SAP-järjestelmän määrittäminen Microsoft Sentinel ratkaisua varten

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tässä artikkelissa kuvataan, miten voit valmistella SAP-ympäristösi yhteyden muodostamiseksi SAP-tietoyhdistimeen. Valmistelut vaihtelevat sen mukaan, käytätkö säilössä olevaa tietoyhdistinagenttia. Valitse ympäristöäsi vastaava vaihtoehto sivun yläreunasta.

Tämä artikkeli on osa toista vaihetta Microsoft Sentinel ratkaisun käyttöönotossa SAP-sovelluksille.

Tärkeää

SAP:n tietoyhdistinagenttia ollaan poistamassa käytöstä pysyvästi 14.9.2026 mennessä. Suosittelemme, että siirryt agenttittomaan tietoyhdistintä. Lue lisää agentless-lähestymistavasta blogikirjoituksesta.

Kaavio sap Microsoft Sentinel sovellusten käyttöönottotyönkulusta, jossa sap-sovellusten valmisteluvaihe on korostettuna.

Tämän artikkelin menettelyt suorittaa yleensä SAP BASIS - tiimisi.

Tämä artikkeli on osa toista vaihetta Microsoft Sentinel ratkaisun käyttöönotossa SAP-sovelluksille. Kun Microsoft Sentinel suoritettavat vaiheet edellyttävät, että ratkaisu asennetaan ensin, muut VALMISTELUT SAP-ympäristössä voivat tapahtua rinnakkain.

Kaavio sap Microsoft Sentinel sovellusten käyttöönottotyönkulusta, jossa sap-sovellusten valmisteluvaihe on korostettuna.

Monet tämän artikkelin menettelyistä ovat yleensä SAP BASIS -tiimisi suorittamia. Joihinkin vaiheisiin kuuluu myös tietoturvatiimi .

Ennakkovaatimukset

  • Jos käytät agenttitonta tietoyhdistintä, Microsoft Sentinel suoritetaan joitakin vaiheita, jotka edellyttävät ratkaisun asentamista ensin.

Microsoft Sentinel roolin määrittäminen

Jotta VOIT antaa SAP-tietoliittimen muodostaa yhteyden SAP-järjestelmääsi, sinun on luotava erityisesti tätä tarkoitusta varten SAP-järjestelmärooli.

Suosittelemme tämän roolin luomista ottamalla käyttöön sap NPLK900271 muutospyynnön (CR): K900271.NPL | R900271.NPL

Ota CSS-asetukset käyttöön SAP-järjestelmässäsi tarpeen mukaan samaan tapaan kuin muitaKIN CD-pyyntöjä. Suosittelemme vahvasti, että kokenut SAP-järjestelmänvalvoja ottaa SAP CR:t käyttöön. Lisätietoja on SAP-dokumentaatiossa.

Vaihtoehtoisesti voit ladata roolivaltuutukset MSFTSEN_SENTINEL_CONNECTOR-tiedostosta , joka sisältää kaikki tietoliittimen toiminnan perusoikeudet.

Kokeneet SAP-järjestelmänvalvojat voivat luoda roolin manuaalisesti ja määrittää sille tarvittavat käyttöoikeudet. Tällaisissa tapauksissa voit luoda roolin manuaalisesti tarvittavilla valtuutuksella, joita tarvitaan käyttöönotettaville lokeille. Lisätietoja on kohdassa Pakolliset ABAP-valtuutukset. Dokumentaatiomme esimerkeissä käytetään nimeä /MSFTSEN/SENTINEL_RESPONDER .

Kun määrität roolia, suosittelemme, että:

  • Luo aktiivinen rooliprofiili Microsoft Sentinel suorittamalla PFCG-tapahtuma.
  • Käytä /MSFTSEN/SENTINEL_RESPONDER roolin nimenä.

Luo rooli käyttämällä MSFTSEN_SENTINEL_READER -mallia, joka sisältää kaikki tietoliittimen toiminnan perusoikeudet.

Lisätietoja on roolien luomisen SAP-dokumentaatiossa .

Luo käyttäjä

SAP-sovellusten Microsoft Sentinel ratkaisu edellyttää käyttäjätiliä yhteyden muodostamiseksi SAP-järjestelmääsi. Kun luot käyttäjää:

  • Varmista, että luot järjestelmän käyttäjän.
  • Määritä käyttäjälle /MSFTSEN/SENTINEL_RESPONDER-rooli , jonka loit edellisessä vaiheessa.
  • Varmista, että luot järjestelmän käyttäjän.
  • Määritä käyttäjälle MSFTSEN_SENTINEL_READER-rooli , jonka loit edellisessä vaiheessa.

Lisätietoja on SAP-dokumentaatiossa.

SAP-valvonnan määrittäminen

Joissakin SAP-järjestelmien asennuksissa valvontaloki ei ehkä ole oletusarvoisesti käytössä. Saat parhaat tulokset Microsoft Sentinel ratkaisun suorituskyvyn ja tehokkuuden arviointiin SAP-sovelluksille ottamalla käyttöön SAP-järjestelmän valvonnan ja määrittämällä valvontaparametrit.

Suosittelemme, että määrität valvontalokin kaikkien viestien valvonnan vain tiettyjen lokien sijaan. Tietojen käsittelykustannuserot ovat yleensä vähäisiä, ja tiedoista on hyötyä Microsoft Sentinel havaitsemisessa sekä kompromissien jälkeisessä tutkimuksessa ja metsästyksessä.

Vihje

Jos haluat käyttää SAP HANA DB -lokeja, muista ottaa myös SAP HANA DB -valvonta käyttöön. Lisätietoja on artikkelissa SAP HANA -valvontalokien kerääminen Microsoft Sentinel

Vihje

SAP RISE/ECS:n hallitsemien SAP-järjestelmien suojausvalvontalokin käyttöönotto on osa jaettua vastuuta koskevaa sopimusta. Tarkista SAP-yhteyshenkilöltäsi, onko valvonta oletusarvoisesti jo aktiivinen tai onko lisätoimia suoritettava. SAP S/4HANA Cloudin julkisen version järjestelmissä valvonta on oletusarvoisesti käytössä.

Jos haluat seurata kattavasti agenttitonta tietoyhdistintä, suosittelemme, että otat käyttöön valvotun SAP-järjestelmien kaikkien asiakastunnukset, mukaan lukien asiakkaat 000 ja 066.

Lisätietoja on SAP:n artikkelissa.

Järjestelmän määrittäminen käyttämään SNC:tä suojattuihin yhteyksiin

SAP-tietoyhdistinagentti muodostaa oletusarvoisesti yhteyden SAP-palvelimeen etätoimintakutsuyhteyden (RFC) sekä todennuksen käyttäjänimen ja salasanan avulla.

Sinun täytyy ehkä kuitenkin muodostaa yhteys salatulla kanavalla tai käyttää asiakasvarmenteita todentamiseen. Näissä tapauksissa voit suojata tietoyhteydet SAP:n älykkäällä verkkoviestinnällä (SNC), kuten tässä osiossa on kuvattu.

Tuotantoympäristössä suosittelemme painokkaasti, että ota yhteyttä SAP-järjestelmänvalvojiin ja luo käyttöönottosuunnitelma SNC:n määrittämistä varten. Lisätietoja on SAP-dokumentaatiossa.

SNC:tä määritettäessä:

  • Jos asiakasvarmenteen on myöntänyt yrityksen varmenteiden myöntäjä, siirrä varmenteiden myöntäjän ja varmenteiden päämyöntäjän varmenteet järjestelmään, jossa aiot luoda tietoyhdistinagentin.
  • Jos käytät tietoyhdistinagenttia, muista syöttää myös asianmukaiset arvot ja käyttää asianmukaisia menettelytapoja SAP-tietoyhdistinagentin säilöä määritettäessä. Jos käytät agenttitonta tietoyhdistintä, SNC-määritys tehdään SAP Cloud Connectorissa.

Lisätietoja SNC:stä on artikkelissa SAP SNC:n käytön aloittaminen RFC-integrointeja varten – SAP-blogi.

Vaikka tämä vaihe on valinnainen, suosittelemme, että otat käyttöön SAP-tietoliittimen noutamaan seuraavat sisältötiedot SAP-järjestelmästäsi:

  • Tietokannan taulukko- ja taustatulostuslokit
  • Asiakkaan IP-osoitetiedot suojauksen valvontalokeista

  1. Ota tarvittavat CR:t käyttöön Microsoft Sentinel GitHub-säilöstä SAP-versiosi mukaisesti:

    SAP BASIS -versiot Suositeltu cr
    750 tai uudempi NPLK900202: K900202.NPL, R900202.NPL

    Kun otat tämän CR:n käyttöön millä tahansa seuraavista SAP-versioista, ota käyttöön myös 2641084 – Suojauksen valvontalokin tietojen standardoitu lukuoikeus:
    - 750 SP04-SP12
    - 751 SP00 - SP06
    - 752 SP00 - SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Ota CSS-asetukset käyttöön SAP-järjestelmässäsi tarpeen mukaan samaan tapaan kuin muitaKIN CD-pyyntöjä. Suosittelemme vahvasti, että kokenut SAP-järjestelmänvalvoja ottaa SAP CR:t käyttöön. Lisätietoja on SAP-dokumentaatiossa.

    Lisätietoja on SAP-yhteisössä ja SAP-dokumentaatiossa.

  2. Jos haluat tukea SAP BASIS -versioita 7.31-7.5 SP12 asiakkaan IP-osoitetietojen lähettämisessä Microsoft Sentinel, ota kirjaaminen käyttöön SAP-taulukossa USR41. Lisätietoja on SAP-dokumentaatiossa.

Varmista, että PAHI-taulukkoa päivitetään säännöllisin väliajoin

SAP PAHI -taulukko sisältää tietoja SAP-järjestelmän historiasta, tietokannasta ja SAP-parametreista. Joissakin tapauksissa sap-sovellusten Microsoft Sentinel ratkaisu ei voi seurata SAP PAHI -taulukkoa säännöllisin väliajoin puuttuvien tai virheellisten määritysten vuoksi. On tärkeää päivittää PAHI-taulukko ja valvoa sitä usein, jotta SAP-sovellusten Microsoft Sentinel ratkaisu voi varoittaa epäilyttävistä toimista, joita voi tapahtua milloin tahansa päivän aikana. Lisätietoja on seuraavissa artikkeleissa:

Jos PAHI-taulukkoa päivitetään säännöllisesti, SAP_COLLECTOR_FOR_PERFMONITOR työ ajoitetaan ja se suoritetaan tunneittain. SAP_COLLECTOR_FOR_PERFMONITOR Jos työtä ei ole olemassa, varmista, että määrität sen tarvittaessa.

Lisätietoja on kohdassa Tietokannan keräystoiminto taustakäsittelyssä ja tiedonkeruutyökalun määrittämisessä.

SAP BTP -asetusten määrittäminen

  1. Lisää OIKEUDET SAP BTP -alitiliin seuraaviin palveluihin:

    • SAP Integration Suite
    • SAP-prosessin integroinnin suorituspalvelu
    • Cloud Foundry Runtime

Huomautus

Tämä ratkaisu ottaa huomioon vain SAP Cloud Integrationin Cloud Foundry -ympäristössä.

  1. Luo Cloud Foundry Runtime -esiintymä ja luo sitten myös Cloud Foundry -tila.

  2. Luo SAP Integration Suite -esiintymä.

  3. Määritä SAP BTP Integration_Provisioner -rooli SAP BTP -alitilisi käyttäjätilille.

  4. Lisää SAP Integration Suiteen pilviintegraatioominaisuus.

  5. Määritä seuraavat prosessin integrointiroolit käyttäjätilillesi:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Nämä roolit ovat käytettävissä vasta, kun olet aktivoinut pilviintegraatiotoiminnon.

  6. Luo SAP-prosessin esiintymä integroinnin suorituspalvelu alitililläsi palvelusuunnitelman integroinnin työnkulun (ei ohjelmointirajapinnan) avulla.

  7. Luo SAP-prosessin palveluavain integroinnin suorituspalvelu ja tallenna JSON-sisältö suojattuun sijaintiin. Sinun on aktivoitava pilvipalvelujen integrointiominaisuus, ennen kuin luot SAP Process integroinnin suorituspalvelu palveluavaimen.

Lisätietoja on SAP-dokumentaatiossa.

Liittimen määrittäminen Microsoft Sentinel ja SAP-järjestelmässä

Tässä toimenpiteessä on vaiheet sekä Microsoft Sentinel että SAP-järjestelmässä, ja se edellyttää koordinointia SAP-järjestelmänvalvojan kanssa.

  1. Siirry Microsoft Sentinel Määritystietojen > liittimet -sivulle ja etsi sap – agentless data connector -Microsoft Sentinel.

  2. Laajenna kokoonpano-osiossaalkuperäisen liittimen määrityksen ohjeet - Suorita alla olevat vaiheet kerran: -osio. Nämä vaiheet edellyttävät sekä SecuritySOC-teknikkoasi että SAP-järjestelmänvalvojaa.

    1. Käynnistä Azure resurssien automaattinen käyttöönotto (SOC Engineer). Jos vaiheiden 2 ja 3 arvoja ei automaattisesti täytetä, sulje vaihe 1 ja laajenna ne uudelleen vaiheiden 2 ja 3 arvojen päivittämiseksi sen jälkeen, kun olet ottanut Azure resurssit käyttöön.

    2. Ota käyttöön OAuth2-asiakkaan tunnistetietojen artefakti SAP-integroinnissa (SAP Hallinta).

    3. Ota SAP Agentless Data Connector -paketti käyttöön SAP Integration Suitessa (SAP Hallinta). Tämä toimintosarja suoritetaan SAP Integration Suite -portaalista (SAP Cloud Integration Web UI).

      1. Avaa Etsi-osa .
      2. Hae Microsoft Sentinel ratkaisu ja avaa se.
      3. Tuo integrointipaketti Cloud Integration -vuokraajaan napsauttamalla Kopioi .
      4. Avaa paketti ja siirry Artefaktit-välilehteen . Valitse sitten Tiedonkeruutyökalun määritys. Lisätietoja on SAP-dokumentaatiossa.
      5. Määritä integrointityönkulku LogIngestionURL :n ja DCRImmutableID:n avulla.
      6. Ota iflow käyttöön SAP Cloud Integrationin avulla suorituksenaikaisena palveluna.

SAP Cloud Connector -asetusten määrittäminen

  1. Asenna SAP Cloud Connector. Lisätietoja on SAP-dokumentaatiossa.

  2. Kirjaudu sisään pilviyhdistimen käyttöliittymässä ja lisää alitili asianmukaisilla tunnistetiedoilla. Lisätietoja on SAP-dokumentaatiossa.

  3. Lisää pilviyhdistimen alitiliin uusi järjestelmän yhdistämismääritys taustajärjestelmään ABAP-järjestelmän liittämiseksi RFC-protokollaan.

  4. Määritä kuormituksen tasauksen asetukset ja anna taustan ABAP-palvelimen tiedot. Kopioi tässä vaiheessa näennäisisännän nimi suojattuun sijaintiin käytettäväksi myöhemmin käyttöönottoprosessissa.

  5. Lisää uusia resursseja järjestelmän yhdistämismääritykseen kullekin seuraavista funktioiden nimistä:

    • RSAU_API_GET_LOG_DATA, jos haluat noutaa SAP-suojauksen valvontalokin tiedot

    • BAPI_USER_GET_DETAIL, jos haluat noutaa SAP-käyttäjätiedot

    • RFC_READ_TABLE, tietojen lukeminen vaadituista taulukoista

    • SIAG_ROLE_GET_AUTH, käyttöoikeusroolin käyttöoikeuksien noutaminen

    • /OSP/SYSTEM_TIMEZONE, jos haluat noutaa SAP-järjestelmän aikavyöhyketiedot

Huomautus

Annettu rooli on määritetty pienintä käyttöoikeutta varten. Näin varmistetaan, että funktiomoduuleja, kuten RFC_READ_TABLE, käytetään vain tarvittaessa. Harkitse SAP:n parhaita käytäntöjä RFC-käyttöä ja SAP Unified Connectivity (UCON) -asetuksia, joiden avulla hallitaan funktiomoduulin käyttöä SAP Cloud Connectorin ja SAP-roolin hallinnan lisäksi.

  1. Lisää SAP BTP:hen uusi kohde, joka osoittaa aiemmin luomaasi näennäisisäntään. Täytä uusi kohde seuraavien tietojen avulla:

    • Nimi: Anna nimi, jota haluat käyttää Microsoft Sentinel yhteydessä

    • TyyppiRFC

    • Välityspalvelimen tyyppi:On-Premise

    • Käyttäjä: Anna aiemmin luomasi ABAP-käyttäjätili Microsoft Sentinel

    • Valtuutustyyppi:CONFIGURED USER

    • Lisäominaisuudet:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Sijainti: Pakollinen vain, kun yhdistät useita pilviyhdistimiä samaan BTP-alitiliin. Lisätietoja on SAP-dokumentaatiossa.

Edellytettävän tarkistuksen suorittaminen

  1. Edellytettävän tarkistuksen iflow sisältyy pakettiin. Määritä ja ota tämä iflow käyttöön ennen seuraavaan vaiheeseen jatkamista, jotta SAP-järjestelmäsi täyttää järjestelmän edellytykset ennen integrointia Microsoft Sentinel kanssa. Käyttöönoton jälkeen iflow suoritetaan aikataulun mukaisesti SAP Cloud Integrationissa. tarkista viimeisin suoritustila onnistumisen varmistamiseksi.

    Työkalun määrittäminen ja käyttöönotto:

    1. Avaa integrointipaketti, siirry Artefaktit-välilehteen ja valitse Edellytettävän tarkistuksen iflow >Configure.
    2. Määritä tarkistettavan SAP-järjestelmän etätoimintakutsun (RFC) kohdekohteen nimi. Esimerkiksi A4H-100-Sentinel-RFC.
    3. Ota iflow käyttöön samalla tavalla kuin sap-järjestelmissäsi.
    4. Saat parhaat tulokset suorittamalla tarkistustoiminnon 24 tunnin ajan1 minuutin tiheydellä , jotta saat kiinni poikkeavuudet, kuten konnat yön yli -erätyöt, tai tuntemattomat käyttöpiikit.

    Tarkistustilan tarkistaminen:

    1. Avaa SAP Cloud Integrationissa Monitor> Integrations ja etsi edellytettävän tarkistustoiminnon iflow-työnkulunsuoritukset katselujaksosi mukaan (esimerkiksi 24h). Vahvista, että suoritukset on suoritettu ja tila on Valmis (HTTP 200) ja että vastauksen tiedot eivät sisällä varoituksia tai virheitä. Ajoitustoiminto voi tuottaa sanomia, joiden tila on "Hylätty", SAP Cloud Integrationin sisäisen toiminnan vuoksi. Nämä viestit voidaan ohittaa, ja ne sisältävät esimerkiksi tekstiä "Viestin käsittely on hylätty, koska toinen prosessi käsitteli käynnistimen ajastintapahtumaa".
    2. Tarkista tarkistustulosten viestien käsittelylokin (MPL) liitteet ja ominaisuudet. Avaa MPL-merkintään liitetty tiedosto.

    Näyttökuva edellytyksen tarkistusohjelman iflow-suorituksen tilan paikkamerkistä SAP Cloud Integration Monitorissa.

    Käytä seuraavaa taulukkoa tulosten tulkitsemiseen:

    Tila Mitä se tarkoittaa Seuraavat vaiheet
    Valmis, ei varoituksia Kaikki edellytykset täyttyvät. Jatka SAP-järjestelmän yhdistämistä Microsoft Sentinel.
    Valmis, varoituksia Edellytykset täyttyvät osittain. Tarkista vastauksen tiedot ja korjaa ne ennen yhteyden muodostamista.
    Epäonnistunut tai muu kuin 200-tila Tarkistustoiminto ei päässyt SAP-kohdejärjestelmään tai havaitsi määritysvirheen. Tarkista RFC-kohde ja tunnistetiedot, suorita sitten iflow uudelleen ja suorita se uudelleen.

    Jos havaintoja jää jäljelle, katso korjausvaiheita koskevat ohjeet vastauksen tiedoista. Vanhat SAP-järjestelmät edellyttävät usein ylimääräisiä SAP-muistiinpanoja. Katso lisäksi yleisiä ongelmia ja ratkaisuja vianmääritysosiosta .

    Valmistumisen jälkeen:

    Poista ajoitetun edellytettyjen edellytysten tarkistuksen iflow, kun SAP-järjestelmän tarkistus on suoritettu onnistuneesti. Toista tämä jakso jokaiselle uudelle SAP-järjestelmälle, joka otetaan käyttöön.

  2. Vieritä Sentinel portaalissa tarkemmin Määritys-alueella ja laajenna ja noudata ohjeita kohdassa Lisää valvotut SAP-järjestelmät - Suorita alla olevat vaiheet kullekin valvotulle SAP-järjestelmälle: alue jokaiselle SAP-järjestelmälle, jota haluat valvoa.

    Kun pääset vaiheeseen 2. Yhdistä SAP-järjestelmä Microsoft Sentinel/ SOC Engineeriin. Jatka sap-järjestelmän yhdistämistä Microsoft Sentinel.

Seuraavat vaiheet

SAP-järjestelmän yhdistäminen Microsoft Sentinel

  • Last updated on