Bereitstellen der Microsoft Sentinel-Lösung für SAP BTP

In diesem Artikel wird beschrieben, wie Sie die Microsoft Sentinel-Lösung für sap Business Technology Platform (BTP)-System bereitstellen. Die Microsoft Sentinel Lösung für SAP BTP überwacht und schützt Ihr SAP BTP-System. Es sammelt Überwachungsprotokolle und Aktivitätsprotokolle aus der BTP-Infrastruktur und BTP-basierten Apps und erkennt dann Bedrohungen, verdächtige Aktivitäten, unzulässige Aktivitäten und vieles mehr. Erfahren Sie mehr über die Lösung.

Wichtig

Eine architektonische Verschiebung im Datenconnector v3.0.11, um verzögerte SAP BTP-Protokolle zu erfüllen, erfordert ein erneutes Onboarding von SAP-Unterkonten, die vor dieser Änderung hinzugefügt wurden. Weitere Informationen finden Sie in den Versionshinweisen . Betrachten Sie die Massen-Onboarding-Tools aus Gründen der Einfachheit.

Voraussetzungen

Bevor Sie beginnen, überprüfen Sie Folgendes:

  • Die Microsoft Sentinel Lösung ist aktiviert.
  • Sie verfügen über eine definierte Microsoft Sentinel Arbeitsbereich, und Sie verfügen über Lese- und Schreibberechtigungen für den Arbeitsbereich.
  • Ihr organization verwendet SAP BTP (in einer Cloud Foundry-Umgebung), um Interaktionen mit SAP-Anwendungen und anderen Geschäftsanwendungen zu optimieren.
  • Sie verfügen über ein SAP BTP-Unterkonto (das BTP-Unterkonten in der Cloud Foundry-Umgebung unterstützt). Sie können auch ein SAP BTP-Testkonto verwenden.
  • Sie verfügen über den SAP BTP Auditlog-Management-Dienst und den Dienstschlüssel (siehe Einrichten des BTP-Unterkontos und der BTP-Lösung).
  • Sie verfügen über die Rolle Microsoft Sentinel Mitwirkender für den Zielarbeitsbereich Microsoft Sentinel.

Einrichten des BTP-Unterkontos und der Lösung

Führen Sie die folgenden Schritte aus, um das BTP-Unterkonto und die Lösung manuell über das SAP BTP-Cockpit und Azure-Portal einzurichten:

  1. Nachdem Sie sich bei Ihrem BTP-Unterkonto anmelden können (siehe Voraussetzungen), führen Sie die Schritte zum Abrufen des Überwachungsprotokolls auf dem SAP BTP-System aus.

  2. Wählen Sie im SAP BTP-Cockpit den Überwachungsprotokollverwaltungsdienst aus.

    Screenshot: Auswählen des BTP-Überwachungsprotokollverwaltungsdiensts

  3. Erstellen Sie eine instance des Überwachungsprotokollverwaltungsdiensts im BTP-Unterkonto.

    Screenshot: Erstellen eines instance des BTP-Unterkontos

  4. Erstellen Sie einen Dienstschlüssel, und notieren Sie die Werte für url, uaa.clientid, uaa.clientsecretund uaa.url. Diese Werte sind erforderlich, um den Datenconnector bereitzustellen.

    Im Folgenden finden Sie Beispiele für diese Feldwerte:

    • url: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Melden Sie sich beim Azure-Portal an.

  6. Wechseln Sie zum Microsoft Sentinel-Dienst.

  7. Wählen Sie Inhaltshub aus, und suchen Sie in der Suchleiste nach BTP.

  8. Wählen Sie SAP BTP aus.

  9. Wählen Sie Installieren aus.

    Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von sofort einsatzbereiten Inhalten.

  10. Wählen Sie Erstellen aus.

    Screenshot: Erstellen der Microsoft Sentinel-Lösung für SAP BTP

  11. Wählen Sie die Ressourcengruppe und den Microsoft Sentinel Arbeitsbereich aus, in dem die Lösung bereitgestellt werden soll.

  12. Wählen Sie Weiter aus, bis Sie die Überprüfung bestanden haben, und wählen Sie dann Erstellen aus.

  13. Kehren Sie nach Abschluss der Lösungsbereitstellung zu Ihrem Microsoft Sentinel Arbeitsbereich zurück, und wählen Sie Datenconnectors aus.

  14. Geben Sie in der Suchleiste BTP ein, und wählen Sie dann SAP BTP aus.

  15. Connector-Seite öffnen auswählen.

  16. Stellen Sie auf der Connectorseite sicher, dass die aufgeführten Voraussetzungen erfüllt sind, und führen Sie die Konfigurationsschritte aus. Wenn Sie bereit sind, wählen Sie Konto hinzufügen aus.

  17. Geben Sie die Parameter an, die Sie zuvor während der Konfiguration definiert haben. Der angegebene Unterkontoname wird als Spalte in der SAPBTPAuditLog_CL Tabelle projiziert und kann verwendet werden, um die Protokolle zu filtern, wenn Sie über mehrere Unterkonten verfügen.

    Berücksichtigen Sie bei Bedarf die erweiterten Optionen:

    • Abrufhäufigkeit: Die Häufigkeit, mit der der Connector neue Daten abruft. Der Standardwert ist 1 Minute.
    • Protokollerfassungsverzögerung: Die geschätzte Verzögerung zwischen dem Zeitpunkt, zu dem das Ereignis in SAP BTP generiert wird, und der Zeit, zu der es im SAP BTP-Überwachungsprotokolldienst für die Erfassung in Microsoft Sentinel verfügbar ist. Der Standardwert lautet 20 Minuten.

    Hinweis

    Beim Abrufen von Überwachungen für das globale Konto werden nicht automatisch Überwachungen für das Unterkonto abgerufen. Führen Sie die Konfigurationsschritte für den Connector für die einzelnen Unterkonten aus, die Sie überwachen möchten, und führen Sie auch die folgenden Schritte für das globale Konto aus. Überprüfen Sie diese Überlegungen zur Kontoüberwachungskonfiguration.

  18. Stellen Sie sicher, dass BTP-Protokolle in den Microsoft Sentinel Arbeitsbereich fließen:

    1. Melden Sie sich bei Ihrem BTP-Unterkonto an, und führen Sie einige Aktivitäten aus, die Protokolle generieren, z. B. Anmeldungen, Hinzufügen von Benutzern, Ändern von Berechtigungen und Ändern von Einstellungen.
    2. Warten Sie 20 bis 30 Minuten, bis die Protokolle fließen.
    3. Vergewissern Sie sich auf der Seite SAP BTP-Connector, dass Microsoft Sentinel die BTP-Daten empfängt, oder fragen Sie die SAPBTPAuditLog_CL Tabelle direkt ab.

  19. Aktivieren Sie die Arbeitsmappe und die Analyseregeln , die als Teil der Lösung bereitgestellt werden, indem Sie diese Richtlinien befolgen.

Hinweis

Um SAP BTP-Unterkonten im großen Stil zu integrieren, werden API- und CLI-basierte Ansätze empfohlen. Erste Schritte mit dieser Skriptbibliothek.

Berücksichtigen Ihrer Kontoüberwachungskonfigurationen

Der letzte Schritt im Bereitstellungsprozess besteht darin, die Überwachungskonfigurationen Ihres globalen Kontos und Unterkontos zu berücksichtigen.

Konfiguration der globalen Kontoüberwachung

Wenn Sie den Abruf von Überwachungsprotokollen im BTP-Cockpit für das globale Konto aktivieren: Wenn sich das Unterkonto, für das Sie den Überwachungsprotokollverwaltungsdienst berechtigen möchten, unter einem Verzeichnis befindet, müssen Sie den Dienst zuerst auf Verzeichnisebene berechtigen. Nur dann können Sie den Dienst auf Der Ebene des Unterkontos berechtigen.

Unterkontoüberwachungskonfiguration

Um die Überwachung für ein Unterkonto zu aktivieren, führen Sie die Schritte in der Dokumentation zur Überwachungsabruf-API für SAP-Unterkonten aus.

In der API-Dokumentation wird beschrieben, wie Sie den Überwachungsprotokollabruf mithilfe der Cloud Foundry CLI aktivieren.

Sie können die Protokolle auch über die Benutzeroberfläche abrufen:

  1. Erstellen Sie in Ihrem Unterkonto im SAP Service Marketplace eine instance des Überwachungsprotokollverwaltungsdiensts.
  2. Erstellen Sie im neuen instance einen Dienstschlüssel.
  3. Zeigen Sie den Dienstschlüssel an, und rufen Sie die erforderlichen Parameter aus Schritt 4 der Konfigurationsanweisungen auf der Datenconnector-Benutzeroberfläche ab (url, uaa.url, uaa.clientid und uaa.clientsecret).

Mass-Onboard SAP BTP-Unterkonten im großen Stil

Um SAP BTP-Unterkonten im großen Stil zu integrieren, werden API- und CLI-basierte Ansätze empfohlen. Erste Schritte mit dieser Skriptbibliothek.

Rotieren des geheimen BTP-Clientschlüssels

Es wird empfohlen, die geheimen Clientschlüssel des BTP-Unterkontos regelmäßig zu rotieren. Einen automatisierten, plattformbasierten Ansatz finden Sie in unserer automatischen Erneuerung des SAP BTP-Vertrauensspeicherzertifikats mit Azure Key Vault – oder wie Sie ein für alle Mal nicht mehr über Ablaufdatum nachdenken (SAP-Blog).

Diese Skriptbibliothek veranschaulicht den automatischen Prozess zum Aktualisieren eines vorhandenen Datenconnectors mit einem neuen Geheimnis.

Verwandte Inhalte

  • Last updated on