Pré-requisitos para implementar a solução do Microsoft Sentinel para aplicações SAP®
Este artigo lista os pré-requisitos necessários para a implementação da solução do Microsoft Sentinel para aplicações SAP®.
Marcos de implementação
Acompanhe o percurso de implementação da solução SAP através desta série de artigos:
Pré-requisitos de implementação (Está aqui)
Configurar a solução do Microsoft Sentinel para aplicações SAP®
Passos de implementação opcionais
Tabela de pré-requisitos
Para implementar com êxito a solução do Microsoft Sentinel para aplicações SAP®, tem de cumprir os seguintes pré-requisitos:
Pré-requisitos do Azure
| Pré-requisito | Descrição |
|---|---|
| Acesso ao Microsoft Sentinel | Anote o ID da área de trabalho do Microsoft Sentinel e a chave primária. Pode encontrar estes detalhes no Microsoft Sentinel: no menu de navegação, selecione Definições Definições>Definições de área de> trabalhoGestão de agentes. Copie o ID da Área de Trabalho e a Chave primária e cole-os de lado para utilização durante o processo de implementação. |
| [Opcional]Permissões para criar recursos do Azure | No mínimo, tem de ter as permissões necessárias para implementar soluções a partir do hub de conteúdos do Microsoft Sentinel. Para obter mais informações, consulte o catálogo do hub de conteúdos do Microsoft Sentinel. |
| [Opcional]Permissões para criar um cofre de chaves do Azure ou aceder a um existente | O cenário de implementação recomendado é utilizar o Azure Key Vault para armazenar os segredos necessários para ligar ao seu sistema SAP. Para obter mais informações, veja a documentação do Azure Key Vault. |
Pré-requisitos do sistema
| Pré-requisito | Descrição |
|---|---|
| Arquitetura do sistema | O componente do conector de dados da solução SAP é implementado como um contentor do Docker e cada cliente SAP necessita da sua própria instância de contentor. O anfitrião de contentor pode ser uma máquina física ou uma máquina virtual, pode estar localizado no local ou em qualquer cloud. A VM que aloja o contentor não tem de estar localizada na mesma subscrição do Azure que a área de trabalho do Microsoft Sentinel ou mesmo no mesmo inquilino Azure AD. |
| Recomendações de dimensionamento de máquinas virtuais | Especificação mínima, como para um ambiente de laboratório: Standard_B2s VM, com: - 2 núcleos - 4 GB de RAM Conector padrão (predefinição): Standard_D2as_v5 VM ou Standard_D2_v5 VM, com: - 2 núcleos - 8 GB de RAM Vários conectores: Standard_D4as_v5 ou Standard_D4_v5 VM, com: - 4 núcleos - 16 GB de RAM |
| Privilégios administrativos | São necessários privilégios administrativos (raiz) no computador anfitrião do contentor. |
| Versões suportadas do Linux | O agente do conector de dados SAP foi testado com as seguintes distribuições do Linux: - Ubuntu 18.04 ou superior - SLES versão 15 ou superior - RHEL versão 7.7 ou superior Se tiver um sistema operativo diferente, poderá ter de implementar e configurar o contentor manualmente em vez de utilizar o script kickstart. |
| Conectividade de rede | Certifique-se de que o anfitrião do contentor tem acesso a: - Microsoft Sentinel - Cofre de chaves do Azure (no cenário de implementação em que o cofre de chaves do Azure é utilizado para armazenar segredos - Sistema SAP através das seguintes portas TCP: 32xx, 5xx13, 33xx, 48xx (quando o SNC é utilizado), em que xx é o número da instância sap. |
| Utilitários de software | O script de implementação do conector de dados SAP instala o seguinte software necessário na VM do anfitrião do contentor (dependendo da distribuição do Linux utilizada, a lista pode variar ligeiramente): - Deszipar - NetCat - Docker - jq - curl |
Pré-requisitos do SAP
| Pré-requisito | Descrição |
|---|---|
| Versões SAP suportadas | O agente do conector de dados SAP suporta sistemas SAP NetWeaver e foi testado em SAP_BASIS versões 731 e posteriores. Determinados passos neste tutorial fornecem instruções alternativas se estiver a trabalhar no SAP_BASIS versão 740 mais antigo. |
| Software necessário | SAP NetWeaver RFC SDK 7.50 (Transferir aqui) Certifique-se de que também tem uma conta de utilizador SAP para aceder à página de transferência de software SAP. |
| Detalhes do sistema SAP | Tome nota dos seguintes detalhes do sistema SAP para utilização neste tutorial: - Endereço IP do sistema SAP e nome do anfitrião FQDN - Número do sistema SAP, como 00- ID do Sistema SAP, do sistema SAP NetWeaver (por exemplo, NPL)- ID do cliente SAP, como 001 |
| Acesso à instância do SAP NetWeaver | O agente do conector de dados SAP utiliza um dos seguintes mecanismos para autenticar no sistema SAP: - Utilizador/palavra-passe do SAP ABAP - Um utilizador com um certificado X.509 (esta opção requer passos de configuração adicionais) |
Passos de validação do ambiente SAP
Nota
As instruções passo a passo para implementar uma CR e atribuir a função necessária estão disponíveis no guia Implementar CRs SAP e configurar autorização . Determine quais as CRs que precisam de ser implementadas, obtenha as CRs relevantes das ligações nas tabelas abaixo e avance para o guia passo a passo.
Criar e configurar uma função (necessária)
Para permitir que o conector de dados SAP se ligue ao seu sistema SAP, tem de criar uma função. Crie a função ao implementar CR NPLK900271 ou ao carregar as autorizações de função a partir do ficheiro MSFTSEN_SENTINEL_CONNECTOR_ROLE_V0.0.27.SAP .
Nota
Em alternativa, pode criar uma função que tenha permissões mínimas ao implementar o pedido de alteração NPLK900268 ou ao carregar as autorizações de função a partir do ficheiro MSFTSEN_SENTINEL_AGENT_BASIC_ROLE_V0.0.1.SAP . Este ficheiro de pedido de alteração ou autorizações cria a função /MSFTSEN/SENTINEL_AGENT_BASIC . Esta função tem as permissões mínimas necessárias para o conector de dados funcionar. Tenha em atenção que, se optar por implementar esta função, poderá ter de atualizá-la com frequência.
Os administradores experientes do SAP podem optar por criar a função manualmente e atribuir-lhe as permissões adequadas. Neste caso, não é necessário implementar o CR NPLK900271, mas tem de criar uma função com as recomendações descritas em Expert: Deploy SAP CRs and deploy required ABAP authorizations (Especialista: Implementar CRs sap e implementar autorizações ABAP necessárias).
| Versões SAP BASIS | CR de exemplo |
|---|---|
| Qualquer versão | NPLK900271: K900271.NPL, R900271.NPL |
Obter informações adicionais do SAP (opcional)
Pode implementar CRs adicionais a partir do repositório do GitHub do Microsoft Sentinel para permitir que o conector de dados SAP obtenha determinadas informações do seu sistema SAP.
- SAP BASIS 7.5 SP12 e superior: Informações do Endereço IP do Cliente do registo de auditoria de segurança
- Qualquer versão SAP BASIS: Registos de Tabelas de BD, Registo de Saída do Spool
| Versões SAP BASIS | CR recomendado | Notas |
|---|---|---|
| - 750 e posterior | NPLK900202: K900202.NPL, R900202.NPL | Implemente a nota SAP relevante. |
| - 740 | NPLK900201: K900201.NPL, R900201.NPL |
Nota Implementar SAP (opcional)
Se optar por obter informações adicionais com o CR opcional NPLK900202, certifique-se de que a seguinte nota SAP está implementada no seu sistema SAP, de acordo com a respetiva versão:
| Versões SAP BASIS | Notas |
|---|---|
| - 750 SP04 para SP12 - 751 SP00 para SP06 - 752 SP00 para SP02 |
2641084 - Acesso de leitura padronizado aos dados do Registo de Auditoria de Segurança* |
Passos seguintes
Depois de verificar se todos os pré-requisitos foram cumpridos, avance para o passo seguinte para implementar os CRs necessários no seu sistema SAP e configurar a autorização.