Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®
W tym artykule wymieniono wymagania wstępne wymagane do wdrożenia rozwiązania Microsoft Sentinel dla aplikacji SAP®.
Ważne
Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Punkty kontrolne wdrożenia
Śledź podróż po wdrożeniu rozwiązania SAP, korzystając z tej serii artykułów:
Wymagania wstępne dotyczące wdrożenia (jesteś tutaj)
Praca z rozwiązaniem w wielu obszarach roboczych (WERSJA ZAPOZNAWCZA)
Konfigurowanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
Opcjonalne kroki wdrażania
Tabela wymagań wstępnych
Aby pomyślnie wdrożyć rozwiązanie Microsoft Sentinel dla aplikacji SAP®, należy spełnić następujące wymagania wstępne:
Wymagania wstępne platformy Azure
Wymaganie wstępne | opis | Wymagane/opcjonalne |
---|---|---|
Dostęp do usługi Microsoft Sentinel | Zanotuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy. Te szczegóły można znaleźć w usłudze Microsoft Sentinel: z menu nawigacji wybierz pozycję Ustawienia> Zasadzanie agentami> przestrzeni roboczych. Skopiuj identyfikator obszaru roboczego i klucz podstawowy i wklej je do użytku podczas procesu wdrażania. |
Wymagania |
Uprawnienia do tworzenia zasobów platformy Azure | Co najmniej musisz mieć niezbędne uprawnienia do wdrażania rozwiązań z centrum zawartości usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz katalog centrum zawartości usługi Microsoft Sentinel. | Wymagania |
Uprawnienia do tworzenia magazynu kluczy platformy Azure lub uzyskiwania dostępu do istniejącego magazynu | Usługa Azure Key Vault umożliwia przechowywanie wpisów tajnych wymaganych do nawiązania połączenia z systemem SAP (zalecane, jeśli jest to wymagane wymaganie wstępne). Aby uzyskać więcej informacji, zobacz Przypisywanie uprawnień dostępu do magazynu kluczy. | Wymagane, jeśli planujesz przechowywać poświadczenia systemu SAP w usłudze Azure Key Vault. Opcjonalnie, jeśli planujesz przechowywać je w pliku konfiguracji. Aby uzyskać więcej informacji, zobacz Tworzenie maszyny wirtualnej i konfigurowanie dostępu do poświadczeń. |
Uprawnienia do przypisywania roli uprzywilejowanej do agenta łącznika danych SAP | Wdrożenie agenta łącznika danych SAP wymaga udzielenia tożsamości maszyny wirtualnej agenta z określonymi uprawnieniami do obszaru roboczego usługi Microsoft Sentinel przy użyciu roli Operator agenta aplikacji biznesowych usługi Microsoft Sentinel. Aby przyznać tę rolę, musisz mieć uprawnienia właściciela w grupie zasobów, w której znajduje się obszar roboczy usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wdrażanie agenta łącznika danych. |
Wymagany. Jeśli nie masz uprawnień właściciela do grupy zasobów, odpowiedni krok może być również wykonywany przez innego użytkownika, który ma odpowiednie uprawnienia, oddzielnie po pełnym wdrożeniu agenta. |
Wymagania wstępne systemu
Wymaganie wstępne | opis |
---|---|
Architektura systemu | Składnik łącznika danych rozwiązania SAP jest wdrażany jako kontener platformy Docker, a każdy klient SAP wymaga własnego wystąpienia kontenera. Host kontenera może być maszyną fizyczną lub maszyną wirtualną, może znajdować się lokalnie lub w dowolnej chmurze. Maszyna wirtualna hostująca kontener nie musi znajdować się w tej samej subskrypcji platformy Azure co obszar roboczy usługi Microsoft Sentinel, a nawet w tej samej dzierżawie firmy Microsoft Entra. |
Zalecenia dotyczące określania rozmiaru maszyny wirtualnej | Minimalna specyfikacja, taka jak środowisko laboratoryjne: Standard_B2s maszyny wirtualnej z: - Dwa rdzenie - 4 GB pamięci RAM Łącznik standardowy (ustawienie domyślne): Standard_D2as_v5 maszyny wirtualnej lub Standard_D2_v5 maszyny wirtualnej z: - Dwa rdzenie - 8 GB pamięci RAM Wiele łączników: Standard_D4as_v5 lub Standard_D4_v5 maszyny wirtualnej z: - Cztery rdzenie - 16 GB pamięci RAM |
uprawnienia Administracja istracyjne | uprawnienia Administracja istracyjne (root) są wymagane na maszynie hosta kontenera. |
Obsługiwane wersje systemu Linux | Agent łącznika danych SAP jest testowany przy użyciu następujących dystrybucji systemu Linux: — Ubuntu 18.04 lub nowszy - SLES w wersji 15 lub nowszej - RHEL w wersji 7.7 lub nowszej Jeśli masz inny system operacyjny, może być konieczne ręczne wdrożenie i skonfigurowanie kontenera. Aby uzyskać więcej informacji, otwórz bilet pomocy technicznej. |
Łączność sieciowa | Upewnij się, że host kontenera ma dostęp do: — Microsoft Sentinel — Azure Key Vault (w scenariuszu wdrażania, w którym usługa Azure Key Vault jest używana do przechowywania wpisów tajnych) - System SAP za pośrednictwem następujących portów TCP: 32xx, 5xx13, 33xx, 48xx (w przypadku użycia SNC), gdzie xx jest numerem wystąpienia SAP. |
Narzędzia programowe | Skrypt wdrażania łącznika danych SAP instaluje następujące wymagane oprogramowanie na maszynie wirtualnej hosta kontenera (w zależności od używanej dystrybucji systemu Linux lista może się nieznacznie różnić): - Rozpakuj - Netcat - Docker - Jq - Curl |
Tożsamość zarządzana lub jednostka usługi | Najnowsza wersja agenta łącznika danych SAP wymaga tożsamości zarządzanej lub jednostki usługi do uwierzytelniania w usłudze Microsoft Sentinel. Starsi agenci są obsługiwani w przypadku aktualizacji do najnowszej wersji, a następnie muszą używać tożsamości zarządzanej lub jednostki usługi, aby kontynuować aktualizowanie do kolejnych wersji. |
Wymagania wstępne dotyczące oprogramowania SAP
Wymaganie wstępne | opis |
---|---|
Obsługiwane wersje oprogramowania SAP | Agent łącznika danych SAP obsługuje systemy SAP NetWeaver i został przetestowany na SAP_BASIS w wersji 731 lub nowszej. Niektóre kroki w tym samouczku zawierają alternatywne instrukcje, jeśli pracujesz nad starszymi SAP_BASIS w wersji 740. |
Wymagane oprogramowanie | SAP NetWeaver RFC SDK 7.50 (pobierz tutaj) Upewnij się, że masz również konto użytkownika sap, aby uzyskać dostęp do strony pobierania oprogramowania SAP. |
Szczegóły systemu SAP | Zanotuj następujące szczegóły systemu SAP do użycia w tym samouczku: - Adres IP systemu SAP i nazwa hosta nazwy FQDN — Numer systemu SAP, taki jak 00 — Identyfikator systemu SAP z systemu SAP NetWeaver (na przykład NPL ) — Identyfikator klienta SAP, taki jak 001 |
Dostęp do wystąpienia oprogramowania SAP NetWeaver | Agent łącznika danych SAP używa jednego z następujących mechanizmów do uwierzytelniania w systemie SAP: — Użytkownik/hasło protokołu SAP ABAP — Użytkownik z certyfikatem X.509 (ta opcja wymaga dodatkowych kroków konfiguracji) |
Kroki weryfikacji środowiska SAP
Uwaga
Instrukcje krok po kroku dotyczące wdrażania cr i przypisywania wymaganej roli są dostępne w przewodniku Wdrażanie odwołań SAP I konfigurowanie autoryzacji . Ustal, które reguły ściągnięcia należy wdrożyć, pobierz odpowiednie reguły ściągnięcia z linków w poniższych tabelach i przejdź do przewodnika krok po kroku.
- Tworzenie i konfigurowanie roli (wymagane)
- Pobieranie dodatkowych informacji z oprogramowania SAP (opcjonalnie)
Tworzenie i konfigurowanie roli (wymagane)
Aby umożliwić łącznikowi danych SAP nawiązywanie połączenia z systemem SAP, musisz utworzyć rolę. Utwórz rolę, ładując autoryzacje ról z pliku /MSFTSEN/SENTINEL_RESPONDER .
Rola /MSFTSEN/SENTINEL_RESPONDER obejmuje zarówno operacje pobierania dziennika, jak i reagowania na zakłócenia ataków. Aby włączyć tylko pobieranie dziennika, bez akcji reagowania na zakłócenia ataków wdróż oprogramowanie SAP NPLK900271 CR w systemie SAP lub załaduj autoryzacje ról z pliku MSFTSEN_SENTINEL_CONNECTOR. Rola /MSFTSEN/SENTINEL_CONNECTOR, która ma wszystkie podstawowe uprawnienia do działania łącznika danych.
Wersje PROGRAMU SAP BASIS | Przykładowy cr |
---|---|
Dowolna wersja | NPLK900271: K900271.NPL, R900271. NPL |
Doświadczeni administratorzy SYSTEMU SAP mogą ręcznie utworzyć rolę i przypisać jej odpowiednie uprawnienia. W takich przypadkach należy postępować zgodnie z zalecanymi autoryzacjami dla każdego dziennika. Aby uzyskać więcej informacji, zobacz Wymagane autoryzacje ABAP.
Pobieranie dodatkowych informacji z oprogramowania SAP (opcjonalnie)
Dodatkowe reguły ściągnięcia można wdrożyć z repozytorium GitHub usługi Microsoft Sentinel, aby umożliwić łącznikowi danych SAP pobieranie pewnych informacji z systemu SAP.
- SAP BASIS 7.5 SP12 i nowsze: informacje o adresie IP klienta z dziennika inspekcji zabezpieczeń
- DOWOLNA WERSJA PROGRAMU SAP BASIS: dzienniki tabel bazy danych, dziennik danych wyjściowych puli
Wersje PROGRAMU SAP BASIS | Zalecana wartość CR | Uwagi |
---|---|---|
- 750 i nowsze | NPLK900202: K900202.NPL, R900202. NPL | Wdróż odpowiednią notatkę sap. |
- 740 | NPLK900201: K900201.NPL, R900201. NPL |
Wdróż notatkę SAP (opcjonalnie)
Jeśli zdecydujesz się pobrać dodatkowe informacje z opcjonalnym NPLK900202 CR, upewnij się, że następująca uwaga SAP jest wdrożona w systemie SAP zgodnie z jego wersją:
Wersje PROGRAMU SAP BASIS | Uwagi |
---|---|
- 750 SP04 do SP12 - 751 SP00 do SP06 - 752 SP00 do SP02 |
2641084 — ustandaryzowany dostęp do odczytu do danych dziennika inspekcji zabezpieczeń* |
Następne kroki
Po sprawdzeniu, czy zostały spełnione wszystkie wymagania wstępne, przejdź do następnego kroku, aby wdrożyć wymagane urzędy certyfikacji w systemie SAP i skonfigurować autoryzację.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla