Installér Microsoft Sentinel-løsningen til SAP BTP

I denne artikel beskrives det, hvordan du installerer Microsoft Sentinel-løsningen til BTP-systemet (SAP Business Technology Platform). Den Microsoft Sentinel løsning til SAP BTP-skærme og beskytter dit SAP BTP-system. Den indsamler overvågningslogge og aktivitetslogge fra BTP-infrastrukturen og BTP-baserede apps og registrerer derefter trusler, mistænkelige aktiviteter, ulovlige aktiviteter og meget mere. Læs mere om løsningen.

Vigtigt!

Et arkitektonisk skift i dataconnectoren v3.0.11 for at imødekomme forsinkede SAP BTP-logge kræver onboarding af SAP-underkonti, der blev tilføjet før ændringen. Se produktbemærkningerne for at få flere oplysninger. Overvej masse onboarding værktøjer for nemheds skyld.

Forudsætninger

Før du begynder, skal du bekræfte, at:

  • Den Microsoft Sentinel løsning er aktiveret.
  • Du har et defineret Microsoft Sentinel arbejdsområde, og du har læse- og skriverettigheder til arbejdsområdet.
  • Din organisation bruger SAP BTP (i et Cloud Foundry-miljø) til at strømline interaktioner med SAP-programmer og andre virksomhedsprogrammer.
  • Du har en SAP BTP-underkonto (som understøtter BTP-underkonti i miljøet Cloud Foundry). Du kan også bruge en SAP BTP-prøvekonto.
  • Du har SAP BTP-overvågningslogadministrationstjenesten og -tjenestenøglen (se Konfigurer BTP-underkonto og -løsning).
  • Du har rollen Microsoft Sentinel bidragyder på mål- Microsoft Sentinel arbejdsområdet.

Konfigurer BTP-underkonto og -løsning

Hvis du vil konfigurere BTP-underkonto og løsningen manuelt fra SAP BTP-cockpittet og Azure Portal, skal du følge disse trin:

  1. Når du kan logge på din BTP-underkonto (se forudsætningerne), skal du følge trinnene til hentning af overvågningslog på SAP BTP-systemet.

  2. Vælg tjenesten Administration af overvågningslog i SAP BTP-cockpittet.

    Skærmbillede, der viser valg af btp-tjenesten til administration af overvågningslog.

  3. Opret en forekomst af overvågningslogadministrationstjenesten i BTP-underkonto.

    Skærmbillede, der viser oprettelse af en forekomst af BTP-underkonto.

  4. Opret en tjenestenøgle, og registrer værdierne for url, uaa.clientid, uaa.clientsecretog uaa.url. Disse værdier kræves for at installere dataconnectoren.

    Her er eksempler på disse feltværdier:

    • URL-adresse: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Log på portalenAzure.

  6. Gå til Microsoft Sentinel-tjenesten.

  7. Vælg Indholdshub, og søg efter BTP på søgelinjen.

  8. Vælg SAP BTP.

  9. Vælge Installér.

    Du kan finde flere oplysninger om, hvordan du administrerer løsningskomponenterne, under Find og udrul indhold, der er klar til brug.

  10. Vælg Opret.

    Skærmbillede, der viser, hvordan du opretter Microsoft Sentinel-løsningen til SAP BTP.

  11. Vælg den ressourcegruppe og det Microsoft Sentinel arbejdsområde, løsningen skal installeres i.

  12. Vælg Næste , indtil du har bestået valideringen, og vælg derefter Opret.

  13. Når installationen af løsningen er fuldført, skal du vende tilbage til dit Microsoft Sentinel arbejdsområde og vælge Dataconnectors.

  14. Angiv BTP i søgelinjen, og vælg derefter SAP BTP.

  15. Vælg Åbn forbindelsesside.

  16. På connectorsiden skal du sørge for, at du opfylder de påkrævede forudsætninger, der er angivet, og fuldføre konfigurationstrinnene. Når du er klar, skal du vælge Tilføj konto.

  17. Angiv de parametre, du definerede tidligere under konfigurationen. Det angivne underkontonavn forventes som en kolonne i tabellen SAPBTPAuditLog_CL og kan bruges til at filtrere loggene, når du har flere underkonti.

    Overvej de avancerede indstillinger, hvis det er nødvendigt:

    • Pollingfrekvens: Den frekvens, som connectoren forespørger efter nye data med. Standarden er 1 minut.
    • Forsinkelse af logindfødning: Den anslåede forsinkelse mellem det tidspunkt, hændelsen genereres i SAP BTP, og den tid, den er tilgængelig i SAP BTP-overvågningslogtjenesten til indtagelse i Microsoft Sentinel. Standarden er 20 minutter.

    Bemærk!

    Hentning af overvågninger for den globale konto henter ikke automatisk overvågninger for underkontoen. Følg trinnene til konfiguration af connectoren for hver af de underkonti, du vil overvåge, og følg også disse trin for den globale konto. Gennemse disse overvejelser i forbindelse med kontorevisionskonfiguration.

  18. Sørg for, at BTP-logfiler flyder ind i Microsoft Sentinel arbejdsområde:

    1. Log på din BTP-konto, og kør nogle få aktiviteter, der genererer logge, f.eks. logon, tilføjelse af brugere, ændring af tilladelser og ændring af indstillinger.
    2. Der går 20 til 30 minutter, før loggene begynder at flyde.
    3. På siden MED SAP BTP-connector skal du bekræfte, at Microsoft Sentinel modtager BTP-dataene, eller forespørge tabellen SAPBTPAuditLog_CL direkte.

  19. Aktivér projektmappen og de analyseregler , der er angivet som en del af løsningen, ved at følge disse retningslinjer.

Bemærk!

Hvis du vil onboarde SAP BTP-underkonti i stor skala, anbefales det at bruge API- og CLI-baserede metoder. Kom i gang med dette scriptbibliotek.

Overvej konfigurationer af overvågning af din konto

Det sidste trin i udrulningsprocessen er at overveje konfigurationerne af din globale konto og overvågning af underkonti.

Konfiguration af global kontorevision

Når du aktiverer hentning af overvågningslog i BTP-cockpittet for den globale konto: Hvis den underkonto, du vil give overvågningslogadministrationstjenesten, er under en mappe, skal du først give tjenesten rettigheder på mappeniveau. Først da kan du give tjenesten ret på underkontoniveau.

Konfiguration af overvågning af underkonto

Hvis du vil aktivere overvågning for en underkonto, skal du fuldføre trinnene i API-dokumentationen til overvågning af SAP-underkonti.

API-dokumentationen beskriver, hvordan du aktiverer hentning af overvågningslog ved hjælp af kommandolinjegrænsefladen i Cloud Foundry.

Du kan også hente loggene via brugergrænsefladen:

  1. Opret en forekomst af Overvågningslogadministrationstjeneste på din underkonto i SAP Service Marketplace.
  2. Opret en tjenestenøgle i den nye forekomst.
  3. Få vist tjenestenøglen, og hent de påkrævede parametre fra trin 4 i konfigurationsinstruktionerne i brugergrænsefladen for dataconnectoren (url, uaa.url, uaa.clientid og uaa.clientsecret).

Mass-Onboard SAP BTP-underkonti i stor skala

Hvis du vil onboarde SAP BTP-underkonti i stor skala, anbefales det at bruge API- og CLI-baserede metoder. Kom i gang med dette scriptbibliotek.

Roter BTP-klienthemmeligheden

Vi anbefaler, at du jævnligt roterer HEMMELIGHEDERne for BTP-underkontoklienten. Hvis du vil have en automatiseret platformbaseret tilgang, skal du se vores automatiske fornyelse af SAP BTP-tillidslageret med Azure Key Vault – eller hvordan du holder op med at tænke på udløbsdatoer én gang for alle (SAP-blog).

Dette scriptbibliotek viser den automatiske proces til opdatering af en eksisterende dataconnector med en ny hemmelighed.

Relateret indhold

  • Last updated on