Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
Dit artikel bevat de vereisten die vereist zijn voor de implementatie van de Microsoft Sentinel-oplossing voor SAP-toepassingen®.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Implementatie mijlpalen
Volg het implementatietraject van uw SAP-oplossing in deze reeks artikelen:
Implementatievereisten (u bent hier)
De inhoud van de oplossing implementeren vanuit de inhoudshub
Microsoft Sentinel-oplossing configureren voor SAP-toepassingen®
Optionele implementatiestappen
Tabel met vereisten
Als u de Microsoft Sentinel-oplossing voor SAP-toepassingen® wilt implementeren, moet u aan de volgende vereisten voldoen:
Vereisten voor Azure
| Vereiste | Beschrijving | Vereist/optioneel |
|---|---|---|
| Toegang tot Microsoft Sentinel | Noteer uw Microsoft Sentinel-werkruimte-id en primaire sleutel. U vindt deze details in Microsoft Sentinel: selecteer in het navigatiemenu Instellingen> Werkruimteinstellingen>Agents beheren. Kopieer de werkruimte-id en primaire sleutel en plak deze apart voor gebruik tijdens het implementatieproces. |
Vereist |
| Machtigingen voor het maken van Azure-resources | U moet minimaal over de benodigde machtigingen beschikken om oplossingen te implementeren vanuit de Microsoft Sentinel-inhoudshub. Zie de inhoudshubcatalogus van Microsoft Sentinel voor meer informatie. | Vereist |
| Machtigingen voor het maken van een Azure-sleutelkluis of toegang tot een bestaande sleutelkluis | Gebruik Azure Key Vault om geheimen op te slaan die nodig zijn om verbinding te maken met uw SAP-systeem (aanbevolen wanneer dit een vereiste is). Zie Toegangsmachtigingen voor key vault toewijzen voor meer informatie. | Vereist als u de SAP-systeemreferenties wilt opslaan in Azure Key Vault. Optioneel als u van plan bent om ze op te slaan in een configuratiebestand. Zie Een virtuele machine maken en toegang tot uw referenties configureren voor meer informatie. |
| Machtigingen voor het toewijzen van een bevoorrechte rol aan de SAP-gegevensconnectoragent | Voor het implementeren van de SAP-gegevensconnectoragent moet u de VM-identiteit van uw agent met specifieke machtigingen verlenen aan de Microsoft Sentinel-werkruimte, met behulp van de rol Agentoperator voor Microsoft Sentinel Business Applications. Als u deze rol wilt verlenen, hebt u eigenaarsmachtigingen nodig voor de resourcegroep waarin uw Microsoft Sentinel-werkruimte zich bevindt. Zie De agent voor de gegevensconnector implementeren voor meer informatie. |
Vereist. Als u geen eigenaarsmachtigingen voor de resourcegroep hebt, kan de relevante stap ook worden uitgevoerd door een andere gebruiker die de relevante machtigingen heeft, afzonderlijk nadat de agent volledig is geïmplementeerd. |
Systeemvereisten
| Vereiste | Beschrijving |
|---|---|
| Systeemarchitectuur | Het gegevensconnectoronderdeel van de SAP-oplossing wordt geïmplementeerd als een Docker-container en elke SAP-client vereist een eigen containerinstantie. De containerhost kan een fysieke machine of een virtuele machine zijn, kan zich on-premises of in elke cloud bevinden. De VM die als host fungeert voor de container hoeft zich niet te bevinden in hetzelfde Azure-abonnement als uw Microsoft Sentinel-werkruimte of zelfs in dezelfde Microsoft Entra-tenant. |
| Aanbevelingen voor het aanpassen van de grootte van virtuele machines | Minimale specificatie, zoals voor een testomgeving: Standard_B2s VM met: - Twee kernen - 4 GB RAM-geheugen Standaardconnector (standaard): Standard_D2as_v5 VM of Standard_D2_v5 VM met: - Twee kernen - 8 GB RAM-geheugen Meerdere connectors: Standard_D4as_v5 of Standard_D4_v5 VM met: - Vier kernen - 16 GB RAM |
| Beheer bevoegdheden | Beheer bevoegdheden (root) zijn vereist op de hostcomputer van de container. |
| Ondersteunde Linux-versies | De SAP-gegevensconnectoragent wordt getest met de volgende Linux-distributies: - Ubuntu 18.04 of hoger - SLES versie 15 of hoger - RHEL versie 7.7 of hoger Als u een ander besturingssysteem hebt, moet u de container mogelijk handmatig implementeren en configureren. Open een ondersteuningsticket voor meer informatie. |
| Netwerkverbinding | Zorg ervoor dat de containerhost toegang heeft tot: - Microsoft Sentinel - Azure Key Vault (in implementatiescenario waarin Azure Key Vault wordt gebruikt voor het opslaan van geheimen - SAP-systeem via de volgende TCP-poorten: 32xx, 5xx13, 33xx, 48xx (wanneer SNC wordt gebruikt), waarbij xx het SAP-exemplaarnummer is. |
| Hulpprogramma's voor software | Het implementatiescript voor de SAP-gegevensconnector installeert de volgende vereiste software op de containerhost-VM (afhankelijk van de gebruikte Linux-distributie kan de lijst enigszins variëren): - Unzip - Netcat - Docker - jq - curl |
| Beheerde identiteit of service-principal | Voor de nieuwste versie van de SAP-gegevensconnectoragent is een beheerde identiteit of service-principal vereist voor verificatie bij Microsoft Sentinel. Verouderde agents worden ondersteund voor updates naar de nieuwste versie en moeten vervolgens een beheerde identiteit of service-principal gebruiken om door te gaan met het bijwerken naar volgende versies. |
SAP-vereisten
| Vereiste | Beschrijving |
|---|---|
| Ondersteunde SAP-versies | De SAP-gegevensconnectoragent ondersteunt SAP NetWeaver-systemen en is getest op SAP_BASIS versies 731 en hoger. Bepaalde stappen in deze zelfstudie bevatten alternatieve instructies als u aan de oudere SAP_BASIS versie 740 werkt. |
| Vereiste software | SAP NetWeaver RFC SDK 7.50 (download hier) Zorg ervoor dat u ook een SAP-gebruikersaccount hebt om toegang te krijgen tot de sap-softwaredownloadpagina. |
| SAP-systeemdetails | Noteer de volgende SAP-systeemdetails voor gebruik in deze zelfstudie: - IP-adres van SAP-systeem en FQDN-hostnaam - SAP-systeemnummer, zoals 00- SAP-systeem-id, van het SAP NetWeaver-systeem (bijvoorbeeld NPL) - SAP-client-id, zoals 001 |
| Toegang tot SAP NetWeaver-exemplaar | De SAP-gegevensconnectoragent maakt gebruik van een van de volgende mechanismen om te verifiëren bij het SAP-systeem: - SAP ABAP-gebruiker/wachtwoord - Een gebruiker met een X.509-certificaat (deze optie vereist extra configuratiestappen) |
Validatiestappen voor SAP-omgeving
Notitie
Stapsgewijze instructies voor het implementeren van een CR en het toewijzen van de vereiste rol zijn beschikbaar in de implementatiehandleiding voor SAP-AANVRAGEN en het configureren van autorisatiehandleiding . Bepaal welke CA's moeten worden geïmplementeerd, haal de relevante CR's op uit de koppelingen in de onderstaande tabellen en ga verder met de stapsgewijze handleiding.
Een rol maken en configureren (vereist)
Als u wilt toestaan dat de SAP-gegevensconnector verbinding maakt met uw SAP-systeem, moet u een rol maken. Maak de rol door de rolautorisaties te laden vanuit het bestand /MSFTSEN/SENTINEL_RESPONDER .
De rol /MSFTSEN/SENTINEL_RESPONDER omvat zowel acties voor het ophalen van logboeken als reacties op aanvallen. Als u alleen het ophalen van logboeken wilt inschakelen, zonder reactieacties voor aanvalsonderbreking, implementeert u de SAP-NPLK900271 CR op het SAP-systeem of laadt u de rolautorisaties uit het MSFTSEN_SENTINEL_CONNECTOR-bestand. De rol /MSFTSEN/SENTINEL_CONNECTOR met alle basismachtigingen voor de gegevensconnector.
| SAP BASIS-versies | Voorbeeld van CR |
|---|---|
| Elke versie | NPLK900271: K900271.NPL, R900271. NPL |
Ervaren SAP-beheerders kunnen ervoor kiezen om de rol handmatig te maken en deze de juiste machtigingen toe te wijzen. Zorg er in dergelijke gevallen voor dat u de aanbevolen autorisaties voor elk logboek volgt. Zie Vereiste ABAP-autorisaties voor meer informatie.
Aanvullende informatie ophalen uit SAP (optioneel)
U kunt extra CR's implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel om de SAP-gegevensconnector in staat te stellen bepaalde gegevens op te halen uit uw SAP-systeem.
- SAP BASIS 7.5 SP12 en hoger: CLIENT-IP-adresgegevens uit beveiligingscontrolelogboek
- ELKE SAP BASIS-versie: DB-tabellogboeken, Spool-uitvoerlogboek
| SAP BASIS-versies | Aanbevolen CR | Opmerkingen |
|---|---|---|
| - 750 en hoger | NPLK900202: K900202.NPL, R900202. NPL | Implementeer de relevante SAP-notitie. |
| - 740 | NPLK900201: K900201.NPL, R900201. NPL |
SAP-notitie implementeren (optioneel)
Als u ervoor kiest om aanvullende informatie op te halen met de NPLK900202 optionele CR, moet u ervoor zorgen dat de volgende SAP-notitie is geïmplementeerd in uw SAP-systeem, volgens de bijbehorende versie:
| SAP BASIS-versies | Opmerkingen |
|---|---|
| - 750 SP04 naar SP12 - 751 SP00 naar SP06 - 752 SP00 naar SP02 |
2641084 - Gestandaardiseerde leestoegang tot gegevens van beveiligingscontrolelogboek* |
Volgende stappen
Nadat u hebt gecontroleerd of aan alle vereisten is voldaan, gaat u verder met de volgende stap om de vereiste CA's in uw SAP-systeem te implementeren en autorisatie te configureren.