Del via

Konfigurer dit SAP-system til Microsoft Sentinel løsningen

  • Gælder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

I denne artikel beskrives det, hvordan du forbereder dit SAP-miljø til at oprette forbindelse til SAP-dataconnectoren. Forberedelse varierer, afhængigt af om du bruger den objektbeholderiserede dataconnectoragent. Vælg den indstilling øverst på siden, der svarer til dit miljø.

Denne artikel er en del af det andet trin til installation af Microsoft Sentinel-løsningen til SAP-programmer.

Vigtigt!

Dataconnectoragenten for SAP frarådes og deaktiveres permanent senest den 14. september 2026. Vi anbefaler, at du overfører til den agentløse dataconnector. Få mere at vide om den agentløse tilgang i vores blogindlæg.

Diagram over udrulningsflowet for Microsoft Sentinel-løsningen til SAP-programmer, hvor det trin, der forbereder SAP, er fremhævet.

Procedurerne i denne artikel udføres typisk af dit SAP BASIS-team .

Denne artikel er en del af det andet trin til installation af Microsoft Sentinel-løsningen til SAP-programmer. Selvom trin, der udføres i Microsoft Sentinel kræver, at løsningen installeres først, kan andre forberedelser i SAP-miljøet ske parallelt.

Diagram over udrulningsflowet for Microsoft Sentinel-løsningen til SAP-programmer, hvor det trin, der forbereder SAP, er fremhævet.

Mange af procedurerne i denne artikel udføres typisk af dit SAP BASIS-team . Nogle trin omfatter også dit sikkerhedsteam .

Forudsætninger

Konfigurer rollen Microsoft Sentinel

Hvis du vil tillade, at SAP-dataconnectoren opretter forbindelse til dit SAP-system, skal du oprette en SAP-systemrolle specifikt til dette formål.

Vi anbefaler, at du opretter denne rolle ved at installere NPLK900271 SAP-ændringsanmodningen: K900271.NPL | R900271.NPL

Udrul pullanmodningerne på dit SAP-system efter behov på samme måde, som du ville udrulle andre nøglecentre. Det anbefales på det kraftigste, at udrulning af SAP CR'er udføres af en erfaren SAP-systemadministrator. Du kan få flere oplysninger i SAP-dokumentationen.

Du kan også indlæse rollegodkendelserne fra MSFTSEN_SENTINEL_CONNECTOR-filen , som indeholder alle de grundlæggende tilladelser, som dataconnectoren skal køre.

Erfarne SAP-administratorer kan vælge at oprette rollen manuelt og tildele den de relevante tilladelser. I sådanne tilfælde skal du oprette en rolle manuelt med de relevante godkendelser, der kræves til de logfiler, du vil indtage. Du kan finde flere oplysninger under Påkrævede ABAP-godkendelser. Eksempler i vores dokumentation bruger navnet /MSFTSEN/SENTINEL_RESPONDER .

Når du konfigurerer rollen, anbefaler vi, at du:

  • Opret en aktiv rolleprofil for Microsoft Sentinel ved at køre PFCG-transaktionen.
  • Brug /MSFTSEN/SENTINEL_RESPONDER som rollenavn.

Opret en rolle ved hjælp af skabelonen MSFTSEN_SENTINEL_READER , som indeholder alle de grundlæggende tilladelser til den dataconnector, der skal fungere.

Du kan få flere oplysninger i SAP-dokumentationen om oprettelse af roller.

Opret en bruger

Den Microsoft Sentinel løsning til SAP-programmer kræver en brugerkonto for at oprette forbindelse til dit SAP-system. Når du opretter din bruger:

  • Sørg for at oprette en systembruger.
  • Tildel rollen /MSFTSEN/SENTINEL_RESPONDER til den bruger, du oprettede i det forrige trin.
  • Sørg for at oprette en systembruger.
  • Tildel rollen MSFTSEN_SENTINEL_READER til den bruger, du oprettede i det forrige trin.

Du kan få flere oplysninger i SAP-dokumentationen.

Konfigurer SAP-overvågning

Nogle installationer af SAP-systemer har muligvis ikke aktiveret overvågningslogføring som standard. Hvis du vil opnå de bedste resultater i evalueringen af ydeevnen og effektiviteten af Microsoft Sentinel-løsningen til SAP-programmer, skal du aktivere overvågning af dit SAP-system og konfigurere overvågningsparametrene.

Vi anbefaler, at du konfigurerer overvågning for alle meddelelser fra overvågningsloggen i stedet for kun specifikke logge. Forskelle i indtagelsesomkostninger er generelt minimale, og dataene er nyttige til Microsoft Sentinel opdagelser og i undersøgelser og jagt efter kompromiser.

Tip

Hvis du vil indtage SAP HANA DB-logge, skal du sørge for også at aktivere overvågning for SAP HANA DB. Du kan finde flere oplysninger under Indsaml SAP HANA-overvågningslogge i Microsoft Sentinel

Tip

For SAP-systemer, der administreres af SAP RISE/ECS, er aktivering af sikkerhedsovervågningslog en del af aftalen om delt ansvar. Bekræft med din SAP-kontakt, om overvågning allerede er aktiv som standard, eller om der skal udføres yderligere trin. Offentlige SAP S/4HANA Cloud edition-systemer har som standard aktiveret overvågning.

Hvis du vil have fuld overvågning af dækningen med den agentløse dataconnector, anbefaler vi, at du aktiverer overvågning på alle klient-id'er for dine overvågede SAP-systemer, herunder klienter 000 og 066.

Du kan få flere oplysninger i SAP's artikel.

Konfigurer systemet til at bruge SNC til sikre forbindelser

SAP-dataconnectoragenten opretter som standard forbindelse til en SAP-server ved hjælp af en RFC-forbindelse (Remote Function Call) og et brugernavn og en adgangskode til godkendelse.

Du skal muligvis oprette forbindelse på en krypteret kanal eller bruge klientcertifikater til godkendelse. I disse tilfælde skal du bruge SNC (Smart Network Communications) fra SAP til at sikre dine dataforbindelser, som beskrevet i dette afsnit.

I et produktionsmiljø anbefaler vi på det kraftigste, at du kontakter SAP-administratorer for at oprette en udrulningsplan til konfiguration af SNC. Du kan få flere oplysninger i SAP-dokumentationen.

Når du konfigurerer SNC:

  • Hvis klientcertifikatet blev udstedt af et virksomhedsnøglecenter, skal du overføre det udstedende nøglecenter og rodnøglecentercertifikater til det system, hvor du planlægger at oprette dataconnectoragenten.
  • Hvis du bruger dataconnectoragenten, skal du sørge for også at angive de relevante værdier og bruge de relevante procedurer, når du konfigurerer SAP-dataconnectoragentobjektbeholderen. Hvis du bruger den agentløse dataconnector, udføres SNC-konfigurationen i SAP Cloud Connector.

Du kan finde flere oplysninger om SNC under Introduktion til SAP SNC til RFC-integrationer – SAP-blog.

Selvom dette trin er valgfrit, anbefaler vi, at du aktiverer SAP-dataconnectoren til at hente følgende indholdsoplysninger fra dit SAP-system:

  • Databasetabel- og Spool-outputlogge
  • Klient-IP-adresseoplysninger fra overvågningslogge for sikkerhed

  1. Udrul de relevante nøglecentre fra Microsoft Sentinel GitHub-lageret i henhold til din SAP-version:

    SAP BASIS-versioner Anbefalet CR
    750 og højere NPLK900202: K900202.NPL, R900202.NPL

    Når du installerer denne CR en af følgende SAP-versioner, skal du også installere 2641084 – Standardiseret læseadgang til data i sikkerhedsovervågningsloggen:
    - 750 SP04 til SP12
    - 751 SP00 til SP06
    - 752 SP00 til SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Udrul pullanmodningerne på dit SAP-system efter behov på samme måde, som du ville udrulle andre nøglecentre. Det anbefales på det kraftigste, at udrulning af SAP CR'er udføres af en erfaren SAP-systemadministrator. Du kan få flere oplysninger i SAP-dokumentationen.

    Du kan få flere oplysninger i SAP Community og SAP-dokumentationen.

  2. Hvis du vil understøtte SAP BASIS version 7.31-7.5 SP12 med at sende klient-IP-adresseoplysninger til Microsoft Sentinel, skal du aktivere logføring for SAP-tabellen USR41. Du kan få flere oplysninger i SAP-dokumentationen.

Kontrollér, at PAHI-tabellen opdateres med jævne intervaller

TABELLEN SAP PAHI indeholder data om historikken for SAP-systemet, databasen og SAP-parametrene. I nogle tilfælde kan den Microsoft Sentinel løsning til SAP-programmer ikke overvåge SAP PAHI-tabellen med jævne intervaller på grund af manglende eller forkert konfiguration. Det er vigtigt at opdatere PAHI-tabellen og overvåge den ofte, så den Microsoft Sentinel løsning til SAP-programmer kan advare om mistænkelige handlinger, der kan ske når som helst i løbet af dagen. Du kan finde flere oplysninger under:

Hvis PAHI-tabellen opdateres regelmæssigt, SAP_COLLECTOR_FOR_PERFMONITOR er jobbet planlagt og kører hver time. Hvis jobbet SAP_COLLECTOR_FOR_PERFMONITOR ikke findes, skal du sørge for at konfigurere det efter behov.

Du kan få flere oplysninger under Databaseindsamler i Baggrundsbehandling og Konfiguration af dataindsamleren.

Konfigurer SAP BTP-indstillinger

  1. Tilføj rettigheder for følgende tjenester i din SAP BTP-underkonto:

    • SAP Integration Suite
    • SAP-proces Integration Runtime
    • Kørsel af Cloud Foundry

Bemærk!

Denne løsning omfatter kun SAP Cloud Integration i Cloud Foundry-miljøet.

  1. Opret en forekomst af Cloud Foundry Runtime, og opret derefter også et Cloud Foundry-område.

  2. Opret en forekomst af SAP Integration Suite.

  3. Tildel rollen SAP BTP Integration_Provisioner til din SAP BTP-underkontobrugerkonto.

  4. Tilføj cloudintegrationsfunktionen i SAP Integration Suite.

  5. Tildel følgende procesintegrationsroller til din brugerkonto:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Disse roller er kun tilgængelige, når du har aktiveret cloudintegrationsfunktionen.

  6. Opret en forekomst af SAP-processen Integration Runtime i din underkonto ved hjælp af integrationsflowet for tjenesteplanen (ikke API!).

  7. Opret en tjenestenøgle til SAP-processen Integration Runtime, og gem JSON-indholdet på en sikker placering. Du skal aktivere cloudintegrationsfunktionen, før du opretter en tjenestenøgle til SAP Process-Integration Runtime.

Du kan få flere oplysninger i SAP-dokumentationen.

Konfigurer connectoren i Microsoft Sentinel og i dit SAP-system

Denne procedure indeholder trin både i Microsoft Sentinel og dit SAP-system og kræver koordinering med SAP-administratoren.

  1. I Microsoft Sentinel skal du gå til siden Configuration > Data connectors og finde Microsoft Sentinel til SAP – agentless data connector.

  2. I afsnittet Konfiguration skal du udvide og følge instruktionerne i konfigurationen af den indledende connector – kør trinnene nedenfor én gang: Disse trin kræver både din SecuritySOC-tekniker og SAP-administratoren.

    1. Udløs automatisk udrulning af Azure ressourcer (SOC Engineer). Hvis værdierne i trin 2 og 3 ikke udfyldes automatisk, når du har udrullet de Azure ressourcer, skal du lukke og udvide trin 1 igen for at opdatere værdierne i trin 2 og 3.

    2. Udrul en OAuth2-klientlegitimationsoplysninger i SAP Integration (SAP Administration).

    3. Udrul en Secure Parameter-artefakt i SAP Integration (SAP Administration) med navnet workspaceKey, der indeholder log analytics-arbejdsområdenøglen, som er synlig i brugergrænsefladen for dataconnectoren.

    4. Udrul pakken med SAP agentless-dataconnectoren til SAP Integration Suite (SAP Administration).

      1. Download integrationspakken , og upload den til din SAP Integration Suite. Du kan få flere oplysninger i SAP-dokumentationen.
      2. Åbn pakken, og gå til fanen Artefakter . Vælg derefter konfigurationen af dataindsamleren . Du kan få flere oplysninger i SAP-dokumentationen.
      3. Konfigurer integrationsflowet med LogIngestionURL og DCRImmutableID.
      4. Udrul iflowet ved hjælp af SAP Cloud Integration som kørselstjenesten.

Kør den nødvendige kontrol

  1. Iflowet Forudsætningskontrol er inkluderet i pakken. Vi anbefaler, at du kører dette iflow manuelt, før du fortsætter til næste trin for at sikre, at dit SAP-system opfylder systemforudsætningerne, før du forsøger at integrere fra Microsoft Sentinel.

    Sådan kører du værktøjet:

    1. Åbn integrationspakken, naviger til fanen artefakter, og vælg iflowet >ForudsætningskontrolKonfigurer.

    2. Angiv destinationsnavnet for fjernfunktionskald (RFC) til det SAP-system, du vil kontrollere. Det kunne f.eks. være A4H-100-Sentinel-RFC.

    3. Udrul iflowet, som du ellers ville gøre for dine SAP-systemer.

    4. Udløs iflowet fra en hvilken som helst REST-klient. Brug f.eks. følgende PowerShell-eksempelscript, og rediger eksempelpladsholderværdierne for dit miljø:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

    Sørg for, at kontrol af forudsætninger kører korrekt (statuskode 200) uden advarsler om svaroutputtet, før der oprettes forbindelse til Microsoft Sentinel.

    Hvis der findes resultater, kan du se oplysningerne i svaret for at få vejledning i afhjælpningstrinnene. Ældre SAP-systemer kræver ofte ekstra SAP-noter. Desuden kan du se afsnittet om fejlfinding for almindelige problemer og løsninger.

  2. Rul længere ned i området Konfiguration , og udvid og følg instruktionerne i Tilføj overvågede SAP-systemer – Kør nedenstående trin for hvert overvåget SAP-system: område for hvert SAP-system, du vil overvåge.

    Når du kommer til trin 2. Forbind SAP System med Microsoft Sentinel/SOC-tekniker, fortsæt med Opret forbindelse til dit SAP-system for at Microsoft Sentinel.

Konfigurer indstillinger for SAP Cloud Connector

  1. Installér SAP Cloud Connector. Du kan få flere oplysninger i SAP-dokumentationen.

  2. Log på på grænsefladen for cloudconnectoren, og tilføj underkonto ved hjælp af de relevante legitimationsoplysninger. Du kan få flere oplysninger i SAP-dokumentationen.

  3. Føj en ny systemtilknytning til backendsystemet i din cloudconnectorkonto for at knytte ABAP-systemet til RFC-protokollen.

  4. Definer indstillinger for justering af belastning, og angiv oplysninger om din backend ABAP-server. I dette trin skal du kopiere navnet på den virtuelle vært til en sikker placering for at bruge senere i installationsprocessen.

  5. Føj nye ressourcer til systemtilknytningen for hvert af følgende funktionsnavne:

    • RSAU_API_GET_LOG_DATA, hvis du vil hente sap-sikkerhedsovervågningslogdata

    • BAPI_USER_GET_DETAIL, hvis du vil hente SAP-brugeroplysninger

    • RFC_READ_TABLE til at læse data fra påkrævede tabeller

    • SIAG_ROLE_GET_AUTH, for at hente sikkerhedsrollegodkendelser

    • /OSP/SYSTEM_TIMEZONE for at hente oplysninger om SAP-systemets tidszone

Bemærk!

Den angivne rolle er konfigureret til adgang med færrest rettigheder. Dette sikrer, at funktionsmoduler som f.eks. RFC_READ_TABLE kun bruges efter behov. Overvej SAP's bedste praksis for RFC-adgang og INDSTILLINGER for SAP Unified Connectivity (UCON) til at styre adgang til funktionsmoduler ud over kontrolelementerne i SAP Cloud Connector og SAP-rollen.

  1. Tilføj en ny destination i SAP BTP, der peger på den virtuelle vært, du tidligere har oprettet. Brug følgende oplysninger til at udfylde den nye destination:

    • Navn: Angiv det navn, du vil bruge til den Microsoft Sentinel forbindelse

    • TypeRFC

    • Proxytype:On-Premise

    • Bruger: Angiv den ABAP-brugerkonto, du oprettede tidligere til Microsoft Sentinel

    • Godkendelsestype:CONFIGURED USER

    • Yderligere egenskaber:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Placering: Kræves kun, når du forbinder flere Cloud Connectors til den samme BTP-underkonto. Du kan få flere oplysninger i SAP-dokumentationen.

Næste trin

Forbind dit SAP-system med Microsoft Sentinel

  • Last updated on