SAP sisteminizi Microsoft Sentinel çözümü için yapılandırma

• Şunlara uygulanır:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu makalede SAP ortamınızı SAP veri bağlayıcısına bağlanmak için nasıl hazırlayacağınız açıklanmaktadır. Hazırlama, kapsayıcılı veri bağlayıcısı aracısını kullanıp kullanmadığınıza bağlı olarak farklılık gösterir. Sayfanın üst kısmındaki ortamınızla eşleşen seçeneği belirleyin.

Bu makale, SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma işleminin ikinci adımının bir parçasıdır.

Bu makaledeki yordamlar genellikle SAP BASIS ekibiniz tarafından gerçekleştirilir. Aracısız çözümü kullanıyorsanız güvenlik ekibinizi de dahil etmeniz gerekebilir.

Önemli

Microsoft Sentinel'in Aracısız çözümü , ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen, önceden yayımlanmış bir ürün olarak sınırlı önizleme aşamasındadır. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez. Aracısız çözüme erişim için de kayıt gerekir ve yalnızca önizleme döneminde onaylanan müşteriler ve iş ortakları tarafından kullanılabilir. Daha fazla bilgi için bkz . SAP için Microsoft Sentinel aracısız gider.

Önkoşullar

• Başlamadan önce SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşullarını gözden geçirmeyi unutmayın.

Microsoft Sentinel rolünü yapılandırma

SAP veri bağlayıcısının SAP sisteminize bağlanmasına izin vermek için, bu amaca özel olarak bir SAP sistem rolü oluşturmanız gerekir.

• Hem günlük alma hem de saldırı kesintisi yanıt eylemlerini eklemek için ,/MSFTSEN/SENTINEL_RESPONDER dosyasından rol yetkilendirmelerini yükleyerek bu rolü oluşturmanızı öneririz.

• Yalnızca günlük almayı eklemek için, NPLK900271 SAP değişiklik isteğini (CR): K900271.NPL | R900271 dağıtarak bu rolü oluşturmanızı öneririz. NPL

  DIĞER CR'leri dağıttığınız gibi SAP sisteminizdeki CR'leri gerektiği gibi dağıtın. SAP CR'lerini dağıtma işleminin deneyimli bir SAP sistem yöneticisi tarafından yapılmasını kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.

  Alternatif olarak, veri bağlayıcısının çalışması için tüm temel izinleri içeren MSFTSEN_SENTINEL_CONNECTOR dosyasından rol yetkilendirmelerini yükleyin.

  Deneyimli SAP yöneticileri rolü el ile oluşturmayı ve uygun izinleri atamayı seçebilir. Böyle durumlarda, almak istediğiniz günlükler için gerekli yetkilendirmelerle el ile bir rol oluşturun. Daha fazla bilgi için bkz . Gerekli ABAP yetkilendirmeleri. Belgelerimizdeki örneklerde /MSFTSEN/SENTINEL_RESPONDER adı kullanılır.

Rolü yapılandırırken şunları yapmanızı öneririz:

• PFCG işlemini çalıştırarak Microsoft Sentinel için etkin bir rol profili oluşturun.
• Rol adı olarak kullanın /MSFTSEN/SENTINEL_RESPONDER .

Veri bağlayıcısının çalışması için tüm temel izinleri içeren MSFTSEN_SENTINEL_READER şablonunu kullanarak bir rol oluşturun.

Daha fazla bilgi için rol oluşturmayla ilgili SAP belgelerine bakın.

Kullanıcı oluşturma

SAP uygulamaları için Microsoft Sentinel çözümü, SAP sisteminize bağlanmak için bir kullanıcı hesabı gerektirir. Kullanıcınızı oluştururken:

• Sistem kullanıcısı oluşturduğunuzdan emin olun.
• Önceki adımda oluşturduğunuz /MSFTSEN/SENTINEL_RESPONDER rolünü kullanıcıya atayın.

• Sistem kullanıcısı oluşturduğunuzdan emin olun.
• Önceki adımda oluşturduğunuz MSFTSEN_SENTINEL_READER rolünü kullanıcıya atayın.

Daha fazla bilgi için SAP belgelerine bakın.

SAP denetimini yapılandırma

SAP sistemlerinin bazı yüklemelerinde varsayılan olarak denetim günlüğü etkinleştirilmemiş olabilir. SAP uygulamaları için Microsoft Sentinel çözümünün performansını ve etkinliğini değerlendirme konusunda en iyi sonuçları elde edebilmeniz için SAP sisteminizin denetimini etkinleştirin ve denetim parametrelerini yapılandırın. SAP HANA DB günlüklerini almak istiyorsanız SAP HANA DB için denetimi de etkinleştirdiğinizden emin olun.

Yalnızca belirli günlükler yerine denetim günlüğündeki tüm iletiler için denetimi yapılandırmanızı öneririz. Alım maliyeti farklılıkları genellikle en düşük düzeydedir ve veriler Microsoft Sentinel algılamaları ve güvenlik ihlalleri sonrası araştırmalarda ve tehdit avcılığında kullanışlıdır.

Daha fazla bilgi için bkz . SAP topluluğu ve Microsoft Sentinel'de SAP HANA denetim günlüklerini toplama.

Sisteminizi güvenli bağlantılar için SNC kullanacak şekilde yapılandırma

Varsayılan olarak, SAP veri bağlayıcı aracısı uzak işlev çağrısı (RFC) bağlantısı ve kimlik doğrulaması için kullanıcı adı ve parola kullanarak bir SAP sunucusuna bağlanır.

Ancak, bağlantıyı şifreli bir kanalda yapmanız veya kimlik doğrulaması için istemci sertifikalarını kullanmanız gerekebilir. Bu durumlarda, bu bölümde açıklandığı gibi veri bağlantılarınızın güvenliğini sağlamak için SAP'den Akıllı Ağ İletişimleri'ni (SNC) kullanın.

Bir üretim ortamında, SNC'yi yapılandırmak için bir dağıtım planı oluşturmak üzere SAP yöneticilerine danışmanızı kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.

SNC yapılandırırken:

• İstemci sertifikası bir kuruluş sertifika yetkilisi tarafından verildiyse, veren CA ve kök CA sertifikalarını veri bağlayıcısı aracısını oluşturmayı planladığınız sisteme aktarın.
• Veri bağlayıcısı aracısını kullanıyorsanız, SAP veri bağlayıcı aracısı kapsayıcısını yapılandırırken ilgili değerleri de girdiğinizden ve ilgili yordamları kullandığınızdan emin olun. Aracısız çözümü kullanıyorsanız SNC yapılandırması SAP Cloud Connector'da gerçekleştirilir.

SNC hakkında daha fazla bilgi için bkz . RFC tümleştirmeleri için SAP SNC ile çalışmaya başlama - SAP blogu.

Ek veri alma desteğini yapılandırma (önerilir)

Bu adım isteğe bağlı olsa da SAP veri bağlayıcısının SAP sisteminizden aşağıdaki içerik bilgilerini almasını etkinleştirmenizi öneririz:

• DB Tablo ve Biriktirme Çıktısı günlükleri
• Güvenlik denetim günlüklerinden istemci IP adresi bilgileri

1. SAP sürümünüze göre Microsoft Sentinel GitHub deposundan ilgili CR'leri dağıtın:

   SAP BASIS sürümleri	Önerilen CR
   750 ve üzeri	NPLK900202: K900202.NPL, R900202. NPL Bu CR'yi aşağıdaki SAP sürümlerinden herhangi birini dağıtırken 2641084 - Güvenlik Denetim Günlüğü verilerine standartlaştırılmış okuma erişimi de dağıtın: - 750 SP04 -SP12 - 751 SP00 - SP06 - 752 SP00 - SP02
   740	NPLK900201: K900201.NPL, R900201. NPL

   DIĞER CR'leri dağıttığınız gibi SAP sisteminizdeki CR'leri gerektiği gibi dağıtın. SAP CR'lerini dağıtma işleminin deneyimli bir SAP sistem yöneticisi tarafından yapılmasını kesinlikle öneririz. Daha fazla bilgi için SAP belgelerine bakın.

   Daha fazla bilgi için SAP Topluluğu ve SAP belgelerine bakın.

2. İstemci IP adresi bilgilerini Microsoft Sentinel'e gönderirken SAP BASIS 7.31-7.5 SP12 sürümlerini desteklemek için SAP tablosu USR41 için günlüğe kaydetmeyi etkinleştirin. Daha fazla bilgi için SAP belgelerine bakın.

PAHI tablosunun düzenli aralıklarla güncelleştirildiğini doğrulayın

SAP PAHI tablosu SAP sisteminin geçmişi, veritabanı ve SAP parametreleriyle ilgili verileri içerir. Bazı durumlarda SAP uygulamaları için Microsoft Sentinel çözümü, eksik veya hatalı yapılandırma nedeniyle SAP PAHI tablosunu düzenli aralıklarla izleyemiyor. SAP uygulamalarına yönelik Microsoft Sentinel çözümünün gün boyunca herhangi bir zamanda gerçekleşebilecek şüpheli eylemler hakkında uyarı gönderebilmesi için PAHI tablosunu güncelleştirmek ve sık sık izlemek önemlidir. Daha fazla bilgi için bkz.

• SAP notu 12103
• Statik SAP güvenlik parametrelerinin yapılandırmasını izleme (Önizleme)

PAHI tablosu düzenli olarak güncelleştirilirse iş SAP_COLLECTOR_FOR_PERFMONITOR zamanlanır ve saatlik olarak çalışır. SAP_COLLECTOR_FOR_PERFMONITOR İş yoksa gerektiği gibi yapılandırıldığından emin olun.

Daha fazla bilgi için bkz . Arka Planda Veritabanı Toplayıcısı İşleme ve Veri Toplayıcıyı Yapılandırma.

SAP BTP ayarlarını yapılandırma

1. SAP BTP alt hesabınıza aşağıdaki hizmetler için yetkilendirmeler ekleyin:

   • SAP Integration Suite
   • SAP İşlem Tümleştirme Çalışma Zamanı
   • Cloud Foundry Runtime

2. Cloud Foundry Runtime örneği oluşturun ve ardından bir Cloud Foundry alanı oluşturun.

3. SAP Integration Suite örneği oluşturun.

4. SAP BTP Integration_Provisioner rolünü SAP BTP alt hesabı kullanıcı hesabınıza atayın.

5. SAP Integration Suite'e bulut tümleştirme özelliğini ekleyin.

6. Kullanıcı hesabınıza aşağıdaki işlem tümleştirme rollerini atayın:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Bu roller yalnızca bulut tümleştirme özelliğini etkinleştirdikten sonra kullanılabilir.

7. Alt hesapta SAP İşlem Tümleştirme Çalışma Zamanı örneğini oluşturun.

8. SAP İşlem Tümleştirme Çalışma Zamanı için bir hizmet anahtarı oluşturun ve JSON içeriğini güvenli bir konuma kaydedin. SAP İşlem Tümleştirme Çalışma Zamanı için bir hizmet anahtarı oluşturmadan önce bulut tümleştirme özelliğini etkinleştirmeniz gerekir.

Daha fazla bilgi için SAP belgelerine bakın.

SAP Cloud Connector ayarlarını yapılandırma

1. SAP Cloud Connector'ı yükleyin. Daha fazla bilgi için SAP belgelerine bakın.

2. Bulut bağlayıcısı arabiriminde oturum açın ve ilgili kimlik bilgilerini kullanarak alt hesabı ekleyin. Daha fazla bilgi için SAP belgelerine bakın.

3. Bulut bağlayıcısı alt hesabınıza, ABAP sistemini RFC protokolüne eşlemek için arka uç sistemine yeni bir sistem eşlemesi ekleyin.

4. Yük dengeleme seçeneklerini tanımlayın ve arka uç ABAP sunucunuzun ayrıntılarını girin. Bu adımda, sanal konağın adını daha sonra dağıtım işleminde kullanmak üzere güvenli bir konuma kopyalayın.

5. Aşağıdaki işlev adlarının her biri için sistem eşlemesine yeni kaynaklar ekleyin:

   • SAP güvenlik denetim günlüğü verilerini getirmek için RSAU_API_GET_LOG_DATA

   • SAP kullanıcı ayrıntılarını almak için BAPI_USER_GET_DETAIL

   • gerekli tablolardaki verileri okumak için RFC_READ_TABLE

6. SAP BTP'de daha önce oluşturduğunuz sanal konağı işaret eden yeni bir hedef ekleyin. Yeni hedefi doldurmak için aşağıdaki ayrıntıları kullanın:

   • Ad: Microsoft Sentinel bağlantısı için kullanmak istediğiniz adı girin

   • TürRFC

   • Proxy Türü:On-Premise

   • Kullanıcı: Microsoft Sentinel için daha önce oluşturduğunuz ABAP kullanıcı hesabını girin

   • Yetkilendirme Türü:CONFIGURED USER

   • Ek özellikler:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Konum: Yalnızca aynı BTP alt hesaba birden çok Bulut Bağlayıcısı bağladığınızda gereklidir. Daha fazla bilgi için SAP Belgeleri'ne bakın.

SAP Integration Suite ayarlarını yapılandırma

Daha önce oluşturduğunuz Microsoft Entra ID uygulama kaydının bağlantı ayrıntılarını depolamak için yeni bir OAuth2 istemci kimlik bilgisi oluşturun.

Kimlik bilgilerini oluştururken aşağıdaki ayrıntıları girin:

• Ad:LogIngestionAPI

• Belirteç Hizmeti URL'si:https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

• İstemci Kimliği: <your app registration client ID>

• İstemci Kimlik Doğrulaması: Gövde parametresi olarak gönder

• Kapsam: https://monitor.azure.com//.default

• İçerik Türü: application/x-www-form-urlencoded

SAP paketi için Microsoft Sentinel çözümünü içeri aktarma ve dağıtma

1. SAP paketi için Microsoft Sentinel çözümünü adresinden https://aka.ms/SAPAgentlessPackageindirin.

2. İndirilen paketi SAP Integration Suite'e aktarın.

3. SAP paketi için Microsoft Sentinel çözümünü açın ve yapıtlara göz atın.

4. Güvenlik günlüklerini Microsoft'a gönder - uygulama katmanı yapıtı'na tıklayın.

5. Yapılandır'ı seçin ve ardından DCR ayrıntılarınızı girin:

   • LogsIngestionURL daha önce kaydedildiği gibi DCR'nin DCE'sinden alma URL'si.
   • DCRImmutableId: Daha önce kaydedildiği gibi DCR'nin sabit kimliği.

6. Çalışma zamanı hizmeti olarak SAP Cloud Integration kullanarak i-akışı dağıtmak için Dağıt'ı seçin.

Sonraki adım

SAP sisteminizi Microsoft Sentinel'e bağlama