Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
В этой статье перечислены предварительные требования, необходимые для развертывания решения Microsoft Sentinel для приложений SAP®.
Внимание
Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Вехи развертывания
Развертывайте свое решение SAP поэтапно, используя следующую серию статей:
Предварительные требования к развертыванию (вы здесь)
Работа с решением в нескольких рабочих областях (предварительная версия)
Развертывание содержимого решения из концентратора содержимого
Дополнительные этапы развертывания
Таблица предварительных требований
Чтобы успешно развернуть решение Microsoft Sentinel для приложений SAP®, необходимо выполнить следующие предварительные требования:
Предварительные требования Azure
| Необходимые условия | Description | Обязательный/необязательный |
|---|---|---|
| Доступ к Microsoft Sentinel | Запишите идентификатор рабочей области и первичный ключ Microsoft Sentinel. Эти сведения можно найти в Microsoft Sentinel: в меню навигации выберите Параметры>Параметры рабочей области>Управление агентами. Скопируйте идентификатор рабочей области и первичный ключ и сохраните их для использования в процессе развертывания. |
Обязательное поле |
| Разрешения на создание ресурсов Azure | У вас должны быть как минимум необходимые разрешения для развертывания решений из центра содержимого Microsoft Sentinel. Дополнительные сведения см. в статье Каталог центра содержимого Microsoft Sentinel. | Обязательное поле |
| Разрешения на создание хранилища ключей Azure или доступ к существующему хранилищу ключей | Используйте Azure Key Vault для хранения секретов, необходимых для подключения к системе SAP (рекомендуется, если это обязательное требование). Дополнительные сведения см. в разделе "Назначение разрешений доступа к хранилищу ключей". | Требуется, если вы планируете хранить учетные данные системы SAP в Azure Key Vault. Необязательно, если вы планируете хранить их в файле конфигурации. Дополнительные сведения см. в статье "Создание виртуальной машины" и настройка доступа к учетным данным. |
| Разрешения на назначение привилегированной роли агенту соединителя данных SAP | При развертывании агента соединителя данных SAP требуется предоставить удостоверение виртуальной машины агента с определенными разрешениями для рабочей области Microsoft Sentinel с помощью роли оператора агента бизнес-приложений Microsoft Sentinel. Чтобы предоставить эту роль, вам нужны разрешения владельца в группе ресурсов, в которой находится рабочая область Microsoft Sentinel. Дополнительные сведения см. в разделе "Развертывание агента соединителя данных". |
Обязательный. Если у вас нет разрешений владельца в группе ресурсов, соответствующий шаг также может выполняться другим пользователем, у которого есть соответствующие разрешения, отдельно после полного развертывания агента. |
Предварительные требования к системе
| Необходимые условия | Description |
|---|---|
| Системная архитектура | Компонент соединителя данных для решения SAP развертывается в виде контейнера Docker. При этом каждому клиенту SAP требуется собственный экземпляр контейнера. Узел контейнера может быть физической или виртуальной машиной, может находиться в локальной или любой облачной среде. Виртуальная машина, находящаяся в контейнере , не должна находиться в той же подписке Azure, что и рабочая область Microsoft Sentinel, или даже в том же клиенте Microsoft Entra. |
| Рекомендации по настройке размера виртуальных машин | Минимальная спецификация, например для лабораторной среды: Виртуальная машина Standard_B2s с такими характеристиками: - Два ядра — 4 ГБ ОЗУ Стандартный соединитель (по умолчанию): Виртуальная машина Standard_D2as_v5 или Standard_D2_v5 виртуальной машине с помощью: - Два ядра — 8 ГБ ОЗУ Несколько соединителей: Standard_D4as_v5 или Standard_D4_v5 виртуальной машине с помощью: - Четыре ядра - 16 ГБ ОЗУ |
| Права администратора | На компьютере узла контейнера необходимо иметь права администратора (root). |
| Поддерживаемые версии Linux | Агент соединителя данных SAP тестируется со следующими дистрибутивами Linux: — Ubuntu 18.04 или более поздней версии; — SLES 15 или более поздней версии; — RHEL 7.7 или более поздней версии. Если у вас есть другая операционная система, может потребоваться развернуть и настроить контейнер вручную. Дополнительные сведения см. в запросе в службу поддержки. |
| Сетевое подключение | Убедитесь, что узел контейнера имеет доступ к: Microsoft Sentinel- — хранилище ключей Azure (в сценарии развертывания, в котором хранилище ключей Azure используется для хранения секретов); — система SAP через следующие TCP-порты: 32xx, 5xx13 и 33xx, 48xx (в случае использования SNC), где xx — номер экземпляра SAP. |
| Служебные программы | Сценарий развертывания соединителя данных SAP устанавливает следующее необходимое программное обеспечение на виртуальной машине узла контейнера (в зависимости от используемого дистрибутива Linux список может немного отличаться): - Unzip - NetCat - Docker - jq - curl |
| Управляемое удостоверение или субъект-служба | Последняя версия агента соединителя данных SAP требует управляемого удостоверения или субъекта-службы для проверки подлинности в Microsoft Sentinel. Устаревшие агенты поддерживаются для обновлений до последней версии, а затем должны использовать управляемое удостоверение или субъект-службу для продолжения обновления до последующих версий. |
Необходимые компоненты SAP
| Необходимые условия | Description |
|---|---|
| Поддерживаемые версии SAP | Агент соединителя данных SAP поддерживает системы SAP NetWeaver и был протестирован на SAP_BASIS версии 731 и выше. Для некоторых шагов в этом учебнике приведены альтернативные инструкции при работе с более старой версией SAP — SAP_BASIS 740. |
| Обязательное программное обеспечение | SAP NetWeaver RFC SDK 7.50 (скачайте здесь) Убедитесь, что у вас также есть учетная запись пользователя SAP для доступа к странице скачивания программного обеспечения SAP. |
| Сведения о системе SAP | Запишите следующие сведения о системе SAP, чтобы использовать их для выполнения инструкций из этого учебника: — IP-адрес системы SAP и полное доменное имя узла; — номер системы SAP, например 00;— идентификатор системы SAP, из системы SAP NetWeaver (например, NPL) — идентификатор клиента SAP, например 001. |
| Доступ к экземпляру SAP NetWeaver | Агент соединителя данных SAP использует один из следующих механизмов для проверки подлинности в системе SAP: — имя пользователя и пароль SAP ABAP; — Пользователь с сертификатом X.509 (этот параметр требует дополнительных действий по настройке) |
Действия по проверке среды SAP
Примечание.
Пошаговые инструкции по развертыванию CR и назначению необходимой роли доступны в руководстве Развертывание CR SAP и настройка авторизации. Определите, какие ЦС необходимо развернуть, получите соответствующие CR из ссылок в таблицах ниже и перейдите к пошаговому руководству.
Создание и настройка роли (обязательно)
Чтобы разрешить соединителю данных SAP подключаться к системе SAP, необходимо создать роль. Создайте роль, загрузив авторизацию роли из файла /MSFTSEN/SENTINEL_RESPONDER .
Роль /MSFTSEN/SENTINEL_RESPONDER включает как извлечение журналов, так и действия реагирования на нарушения атаки. Чтобы включить только извлечение журналов без действий реагирования на нарушения атак, разверните SAP NPLK900271 CR в системе SAP или загрузите авторизацию роли из файла MSFTSEN_SENTINEL_CONNECTOR. Роль /MSFTSEN/SENTINEL_CONNECTOR , которая имеет все основные разрешения для работы соединителя данных.
| Версии SAP BASIS | Пример CR |
|---|---|
| Любая версия | NPLK900271: K900271.NPL, R900271.NPL |
Опытные администраторы SAP могут вручную создать роль и назначить ему соответствующие разрешения. В таких случаях обязательно выполните рекомендуемые авторизации для каждого журнала. Дополнительные сведения см. в разделе "Обязательные разрешения ABAP".
Получение дополнительных сведений из SAP (необязательно)
Вы можете развернуть дополнительные CR из репозитория Microsoft Sentinel GitHub, чтобы включить соединитель данных SAP для получения определенных сведений из системы SAP.
- SAP BASIS 7.5 с пакетом обновления 12 (SP12) и более поздних версий: сведения об IP-адресах клиента из журнала аудита безопасности
- ЛЮБАЯ версия SAP BASIS: журналы таблиц базы данных, журнал выходных данных Spool
| Версии SAP BASIS | Рекомендуемая CR | Примечания. |
|---|---|---|
| — 750 и более поздних версий | NPLK900202: K900202.NPL, R900202.NPL | Разверните соответствующую заметку SAP. |
| — 740 | NPLK900201: K900201.NPL, R900201.NPL |
Развертывание заметки SAP (необязательно)
Если вы решили получить дополнительные сведения с помощью необязательного cr NPLK900202, убедитесь, что следующая заметка SAP развертывается в системе SAP в соответствии с ее версией:
| Версии SAP BASIS | Примечания. |
|---|---|
| — 750 с пакетом обновления 12 (SP12) — 751 SP00 до SP06 — 752 SP00 до SP02 |
2641084 — Стандартный доступ на чтение к данным журнала аудита безопасности* |
Следующие шаги
Убедившись, что выполнены все предварительные требования, перейдите к следующему шагу, чтобы развернуть необходимые CR в системе SAP и настроить авторизацию.