Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®

W tym artykule wymieniono wymagania wstępne wymagane do wdrożenia rozwiązania Microsoft Sentinel dla aplikacji SAP®.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Punkty kontrolne wdrożenia

Śledź podróż po wdrożeniu rozwiązania SAP, korzystając z tej serii artykułów:

1. Omówienie wdrażania

2. Wymagania wstępne dotyczące wdrożenia (jesteś tutaj)

3. Praca z rozwiązaniem w wielu obszarach roboczych (WERSJA ZAPOZNAWCZA)

4. Przygotowywanie środowiska SAP

5. Konfigurowanie inspekcji

6. Wdrażanie zawartości rozwiązania z centrum zawartości

7. Wdrażanie agenta łącznika danych

8. Konfigurowanie rozwiązania Microsoft Sentinel dla aplikacji SAP®

9. Opcjonalne kroki wdrażania

   • Konfigurowanie łącznika danych do korzystania z bezpiecznej komunikacji sieciowej (SNC)
   • Zbieranie dzienników inspekcji oprogramowania SAP HANA
   • Konfigurowanie reguł monitorowania dziennika inspekcji
   • Ręczne wdrażanie łącznika SAP
   • Wybieranie profilów pozyskiwania oprogramowania SAP

Tabela wymagań wstępnych

Aby pomyślnie wdrożyć rozwiązanie Microsoft Sentinel dla aplikacji SAP®, należy spełnić następujące wymagania wstępne:

Wymagania wstępne platformy Azure

Wymaganie wstępne	opis	Wymagane/opcjonalne
Dostęp do usługi Microsoft Sentinel	Zanotuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy. Te szczegóły można znaleźć w usłudze Microsoft Sentinel: z menu nawigacji wybierz pozycję Ustawienia> Zasadzanie agentami> przestrzeni roboczych. Skopiuj identyfikator obszaru roboczego i klucz podstawowy i wklej je do użytku podczas procesu wdrażania.	Wymagania
Uprawnienia do tworzenia zasobów platformy Azure	Co najmniej musisz mieć niezbędne uprawnienia do wdrażania rozwiązań z centrum zawartości usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz katalog centrum zawartości usługi Microsoft Sentinel.	Wymagania
Uprawnienia do tworzenia magazynu kluczy platformy Azure lub uzyskiwania dostępu do istniejącego magazynu	Usługa Azure Key Vault umożliwia przechowywanie wpisów tajnych wymaganych do nawiązania połączenia z systemem SAP (zalecane, jeśli jest to wymagane wymaganie wstępne). Aby uzyskać więcej informacji, zobacz Przypisywanie uprawnień dostępu do magazynu kluczy.	Wymagane, jeśli planujesz przechowywać poświadczenia systemu SAP w usłudze Azure Key Vault. Opcjonalnie, jeśli planujesz przechowywać je w pliku konfiguracji. Aby uzyskać więcej informacji, zobacz Tworzenie maszyny wirtualnej i konfigurowanie dostępu do poświadczeń.
Uprawnienia do przypisywania roli uprzywilejowanej do agenta łącznika danych SAP	Wdrożenie agenta łącznika danych SAP wymaga udzielenia tożsamości maszyny wirtualnej agenta z określonymi uprawnieniami do obszaru roboczego usługi Microsoft Sentinel przy użyciu roli Operator agenta aplikacji biznesowych usługi Microsoft Sentinel. Aby przyznać tę rolę, musisz mieć uprawnienia właściciela w grupie zasobów, w której znajduje się obszar roboczy usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wdrażanie agenta łącznika danych.	Wymagany. Jeśli nie masz uprawnień właściciela do grupy zasobów, odpowiedni krok może być również wykonywany przez innego użytkownika, który ma odpowiednie uprawnienia, oddzielnie po pełnym wdrożeniu agenta.

Wymagania wstępne systemu

Wymaganie wstępne	opis
Architektura systemu	Składnik łącznika danych rozwiązania SAP jest wdrażany jako kontener platformy Docker, a każdy klient SAP wymaga własnego wystąpienia kontenera. Host kontenera może być maszyną fizyczną lub maszyną wirtualną, może znajdować się lokalnie lub w dowolnej chmurze. Maszyna wirtualna hostująca kontener nie musi znajdować się w tej samej subskrypcji platformy Azure co obszar roboczy usługi Microsoft Sentinel, a nawet w tej samej dzierżawie firmy Microsoft Entra.
Zalecenia dotyczące określania rozmiaru maszyny wirtualnej	Minimalna specyfikacja, taka jak środowisko laboratoryjne: Standard_B2s maszyny wirtualnej z: - Dwa rdzenie - 4 GB pamięci RAM Łącznik standardowy (ustawienie domyślne): Standard_D2as_v5 maszyny wirtualnej lub Standard_D2_v5 maszyny wirtualnej z: - Dwa rdzenie - 8 GB pamięci RAM Wiele łączników: Standard_D4as_v5 lub Standard_D4_v5 maszyny wirtualnej z: - Cztery rdzenie - 16 GB pamięci RAM
uprawnienia Administracja istracyjne	uprawnienia Administracja istracyjne (root) są wymagane na maszynie hosta kontenera.
Obsługiwane wersje systemu Linux	Agent łącznika danych SAP jest testowany przy użyciu następujących dystrybucji systemu Linux: — Ubuntu 18.04 lub nowszy - SLES w wersji 15 lub nowszej - RHEL w wersji 7.7 lub nowszej Jeśli masz inny system operacyjny, może być konieczne ręczne wdrożenie i skonfigurowanie kontenera. Aby uzyskać więcej informacji, otwórz bilet pomocy technicznej.
Łączność sieciowa	Upewnij się, że host kontenera ma dostęp do: — Microsoft Sentinel — Azure Key Vault (w scenariuszu wdrażania, w którym usługa Azure Key Vault jest używana do przechowywania wpisów tajnych) - System SAP za pośrednictwem następujących portów TCP: 32xx, 5xx13, 33xx, 48xx (w przypadku użycia SNC), gdzie xx jest numerem wystąpienia SAP.
Narzędzia programowe	Skrypt wdrażania łącznika danych SAP instaluje następujące wymagane oprogramowanie na maszynie wirtualnej hosta kontenera (w zależności od używanej dystrybucji systemu Linux lista może się nieznacznie różnić): - Rozpakuj - Netcat - Docker - Jq - Curl
Tożsamość zarządzana lub jednostka usługi	Najnowsza wersja agenta łącznika danych SAP wymaga tożsamości zarządzanej lub jednostki usługi do uwierzytelniania w usłudze Microsoft Sentinel. Starsi agenci są obsługiwani w przypadku aktualizacji do najnowszej wersji, a następnie muszą używać tożsamości zarządzanej lub jednostki usługi, aby kontynuować aktualizowanie do kolejnych wersji.

Wymagania wstępne dotyczące oprogramowania SAP

Wymaganie wstępne	opis
Obsługiwane wersje oprogramowania SAP	Agent łącznika danych SAP obsługuje systemy SAP NetWeaver i został przetestowany na SAP_BASIS w wersji 731 lub nowszej. Niektóre kroki w tym samouczku zawierają alternatywne instrukcje, jeśli pracujesz nad starszymi SAP_BASIS w wersji 740.
Wymagane oprogramowanie	SAP NetWeaver RFC SDK 7.50 (pobierz tutaj) Upewnij się, że masz również konto użytkownika sap, aby uzyskać dostęp do strony pobierania oprogramowania SAP.
Szczegóły systemu SAP	Zanotuj następujące szczegóły systemu SAP do użycia w tym samouczku: - Adres IP systemu SAP i nazwa hosta nazwy FQDN — Numer systemu SAP, taki jak 00 — Identyfikator systemu SAP z systemu SAP NetWeaver (na przykład NPL) — Identyfikator klienta SAP, taki jak 001
Dostęp do wystąpienia oprogramowania SAP NetWeaver	Agent łącznika danych SAP używa jednego z następujących mechanizmów do uwierzytelniania w systemie SAP: — Użytkownik/hasło protokołu SAP ABAP — Użytkownik z certyfikatem X.509 (ta opcja wymaga dodatkowych kroków konfiguracji)

Kroki weryfikacji środowiska SAP

Uwaga

Instrukcje krok po kroku dotyczące wdrażania cr i przypisywania wymaganej roli są dostępne w przewodniku Wdrażanie odwołań SAP I konfigurowanie autoryzacji . Ustal, które reguły ściągnięcia należy wdrożyć, pobierz odpowiednie reguły ściągnięcia z linków w poniższych tabelach i przejdź do przewodnika krok po kroku.

• Tworzenie i konfigurowanie roli (wymagane)
• Pobieranie dodatkowych informacji z oprogramowania SAP (opcjonalnie)

Tworzenie i konfigurowanie roli (wymagane)

Aby umożliwić łącznikowi danych SAP nawiązywanie połączenia z systemem SAP, musisz utworzyć rolę. Utwórz rolę, ładując autoryzacje ról z pliku /MSFTSEN/SENTINEL_RESPONDER .

Rola /MSFTSEN/SENTINEL_RESPONDER obejmuje zarówno operacje pobierania dziennika, jak i reagowania na zakłócenia ataków. Aby włączyć tylko pobieranie dziennika, bez akcji reagowania na zakłócenia ataków wdróż oprogramowanie SAP NPLK900271 CR w systemie SAP lub załaduj autoryzacje ról z pliku MSFTSEN_SENTINEL_CONNECTOR. Rola /MSFTSEN/SENTINEL_CONNECTOR, która ma wszystkie podstawowe uprawnienia do działania łącznika danych.

Wersje PROGRAMU SAP BASIS	Przykładowy cr
Dowolna wersja	NPLK900271: K900271.NPL, R900271. NPL

Doświadczeni administratorzy SYSTEMU SAP mogą ręcznie utworzyć rolę i przypisać jej odpowiednie uprawnienia. W takich przypadkach należy postępować zgodnie z zalecanymi autoryzacjami dla każdego dziennika. Aby uzyskać więcej informacji, zobacz Wymagane autoryzacje ABAP.

Pobieranie dodatkowych informacji z oprogramowania SAP (opcjonalnie)

Dodatkowe reguły ściągnięcia można wdrożyć z repozytorium GitHub usługi Microsoft Sentinel, aby umożliwić łącznikowi danych SAP pobieranie pewnych informacji z systemu SAP.

• SAP BASIS 7.5 SP12 i nowsze: informacje o adresie IP klienta z dziennika inspekcji zabezpieczeń
• DOWOLNA WERSJA PROGRAMU SAP BASIS: dzienniki tabel bazy danych, dziennik danych wyjściowych puli

Wersje PROGRAMU SAP BASIS	Zalecana wartość CR	Uwagi
- 750 i nowsze	NPLK900202: K900202.NPL, R900202. NPL	Wdróż odpowiednią notatkę sap.
- 740	NPLK900201: K900201.NPL, R900201. NPL

Wdróż notatkę SAP (opcjonalnie)

Jeśli zdecydujesz się pobrać dodatkowe informacje z opcjonalnym NPLK900202 CR, upewnij się, że następująca uwaga SAP jest wdrożona w systemie SAP zgodnie z jego wersją:

Wersje PROGRAMU SAP BASIS	Uwagi
- 750 SP04 do SP12 - 751 SP00 do SP06 - 752 SP00 do SP02	2641084 — ustandaryzowany dostęp do odczytu do danych dziennika inspekcji zabezpieczeń*

Następne kroki

Po sprawdzeniu, czy zostały spełnione wszystkie wymagania wstępne, przejdź do następnego kroku, aby wdrożyć wymagane urzędy certyfikacji w systemie SAP i skonfigurować autoryzację.

Wdrażanie usług SAP CRs i konfigurowanie autoryzacji