Förutsättningar för att distribuera Microsoft Sentinel-lösning för SAP-program®
Den här artikeln innehåller de krav som krävs för distribution av Microsoft Sentinel-lösningen för SAP-program®.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Milstolpar för distribution
Spåra distributionsresan för SAP-lösningen genom den här serien med artiklar:
Distributionskrav (du är här)
Arbeta med lösningen på flera arbetsytor (FÖRHANDSVERSION)
Valfria distributionssteg
Tabell över förutsättningar
Om du vill distribuera Microsoft Sentinel-lösningen för SAP-program® måste du uppfylla följande krav:
Krav för Azure
Förutsättning | beskrivning | Obligatoriskt/valfritt |
---|---|---|
Åtkomst till Microsoft Sentinel | Anteckna ditt Microsoft Sentinel-arbetsyte-ID och primärnyckel. Du hittar den här informationen i Microsoft Sentinel: På navigeringsmenyn väljer du Inställningar> Arbetsytans inställningar>Agenthantering. Kopiera arbetsytans ID och primärnyckel och klistra in dem åt sidan för användning under distributionsprocessen. |
Obligatoriskt |
Behörigheter för att skapa Azure-resurser | Du måste minst ha de behörigheter som krävs för att distribuera lösningar från Microsoft Sentinel-innehållshubben. Mer information finns i katalogen för Microsoft Sentinel-innehållshubben. | Obligatoriskt |
Behörigheter för att skapa ett Azure-nyckelvalv eller komma åt ett befintligt | Använd Azure Key Vault för att lagra hemligheter som krävs för att ansluta till ditt SAP-system (rekommenderas när detta är en nödvändig förutsättning). Mer information finns i Tilldela åtkomstbehörigheter för nyckelvalvet. | Krävs om du planerar att lagra autentiseringsuppgifterna för SAP-systemet i Azure Key Vault. Valfritt om du planerar att lagra dem i en konfigurationsfil. Mer information finns i Skapa en virtuell dator och konfigurera åtkomst till dina autentiseringsuppgifter. |
Behörigheter för att tilldela en privilegierad roll till SAP-dataanslutningsagenten | När du distribuerar SAP-dataanslutningsagenten måste du bevilja agentens VM-identitet med specifika behörigheter till Microsoft Sentinel-arbetsytan med agentrollen Microsoft Sentinel Business Applications Agent. Om du vill bevilja den här rollen behöver du ägarbehörigheter för den resursgrupp där din Microsoft Sentinel-arbetsyta finns. Mer information finns i Distribuera dataanslutningsagenten. |
Obligatoriskt. Om du inte har ägarbehörigheter för resursgruppen kan det relevanta steget också utföras av en annan användare som har relevanta behörigheter, separat efter att agenten har distribuerats fullständigt. |
Systemkrav
Förutsättning | beskrivning |
---|---|
Systemarkitektur | Komponenten för dataanslutningsappen i SAP-lösningen distribueras som en Docker-container och varje SAP-klient kräver en egen containerinstans. Containervärden kan vara antingen en fysisk dator eller en virtuell dator, kan finnas antingen lokalt eller i vilket moln som helst. Den virtuella dator som är värd för containern behöver inte finnas i samma Azure-prenumeration som din Microsoft Sentinel-arbetsyta, eller ens i samma Microsoft Entra-klientorganisation. |
Storleksrekommendationer för virtuella datorer | Minsta specifikation, till exempel för en labbmiljö: Standard_B2s virtuell dator med: – Två kärnor - 4 GB RAM Standardanslutning (standard): Standard_D2as_v5 virtuell dator eller Standard_D2_v5 virtuell dator med: – Två kärnor - 8 GB RAM-minne Flera anslutningsappar: Standard_D4as_v5 eller Standard_D4_v5 virtuell dator med: - Fyra kärnor - 16 GB RAM-minne |
Administratörsbehörighet | Administrativa behörigheter (rot) krävs på containervärddatorn. |
Linux-versioner som stöds | SAP-dataanslutningsagenten testas med följande Linux-distributioner: - Ubuntu 18.04 eller senare – SLES version 15 eller senare – RHEL version 7.7 eller senare Om du har ett annat operativsystem kan du behöva distribuera och konfigurera containern manuellt. Om du vill ha mer information öppnar du ett supportärende. |
Nätverksanslutning | Kontrollera att containervärden har åtkomst till: – Microsoft Sentinel – Azure Key Vault (i distributionsscenario där Azure Key Vault används för att lagra hemligheter – SAP-system via följande TCP-portar: 32xx, 5xx13, 33xx, 48xx (när SNC används), där xx är SAP-instansnumret. |
Programvaruverktyg | Distributionsskriptet för SAP-dataanslutningen installerar följande nödvändiga programvara på den virtuella containervärddatorn (beroende på vilken Linux-distribution som används kan listan variera något): - Packa upp - Netcat - Docker - Jq - Curl |
Hanterad identitet eller tjänstens huvudnamn | Den senaste versionen av SAP-dataanslutningsagenten kräver en hanterad identitet eller tjänstens huvudnamn för att autentisera till Microsoft Sentinel. Äldre agenter stöds för uppdateringar av den senaste versionen och måste sedan använda en hanterad identitet eller tjänstens huvudnamn för att fortsätta uppdatera till efterföljande versioner. |
SAP-krav
Förutsättning | beskrivning |
---|---|
SAP-versioner som stöds | SAP-dataanslutningsagenten stöder SAP NetWeaver-system och testades på SAP_BASIS version 731 och senare. Vissa steg i den här självstudien innehåller alternativa instruktioner om du arbetar med den äldre SAP_BASIS version 740. |
Nödvändig programvara | SAP NetWeaver RFC SDK 7.50 (Ladda ned här) Kontrollera att du också har ett SAP-användarkonto för att få åtkomst till nedladdningssidan för SAP-programvara. |
SAP-systeminformation | Anteckna följande SAP-systeminformation för användning i den här självstudien: – SAP-systemets IP-adress och FQDN-värdnamn – SAP-systemnummer, till exempel 00 – SAP-system-ID från SAP NetWeaver-systemet (till exempel NPL ) – SAP-klient-ID, till exempel 001 |
Åtkomst till SAP NetWeaver-instans | SAP-dataanslutningsagenten använder någon av följande mekanismer för att autentisera till SAP-systemet: – SAP ABAP-användare/lösenord – En användare med ett X.509-certifikat (det här alternativet kräver extra konfigurationssteg) |
Verifieringssteg för SAP-miljö
Kommentar
Stegvisa instruktioner för att distribuera en cr och tilldela den nödvändiga rollen finns i guiden Distribuera SAP CR och konfigurera auktorisering. Ta reda på vilka CR:er som behöver distribueras, hämta relevanta cd-skivor från länkarna i tabellerna nedan och gå vidare till steg-för-steg-guiden.
Skapa och konfigurera en roll (krävs)
Om du vill tillåta att SAP-dataanslutningen ansluter till ditt SAP-system måste du skapa en roll. Skapa rollen genom att läsa in rollauktoriseringarna från filen /MSFTSEN/SENTINEL_RESPONDER .
Rollen /MSFTSEN/SENTINEL_RESPONDER innehåller både svarsåtgärder för logghämtning och attackstörningar. Om du bara vill aktivera logghämtning utan åtgärder för attackavbrott kan du antingen distribuera SAP NPLK900271 CR på SAP-systemet eller läsa in rollauktoriseringarna från MSFTSEN_SENTINEL_CONNECTOR-filen. Rollen /MSFTSEN/SENTINEL_CONNECTOR som har alla grundläggande behörigheter för att dataanslutningen ska fungera.
SAP BASIS-versioner | Exempel på CR |
---|---|
Valfri version | NPLK900271: K900271.NPL, R900271. NPL |
Erfarna SAP-administratörer kan välja att skapa rollen manuellt och tilldela den lämpliga behörigheter. I sådana fall bör du följa de rekommenderade auktoriseringarna för varje logg. Mer information finns i Nödvändiga ABAP-auktoriseringar.
Hämta ytterligare information från SAP (valfritt)
Du kan distribuera extra CRs från Microsoft Sentinel GitHub-lagringsplatsen för att aktivera SAP-dataanslutningen för att hämta viss information från ditt SAP-system.
- SAP BASIS 7.5 SP12 och senare: Information om klientens IP-adress från säkerhetsgranskningsloggen
- VALFRI SAP BASIS-version: DB-tabellloggar, Spool-utdatalogg
SAP BASIS-versioner | Rekommenderad CR | Kommentar |
---|---|---|
- 750 och senare | NPLK900202: K900202.NPL, R900202. NPL | Distribuera relevant SAP-anteckning. |
- 740 | NPLK900201: K900201.NPL, R900201. NPL |
Distribuera SAP-anteckning (valfritt)
Om du väljer att hämta ytterligare information med den NPLK900202 valfria CR:en kontrollerar du att följande SAP-anteckning distribueras i SAP-systemet enligt dess version:
SAP BASIS-versioner | Kommentar |
---|---|
- 750 SP04 till SP12 - 751 SP00 till SP06 - 752 SP00 till SP02 |
2641084 – Standardiserad läsåtkomst till data i säkerhetsgranskningsloggen* |
Nästa steg
När du har kontrollerat att alla förutsättningar är uppfyllda går du vidare till nästa steg för att distribuera de nödvändiga certifikatutfärdarna till DITT SAP-system och konfigurera auktorisering.