SAP sisteminizi Microsoft Sentinel çözümü için yapılandırma
Bu makalede SAP ortamınızı SAP veri bağlayıcısı aracısına bağlanmak için nasıl hazırlayacağınız açıklanmaktadır. Hazırlık, gerekli SAP yetkilendirmelerini yapılandırmayı ve isteğe bağlı olarak ek SAP değişiklik istekleri (CR) dağıtmayı içerir.
Bu makale, SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma işleminin ikinci adımının bir parçasıdır.
Bu makaledeki yordamlar genellikle SAP BASIS ekibiniz tarafından gerçekleştirilir.
Önkoşullar
- Başlamadan önce SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşullarını gözden geçirmeyi unutmayın.
Microsoft Sentinel rolünü yapılandırma
SAP veri bağlayıcısının SAP sisteminize bağlanmasına izin vermek için, bu amaca özel olarak bir SAP sistem rolü oluşturmanız gerekir.
Hem günlük alma hem de saldırı kesintisi yanıt eylemlerini eklemek için ,/MSFTSEN/SENTINEL_RESPONDER dosyasından rol yetkilendirmelerini yükleyerek bu rolü oluşturmanızı öneririz.
Yalnızca günlük almayı eklemek için, NPLK900271 SAP değişiklik isteğini (CR): K900271.NPL | R900271 dağıtarak bu rolü oluşturmanızı öneririz. NPL
DIĞER CR'leri dağıttığınız gibi SAP sisteminizdeki CR'leri gerektiği gibi dağıtın. SAP CR'lerini dağıtma işleminin deneyimli bir SAP sistem yöneticisi tarafından yapılmasını kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.
Alternatif olarak, veri bağlayıcısının çalışması için tüm temel izinleri içeren MSFTSEN_SENTINEL_CONNECTOR dosyasından rol yetkilendirmelerini yükleyin.
Deneyimli SAP yöneticileri rolü el ile oluşturmayı ve uygun izinleri atamayı seçebilir. Böyle durumlarda, almak istediğiniz günlükler için gerekli yetkilendirmelerle el ile bir rol oluşturun. Daha fazla bilgi için bkz . Gerekli ABAP yetkilendirmeleri. Belgelerimizdeki örneklerde /MSFTSEN/SENTINEL_RESPONDER adı kullanılır.
Rolü yapılandırırken şunları yapmanızı öneririz:
- PFCG işlemini çalıştırarak Microsoft Sentinel için etkin bir rol profili oluşturun.
- Rol adı olarak kullanın
/MSFTSEN/SENTINEL_RESPONDER
.
Daha fazla bilgi için rol oluşturmayla ilgili SAP belgelerine bakın.
Kullanıcı oluşturma
SAP uygulamaları için Microsoft Sentinel çözümü, SAP sisteminize bağlanmak için bir kullanıcı hesabı gerektirir. Kullanıcınızı oluştururken:
- Sistem kullanıcısı oluşturduğunuzdan emin olun.
- Önceki adımda oluşturduğunuz /MSFTSEN/SENTINEL_RESPONDER rolünü kullanıcıya atayın.
Daha fazla bilgi için SAP belgelerine bakın.
SAP denetimini yapılandırma
SAP sistemlerinin bazı yüklemelerinde varsayılan olarak denetim günlüğü etkinleştirilmemiş olabilir. SAP uygulamaları için Microsoft Sentinel çözümünün performansını ve etkinliğini değerlendirme konusunda en iyi sonuçları elde edebilmeniz için SAP sisteminizin denetimini etkinleştirin ve denetim parametrelerini yapılandırın. SAP HANA DB günlüklerini almak istiyorsanız SAP HANA DB için denetimi de etkinleştirdiğinizden emin olun.
Bu veriler Microsoft Sentinel algılamaları ve güvenlik ihlalleri sonrası araştırmalarda ve avlanmada yararlı olduğundan, denetim günlüğündeki tüm iletiler için denetimi yapılandırmanızı öneririz.
Daha fazla bilgi için bkz . SAP topluluğu ve Microsoft Sentinel'de SAP HANA denetim günlüklerini toplama.
Ek veri alma desteğini yapılandırma (önerilir)
Bu adım isteğe bağlı olsa da SAP veri bağlayıcısının SAP sisteminizden aşağıdaki içerik bilgilerini almasını sağlamak için Microsoft Sentinel GitHub deposundan ek CR dağıtmanızı öneririz:
- DB Tablo ve Biriktirme Çıktısı günlükleri
- Güvenlik denetim günlüklerinden istemci IP adresi bilgileri (yalnızca SAP BASIS sürüm 7.5 SP12 ve üzeri)
İLGILI CR'leri SAP sürümünüze göre dağıtın:
SAP BASIS sürümleri | Önerilen CR |
---|---|
750 ve üzeri | NPLK900202: K900202.NPL, R900202. NPL Bu CR'yi aşağıdaki SAP sürümlerinden herhangi birini dağıtırken 2641084 - Güvenlik Denetim Günlüğü verilerine standartlaştırılmış okuma erişimi de dağıtın: - 750 SP04 -SP12 - 751 SP00 - SP06 - 752 SP00 - SP02 |
740 | NPLK900201: K900201.NPL, R900201. NPL |
DIĞER CR'leri dağıttığınız gibi SAP sisteminizdeki CR'leri gerektiği gibi dağıtın. SAP CR'lerini dağıtma işleminin deneyimli bir SAP sistem yöneticisi tarafından yapılmasını kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.
Daha fazla bilgi için SAP Topluluğu ve SAP belgelerine bakın.
PAHI tablosunun düzenli aralıklarla güncelleştirildiğini doğrulayın
SAP PAHI tablosu SAP sisteminin geçmişi, veritabanı ve SAP parametreleriyle ilgili verileri içerir. Bazı durumlarda SAP uygulamaları için Microsoft Sentinel çözümü, eksik veya hatalı yapılandırma nedeniyle SAP PAHI tablosunu düzenli aralıklarla izleyemiyor. SAP uygulamalarına yönelik Microsoft Sentinel çözümünün gün boyunca herhangi bir zamanda gerçekleşebilecek şüpheli eylemler hakkında uyarı gönderebilmesi için PAHI tablosunu güncelleştirmek ve sık sık izlemek önemlidir. Daha fazla bilgi için bkz.
PAHI tablosu düzenli olarak güncelleştirilirse iş SAP_COLLECTOR_FOR_PERFMONITOR
zamanlanır ve saatlik olarak çalışır. SAP_COLLECTOR_FOR_PERFMONITOR
İş yoksa gerektiği gibi yapılandırıldığından emin olun.
Daha fazla bilgi için bkz . Arka Planda Veritabanı Toplayıcısı İşleme ve Veri Toplayıcıyı Yapılandırma.
Sisteminizi güvenli bağlantılar için SNC kullanacak şekilde yapılandırma
Varsayılan olarak, SAP veri bağlayıcı aracısı uzak işlev çağrısı (RFC) bağlantısı ve kimlik doğrulaması için kullanıcı adı ve parola kullanarak bir SAP sunucusuna bağlanır.
Ancak, bağlantıyı şifreli bir kanalda yapmanız veya kimlik doğrulaması için istemci sertifikalarını kullanmanız gerekebilir. Bu durumlarda, bu bölümde açıklandığı gibi veri bağlantılarınızın güvenliğini sağlamak için SAP'den Akıllı Ağ İletişimleri'ni (SNC) kullanın.
Bir üretim ortamında, SNC'yi yapılandırmak için bir dağıtım planı oluşturmak üzere SAP yöneticilerine danışmanızı kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.
SNC yapılandırırken:
- İstemci sertifikası bir kuruluş sertifika yetkilisi tarafından verildiyse, veren CA ve kök CA sertifikalarını veri bağlayıcısı aracısını oluşturmayı planladığınız sisteme aktarın.
- Ayrıca, SAP veri bağlayıcısı aracı kapsayıcısını yapılandırırken ilgili değerleri girdiğinizden ve ilgili yordamları kullandığınızdan emin olun.