Partilhar via

Configure seu sistema SAP para a solução Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo descreve como preparar seu ambiente SAP para se conectar ao conector de dados SAP. A preparação é diferente, dependendo se você está usando o agente do conector de dados em contêiner. Selecione a opção na parte superior da página que corresponde ao seu ambiente.

Este artigo faz parte da segunda etapa na implantação da solução Microsoft Sentinel para aplicativos SAP.

Diagrama do fluxo de implementação da solução Microsoft Sentinel para aplicações SAP, com a etapa de preparação SAP em destaque.

Os procedimentos neste artigo são normalmente executados pela sua equipe SAP BASIS .

Este artigo faz parte da segunda etapa na implantação da solução Microsoft Sentinel para aplicativos SAP. Embora as etapas executadas no Microsoft Sentinel exijam que a solução seja instalada primeiro, outros preparativos no ambiente SAP podem acontecer em paralelo.

Diagrama do fluxo de implementação da solução Microsoft Sentinel para aplicações SAP, com a etapa de preparação SAP em destaque.

Muitos dos procedimentos neste artigo são normalmente executados pela sua equipe SAP BASIS . Alguns passos incluem a sua equipa de segurança também.

Importante

O conector de dados sem agente do Microsoft Sentinel para SAP está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Pré-requisitos

  • Se você estiver trabalhando com o conector de dados sem agente, algumas etapas serão executadas no Microsoft Sentinel e exigirão que a solução seja instalada primeiro.

Configurar a função Microsoft Sentinel

Para permitir que o conector de dados SAP se conecte ao seu sistema SAP, você deve criar uma função de sistema SAP especificamente para essa finalidade.

Recomendamos a criação dessa função implantando a solicitação de alteração (CR) SAP NPLK900271 : K900271.NPL | R900271.NPL

Implante os CRs em seu sistema SAP conforme necessário, assim como implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador de sistema SAP experiente. Para obter mais informações, consulte a documentação do SAP.

Como alternativa, carregue as autorizações de função do arquivo MSFTSEN_SENTINEL_CONNECTOR , que inclui todas as permissões básicas para o conector de dados operar.

Administradores SAP experientes podem optar por criar a função manualmente e atribuir-lhe as permissões apropriadas. Nesses casos, crie uma função manualmente com as autorizações relevantes necessárias para os registos que pretende ingerir. Para obter mais informações, consulte Autorizações ABAP necessárias. Exemplos na nossa documentação usam o nome /MSFTSEN/SENTINEL_RESPONDER.

Ao configurar a função, recomendamos que você:

  • Gere um perfil de função ativa para o Microsoft Sentinel executando a transação PFCG .
  • Use /MSFTSEN/SENTINEL_RESPONDER como o nome da função.

Crie uma função usando o modelo MSFTSEN_SENTINEL_READER , que inclui todas as permissões básicas para o conector de dados operar.

Para obter mais informações, consulte a documentação do SAP sobre a criação de funções.

Criar um utilizador

A solução Microsoft Sentinel para aplicativos SAP requer uma conta de usuário para se conectar ao seu sistema SAP. Ao criar seu usuário:

  • Certifique-se de criar um usuário do sistema.
  • Atribua a função /MSFTSEN/SENTINEL_RESPONDER ao usuário, que você criou na etapa anterior.
  • Certifique-se de criar um usuário do sistema.
  • Atribua a função MSFTSEN_SENTINEL_READER ao usuário, que você criou na etapa anterior.

Para obter mais informações, consulte a documentação do SAP.

Configurar auditoria SAP

Algumas instalações de sistemas SAP podem não ter o log de auditoria habilitado por padrão. Para obter melhores resultados na avaliação do desempenho e da eficácia da solução Microsoft Sentinel para aplicativos SAP, habilite a auditoria do seu sistema SAP e configure os parâmetros de auditoria. Para ingerir logs do SAP HANA DB, certifique-se de ativar também a funcionalidade de auditoria para o SAP HANA DB.

Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças de custo de ingestão são geralmente mínimas e os dados são úteis para as deteções do Microsoft Sentinel e em investigações e procura pós-compromisso.

Para cobertura total de monitoramento com o conector de dados sem agente, recomendamos que você habilite o monitoramento em todos os IDs de clientes de seus sistemas SAP monitorados, incluindo os clientes 000 e 066.

Para obter mais informações, consulte a comunidade SAP e Coletar logs de auditoria do SAP HANA no Microsoft Sentinel.

Configure seu sistema para usar SNC para conexões seguras

Por padrão, o agente do conector de dados SAP se conecta a um servidor SAP usando uma conexão RFC (chamada de função remota) e um nome de usuário e senha para autenticação.

No entanto, talvez seja necessário fazer a conexão em um canal criptografado ou usar certificados de cliente para autenticação. Nesses casos, use o Smart Network Communications (SNC) da SAP para proteger suas conexões de dados, conforme descrito nesta seção.

Em um ambiente de produção, é altamente recomendável que você consulte os administradores do SAP para criar um plano de implantação para configurar o SNC. Para obter mais informações, consulte a documentação do SAP.

Ao configurar o SNC:

  • Se o certificado do cliente tiver sido emitido por uma autoridade de certificação corporativa, transfira os certificados de CA emissores e de autoridade de certificação raiz para o sistema em que você planeja criar o agente do conector de dados.
  • Se você estiver usando o agente do conector de dados, certifique-se de inserir também os valores relevantes e usar os procedimentos relevantes ao configurar o contêiner do agente do conector de dados SAP. Se você estiver usando o conector de dados sem agente, a configuração do SNC será feita no SAP Cloud Connector.

Para obter mais informações sobre o SNC, consulte Introdução ao SAP SNC para integrações RFC - Blog da SAP.

Embora esta etapa seja opcional, recomendamos que você habilite o conector de dados SAP para recuperar as seguintes informações de conteúdo do seu sistema SAP:

  • Logs de tabela de banco de dados e logs de saída de spool
  • Informações de endereço IP do cliente dos logs de auditoria de segurança

  1. Implante as CRs relevantes a partir do repositório GitHub do Microsoft Sentinel, de acordo com sua versão SAP:

    Versões do SAP BASIS CR recomendado
    750 e superior NPLK900202: K900202.NPL, R900202.NPL

    Ao implantar este CR em qualquer uma das seguintes versões do SAP, implante também 2641084 - Acesso de leitura padronizado aos dados do Log de Auditoria de Segurança:
    - 750 SP04 a SP12
    - 751 SP00 a SP06
    - 752 SP00 a SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Implante os CRs em seu sistema SAP conforme necessário, assim como implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador de sistema SAP experiente. Para obter mais informações, consulte a documentação do SAP.

    Para obter mais informações, consulte a Comunidade SAP e a documentação do SAP.

  2. Para suportar as versões 7.31-7.5 SP12 do SAP BASIS no envio de informações de endereço IP do cliente para o Microsoft Sentinel, ative o registro em log para a tabela SAP USR41. Para obter mais informações, consulte a documentação do SAP.

Verifique se a tabela PAHI é atualizada em intervalos regulares

A tabela SAP PAHI inclui dados sobre o histórico do sistema SAP, o banco de dados e os parâmetros SAP. Em alguns casos, a solução Microsoft Sentinel para aplicativos SAP não pode monitorar a tabela SAP PAHI em intervalos regulares, devido à configuração ausente ou defeituosa. É importante atualizar a tabela PAHI e monitorá-la com frequência, para que a solução Microsoft Sentinel para aplicativos SAP possa alertar sobre ações suspeitas que podem acontecer a qualquer momento ao longo do dia. Para obter mais informações, consulte:

Se a tabela PAHI for atualizada regularmente, o trabalho SAP_COLLECTOR_FOR_PERFMONITOR será agendado e executado a cada hora. Se o SAP_COLLECTOR_FOR_PERFMONITOR trabalho não existir, certifique-se de configurá-lo conforme necessário.

Para obter mais informações, consulte Coletor de banco de dados em processamento em segundo plano e Configuração do coletor de dados.

Definir configurações do SAP BTP

  1. Na sua subconta SAP BTP, adicione direitos para os seguintes serviços:

    • Suíte de integração SAP
    • Tempo de execução da integração de processos SAP
    • Tempo de execução do Cloud Foundry

  2. Crie uma instância do Cloud Foundry Runtime e, em seguida, crie também um espaço do Cloud Foundry.

  3. Crie uma instância do SAP Integration Suite.

  4. Atribua o papel SAP BTP Integration_Provisioner à sua conta de utilizador da subconta SAP BTP.

  5. No SAP Integration Suite, adicione o recurso de integração na nuvem.

  6. Atribua as seguintes funções de integração de processo à sua conta de usuário:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Essas funções só estarão disponíveis depois que você ativar o recurso de integração na nuvem.

  7. Crie uma instância do SAP Process Integration Runtime em sua subconta.

  8. Crie uma chave de serviço para o SAP Process Integration Runtime e salve o conteúdo JSON em um local seguro. Você deve ativar o recurso de integração na nuvem antes de criar uma chave de serviço para o SAP Process Integration Runtime.

Para obter mais informações, consulte a documentação do SAP.

Configure o conector no Microsoft Sentinel e no seu sistema SAP

Este procedimento tem etapas no Microsoft Sentinel e no seu sistema SAP e requer coordenação com o administrador do SAP.

  1. No Microsoft Sentinel, vá para a página Configuração de conectores de dados> e localize o conector de dados Microsoft Sentinel for SAP - agentless (Preview).

  2. Na seção Configuração , expanda e siga as instruções na seção Configuração inicial do conector - Execute as etapas abaixo uma vez: . Essas etapas exigirão o engenheiro SecuritySOC e o administrador do SAP.

    1. Acionar a implantação automática de recursos do Azure (SOC Engineer). Se, depois de implantar os recursos do Azure, os valores nas etapas 2 e 3 não forem preenchidos automaticamente, feche e expanda novamente a etapa 1 para atualizar os valores nas etapas 2 e 3.

    2. Implante um artefato de credenciais de cliente OAuth2 na integração SAP (SAP Admin).

    3. Implante um artefato de parâmetro seguro no SAP Integration (SAP Admin) chamado workspaceKey contendo a chave do espaço de trabalho do Log Analytics visível na interface do usuário do conector de dados.

    4. Implante o pacote SAP agentless data connector no SAP Integration Suite (SAP Admin).

      1. Faça o download do pacote de integração e carregue-o para o seu SAP Integration Suite. Para obter mais informações, consulte a documentação do SAP.
      2. Abra o pacote e vá para a guia Artefatos . Em seguida, selecione a configuração do coletor de dados . Para obter mais informações, consulte a documentação do SAP.
      3. Configure o fluxo de integração com o LogIngestionURL e o DCRImmutableID.
      4. Implemente o i-flow usando o SAP Cloud Integration como o serviço de execução.

Execute o verificador de pré-requisitos

  1. O verificador de pré-requisitos iflow está incluído no pacote. Recomendamos executar este iflow antes de continuar para a próxima etapa para garantir que seu sistema SAP atenda aos pré-requisitos do sistema.

    Para executar a ferramenta:

    1. Abra o pacote de integração, navegue até a guia artefatos e selecione o verificador de pré-requisitos iflow >Configure.

    2. Defina o destino RFC para o sistema SAP que pretende verificar.

    3. Implante o iflow como faria para seus sistemas SAP. Por exemplo, use o seguinte script PowerShell de exemplo, modificando os valores de espaço reservado de exemplo para seu ambiente:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

    Verifique se o verificador de pré-requisitos é executado com êxito antes de se conectar ao Microsoft Sentinel.

  2. Role mais para baixo na área Configuração e expanda e siga as instruções na área Adicionar sistemas SAP monitorados - Execute as etapas abaixo para cada sistema SAP monitorado: para cada sistema SAP que você deseja monitorar.

    Quando chegar ao passo 2. Conecte o sistema SAP ao Microsoft Sentinel / SOC Engineer, continue com Conecte seu sistema SAP ao Microsoft Sentinel.

Definir configurações do SAP Cloud Connector

  1. Instale o SAP Cloud Connector. Para obter mais informações, consulte a documentação do SAP.

  2. Entre na interface do conector de nuvem e adicione a subconta usando as credenciais relevantes. Para obter mais informações, consulte a documentação do SAP.

  3. Na sua subconta do conector de nuvem, adicione um novo mapeamento de sistema ao sistema de back-end para mapear o sistema ABAP para o protocolo RFC.

  4. Defina opções de balanceamento de carga e insira os detalhes do servidor ABAP de back-end. Nesta etapa, copie o nome do host virtual para um local seguro para usar posteriormente no processo de implantação.

  5. Adicione novos recursos ao mapeamento do sistema para cada um dos seguintes nomes de função:

    • RSAU_API_GET_LOG_DATA, para buscar dados de log de auditoria de segurança SAP

    • BAPI_USER_GET_DETAIL, para recuperar detalhes do usuário SAP

    • RFC_READ_TABLE, para ler dados de tabelas obrigatórias

    • SIAG_ROLE_GET_AUTH, para recuperar autorizações de função de segurança

    • /OSP/SYSTEM_TIMEZONE, para recuperar detalhes de fuso horário do sistema SAP

  6. Adicione um novo destino no SAP BTP que aponte o host virtual criado anteriormente. Use os seguintes detalhes para preencher o novo destino:

    • Designação: Introduza o nome que pretende utilizar para a ligação ao Microsoft Sentinel

    • TipoRFC

    • Tipo de proxy:On-Premise

    • Usuário: insira a conta de usuário ABAP que você criou anteriormente para o Microsoft Sentinel

    • Tipo de autorização:CONFIGURED USER

    • Propriedades adicionais:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Local: Necessário apenas quando você conecta vários Cloud Connectors à mesma subconta BTP. Para obter mais informações, consulte a documentação do SAP.

Próximo passo

Conecte seu sistema SAP ao Microsoft Sentinel