你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件
本文列出了部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序所需的先决条件。
重要
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
部署里程碑
通过以下系列文章跟踪 SAP 解决方案部署过程:
部署先决条件(你目前位于此位置)
跨多个工作区使用解决方案(预览版)
可选部署步骤
先决条件表
若要成功部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序,必须满足以下先决条件:
Azure 先决条件
| 先决条件 | 说明 | 必需/可选 |
|---|---|---|
| 访问 Microsoft Sentinel | 记下 Microsoft Sentinel 工作区 ID 和主密钥。 可以在 Microsoft Sentinel 中找到这些详细信息:从导航菜单中,选择“设置”>“工作区设置”>“代理管理”。 复制工作区 ID 和主密钥,然后将它们粘贴到一边,以便在部署过程中使用。 |
必须 |
| 创建 Azure 资源的权限 | 至少,必须具有从 Microsoft Sentinel 内容中心部署解决方案所需的权限。 有关详细信息,请参阅 Microsoft Sentinel 内容中心目录。 | 必须 |
| 创建 Azure Key Vault 或访问现有 Key Vault 的权限 | 使用 Azure Key Vault 存储连接到 SAP 系统所需的机密(如果这是必需的先决条件,则推荐使用)。 有关详细信息,请参阅分配密钥保管库访问权限。 | 如果计划将 SAP 系统凭据存储在 Azure Key Vault 中,则需要此权限。 如果计划将它们存储在配置文件中,则为可选。 有关详细信息,请参阅创建虚拟机并配置对凭据的访问权限。 |
| 向 SAP 数据连接器代理分配特权角色的权限 | 部署 SAP 数据连接器代理需要使用 Microsoft Sentinel Business Applications 代理操作员角色向代理的 VM 身份授予对 Microsoft Sentinel 工作区的特定权限。 若要授予此角色,需要对 Microsoft Sentinel 工作区所在的资源组拥有“所有者”权限。 有关详细信息,请参阅部署数据连接器代理。 |
必需。 如果没有资源组的“所有者”权限,也可以由具有相关权限的其他用户执行相关步骤,但要在完全部署代理后单独执行。 |
系统先决条件
| 先决条件 | 说明 |
|---|---|
| 系统体系结构 | SAP 解决方案的数据连接器组件作为 Docker 容器进行部署,每个 SAP 客户端都需要自己的容器实例。 容器主机可以是物理计算机或虚拟机,可以位于本地或任何云中。 托管容器的 VM 不必与你的 Microsoft Sentinel 工作区位于同一 Azure 订阅中,甚至不必位于同一 Microsoft Entra 租户中。 |
| 虚拟机大小调整建议 | 最小规格,例如用于实验室环境: Standard_B2s VM,包括: - 双核 - 4-GB RAM 标准连接器(默认): Standard_D2as_v5 VM 或 Standard_D2_v5 VM,带有: - 双核 - 8-GB RAM 多个连接器: Standard_D4as_v5 或 Standard_D4_v5 VM,带有: - 四核 - 16-GB RAM |
| 管理权限 | 容器主机需要管理权限(根)。 |
| 支持的 Linux 版本 | 使用以下 Linux 发行版测试了 SAP 数据连接器代理: - Ubuntu 18.04 或更高版本 - SLES 版本 15 或更高版本 - RHEL 版本 7.7 或更高版本 如果有其他操作系统,可能需要手动部署和配置容器。 有关更多信息,请开具支持工单。 |
| 网络连接 | 确保容器主机有权访问: Microsoft Sentinel- - Azure 密钥保管库(Azure 密钥保管库用于存储机密的部署场景) 通过以下 TCP 端口的 SAP 系统:32xx、5xx13、33xx、48xx(使用 SNC 时),其中 xx 是 SAP 实例编号。 |
| 软件实用工具 | SAP 数据连接器部署脚本在容器主机 VM 上安装以下所需软件(根据所使用的 Linux 发行版,列表可能略有不同): - Unzip - NetCat - Docker - jq - curl |
| 托管标识或服务主体 | 最新版本的 SAP 数据连接器代理需要通过托管标识或服务主体向 Microsoft Sentinel 进行身份验证。 旧版代理程序支持更新到最新版本,然后必须使用托管标识或服务主体继续更新到后续版本。 |
SAP 先决条件
| 先决条件 | 说明 |
|---|---|
| 支持的 SAP 版本 | SAP 数据连接器代理支持 SAP NetWeaver 系统,已在 SAP_BASIS 版本 731 及更高版本上测试过。 如果你使用的是较旧的 SAP_BASIS 版本 740,本教程中的特定步骤提供了其他说明。 |
| 所需软件 | SAP NetWeaver RFC SDK 7.50(在此处下载) 请确保你还拥有 SAP 用户帐户,以便访问 SAP 软件下载页面。 |
| SAP 系统详细信息 | 请记下以下 SAP 系统详细信息以供本教程使用: - SAP 系统 IP 地址和 FQDN 主机名 - SAP 系统编号,如 00- 来自 SAP NetWeaver 系统的 SAP 系统 ID(例如 NPL)- SAP 客户端 ID,如 001 |
| SAP NetWeaver 实例访问权限 | SAP 数据连接器代理使用以下机制之一向 SAP 系统进行身份验证: - SAP ABAP 用户/密码 - 拥有 X.509 证书的用户(此选项需要额外的配置步骤) |
SAP 环境验证步骤
注意
部署 SAP CR 并配置授权指南中提供了有关部署 CR 和分配所需角色的分步说明。 确定需要部署哪些 CR,从下表中的链接中检索相关的 CR,然后转到分步指南。
创建和配置角色(必需)
若要使 SAP 数据连接器可以连接到 SAP 系统,必须创建角色。 通过从 /MSFTSEN/SENTINEL_RESPONDER 文件加载角色授权来创建角色。
/MSFTSEN/SENTINEL_RESPONDER 角色包括日志检索和攻击中断响应操作。 若要仅启用日志检索,而不执行攻击中断响应操作,请在 SAP 系统上部署 SAP NPLK900271 CR,或从 MSFTSEN_SENTINEL_CONNECTOR 文件加载角色授权。 “/MSFTSEN/SENTINEL_CONNECTOR”角色,该角色具有数据连接器运行所需的所有基本权限。
| SAP Basis 版本 | 示例 CR |
|---|---|
| 任何版本 | NPLK900271:K900271.NPL、R900271.NPL |
有经验的 SAP 管理员可以选择手动创建角色并为其分配适当的权限。 在这种情况下,请确保遵循每个日志的建议授权。 有关详细信息,请参阅所需的 ABAP 授权。
从 SAP 检索其他信息(可选)
可以从 Microsoft Sentinel GitHub 存储库部署其他 CR,使 SAP 数据连接器能够从 SAP 系统检索特定信息。
- SAP BASIS 7.5 SP12 及更高版本:安全审核日志中的客户端 IP 地址信息
- 任何 SAP BASIS 版本:DB 表日志、池输出日志
| SAP Basis 版本 | 建议的 CR | 说明 |
|---|---|---|
| - 750 及更高版本 | NPLK900202:K900202.NPL、R900202.NPL | 部署相关的 SAP 说明。 |
| - 740 | NPLK900201:K900201.NPL、R900201.NPL |
部署 SAP 说明(可选)
如果选择使用 NPLK900202 可选 CR 检索其他信息,请确保在 SAP 系统中根据其版本部署以下 SAP 说明:
| SAP Basis 版本 | 说明 |
|---|---|
| - 750 SP04 到 SP12 - 751 SP00 到 SP06 - 752 SP00 到 SP02 |
2641084 - 对安全审核日志数据的标准化读取访问* |
后续步骤
验证满足所有先决条件后,继续下一步,将所需的 CR 部署到你的 SAP 系统并配置授权。