Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
In dit artikel vindt u de vereisten voor de implementatie van de Microsoft Sentinel-oplossing voor SAP-toepassingen®.
Implementatie-mijlpalen
Volg het implementatietraject van uw SAP-oplossing via deze reeks artikelen:
Implementatievereisten (u bent hier)
Microsoft Sentinel-oplossing configureren voor SAP-toepassingen®
Optionele implementatiestappen
Tabel met vereisten
Als u de Microsoft Sentinel-oplossing voor SAP-toepassingen® wilt implementeren, moet u aan de volgende vereisten voldoen:
Vereisten voor Azure
| Vereiste | Beschrijving |
|---|---|
| Toegang tot Microsoft Sentinel | Noteer uw Microsoft Sentinel-werkruimte-id en primaire sleutel. U vindt deze details in Microsoft Sentinel: selecteer in het navigatiemenu Instellingen>Werkruimte-instellingen>Agentbeheer. Kopieer de werkruimte-id en primaire sleutel en plak deze opzij voor gebruik tijdens het implementatieproces. |
| [Optioneel]Machtigingen voor het maken van Azure-resources | U moet minimaal over de benodigde machtigingen beschikken om oplossingen te implementeren vanuit de Microsoft Sentinel-inhoudshub. Zie de catalogus van de Microsoft Sentinel-inhoudshub voor meer informatie. |
| [Optioneel]Machtigingen voor het maken van een Azure-sleutelkluis of het openen van een bestaande sleutelkluis | Het aanbevolen implementatiescenario is om Azure Key Vault te gebruiken om geheimen op te slaan die nodig zijn om verbinding te maken met uw SAP-systeem. Zie de documentatie voor Azure Key Vault voor meer informatie. |
Systeemvereisten
| Vereiste | Beschrijving |
|---|---|
| Systeemarchitectuur | Het gegevensconnectoronderdeel van de SAP-oplossing wordt geïmplementeerd als een Docker-container en elke SAP-client vereist een eigen containerinstantie. De containerhost kan een fysieke machine of een virtuele machine zijn, kan zich on-premises of in een cloud bevinden. De VM die als host fungeert voor de container hoeft zich niet in hetzelfde Azure-abonnement te bevinden als uw Microsoft Sentinel-werkruimte of zelfs in dezelfde Azure AD tenant. |
| Aanbevelingen voor het aanpassen van de grootte van virtuele machines | Minimale specificatie, zoals voor een testomgeving: Standard_B2s VM, met: - 2 kernen - 4 GB RAM Standaardconnector (standaard): Standard_D2as_v5 VM of Standard_D2_v5 VM, met: - 2 kernen - 8 GB RAM Meerdere connectors: Standard_D4as_v5 of Standard_D4_v5 VM, met: - 4 kernen - 16 GB RAM |
| Beheerdersbevoegdheden | Beheerdersbevoegdheden (root) zijn vereist op de containerhostcomputer. |
| Ondersteunde Linux-versies | De SAP-gegevensconnectoragent is getest met de volgende Linux-distributies: - Ubuntu 18.04 of hoger - SLES versie 15 of hoger - RHEL versie 7.7 of hoger Als u een ander besturingssysteem hebt, moet u de container mogelijk handmatig implementeren en configureren in plaats van het kickstart-script te gebruiken. |
| Netwerkverbinding | Zorg ervoor dat de containerhost toegang heeft tot: - Microsoft Sentinel - Azure Key Vault (in een implementatiescenario waarin Azure Key Vault wordt gebruikt om geheimen op te slaan - SAP-systeem via de volgende TCP-poorten: 32xx, 5xx13, 33xx, 48xx (wanneer SNC wordt gebruikt), waarbij xx het sap-exemplaarnummer is. |
| Softwarehulpprogramma's | Het implementatiescript van de SAP-gegevensconnector installeert de volgende vereiste software op de VM van de containerhost (afhankelijk van de gebruikte Linux-distributie kan de lijst enigszins verschillen): - Unzip - Netcat - Docker - jq - Curl |
SAP-vereisten
| Vereiste | Beschrijving |
|---|---|
| Ondersteunde SAP-versies | De SAP-gegevensconnectoragent ondersteunt SAP NetWeaver-systemen en is getest op SAP_BASIS versies 731 en hoger. Bepaalde stappen in deze zelfstudie bieden alternatieve instructies als u werkt met de oudere SAP_BASIS versie 740. |
| Vereiste software | SAP NetWeaver RFC SDK 7.50 (download hier) Zorg ervoor dat u ook een SAP-gebruikersaccount hebt om toegang te krijgen tot de sap-softwaredownloadpagina. |
| SAP-systeemdetails | Noteer de volgende SAP-systeemdetails voor gebruik in deze zelfstudie: - IP-adres van SAP-systeem en FQDN-hostnaam - SAP-systeemnummer, zoals 00- SAP-systeem-id, van het SAP NetWeaver-systeem (bijvoorbeeld NPL)- SAP-client-id, zoals 001 |
| Toegang tot SAP NetWeaver-exemplaar | De SAP-gegevensconnectoragent gebruikt een van de volgende mechanismen om te verifiëren bij het SAP-systeem: - SAP ABAP-gebruiker/wachtwoord - Een gebruiker met een X.509-certificaat (voor deze optie zijn aanvullende configuratiestappen vereist) |
Validatiestappen voor SAP-omgeving
Notitie
Stapsgewijze instructies voor het implementeren van een CR en het toewijzen van de vereiste rol zijn beschikbaar in de handleiding SAP-AANVRAGEN en autorisatie configureren . Bepaal welke CA's moeten worden geïmplementeerd, haal de relevante CA's op uit de koppelingen in de onderstaande tabellen en ga verder met de stapsgewijze handleiding.
Een rol maken en configureren (vereist)
Als u wilt dat de SAP-gegevensconnector verbinding kan maken met uw SAP-systeem, moet u een rol maken. Maak de rol door CR NPLK900271 te implementeren of door de rolautorisaties te laden vanuit het MSFTSEN_SENTINEL_CONNECTOR_ROLE_V0.0.27.SAP-bestand .
Notitie
U kunt ook een rol met minimale machtigingen maken door de wijzigingsaanvraag NPLK900268 te implementeren of de rolautorisaties te laden vanuit het MSFTSEN_SENTINEL_AGENT_BASIC_ROLE_V0.0.1.SAP-bestand . Met dit wijzigingsaanvraag- of autorisatiebestand wordt de rol /MSFTSEN/SENTINEL_AGENT_BASIC gemaakt. Deze rol heeft de minimaal vereiste machtigingen om de gegevensconnector te laten werken. Houd er rekening mee dat als u ervoor kiest om deze rol te implementeren, u deze mogelijk regelmatig moet bijwerken.
Ervaren SAP-beheerders kunnen ervoor kiezen om de rol handmatig te maken en deze de juiste machtigingen toe te wijzen. In een dergelijk geval is het niet nodig om de CR NPLK900271 te implementeren, maar moet u in plaats daarvan een rol maken met behulp van de aanbevelingen die worden beschreven in Expert: SAP-AANVRAGEN implementeren en de vereiste ABAP-autorisaties implementeren.
| SAP BASIS-versies | Voorbeeld van CR |
|---|---|
| Elke versie | NPLK900271: K900271.NPL, R900271.NPL |
Aanvullende informatie ophalen uit SAP (optioneel)
U kunt extra CA's implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel om de SAP-gegevensconnector in staat te stellen bepaalde gegevens op te halen uit uw SAP-systeem.
- SAP BASIS 7.5 SP12 en hoger: ip-adresgegevens van client uit beveiligingscontrolelogboek
- ELKE SAP BASIS-versie: DB-tabellogboeken, Spool-uitvoerlogboek
| SAP BASIS-versies | Aanbevolen CR | Notities |
|---|---|---|
| - 750 en hoger | NPLK900202: K900202.NPL, R900202.NPL | Implementeer de relevante SAP-notitie. |
| - 740 | NPLK900201: K900201.NPL, R900201.NPL |
SAP-notitie implementeren (optioneel)
Als u ervoor kiest om aanvullende informatie op te halen met de optionele CR NPLK900202, moet u ervoor zorgen dat de volgende SAP-notitie is geïmplementeerd in uw SAP-systeem, op basis van de versie:
| SAP BASIS-versies | Notities |
|---|---|
| - 750 SP04 naar SP12 - 751 SP00 naar SP06 - 752 SP00 naar SP02 |
2641084 : gestandaardiseerde leestoegang tot gegevens van het beveiligingscontrolelogboek* |
Volgende stappen
Nadat u hebt gecontroleerd of aan alle vereisten is voldaan, gaat u verder met de volgende stap om de vereiste CER's in uw SAP-systeem te implementeren en autorisatie te configureren.