Ansluta DITT SAP-system till Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Välj en anslutningstyp

Dataanslutningsagent Agentlös dataanslutning (begränsad förhandsversion)

För att Microsoft Sentinel-lösningen för SAP-program ska fungera korrekt måste du först hämta dina SAP-data till Microsoft Sentinel. Gör detta genom att antingen distribuera Microsoft Sentinel SAP-dataanslutningsagenten eller genom att ansluta Microsoft Sentinel-agentlös dataanslutning för SAP. Välj det alternativ överst på sidan som matchar din miljö.

I den här artikeln beskrivs det tredje steget i att distribuera en av Microsoft Sentinel-lösningarna för SAP-program.

Innehållet i den här artikeln är relevant för dina säkerhets-, infrastruktur- och SAP BASIS-team . Se till att utföra stegen i den här artikeln i den ordning de visas.

Innehållet i den här artikeln är relevant för ditt säkerhetsteam med hjälp av information från dina SAP BASIS-team .

Viktigt

Microsoft Sentinels agentlösa lösning är i begränsad förhandsversion som en förhyrd produkt, som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier som uttrycks eller underförstås, med avseende på den information som tillhandahålls här. Åtkomst till den agentlösa lösningen kräver också registrering och är endast tillgänglig för godkända kunder och partner under förhandsversionen. Mer information finns i Microsoft Sentinel för SAP blir agentlös .

Förutsättningar

Innan du ansluter DITT SAP-system till Microsoft Sentinel:

• Kontrollera att alla distributionskrav är uppfyllda. Mer information finns i Krav för att distribuera Microsoft Sentinel-lösning för SAP-program.

• Kontrollera att Microsoft Sentinel-lösningen för SAP-programär installerad på din Microsoft Sentinel-arbetsyta

• Kontrollera att SAP-systemet är helt förberett för distributionen.

• Om du distribuerar dataanslutningsagenten för att kommunicera med Microsoft Sentinel via SNC kontrollerar du att du har slutfört Konfigurera systemet att använda SNC för säkra anslutningar.

• Kontrollera att microsoft Sentinel SAP Agentless-lösningenär installerad på din Microsoft Sentinel-arbetsyta

• Kontrollera att SAP-systemet är helt förberett för distributionen.

• Kontrollera att din DCR har konfigurerats enligt beskrivningen i Installera lösningen från innehållshubben.

Titta på en demovideo

Titta på någon av följande videodemonstrationer av distributionsprocessen som beskrivs i den här artikeln.

En djupdykning i portalalternativen:

Innehåller mer information om hur du använder Azure KeyVault. Inget ljud, demonstration endast med bildtexter:

Skapa en virtuell dator och konfigurera åtkomst till dina autentiseringsuppgifter

Vi rekommenderar att du skapar en dedikerad virtuell dator för din dataanslutningsagentcontainer för att säkerställa optimala prestanda och undvika potentiella konflikter. Mer information finns i Systemkrav för dataanslutningsagentcontainern.

Vi rekommenderar att du lagrar dina SAP- och autentiseringshemligheter i ett Azure-nyckelvalv. Hur du kommer åt ditt nyckelvalv beror på var den virtuella datorn (VM) distribueras:

Distributionsmetod	Åtkomstmetod
Container på en virtuell Azure-dator	Vi rekommenderar att du använder en azure-systemtilldelad hanterad identitet för att få åtkomst till Azure Key Vault. Om det inte går att använda en systemtilldelad hanterad identitet kan containern även autentisera till Azure Key Vault med hjälp av tjänstens huvudnamn för Microsoft Entra-ID:t registered-application, eller, som en sista utväg, en konfigurationsfil.
En container på en lokal virtuell dator eller en virtuell dator i en molnmiljö från tredje part	Autentisera till Azure Key Vault med hjälp av tjänstens huvudnamn för Microsoft Entra-ID:t registered-application.

Om du inte kan använda ett registrerat program eller ett huvudnamn för tjänsten använder du en konfigurationsfil för att hantera dina autentiseringsuppgifter, men den här metoden är inte att föredra. Mer information finns i Distribuera dataanslutningsappen med hjälp av en konfigurationsfil.

Mer information finns i:

• Autentisering i Azure Key Vault
• Vad är hanterade identiteter för Azure-resurser?
• Översikt över program- och tjänstobjekt i Microsoft Entra ID

Den virtuella datorn skapas vanligtvis av infrastrukturteamet. Konfiguration av åtkomst till autentiseringsuppgifter och hantering av nyckelvalv utförs vanligtvis av ditt säkerhetsteam .

Hanterade identiteter

Skapa en hanterad identitet med en virtuell Azure-dator

1. Kör följande kommando för att skapa en virtuell dator i Azure och ersätt faktiska namn från din miljö med <placeholders>:

   Azure CLI

   az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>
   
   

   Mer information finns i Snabbstart: Skapa en virtuell Linux-dator med Azure CLI.

   Viktigt

   När den virtuella datorn har skapats måste du tillämpa alla säkerhetskrav och härdningsprocedurer som gäller i din organisation.

   Det här kommandot skapar den virtuella datorresursen och skapar utdata som ser ut så här:

   JSON

   {
     "fqdns": "",
     "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
     "identity": {
       "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
       "userAssignedIdentities": {}
     },
     "location": "westeurope",
     "macAddress": "00-11-22-33-44-55",
     "powerState": "VM running",
     "privateIpAddress": "192.168.136.5",
     "publicIpAddress": "",
     "resourceGroup": "resourcegroupname",
     "zones": ""
   }
   

2. Kopiera systemAssignedIdentity GUID, eftersom det kommer att användas i de kommande stegen. Det här är din hanterade identitet.

Registrerat program

Registrera ett program för att skapa en programidentitet

1. Kör följande kommando från Azure-kommandoraden för att skapa och registrera ett program:

   Azure CLI

   az ad sp create-for-rbac
   

   Det här kommandot skapar programmet och producerar utdata som ser ut så här:

   JSON

   {
     "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
     "displayName": "azure-cli-2022-01-28-17-59-06",
     "password": "ssssssssssssssssssssssssssssssssss",
     "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
   }
   

   Mer information finns i referensdokumentationen för Azure CLI.

2. Kopiera appId, klientorganisation och lösenord från utdata. Du behöver dessa för att tilldela åtkomstprincipen för nyckelvalvet och köra distributionsskriptet i de kommande stegen.

3. Innan du fortsätter skapar du en virtuell dator där agenten ska distribueras. Du kan skapa den här datorn i Azure, i ett annat moln eller lokalt.

Skapa ett nyckelvalv

Den här proceduren beskriver hur du skapar ett nyckelvalv för att lagra din agentkonfigurationsinformation, inklusive dina SAP-autentiseringshemligheter. Om du använder ett befintligt nyckelvalv går du direkt till steg 2.

Så här skapar du ditt nyckelvalv:

1. Kör följande kommandon och ersätt faktiska namn med <placeholder> värdena.

   Azure CLI

   az keyvault create \
     --name <KeyVaultName> \
     --resource-group <KeyVaultResourceGroupName>
   

2. Kopiera namnet på ditt nyckelvalv och namnet på dess resursgrupp. Du behöver dessa när du tilldelar åtkomstbehörigheter för nyckelvalvet och kör distributionsskriptet i nästa steg.

Tilldela åtkomstbehörigheter för key vault

1. I nyckelvalvet tilldelar du rollen Azure Key Vault Secrets Reader till den identitet som du skapade och kopierade tidigare.

2. I samma nyckelvalv tilldelar du följande Azure-roller till användaren som konfigurerar dataanslutningsagenten:

   • Key Vault-deltagare för att distribuera agenten
   • Key Vault Secrets Officer för att lägga till nya system

Distribuera dataanslutningsagenten från portalen (förhandsversion)

Nu när du har skapat en virtuell dator och ett Key Vault är nästa steg att skapa en ny agent och ansluta till ett av dina SAP-system. Du kan köra flera dataanslutningsagenter på en enda dator, men vi rekommenderar att du börjar med en enda, övervakar prestanda och sedan ökar antalet anslutningsappar långsamt.

Den här proceduren beskriver hur du skapar en ny agent och ansluter den till ditt SAP-system med hjälp av Azure- eller Defender-portalerna. Vi rekommenderar att säkerhetsteametutför den här proceduren med hjälp av SAP BASIS-teamet.

Distribution av dataanslutningsagenten från portalen stöds både från Azure Portal och Defender-portalen när Microsoft Sentinel registreras på Defender-portalen.

Distribution stöds också från kommandoraden, men vi rekommenderar att du använder portalen för vanliga distributioner. Dataanslutningsagenter som distribueras med kommandoraden kan endast hanteras via kommandoraden och inte via portalen. Mer information finns i Distribuera en SAP-dataanslutningsagent från kommandoraden.

Viktigt

Distributionen av containern och skapandet av anslutningar till SAP-system från portalen finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar:

• Om du vill distribuera dataanslutningsagenten via portalen behöver du:

  • Autentisering via en hanterad identitet eller ett registrerat program
  • Autentiseringsuppgifter som lagras i ett Azure Key Vault

  Om du inte har dessa förutsättningar distribuerar du SAP-dataanslutningsagenten från kommandoraden i stället.

• För att distribuera dataanslutningsagenten behöver du även sudo- eller rotbehörigheter på dataanslutningsagentdatorn.

• Om du vill mata in Netweaver/ABAP-loggar över en säker anslutning med hjälp av SNC (Secure Network Communications) behöver du:

  • Sökvägen till binärfilen sapgenpse och libsapcrypto.so biblioteket
  • Information om klientcertifikatet

  Mer information finns i Konfigurera systemet att använda SNC för säkra anslutningar.

Så här distribuerar du dataanslutningsagenten:

1. Logga in på den nyligen skapade virtuella datorn där du installerar agenten som en användare med sudo-behörighet.

2. Ladda ned och/eller överför SAP NetWeaver SDK till datorn.

3. I Microsoft Sentinel väljer du Anslutningsappar för konfigurationsdata>.

4. I sökfältet anger du SAP. Välj Microsoft Sentinel för SAP från sökresultaten och sedan Sidan Öppna anslutningsapp.

5. I området Konfiguration väljer du Lägg till ny agent (förhandsversion).

   

6. I fönstret Skapa en insamlaragent anger du följande agentinformation:

   Name	beskrivning
   Agentnamn	Ange ett beskrivande agentnamn för din organisation. Vi rekommenderar inte någon specifik namngivningskonvention, förutom att namnet bara kan innehålla följande typer av tecken: a-z A–Ö 0–9 _ (understreck) . (period) - (bindestreck)
   Nyckelvalv för prenumeration /	Välj Prenumeration och Nyckelvalv i respektive listruta.
   ZIP-filsökväg för NWRFC SDK på den virtuella agentdatorn	Ange sökvägen i den virtuella datorn som innehåller SDK-arkivet (SAP NetWeaver Remote Function Call) (RFC) Software Development Kit (SDK) (.zip fil). Kontrollera att den här sökvägen innehåller SDK-versionsnumret i följande syntax: <path>/NWRFC<version number>.zip. Exempel: /src/test/nwrfc750P_12-70002726.zip.
   Aktivera stöd för SNC-anslutning	Välj att mata in NetWeaver/ABAP-loggar över en säker anslutning med hjälp av SNC. Om du väljer det här alternativet anger du sökvägen som innehåller sapgenpse binärfilen och libsapcrypto.so biblioteket under SÖKvägen FÖR SAP Cryptographic Library på den virtuella agentdatorn. Om du vill använda en SNC-anslutning måste du välja Aktivera SNC-anslutningsstöd i det här skedet eftersom du inte kan gå tillbaka och aktivera en SNC-anslutning när du har distribuerat agenten. Om du vill ändra den här inställningen efteråt rekommenderar vi att du skapar en ny agent i stället.
   Autentisering till Azure Key Vault	Om du vill autentisera till ditt nyckelvalv med hjälp av en hanterad identitet lämnar du standardalternativet Hanterad identitet valt. Om du vill autentisera till ditt nyckelvalv med ett registrerat program väljer du Programidentitet. Du måste ha konfigurerat den hanterade identiteten eller det registrerade programmet i förväg. Mer information finns i Skapa en virtuell dator och konfigurera åtkomst till dina autentiseringsuppgifter.

   Till exempel:

   

7. Välj Skapa och granska rekommendationerna innan du slutför distributionen:

   

8. När du distribuerar SAP-dataanslutningsagenten måste du bevilja agentens VM-identitet med specifika behörigheter till Microsoft Sentinel-arbetsytan med hjälp av agentoperator- och läsarrollerna för Microsoft Sentinel Business Applications Agent.

   Om du vill köra kommandona i det här steget måste du vara resursgruppsägare på din Microsoft Sentinel-arbetsyta. Om du inte är resursgruppsägare på din arbetsyta kan den här proceduren också utföras när agentdistributionen har slutförts.

   Under Bara några steg till innan vi är klara kopierar du rolltilldelningskommandona från steg 1 och kör dem på den virtuella agentdatorn och ersätter [Object_ID] platshållaren med objekt-ID:t för den virtuella datorns identitet. Till exempel:

   

   Så här hittar du objekt-ID:t för den virtuella datorns identitet i Azure:

   • För en hanterad identitet visas objekt-ID:t på den virtuella datorns identitetssida.

   • För tjänstens huvudnamn går du till Företagsprogram i Azure. Välj Alla program och välj sedan den virtuella datorn. Objekt-ID:t visas på sidan Översikt .

   Dessa kommandon tilldelar Azure-rollerna Microsoft Sentinel Business Applications Agent Operator och Reader till den virtuella datorns hanterade identitet eller programidentitet, inklusive endast omfattningen för den angivna agentens data på arbetsytan.

   Viktigt

   När du tilldelar rollerna Microsoft Sentinel Business Applications Agent Operator och Reader via CLI tilldelas rollerna endast i omfånget för den angivna agentens data på arbetsytan. Detta är det säkraste och därför rekommenderade alternativet.

   Om du måste tilldela rollerna via Azure Portal rekommenderar vi att du tilldelar rollerna i ett litet omfång, till exempel endast på Microsoft Sentinel-arbetsytan.

9. Välj Kopiera bredvid agentdistributionskommandoti steg 2. Till exempel:

   

10. Kopiera kommandoraden till en separat plats och välj sedan Stäng.

    Relevant agentinformation distribueras till Azure Key Vault och den nya agenten visas i tabellen under Lägg till en API-baserad insamlaragent.

    I det här skedet är agentens hälsostatus "Ofullständig installation. Följ anvisningarna". När agenten har installerats ändras statusen till Agent felfri. Den här uppdateringen kan ta upp till 10 minuter. Till exempel:

    

    Anteckning

    Tabellen visar agentnamnet och hälsostatusen för endast de agenter som du distribuerar via Azure Portal. Agenter som distribueras med kommandoraden visas inte här. Mer information finns på fliken Kommandorad i stället.

11. På den virtuella dator där du planerar att installera agenten öppnar du en terminal och kör kommandot Agentdistribution som du kopierade i föregående steg. Det här steget kräver sudo- eller rotbehörigheter på dataanslutningsagentdatorn.

    Skriptet uppdaterar OS-komponenterna och installerar Azure CLI, Docker-programvaran och andra nödvändiga verktyg, till exempel jq, netcat och curl.

    Ange extra parametrar till skriptet efter behov för att anpassa containerdistributionen. Mer information om tillgängliga kommandoradsalternativ finns i Referens för Kickstart-skript.

    Om du behöver kopiera kommandot igen väljer du Visatill höger om kolumnen Hälsa och kopierar kommandot bredvid agentdistributionskommandot längst ned till höger.

12. I Microsoft Sentinel-lösningen för SAP-programmets dataanslutningssida går du till konfigurationsområdet och väljer Lägg till nytt system (förhandsversion) och anger följande information:

    • Under Välj en agent väljer du den agent som du skapade tidigare.

    • Under Systemidentifierare väljer du servertyp:

      • ABAP-server
      • Meddelandeserver för att använda en meddelandeserver som en del av en ABAP SAP Central Services (ASCS).

    • Fortsätt genom att definiera relaterad information för din servertyp:

      • För en ABAP-server anger du IP-adressen/FQDN för ABAP-programservern, system-ID och nummer samt klient-ID.
      • För en meddelandeserver anger du IP-adressen/FQDN för meddelandeservern, portnumret eller tjänstnamnet och inloggningsgruppen

    När du är klar väljer du Nästa: Autentisering.

    Till exempel:

    

13. På fliken Autentisering anger du följande information:

    • För grundläggande autentisering anger du användaren och lösenordet.
    • Om du valde en SNC-anslutning när du konfigurerade agenten väljer du SNC och anger certifikatinformationen.

    När du är klar väljer du Nästa: Loggar.

14. På fliken Loggar väljer du de loggar som du vill mata in från SAP och väljer sedan Nästa: Granska och skapa. Till exempel:

    

15. (Valfritt) För optimala resultat vid övervakning av SAP PAHI-tabellen väljer du Konfigurationshistorik. Mer information finns i Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum.

16. Granska de inställningar som du har definierat. Välj Föregående om du vill ändra några inställningar eller välj Distribuera för att distribuera systemet.

Systemkonfigurationen som du definierade distribueras till det Azure-nyckelvalv som du definierade under distributionen. Nu kan du se systeminformationen i tabellen under Konfigurera ett SAP-system och tilldela det till en insamlaragent. Den här tabellen visar det associerade agentnamnet, SAP System ID (SID) och hälsostatusen för system som du har lagt till via portalen eller på annat sätt.

I det här skedet väntar systemets hälsostatus. Om agenten uppdateras hämtar den konfigurationen från Azure Key Vault och statusen ändras till System felfri. Den här uppdateringen kan ta upp till 10 minuter.

Ansluta din agentlösa dataanslutning

1. I Microsoft Sentinel går du till sidan Anslutningsappar för konfigurationsdata> och letar upp SAP ABAP och S/4 via dataanslutningsappen för molnanslutningar (förhandsversion).

2. I området Konfiguration går du till Anslut en SAP-integreringssvit till Microsoft Sentinel och väljer Lägg till anslutning.

3. I fönstret Agentlös anslutning anger du följande information:

   Fält	beskrivning
   RFC-målnamn	Namnet på RFC-målet som hämtats från btp-målet.
   SAP Agentless Client ID	Clientid-värdet som hämtas från JSON-filen för processintegreringstjänstens runtime-tjänstnyckel.
   SAP-agentlös klienthemlighet	Värdet clientsecret som hämtats från JSON-filen för processintegreringstjänstens runtime-tjänstnyckel.
   Auktoriseringsserver-URL	Värdet tokenurlurl som hämtats från JSON-filen för processintegreringskörningstjänsten. Till exempel: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
   Integration Suite-slutpunkt	Url-värdet som hämtats från JSON-filen för processintegreringstjänstens runtime-tjänstnyckel. Till exempel: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

Kontrollera anslutning och hälsa

När du har distribuerat SAP-dataanslutningen kontrollerar du agentens hälsa och anslutning. Mer information finns i Övervaka hälsotillståndet och rollen för dina SAP-system.

Gå vidare

När anslutningsappen har distribuerats fortsätter du med att konfigurera Microsoft Sentinel-lösningen för SAP-programinnehåll. Mer specifikt är konfiguration av information i bevakningslistan ett viktigt steg för att aktivera identifieringar och skydd mot hot.

Aktivera SAP-identifieringar och skydd mot hot