-versies	Aanbevolen CR
   750 en hoger	NPLK900202: K900202.NPL, R900202.NPL Wanneer u deze CR implementeert op een van de volgende SAP-versies, implementeert u ook 2641084 - Gestandaardiseerde leestoegang tot gegevens van beveiligingscontrolelogboek: - 750 SP04 naar SP12 - 751 SP00 naar SP06 - 752 SP00 naar SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   Implementeer de CA's op uw SAP-systeem zo nodig, net zoals u andere CA's zou implementeren. Het wordt ten zeerste aanbevolen dat het implementeren van SAP-CR's wordt uitgevoerd door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.

   Zie de SAP-community en de SAP-documentatie voor meer informatie.

2. Activeer logboekregistratie voor SAP-tabel USR41 om SAP BASIS-versies 7.31-7.5 SP12 te ondersteunen bij het verzenden van IP-adresgegevens van de client naar Microsoft Sentinel. Zie de SAP-documentatie voor meer informatie.

Controleer of de PAHI-tabel regelmatig wordt bijgewerkt

De SAP PAHI-tabel bevat gegevens over de geschiedenis van het SAP-systeem, de database en SAP-parameters. In sommige gevallen kan de Microsoft Sentinel-oplossing voor SAP-toepassingen de SAP PAHI-tabel niet regelmatig bewaken vanwege ontbrekende of defecte configuratie. Het is belangrijk om de PAHI-tabel bij te werken en deze regelmatig te controleren, zodat de Microsoft Sentinel-oplossing voor SAP-toepassingen waarschuwingen kan geven over verdachte acties die zich op elk gewenst moment gedurende de dag kunnen voordoen. Voor meer informatie, zie:

• SAP-notitie 12103
• De configuratie van statische SAP-beveiligingsparameters bewaken (preview)

Als de PAHI-tabel regelmatig wordt bijgewerkt, wordt de SAP_COLLECTOR_FOR_PERFMONITOR taak gepland en wordt deze elk uur uitgevoerd. Als de SAP_COLLECTOR_FOR_PERFMONITOR taak niet bestaat, moet u deze indien nodig configureren.

Zie DatabaseVerzamelaar op de achtergrond verwerken en de gegevensverzamelaar configureren voor meer informatie.

SAP BTP-instellingen configureren

1. Voeg in uw SAP BTP-subaccount rechten toe voor de volgende services:

   • SAP Integration Suite
   • SAP Process Integration Runtime
   • Cloud Foundry Runtime

2. Maak een exemplaar van Cloud Foundry Runtime en maak vervolgens ook een Cloud Foundry-ruimte.

3. Maak een exemplaar van SAP Integration Suite.

4. Wijs de SAP BTP Integration_Provisioner rol toe aan uw SAP BTP-subaccount gebruikersaccount.

5. Voeg in de SAP Integration Suite de mogelijkheid voor cloudintegratie toe.

6. Wijs de volgende procesintegratierollen toe aan uw gebruikersaccount:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Deze rollen zijn pas beschikbaar nadat u de mogelijkheid voor cloudintegratie hebt geactiveerd.

7. Maak een exemplaar van de SAP Process Integration Runtime in uw subaccount.

8. Maak een servicesleutel voor de SAP Process Integration Runtime en sla de JSON-inhoud op een veilige locatie op. U moet de mogelijkheid voor cloudintegratie activeren voordat u een servicesleutel maakt voor SAP Process Integration Runtime.

Zie de SAP-documentatie voor meer informatie.

De connector configureren in Microsoft Sentinel en in uw SAP-systeem

Deze procedure bevat stappen in Zowel Microsoft Sentinel als uw SAP-systeem en vereist coördinatie met de SAP-beheerder.

1. Ga in Microsoft Sentinel naar de pagina Connectors voor configuratiegegevens > en zoek de Microsoft Sentinel voor SAP-gegevensconnector zonder agent (preview).

2. In de sectie Configuratie, vouw uit en volg de instructies in de sectie Initiale connectorconfiguratie - Voer de onderstaande stappen eenmaal uit:. Voor deze stappen zijn zowel uw SecuritySOC-engineer als de SAP-beheerder vereist.

   1. Automatische implementatie van Azure-resources (SOC Engineer) activeren. Als na het implementeren van de Azure-resources de waarden in stap 2 en 3 niet automatisch worden ingevuld, sluit u stap 1 en vouwt u stap 1 opnieuw uit om de waarden in stap 2 en 3 te vernieuwen.

   2. Implementeer een artefact voor OAuth2-clientreferenties in de SAP-integratie (SAP-beheerder).

   3. Implementeer een beveiligd parameterartefact in SAP-integratie (SAP Admin) met de naam workspaceKey die de Log Analytics-werkruimtesleutel bevat die zichtbaar is in de gebruikersinterface van de gegevensconnector.

   4. Implementeer het SAP agentloze gegevensverbindingspakket naar de SAP Integration Suite (SAP Admin).

      1. Download het integratiepakket en upload het naar uw SAP Integration Suite. Zie de SAP-documentatie voor meer informatie.
      2. Open het pakket en ga naar het tabblad Artefacten . Selecteer vervolgens de configuratie van de gegevensverzamelaar . Zie de SAP-documentatie voor meer informatie.
      3. Configureer de integratiestroom met logIngestionURL en de DCRImmutableID.
      4. Implementeer de i-flow met behulp van SAP Cloud Integration als runtime-service.

De vereiste controle uitvoeren

1. De iflow prerequisite checker is opgenomen in het pakket. We raden u aan deze iflow uit te voeren voordat u verdergaat met de volgende stap om ervoor te zorgen dat uw SAP-systeem voldoet aan de systeemvereisten.

   Ga als volgende te werk om het hulpprogramma uit te voeren:

   1. Open het integratiepakket, navigeer naar het tabblad Artefacten en selecteer de Vereistencontrole iflow >Configureren.

   2. Stel de doel-RFC in op het SAP-systeem dat u wilt controleren of testen.

   3. Implementeer de iflow zoals u dat anders zou doen voor uw SAP-systemen. Gebruik bijvoorbeeld het volgende PowerShell-voorbeeldscript, waarbij u de voorbeeldwaarden voor tijdelijke aanduidingen voor uw omgeving wijzigt:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   Zorg ervoor dat de controle op vereisten correct wordt uitgevoerd voordat u verbinding maakt met Microsoft Sentinel.

2. Scroll verder naar beneden in het Configuratie gebied en vouw de instructies in het Bewaakte SAP-systemen toevoegen gebied uit en volg ze. Voer de onderstaande stappen uit voor elk SAP-systeem dat u wilt bewaken.

   Wanneer u bij stap 2 bent. Verbind SAP System met Microsoft Sentinel/SOC Engineer en ga verder met Het verbinden van uw SAP-systeem met Microsoft Sentinel.

Sap Cloud Connector-instellingen configureren

1. Installeer de SAP Cloud Connector. Zie de SAP-documentatie voor meer informatie.

2. Meld u aan bij de cloudconnector-interface en voeg het subaccount toe met behulp van de relevante inloggegevens. Zie de SAP-documentatie voor meer informatie.

3. Voeg in uw cloudconnectorsubaccount een nieuwe systeemtoewijzing toe aan het back-endsysteem om het ABAP-systeem toe te wijzen aan het RFC-protocol.

4. Definieer opties voor taakverdeling en voer de details van uw back-end ABAP-server in. In deze stap kopieert u de naam van de virtuele host naar een veilige locatie die u later in het implementatieproces wilt gebruiken.

5. Voeg nieuwe resources toe aan de systeemtoewijzing voor elk van de volgende functienamen:

   • RSAU_API_GET_LOG_DATA om SAP-beveiligingslogboekgegevens op te halen

   • BAPI_USER_GET_DETAIL om SAP-gebruikersdetails op te halen

   • RFC_READ_TABLE om gegevens uit de vereiste tabellen te lezen

   • SIAG_ROLE_GET_AUTH om autorisaties voor beveiligingsrollen op te halen

   • /OSP/SYSTEM_TIMEZONE, om details van sap-systeemtijdzone op te halen

6. Voeg een nieuwe bestemming toe in SAP BTP die verwijst naar de virtuele host die u eerder hebt gemaakt. Gebruik de volgende gegevens om de nieuwe bestemming te vullen:

   • Naam: Voer de naam in die u wilt gebruiken voor de Microsoft Sentinel-verbinding

   • TypeRFC

   • Proxytype:On-Premise

   • Gebruiker: Voer het ABAP-gebruikersaccount in dat u eerder hebt gemaakt voor Microsoft Sentinel

   • Autorisatietype:CONFIGURED USER

   • Aanvullende eigenschappen:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Locatie: Alleen vereist wanneer u meerdere cloudconnectors verbindt met hetzelfde BTP-subaccount. Zie de SAP-documentatie voor meer informatie.

Volgende stap

Uw SAP-systeem verbinden met Microsoft Sentinel