Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In diesem Artikel wird beschrieben, wie Sie Ihre SAP-Umgebung für die Verbindung mit dem SAP-Datenconnector vorbereiten. Die Vorbereitung unterscheidet sich, je nachdem, ob Sie den Containerdatenconnector-Agent verwenden. Wählen Sie die Option oben auf der Seite aus, die Ihrer Umgebung entspricht.

Dieser Artikel ist Teil des zweiten Schritts bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.

Wichtig

Der Datenconnector-Agent für SAP ist veraltet und wird bis zum 14. September 2026 dauerhaft deaktiviert. Es wird empfohlen, zum Datenconnector ohne Agent zu migrieren. Erfahren Sie mehr über den Agentless-Ansatz in unserem Blogbeitrag.

Diagramm des Bereitstellungsablaufs für die Microsoft Sentinel Lösung für SAP-Anwendungen, wobei der Sap-Vorbereitungsschritt hervorgehoben ist.

Die Verfahren in diesem Artikel werden in der Regel von Ihrem SAP BASIS-Team ausgeführt.

Dieser Artikel ist Teil des zweiten Schritts bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen. Während schritte, die in Microsoft Sentinel erfordern, dass die Lösung zuerst installiert wird, können andere Vorbereitungen in der SAP-Umgebung parallel erfolgen.

Diagramm des Bereitstellungsablaufs für die Microsoft Sentinel Lösung für SAP-Anwendungen, wobei der Sap-Vorbereitungsschritt hervorgehoben ist.

Viele der Verfahren in diesem Artikel werden in der Regel von Ihrem SAP BASIS-Team ausgeführt. Einige Schritte umfassen auch Ihr Sicherheitsteam .

Voraussetzungen

Konfigurieren der rolle "Microsoft Sentinel"

Damit der SAP-Datenconnector eine Verbindung mit Ihrem SAP-System herstellen kann, müssen Sie eine SAP-Systemrolle speziell für diesen Zweck erstellen.

Es wird empfohlen, diese Rolle zu erstellen, indem Sie die NPLK900271 SAP Change Request (CR) bereitstellen: K900271.NPL | R900271.NPL

Stellen Sie die CRs nach Bedarf auf Ihrem SAP-System bereit, genau wie Sie andere CRs bereitstellen würden. Es wird dringend empfohlen, die Bereitstellung von SAP-CRs von einem erfahrenen SAP-Systemadministrator zu erledigen. Weitere Informationen finden Sie in der SAP-Dokumentation.

Laden Sie alternativ die Rollenautorisierungen aus der MSFTSEN_SENTINEL_CONNECTOR-Datei , die alle grundlegenden Berechtigungen für den Datenconnector enthält.

Erfahrene SAP-Administratoren können die Rolle manuell erstellen und ihr die entsprechenden Berechtigungen zuweisen. Erstellen Sie in solchen Fällen manuell eine Rolle mit den relevanten Autorisierungen, die für die Protokolle erforderlich sind, die Sie erfassen möchten. Weitere Informationen finden Sie unter Erforderliche ABAP-Autorisierungen. Beispiele in unserer Dokumentation verwenden den Namen /MSFTSEN/SENTINEL_RESPONDER .

Beim Konfigurieren der Rolle wird Folgendes empfohlen:

  • Generieren Sie ein aktives Rollenprofil für Microsoft Sentinel, indem Sie die PFCG-Transaktion ausführen.
  • Verwenden Sie /MSFTSEN/SENTINEL_RESPONDER als Rollenname.

Erstellen Sie eine Rolle mithilfe der vorlage MSFTSEN_SENTINEL_READER , die alle grundlegenden Berechtigungen für den Betrieb des Datenconnectors enthält.

Weitere Informationen finden Sie in der SAP-Dokumentation zum Erstellen von Rollen.

Erstellen eines Benutzers

Die Microsoft Sentinel Lösung für SAP-Anwendungen erfordert ein Benutzerkonto, um eine Verbindung mit Ihrem SAP-System herzustellen. Wenn Sie Ihren Benutzer erstellen:

  • Stellen Sie sicher, dass Sie einen Systembenutzer erstellen.
  • Weisen Sie dem Benutzer die Rolle /MSFTSEN/SENTINEL_RESPONDER zu, die Sie im vorherigen Schritt erstellt haben.
  • Stellen Sie sicher, dass Sie einen Systembenutzer erstellen.
  • Weisen Sie dem Benutzer die Rolle MSFTSEN_SENTINEL_READER zu, die Sie im vorherigen Schritt erstellt haben.

Weitere Informationen finden Sie in der SAP-Dokumentation.

Konfigurieren der SAP-Überwachung

Bei einigen Installationen von SAP-Systemen ist die Überwachungsprotokollierung möglicherweise nicht standardmäßig aktiviert. Um optimale Ergebnisse bei der Bewertung der Leistung und Wirksamkeit der Microsoft Sentinel Lösung für SAP-Anwendungen zu erzielen, aktivieren Sie die Überwachung Ihres SAP-Systems, und konfigurieren Sie die Überwachungsparameter.

Es wird empfohlen, die Überwachung für alle Nachrichten aus dem Überwachungsprotokoll anstatt nur für bestimmte Protokolle zu konfigurieren. Die Unterschiede bei den Erfassungskosten sind in der Regel minimal, und die Daten sind nützlich für Microsoft Sentinel Erkennungen und bei Untersuchungen nach der Kompromittierung und Der Suche.

Tipp

Wenn Sie SAP HANA DB-Protokolle erfassen möchten, müssen Sie auch die Überwachung für SAP HANA DB aktivieren. Weitere Informationen finden Sie unter Sammeln von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel

Tipp

Für SAP-Systeme, die von SAP RISE/ECS verwaltet werden, ist die Aktivierung des Sicherheitsüberwachungsprotokolls Teil der Vereinbarung zur gemeinsamen Verantwortung. Überprüfen Sie mit Ihrem SAP-Kontakt, ob die Überwachung bereits standardmäßig aktiv ist oder ob zusätzliche Schritte ausgeführt werden müssen. Auf systemen der öffentlichen Edition von SAP S/4HANA Cloud ist die Überwachung standardmäßig aktiviert.

Für eine vollständige Überwachungsabdeckung mit dem Datenconnector ohne Agent empfiehlt es sich, die Überwachung auf allen Client-IDs Ihrer überwachten SAP-Systeme zu aktivieren, einschließlich der Clients 000 und 066.

Weitere Informationen finden Sie im SAP-Artikel.

Konfigurieren Ihres Systems für die Verwendung von SNC für sichere Verbindungen

Standardmäßig stellt der SAP-Datenconnector-Agent über eine RFC-Verbindung (Remote Function Call) und einen Benutzernamen und ein Kennwort für die Authentifizierung eine Verbindung mit einem SAP-Server her.

Möglicherweise müssen Sie die Verbindung jedoch über einen verschlüsselten Kanal herstellen oder Clientzertifikate für die Authentifizierung verwenden. Verwenden Sie in diesen Fällen Smart Network Communications (SNC) von SAP, um Ihre Datenverbindungen zu schützen, wie in diesem Abschnitt beschrieben.

In einer Produktionsumgebung wird dringend empfohlen, sich an SAP-Administratoren zu wenden, um einen Bereitstellungsplan für die Konfiguration von SNC zu erstellen. Weitere Informationen finden Sie in der SAP-Dokumentation.

Beim Konfigurieren von SNC:

  • Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, übertragen Sie die ausstellende Zertifizierungsstelle und die Zertifikate der Stammzertifizierungsstelle an das System, in dem Sie den Datenconnector-Agent erstellen möchten.
  • Wenn Sie den Datenconnector-Agent verwenden, stellen Sie sicher, dass Sie auch die relevanten Werte eingeben und die relevanten Verfahren beim Konfigurieren des CONTAINERS für den SAP-Datenconnector-Agent verwenden. Wenn Sie den Datenconnector ohne Agent verwenden, erfolgt die SNC-Konfiguration im SAP Cloud Connector.

Weitere Informationen zu SNC finden Sie unter Erste Schritte mit SAP SNC für RFC-Integrationen – SAP-Blog.

Dieser Schritt ist zwar optional, es wird jedoch empfohlen, den SAP-Datenconnector zu aktivieren, um die folgenden Inhaltsinformationen aus Ihrem SAP-System abzurufen:

  • Datenbanktabelle und Spoolausgabeprotokolle
  • Client-IP-Adressinformationen aus den Sicherheitsüberwachungsprotokollen

  1. Stellen Sie die relevanten CRs aus dem Microsoft Sentinel GitHub-Repository gemäß Ihrer SAP-Version bereit:

    SAP BASIS-Versionen Empfohlene CR
    750 und höher NPLK900202: K900202.NPL, R900202.NPL

    Wenn Sie diese CR in einer der folgenden SAP-Versionen bereitstellen, stellen Sie auch 2641084 – Standardisierten Lesezugriff auf Daten des Sicherheitsüberwachungsprotokolls bereit:
    – 750 SP04 bis SP12
    – 751 SP00 bis SP06
    – 752 SP00 bis SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Stellen Sie die CRs nach Bedarf auf Ihrem SAP-System bereit, genau wie Sie andere CRs bereitstellen würden. Es wird dringend empfohlen, die Bereitstellung von SAP-CRs von einem erfahrenen SAP-Systemadministrator zu erledigen. Weitere Informationen finden Sie in der SAP-Dokumentation.

    Weitere Informationen finden Sie in der SAP-Community und in der SAP-Dokumentation.

  2. Um die SAP BASIS-Versionen 7.31-7.5 SP12 beim Senden von Client-IP-Adressinformationen an Microsoft Sentinel zu unterstützen, aktivieren Sie die Protokollierung für die SAP-Tabelle USR41. Weitere Informationen finden Sie in der SAP-Dokumentation.

Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird

Die SAP PAHI-Tabelle enthält Daten zum Verlauf des SAP-Systems, der Datenbank und sap-Parametern. In einigen Fällen kann die Microsoft Sentinel-Lösung für SAP-Anwendungen die SAP PAHI-Tabelle aufgrund fehlender oder fehlerhafter Konfiguration nicht in regelmäßigen Abständen überwachen. Es ist wichtig, die PAHI-Tabelle zu aktualisieren und häufig zu überwachen, damit die Microsoft Sentinel Lösung für SAP-Anwendungen warnungen kann, wenn verdächtige Aktionen während des Tages auftreten können. Weitere Informationen finden Sie unter:

Wenn die PAHI-Tabelle regelmäßig aktualisiert wird, wird der SAP_COLLECTOR_FOR_PERFMONITOR Auftrag geplant und wird stündlich ausgeführt. Wenn der SAP_COLLECTOR_FOR_PERFMONITOR Auftrag nicht vorhanden ist, stellen Sie sicher, dass Sie ihn nach Bedarf konfigurieren.

Weitere Informationen finden Sie unter Datenbanksammler in der Hintergrundverarbeitung und Konfigurieren des Datensammlers.

Konfigurieren von SAP BTP-Einstellungen

  1. Fügen Sie in Ihrem SAP BTP-Unterkonto Berechtigungen für die folgenden Dienste hinzu:

    • SAP Integration Suite
    • SAP Process Integration Runtime
    • Cloud Foundry Runtime

Hinweis

Diese Lösung berücksichtigt nur die SAP-Cloudintegration in der Cloud Foundry-Umgebung.

  1. Erstellen Sie eine instance von Cloud Foundry Runtime, und erstellen Sie dann auch einen Cloud Foundry-Bereich.

  2. Erstellen Sie eine instance der SAP Integration Suite.

  3. Weisen Sie ihrem SAP BTP-Unterkonto die Rolle SAP BTP Integration_Provisioner zu.

  4. Fügen Sie in der SAP Integration Suite die Cloudintegrationsfunktion hinzu.

  5. Weisen Sie Ihrem Benutzerkonto die folgenden Prozessintegrationsrollen zu:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Diese Rollen sind erst verfügbar, nachdem Sie die Cloudintegrationsfunktion aktiviert haben.

  6. Erstellen Sie eine instance der SAP-Prozess-Integration Runtime in Ihrem Unterkonto mithilfe des Dienstplanintegrationsflows (nicht api!).

  7. Erstellen Sie einen Dienstschlüssel für die SAP-Prozess-Integration Runtime, und speichern Sie den JSON-Inhalt an einem sicheren Speicherort. Sie müssen die Cloudintegrationsfunktion aktivieren, bevor Sie einen Dienstschlüssel für SAP Process Integration Runtime erstellen.

Weitere Informationen finden Sie in der SAP-Dokumentation.

Konfigurieren des Connectors in Microsoft Sentinel und in Ihrem SAP-System

Dieses Verfahren umfasst Schritte sowohl in Microsoft Sentinel als auch in Ihrem SAP-System und erfordert eine Koordination mit dem SAP-Administrator.

  1. Navigieren Sie Microsoft Sentinel zur Seite Konfigurationsdatenconnectors>, und suchen Sie die Microsoft Sentinel für SAP – Datenconnector ohne Agent.

  2. Erweitern Sie im Abschnitt Konfiguration , und befolgen Sie die Anweisungen im Abschnitt Anfängliche Connectorkonfiguration – Führen Sie die folgenden Schritte einmal aus: aus. Diese Schritte erfordern sowohl Ihren SecuritySOC-Techniker als auch den SAP-Administrator.

    1. Auslösen der automatischen Bereitstellung von Azure-Ressourcen (SOC Engineer). Wenn nach der Bereitstellung der Azure Ressourcen die Werte in den Schritten 2 und 3 nicht automatisch aufgefüllt werden, schließen Sie Schritt 1, und erweitern Sie sie erneut, um die Werte in Den Schritten 2 und 3 zu aktualisieren.

    2. Bereitstellen eines OAuth2-Clientanmeldeinformationsartefakts in der SAP-Integration (SAP Admin).

    3. Stellen Sie das Sap Agentless-Datenconnectorpaket in der SAP Integration Suite (SAP Admin) bereit. Dieses Verfahren wird über das SAP Integration Suite-Portal (SAP Cloud Integration Web UI) ausgeführt.

      1. Öffnen Sie den Abschnitt Entdecken .
      2. Suchen Sie nach Microsoft Sentinel Projektmappe, und öffnen Sie sie.
      3. Klicken Sie auf Kopieren , um das Integrationspaket in Ihren Cloudintegrationsmandanten zu importieren.
      4. Öffnen Sie das Paket, und wechseln Sie zur Registerkarte Artefakte . Wählen Sie dann die Datensammlerkonfiguration aus. Weitere Informationen finden Sie in der SAP-Dokumentation.
      5. Konfigurieren Sie den Integrationsflow mit LogIngestionURL und DCRImmutableID.
      6. Stellen Sie den iflow mithilfe von SAP Cloud Integration als Laufzeitdienst bereit.

Konfigurieren von SAP Cloud Connector-Einstellungen

  1. Installieren Sie den SAP Cloud Connector. Weitere Informationen finden Sie in der SAP-Dokumentation.

  2. Melden Sie sich an der Benutzeroberfläche des Cloudconnectors an, und fügen Sie das Unterkonto mit den entsprechenden Anmeldeinformationen hinzu. Weitere Informationen finden Sie in der SAP-Dokumentation.

  3. Fügen Sie in Ihrem Cloudconnector-Unterkonto dem Back-End-System eine neue Systemzuordnung hinzu, um das ABAP-System dem RFC-Protokoll zuzuordnen.

  4. Definieren Sie Optionen für den Lastenausgleich, und geben Sie Details ihres Back-End-ABAP-Servers ein. Kopieren Sie in diesem Schritt den Namen des virtuellen Hosts an einen sicheren Speicherort, um sie später im Bereitstellungsprozess zu verwenden.

  5. Fügen Sie der Systemzuordnung für jeden der folgenden Funktionsnamen neue Ressourcen hinzu:

    • RSAU_API_GET_LOG_DATA, um SAP-Sicherheitsüberwachungsprotokolldaten abzurufen

    • BAPI_USER_GET_DETAIL, um SAP-Benutzerdetails abzurufen

    • RFC_READ_TABLE, um Daten aus erforderlichen Tabellen zu lesen

    • SIAG_ROLE_GET_AUTH, um Autorisierungen von Sicherheitsrollen abzurufen

    • /OSP/SYSTEM_TIMEZONE, um Details zur SAP-Systemzeitzone abzurufen

Hinweis

Die bereitgestellte Rolle ist für den Zugriff mit den geringsten Rechten konfiguriert. Dadurch wird sichergestellt, dass Funktionsmodule wie RFC_READ_TABLE nur bei Bedarf verwendet werden. Berücksichtigen Sie die bewährten Methoden von SAP für RFC-Zugriff und SAP Unified Connectivity (UCON), um den Zugriff auf Funktionsmodule über die Steuerung von SAP Cloud Connector und der SAP-Rolle hinaus zu steuern.

  1. Fügen Sie in SAP BTP ein neues Ziel hinzu, das auf den virtuellen Host verweist, den Sie zuvor erstellt haben. Verwenden Sie die folgenden Details, um das neue Ziel aufzufüllen:

    • Namen: Geben Sie den Namen ein, den Sie für die Microsoft Sentinel-Verbindung verwenden möchten.

    • TypRFC

    • Proxytyp:On-Premise

    • Benutzer: Geben Sie das zuvor erstellte ABAP-Benutzerkonto für Microsoft Sentinel

    • Autorisierungstyp:CONFIGURED USER

    • Zusätzliche Eigenschaften:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Standort: Nur erforderlich, wenn Sie mehrere Cloudconnectors mit demselben BTP-Unterkonto verbinden. Weitere Informationen finden Sie in der SAP-Dokumentation.

Ausführen der Voraussetzungsprüfung

  1. Die Voraussetzungsprüfung iflow ist im Paket enthalten. Konfigurieren und bereitstellen Sie diesen iflow, bevor Sie mit dem nächsten Schritt fortfahren, damit Ihr SAP-System die Systemvoraussetzungen vor der Integration in Microsoft Sentinel erfüllt. Nach der Bereitstellung wird der iflow nach einem Zeitplan in der SAP-Cloudintegration ausgeführt. Überprüfen Sie die letzte Ausführung status, um den Erfolg zu bestätigen.

    So konfigurieren und stellen Sie das Tool bereit:

    1. Öffnen Sie das Integrationspaket, navigieren Sie zur Registerkarte Artefakte , und wählen Sie die Voraussetzungsprüfung iflow >Konfigurieren aus.
    2. Legen Sie den Zielnamen für den Remotefunktionsaufruf (RFC) auf das SAP-System fest, das Sie überprüfen möchten. Beispiel: A4H-100-Sentinel-RFC.
    3. Stellen Sie den iflow wie sonst für Ihre SAP-Systeme bereit.
    4. Um optimale Ergebnisse zu erzielen, führen Sie die Überprüfung 24 Stunden lang mit einer Häufigkeit von 1 Minuten aus, um Anomalien wie nicht autorisierte Batchaufträge über Nacht oder unbekannte Nutzungsspitzen abzufangen.

    So überprüfen Sie die überprüfungs-status:

    1. Öffnen Sie in SAP Cloud Integration die OptionMonitorintegrationen>, und suchen Sie die Ausführungen der Voraussetzungsprüfung iflow gemäß Ihrem Überwachungszeitraum (z. B. 24h). Vergewissern Sie sich, dass die Ausführung mit status Abgeschlossen (HTTP 200) abgeschlossen wurde und dass die Antwortnutzlast keine Warnungen oder Fehler enthält. Der Scheduler erzeugt möglicherweise Nachrichten mit dem Status "Verworfen" aufgrund der internen Funktionsweise von SAP Cloud Integration. Diese Nachrichten können ignoriert werden und enthalten Text wie "Die Nachrichtenverarbeitung wurde verworfen, da das auslösende Timerereignis bereits von einem anderen Prozess verarbeitet wurde.".
    2. Überprüfen Sie die Anlagen und Eigenschaften des Nachrichtenverarbeitungsprotokolls (Message Processing Log, MPL) auf die Ergebnisse pro Überprüfung. Öffnen Sie die Datei, die an den MPL-Eintrag angefügt ist.

    Screenshot des Platzhalters der iflow-Ausführung der Voraussetzungsprüfung status im SAP Cloud Integration Monitor.

    Verwenden Sie die folgende Tabelle, um die Ergebnisse zu interpretieren:

    Status Bedeutung Nächster Schritt
    Abgeschlossen, keine Warnungen Alle Voraussetzungen sind erfüllt. Verbinden Sie Ihr SAP-System mit Microsoft Sentinel.
    Abgeschlossen, mit Warnungen Die Voraussetzungen sind teilweise erfüllt. Überprüfen Sie die Antwortdetails, und korrigieren Sie sie, bevor Sie eine Verbindung herstellen.
    Fehler oder nicht 200 status Die Überprüfung konnte das SAP-Zielsystem nicht erreichen oder hat einen Konfigurationsfehler ausgelöst. Überprüfen Sie das RFC-Ziel und die Anmeldeinformationen, stellen Sie dann den iflow erneut bereit, und führen Sie ihn erneut aus.

    Wenn noch Ergebnisse vorliegen, lesen Sie die Antwortdetails, um anleitungen zu den Korrekturschritten zu erhalten. Ältere SAP-Systeme erfordern häufig zusätzliche SAP-Hinweise. Weitere Informationen zu häufigen Problemen und Lösungen finden Sie im Abschnitt zur Problembehandlung .

    Nach Abschluss:

    Heben Sie die Bereitstellung der geplanten Voraussetzungsprüfung iflow auf, nachdem die SAP-Systemüberprüfung erfolgreich abgeschlossen wurde. Wiederholen Sie diese Sequenz für jedes neue SAP-System, das integriert werden soll.

  2. Scrollen Sie im Sentinel Portal im Bereich Konfiguration weiter nach unten, erweitern Und befolgen Sie die Anweisungen im Bereich Überwachte SAP-Systeme hinzufügen – Führen Sie die folgenden Schritte für jedes überwachte SAP-System aus: für jedes SAP-System aus, das Sie überwachen möchten.

    Wenn Sie zu Schritt 2 gelangen. Verbinden Sie sap System mit Microsoft Sentinel/ SOC Engineer, und fahren Sie mit Verbinden Ihres SAP-Systems mit Microsoft Sentinel fort.

Nächster Schritt

Verbinden Ihres SAP-Systems mit Microsoft Sentinel

  • Last updated on