為 Microsoft Sentinel 解決方案設定 SAP 系統
本文說明如何準備 SAP 環境以連線到 SAP 資料連接器代理程式。 準備工作包括設定所需的 SAP 授權,以及選擇性地部署額外的 SAP 變更請求 (CR)。
本文是針對 SAP 應用程式部署 Microsoft Sentinel 解決方案的第二個步驟的一部分。
本文中的程式通常是由您的 SAP BASIS 小組執行。
必要條件
- 開始之前,請務必檢閱 為 SAP 應用程式部署 Microsoft Sentinel 解決方案的必要條件。
設定 Microsoft Sentinel 角色
若要允許 SAP 資料連接器連線到您的 SAP 系統,您必須特別為此建立 SAP 系統角色。
若要同時包含記錄擷取和攻擊中斷回應動作,建議您從 /MSFTSEN/SENTINEL_RESPONDER 檔案載入角色授權來建立此角色。
若要只包含記錄擷取,建議您部署 NPLK900271 SAP 變更要求 (CR): K900271.NPL | R900271來建立此角色。NPL
視需要在 SAP 系統上部署 PR,就像部署其他 CR 一樣。 強烈建議您由經驗豐富的 SAP 管理員完成 SAP CR 的部署。 如需詳細資訊,請參閱 SAP 文件。
或者,從 MSFTSEN_SENTINEL_CONNECTOR 檔案載入角色授權,其中包含數據連接器運作的所有基本許可權。
有經驗的 SAP 管理員可以選擇手動建立角色,並指派適當的權限。 在這種情況下,請使用您想要內嵌的記錄所需的相關授權,手動建立角色。 如需詳細資訊,請參閱必要的 ABAP 授權 (部分機器翻譯)。 我們的檔中的範例會使用 /MSFTSEN/SENTINEL_RESPONDER 名稱。
設定角色時,建議您:
- 執行 PFCG 交易,以產生Microsoft Sentinel 的作用中角色配置檔。
- 使用
/MSFTSEN/SENTINEL_RESPONDER作為角色名稱。
如需詳細資訊,請參閱有關建立角色的 SAP 檔 。
建立使用者
適用於 SAP 應用程式的Microsoft Sentinel 解決方案需要用戶帳戶才能連線到您的 SAP 系統。 建立使用者時:
- 請務必建立系統使用者。
- 將 /MSFTSEN/SENTINEL_RESPONDER 角色指派給您在上一個步驟中建立的使用者。
如需詳細資訊,請參閱 SAP 文件。
設定 SAP 稽核
某些 SAP 系統的安裝預設可能未啟用稽核記錄。 為獲得最佳結果,評估 SAP 應用程式的 Microsoft Sentinel 解決方案效能和效力,請啟用 SAP 系統的稽核並設定稽核參數。 如果您想要內嵌 SAP HANA DB 記錄,請務必也啟用 SAP HANA DB 的稽核。
建議您設定稽核記錄檔中所有訊息的稽核,因為此數據對於Microsoft Sentinel 偵測以及入侵後調查和搜捕很有用。
如需詳細資訊,請參閱 SAP 社群 和 收集 Microsoft Sentinel 中的 SAP HANA 稽核記錄。
設定額外資料擷取的支援(建議)
雖然此步驟是選擇性的,但建議您從 Microsoft Sentinel GitHub 存放庫 部署額外的 PR,讓 SAP 數據連接器從 SAP 系統擷取下列內容資訊:
- 資料庫數據表 和 多任務緩衝處理輸出 記錄
- 來自安全性稽核記錄的用戶端 IP 位址資訊 (僅限 SAP BASIS 7.5 版 SP12 和更新版本)
根據您的 SAP 版本部署相關的 CR:
| SAP BASIS 版本 | 建議 CR |
|---|---|
| 750 和更新版本 | NPLK900202:K900202.NPL、R900202.NPL 部署此 CR 時,下列任一 SAP 版本也會部署 2641084 - 安全性稽核記錄數據的標準化讀取許可權: - 750 SP04 至 SP12 - 751 SP00 至 SP06 - 752 SP00 至 SP02 |
| 740 | NPLK900201:K900201.NPL、R900201.NPL |
視需要在 SAP 系統上部署 PR,就像部署其他 CR 一樣。 強烈建議您由經驗豐富的 SAP 管理員完成 SAP CR 的部署。 如需詳細資訊,請參閱 SAP 文件。
確認PAHI數據表會定期更新
SAP PAHI 資料表包含 SAP 系統、資料庫和 SAP 參數歷程記錄的資料。 在某些情況下,SAP 應用程式的Microsoft Sentinel 解決方案無法定期監視 SAP PAHI 數據表,因為缺少或設定錯誤。 請務必更新 PAHI 數據表並經常監視它,讓 SAP 應用程式的Microsoft Sentinel 解決方案可以警示全天可能發生的可疑動作。 如需詳細資訊,請參閱
如果PAHI數據表會定期更新, SAP_COLLECTOR_FOR_PERFMONITOR 則會排程工作並每小時執行。 SAP_COLLECTOR_FOR_PERFMONITOR如果作業不存在,請務必視需要進行設定。
如需詳細資訊,請參閱 背景處理 中的資料庫收集器及 設定數據收集器。
將您的系統設定為使用SNC進行安全連線
根據預設,SAP 資料連接器代理程式會使用遠端函數數據 (RFC) 連線和使用者名稱和密碼來連線到 SAP 伺服器以進行驗證。
不過,您可能需要在加密通道上建立連線,或使用用戶端憑證進行驗證。 在這些情況下,使用 SAP 的智慧網路通訊 (SNC) 來保護您的數據連線,如本節所述。
在生產環境中,強烈建議您洽詢 SAP 系統管理員,以建立設定 SNC 的部署計劃。 如需詳細資訊,請參閱 SAP 文件。
設定 SNC 時:
- 如果客戶端憑證是由企業證書頒發機構單位所簽發,請將發行 CA 和根 CA 憑證轉移至您計劃建立數據連接器代理程式的系統。
- 請務必也輸入相關的值,並在設定 SAP 資料連接器代理程式容器時使用相關程式。