Förutsättningar för att distribuera Microsoft Sentinel-lösning för SAP-program®

Den här artikeln innehåller de krav som krävs för distribution av Microsoft Sentinel-lösningen för SAP-program®.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Milstolpar för distribution

Spåra distributionsresan för SAP-lösningen genom den här serien med artiklar:

1. Distributionsöversikt

2. Distributionskrav (du är här)

3. Arbeta med lösningen på flera arbetsytor (FÖRHANDSVERSION)

4. Förbereda SAP-miljön

5. Konfigurera granskning

6. Distribuera lösningsinnehållet från innehållshubben

7. Distribuera dataanslutningsagenten

8. Konfigurera Microsoft Sentinel-lösning för SAP-program®

9. Valfria distributionssteg

   • Konfigurera dataanslutning för att använda SNC (Secure Network Communication)
   • Samla in SAP HANA-granskningsloggar
   • Konfigurera övervakningsregler för granskningsloggar
   • Distribuera SAP-anslutningsappen manuellt
   • Välj SAP-inmatningsprofiler

Tabell över förutsättningar

Om du vill distribuera Microsoft Sentinel-lösningen för SAP-program® måste du uppfylla följande krav:

Krav för Azure

Förutsättning	beskrivning	Obligatoriskt/valfritt
Åtkomst till Microsoft Sentinel	Anteckna ditt Microsoft Sentinel-arbetsyte-ID och primärnyckel. Du hittar den här informationen i Microsoft Sentinel: På navigeringsmenyn väljer du Inställningar> Arbetsytans inställningar>Agenthantering. Kopiera arbetsytans ID och primärnyckel och klistra in dem åt sidan för användning under distributionsprocessen.	Obligatoriskt
Behörigheter för att skapa Azure-resurser	Du måste minst ha de behörigheter som krävs för att distribuera lösningar från Microsoft Sentinel-innehållshubben. Mer information finns i katalogen för Microsoft Sentinel-innehållshubben.	Obligatoriskt
Behörigheter för att skapa ett Azure-nyckelvalv eller komma åt ett befintligt	Använd Azure Key Vault för att lagra hemligheter som krävs för att ansluta till ditt SAP-system (rekommenderas när detta är en nödvändig förutsättning). Mer information finns i Tilldela åtkomstbehörigheter för nyckelvalvet.	Krävs om du planerar att lagra autentiseringsuppgifterna för SAP-systemet i Azure Key Vault. Valfritt om du planerar att lagra dem i en konfigurationsfil. Mer information finns i Skapa en virtuell dator och konfigurera åtkomst till dina autentiseringsuppgifter.
Behörigheter för att tilldela en privilegierad roll till SAP-dataanslutningsagenten	När du distribuerar SAP-dataanslutningsagenten måste du bevilja agentens VM-identitet med specifika behörigheter till Microsoft Sentinel-arbetsytan med agentrollen Microsoft Sentinel Business Applications Agent. Om du vill bevilja den här rollen behöver du ägarbehörigheter för den resursgrupp där din Microsoft Sentinel-arbetsyta finns. Mer information finns i Distribuera dataanslutningsagenten.	Obligatoriskt. Om du inte har ägarbehörigheter för resursgruppen kan det relevanta steget också utföras av en annan användare som har relevanta behörigheter, separat efter att agenten har distribuerats fullständigt.

Systemkrav

Förutsättning	beskrivning
Systemarkitektur	Komponenten för dataanslutningsappen i SAP-lösningen distribueras som en Docker-container och varje SAP-klient kräver en egen containerinstans. Containervärden kan vara antingen en fysisk dator eller en virtuell dator, kan finnas antingen lokalt eller i vilket moln som helst. Den virtuella dator som är värd för containern behöver inte finnas i samma Azure-prenumeration som din Microsoft Sentinel-arbetsyta, eller ens i samma Microsoft Entra-klientorganisation.
Storleksrekommendationer för virtuella datorer	Minsta specifikation, till exempel för en labbmiljö: Standard_B2s virtuell dator med: – Två kärnor - 4 GB RAM Standardanslutning (standard): Standard_D2as_v5 virtuell dator eller Standard_D2_v5 virtuell dator med: – Två kärnor - 8 GB RAM-minne Flera anslutningsappar: Standard_D4as_v5 eller Standard_D4_v5 virtuell dator med: - Fyra kärnor - 16 GB RAM-minne
Administratörsbehörighet	Administrativa behörigheter (rot) krävs på containervärddatorn.
Linux-versioner som stöds	SAP-dataanslutningsagenten testas med följande Linux-distributioner: - Ubuntu 18.04 eller senare – SLES version 15 eller senare – RHEL version 7.7 eller senare Om du har ett annat operativsystem kan du behöva distribuera och konfigurera containern manuellt. Om du vill ha mer information öppnar du ett supportärende.
Nätverksanslutning	Kontrollera att containervärden har åtkomst till: – Microsoft Sentinel – Azure Key Vault (i distributionsscenario där Azure Key Vault används för att lagra hemligheter – SAP-system via följande TCP-portar: 32xx, 5xx13, 33xx, 48xx (när SNC används), där xx är SAP-instansnumret.
Programvaruverktyg	Distributionsskriptet för SAP-dataanslutningen installerar följande nödvändiga programvara på den virtuella containervärddatorn (beroende på vilken Linux-distribution som används kan listan variera något): - Packa upp - Netcat - Docker - Jq - Curl
Hanterad identitet eller tjänstens huvudnamn	Den senaste versionen av SAP-dataanslutningsagenten kräver en hanterad identitet eller tjänstens huvudnamn för att autentisera till Microsoft Sentinel. Äldre agenter stöds för uppdateringar av den senaste versionen och måste sedan använda en hanterad identitet eller tjänstens huvudnamn för att fortsätta uppdatera till efterföljande versioner.

SAP-krav

Förutsättning	beskrivning
SAP-versioner som stöds	SAP-dataanslutningsagenten stöder SAP NetWeaver-system och testades på SAP_BASIS version 731 och senare. Vissa steg i den här självstudien innehåller alternativa instruktioner om du arbetar med den äldre SAP_BASIS version 740.
Nödvändig programvara	SAP NetWeaver RFC SDK 7.50 (Ladda ned här) Kontrollera att du också har ett SAP-användarkonto för att få åtkomst till nedladdningssidan för SAP-programvara.
SAP-systeminformation	Anteckna följande SAP-systeminformation för användning i den här självstudien: – SAP-systemets IP-adress och FQDN-värdnamn – SAP-systemnummer, till exempel 00 – SAP-system-ID från SAP NetWeaver-systemet (till exempel NPL) – SAP-klient-ID, till exempel 001
Åtkomst till SAP NetWeaver-instans	SAP-dataanslutningsagenten använder någon av följande mekanismer för att autentisera till SAP-systemet: – SAP ABAP-användare/lösenord – En användare med ett X.509-certifikat (det här alternativet kräver extra konfigurationssteg)

Verifieringssteg för SAP-miljö

Kommentar

Stegvisa instruktioner för att distribuera en cr och tilldela den nödvändiga rollen finns i guiden Distribuera SAP CR och konfigurera auktorisering. Ta reda på vilka CR:er som behöver distribueras, hämta relevanta cd-skivor från länkarna i tabellerna nedan och gå vidare till steg-för-steg-guiden.

• Skapa och konfigurera en roll (krävs)
• Hämta ytterligare information från SAP (valfritt)

Skapa och konfigurera en roll (krävs)

Om du vill tillåta att SAP-dataanslutningen ansluter till ditt SAP-system måste du skapa en roll. Skapa rollen genom att läsa in rollauktoriseringarna från filen /MSFTSEN/SENTINEL_RESPONDER .

Rollen /MSFTSEN/SENTINEL_RESPONDER innehåller både svarsåtgärder för logghämtning och attackstörningar. Om du bara vill aktivera logghämtning utan åtgärder för attackavbrott kan du antingen distribuera SAP NPLK900271 CR på SAP-systemet eller läsa in rollauktoriseringarna från MSFTSEN_SENTINEL_CONNECTOR-filen. Rollen /MSFTSEN/SENTINEL_CONNECTOR som har alla grundläggande behörigheter för att dataanslutningen ska fungera.

SAP BASIS-versioner	Exempel på CR
Valfri version	NPLK900271: K900271.NPL, R900271. NPL

Erfarna SAP-administratörer kan välja att skapa rollen manuellt och tilldela den lämpliga behörigheter. I sådana fall bör du följa de rekommenderade auktoriseringarna för varje logg. Mer information finns i Nödvändiga ABAP-auktoriseringar.

Hämta ytterligare information från SAP (valfritt)

Du kan distribuera extra CRs från Microsoft Sentinel GitHub-lagringsplatsen för att aktivera SAP-dataanslutningen för att hämta viss information från ditt SAP-system.

• SAP BASIS 7.5 SP12 och senare: Information om klientens IP-adress från säkerhetsgranskningsloggen
• VALFRI SAP BASIS-version: DB-tabellloggar, Spool-utdatalogg

SAP BASIS-versioner	Rekommenderad CR	Kommentar
- 750 och senare	NPLK900202: K900202.NPL, R900202. NPL	Distribuera relevant SAP-anteckning.
- 740	NPLK900201: K900201.NPL, R900201. NPL

Distribuera SAP-anteckning (valfritt)

Om du väljer att hämta ytterligare information med den NPLK900202 valfria CR:en kontrollerar du att följande SAP-anteckning distribueras i SAP-systemet enligt dess version:

SAP BASIS-versioner	Kommentar
- 750 SP04 till SP12 - 751 SP00 till SP06 - 752 SP00 till SP02	2641084 – Standardiserad läsåtkomst till data i säkerhetsgranskningsloggen*

Nästa steg

När du har kontrollerat att alla förutsättningar är uppfyllda går du vidare till nästa steg för att distribuera de nödvändiga certifikatutfärdarna till DITT SAP-system och konfigurera auktorisering.

Distribuera SAP CRs och konfigurera auktorisering