Microsoft Sentinel solución para aplicaciones SAP: Introducción a la implementación

El conector de datos sin agente de Microsoft Sentinel para SAP usa SAP Cloud Connector y SAP Integration Suite para conectarse al sistema SAP y extraer registros de él, como se muestra en la siguiente imagen:

Con SAP Cloud Connector, el conector de datos sin agente se beneficia de las configuraciones ya existentes y de los procesos de integración establecidos. Esto significa que no tiene que volver a abordar los desafíos de red, ya que las personas que ejecutan SAP Cloud Connector ya han pasado por ese proceso.

El conector de datos sin agente es compatible con sistemas basados en SAP NetWeaver. Entre ellos SAP S/4HANA Cloud, Private Edition (RISE con SAP), SAP S/4HANA local, SAP ERP Central Component (ECC), SAP Business Warehouse (BW) y mucho más, lo que garantiza la funcionalidad continua del contenido de seguridad existente, incluidas detecciones, libros y cuadernos de estrategias.

El conector de datos sin agente ingiere registros de seguridad críticos, como el registro de auditoría de seguridad, los registros de documentos modificados y los datos maestros de usuario, incluidos los roles de usuario y las autorizaciones.

Por ejemplo, en la imagen siguiente se muestra un panorama de SAP con varios SID con una división entre sistemas de producción y no producción, incluida la Plataforma de tecnología empresarial de SAP. Todos los sistemas de esta imagen se incorporan a Microsoft Sentinel para la solución SAP.

El agente se conecta al sistema SAP para extraer registros y otros datos de él y, a continuación, envía esos registros al área de trabajo de Microsoft Sentinel. Para ello, el agente tiene que autenticarse en el sistema SAP mediante un usuario y un rol creados específicamente para este fin.

Microsoft Sentinel admite algunas opciones para almacenar la información de configuración del agente, incluida la configuración de los secretos de autenticación de SAP. La decisión de qué opción puede depender de dónde implemente la máquina virtual y del mecanismo de autenticación de SAP que use. Las opciones admitidas son las siguientes, enumeradas en orden de preferencia:

• Un Azure Key Vault al que se accede a través de una identidad administrada asignada por el sistema Azure
• Azure Key Vault a la que se accede a través de una entidad de servicio de aplicación registrada Microsoft Entra ID
• Un archivo de configuración de texto no cifrado

También puede autenticarse mediante los certificados de comunicaciones de red segura (SNC) y X.509 de SAP. Aunque el uso de SNC proporciona un mayor nivel de seguridad de autenticación, es posible que no sea práctico para todos los escenarios.

La implementación de las soluciones de Microsoft Sentinel para aplicaciones SAP implica varios pasos y requiere colaboración entre los equipos de seguridad y SAP BASIS. En la imagen siguiente se muestran los pasos para implementar las soluciones de Microsoft Sentinel para aplicaciones sap, con los equipos pertinentes indicados:

Se recomienda que implique a ambos equipos al planear la implementación para asegurarse de que se asigna el esfuerzo y que la implementación puede moverse sin problemas.

Los pasos de implementación incluyen:

1. Revise los requisitos previos para implementar el conector de datos sin agente de SAP.

2. Implemente la solución de aplicaciones sap desde el centro de contenido. Este paso lo controla el equipo de seguridad de la Azure Portal.

3. Configure el sistema SAP para la solución Microsoft Sentinel, incluida la configuración de autorizaciones de SAP, la configuración de la auditoría de SAP, etc. Se recomienda que el equipo de SAP BASIS realice estos pasos y nuestra documentación incluye referencias a la documentación de SAP. El equipo de SAP BASIS puede realizar algunos de los procedimientos de este paso antes de instalar la solución.

4. Conecte el sistema SAP mediante un conector de datos sin agente con SAP Cloud Connector. Este paso lo controla el equipo de seguridad en el Azure Portal, mediante la información proporcionada por el equipo de SAP BASIS.

5. Habilite las detecciones de SAP y la protección contra amenazas. Este paso lo controla el equipo de seguridad de la Azure Portal.

La implementación de las soluciones de Microsoft Sentinel para aplicaciones SAP implica varios pasos y requiere la colaboración entre varios equipos, incluidos los equipos de seguridad, infraestructura y SAP BASIS. En la imagen siguiente se muestran los pasos para implementar las soluciones de Microsoft Sentinel para aplicaciones sap, con los equipos pertinentes indicados:

Se recomienda implicar a todos los equipos pertinentes al planear la implementación para asegurarse de que el esfuerzo se asigna y que la implementación puede moverse sin problemas.

Los pasos de implementación incluyen:

1. Revise los requisitos previos para implementar la solución de Microsoft Sentinel para aplicaciones SAP. Algunos requisitos previos requieren la coordinación con la infraestructura o los equipos de SAP BASIS.

2. Los pasos siguientes pueden ocurrir en paralelo, ya que implican equipos independientes y no dependen entre sí:

   1. Implemente la solución Microsoft Sentinel para aplicaciones SAP desde el centro de contenido. Asegúrese de instalar la solución correcta para su entorno. Este paso lo controla el equipo de seguridad de la Azure Portal.

   2. Configure el sistema SAP para la solución Microsoft Sentinel, incluida la configuración de autorizaciones de SAP, la configuración de la auditoría de SAP, etc. Se recomienda que el equipo de SAP BASIS realice estos pasos y nuestra documentación incluye referencias a la documentación de SAP. El equipo de seguridad también realiza algunos pasos.

3. Conecte el sistema SAP mediante la implementación de un agente de conector de datos en contenedor. Este paso requiere coordinación entre los equipos de seguridad, infraestructura y SAP BASIS.

4. Habilite las detecciones de SAP y la protección contra amenazas. Este paso lo controla el equipo de seguridad de la Azure Portal.

Entre las opciones adicionales se incluyen:

• Recopilación de registros de auditoría de SAP HANA
• Implementación manual de un agente del conector de datos de SAP

Detener la recopilación de datos de SAP

Si usa el agente del conector de datos y necesita impedir que Microsoft Sentinel recopile los datos de SAP, detenga la ingesta de registros y deshabilite el conector. A continuación, quite el rol de usuario adicional y las CR opcionales instaladas en el sistema SAP.

Para obtener más información, vea Detener la recopilación de datos de SAP.