SAP sisteminizi Microsoft Sentinel çözümü için yapılandırma

Bu makalede SAP ortamınızı SAP veri bağlayıcısına bağlanmak için nasıl hazırlayacağınız açıklanmaktadır. Hazırlama, kapsayıcılı veri bağlayıcısı aracısını kullanıp kullanmadığınıza bağlı olarak farklılık gösterir. Sayfanın üst kısmındaki ortamınızla eşleşen seçeneği belirleyin.

Bu makale, SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma işleminin ikinci adımının bir parçasıdır.

Bu makaledeki prosedürler genellikle SAP BASIS ekibiniz tarafından gerçekleştirilir.

Bu makale, SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma işleminin ikinci adımının bir parçasıdır. Microsoft Sentinel'de gerçekleştirilen adımlar önce çözümün yüklenmesini gerektirse de, SAP ortamındaki diğer hazırlıklar paralel olarak gerçekleşebilir.

Bu makaledeki yordamların çoğu genellikle SAP BASIS ekibiniz tarafından gerçekleştirilir. Bazı adımlar güvenlik ekibinizi de içerir.

Önemli

Microsoft Sentinel'in SAP için aracısız veri bağlayıcısı şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Önkoşullar

• Başlamadan önce SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşullarını gözden geçirmeyi unutmayın.

• Aracısız veri bağlayıcısıyla çalışıyorsanız, Microsoft Sentinel'de bazı adımlar gerçekleştirilir ve önce çözümün yüklenmesini gerektirir.

Microsoft Sentinel rolünü yapılandırma

SAP veri bağlayıcısının SAP sisteminize bağlanmasına izin vermek için, bu amaca özel olarak bir SAP sistem rolü oluşturmanız gerekir.

NPLK900271 SAP değişiklik isteğini (CR) dağıtarak bu rolü oluşturmanızı öneririz: K900271.NPL | R900271.NPL

DIĞER CR'leri dağıttığınız gibi SAP sisteminizdeki CR'leri gerektiği gibi dağıtın. SAP CR'lerini dağıtma işleminin deneyimli bir SAP sistem yöneticisi tarafından yapılmasını kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.

Alternatif olarak, veri bağlayıcısının çalışması için tüm temel izinleri içeren MSFTSEN_SENTINEL_CONNECTOR dosyasından rol yetkilendirmelerini yükleyin.

Deneyimli SAP yöneticileri rolü el ile oluşturmayı ve uygun izinleri atamayı seçebilir. Böyle durumlarda, almak istediğiniz loglar için gerekli yetkilendirmelerle manuel olarak bir rol oluşturun. Daha fazla bilgi için bkz . Gerekli ABAP yetkilendirmeleri. Belgelerimizdeki örneklerde /MSFTSEN/SENTINEL_RESPONDER adı kullanılır.

Rolü yapılandırırken şunları yapmanızı öneririz:

• PFCG işlemini çalıştırarak Microsoft Sentinel için etkin bir rol profili oluşturun.
• Rol adı olarak kullanın /MSFTSEN/SENTINEL_RESPONDER .

Veri bağlayıcısının çalışması için tüm temel izinleri içeren MSFTSEN_SENTINEL_READER şablonunu kullanarak bir rol oluşturun.

Daha fazla bilgi için rol oluşturmayla ilgili SAP belgelerine bakın.

Kullanıcı oluşturma

SAP uygulamaları için Microsoft Sentinel çözümü, SAP sisteminize bağlanmak için bir kullanıcı hesabı gerektirir. Kullanıcınızı oluştururken:

• Sistem kullanıcısı oluşturduğunuzdan emin olun.
• Önceki adımda oluşturduğunuz /MSFTSEN/SENTINEL_RESPONDER rolünü kullanıcıya atayın.

• Sistem kullanıcısı oluşturduğunuzdan emin olun.
• Önceki adımda oluşturduğunuz MSFTSEN_SENTINEL_READER rolünü kullanıcıya atayın.

Daha fazla bilgi için SAP belgelerine bakın.

SAP denetimini yapılandırma

SAP sistemlerinin bazı yüklemelerinde varsayılan olarak denetim günlüğü etkinleştirilmemiş olabilir. SAP uygulamaları için Microsoft Sentinel çözümünün performansını ve etkinliğini değerlendirme konusunda en iyi sonuçları elde edebilmeniz için SAP sisteminizin denetimini etkinleştirin ve denetim parametrelerini yapılandırın. SAP HANA DB günlüklerini almak istiyorsanız SAP HANA DB için denetimi de etkinleştirdiğinizden emin olun.

Yalnızca belirli günlükler yerine denetim günlüğündeki tüm iletiler için denetimi yapılandırmanızı öneririz. Alım maliyeti farklılıkları genellikle en düşük düzeydedir ve veriler Microsoft Sentinel algılamaları ve güvenlik ihlalleri sonrası araştırmalarda ve tehdit avcılığında kullanışlıdır.

Aracısız veri bağlayıcısı ile tam izleme kapsamı için, 000 ve 066 istemcileri dahil olmak üzere izlenen SAP sistemlerinizin tüm istemci kimliklerinde izlemeyi etkinleştirmenizi öneririz.

Daha fazla bilgi için bkz: SAP topluluğu ve SAP HANA denetim günlüklerini Microsoft Sentinel'de toplayın.

Sisteminizi güvenli bağlantılar için SNC kullanacak şekilde yapılandırma

Varsayılan olarak, SAP veri bağlayıcı aracısı uzak işlev çağrısı (RFC) bağlantısı ve kimlik doğrulaması için kullanıcı adı ve parola kullanarak bir SAP sunucusuna bağlanır.

Ancak, bağlantıyı şifreli bir kanalda yapmanız veya kimlik doğrulaması için istemci sertifikalarını kullanmanız gerekebilir. Bu durumlarda, bu bölümde açıklandığı gibi veri bağlantılarınızın güvenliğini sağlamak için SAP'den Akıllı Ağ İletişimleri'ni (SNC) kullanın.

Bir üretim ortamında, SNC'yi yapılandırmak için bir dağıtım planı oluşturmak üzere SAP yöneticilerine danışmanızı kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.

SNC yapılandırırken:

• İstemci sertifikası bir kuruluş sertifika yetkilisi tarafından verildiyse, veren CA ve kök CA sertifikalarını veri bağlayıcısı aracısını oluşturmayı planladığınız sisteme aktarın.
• Veri bağlayıcısı aracısını kullanıyorsanız, SAP veri bağlayıcı aracısı kapsayıcısını yapılandırırken ilgili değerleri de girdiğinizden ve ilgili yordamları kullandığınızdan emin olun. Aracısız veri bağlayıcısını kullanıyorsanız SNC yapılandırması SAP Cloud Connector'da gerçekleştirilir.

SNC hakkında daha fazla bilgi için bkz . RFC tümleştirmeleri için SAP SNC ile çalışmaya başlama - SAP blogu.

Ek veri alma desteğini yapılandırma (önerilir)

Bu adım isteğe bağlı olsa da SAP veri bağlayıcısının SAP sisteminizden aşağıdaki içerik bilgilerini almasını etkinleştirmenizi öneririz:

• DB Tablo ve Spool Çıktısı günlükleri
• Güvenlik denetim günlüklerinden istemci IP adresi bilgileri

1. SAP sürümünüze göre Microsoft Sentinel GitHub deposundan ilgili CR'leri dağıtın:

   SAP BASIS sürümleri	Önerilen CR
   750 ve üzeri	NPLK900202: K900202.NPL, R900202. NPL Bu CR'yi aşağıdaki SAP sürümlerinden herhangi birine dağıtırken, '2641084 - Güvenlik Denetim Günlüğü verilerine standartlaştırılmış okuma erişimi'ni de dağıtın. - 750 SP04 ile SP12 - 751 SP00 ile SP06 - 752 SP00 ile SP02
   740	NPLK900201: K900201.NPL, R900201. NPL

   DIĞER CR'leri dağıttığınız gibi SAP sisteminizdeki CR'leri gerektiği gibi dağıtın. SAP CR'lerini dağıtma işleminin deneyimli bir SAP sistem yöneticisi tarafından yapılmasını kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.

   Daha fazla bilgi için SAP Topluluğu ve SAP belgelerine bakın.

2. İstemci IP adresi bilgilerini Microsoft Sentinel'e gönderirken SAP BASIS 7.31-7.5 SP12 sürümlerini desteklemek için SAP tablosu USR41 için günlüğe kaydetmeyi etkinleştirin. Daha fazla bilgi için SAP belgelerine bakın.

PAHI tablosunun düzenli aralıklarla güncelleştirildiğini doğrulayın

SAP PAHI tablosu SAP sisteminin geçmişi, veritabanı ve SAP parametreleriyle ilgili verileri içerir. Bazı durumlarda SAP uygulamaları için Microsoft Sentinel çözümü, eksik veya hatalı yapılandırma nedeniyle SAP PAHI tablosunu düzenli aralıklarla izleyemiyor. SAP uygulamalarına yönelik Microsoft Sentinel çözümünün gün boyunca herhangi bir zamanda gerçekleşebilecek şüpheli eylemler hakkında uyarı gönderebilmesi için PAHI tablosunu güncelleştirmek ve sık sık izlemek önemlidir. Daha fazla bilgi için bkz.

• SAP notu 12103
• Statik SAP güvenlik parametrelerinin yapılandırmasını izleme (Önizleme)

PAHI tablosu belirli aralıklarla güncelleştirilirse, SAP_COLLECTOR_FOR_PERFMONITOR görevi zamanlanır ve saatlik olarak çalışır. Eğer SAP_COLLECTOR_FOR_PERFMONITOR iş mevcut değilse, gerekli şekilde yapılandırıldığından emin olun.

Daha fazla bilgi için bkz . Arka Planda Veritabanı Toplayıcısı İşleme ve Veri Toplayıcıyı Yapılandırma.

SAP BTP ayarlarını yapılandırma

1. SAP BTP alt hesabınıza aşağıdaki hizmetler için yetkilendirmeler ekleyin:

   • SAP Integration Suite
   • SAP Süreç Entegrasyonu Çalışma Süresi
   • Cloud Foundry Çalışma Zamanı

2. Cloud Foundry Runtime örneği oluşturun ve ardından bir Cloud Foundry alanı oluşturun.

3. SAP Integration Suite örneği oluşturun.

4. SAP BTP Integration_Provisioner rolünü SAP BTP alt hesabı kullanıcı hesabınıza atayın.

5. SAP Integration Suite'e bulut tümleştirme özelliğini ekleyin.

6. Kullanıcı hesabınıza aşağıdaki işlem tümleştirme rollerini atayın:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Bu roller yalnızca bulut tümleştirme özelliğini etkinleştirdikten sonra kullanılabilir.

7. Alt hesapta SAP İşlem Tümleştirme Çalışma Zamanı örneğini oluşturun.

8. SAP İşlem Tümleştirme Çalışma Zamanı için bir hizmet anahtarı oluşturun ve JSON içeriğini güvenli bir konuma kaydedin. SAP İşlem Tümleştirme Çalışma Zamanı için bir hizmet anahtarı oluşturmadan önce bulut tümleştirme özelliğini etkinleştirmeniz gerekir.

Daha fazla bilgi için SAP belgelerine bakın.

Bağlayıcıyı Microsoft Sentinel'de ve SAP sisteminizde yapılandırma

Bu yordam hem Microsoft Sentinel'de hem de SAP sisteminizde adımlar içerir ve SAP yöneticisiyle koordinasyon gerektirir.

1. Microsoft Sentinel'de Yapılandırma > Verileri bağlayıcıları sayfasına gidin ve SAP için Microsoft Sentinel - aracısız (Önizleme) veri bağlayıcısını bulun.

2. Yapılandırma bölümünde, İlk bağlayıcı yapılandırması - Aşağıdaki adımları bir kez çalıştırın: bölümündeki yönergeleri genişletin ve izleyin. Bu adımlar hem SecuritySOC mühendisinizi hem de SAP yöneticisini gerektirir.

   1. Azure kaynaklarının otomatik dağıtımını tetikleme (SOC Mühendisi). Azure kaynaklarını dağıttığınızda, 2. ve 3. adımlardaki değerler otomatik olarak doldurulmazsa, 2. ve 3. adımlardaki değerleri yenilemek için 1. adımı kapatıp yeniden genişletin.

   2. SAP Tümleştirmesi'nde (SAP Yöneticisi) bir OAuth2 istemci kimlik bilgileri yapıtı dağıtın.

   3. SAP Tümleştirmesi'nde (SAP Yöneticisi) workspaceKey adlı, veri bağlayıcısı kullanıcı arabiriminde görünür Log Analytics çalışma alanı anahtarını içeren Güvenli Parametre yapıtı dağıtın.

   4. SAP aracısız veri bağlayıcı paketini SAP Integration Suite'e (SAP Yöneticisi) dağıtın.

      1. Tümleştirme paketini indirin ve SAP Integration Suite'inize yükleyin. Daha fazla bilgi için SAP belgelerine bakın.
      2. Paketi açın ve Yapıtlar sekmesine gidin. Ardından Veri Toplayıcı yapılandırmasını seçin. Daha fazla bilgi için SAP belgelerine bakın.
      3. LogIngestionURL ve DCRImmutableID ile tümleştirme akışını yapılandırın.
      4. Çalışma zamanı hizmeti olarak SAP Cloud Integration kullanarak i-flow'ı dağıtın.

Önkoşul denetleyicisini çalıştırma

1. Önkoşul denetleyicisi iflow pakete dahil edilmiştir. SAP sisteminizin sistem önkoşullarını karşıladığından emin olmak için sonraki adıma geçmeden önce bu akışı çalıştırmanızı öneririz.

   Aracı çalıştırmak için:

   1. Tümleştirme paketini açın, nesneler sekmesine gidin ve Önkoşul denetleyicisi iflow'u seçerek > yapın.

   2. Hedef RFC hedefini denetlemek istediğiniz SAP sistemine ayarlayın.

   3. SAP sistemleriniz için başka türlü yaptığınız gibi iflow'ı dağıtın. Örneğin, ortamınız için örnek yer tutucu değerlerini değiştirerek aşağıdaki örnek PowerShell betiğini kullanın:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   Microsoft Sentinel'e bağlanmadan önce önkoşul denetleyicisinin başarıyla çalıştığından emin olun.

2. Yapılandırma alanında daha aşağı kaydırın ve İzlenen SAP Sistemleri Ekleme alanını genişletin. İzlemek istediğiniz her SAP sistemi için aşağıdaki adımları takip edin.

   2. adıma geçtiğinde . SAP System'i Microsoft Sentinel/SOC Engineer'a bağlama, SAP sisteminizi Microsoft Sentinel'e bağlama ile devam edin.

SAP Cloud Connector ayarlarını yapılandırma

1. SAP Cloud Connector'ı yükleyin. Daha fazla bilgi için SAP belgelerine bakın.

2. Bulut bağlayıcısı arabiriminde oturum açın ve ilgili kimlik bilgilerini kullanarak alt hesabı ekleyin. Daha fazla bilgi için SAP belgelerine bakın.

3. Bulut bağlayıcısı alt hesabınıza, ABAP sistemini RFC protokolüne eşlemek için arka uç sistemine yeni bir sistem eşlemesi ekleyin.

4. Yük dengeleme seçeneklerini tanımlayın ve arka uç ABAP sunucunuzun ayrıntılarını girin. Bu adımda, sanal konağın adını daha sonra dağıtım işleminde kullanmak üzere güvenli bir konuma kopyalayın.

5. Aşağıdaki işlev adlarının her biri için sistem eşlemesine yeni kaynaklar ekleyin:

   • RSAU_API_GET_LOG_DATA komutunu, SAP güvenlik denetim kayıt verilerini getirmek için kullanın.

   • BAPI_USER_GET_DETAIL, SAP kullanıcı ayrıntılarını almak için

   • RFC_READ_TABLE, gerekli tabloların verilerini okumak için

   • SIAG_ROLE_GET_AUTH kullanarak güvenlik rolü yetkilendirmelerini almak için

   • SAP sistemi saat dilimi ayrıntılarını almak için /OSP/SYSTEM_TIMEZONE

6. SAP BTP'de daha önce oluşturduğunuz sanal konağı işaret eden yeni bir hedef ekleyin. Yeni hedefi doldurmak için aşağıdaki ayrıntıları kullanın:

   • Ad: Microsoft Sentinel bağlantısı için kullanmak istediğiniz adı girin

   • TürRFC

   • Proxy Türü:On-Premise

   • Kullanıcı: Microsoft Sentinel için daha önce oluşturduğunuz ABAP kullanıcı hesabını girin

   • Yetkilendirme Türü:CONFIGURED USER

   • Ek özellikler:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Konum: Yalnızca aynı BTP alt hesaba birden çok Bulut Bağlayıcısı bağladığınızda gereklidir. Daha fazla bilgi için SAP Belgeleri'ne bakın.

Sonraki adım

SAP sisteminizi Microsoft Sentinel'e bağlama