Microsoft Sentinel for SAP on Azure
本文是「SAP 擴充與創新安全性:最佳做法」文章系列中的一部分。
本文概述使用 適用于 SAP 應用程式的 Microsoft Sentinel 解決方案、SAP應用程式伺服器、SAP HANA 資料庫伺服器和 Microsoft Sentinel 規則部署代理程式的主要設計考慮。
這個案例的先決條件:
- 若要從 SAP 系統收集資料,您必須部署 Microsoft Sentinel SAP 連接器。
- 您必須為每個 SAP 安全性識別碼部署個別連接器, (SID) 和用戶端號碼組合。
設計考量
請參閱下列每個元件的設計考慮。
適用于 SAP 應用程式的 Microsoft Sentinel 解決方案
SAP 架構的拓撲可以有多個 SAP 產品分散到多個系統識別碼、用戶端和實例編號。 架構可能有數個前端 ABAP 伺服器,但只需要一個 ABAP 伺服器連線。 請考慮連線到 SAP 訊息伺服器,以將連接器路由傳送至正確的 ABAP 伺服器,並收集 SAP 系統的資料。
連接器會部署為主機虛擬機器上的 Docker 容器, (VM) 或實體伺服器。 連接器容器支援在內部部署機器和 Azure 型 VM 上進行部署。 資料連線器不支援現用的高可用性設定。 如果您的案例需要高可用性選項,請考慮將連接器容器部署到 Kubernetes 叢集,或在Azure Kubernetes Service (AKS) 上。
如需 AKS 的逐步設定,請參閱 將 SAP 代理程式的 Microsoft Sentinel 威脅監視部署至 AKS 或 Kubernetes 叢集。
注意
您只能使用 AKS 或 Kubernetes 部署來達到資料連線器的高可用性。
Kubernetes 叢集僅支援單一資料連線器,可從 SAP 系統擷取資料,並將資料傳送至單一 Log Analytics 工作區。 如果您在連線至相同 SAP 系統的 Kubernetes 叢集中執行多個 Pod,並將資料傳送至相同的 Log Analytics 工作區,則會傳送多個資料複本,這可能會導致資料保留費用增加。
當您使用 Docker 容器時,來自 SAP 系統的所有資料都會進入單一 Log Analytics 工作區。
裝載連接器代理程式的伺服器必須連線到需要擷取資料的所有 ABAP 伺服器。 例如,連接器必須使用埠來路由並聯機到目標 ABAP 伺服器。 如需詳細資訊,請參閱 適用于 SAP 的 Microsoft Sentinel 解決方案部署必要條件。
使用 Microsoft Sentinel 警示,例如 Microsoft Teams、電子郵件或行動警示。
當多個連接器裝載于單一電腦上時:
- 容器的命名模式為
sapcon-<SID>
,因此您無法使用相同的 SID 連線到多個系統。 - 如果您連線到多個具有不同用戶端識別碼的系統,請在執行 startstart 腳本時使用
--multi-clients
未記載的參數。 所建立的容器具有命名模式sapcon-<SID>-<client>
。 - 當您連線到多個具有相同 SID 和相同用戶端識別碼的系統時,連接器必須部署在不同的主機上。 系統可能會有不同的系統號碼。 連接器也必須部署在不同的主機上,以用於使用相同 SID、用戶端識別碼或系統號碼的多個系統內容,例如生產環境、開發或測試。 來自這些系統的 Log Analytics 資料不區分。 當您使用具有相同 SID、用戶端識別碼或系統號碼的系統時,請使用不同的 Log Analytics 工作區來區分資料。
- 容器的命名模式為
SAP 應用程式伺服器
- 使用 SAP 連接器將 ABAP 伺服器連線至 Microsoft Sentinel。
- 在個別的虛擬機器上安裝 SAP 連接器。
- 每個具有唯一系統識別碼的 SAP 系統都需要個別的 SAP 連接器。
- 將認證儲存在 Azure 金鑰保存庫中。
- 若要提取每個 SAP 系統中的資料,請指派 Microsoft Sentinel 整合特有的適當角色和授權。
- 在受監視的 SAP 系統中,啟用 SAP 資料表變更記錄和 ABAP 記錄。
- 微調 SAP 連接器以避免短期傾印,並提取適當的資料量。
- 若要消除誤判,請實作反復程式,以微調 Microsoft Sentinel 中的警示。 例如,允許選取使用者執行敏感性查詢。
SAP HANA 資料庫伺服器
Microsoft Sentinel 依賴 SAP HANA 透過系統記錄通訊協定推送至其工作區的記錄, (syslog) 。 此案例中沒有 SAP 連接器。
若要將 SAP HANA syslog 推送至 Microsoft Sentinel 工作區,請安裝與標準版本的 Microsoft Operations Management Suite 平行的 Azure 監視器代理程式 。 根據預設,Operations Management Suite 會將資料推送至遙測工作區。 您可以將 Azure 監視器代理程式記錄重新導向至 Microsoft Sentinel 工作區。
根據預設,SAP HANA 稽核記錄會寫入名為 CSTABLE 的資料庫資料表。 安全性小組會使用功能,例如擷取 firefighter 登入,從資料庫取用稽核記錄。 您無法將預設記錄重新指向 syslog,但您可以將不同的稽核線索重新導向至不同的目標,讓所有 Microsoft Sentinel 相關的稽核原則都指向警示層級。 當您實作這項變更時,所有警示層級記錄都會移至 syslog。
Microsoft Sentinel 規則
Microsoft Sentinel 規則可協助您探索環境中的威脅和異常行為。 在分析和設計階段:
- 檢閱現有的規則。 判斷 SAP 和 Microsoft Sentinel 的 內建分析規則 存在。
- 建立範圍。 定義您情況的範圍和使用案例。
- 建立規則準則。 建立規則識別和優先順序的準則。
- 設定規則的優先順序。 識別並排定實作規則的優先順序。
下列設計考慮也適用于:
若要識別誤判並據以調整查詢邏輯和監看清單專案,請建立檢閱和驗證警示的程式。
使用監看清單,將資料來源中的資料與您的 Microsoft Sentinel 環境中的事件相互關聯。
- 例如,您可能會建立環境中具有高價值資產、已終止員工或服務帳戶清單的關注清單。
- 現有的規則會使用包含使用者清單的靜態監看清單。 但您可以設定規則,為 Microsoft Sentinel 提供 Microsoft Sentinel 所評估資產的可重新整理動態資料源。
- 分析規則會利用SAP_User_Config監看清單。 例如,如果使用者產生過多的警示,則會將使用者新增至具有標籤的監看清單,例如
MassiveLogonsOK
或MassiveRFCOK
,以防止干擾。
使用 內建活 頁簿來識別資料中的差距,並監視系統健康情況。
使用外泄規則來監視資料遺失。 如需詳細資訊,請參閱 資料外泄規則 和 新的資料外泄偵測規則。