Dela via


Microsoft Sentinel för SAP på Azure

Den här artikeln är en del av artikelserien "SAP extend and innovate security: Best practices".

Den här artikeln beskriver viktiga designöverväganden för att distribuera agenter med hjälp av Microsoft Sentinel-lösningen för SAP-program, SAP-programservrar, SAP HANA-databasservrar och Microsoft Sentinel-regler.

Förutsättningar för det här scenariot:

  • Om du vill samla in data från SAP-system måste du distribuera en Sap-anslutningsapp för Microsoft Sentinel.
  • Du måste distribuera en separat anslutningsapp för varje kombination av SAP-säkerhetsidentifierare (SID) och klientnummer.

Designöverväganden

Se följande designöverväganden för varje komponent.

Microsoft Sentinel-lösning för SAP-program

  • Topologin i SAP-arkitekturen kan ha flera SAP-produkter spridda över flera system-ID:er, klienter och instansnummer. Arkitekturen kan ha flera ABAP-servrar på klientsidan, men det krävs bara en ABAP-serveranslutning. Överväg att ansluta till SAP-meddelandeservern, som dirigerar anslutningsappen till rätt ABAP-server och samlar in data för ditt SAP-system.

  • Anslutningsappen distribueras som en Docker-container på en virtuell värddator (VM) eller fysisk server. Anslutningscontainern stöder distribution på en lokal dator och en Azure-baserad virtuell dator. Dataanslutningsappen stöder inte en out-of-the-box-konfiguration med hög tillgänglighet. Om ditt scenario kräver ett alternativ för hög tillgänglighet bör du överväga att distribuera anslutningscontainern till ett Kubernetes-kluster eller på Azure Kubernetes Service (AKS).

    Stegvis konfiguration av AKS finns i Distribuera Hotövervakning i Microsoft Sentinel för en SAP-agent till ett AKS- eller Kubernetes-kluster.

    Anteckning

    Du kan bara uppnå hög tillgänglighet för dataanslutningen med hjälp av en AKS- eller Kubernetes-distribution.

  • Ett Kubernetes-kluster stöder bara en enda dataanslutning som hämtar data från ett SAP-system och skickar data till en enda Log Analytics-arbetsyta. Om du kör flera poddar i ett Kubernetes-kluster som ansluter till samma SAP-system och skickar data till samma Log Analytics-arbetsyta skickas flera kopior av data, vilket kan leda till ökade avgifter för datakvarhållning.

  • När du använder Docker-containrar hamnar alla data från ett SAP-system på en enda Log Analytics-arbetsyta.

  • Servern som är värd för anslutningsagenterna måste ansluta till alla ABAP-servrar som kräver datahämtning. Anslutningsappen måste till exempel dirigera och ansluta till ABAP-målservrarna med hjälp av portar. Mer information finns i Krav för distribution för Microsoft Sentinel-lösningar för SAP.

  • Använd Microsoft Sentinel-aviseringar som Microsoft Teams, e-post eller mobila aviseringar.

  • När flera anslutningsappar finns på en enda dator:

    • Containerns namngivningsmönster är sapcon-<SID>, så du kan inte ansluta till flera system med samma SID.
    • Om du ansluter till flera system som har olika klient-ID använder du den --multi-clients odokumenterade växeln när du kör kickstart-skriptet. Containern som skapas har namngivningsmönstret sapcon-<SID>-<client>.
    • När du ansluter till flera system som har samma SID och samma klient-ID måste anslutningsappen distribueras på olika värdar. Systemen kan ha olika systemnummer. Anslutningsappen måste också distribueras på olika värdar för flera systemmiljöer, till exempel produktion, utveckling eller test, som använder samma SID, klient-ID eller systemnummer. Log Analytics-data från dessa system kan inte skiljas åt. När du arbetar med system som har identiska SID:er, klient-ID:er eller systemnummer använder du olika Log Analytics-arbetsytor för att särskilja data.

SAP-programservrar

  • Använd en SAP-anslutningsapp för att ansluta ABAP-servrar till Microsoft Sentinel.
  • Installera SAP-anslutningsappen på en separat virtuell dator.
  • Varje SAP-system med ett unikt system-ID kräver en separat SAP-anslutningsapp.
  • Lagra autentiseringsuppgifterna i Azure Key Vault.
  • Om du vill hämta data i varje SAP-system tilldelar du rätt roller och auktoriseringar som är specifika för Microsoft Sentinel-integreringen.
  • Aktivera SAP-tabelländringsloggning och ABAP-loggning i övervakade SAP-system.
  • Finjustera SAP-anslutningsappen för att undvika korta dumpar och hämta rätt datamängd.
  • Om du vill eliminera falska positiva identifieringar implementerar du en iterativ process för att finjustera aviseringarna i Microsoft Sentinel. Du kan till exempel tillåta att utvalda användare kör känsliga frågor.

SAP HANA-databasserver

  • Microsoft Sentinel förlitar sig på loggarna som skickas till arbetsytan av SAP HANA via systemloggningsprotokoll (syslog). Det finns inga SAP-anslutningsappar i det här scenariot.

  • Om du vill push-överföra SAP HANA-syslogen till en Microsoft Sentinel-arbetsyta installerar du Azure Monitor Agent parallellt med standardversionen av Microsoft Operations Management Suite. Som standard skickar Operations Management Suite data till telemetriarbetsytan. Du kan omdirigera Azure Monitor-agentloggarna till Microsoft Sentinel-arbetsytan.

  • Som standard skrivs SAP HANA-granskningsloggen till en databastabell med namnet CSTABLE. Säkerhetsteamet använder funktioner, till exempel att samla in brandmansinloggningar, för att använda granskningsloggarna från databaserna. Du kan inte ange om standardloggningen till syslog, men du kan omdirigera olika spårningsloggar till olika mål, så att alla Microsoft Sentinel-relaterade granskningsprinciper pekar på aviseringsnivån. När du implementerar den här ändringen går alla loggar på aviseringsnivå till syslog.

Microsoft Sentinel-regler

Microsoft Sentinel-regler hjälper dig att identifiera hot och avvikande beteenden i din miljö. Under analys- och designfasen:

  • Granska befintliga regler. Ta reda på vilka inbyggda analysregler som finns för SAP och Microsoft Sentinel.
  • Upprätta omfång. Definiera omfång och användningsfall för din situation.
  • Upprätta regelvillkor. Upprätta kriterier för regelidentifiering och prioritering.
  • Prioritera regler. Identifiera och prioritera reglerna för implementering.

Följande designöverväganden gäller också:

  • Om du vill identifiera falska positiva identifieringar och justera frågelogik och visningslistposter i enlighet med detta upprättar du en process för att granska och validera aviseringar.

  • Använd visningslistor för att korrelera data från en datakälla med händelserna i din Microsoft Sentinel-miljö.

    • Du kan till exempel skapa en visningslista med en lista över högt värderade tillgångar, avslutade anställda eller tjänstkonton i din miljö.
    • Befintliga regler använder statiska visningslistor som innehåller en lista över användare. Men du kan konfigurera regler för att ge Microsoft Sentinel en uppdateringsbar dynamisk datakälla för tillgångar som Microsoft Sentinel utvärderar.
    • Analysregler utnyttjar SAP_User_Config visningslista. Om en användare till exempel genererar ett överdrivet antal aviseringar läggs användaren till i visningslistan med taggar, till exempel MassiveLogonsOK eller MassiveRFCOK, för att förhindra störningar.
  • Använd de inbyggda arbetsböckerna för att identifiera luckor i data och övervaka systemets hälsa.

  • Använd exfiltreringsregler för att övervaka dataförlust. Mer information finns i Dataexfiltreringsregler och Nya regler för identifiering av dataexfiltrering.

Nästa steg