Microsoft Sentinel for SAP on Azure

本文是「SAP 擴充與創新安全性：最佳做法」文章系列中的一部分。

• SQL Server Azure 上 SAP 的資料庫安全性
• Microsoft Sentinel for SAP on Azure
• Azure 上 SAP 的安全性作業

本文概述使用 適用于 SAP 應用程式的 Microsoft Sentinel 解決方案、SAP應用程式伺服器、SAP HANA 資料庫伺服器和 Microsoft Sentinel 規則部署代理程式的主要設計考慮。

這個案例的先決條件：

• 若要從 SAP 系統收集資料，您必須部署 Microsoft Sentinel SAP 連接器。
• 您必須為每個 SAP 安全性識別碼部署個別連接器， (SID) 和用戶端號碼組合。

設計考量

請參閱下列每個元件的設計考慮。

適用于 SAP 應用程式的 Microsoft Sentinel 解決方案

• SAP 架構的拓撲可以有多個 SAP 產品分散到多個系統識別碼、用戶端和實例編號。 架構可能有數個前端 ABAP 伺服器，但只需要一個 ABAP 伺服器連線。 請考慮連線到 SAP 訊息伺服器，以將連接器路由傳送至正確的 ABAP 伺服器，並收集 SAP 系統的資料。

• 連接器會部署為主機虛擬機器上的 Docker 容器， (VM) 或實體伺服器。 連接器容器支援在內部部署機器和 Azure 型 VM 上進行部署。 資料連線器不支援現用的高可用性設定。 如果您的案例需要高可用性選項，請考慮將連接器容器部署到 Kubernetes 叢集，或在Azure Kubernetes Service (AKS) 上。

  如需 AKS 的逐步設定，請參閱 將 SAP 代理程式的 Microsoft Sentinel 威脅監視部署至 AKS 或 Kubernetes 叢集。

  注意

  您只能使用 AKS 或 Kubernetes 部署來達到資料連線器的高可用性。

• Kubernetes 叢集僅支援單一資料連線器，可從 SAP 系統擷取資料，並將資料傳送至單一 Log Analytics 工作區。 如果您在連線至相同 SAP 系統的 Kubernetes 叢集中執行多個 Pod，並將資料傳送至相同的 Log Analytics 工作區，則會傳送多個資料複本，這可能會導致資料保留費用增加。

• 當您使用 Docker 容器時，來自 SAP 系統的所有資料都會進入單一 Log Analytics 工作區。

• 裝載連接器代理程式的伺服器必須連線到需要擷取資料的所有 ABAP 伺服器。 例如，連接器必須使用埠來路由並聯機到目標 ABAP 伺服器。 如需詳細資訊，請參閱 適用于 SAP 的 Microsoft Sentinel 解決方案部署必要條件。

• 使用 Microsoft Sentinel 警示，例如 Microsoft Teams、電子郵件或行動警示。

• 當多個連接器裝載于單一電腦上時：

  • 容器的命名模式為 sapcon-<SID> ，因此您無法使用相同的 SID 連線到多個系統。
  • 如果您連線到多個具有不同用戶端識別碼的系統，請在執行 startstart 腳本時使用 --multi-clients 未記載的參數。 所建立的容器具有命名模式 sapcon-<SID>-<client> 。
  • 當您連線到多個具有相同 SID 和相同用戶端識別碼的系統時，連接器必須部署在不同的主機上。 系統可能會有不同的系統號碼。 連接器也必須部署在不同的主機上，以用於使用相同 SID、用戶端識別碼或系統號碼的多個系統內容，例如生產環境、開發或測試。 來自這些系統的 Log Analytics 資料不區分。 當您使用具有相同 SID、用戶端識別碼或系統號碼的系統時，請使用不同的 Log Analytics 工作區來區分資料。

SAP 應用程式伺服器

• 使用 SAP 連接器將 ABAP 伺服器連線至 Microsoft Sentinel。
• 在個別的虛擬機器上安裝 SAP 連接器。
• 每個具有唯一系統識別碼的 SAP 系統都需要個別的 SAP 連接器。
• 將認證儲存在 Azure 金鑰保存庫中。
• 若要提取每個 SAP 系統中的資料，請指派 Microsoft Sentinel 整合特有的適當角色和授權。
• 在受監視的 SAP 系統中，啟用 SAP 資料表變更記錄和 ABAP 記錄。
• 微調 SAP 連接器以避免短期傾印，並提取適當的資料量。
• 若要消除誤判，請實作反復程式，以微調 Microsoft Sentinel 中的警示。 例如，允許選取使用者執行敏感性查詢。

SAP HANA 資料庫伺服器

• Microsoft Sentinel 依賴 SAP HANA 透過系統記錄通訊協定推送至其工作區的記錄， (syslog) 。 此案例中沒有 SAP 連接器。

• 若要將 SAP HANA syslog 推送至 Microsoft Sentinel 工作區，請安裝與標準版本的 Microsoft Operations Management Suite 平行的 Azure 監視器代理程式 。 根據預設，Operations Management Suite 會將資料推送至遙測工作區。 您可以將 Azure 監視器代理程式記錄重新導向至 Microsoft Sentinel 工作區。

• 根據預設，SAP HANA 稽核記錄會寫入名為 CSTABLE 的資料庫資料表。 安全性小組會使用功能，例如擷取 firefighter 登入，從資料庫取用稽核記錄。 您無法將預設記錄重新指向 syslog，但您可以將不同的稽核線索重新導向至不同的目標，讓所有 Microsoft Sentinel 相關的稽核原則都指向警示層級。 當您實作這項變更時，所有警示層級記錄都會移至 syslog。

Microsoft Sentinel 規則

Microsoft Sentinel 規則可協助您探索環境中的威脅和異常行為。 在分析和設計階段：

• 檢閱現有的規則。 判斷 SAP 和 Microsoft Sentinel 的 內建分析規則 存在。
• 建立範圍。 定義您情況的範圍和使用案例。
• 建立規則準則。 建立規則識別和優先順序的準則。
• 設定規則的優先順序。 識別並排定實作規則的優先順序。

下列設計考慮也適用于：

• 若要識別誤判並據以調整查詢邏輯和監看清單專案，請建立檢閱和驗證警示的程式。

• 使用監看清單，將資料來源中的資料與您的 Microsoft Sentinel 環境中的事件相互關聯。

  • 例如，您可能會建立環境中具有高價值資產、已終止員工或服務帳戶清單的關注清單。
  • 現有的規則會使用包含使用者清單的靜態監看清單。 但您可以設定規則，為 Microsoft Sentinel 提供 Microsoft Sentinel 所評估資產的可重新整理動態資料源。
  • 分析規則會利用SAP_User_Config監看清單。 例如，如果使用者產生過多的警示，則會將使用者新增至具有標籤的監看清單，例如 MassiveLogonsOK 或 MassiveRFCOK ，以防止干擾。

• 使用 內建活 頁簿來識別資料中的差距，並監視系統健康情況。

• 使用外泄規則來監視資料遺失。 如需詳細資訊，請參閱 資料外泄規則 和 新的資料外泄偵測規則。

下一步

• Azure 上的 SAP 安全性：安全性作業