Aracılığıyla paylaş

SAP BTP için Microsoft Sentinel çözümünü dağıtma

  • Makale

Bu makalede SAP İş Teknolojisi Platformu (BTP) sistemi için Microsoft Sentinel çözümünün nasıl dağıtılacağı açıklanır. SAP BTP için Microsoft Sentinel çözümü SAP BTP sisteminizi izler ve korur. BTP altyapısından ve BTP tabanlı uygulamalardan denetim günlüklerini ve etkinlik günlüklerini toplar ve ardından tehditleri, şüpheli etkinlikleri, gayri meşru etkinlikleri ve daha fazlasını algılar. Çözüm hakkında daha fazla bilgi edinin.

Önkoşullar

Başlamadan önce şunları doğrulayın:

  • Microsoft Sentinel çözümü etkinleştirildi.
  • Tanımlanmış bir Microsoft Sentinel çalışma alanınız var ve çalışma alanında okuma ve yazma izinleriniz var.
  • Kuruluşunuz SAP uygulamaları ve diğer iş uygulamalarıyla etkileşimleri kolaylaştırmak için SAP BTP 'yi (Cloud Foundry ortamında) kullanır.
  • Bir SAP BTP hesabınız var (Cloud Foundry ortamında BTP hesaplarını destekler). SAP BTP deneme hesabı da kullanabilirsiniz.
  • SAP BTP denetim günlüğü yönetim hizmeti ve hizmet anahtarına sahipsiniz (bkz . BTP hesabını ve çözümünü ayarlama).
  • Hedef Microsoft Sentinel çalışma alanında Microsoft Sentinel Katkıda Bulunanı rolüne sahipsiniz.

BTP hesabını ve çözümünü ayarlama

BTP hesabını ve çözümü ayarlamak için:

  1. BTP hesabınızda oturum açtıktan sonra (önkoşullara bakın), SAP BTP sistemindeki denetim günlüğü alma adımlarını izleyin.

  2. SAP BTP kokpitinde Denetim Günlüğü Yönetim Hizmeti'ni seçin.

    BTP Denetim Günlüğü Yönetim Hizmeti'nin seçilmesini gösteren ekran görüntüsü.

  3. BTP alt hesapta Denetim Günlüğü Yönetim Hizmeti'nin bir örneğini oluşturun.

    BTP alt hesabı örneğini oluşturmayı gösteren ekran görüntüsü.

  4. Bir hizmet anahtarı oluşturun ve , uaa.clientid, uaa.clientecretve uaa.urldeğerlerini urlkaydedin. Bu değerler, veri bağlayıcısını dağıtmak için gereklidir.

    Bu alan değerlerine örnekler aşağıda verilmiştir:

    • url: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Azure Portal’ında oturum açın.

  6. Microsoft Sentinel hizmetine gidin.

  7. İçerik hub'ı seçin ve arama çubuğunda BTP'yi arayın.

  8. SAP BTP'yi seçin.

  9. Yükle'yi seçin.

    Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.

  10. Oluştur'u belirleyin.

    SAP BTP için Microsoft Sentinel çözümünün nasıl oluşturulacağını gösteren ekran görüntüsü.

  11. Çözümün dağıtılacağı kaynak grubunu ve Microsoft Sentinel çalışma alanını seçin.

  12. Doğrulamayı geçene kadar İleri'yi ve ardından Oluştur'u seçin.

  13. Çözüm dağıtımı tamamlandığında Microsoft Sentinel çalışma alanınıza dönün ve Veri bağlayıcıları'nı seçin.

  14. Arama çubuğuna BTP yazın ve SAP BTP'yi seçin.

  15. Bağlayıcı sayfasını aç'ı seçin.

  16. Bağlayıcı sayfasında, listelenen gerekli önkoşulları karşıladığınızdan emin olun ve yapılandırma adımlarını tamamlayın. Hazır olduğunuzda Hesap ekle'yi seçin.

  17. Yapılandırma sırasında daha önce tanımladığınız parametreleri belirtin. Belirtilen alt hesap adı tabloda bir sütun SAPBTPAuditLog_CL olarak yansıtılır ve birden çok alt hesabınız olduğunda günlükleri filtrelemek için kullanılabilir.

    Not

    Genel hesap için denetimler alındığında, alt hesap için denetimler otomatik olarak alınmaz. İzlemek istediğiniz alt hesapların her biri için bağlayıcı yapılandırma adımlarını ve ayrıca genel hesap için bu adımları izleyin. Bu hesap denetimi yapılandırma konularını gözden geçirin.

  18. BTP günlüklerinin Microsoft Sentinel çalışma alanına aktığından emin olun:

    1. BTP alt hesabınızda oturum açın ve oturum açma işlemleri, kullanıcı ekleme, izinleri değiştirme ve ayarları değiştirme gibi günlükler oluşturan birkaç etkinliği çalıştırın.
    2. Günlüklerin akmaya başlaması için 20-30 dakika izin verin.
    3. SAP BTP bağlayıcısı sayfasında, Microsoft Sentinel'in BTP verilerini aldığını onaylayın veya SAPBTPAuditLog_CL tablosunu doğrudan sorgulayın.

  19. Bu yönergeleri izleyerek çalışma kitabını ve çözümün bir parçası olarak sağlanan analiz kurallarını etkinleştirin.

Hesap denetim yapılandırmalarınızı göz önünde bulundurun

Dağıtım işleminin son adımı, genel hesabınızı ve alt hesap denetim yapılandırmalarınızı göz önünde bulundurmaktır.

Genel hesap denetimi yapılandırması

Genel hesap için BTP kokpitinde denetim günlüğü alma özelliğini etkinleştirdiğinizde: Denetim Günlüğü Yönetim Hizmeti'ne yetkilendirmek istediğiniz alt hesap bir dizin altındaysa, önce hizmeti dizin düzeyinde yetkilendirmeniz gerekir. Ancak bu durumda hizmeti alt hesap düzeyinde yetkilendirmeniz gerekir.

Alt hesap denetim yapılandırması

Bir alt hesap için denetimi etkinleştirmek için SAP alt hesapları denetim alma API'sinin belgelerindeki adımları tamamlayın.

API belgelerinde Cloud Foundry CLI kullanılarak denetim günlüğü alımının nasıl etkinleştirileceği açıklanır.

Günlükleri kullanıcı arabirimi aracılığıyla da alabilirsiniz:

  1. SAP Service Market'teki alt hesabınızda Denetim Günlüğü Yönetim Hizmeti örneği oluşturun.
  2. Yeni örnekte bir hizmet anahtarı oluşturun.
  3. Hizmet anahtarını görüntüleyin ve veri bağlayıcısı kullanıcı arabirimindeki yapılandırma yönergelerinin (url, uaa.url, uaa.clientid ve uaa.clientsecret) 4. adımından gerekli parametreleri alın.

BTP istemci gizli dizisini döndürme

BPT alt hesap istemci gizli dizilerini düzenli aralıklarla döndürmenizi öneririz. Aşağıdaki örnek betik, mevcut bir veri bağlayıcısını Azure Key Vault'tan getirilen yeni bir gizli diziyle güncelleştirme işlemini gösterir.

Başlamadan önce betik parametreleri için ihtiyacınız olan değerleri toplayın, örneğin:

  • Microsoft Sentinel çalışma alanınızın abonelik kimliği, kaynak grubu ve çalışma alanı adı.
  • Anahtar kasası ve anahtar kasası gizli dizisinin adı.
  • Yeni bir gizli diziyle güncelleştirmek istediğiniz veri bağlayıcısının adı. Veri bağlayıcısının adını tanımlamak için Microsoft Sentinel veri bağlayıcıları sayfasında SAP BPT veri bağlayıcısını açın. Veri bağlayıcısı adının söz dizimi şu şekildedir: BTP_{bağlayıcı adı}
param(
    [Parameter(Mandatory = $true)] [string]$subscriptionId,
    [Parameter(Mandatory = $true)] [string]$workspaceName,
    [Parameter(Mandatory = $true)] [string]$resourceGroupName,
    [Parameter(Mandatory = $true)] [string]$connectorName,
    [Parameter(Mandatory = $true)] [string]$clientId,
    [Parameter(Mandatory = $true)] [string]$keyVaultName,
    [Parameter(Mandatory = $true)] [string]$secretName
)

# Import the required modules
Import-Module Az.Accounts
Import-Module Az.KeyVault

try {
    # Login to Azure
    Login-AzAccount

    # Retrieve BTP client secret from Key Vault
    $clientSecret = (Get-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName).SecretValue
    if (!($clientSecret)) {
        throw "Failed to retrieve the client secret from Azure Key Vault"
    }

    # Get the connector from data connectors API
    $path = "/subscriptions/{0}/resourceGroups/{1}/providers/Microsoft.OperationalInsights/workspaces/{2}/providers/Microsoft.SecurityInsights/dataConnectors/{3}?api-version=2024-01-01-preview" -f $subscriptionId, $resourceGroupName, $workspaceName, $connectorName
    $connector = (Invoke-AzRestMethod -Path $path -Method GET).Content | ConvertFrom-Json
    if (!($connector)) {
        throw "Failed to retrieve the connector"
    }

    # Add the updated client ID and client secret to the connector
    $connector.properties.auth | Add-Member -Type NoteProperty -Name "clientId" -Value $clientId
    $connector.properties.auth | Add-Member -Type NoteProperty -Name "clientSecret" -Value ($clientSecret | ConvertFrom-SecureString -AsPlainText)

    # Update the connector with the new auth object
    Invoke-AzRestMethod -Path $path -Method PUT -Payload ($connector | ConvertTo-Json -Depth 10)
}
catch {
    Write-Error "An error occurred: $_"
}

İlgili içerik