Настройка системы SAP для решения Microsoft Sentinel

В этой статье описывается, как подготовить среду SAP для подключения к соединителю данных SAP. Подготовка зависит от того, используется ли агент соединителя контейнеризованных данных. Выберите параметр в верхней части страницы, которая соответствует вашей среде.

Эта статья является частью второго шага развертывания решения Microsoft Sentinel для приложений SAP.

Внимание

Агент соединителя данных для SAP устарел и будет окончательно отключен к 14 сентября 2026 года. Рекомендуем перейти на безагентский коннектор данных. Узнайте больше о подходе без агентов в нашем блоге.

Процедуры, описанные в этой статье, обычно выполняются командой SAP BASIS .

Эта статья является частью второго шага развертывания решения Microsoft Sentinel для приложений SAP. Хотя шаги, выполняемые в Microsoft Sentinel, требуют, чтобы решение было установлено первым, другие подготовки в среде SAP могут выполняться параллельно.

Многие процедуры, описанные в этой статье, обычно выполняются командой SAP BASIS . Некоторые шаги также включают вашу команду безопасности.

Предварительные условия

• Перед началом работы проверьте предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP.

• Если вы работаете с соединителем данных без агента, некоторые шаги выполняются в Microsoft Sentinel и требуют, чтобы решение было установлено первым.

Настройка роли Microsoft Sentinel

Чтобы разрешить соединителю данных SAP подключаться к системе SAP, необходимо создать роль системы SAP специально для этой цели.

Мы рекомендуем создать эту роль, развернув запрос на изменение SAP NPLK900271 (CR): K900271.NPL, | R900271.NPL.

Разверните CR в вашей системе SAP по мере необходимости, так же, как и другие CR. Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP. Дополнительные сведения см. в документации по SAP.

Кроме того, загрузите авторизацию роли из файла MSFTSEN_SENTINEL_CONNECTOR , включающую все основные разрешения для работы соединителя данных.

Опытные администраторы SAP могут вручную создать роль и назначить ему соответствующие разрешения. В таких случаях создайте роль вручную с соответствующими разрешениями, необходимыми для журналов, которые требуется импортировать. Дополнительные сведения см. в разделе "Обязательные разрешения ABAP". Примеры в нашей документации используют имя /MSFTSEN/SENTINEL_RESPONDER .

При настройке роли рекомендуется:

• Создайте активный профиль роли для Microsoft Sentinel, запустив транзакцию PFCG.
• Используйте /MSFTSEN/SENTINEL_RESPONDER в качестве имени роли.

Создайте роль с помощью шаблона MSFTSEN_SENTINEL_READER , который включает все основные разрешения для работы соединителя данных.

Дополнительные сведения см. в документации ПО SAP по созданию ролей.

Создание пользователя

Для решения Microsoft Sentinel для приложений SAP требуется учетная запись пользователя для подключения к системе SAP. При создании пользователя:

• Обязательно создайте системного пользователя.
• Назначьте роль /MSFTSEN/SENTINEL_RESPONDER пользователю, который вы создали на предыдущем шаге.

• Обязательно создайте системного пользователя.
• Назначьте MSFTSEN_SENTINEL_READER роль пользователю, который вы создали на предыдущем шаге.

Дополнительные сведения см. в документации по SAP.

Настройка аудита SAP

Некоторые установки систем SAP могут не включать ведение журнала аудита по умолчанию. Чтобы лучше всего оценить производительность и эффективность решения Microsoft Sentinel для приложений SAP, включите аудит системы SAP и настройте параметры аудита.

Рекомендуется настроить аудит для всех сообщений из журнала аудита, а не только для определенных журналов. Разница в стоимости потребления данных обычно минимальна, а эти данные полезны для выявления угроз с помощью Microsoft Sentinel, а также при расследованиях после компрометации и поиске угроз.

Подсказка

Если вы хотите принимать журналы SAP HANA DB, обязательно включите аудит для SAP HANA DB. Дополнительные сведения см. в статье Сбор журналов аудита SAP HANA в Microsoft Sentinel

Подсказка

Для систем SAP, управляемых SAP RISE/ECS, включение журнала аудита безопасности является частью соглашения о общей ответственности. Проверьте у вашего контакта SAP, активен ли аудит по умолчанию или необходимо принять какие-либо дополнительные меры. Системы общедоступного выпуска SAP S/4HANA Cloud включают аудит по умолчанию.

Для полного мониторинга с помощью соединителя данных без агента рекомендуется включить мониторинг всех клиентских идентификаторов отслеживаемых систем SAP, включая клиентов 000 и 066.

Дополнительные сведения см. в статье SAP.

Настройка системы для использования SNC для безопасных подключений

По умолчанию агент соединителя данных SAP подключается к серверу SAP с помощью удаленного вызова функции (RFC) и имени пользователя и пароля для проверки подлинности.

Однако может потребоваться подключиться к зашифрованным каналам или использовать сертификаты клиента для проверки подлинности. В этих случаях используйте smart Network Communications (SNC) из SAP для защиты подключений к данным, как описано в этом разделе.

В рабочей среде настоятельно рекомендуется обратиться к администраторам SAP, чтобы создать план развертывания для настройки SNC. Дополнительные сведения см. в документации по SAP.

При настройке SNC:

• Если сертификат клиента был выдан корпоративным центром сертификации, перенесите сертификаты издателя ЦС и корневого ЦС в систему, в которой планируется создать агента соединения данных.
• Если вы используете агент соединителя данных, обязательно введите соответствующие значения и используйте соответствующие процедуры при настройке контейнера агента соединителя данных SAP. Если вы используете соединитель данных без агента, конфигурация SNC выполняется в SAP Cloud Connector.

Дополнительные сведения о SNC см. в статье "Начало работы с SAP SNC для интеграции RFC" — блог SAP.

Настройка поддержки получения дополнительных данных (рекомендуется)

Хотя этот шаг является необязательным, рекомендуется включить соединитель данных SAP для получения следующих сведений о содержимом из системы SAP:

• Таблицы базы данных и журналы выходных данных
• Сведения об IP-адресе клиента из журналов аудита безопасности

1. Разверните соответствующие CR из репозитория Microsoft Sentinel GitHub в соответствии с версией SAP:

   Версии SAP BASIS	Рекомендуемая CR
   750 и выше	NPLK900202: K900202.NPL, R900202.NPL При развертывании этого CR любой из следующих версий SAP также развертывайте 2641084 — стандартный доступ на чтение к данным журнала аудита безопасности: — 750 от SP04 до SP12 — 751 SP00 до SP06 — 752 SP00 до SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   Разверните CR в вашей системе SAP по мере необходимости, так же, как и другие CR. Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP. Дополнительные сведения см. в документации по SAP.

   Дополнительные сведения см. в сообществе SAP и документации SAP.

2. Чтобы поддерживать SAP Basis версии 7.31-7.5 SP12 при отправке информации об IP-адресе клиента в Microsoft Sentinel, активируйте ведение журнала для таблицы SAP USR41. Дополнительные сведения см. в документации по SAP.

Убедитесь, что таблица PAHI обновляется через регулярные интервалы

Таблица SAP PAHI содержит данные об истории системы SAP, базы данных и параметров SAP. В некоторых случаях решение Microsoft Sentinel для приложений SAP не может отслеживать таблицу SAP PAHI через регулярные интервалы из-за отсутствия или сбоя конфигурации. Важно обновить таблицу PAHI и часто отслеживать ее, чтобы решение Microsoft Sentinel для приложений SAP могло оповещать о подозрительных действиях, которые могут произойти в любое время в течение дня. Дополнительные сведения см. в разделе:

• Примечание SAP 12103
• Мониторинг конфигурации статических параметров безопасности SAP (предварительная версия)

Если таблица PAHI обновляется регулярно, SAP_COLLECTOR_FOR_PERFMONITOR задание планируется и выполняется каждый час. Если задание SAP_COLLECTOR_FOR_PERFMONITOR не существует, обязательно настройте его при необходимости.

Дополнительные сведения см. в разделе "Сборщик баз данных" в фоновой обработке и настройке сборщика данных.

Настройка параметров SAP BTP

1. В вашей субучетной записи SAP BTP добавьте полномочия для следующих сервисов:

   • SAP Integration Suite
   • Среда выполнения интеграции процесса SAP
   • Среда выполнения Cloud Foundry

Замечание

Это решение рассматривает в среде Cloud Foundry только SAP Cloud Integration.

1. Создайте экземпляр Cloud Foundry Runtime, а затем создайте пространство Cloud Foundry.

2. Создайте экземпляр SAP Integration Suite.

3. Назначьте роль SAP BTP Integration_Provisioner учетной записи пользователя субаккаунта SAP BTP.

4. В SAP Integration Suite добавьте облачную интеграцию.

5. Назначьте следующие роли интеграции процесса учетной записи пользователя:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Эти роли доступны только после активации функции интеграции с облаком.

6. Создайте экземпляр среды выполнения интеграции процессов SAP в вашей учетной записи с использованием плана обслуживания потока интеграции (не API!).

7. Создайте ключ службы для среды выполнения интеграции процессов SAP и сохраните содержимое JSON в безопасном расположении. Перед созданием ключа службы для среды выполнения интеграции процесса SAP необходимо активировать функцию интеграции с облаком.

Дополнительные сведения см. в документации по SAP.

Настройка соединителя в Microsoft Sentinel и в системе SAP

Эта процедура выполняет шаги как в Microsoft Sentinel, так и в системе SAP, а также требуется координация с администратором SAP.

1. В Microsoft Sentinel перейдите на страницу Конфигурация соединителей данных > и найдите соединитель данных Microsoft Sentinel для SAP — безагентный.

2. В разделе "Конфигурация" разверните и следуйте инструкциям в начальной конфигурации соединителя. Выполните следующие действия один раз: раздел. Для выполнения этих действий потребуется как инженер SecuritySOC, так и администратор SAP.

   1. Активируйте автоматическое развертывание ресурсов Azure (инженер SOC). Если после развертывания ресурсов Azure значения в шагах 2 и 3 не заполняются автоматически, закройте и повторно разверните шаг 1, чтобы обновить значения в шагах 2 и 3.

   2. Разместите артефакт учетных данных клиента OAuth2 в SAP Integration (администратор SAP).

   3. Разверните артефакт безопасного параметра в SAP Integration (SAP Admin) с именем workspaceKey , содержащий ключ рабочей области Log Analytics, видимый в пользовательском интерфейсе соединителя данных.

   4. Разверните пакет соединителя данных без агента SAP в SAP Integration Suite (администратор SAP).

      1. Скачайте пакет интеграции и отправьте его в пакет SAP Integration Suite. Дополнительные сведения см. в документации по SAP.
      2. Откройте пакет и перейдите на вкладку "Артефакты ". Затем выберите конфигурацию сборщика данных . Дополнительные сведения см. в документации по SAP.
      3. Настройте поток интеграции с logIngestionURL и DCRImmutableID.
      4. Разверните поток iflow, используя SAP Cloud Integration в качестве службы выполнения.

Запуск средства проверки предварительных условий

1. В пакет включен средство проверки предварительных условий iflow. Мы рекомендуем вручную запустить этот iflow перед переходом к следующему шагу, чтобы убедиться, что система SAP соответствует системным предварительным условиям перед попыткой интеграции с Microsoft Sentinel.

   Чтобы запустить средство, выполните следующие действия.

   1. Откройте пакет интеграции, перейдите на вкладку артефактов и выберите средство проверки готовности iflow >Configure.

   2. Задайте целевое имя назначения для удаленного вызова функции (RFC) в системе SAP, которую необходимо проверить. Например: A4H-100-Sentinel-RFC.

   3. Разверните поток iflow, как обычно для ваших систем SAP.

   4. Активируйте поток iflow из любого клиента REST. Например, используйте следующий пример скрипта PowerShell, изменив примеры значений заполнителей для вашей среды:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   Убедитесь, что средство проверки необходимых компонентов успешно выполняется (код состояния 200) без предупреждений в выходных данных ответа перед подключением к Microsoft Sentinel.

   Если обнаружены какие-либо результаты, ознакомьтесь с подробными сведениями в ответных мерах для получения рекомендаций по исправлению. Устаревшие системы SAP часто требуют дополнительных заметок SAP. Кроме того, ознакомьтесь с разделом по устранению неполадок, где рассмотрены распространенные проблемы и их решения.

2. Прокрутите вниз в области конфигурации и разверните и следуйте инструкциям в разделе "Добавление отслеживаемых систем SAP". Выполните приведенные ниже действия для каждой отслеживаемой системы SAP: область для каждой системы SAP , которую вы хотите отслеживать.

   Когда вы перейдете к шагу 2. Подключите систему SAP к Microsoft Sentinel / SOC Engineer, продолжайте с подключением вашей системы SAP к Microsoft Sentinel.

Настройка параметров SAP Cloud Connector

1. Установите SAP Cloud Connector. Дополнительные сведения см. в документации по SAP.

2. Войдите в интерфейс облачного соединителя и добавьте субаккаунт с помощью соответствующих учетных данных. Дополнительные сведения см. в документации по SAP.

3. В субучетной записи облачного соединителя добавьте новое сопоставление системы к серверной системе, чтобы сопоставить систему ABAP с протоколом RFC.

4. Определите параметры балансировки нагрузки и введите сведения о сервере ABAP на серверной части. На этом шаге скопируйте имя виртуального узла в безопасное расположение, чтобы использовать его позже в процессе развертывания.

5. Добавьте новые ресурсы в системное сопоставление для каждого из следующих имен функций:

   • RSAU_API_GET_LOG_DATA, чтобы получить данные журнала аудита безопасности SAP

   • BAPI_USER_GET_DETAIL для получения сведений о пользователе SAP

   • RFC_READ_TABLE для чтения данных из обязательных таблиц

   • SIAG_ROLE_GET_AUTH для получения авторизации ролей безопасности

   • /OSP/SYSTEM_TIMEZONE для получения сведений о системе часового пояса SAP

Замечание

Указанная роль настроена для минимального доступа к привилегиям. Это гарантирует, что модули функций, такие как RFC_READ_TABLE, используются только по мере необходимости. Рассмотрим рекомендации SAP по доступу к RFC и параметрам единого подключения SAP (UCON) для управления доступом к модулю функций за пределами элементов управления SAP Cloud Connector и роли SAP.

1. Добавьте новое назначение в SAP BTP, указывающее на созданный ранее виртуальный узел. Используйте следующие сведения для заполнения нового местоположения:

   • Имя: Введите имя, которое вы хотите использовать для подключения Microsoft Sentinel

   • ТипRFC

   • Тип прокси-сервера:On-Premise

   • Пользователь: введите учетную запись пользователя ABAP, созданную ранее для Microsoft Sentinel

   • Тип авторизации:CONFIGURED USER

   • Дополнительные свойства:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Расположение: требуется только при подключении нескольких облачных соединителей к одной субучетной записи BTP. Дополнительные сведения см. в документации по SAP.

Следующий шаг

Подключение системы SAP к Microsoft Sentinel