Configuración del sistema SAP para la solución Microsoft Sentinel

  • Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

En este artículo se describe cómo preparar el entorno de SAP para conectarse al conector de datos de SAP. La preparación varía en función de si se usa el agente del conector de datos en contenedor. Seleccione la opción en la parte superior de la página que coincida con el entorno.

Este artículo forma parte del segundo paso para implementar la solución Microsoft Sentinel para aplicaciones sap.

Importante

El agente del conector de datos para SAP está en desuso y se deshabilitará permanentemente el 14 de septiembre de 2026. Se recomienda migrar al conector de datos sin agente. Obtenga más información sobre el enfoque sin agente en nuestra entrada de blog.

Diagrama del flujo de implementación de la solución de Microsoft Sentinel para aplicaciones SAP, con el paso de preparación de SAP resaltado.

El equipo de SAP BASIS suele realizar los procedimientos de este artículo.

Este artículo forma parte del segundo paso para implementar la solución Microsoft Sentinel para aplicaciones sap. Aunque los pasos que se realizan en Microsoft Sentinel requieren que la solución se instale primero, pueden producirse otras preparaciones en el entorno de SAP en paralelo.

Diagrama del flujo de implementación de la solución de Microsoft Sentinel para aplicaciones SAP, con el paso de preparación de SAP resaltado.

Muchos de los procedimientos de este artículo suelen realizarse por el equipo de SAP BASIS . Algunos pasos incluyen también al equipo de seguridad .

Requisitos previos

  • Si trabaja con el conector de datos sin agente, algunos pasos se realizan en Microsoft Sentinel y requieren que la solución se instale primero.

Configuración del rol de Microsoft Sentinel

Para permitir que el conector de datos de SAP se conecte al sistema SAP, debe crear un rol de sistema SAP específicamente para este fin.

Se recomienda crear este rol mediante la implementación de la solicitud de cambio de SAP (CR) NPLK900271: K900271.NPL | R900271.NPL

Implemente las CR en el sistema SAP según sea necesario al igual que implementaría otras instancias de CR. Se recomienda encarecidamente que la implementación de las CR de SAP la realice un administrador de sistema de SAP experimentado. Para obtener más información, consulte la documentación de SAP.

Como alternativa, cargue las autorizaciones de rol desde el archivo MSFTSEN_SENTINEL_CONNECTOR , que incluye todos los permisos básicos para que funcione el conector de datos.

Los administradores experimentados de SAP pueden optar por crear el rol manualmente y asignarle los permisos adecuados. En tales casos, cree un rol manualmente con las autorizaciones pertinentes necesarias para los registros que desea ingerir. Para obtener más información, consulte Autorizaciones necesarias de ABAP. En los ejemplos de nuestra documentación se usa el nombre /MSFTSEN/SENTINEL_RESPONDER .

Al configurar el rol, se recomienda:

  • Genere un perfil de rol activo para Microsoft Sentinel mediante la ejecución de la transacción de PFCG.
  • Use /MSFTSEN/SENTINEL_RESPONDER como nombre del rol.

Cree un rol mediante la plantilla MSFTSEN_SENTINEL_READER , que incluye todos los permisos básicos para que funcione el conector de datos.

Para obtener más información, consulte la documentación de SAP sobre la creación de roles.

Crear un usuario

La solución Microsoft Sentinel para las aplicaciones SAP requiere una cuenta de usuario para conectarse al sistema SAP. Al crear el usuario:

  • Asegúrese de crear un usuario del sistema.
  • Asigne el rol /MSFTSEN/SENTINEL_RESPONDER al usuario que creó en el paso anterior.
  • Asegúrese de crear un usuario del sistema.
  • Asigne el rol de MSFTSEN_SENTINEL_READER al usuario que creó en el paso anterior.

Para obtener más información, consulte la documentación de SAP.

Configuración de la auditoría de SAP

Es posible que algunas instalaciones de sistemas SAP no tengan habilitado el registro de auditoría de forma predeterminada. Para obtener los mejores resultados en la evaluación del rendimiento y la eficacia de la solución de Microsoft Sentinel para aplicaciones SAP, habilite la auditoría del sistema SAP y configure los parámetros de auditoría.

Se recomienda configurar la auditoría para todos los mensajes del registro de auditoría, en lugar de solo registros específicos. Las diferencias de costos de ingesta suelen ser mínimas y los datos son útiles para las detecciones de Microsoft Sentinel y en las investigaciones y búsquedas posteriores al compromiso.

Sugerencia

Si desea ingerir registros de base de datos de SAP HANA, asegúrese de habilitar también la auditoría para SAP HANA DB. Para obtener más información, consulte Recopilación de registros de auditoría de SAP HANA en Microsoft Sentinel

Sugerencia

En el caso de los sistemas SAP administrados por SAP RISE/ECS, la habilitación del registro de auditoría de seguridad forma parte del acuerdo de responsabilidad compartida. Compruebe con el contacto de SAP si la auditoría ya está activa de forma predeterminada o si es necesario realizar algún paso adicional. Los sistemas de edición pública SAP S/4HANA Cloud tienen habilitada la auditoría de forma predeterminada.

Para una cobertura de supervisión completa con el conector de datos sin agente, se recomienda habilitar la supervisión en todos los identificadores de cliente de los sistemas SAP supervisados, incluidos los clientes 000 y 066.

Para obtener más información, consulte el artículo de SAP.

Configuración del sistema para usar SNC para conexiones seguras

De forma predeterminada, el agente del conector de datos de SAP se conecta a un servidor SAP mediante una conexión de llamada a función remota (RFC) y un nombre de usuario y una contraseña para la autenticación.

Sin embargo, es posible que tenga que establecer la conexión en un canal cifrado o usar certificados de cliente para la autenticación. En estos casos, use Smart Network Communications (SNC) de SAP para proteger las conexiones de datos, como se describe en esta sección.

En un entorno de producción, se recomienda encarecidamente que consulte con los administradores de SAP para crear un plan de implementación para configurar SNC. Para obtener más información, consulte la documentación de SAP.

Al configurar SNC:

  • Si el certificado de cliente lo emitió una entidad de certificación empresarial, transfiera la entidad de certificación emisora y los certificados de ca raíz al sistema donde tiene previsto crear el agente del conector de datos.
  • Si usa el agente del conector de datos, asegúrese de escribir también los valores pertinentes y de usar los procedimientos pertinentes al configurar el contenedor del agente del conector de datos de SAP. Si usa el conector de datos sin agente, la configuración de SNC se realiza en SAP Cloud Connector.

Para obtener más información sobre SNC, consulte Introducción a SAP SNC para integraciones RFC: blog de SAP.

Aunque este paso es opcional, se recomienda habilitar el conector de datos de SAP para recuperar la siguiente información de contenido del sistema SAP:

  • Registros de salida de tabla y cola de base de datos
  • Información de la dirección IP del cliente de los registros de auditoría de seguridad

  1. Implemente las instancias de CR pertinentes desde el repositorio de GitHub de Microsoft Sentinel, según la versión de SAP:

    Versiones de SAP BASIS CR recomendado
    750 y versiones posteriores NPLK900202: K900202.NPL, R900202.NPL

    Al implementar esta cr cualquiera de las siguientes versiones de SAP, implemente también 2641084: acceso de lectura estandarizado a los datos del registro de auditoría de seguridad:
    - 750 SP04 a SP12
    - 751 SP00 a SP06
    - 752 SP00 a SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Implemente las CR en el sistema SAP según sea necesario al igual que implementaría otras instancias de CR. Se recomienda encarecidamente que la implementación de las CR de SAP la realice un administrador de sistema de SAP experimentado. Para obtener más información, consulte la documentación de SAP.

    Para obtener más información, consulte la comunidad de SAP y la documentación de SAP.

  2. Para admitir SAP BASIS versiones 7.31-7.5 SP12 en el envío de información de dirección IP de cliente a Microsoft Sentinel, active el registro para la tabla USR41 de SAP. Para obtener más información, consulte la documentación de SAP.

Compruebe que la tabla PAHI se actualiza a intervalos regulares.

La tabla PAHI de SAP incluye datos sobre el historial del sistema SAP, la base de datos y los parámetros de SAP. En algunos casos, la solución de Microsoft Sentinel para aplicaciones SAP no puede supervisar la tabla PAHI de SAP a intervalos regulares, debido a la falta de configuración o a errores. Es importante actualizar la tabla PAHI y supervisarla con frecuencia, de modo que la solución Microsoft Sentinel para las aplicaciones SAP pueda alertar sobre acciones sospechosas que puedan producirse en cualquier momento a lo largo del día. Para más información, vea:

Si la tabla PAHI se actualiza con regularidad, el SAP_COLLECTOR_FOR_PERFMONITOR trabajo se programa y se ejecuta cada hora. Si el SAP_COLLECTOR_FOR_PERFMONITOR trabajo no existe, asegúrese de configurarlo según sea necesario.

Para obtener más información, vea Recopilador de bases de datos en Procesamiento en segundo plano y Configuración del recopilador de datos.

Configuración de sap BTP

  1. En la subcuenta BTP de SAP, agregue derechos para los siguientes servicios:

    • SAP Integration Suite
    • Proceso de SAP Integration Runtime
    • Cloud Foundry Runtime

Nota:

Esta solución solo tiene en cuenta la integración en la nube de SAP en el entorno de Cloud Foundry.

  1. Cree una instancia de Cloud Foundry Runtime y, a continuación, cree también un espacio de Cloud Foundry.

  2. Cree una instancia de SAP Integration Suite.

  3. Asigne el rol de Integration_Provisioner de SAP BTP a la cuenta de usuario de la subcuenta de SAP BTP.

  4. En SAP Integration Suite, agregue la funcionalidad de integración en la nube.

  5. Asigne los siguientes roles de integración de procesos a su cuenta de usuario:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Estos roles solo están disponibles después de activar la funcionalidad de integración en la nube.

  6. Cree una instancia del proceso de SAP Integration Runtime en la subcuenta mediante el flujo de integración del plan de servicio (no la API).

  7. Cree una clave de servicio para el proceso de SAP Integration Runtime y guarde el contenido JSON en una ubicación segura. Debe activar la funcionalidad de integración en la nube antes de crear una clave de servicio para sap process Integration Runtime.

Para obtener más información, consulte la documentación de SAP.

Configuración del conector en Microsoft Sentinel y en el sistema SAP

Este procedimiento tiene pasos tanto en Microsoft Sentinel como en el sistema SAP, y requiere coordinación con el administrador de SAP.

  1. En Microsoft Sentinel, vaya a la página Conectores de datos de configuración > y busque el Microsoft Sentinel para SAP: conector de datos sin agente.

  2. En la sección Configuración, expanda y siga las instrucciones de la sección Configuración inicial del conector: ejecute los pasos siguientes una vez: Estos pasos requerirán tanto el ingeniero de SecuritySOC como el administrador de SAP.

    1. Desencadenar la implementación automática de recursos de Azure (soc engineer). Si, después de implementar los recursos de Azure, los valores de los pasos 2 y 3 no se rellenan automáticamente, cierran y vuelven a expandir el paso 1 para actualizar los valores de los pasos 2 y 3.

    2. Implemente un artefacto de credenciales de cliente de OAuth2 en sap integration (SAP Administración).

    3. Implemente un artefacto de parámetro seguro en SAP Integration (SAP Administración) denominado workspaceKey que contenga la clave del área de trabajo de Log Analytics visible en la interfaz de usuario del conector de datos.

    4. Implemente el paquete del conector de datos sin agente de SAP en SAP Integration Suite (SAP Administración).

      1. Descargue el paquete de integración y cárguelo en SAP Integration Suite. Para obtener más información, consulte la documentación de SAP.
      2. Abra el paquete y vaya a la pestaña Artefactos . A continuación, seleccione la configuración del recopilador de datos . Para obtener más información, consulte la documentación de SAP.
      3. Configure el flujo de integración con LogIngestionURL y DCRImmutableID.
      4. Implemente iflow mediante SAP Cloud Integration como servicio en tiempo de ejecución.

Ejecución del comprobador de requisitos previos

  1. El iflow del comprobador de requisitos previos se incluye en el paquete. Se recomienda ejecutar este iflow manualmente antes de continuar con el paso siguiente para asegurarse de que el sistema SAP cumple los requisitos previos del sistema antes de intentar la integración desde Microsoft Sentinel.

    Para ejecutar la herramienta:

    1. Abra el paquete de integración, vaya a la pestaña artefactos y seleccione la configuración de iflow> del comprobador de requisitos previos.

    2. Establezca el nombre de destino de la llamada a función remota (RFC) en el sistema SAP que desea comprobar. Por ejemplo, A4H-100-Sentinel-RFC.

    3. Implemente el iflow como lo haría en los sistemas SAP.

    4. Desencadene el flujo desde cualquier cliente REST. Por ejemplo, use el siguiente script de PowerShell de ejemplo, modificando los valores de marcador de posición de ejemplo para su entorno:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent

    Asegúrese de que el comprobador de requisitos previos se ejecuta correctamente (código de estado 200) sin advertencias en la salida de respuesta antes de conectarse a Microsoft Sentinel.

    Si hay algún hallazgo, consulte los detalles de la respuesta para obtener instrucciones sobre los pasos de corrección. Los sistemas SAP heredados a menudo requieren notas de SAP adicionales. Además, consulte la sección de solución de problemas de problemas y soluciones comunes.

  2. Desplácese más hacia abajo en el área Configuración y expanda y siga las instrucciones de Incorporación de sistemas SAP supervisados: ejecute los pasos siguientes para cada sistema SAP supervisado: área para cada sistema SAP que quiera supervisar.

    Cuando llegue al paso 2. Conecte el sistema SAP a Microsoft Sentinel/SOC Engineer y continúe con Conexión del sistema SAP a Microsoft Sentinel.

Configuración de la configuración de SAP Cloud Connector

  1. Instale SAP Cloud Connector. Para obtener más información, consulte la documentación de SAP.

  2. Inicie sesión en la interfaz del conector en la nube y agregue la subcuenta con las credenciales pertinentes. Para obtener más información, consulte la documentación de SAP.

  3. En la subcuenta del conector en la nube, agregue una nueva asignación del sistema al sistema back-end para asignar el sistema ABAP al protocolo RFC.

  4. Defina las opciones de equilibrio de carga y escriba los detalles del servidor ABAP de back-end. En este paso, copie el nombre del host virtual en una ubicación segura para usarlo más adelante en el proceso de implementación.

  5. Agregue nuevos recursos a la asignación del sistema para cada uno de los siguientes nombres de función:

    • RSAU_API_GET_LOG_DATA, para capturar datos de registro de auditoría de seguridad de SAP

    • BAPI_USER_GET_DETAIL, para recuperar los detalles del usuario de SAP

    • RFC_READ_TABLE, para leer datos de las tablas necesarias

    • SIAG_ROLE_GET_AUTH, para recuperar autorizaciones de roles de seguridad

    • /OSP/SYSTEM_TIMEZONE, para recuperar los detalles de la zona horaria del sistema SAP

Nota:

El rol proporcionado está configurado para el acceso con privilegios mínimos. Esto garantiza que los módulos de función, como RFC_READ_TABLE, solo se usen según sea necesario. Tenga en cuenta los procedimientos recomendados de SAP para el acceso RFC y la configuración de conectividad unificada de SAP (UCON) para controlar el acceso al módulo de funciones más allá de los controles de SAP Cloud Connector y el rol de SAP.

  1. Agregue un nuevo destino en SAP BTP que apunte al host virtual que creó anteriormente. Use los detalles siguientes para rellenar el nuevo destino:

    • Nombre: Escriba el nombre que desea usar para la conexión Microsoft Sentinel

    • TipoRFC

    • Tipo de proxy:On-Premise

    • Usuario: escriba la cuenta de usuario de ABAP que creó anteriormente para Microsoft Sentinel

    • Tipo de autorización:CONFIGURED USER

    • Propiedades adicionales:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Ubicación: solo es necesario cuando se conectan varios conectores en la nube a la misma subcuenta BTP. Para obtener más información, consulte la documentación de SAP.

Paso siguiente

Conexión del sistema SAP a Microsoft Sentinel

  • Last updated on