你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Microsoft Sentinel 解决方案配置 SAP 系统
本文介绍如何准备 SAP 环境以连接到 SAP 数据连接器代理。 准备包括配置所需的 SAP 授权,以及(可选)部署额外的 SAP 更改请求 (CR)。
本文是为 SAP 应用程序部署 Microsoft Sentinel 解决方案的第二步的一部分。
本文中的过程通常由 SAP BASIS 团队执行。
先决条件
- 开始之前,请确保审查为 SAP 应用程序部署 Microsoft Sentinel 解决方案所需的先决条件。
配置 Microsoft Sentinel 角色
若要使 SAP 数据连接器可以连接到 SAP 系统,必须专门为此创建 SAP 系统角色。
若要同时包括日志检索和攻击中断响应操作,建议通过从 /MSFTSEN/SENTINEL_RESPONDER 文件加载角色授权来创建此角色。
若要仅包含日志检索,建议通过部署 NPLK900271 SAP 更改请求 (CR):K900271.NPL | R900271.NPL
根据需要在 SAP 系统上部署 CR, 就像部署其他 CR 一样。 强烈建议由经验丰富的 SAP 系统管理员完成部署 SAP CR。 有关详细信息,请参阅 SAP 文档。
或者,从 MSFTSEN_SENTINEL_CONNECTOR 文件加载角色授权,其中包括数据连接器运行的所有基本权限。
有经验的 SAP 管理员可以选择手动创建角色并为其分配适当的权限。 在这种情况下,使用要引入的日志所需的相关授权手动创建角色。 有关详细信息,请参阅所需的 ABAP 授权。 文档中的示例使用 /MSFTSEN/SENTINEL_RESPONDER 名称。
配置角色时,建议:
- 通过运行 PFCG 事务,为 Microsoft Sentinel 生成活动角色配置文件。
- 使用
/MSFTSEN/SENTINEL_RESPONDER作为角色名称。
有关详细信息,请参阅 SAP 文档。
创建用户
适用于 SAP 的 Microsoft Sentinel 解决方案应用程序要求用户帐户连接到 SAP 系统。 创建用户时:
- 请确保创建系统用户。
- 将 /MSFTSEN/SENTINEL_RESPONDER 角色分配给在上一步骤中创建的用户。
有关详细信息,请参阅 SAP 文档。
配置 SAP 审核
默认情况下,SAP 系统的某些安装可能未启用审核日志。 在评估适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的性能和效果时,为获得最佳结果,请对 SAP 系统启用审核并配置审核参数。 如果要引入 SAP HANA DB 日志,请确保同时为 SAP HANA DB 启用审核。
建议为审核日志中的所有消息配置审核,因为此数据对于 Microsoft Sentinel 检测以及在入侵后调查和搜寻中非常有用。
有关详细信息,请参阅 SAP 社区和在 Microsoft Sentinel 中收集 SAP HANA 审核日志。
配置对额外数据检索的支持(推荐)
虽然此步骤是可选的,但建议从 Microsoft Sentinel GitHub 存储库部署其他 CR,使 SAP 数据连接器能够从 SAP 系统检索特定信息。
- DB 表和后台输出日志
- 安全审核日志中的客户端 IP 地址信息(SAP BASIS 7.5 SP12 及更高版本)
根据你的 SAP 版本部署相关 CR:
| SAP Basis 版本 | 建议的 CR |
|---|---|
| 750 及更高版本 | NPLK900202:K900202.NPL、R900202.NPL 部署以下任一 SAP 版本时,还要部署 2641084 - 对安全审核日志数据的标准化读取访问: - 750 SP04 到 SP12 - 751 SP00 到 SP06 - 752 SP00 到 SP02 |
| 740 | NPLK900201:K900201.NPL、R900201.NPL |
根据需要在 SAP 系统上部署 CR, 就像部署其他 CR 一样。 强烈建议由经验丰富的 SAP 系统管理员完成部署 SAP CR。 有关详细信息,请参阅 SAP 文档。
验证 PAHI 表是否定期更新
SAP PAHI 表包括有关 SAP 系统、数据库和 SAP 参数的历史记录数据。 在某些情况下,由于配置缺失或错误,适用于 SAP 的 Microsoft Sentinel 解决方案 应用程序无法定期监视 SAP PAHI 表。 请务必更新 PAHI 表并经常对其进行监视,以便适用于 SAP 的 Microsoft Sentinel 解决方案 应用程序可以针对全天随时可能发生的可疑操作发出警报。 有关详细信息,请参阅:
提示
为了获得最佳结果,请在数据连接器代理计算机上的 systemconfig.json 文件中的 [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) 部分下启用 PAHI_FULL 和 PAHI_INCREMENTAL 参数。 有关详细信息,请参阅 Systemconfig.json 文件参考。
如果 PAHI 表定期更新,则会计划 SAP_COLLECTOR_FOR_PERFMONITOR 作业并每小时运行一次。 如果 SAP_COLLECTOR_FOR_PERFMONITOR 作业不存在,请确保根据需要对其进行配置。 有关详细信息,请参阅 SAP 文档:后台处理中的数据库收集器和配置数据收集器
将系统配置为使用 SNC 进行安全连接
默认情况下,SAP 数据连接器代理使用远程函数调用 (RFC) 连接以及用户名和密码连接到 SAP 服务器进行身份验证。
但是,可能需要在加密通道上建立连接,或使用客户端证书进行身份验证。 在这些情况下,请使用 SAP 中的智能网络通信 (SNC) 来保护数据连接,如本部分所述。
在生产环境中,强烈建议你咨询 SAP 管理员来创建配置 SNC 的部署计划。 有关详细信息,请参阅 SAP 文档。
配置 SNC 时:
- 如果客户端证书是由企业证书颁发机构颁发的,请将颁发的 CA 和根 CA 证书传输到计划创建数据连接器代理的系统。
- 确保在配置 SAP 数据连接器代理容器时输入相关值并使用相关过程。