通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 上的适用于 SAP 的 Microsoft Sentinel

本文是“SAP 扩展和创新安全性:最佳做法”系列文章的一部分。

本文概述了使用适用于 SAP 应用程序、SAP 应用程序服务器、SAP HANA 数据库服务器和 Microsoft Sentinel 规则的 Microsoft Sentinel 解决方案部署代理的关键设计注意事项。

此方案的先决条件:

  • 若要从 SAP 系统收集数据,必须部署 Microsoft Sentinel SAP 连接器。
  • 必须为每个 SAP 安全标识符部署单独的连接器, (SID) 和客户端号码组合。

设计注意事项

请参阅每个组件的以下设计注意事项。

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案

  • SAP 体系结构的拓扑可以有多个 SAP 产品分布在多个系统 ID、客户端和实例编号上。 该体系结构可能有多个前端 ABAP 服务器,但它只需要一个 ABAP 服务器连接。 请考虑连接到 SAP 消息服务器,该服务器将连接器路由到正确的 ABAP 服务器,并为 SAP 系统收集数据。

  • 连接器部署为主机虚拟机上的 Docker 容器, (VM) 或物理服务器。 连接器容器支持在本地计算机和基于 Azure 的 VM 上进行部署。 数据连接器不支持现成的高可用性配置。 如果方案需要高可用性选项,请考虑将连接器容器部署到 Kubernetes 群集或 Azure Kubernetes 服务 (AKS) 上。

    有关 AKS 的分步配置,请参阅 将适用于 SAP 代理的 Microsoft Sentinel 威胁监视部署到 AKS 或 Kubernetes 群集

    注意

    只能使用 AKS 或 Kubernetes 部署实现数据连接器的高可用性。

  • Kubernetes 群集仅支持从 SAP 系统提取数据并将数据发送到单个 Log Analytics 工作区的单个数据连接器。 如果在连接到同一 SAP 系统并将数据发送到同一 Log Analytics 工作区的 Kubernetes 群集中运行多个 Pod,则会发送多个数据副本,这可能会导致数据保留费用增加。

  • 使用 Docker 容器时,SAP 系统中的所有数据都会进入单个 Log Analytics 工作区。

  • 托管连接器代理的服务器必须连接到需要数据检索的所有 ABAP 服务器。 例如,连接器必须使用端口路由并连接到目标 ABAP 服务器。 有关详细信息,请参阅 适用于 SAP 的 Microsoft Sentinel 解决方案的部署先决条件

  • 使用 Microsoft Sentinel 警报,例如 Microsoft Teams、电子邮件或移动警报。

  • 当多个连接器托管在一台计算机上时:

    • 容器的命名模式为 sapcon-<SID>,因此无法连接到具有相同 SID 的多个系统。
    • 如果连接到具有不同客户端 ID 的多个系统,请在 --multi-clients 运行 kickstart 脚本时使用未记录的开关。 创建的容器具有命名模式 sapcon-<SID>-<client>
    • 连接到具有相同 SID 和相同客户端 ID 的多个系统时,必须将连接器部署在不同的主机上。 系统可能具有不同的系统编号。 对于使用相同 SID、客户端 ID 或系统编号的多个系统环境(例如生产、开发或测试),还必须将连接器部署在不同的主机上。 这些系统中的 Log Analytics 数据是无法区分的。 使用具有相同 SID、客户端 ID 或系统编号的系统时,请使用不同的 Log Analytics 工作区来区分数据。

SAP 应用程序服务器

  • 使用 SAP 连接器将 ABAP 服务器连接到 Microsoft Sentinel。
  • 在单独的虚拟机上安装 SAP 连接器。
  • 每个具有唯一系统 ID 的 SAP 系统都需要单独的 SAP 连接器。
  • 将凭据存储在 Azure 密钥保管库中。
  • 若要拉取每个 SAP 系统中的数据,请分配特定于 Microsoft Sentinel 集成的适当角色和授权。
  • 在受监视的 SAP 系统中,启用 SAP 表更改日志记录和 ABAP 日志记录。
  • 微调 SAP 连接器以避免短转储并拉取适当的数据量。
  • 若要消除误报,请实施迭代过程来微调 Microsoft Sentinel 中的警报。 例如,允许选定用户运行敏感查询。

SAP HANA 数据库服务器

  • Microsoft Sentinel 依赖于 SAP HANA 通过系统日志记录协议 (syslog) 推送到其工作区的日志。 此方案中没有 SAP 连接器。

  • 若要将 SAP HANA syslog 推送到 Microsoft Sentinel 工作区,请并行安装与标准版本的 Microsoft Operations Management Suite 并行的 Azure Monitor 代理 。 默认情况下,Operations Management Suite 将数据推送到遥测工作区。 可以将 Azure Monitor 代理日志重定向到 Microsoft Sentinel 工作区。

  • 默认情况下,SAP HANA 审核线索将写入名为 CSTABLE 的数据库表。 安全团队使用捕获消防员登录名等功能来使用数据库中的审核日志。 无法将默认日志记录重新指向 syslog,但可以将不同的审核线索重定向到不同的目标,以便所有与 Microsoft Sentinel 相关的审核策略都指向警报级别。 实现此更改时,所有警报级日志都会转到 syslog。

Microsoft Sentinel 规则

Microsoft Sentinel 规则可帮助发现环境中的威胁和异常行为。 在分析和设计阶段:

  • 查看现有规则。 确定 SAP 和 Microsoft Sentinel 存在哪些 内置分析规则
  • 确定范围。 根据情况定义范围和用例。
  • 建立规则条件。 建立规则标识和优先顺序的条件。
  • 设置规则优先级。 确定实施规则并确定其优先级。

以下设计注意事项也适用:

  • 若要识别误报并相应地调整查询逻辑和监视列表条目,请建立一个用于查看和验证警报的过程。

  • 使用监视列表将数据源中的数据与 Microsoft Sentinel 环境中的事件相关联。

    • 例如,可以创建一个监视列表,其中列出了环境中的高价值资产、离职员工或服务帐户。
    • 现有规则使用包含用户列表的静态监视列表。 但你可以配置规则,为 Microsoft Sentinel 提供 Microsoft Sentinel 评估的资产的可刷新动态数据源。
    • 分析规则利用SAP_User_Config监视列表。 例如,如果用户生成过多的警报,则会将该用户添加到带有标记(如 MassiveLogonsOKMassiveRFCOK)的监视列表中,以防止干扰。

  • 使用 内置工作簿 来识别数据中的差距并监视系统运行状况。

  • 使用外泄规则监视数据丢失。 有关详细信息,请参阅 数据外泄规则新的数据外泄检测规则

后续步骤