Microsoft Sentinel-lösning för SAP-program: Distributionsöversikt

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Använd Microsoft Sentinel-lösningen för SAP-program för att övervaka dina SAP-system med Microsoft Sentinel och identifiera avancerade hot i affärslogik- och programskikten i dina SAP-program.

I den här artikeln beskrivs distributionen av Microsoft Sentinel-lösningen för SAP-program.

Lösningskomponenter

Microsoft Sentinel-lösningen för SAP-program innehåller en dataanslutningsapp som samlar in loggar från dina SAP-system och skickar dem till din Microsoft Sentinel-arbetsyta och det färdiga säkerhetsinnehållet, vilket hjälper dig att få insikt i din organisations SAP-miljö och identifiera och svara på säkerhetshot.

Datakoppling

Microsoft Sentinel för SAP-dataanslutningen är en agent installerad som en container på en virtuell Linux-dator, fysisk server eller Kubernetes-kluster. Agenten samlar in programloggar för alla dina registrerade SAP-SID:er från hela SAP-systemlandskapet och skickar sedan loggarna till din Log Analytics-arbetsyta i Microsoft Sentinel.

Följande bild visar till exempel ett SAP-landskap med flera SID med en uppdelning mellan produktions- och icke-produktionssystem, inklusive SAP Business Technology Platform. Alla system i den här avbildningen registreras i Microsoft Sentinel för SAP-lösningen.

Agenten ansluter till DITT SAP-system för att hämta loggar och andra data från det och skickar sedan loggarna till din Microsoft Sentinel-arbetsyta. För att göra detta måste agenten autentisera till ditt SAP-system med hjälp av en användare och roll som skapats specifikt för detta ändamål.

Microsoft Sentinel har stöd för några alternativ för att lagra din agentkonfigurationsinformation, inklusive konfigurationen för dina SAP-autentiseringshemligheter. Beslutet om vilket alternativ som kan bero på var du distribuerar den virtuella datorn och vilken SAP-autentiseringsmekanism du använder. Alternativen som stöds är följande, listade i prioritetsordning:

• Ett Azure Key Vault som nås via en azure-systemtilldelad hanterad identitet
• Ett Azure Key Vault som nås via ett Microsoft Entra ID-huvudnamn för tjänsten registered-application
• En konfigurationsfil i klartext

Du kan också autentisera med hjälp av SAP:s SNC-certifikat (Secure Network Communication) och X.509. Även om SNC ger en högre nivå av autentiseringssäkerhet kanske det inte är praktiskt för alla scenarier.

Säkerhetsinnehåll

Microsoft Sentinel-lösningen för SAP-program innehåller följande typer av säkerhetsinnehåll som hjälper dig att få insikt i din organisations SAP-miljö och identifiera och svara på säkerhetshot:

• Analysregler och bevakningslistor för hotidentifiering.
• Funktioner för enkel dataåtkomst.
• Arbetsböcker för att skapa interaktiv datavisualisering.
• Visningslistor för anpassning av de inbyggda lösningsparametrarna.
• Spelböcker som du kan använda för att automatisera svar på hot.

Mer information finns i Microsoft Sentinel-lösning för SAP-program: referens för säkerhetsinnehåll.

Distributionsflöde och personas

Distributionen av Microsoft Sentinel-lösningen för SAP-program omfattar flera steg och kräver samarbete mellan flera team, inklusive säkerhets-, infrastruktur- och SAP BASIS-team . Följande bild visar stegen i distributionen av Microsoft Sentinel-lösningen för SAP-program, med relevanta team angivna:

Vi rekommenderar att du involverar alla relevanta team när du planerar distributionen för att säkerställa att arbetet allokeras och att distributionen kan gå smidigt.

Distributionsstegen omfattar:

1. Granska förutsättningarna för att distribuera Microsoft Sentinel-lösningen för SAP-program. Vissa förutsättningar kräver samordning med din infrastruktur eller SAP BASIS-team.

2. Följande steg kan ske parallellt eftersom de involverar separata team och inte är beroende av varandra:

   1. Distribuera Microsoft Sentinel-lösningen för SAP-program från innehållshubben. Det här steget hanteras av säkerhetsteamet på Azure Portal.

   2. Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen, inklusive att konfigurera SAP-auktoriseringar, konfigurera SAP-granskning med mera. Vi rekommenderar att de här stegen utförs av ditt SAP BASIS-team, och vår dokumentation innehåller referenser till SAP-dokumentationen.

3. Anslut DITT SAP-system genom att distribuera din dataanslutningsagentcontainer. Det här steget kräver samordning mellan dina säkerhets-, infrastruktur- och SAP BASIS-team.

4. Aktivera SAP-identifieringar och skydd mot hot. Det här steget hanteras av säkerhetsteamet på Azure Portal.

Extra alternativ är:

• Samla in SAP HANA-granskningsloggar
• Distribuera SAP-anslutningsappen manuellt

Stoppa SAP-datainsamling

Om du behöver hindra Microsoft Sentinel från att samla in dina SAP-data stoppar du logginmatningen och inaktiverar anslutningsappen. Ta sedan bort den extra användarrollen och eventuella valfria CR:er som är installerade på DITT SAP-system.

Mer information finns i Stoppa SAP-datainsamling.

Relaterat innehåll

Mer information finns i:

• Om Microsoft Sentinel-innehåll och -lösningar.
• Övervaka hälsotillståndet och rollen för dina SAP-system
• Uppdatera Microsoft Sentinels SAP-dataanslutningsagent

Gå vidare

Börja distributionen av Microsoft Sentinel-lösningen för SAP-program genom att granska förutsättningarna:

Förutsättningar