SAP-järjestelmän yhdistäminen Microsoft Sentinel

Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Jotta SAP-sovellusten Microsoft Sentinel ratkaisu toimisi oikein, sinun on ensin saatava SAP-tietosi Microsoft Sentinel. Voit tehdä tämän joko ottamalla käyttöön Microsoft Sentinel SAP-tietoyhdistinagentin tai yhdistämällä Microsoft Sentinel agentless data connector for SAP.n. Valitse ympäristöäsi vastaava vaihtoehto sivun yläreunasta.

Tässä artikkelissa kuvataan kolmannen vaiheen käyttöönottoon yhdessä Microsoft Sentinel ratkaisuista SAP-sovelluksille.

Tärkeää

SAP:n tietoyhdistinagenttia ollaan poistamassa käytöstä pysyvästi 14.9.2026 mennessä. Suosittelemme, että siirryt agenttittomaan tietoyhdistintä. Lue lisää agentless-lähestymistavasta blogikirjoituksesta.

SAP-ratkaisun käyttöönottotyönkulun kaavio, jossa korostetaan Yhdistä SAP-järjestelmäsi -vaihetta.

Tämän artikkelin sisältö liittyy suojaus-, infrastruktuuri- ja SAP BASIS - tiimeihin. Varmista, että suoritat tämän artikkelin vaiheet siinä järjestyksessä, jossa ne esitetään.

SAP-ratkaisun käyttöönottotyönkulun kaavio, jossa korostetaan Yhdistä SAP-järjestelmäsi -vaihetta.

Tämän artikkelin sisältö liittyy tietoturvatiimiin .

Ennakkovaatimukset

Ennen kuin yhdistät SAP-järjestelmän Microsoft Sentinel:

Varmista, että kaikki käyttöönoton edellytykset ovat voimassa. Lisätietoja on artikkelissa edellytykset Microsoft Sentinel ratkaisun käyttöönotolle SAP-sovelluksissa.

Tärkeää

Jos käytät agenttitonta tietoyhdistintä, tarvitset Entra ID -tunnus Application Developer -roolin tai korkeamman, jotta voit onnistuneesti ottaa käyttöön asianomaiset Azure resurssit. Jos sinulla ei ole tätä käyttöoikeutta, työskentele työtoverin kanssa, jolla on prosessin suorittamiseen tarvittavat oikeudet. Katso kaikki ohjeet agentless data connector -vaiheen yhdistämisestä .
Varmista, että Microsoft Sentinel työtilaan on asennettusap-sovellusten Microsoft Sentinel ratkaisu
Varmista, että SAP-järjestelmäsi on täysin valmis käyttöönottoa varten.
Jos otat käyttöön tietoyhdistinagentin, joka viestii Microsoft Sentinel kanssa SNC:n kautta, varmista, että olet määrittänyt järjestelmän käyttämään SNC:tä suojatuissa yhteyksissä.

Katso esittelyvideo

Katso jokin seuraavista tässä artikkelissa kuvatun käyttöönottoprosessin esittelyvideoista.

Tutustu portaalin vaihtoehtoihin tarkemmin:

Sisältää lisätietoja Azure KeyVaultin käyttämisestä. Ei ääntä, esittely vain tekstityksillä:

Näennäiskoneen luominen ja tunnistetietojen käytön määrittäminen

Suosittelemme, että luot erillisen näennäiskoneen tietoyhdistinagentin säilölle parhaan mahdollisen suorituskyvyn varmistamiseksi ja mahdollisten ristiriitojen välttämiseksi. Lisätietoja on kohdassa Järjestelmän edellytykset tietoyhteysagentin säilölle.

Suosittelemme, että tallennat SAP- ja todennussalaisuudet Azure Key Vault. Avainsäilön käyttö määräytyy sen mukaan, missä näennäiskoneesi (VM) on otettu käyttöön:

Käyttöönottomenetelmä	Käyttötapa
Säilö Azure näennäiskoneessa	Suosittelemme käyttämään Azure järjestelmän määrittämää hallittua käyttäjätietoa Azure Key Vault käyttämiseen. Jos järjestelmän määrittämää hallittua käyttäjätietoa ei voi käyttää, säilö voi myös todentaa Azure Key Vault käyttämällä Microsoft Entra ID rekisteröityjen sovellusten palvelun päänimeä tai viimeisenä keinona määritystiedostoa.
Säilö paikallisessa näennäiskoneessa tai näennäiskone kolmannen osapuolen pilvipalveluympäristössä	Todenna Azure Key Vault Microsoft Entra ID rekisteröidyn sovelluksen palvelun päänimen avulla.

Jos et voi käyttää rekisteröityä sovellusta tai palvelun päänimeä, hallitse tunnistetietojasi määritystiedoston avulla, vaikka tätä menetelmää ei suosita. Lisätietoja on kohdassa Ota tietoyhdistin käyttöön määritystiedoston avulla.

Lisätietoja on seuraavissa artikkeleissa:

Näennäiskoneesi on yleensä infrastruktuuritiimisi luoma. Tunnistetietojen käyttöoikeuden määrittäminen ja avainsäilöjen hallinta tehdään yleensä tietoturvatiimille.

Hallitut käyttäjätiedot
Rekisteröity sovellus

Hallittujen käyttäjätietojen luominen Azure näennäiskoneella

Luo näennäiskone Azure suorittamalla seuraava komento ja korvaa todelliset nimet ympäristöstäsi parametrilla <placeholders>:

az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

Lisätietoja on kohdassa Pikaopas: Linux näennäiskoneen luominen Azure CLI:n avulla.

Tärkeää

Kun näennäiskone on luotu, muista ottaa käyttöön kaikki organisaatiossasi sovellettavat suojausvaatimukset ja kovennusmenettelyt.

Tämä komento luo näennäiskoneresurssin ja tuottaa seuraavan näköistä tulosta:

{
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

Kopioi systemAssignedIdentity GUID, sillä sitä käytetään tulevissa vaiheissa. Tämä on hallittu käyttäjätietosi.

Sovelluksen rekisteröiminen sovelluksen käyttäjätietojen luomista varten

Luo ja rekisteröi sovellus suorittamalla seuraava komento Azure komentoriviltä:

az ad sp create-for-rbac

Tämä komento luo sovelluksen ja tuottaa seuraavan näköistä tulosta:

{
  "appId": "aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa",
  "displayName": "azure-cli-2022-01-28-17-59-06",
  "password": "ssssssssssssssssssssssssssssssssss",
  "tenant": "bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb"
}

Lisätietoja on Azure CLI -viiteohjeissa.

Kopioi kohteesta appId, vuokraaja ja salasana . Tarvitset näitä avaimen vaultin käyttöoikeuskäytännön määrittämiseen ja käyttöönottokomentosarjan suorittamiseen tulevissa vaiheissa.
Ennen kuin jatkat, luo näennäiskone, jossa agentti otetaan käyttöön. Voit luoda tämän tietokoneen Azure, toisessa pilvipalvelussa tai paikallisesti.

Key Vaultin luominen

Tässä ohjeessa kuvataan, miten voit luoda key vaultin, johon voit tallentaa agentin määritystiedot, mukaan lukien SAP-todennuksen salaiset koodit. Jos käytät aiemmin luotua key vaultia, siirry suoraan vaiheeseen 2.

Avainsäilön luominen:

Suorita seuraavat komennot ja korvaa arvojen todelliset nimet <placeholder> .

az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

Kopioi avainsäilön nimi ja sen resurssiryhmän nimi. Tarvitset näitä, kun määrität key Vaultin käyttöoikeudet ja suoritat käyttöönottokomentosarjan seuraavissa vaiheissa.

Key Vaultin käyttöoikeuksien määrittäminen

Määritä avainsäilössä Azure Key Vault Secrets Reader -rooli aiemmin luomiasi ja kopioimiasi käyttäjätietoja.
Määritä samassa avainsäilössä seuraavat Azure roolit käyttäjälle, joka määrittää tietoyhdistinagentin:
- Key Vault osallistujan ottamaan agentin käyttöön
- Key Vault Secrets Officeria lisäämään uusia järjestelmiä

Ota käyttöön tietoyhdistinagentti portaalista (esikatselu)

Nyt kun olet luonut näennäiskoneen ja Key Vault, seuraava vaihe on luoda uusi agentti ja muodostaa yhteys johonkin SAP-järjestelmistäsi. Vaikka voit suorittaa useita tietoliittimien agentteja yhdessä koneessa, suosittelemme, että aloitat vain yhdestä, valvot suorituskykyä ja kasvatat sitten liittimien määrää hitaasti.

Tässä ohjeessa kuvataan, miten voit luoda uuden agentin ja yhdistää sen SAP-järjestelmääsi Azure- tai Defender-portaaleja käyttämällä. Suosittelemme, että suojaustiimisi suorittaa tämän toiminnon SAP BASIS - tiimin avulla.

Tietoyhdistinagentin käyttöönottoa portaalista tuetaan sekä Azure-portaali että Defender-portaalissa, kun Microsoft Sentinel lisätään Defender-portaaliin.

Vaikka käyttöönottoa tuetaan myös komentoriviltä, suosittelemme, että käytät portaalia tyypillisiin käyttöönottoihin. Komentorivin avulla käyttöönotetut tietoyhteysagentit voidaan hallita vain komentorivin kautta, ei portaalin kautta. Lisätietoja on ohjeaiheessa SAP-tietoyhdistinagentin käyttöönotto komentoriviltä.

Tärkeää

Säilön käyttöönotto ja yhteyksien luominen SAP-järjestelmiin portaalista on tällä hetkellä ESIKATSELU-tilassa. Azure Esikatselun lisäehdot sisältävät muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.

Edellytykset:

Jos haluat ottaa tietoyhteysagentin käyttöön portaalin kautta, tarvitset seuraavat asiat:
- Todentaminen hallitun käyttäjätiedon tai rekisteröidyn sovelluksen kautta
- Azure Key Vault tallennetut tunnistetiedot
Jos sinulla ei ole näitä edellytyksiä, ota sap-tietoyhdistinagentti käyttöön komentoriviltä .
Jotta voit ottaa käyttöön tietoyhdistinagentin, tarvitset myös sudo-oikeudet tai pääoikeudet tietoyhdistinagentin koneessa.
Jos haluat käyttää Netweaver-/ABAP-lokeja suojatulla yhteydellä SNC:n avulla, tarvitset seuraavat:
- Binaarin ja libsapcrypto.so kirjaston sapgenpse polku
- Asiakasvarmenteen tiedot
Lisätietoja on artikkelissa Järjestelmän määrittäminen käyttämään SNC:tä suojatuissa yhteyksissä.

Ota käyttöön tietoliittimien agentti seuraavasti:

Kirjaudu sisään juuri luotuun näennäiskoneeseen, johon olet asentamassa agenttia, käyttäjänä, jolla on sudo-oikeudet.
Lataa ja/tai siirrä SAP NetWeaver SDK koneeseen.
Valitse Microsoft Sentinel Kokoonpanotietojen > liittimet.
Kirjoita hakupalkkiin SAP. Valitse Microsoft Sentinel SAP:lle – agenttipohjainen hakutuloksista ja sitten Avaa liitin -sivu.
Valitse Määritys-alueellaLisää uusi agentti (esikatselu).

Kirjoita Luo keräysagentin ruutu -ruutuun seuraavat edustajan tiedot:

Nimi	Kuvaus
Edustajan nimi	Anna organisaatiollesi merkityksellinen agentin nimi. Emme suosittele mitään erityistä nimeämiskäytäntöä, paitsi että nimessä voi olla vain seuraavantyyppisiä merkkejä: a–z A–Ö 0-9 _ (alaviiva) . (piste) - (viiva)
Tilaus / Key Vault	Valitse Tilaus - ja Avain-säilö niiden avattavista valikoista.
NWRFC SDK zip -tiedostopolku agentin näennäiskoneessa	Anna näennäiskoneen polku, joka sisältää SAP NetWeaver Remote Function Call (RFC) Software Development Kit (SDK) -arkiston (.zip tiedosto). Varmista, että tämä polku sisältää SDK-versionumeron seuraavassa syntaksissa: `<path>/NWRFC<version number>.zip`. Esimerkki: `/src/test/nwrfc750P_12-70002726.zip`.
Ota SNC-yhteyden tuki käyttöön	Valitse tämä, jos haluat käyttää NetWeaver/ABAP-lokeja suojatussa yhteydessä SNC:n avulla. Jos valitset tämän vaihtoehdon, anna binaarin ja `libsapcrypto.so` kirjaston `sapgenpse` sisältävä polku agentin näennäiskoneen SAP-salauskirjaston polussa. Jos haluat käyttää SNC-yhteyttä, muista valita Ota SNC-yhteyden tuki käyttöön tässä vaiheessa, sillä et voi palata takaisin ja ottaa käyttöön SNC-yhteyttä, kun olet ottanut agentin käyttöön. Jos haluat myöhemmin muuttaa tätä asetusta, suosittelemme, että luot sen sijaan uuden agentin.
Azure Key Vault todentaminen	Jos haluat todentaa avainsäilön käyttämällä hallittuja käyttäjätietoja, jätä hallittujen käyttäjätietojen oletusasetus valituksi. Jos haluat todentaa key vaultisi rekisteröidyn sovelluksen avulla, valitse Sovelluksen käyttäjätiedot. Hallitut käyttäjätiedot tai rekisteröity sovellus on määritettävä etukäteen. Lisätietoja on artikkelissa Näennäiskoneen luominen ja tunnistetietojen käytön määrittäminen.

Esimerkki:

Näyttökuva Keräilyagentin luominen -alueesta.

Valitse Luo ja tarkista suositukset ennen käyttöönottoa:
SAP-tietoyhdistinagentin käyttöönotto edellyttää, että myönnät agentin näennäiskoneen käyttäjätiedot tietyin käyttöoikeuksin Microsoft Sentinel työtilaan käyttämällä Microsoft Sentinel Yrityssovellusten agenttioperaattori- ja Lukija-rooleja.

Jotta voit suorittaa tämän vaiheen komennot, sinun on oltava resurssiryhmän omistaja Microsoft Sentinel työtilassasi. Jos et ole työtilan resurssiryhmän omistaja, nämä toimet voidaan suorittaa myös sen jälkeen, kun agentin käyttöönotto on valmis.

Kopioi Roolimäärityskomennot vaiheesta 1 ja suorita ne agentin näennäiskoneessa muutaman vaiheen jälkeen ja korvaa paikkamerkki näennäiskoneen käyttäjätieto-objektitunnuksella[Object_ID]. Esimerkki:

Voit etsiä näennäiskoneen käyttäjätieto-objektitunnuksen Azure:
- Jos kyseessä on hallittu käyttäjätieto, objektitunnus näkyy näennäiskoneen käyttäjätietosivulla .
- Jos kyseessä on palvelun päänimi, siirry yrityssovellukseen Azure. Valitse Kaikki sovellukset ja valitse sitten näennäiskone. Objektitunnus näkyy Yleiskatsaus-sivulla .
Nämä komennot määrittävät Microsoft Sentinel Yrityssovellusten agenttioperaattorin ja Lukija-Azure roolit näennäiskoneen hallituille tai sovelluksen käyttäjätieduksille, mukaan lukien vain määritetyn edustajan tietojen laajuus työtilassa.

Tärkeää

Microsoft Sentinel yrityssovellusten agenttioperaattorin ja lukijan roolien määrittäminen komentorivikäyttöliittymän kautta määrittää roolit vain määritetyn edustajan tietojen laajuudessa työtilassa. Tämä on turvallisin ja siksi suositeltu vaihtoehto.

Jos roolit on määritettävä Azure-portaali kautta, suosittelemme roolien määrittämistä pienessä laajuudessa, esimerkiksi vain Microsoft Sentinel työtilassa.
Valitse KopioiAgentin käyttöönottokomennon vieressä vaiheessa 2. Esimerkki:
Kopioi komentorivi erilliseen sijaintiin ja valitse sitten Sulje.

Asianmukaisten edustajien tiedot otetaan käyttöön Azure Key Vault, ja uusi agentti näkyy taulukossa Lisää ohjelmointirajapintaan perustuva keräysagentti -kohdassa.

Tässä vaiheessa edustajan kuntotila on "Epätäydellinen asennus. Noudata ohjeita". Kun agentti on asennettu, tila muuttuu agentiksi kunnossa. Tämä päivitys voi kestää jopa 10 minuuttia. Esimerkki:

Huomautus

Taulukko näyttää agentin nimen ja kuntotilan vain niille agenteille, jotka otat käyttöön Azure-portaali kautta. Komentoriviä käyttäviä agentteja ei näytetä tässä. Lisätietoja on komentorivivälilehdessä.
Avaa pääte näennäiskoneessa, johon aiot asentaa agentin, pääte ja suorita agentin käyttöönottokomento , jonka kopioit edellisessä vaiheessa. Tämä vaihe edellyttää sudo-oikeuksia tai pääoikeuksia tietoliittimen agenttikoneessa.

Komentosarja päivittää käyttöjärjestelmän osat ja asentaa Azure CLI:n, Docker-ohjelmiston ja muita tarvittavia apuohjelmia, kuten jq:n, netcatin ja curlin.

Lisää komentosarjaan ylimääräisiä parametreja säilön käyttöönoton mukauttamista varten. Lisätietoja käytettävissä olevista komentorivin asetuksista on kohdassa Kickstart-komentosarjaviittaus.

Jos haluat kopioida komennon uudelleen, valitse NäytäKunto-sarakkeen oikealla puolella ja kopioi komento agentin käyttöönottokomennon vieressä oikeassa alakulmassa.
Valitse Microsoft Sentinel ratkaisu SAP-sovelluksen tietoyhdistimen sivulla Kokoonpano-alueellaLisää uusi järjestelmä (esikatselu) ja anna seuraavat tiedot:
- Valitse aiemmin luomasi agentti Kohdassa Valitse agentti.
- Valitse Järjestelmätunnus-kohdasta palvelimen tyyppi:
  - ABAP-palvelin
  - Viestipalvelin , jos haluat käyttää viestipalvelinta osana ABAP SAP Central Servicesiä (ASCS).
- Jatka määrittämällä palvelintyypille liittyvät tiedot:
  - Abap-palvelimen kohdalla anna ABAP-sovelluspalvelimen IP-osoite/FQDN, järjestelmätunnus ja -numero sekä asiakastunnus.
  - Jos kyseessä on viestipalvelin, kirjoita viestipalvelimen IP-osoite/toimipaikan toiminimi, portin numero tai palvelun nimi sekä kirjautumisryhmä
Kun olet valmis, valitse Seuraava: Todennus.

Esimerkki:
Anna Todennus-välilehdessä seuraavat tiedot:
- Anna perustodennusta varten käyttäjä ja salasana.
- Jos valitsit SNC-yhteyden määrittäessäsi agenttia, valitse SNC ja anna varmenteen tiedot.
Kun olet valmis, valitse Seuraava: Lokit.
Valitse Lokit-välilehdeltä lokit, jotka haluat käyttää SAP:stä, ja valitse sitten Seuraava: Tarkista ja luo. Esimerkki:
(Valinnainen) Jos haluat optimaalisen tuloksen SAP PAHI -taulukon seurannassa, valitse Määrityshistoria. Lisätietoja on kohdassa Varmista, että PAHI-taulukkoa päivitetään säännöllisin väliajoin.
Tarkista määrittämäsi asetukset. Muokkaa asetuksia valitsemalla Edellinen tai ota järjestelmä käyttöön valitsemalla Ota käyttöön .

Määrittämäsi järjestelmämääritys otetaan käyttöön käyttöönoton aikana määrittämässäsi Azure Key Vault. Näet nyt järjestelmän tiedot taulukossa kohdassa MÄÄRITÄ SAP-järjestelmä ja määritä se keräilyagentille. Tämä taulukko näyttää liittyvän agentin nimen, SAP-järjestelmätunnuksen (SID) ja järjestelmien kunnon tilan, jotka lisäsit portaalin kautta tai muulla tavalla.

Tässä vaiheessa järjestelmän kuntotila on Odottaa. Jos agentti päivitetään onnistuneesti, se hakee määritykset Azure Key Vaultista ja tilaksi muuttuu Järjestelmä kunnossa. Tämä päivitys voi kestää jopa 10 minuuttia.

Katso liittimen käyttöönottovideo

Perehdyttämisvideon avulla voit tukea tässä dokumentaatiossa kuvatun Microsoft Sentinel Solution for SAP – agentless data connector -ratkaisun käyttöönottoa ja määritystä.

Agentless Data Connectorin yhdistäminen

Siirry Microsoft Sentinel Määritystietojen > liittimet -sivulle ja etsi sap – agentless data connector -Microsoft Sentinel.
Laajenna Määritys-alueella vaihe 1. Käynnistä pakollisten Azure resurssien ja SOC-asiantuntijan automaattinen käyttöönotto ja valitse Ota pakolliset Azure resurssit käyttöön.

Tärkeää

Jos sinulla ei ole Entra ID -tunnus Application Developer -roolia tai korkeampaa roolia ja valitset Ota käyttöön vaaditut Azure -resurssit, näkyviin tulee virhesanoma, esimerkiksi "Ota pakolliset Azure resurssit käyttöön" (virheet voivat vaihdella). Tämä tarkoittaa sitä, että tietojen keräämisen sääntö (DCR) ja tiedonkeruun päätepiste (DCE) luotiin, mutta sinun on varmistettava, että Entra ID -tunnus -sovelluksen rekisteröinti on sallittu. Jatka oikean valtuutuksen määrittämistä.

Huomautus

Kun otat käyttöön Microsoft Sentinel ratkaisun edellyttämät Azure resurssit SAP-sovelluksille (agenttiton), resurssien tarjoajan toimintojen suorittaminen voi kestää jopa 45 sekuntia Azure Resource Manager (ARM). Tänä aikana käyttöönotto saattaa vaikuttaa viivästyneeltä. Tämä tapahtuma on odotettavissa. Odota toiminnon valmistumista, ennen kuin yrität ottaa toiminnon uudelleen käyttöön tai ottaa sen uudelleen käyttöön.
Tee jokin seuraavista toimista:
- Jos sinulla on Entra Id Application Developer -rooli tai uudempi rooli, jatka seuraavaan vaiheeseen.
- Jos sinulla ei ole Entra ID -tunnus Application Developer -roolia tai korkeampaa roolia:
  - Jaa DCR-tunnus Entra tunnuksen järjestelmänvalvojan tai työtoverin kanssa tarvittavilla käyttöoikeuksilla.
  - Varmista, että valvontamittarien julkaisija -rooli on määritetty DCR:ssä palvelun päänimen määrityksen avulla asiakastunnuksella, joka on peräisin Entra-tunnussovelluksen rekisteröinnistä.
  - Nouda asiakastunnus ja asiakassalaisuus Entra id -sovelluksen rekisteröinnistä käytettäväksi dcr-valtuutusta varten.
  SAP-järjestelmänvalvoja käyttää asiakastunnusta ja asiakkaan salaista salaista tietoa dcr:lle lähettämiseen.
Vieritä alaspäin ja valitse Lisää SAP-asiakasohjelma.

Anna Yhdistä SAP-asiakasohjelmaan -sivuruudussa seuraavat tiedot:

Kenttä	Kuvaus
RFC-kohteen nimi	RFC-kohdesijainnin nimi BTP-kohteesta.
SAP Agentless Client ID	Process integroinnin suorituspalvelu service key JSON -tiedostosta otetut asiakastunnusarvot.
SAP Agentless Client Secret	Process integroinnin suorituspalvelu service key JSON -tiedostosta otettu clientsecret-arvo.
Valtuutuspalvelimen URL-osoite	Process integroinnin suorituspalvelu -palveluavaimen JSON-tiedostosta saatu tokenurl-arvo. Esimerkiksi: `https://your-tenant.authentication.region.hana.ondemand.com/oauth/token`
Integration Suite -päätepiste	Process integroinnin suorituspalvelu service key JSON -tiedostosta otetut URL-arvot. Esimerkiksi: `https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com`

Valitse Yhdistä.

Tärkeää

Yhteyden muodostamisessa voi olla jonkin verran odotusaikaa. Lisätietoja liittimen tarkistamisesta on täällä.

SAP-järjestelmien Mass-Onboard mittakaavassa

Sap-järjestelmien perehdyttämiseen Sentinel Ratkaisu SAP-sovelluksille mittakaavassa, ohjelmointirajapinta- ja komentorivikäyttöliittymäpohjaisia lähestymistapoja suositellaan. Aloita tämän komentosarjakirjaston käyttö.

Kierrä BTP-asiakasohjelman salaista koodia

Suosittelemme, että kierrät säännöllisesti BTP-alitiliasiakassalaisuuksia, joita tietoyhdistin käyttää. Jos haluat automaattisen, käyttöympäristöpohjaisen lähestymistavan, tutustu automaattiseen SAP BTP -luottamussäilön varmenteen uusimiseen Azure Key Vault avulla – tai miten voit lopettaa vanhenemispäivämäärien ajattelemisen lopullisesti (SAP-blogi).

Tässä komentosarjakirjastossa esitellään automaattinen prosessi, jossa aiemmin luotu tietoyhdistin päivitetään uudella salaisella koodilla.

Mukauta tietoyhdistimen toimintaa (valinnainen)

Jos sinulla on sap-agenttiton tietoyhdistin Microsoft Sentinel varten, voit SAP Integration Suiten avulla mukauttaa sitä, miten agenttiton tietoyhdistin käyttää tietoja SAP-järjestelmästä Microsoft Sentinel.

Tämä toimintosarja on merkityksellinen vain silloin, kun haluat mukauttaa SAP-agentless data connector -toimintaa. Ohita tämä toimintosarja, jos olet tyytyväinen oletustoimintoon. Jos käytät esimerkiksi Sybasea, suosittelemme, että poistat käytöstä iflow'n Asiakirjamuutoslokien käsittelyt määrittämällä collect-changedocs-logs-parametrin . Tietokannan suorituskykyongelmien vuoksi Muuta asiakirjalokeja -Sybasen käsittelemistä ei tueta.

Vihje

Tästä blogista saat lisätietoja oletusasetusten ohittamisen vaikutuksista.

Tietoyhdistimen toiminnan mukauttamisen edellytykset

Sinulla on oltava SAP Integration Suiten käyttöoikeus, jotta voit luoda ja muokata arvojen yhdistämismäärityksiä.
Erillinen SAP-integrointipaketti, joko olemassa tai uusi, joka on omistettu arvon yhdistämismäärityksen artefaktin isännöintiin. Marketplacesta asennetun SAP-integrointipaketin Microsoft Sentinel on vain määritys -tilassa, joten et voi lisätä sitä sinne.

Arvojen yhdistämismäärityksen artefaktin luominen ja asetusten mukauttaminen

Luo arvon yhdistämismäärityksen artefakti SAP Integration Suite -vuokraajassa ja lisää vain ne parametrit, jotka haluat ohittaa. Kaikki parametrit, joita et määritä, säilyttävät oletusarvonsa.

Voit paikantaa artefaktin kahdella tavalla:

Vaihtoehto 1 (suositus): Tuo valmiiksi rakennettu avaimen arvokarttasap-yhteisön säilön Microsoft Sentinel. Säilö toimittaa tietojen keräystoiminnon (avainarvokartta) valmiiksi täytetyn suunnitelman mukauttamista varten. Lataa uusin peruspaketti julkaisusivulta ja tuo se SAP Integration Suite -vuokraajaan. Jatka sitten alla seuraavien mukautusvaiheiden mukaisesti.

Vihje

Sama yhteisön säilö isännöi muita Microsoftin tarjoamia integrointireseptejä, joita voit omaksua agentless data -liittimen rinnalla, kuten SAP Ariba, SAP S/4HANA Cloud public edition (GROW) ja SAP User block ja SAP Table Reader. Katso täydellinen ja ajan tasalla oleva luettelo selaamalla integration-artefaktit-kansiota . Yhteisön osallistuminen on tervetullutta.
Vaihtoehto 2: Artefaktin luominen manuaalisesti. Luo erillisessä paketissa uusi arvon yhdistämismäärityksen artefakti. Lisätietoja on sap-dokumentaatiossa arvojen yhdistämismäärityksen luomisesta.

Kun arvon yhdistämismäärityksen artefakti on paikallaan, mukauta ja aktivoi se:

Lisää merkinnät, jotka mukauttavat tietoliittimen toimintaa. Käytä jotakin seuraavista tavoista:
- Jos haluat mukauttaa asetuksia kaikissa SAP-järjestelmissä, lisää arvojen yhdistämismääritykset yleisen kaksisuuntaisen kartoitustoimiston alle käyttämällä parametrin nimeä lähdeavaimena ja ohitusta kohdearvona.
- Jos haluat mukauttaa tiettyjen SAP-järjestelmien asetuksia, luo erillinen kaksisuuntainen kartoitustoimisto kullekin SAP-järjestelmälle. Nimeä kukin virasto vastaamaan tarkasti mukautettavan RFC-kohteen nimeä (esimerkiksi myRfc, key, myRfc, value), ja lisää parametrimerkinnät kyseisen viraston alle.
Lisätietoja on sap-dokumentaatiossa arvojen yhdistämismääritysten määrittämisestä.
Aktivoi päivitetyt asetukset tallentamalla arvon yhdistämismäärityksen artefakti ja ottamalla se käyttöön .

Käytä seuraavaa taulukkoa apuna sille, mitä arvon yhdistämismäärityksen artefaktiin lisätään. Lisää vain ohitettävien parametrien rivit:

Arvon yhdistämismäärityksen artefaktin kenttä	Kirjoitettavat tiedot
Virasto (lähde ja kohde)	`global` kaikkia SAP-järjestelmiä tai RFC-kohdenimeä (esimerkiksi `myRfc`) varten, jotta ohitus voidaan rajata tiettyyn SAP-järjestelmään.
Tunnus (lähde ja kohde)	`key` lähteen tunnisteena ja `value` kohdetunnisteena.
Lähdearvo	Parametrin nimi mukautettavien parametrien taulukosta (esimerkiksi `collect-changedocs-logs`).
Tavoitearvo	Tämän parametrin ohitusarvo (esimerkiksi `false`).

Seuraavassa taulukossa on lueteltu sap-agenttittoman tietoliittimen mukautettavissa olevat parametrit Microsoft Sentinel:

Yleiset kokoelman ohjausobjektit

Parametri	Kuvaus	Sallitut arvot	Oletusarvo
collect-audit-logs	Määrittää, käytetäänkö valvontalokin tietoja vai ei.	true: Ingested, false: Not ingested	Totta
collect-changedocs-logs	Määrittää, käytetäänkö Muuta asiakirjaa -lokeja vai ei.	true: Ingested, false: Not ingested	Totta
collect-user-master-data-users	Määrittää, käytetäänkö käyttäjätietojen tietoja. Tätä parametria ohjaavat myös collect-user-master-data.	true: Ingested, false: Not ingested	Totta
collect-user-master-data-roles	Määrittää, käytetäänkö roolin valtuutustietoja vai ei. Tätä parametria ohjaavat myös collect-user-master-data.	true: Ingested, false: Not ingested	Totta
ingestion-cycle-days	Aika päivinä, joka annetaan käyttäjän päätietojoukon täydelliselle käyttäjille, mukaan lukien käyttäjät ja roolit.	Kokonaisluku , välillä 1-14	7
siirtymä sekunteina	Määrittää siirtymän sekunteina sekä tiedonkeräysikkunan alkamis- että päättymisajalle. Tämän parametrin avulla voit viivyttää tietojen keräämistä määritetyn sekuntimäärän mukaan.	Kokonaisluku väliltä 1-600	60

Valvontalokin parametrit

Parametri	Kuvaus	Sallitut arvot	Oletusarvo
force-audit-log-to-read-from-all-clients	Määrittää, luetaanko valvontaloki kaikilta asiakkailta.	true: Lue kaikilta asiakkailta, epätosi: Ei lueta kaikilta asiakkailta	Vääriä
enintään riviä	Toimii suojauksena, joka rajoittaa yhdessä tiedonkeräysikkunassa käsiteltävien valvontalokitietueiden määrää. Tämä parametri ei enää koske Muuta Docs -kokoelmaa.	Kokonaisluku välillä 1-1000000	150000

Docs-parametrien muuttaminen

Parametri	Kuvaus	Sallitut arvot	Oletusarvo
changedocs-object-classes	Luettelo objektiluokista, jotka on käytetty Muuta asiakirjoja -lokeista.	Pilkuin eroteltu luettelo objektiluokista	`BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA`
max-changedocs-headers	Toimii suojauksena, joka rajoittaa yhdessä tiedonkeräysikkunassa käsiteltävien Change Docs -otsikkotietueiden (CDHDR-tietueiden) määrää. Tämän parametrin avulla voit vähentää suorituksenaikaista ja muistipainetta otsikkolevyn levypiikkejä käytettäessä.	Kokonaisluku välillä 1-1000000	1000
max-changedocs-details	Toimii suojauksena, joka rajoittaa yhdessä tiedonkeräysikkunassa käsiteltyjen Change Docs -tietueiden (CDPOS-tietueiden) määrää. Tämän parametrin avulla voit säätää siirtomäärää ja muistin käyttöä.	Kokonaisluku välillä 1-1000000	10000
change-docs-batch-size	Change Docs -otsikkotietueiden määrä jokaista tietojen noutokutsua kohden. Pienennä tätä arvoa, jos RFC kutsuu aikakatkaisua.	Kokonaisluku välillä 1-1 000	1000

Käyttäjätietojen parametrit

Parametri	Kuvaus	Sallitut arvot	Oletusarvo
max-users	Toimii suojauksena, joka rajoittaa yksittäisessä keräyssyklissä käsiteltyjen yksilöllisten käyttäjien määrää.	Kokonaisluku välillä 1-1000000	125
user-batch-size	Aktiivisten käyttäjätietojen noutamisen yhteydessä käsiteltyjen käyttäjien määrä erää kohden. Pienennä tätä arvoa, jos RFC kutsuu aikakatkaisua.	Kokonaisluku välillä 1-1 000	125
role-profiles-max	Määrittää käyttäjälle lähetettävien profiilien ja roolien enimmäismäärän, ennen kuin liitin kirjoittaa yleismerkin katkaisumerkin täydellisen luettelon sijaan.	Kokonaisluku välillä 1-1 0000	1000
role-profiles-batch-size	Tulosriville kirjoitettujen profiilien tai roolien määrä. Käyttäjät, joilla on tätä arvoa enemmän profiileja tai rooleja, jakautuvat useille riveille.	Kokonaisluku välillä 1-1 000	14

Roolin käyttöoikeuksien myöntäminen -parametrit

Parametri	Kuvaus	Sallitut arvot	Oletusarvo
roolien enimmäismäärä	Toimii suojauksena, joka rajoittaa yksittäisessä keräyssyklissä käsiteltyjen roolien määrää.	Kokonaisluku välillä 1-1000000	50
max-roles-authz-overall	Toimii suojauksena, joka rajoittaa roolin valtuutustietueiden kumulatiivista määrää, joka noudetaan kaikista rooleista yksittäisessä keräyssyklissä.	Kokonaisluku välillä 1-1000000	25000
max-roles-authz-individual	Toimii suojauksena, joka rajoittaa yksittäiselle roolille noudettavien valtuutustietueiden määrää. Tämän rajan ylittävät roolit ohitetaan.	Kokonaisluku välillä 1-1000000	5000
role-authz-batch-size	Näytettävien tietueiden määrä erää kohden, kun roolin käyttöoikeuksien vahvistamistietoja noudetaan. Pienennä tätä arvoa, jos RFC kutsuu aikakatkaisua.	Kokonaisluku välillä 1-1 000	100

Suojatoimenpiteiden katkaisukäyttäytyminen

Kun jompikumpi rajoitus saavutetaan, tulosteeseen kirjoitetaan merkintätietue, jossa on kuvaava sanoma, joka ilmaisee, mikä raja saavutettiin, todellinen tietueiden määrä ja kokoelman aikaikkuna. Nämä kaksi rajaa tuottavat erillisiä merkkejä (TRUNCATED_HEADERS ja TRUNCATED_DETAILS), jotta ne voidaan erottaa Sentinel.

Tarkista liitettävyys ja kunto

Kun olet ottanut SAP-tietoliittimen käyttöön, tarkista agenttisi kunto ja yhteys. Lisätietoja on artikkelissa SAP-järjestelmien kunnon ja roolin valvonta.

Seuraavat vaiheet

Kun liitin on otettu käyttöön, määritä Microsoft Sentinel ratkaisu SAP-sovellusten sisällölle. Tarkemmin sanottuna tietojen määrittäminen katseluluetteloihin on olennainen vaihe tunnistusten ja uhkien suojauksen käyttöönotossa.

OTA SAP-tunnistuksia ja uhkien suojaus käyttöön

Palaute

Onko tästä sivusta apua?

Last updated on 2026-04-30

SAP-järjestelmän yhdistäminen Microsoft Sentinel

Ennakkovaatimukset

Katso esittelyvideo

Näennäiskoneen luominen ja tunnistetietojen käytön määrittäminen

Hallittujen käyttäjätietojen luominen Azure näennäiskoneella

Key Vaultin luominen

Key Vaultin käyttöoikeuksien määrittäminen

Ota käyttöön tietoyhdistinagentti portaalista (esikatselu)

Katso liittimen käyttöönottovideo

Agentless Data Connectorin yhdistäminen

SAP-järjestelmien Mass-Onboard mittakaavassa

Kierrä BTP-asiakasohjelman salaista koodia

Mukauta tietoyhdistimen toimintaa (valinnainen)

Tietoyhdistimen toiminnan mukauttamisen edellytykset

Arvojen yhdistämismäärityksen artefaktin luominen ja asetusten mukauttaminen

Yleiset kokoelman ohjausobjektit

Valvontalokin parametrit

Docs-parametrien muuttaminen

Käyttäjätietojen parametrit

Roolin käyttöoikeuksien myöntäminen -parametrit

Suojatoimenpiteiden katkaisukäyttäytyminen

Tarkista liitettävyys ja kunto

Seuraavat vaiheet

Palaute

Lisäresursseja