Implementación de la solución Microsoft Sentinel para SAP BTP

En este artículo se describe cómo implementar la solución de Microsoft Sentinel para el sistema SAP Business Technology Platform (BTP). La solución Microsoft Sentinel para los monitores BTP de SAP y protege el sistema SAP BTP. Recopila registros de auditoría y registros de actividad de la infraestructura de BTP y las aplicaciones basadas en BTP y, a continuación, detecta amenazas, actividades sospechosas, actividades ilegítimas y mucho más. Obtenga más información sobre la solución.

Importante

Un cambio de arquitectura en el conector de datos v3.0.11 para satisfacer los registros BTP de SAP retrasados requiere volver a incorporar las subcuentas de SAP agregadas antes de ese cambio. Consulte las notas de la versión para obtener más detalles. Tenga en cuenta las herramientas de incorporación masiva para mayor comodidad.

Requisitos previos

Antes de empezar, compruebe que:

  • La solución Microsoft Sentinel está habilitada.
  • Tiene un área de trabajo Microsoft Sentinel definida y tiene permisos de lectura y escritura en el área de trabajo.
  • Su organización usa SAP BTP (en un entorno de Cloud Foundry) para simplificar las interacciones con las aplicaciones de SAP y otras aplicaciones empresariales.
  • Tiene una subcuenta BTP de SAP (que admite subcuentas BTP en el entorno de Cloud Foundry). También puede usar una cuenta de prueba de SAP BTP.
  • Tiene el servicio de auditoría y la clave de servicio de sap BTP auditlog-management (consulte Configuración de la subcuenta Y la solución de BTP).
  • Tiene el rol colaborador de Microsoft Sentinel en el área de trabajo de Microsoft Sentinel de destino.

Configuración de la subcuenta BTP y la solución

Para configurar la subcuenta BTP y la solución manualmente desde la cabina y el Azure Portal de SAP BTP, siga estos pasos:

  1. Después de iniciar sesión en la subcuenta BTP (consulte los requisitos previos), siga los pasos de recuperación del registro de auditoría en el sistema SAP BTP.

  2. En el cockpit de SAP BTP, seleccione auditar el servicio de administración de registros.

    Captura de pantalla que muestra la selección del servicio de administración de registros de auditoría de BTP.

  3. Cree una instancia del servicio de administración de registros de auditoría en la subcuenta BTP.

    Captura de pantalla que muestra cómo crear una instancia de la subcuenta BTP.

  4. Cree una clave de servicio y registre los valores de url, uaa.clientid, uaa.clientsecrety uaa.url. Estos valores son necesarios para implementar el conector de datos.

    Estos son ejemplos de estos valores de campo:

    • url: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Inicie sesión en el portal de Azure.

  6. Vaya al servicio Microsoft Sentinel.

  7. Seleccione Centro de contenido y, en la barra de búsqueda, busque BTP.

  8. Seleccione SAP BTP.

  9. Seleccione Instalar.

    Para obtener más información sobre cómo administrar los componentes de la solución, consulte Detección e implementación de contenido integrado.

  10. Seleccione Crear.

    Captura de pantalla que muestra cómo crear la solución Microsoft Sentinel para SAP BTP.

  11. Seleccione el grupo de recursos y el área de trabajo Microsoft Sentinel en la que se va a implementar la solución.

  12. Seleccione Siguiente hasta que pase la validación y, a continuación, seleccione Crear.

  13. Cuando finalice la implementación de la solución, vuelva al área de trabajo de Microsoft Sentinel y seleccione Conectores de datos.

  14. En la barra de búsqueda, escriba BTP y, a continuación, seleccione SAP BTP.

  15. Seleccione Abrir la página del conector.

  16. En la página del conector, asegúrese de que cumple los requisitos previos necesarios enumerados y complete los pasos de configuración. Cuando esté listo, seleccione Agregar cuenta.

  17. Especifique los parámetros que definió anteriormente durante la configuración. El nombre de subcuenta especificado se proyecta como una columna de la SAPBTPAuditLog_CL tabla y se puede usar para filtrar los registros cuando tiene varias subcuentas.

    Tenga en cuenta las opciones avanzadas, si es necesario:

    • Frecuencia de sondeo: frecuencia con la que el conector sondea nuevos datos. El valor predeterminado es 1 minuto.
    • Retraso de ingesta de registros: retraso estimado entre el momento en que se genera el evento en SAP BTP y el tiempo que está disponible en el servicio de registro de auditoría de SAP BTP para la ingesta en Microsoft Sentinel. El valor predeterminado es 20 minutos.

    Nota:

    La recuperación de auditorías para la cuenta global no recupera automáticamente las auditorías de la subcuenta. Siga los pasos de configuración del conector para cada una de las subcuentas que desea supervisar y siga también estos pasos para la cuenta global. Revise estas consideraciones de configuración de auditoría de cuentas.

  18. Asegúrese de que los registros BTP fluyen al área de trabajo de Microsoft Sentinel:

    1. Inicie sesión en la subcuenta BTP y ejecute algunas actividades que generen registros, como inicios de sesión, adición de usuarios, cambio de permisos y cambio de configuración.
    2. Espere de 20 a 30 minutos para que los registros empiecen a fluir.
    3. En la página del conector BTP de SAP, confirme que Microsoft Sentinel recibe los datos BTP o consulte directamente la tabla SAPBTPAuditLog_CL.

  19. Siga estas instrucciones para habilitar el libro y las reglas de análisis que se proporcionan como parte de la solución.

Nota:

Para incorporar subcuentas de SAP BTP a escala, se recomiendan los enfoques basados en la API y la CLI. Introducción a esta biblioteca de scripts.

Consideración de las configuraciones de auditoría de cuentas

El último paso del proceso de implementación es tener en cuenta las configuraciones de auditoría de cuentas globales y subcuentas.

Configuración global de auditoría de cuentas

Al habilitar la recuperación del registro de auditoría en la cabina de BTP para la cuenta global: si la subcuenta para la que desea dar derecho al servicio auditar la administración de registros está en un directorio, primero debe dar derecho al servicio en el nivel de directorio. Solo entonces puede dar derecho al servicio en el nivel de subcuenta.

Configuración de auditoría de subcuentas

Para habilitar la auditoría de una subcuenta, complete los pasos de la documentación de la API de recuperación de auditoría de subcuentas de SAP.

En la documentación de la API se describe cómo habilitar la recuperación del registro de auditoría mediante la CLI de Cloud Foundry.

También puede recuperar los registros a través de la interfaz de usuario:

  1. En la subcuenta de SAP Service Marketplace, cree una instancia de Audit Log Management Service.
  2. En la nueva instancia, cree una clave de servicio.
  3. Vea la clave de servicio y recupere los parámetros necesarios del paso 4 de las instrucciones de configuración en la interfaz de usuario del conector de datos (url, uaa.url, uaa.clientid y uaa.clientsecret).

Mass-Onboard subcuentas BTP de SAP a escala

Para incorporar subcuentas de SAP BTP a escala, se recomiendan los enfoques basados en la API y la CLI. Introducción a esta biblioteca de scripts.

Rotación del secreto de cliente BTP

Se recomienda rotar periódicamente los secretos de cliente de la subcuenta BTP. Para obtener un enfoque automatizado basado en la plataforma, consulte la renovación automática de certificados del almacén de confianza de SAP BTP con Azure Key Vault o cómo dejar de pensar en las fechas de expiración de una vez por todas (blog de SAP).

Esta biblioteca de scripts muestra el proceso automático de actualización de un conector de datos existente con un nuevo secreto.

Contenido relacionado

  • Last updated on