Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®

Este artigo lista os pré-requisitos necessários para a implantação da solução Microsoft Sentinel para aplicativos SAP®.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Marcos de implantação

Acompanhe sua jornada de implantação da solução SAP através desta série de artigos:

1. Descrição geral da implementação

2. Pré-requisitos de implantação (Você está aqui)

3. Trabalhar com a solução em vários espaços de trabalho (VISUALIZAÇÃO)

4. Preparar o ambiente SAP

5. Configurar auditoria

6. Implantar o conteúdo da solução a partir do hub de conteúdo

7. Implantar o agente do conector de dados

8. Configurar a solução Microsoft Sentinel para aplicativos SAP®

9. Etapas de implantação opcionais

   • Configurar o conector de dados para usar a Comunicação de Rede Segura (SNC)
   • Coletar logs de auditoria do SAP HANA
   • Configurar regras de monitoramento do log de auditoria
   • Implantar o conector SAP manualmente
   • Selecionar perfis de ingestão SAP

Tabela de pré-requisitos

Para implantar com êxito a solução Microsoft Sentinel para aplicativos SAP®, você deve atender aos seguintes pré-requisitos:

Pré-requisitos do Azure

Pré-requisito	Description	Obrigatório/opcional
Acesso ao Microsoft Sentinel	Anote a ID do espaço de trabalho do Microsoft Sentinel e a chave primária. Você pode encontrar esses detalhes no Microsoft Sentinel: no menu de navegação, selecione Configurações>Configurações do espaço de trabalho Gerenciamento>de agentes. Copie a ID do espaço de trabalho e a chave primária e cole-as de lado para uso durante o processo de implantação.	Necessário
Permissões para criar recursos do Azure	No mínimo, você deve ter as permissões necessárias para implantar soluções do hub de conteúdo do Microsoft Sentinel. Para obter mais informações, consulte o catálogo do hub de conteúdo do Microsoft Sentinel.	Necessário
Permissões para criar um cofre de chaves do Azure ou acessar um cofre existente	Use o Azure Key Vault para armazenar segredos necessários para se conectar ao seu sistema SAP (recomendado quando esse é um pré-requisito necessário). Para obter mais informações, consulte Atribuir permissões de acesso ao cofre de chaves.	Necessário se você planeja armazenar as credenciais do sistema SAP no Cofre de Chaves do Azure. Opcional se você planeja armazená-los em um arquivo de configuração. Para obter mais informações, consulte Criar uma máquina virtual e configurar o acesso às suas credenciais.
Permissões para atribuir uma função privilegiada ao agente do conector de dados SAP	A implantação do agente do conector de dados SAP requer que você conceda a identidade da VM do agente com permissões específicas para o espaço de trabalho do Microsoft Sentinel, usando a função Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel. Para conceder essa função, você precisa de permissões de Proprietário no grupo de recursos em que seu espaço de trabalho do Microsoft Sentinel reside. Para obter mais informações, consulte Implantar o agente do conector de dados.	Obrigatório. Se você não tiver permissões de Proprietário no grupo de recursos, a etapa relevante também poderá ser executada por outro usuário que tenha as permissões relevantes, separadamente depois que o agente for totalmente implantado.

Pré-requisitos do sistema

Pré-requisito	Description
Arquitetura do sistema	O componente conector de dados da solução SAP é implantado como um contêiner do Docker, e cada cliente SAP requer sua própria instância de contêiner. O host de contêiner pode ser uma máquina física ou uma máquina virtual, pode ser localizado no local ou em qualquer nuvem. A VM que hospeda o contêiner não precisa estar localizada na mesma assinatura do Azure que seu espaço de trabalho do Microsoft Sentinel ou mesmo no mesmo locatário do Microsoft Entra.
Recomendações de dimensionamento de máquinas virtuais	Especificação mínima, como para um ambiente de laboratório: Standard_B2s VM, com: - Dois núcleos - 4 GB de RAM Conector padrão (padrão): Standard_D2as_v5 VM ou Standard_D2_v5 VM, com: - Dois núcleos - 8 GB de RAM Vários conectores: Standard_D4as_v5 ou Standard_D4_v5 VM, com: - Quatro núcleos - 16 GB de RAM
Privilégios administrativos	Privilégios administrativos (raiz) são necessários na máquina host do contêiner.
Versões Linux suportadas	O agente do conector de dados SAP é testado com as seguintes distribuições Linux: - Ubuntu 18.04 ou superior - SLES versão 15 ou superior - RHEL versão 7.7 ou superior Se você tiver um sistema operacional diferente, talvez seja necessário implantar e configurar o contêiner manualmente. Para obter mais informações, abra um tíquete de suporte.
Conectividade de rede	Verifique se o host do contêiner tem acesso a: - Microsoft Sentinel - Cofre de chaves do Azure (no cenário de implantação onde o cofre de chaves do Azure é usado para armazenar segredos - Sistema SAP através das seguintes portas TCP: 32xx, 5xx13, 33xx, 48xx (quando SNC é usado), onde xx é o número da instância SAP.
Utilitários de software	O script de implementação do conector de dados SAP instala o seguinte software necessário na VM host do contêiner (dependendo da distribuição Linux usada, a lista pode variar ligeiramente): - Descompacte - NetCat - Docker - JQ - ondulação
Identidade gerenciada ou entidade de serviço	A versão mais recente do agente do conector de dados SAP requer uma identidade gerenciada ou uma entidade de serviço para autenticação no Microsoft Sentinel. Os agentes herdados têm suporte para atualizações para a versão mais recente e, em seguida, devem usar uma identidade gerenciada ou uma entidade de serviço para continuar a atualizar para as versões subsequentes.

Pré-requisitos SAP

Pré-requisito	Description
Versões SAP suportadas	O agente conector de dados SAP suporta sistemas SAP NetWeaver e foi testado em SAP_BASIS versões 731 e superiores. Algumas etapas neste tutorial fornecem instruções alternativas se você estiver trabalhando na versão mais antiga do SAP_BASIS 740.
Software necessário	SAP NetWeaver RFC SDK 7.50 (Faça o download aqui) Certifique-se de que também tem uma conta de utilizador SAP para aceder à página de transferência do software SAP.
Detalhes do sistema SAP	Anote os seguintes detalhes do sistema SAP para uso neste tutorial: - Endereço IP do sistema SAP e nome de host FQDN - Número do sistema SAP, como 00 - ID do sistema SAP, do sistema SAP NetWeaver (por exemplo, NPL) - ID do cliente SAP, como 001
Acesso à instância do SAP NetWeaver	O agente do conector de dados SAP usa um dos seguintes mecanismos para autenticar no sistema SAP: - Usuário/senha SAP ABAP - Um usuário com um certificado X.509 (Esta opção requer etapas de configuração extras)

Etapas de validação do ambiente SAP

Nota

Instruções passo a passo para implantar uma CR e atribuir a função necessária estão disponíveis no guia Deploying SAP CRs and configuring authorization guide. Determine quais CRs precisam ser implantados, recupere os CRs relevantes nos links nas tabelas abaixo e prossiga para o guia passo a passo.

• Criar e configurar uma função (obrigatório)
• Recuperar informações adicionais do SAP (opcional)

Criar e configurar uma função (obrigatório)

Para permitir que o conector de dados SAP se conecte ao seu sistema SAP, você deve criar uma função. Crie a função carregando as autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER .

A função /MSFTSEN/SENTINEL_RESPONDER inclui ações de recuperação de log e resposta a interrupção de ataque. Para habilitar apenas a recuperação de logs, sem ações de resposta de interrupção de ataque, implante o SAP NPLK900271 CR no sistema SAP ou carregue as autorizações de função do arquivo MSFTSEN_SENTINEL_CONNECTOR. A função /MSFTSEN/SENTINEL_CONNECTOR que tem todas as permissões básicas para o conector de dados operar.

Versões do SAP BASIS	Amostra CR
Qualquer versão	NPLK900271: K900271.NPL, R900271. NPL

Administradores SAP experientes podem optar por criar a função manualmente e atribuir-lhe as permissões apropriadas. Nesses casos, certifique-se de seguir as autorizações recomendadas para cada log. Para obter mais informações, consulte Autorizações ABAP necessárias.

Recuperar informações adicionais do SAP (opcional)

Você pode implantar CRs extras a partir do repositório GitHub do Microsoft Sentinel para permitir que o conector de dados SAP recupere determinadas informações do seu sistema SAP.

• SAP BASIS 7.5 SP12 e superior: informações de endereço IP do cliente do log de auditoria de segurança
• QUALQUER VERSÃO SAP BASE: Logs de tabela de banco de dados, log de saída de spool

Versões do SAP BASIS	CR recomendado	Notas
- 750 e seguintes	NPLK900202: K900202.NPL, R900202. NPL	Implante a nota SAP relevante.
- 740	NPLK900201: K900201.NPL, R900201. NPL

Implantar nota SAP (opcional)

Se você optar por recuperar informações adicionais com o CR opcional NPLK900202, certifique-se de que a seguinte nota SAP seja implantada em seu sistema SAP, de acordo com sua versão:

Versões do SAP BASIS	Notas
- 750 SP04 a SP12 - 751 SP00 a SP06 - 752 SP00 a SP02	2641084 - Acesso de leitura padronizado aos dados do Log de Auditoria de Segurança*

Próximos passos

Depois de verificar se todos os pré-requisitos foram atendidos, prossiga para a próxima etapa para implantar os CRs necessários em seu sistema SAP e configurar a autorização.

Implantando CRs SAP e configurando a autorização