Configurare il sistema SAP per la soluzione Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Questo articolo descrive come preparare l'ambiente SAP per la connessione al connettore dati SAP. La preparazione varia a seconda che si usi l'agente del connettore dati in contenitori. Selezionare l'opzione nella parte superiore della pagina corrispondente all'ambiente.

Questo articolo fa parte del secondo passaggio della distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.

Importante

L'agente del connettore dati per SAP è deprecato e verrà disabilitato definitivamente entro il 14 settembre 2026. È consigliabile eseguire la migrazione al connettore dati senza agente. Altre informazioni sull'approccio senza agente sono disponibili nel post di blog.

Diagramma del flusso di distribuzione per la soluzione Microsoft Sentinel per le applicazioni SAP, con il passaggio di preparazione di SAP evidenziato.

Le procedure descritte in questo articolo vengono in genere eseguite dal team SAP BASIS .

Questo articolo fa parte del secondo passaggio della distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP. Anche se i passaggi eseguiti in Microsoft Sentinel richiedono che la soluzione venga installata per prima, altri preparativi nell'ambiente SAP possono essere eseguiti in parallelo.

Diagramma del flusso di distribuzione per la soluzione Microsoft Sentinel per le applicazioni SAP, con il passaggio di preparazione di SAP evidenziato.

Molte delle procedure descritte in questo articolo vengono in genere eseguite dal team SAP BASIS . Alcuni passaggi includono anche il team di sicurezza .

Prerequisiti

Configurare il ruolo Microsoft Sentinel

Per consentire al connettore dati SAP di connettersi al sistema SAP, è necessario creare un ruolo di sistema SAP specifico per questo scopo.

È consigliabile creare questo ruolo distribuendo la richiesta di modifica SAP NPLK900271: K900271.NPL | R900271.NPL

Distribuire le richieste di ripristino nel sistema SAP in base alle esigenze proprio come si distribuiscono altre richieste di ripristino. È consigliabile che la distribuzione delle richieste di ripristino SAP venga eseguita da un amministratore di sistema SAP esperto. Per altre informazioni, vedere la documentazione di SAP.

In alternativa, caricare le autorizzazioni del ruolo dal file MSFTSEN_SENTINEL_CONNECTOR , che include tutte le autorizzazioni di base per il funzionamento del connettore dati.

Gli amministratori SAP esperti potrebbero scegliere di creare il ruolo manualmente e assegnargli le autorizzazioni appropriate. In questi casi, creare manualmente un ruolo con le autorizzazioni pertinenti necessarie per i log da inserire. Per altre informazioni, vedere Autorizzazioni ABAP necessarie. Gli esempi nella documentazione usano il nome /MSFTSEN/SENTINEL_RESPONDER .

Quando si configura il ruolo, è consigliabile:

  • Generare un profilo di ruolo attivo per Microsoft Sentinel eseguendo la transazione PFCG.
  • Usare /MSFTSEN/SENTINEL_RESPONDER come nome del ruolo.

Creare un ruolo usando il modello MSFTSEN_SENTINEL_READER , che include tutte le autorizzazioni di base per il funzionamento del connettore dati.

Per altre informazioni, vedere la documentazione sap sulla creazione di ruoli.

Creare un utente

La soluzione Microsoft Sentinel per le applicazioni SAP richiede un account utente per connettersi al sistema SAP. Quando si crea l'utente:

  • Assicurarsi di creare un utente di sistema.
  • Assegnare il ruolo /MSFTSEN/SENTINEL_RESPONDER all'utente, creato nel passaggio precedente.
  • Assicurarsi di creare un utente di sistema.
  • Assegnare il ruolo MSFTSEN_SENTINEL_READER all'utente, creato nel passaggio precedente.

Per altre informazioni, vedere la documentazione di SAP.

Configurare il controllo SAP

Alcune installazioni di sistemi SAP potrebbero non avere la registrazione di controllo abilitata per impostazione predefinita. Per ottenere risultati ottimali nella valutazione delle prestazioni e dell'efficacia della soluzione Microsoft Sentinel per le applicazioni SAP, abilitare il controllo del sistema SAP e configurare i parametri di controllo.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze tra i costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti Microsoft Sentinel e nelle indagini e nella ricerca post-compromissione.

Consiglio

Se si vogliono inserire i log del database SAP HANA, assicurarsi di abilitare anche il controllo per SAP HANA DB. Per altre informazioni, vedere Raccogliere i log di controllo di SAP HANA in Microsoft Sentinel

Consiglio

Per i sistemi SAP gestiti da SAP RISE/ECS, l'abilitazione del log di controllo della sicurezza fa parte del contratto di responsabilità condivisa. Verificare con il contatto SAP se il controllo è già attivo per impostazione predefinita o se è necessario eseguire altri passaggi. I sistemi di edizione pubblica SAP S/4HANA Cloud hanno il controllo abilitato per impostazione predefinita.

Per una copertura di monitoraggio completa con il connettore dati senza agente, è consigliabile abilitare il monitoraggio su tutti gli ID client dei sistemi SAP monitorati, inclusi i client 000 e 066.

Per altre informazioni, vedere l'articolo di SAP.

Configurare il sistema per l'uso di SNC per connessioni sicure

Per impostazione predefinita, l'agente connettore dati SAP si connette a un server SAP usando una connessione RFC (Remote Function Call) e un nome utente e una password per l'autenticazione.

Tuttavia, potrebbe essere necessario stabilire la connessione su un canale crittografato o usare i certificati client per l'autenticazione. In questi casi, usare Smart Network Communications (SNC) da SAP per proteggere le connessioni dati, come descritto in questa sezione.

In un ambiente di produzione è consigliabile consultare gli amministratori SAP per creare un piano di distribuzione per la configurazione di SNC. Per altre informazioni, vedere la documentazione di SAP.

Quando si configura SNC:

  • Se il certificato client è stato emesso da un'autorità di certificazione aziendale, trasferire la CA emittente e i certificati CA radice al sistema in cui si prevede di creare l'agente del connettore dati.
  • Se si usa l'agente connettore dati, assicurarsi di immettere anche i valori pertinenti e usare le procedure pertinenti durante la configurazione del contenitore dell'agente del connettore dati SAP. Se si usa il connettore dati senza agente, la configurazione SNC viene eseguita in SAP Cloud Connector.

Per altre informazioni su SNC, vedere Introduzione a SAP SNC for RFC integrations - SAP blog( Introduzione a SAP SNC per integrazioni RFC - SAP).

Anche se questo passaggio è facoltativo, è consigliabile abilitare il connettore dati SAP per recuperare le informazioni sul contenuto seguenti dal sistema SAP:

  • Log di output della tabella e dello spooling del database
  • Informazioni sugli indirizzi IP client dai log di controllo di sicurezza

  1. Distribuire i CRs pertinenti dal repository GitHub Microsoft Sentinel, in base alla versione sap:

    Versioni di SAP BASIS CR consigliato
    750 e versioni successive NPLK900202: K900202.NPL, R900202.NPL

    Quando si distribuisce questo CR in una delle versioni SAP seguenti, distribuire anche 2641084 - Accesso in lettura standardizzato ai dati del log di controllo della sicurezza:
    - da 750 SP04 a SP12
    - da 751 SP00 a SP06
    - da 752 SP00 a SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Distribuire le richieste di ripristino nel sistema SAP in base alle esigenze proprio come si distribuiscono altre richieste di ripristino. È consigliabile che la distribuzione delle richieste di ripristino SAP venga eseguita da un amministratore di sistema SAP esperto. Per altre informazioni, vedere la documentazione di SAP.

    Per altre informazioni, vedere la community SAP e la documentazione di SAP.

  2. Per supportare SAP BASIS versioni 7.31-7.5 SP12 nell'invio di informazioni sugli indirizzi IP client a Microsoft Sentinel, attivare la registrazione per la tabella SAP USR41. Per altre informazioni, vedere la documentazione di SAP.

Verificare che la tabella PAHI venga aggiornata a intervalli regolari

La tabella SAP PAHI include dati sulla cronologia del sistema SAP, sul database e sui parametri SAP. In alcuni casi, la soluzione Microsoft Sentinel per le applicazioni SAP non può monitorare la tabella SAP PAHI a intervalli regolari, a causa di una configurazione mancante o difettosa. È importante aggiornare la tabella PAHI e monitorarla di frequente, in modo che la soluzione Microsoft Sentinel per le applicazioni SAP possa segnalare azioni sospette che potrebbero verificarsi in qualsiasi momento durante il giorno. Per altre informazioni, vedere:

Se la tabella PAHI viene aggiornata regolarmente, il SAP_COLLECTOR_FOR_PERFMONITOR processo viene pianificato ed eseguito ogni ora. Se il SAP_COLLECTOR_FOR_PERFMONITOR processo non esiste, assicurarsi di configurarlo in base alle esigenze.

Per altre informazioni, vedere Agente di raccolta database in Elaborazione in background e Configurazione dell'agente di raccolta dati.

Configurare le impostazioni di SAP BTP

  1. Nell'account secondario SAP BTP aggiungere i diritti per i servizi seguenti:

    • SAP Integration Suite
    • Processo SAP Integration Runtime
    • Cloud Foundry Runtime

Nota

Questa soluzione considera solo SAP Cloud Integration nell'ambiente Cloud Foundry.

  1. Creare un'istanza di Cloud Foundry Runtime e quindi creare anche uno spazio Cloud Foundry.

  2. Creare un'istanza di SAP Integration Suite.

  3. Assegnare il ruolo Integration_Provisioner SAP BTP all'account utente dell'account secondario SAP BTP.

  4. In SAP Integration Suite aggiungere la funzionalità di integrazione cloud.

  5. Assegnare i ruoli di integrazione del processo seguenti all'account utente:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Questi ruoli sono disponibili solo dopo l'attivazione della funzionalità di integrazione cloud.

  6. Creare un'istanza del processo SAP Integration Runtime nell'account secondario usando il flusso di integrazione del piano di servizio (non l'API).Create an instance of the SAP Process Integration Runtime in your subaccount using service plan integration-flow (not API!).

  7. Creare una chiave di servizio per il processo SAP Integration Runtime e salvare il contenuto JSON in una posizione sicura. È necessario attivare la funzionalità di integrazione cloud prima di creare una chiave di servizio per il processo SAP Integration Runtime.

Per altre informazioni, vedere la documentazione di SAP.

Configurare il connettore in Microsoft Sentinel e nel sistema SAP

Questa procedura include passaggi sia in Microsoft Sentinel che nel sistema SAP e richiede il coordinamento con l'amministratore SAP.

  1. In Microsoft Sentinel passare alla pagina Connettori dati di configurazione > e individuare il Microsoft Sentinel per SAP - Connettore dati senza agente.

  2. Nella sezione Configurazione espandere e seguire le istruzioni nella sezione Configurazione iniziale del connettore: eseguire i passaggi seguenti una volta: Questi passaggi richiederanno sia il tecnico securitySOC che l'amministratore SAP.

    1. Attivare la distribuzione automatica delle risorse Azure (tecnico SOC). Se, dopo aver distribuito le risorse Azure, i valori nei passaggi 2 e 3 non vengono popolati automaticamente, chiudere ed espandere nuovamente il passaggio 1 per aggiornare i valori nei passaggi 2 e 3.

    2. Distribuire un artefatto delle credenziali client OAuth2 nell'integrazione SAP (SAP Amministrazione).

    3. Distribuire il pacchetto del connettore dati senza agente SAP in SAP Integration Suite (SAP Amministrazione). Questa procedura viene eseguita dal portale di SAP Integration Suite (interfaccia utente Web di SAP Cloud Integration).

      1. Aprire la sezione Individua .
      2. Cercare Microsoft Sentinel soluzione e aprirla.
      3. Fare clic su Copia per importare il pacchetto di integrazione nel tenant di Integrazione cloud.
      4. Aprire il pacchetto e passare alla scheda Artefatti . Selezionare quindi la configurazione dell'agente di raccolta dati . Per altre informazioni, vedere la documentazione di SAP.
      5. Configurare il flusso di integrazione con LogIngestionURL e DCRImmutableID.
      6. Distribuire l'iflow usando SAP Cloud Integration come servizio di runtime.

Configurare le impostazioni di SAP Cloud Connector

  1. Installare SAP Cloud Connector. Per altre informazioni, vedere la documentazione di SAP.

  2. Accedere all'interfaccia del connettore cloud e aggiungere l'account secondario usando le credenziali pertinenti. Per altre informazioni, vedere la documentazione di SAP.

  3. Nell'account secondario del connettore cloud aggiungere un nuovo mapping di sistema al sistema back-end per eseguire il mapping del sistema ABAP al protocollo RFC.

  4. Definire le opzioni di bilanciamento del carico e immettere i dettagli del server ABAP back-end. In questo passaggio copiare il nome dell'host virtuale in un percorso sicuro da usare più avanti nel processo di distribuzione.

  5. Aggiungere nuove risorse al mapping di sistema per ognuno dei nomi di funzione seguenti:

    • RSAU_API_GET_LOG_DATA per recuperare i dati del log di controllo di sicurezza SAP

    • BAPI_USER_GET_DETAIL, per recuperare i dettagli dell'utente SAP

    • RFC_READ_TABLE, per leggere i dati dalle tabelle necessarie

    • SIAG_ROLE_GET_AUTH, per recuperare le autorizzazioni del ruolo di sicurezza

    • /OSP/SYSTEM_TIMEZONE, per recuperare i dettagli del fuso orario del sistema SAP

Nota

Il ruolo specificato è configurato per l'accesso con privilegi minimi. In questo modo, i moduli di funzione, ad esempio RFC_READ_TABLE, vengono usati solo in base alle esigenze. Prendere in considerazione le procedure consigliate di SAP per l'accesso RFC e le impostazioni della connettività unificata SAP (UCON) per controllare l'accesso ai moduli di funzione oltre i controlli di SAP Cloud Connector e del ruolo SAP.

  1. Aggiungere una nuova destinazione in SAP BTP che punta all'host virtuale creato in precedenza. Usare i dettagli seguenti per popolare la nuova destinazione:

    • Nome: Immettere il nome da usare per la connessione Microsoft Sentinel

    • DigitareRFC

    • Tipo proxy:On-Premise

    • Utente: immettere l'account utente ABAP creato in precedenza per Microsoft Sentinel

    • Tipo di autorizzazione:CONFIGURED USER

    • Proprietà aggiuntive:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Posizione: obbligatorio solo quando si connettono più connettori cloud allo stesso account secondario BTP. Per altre informazioni, vedere la documentazione di SAP.

Eseguire il controllo dei prerequisiti

  1. Il flusso di iflow controllo prerequisiti è incluso nel pacchetto. Configurare e distribuire questo iflow prima di continuare con il passaggio successivo, in modo che il sistema SAP soddisfi i prerequisiti del sistema prima dell'integrazione con Microsoft Sentinel. Dopo la distribuzione, iflow viene eseguito in base a una pianificazione in SAP Cloud Integration; esaminare lo stato di esecuzione più recente per confermare l'esito positivo.

    Per configurare e distribuire lo strumento:

    1. Aprire il pacchetto di integrazione, passare alla scheda Artefatti e selezionare Il flusso >di controllo prerequisitiConfigura.
    2. Impostare il nome di destinazione della chiamata di funzione remota (RFC) sul sistema SAP da controllare. Ad esempio, A4H-100-Sentinel-RFC.
    3. Distribuire l'iflow come si farebbe in caso contrario per i sistemi SAP.
    4. Per ottenere risultati ottimali, eseguire il controllo per 24 ore con frequenza di 1min per rilevare eventuali anomalie, ad esempio processi batch notturni non autorizzati o picchi di utilizzo sconosciuti.

    Per verificare lo stato del controllo:

    1. In SAP Cloud Integration aprire MonitorIntegrations (Integrazioni di monitoraggio>) e individuare le esecuzioni dell'iflow di Controllo prerequisiti in base al periodo di controllo (ad esempio 24 ore). Verificare che le esecuzioni siano state completate con stato Completato (HTTP 200) e che il payload della risposta non contenga avvisi o errori. L'utilità di pianificazione può generare messaggi con stato "Scartato" a causa del funzionamento interno di SAP Cloud Integration. Questi messaggi possono essere ignorati e contenere testo come "L'elaborazione dei messaggi è stata eliminata perché l'evento timer di attivazione era già gestito da un altro processo".
    2. Esaminare gli allegati e le proprietà del log di elaborazione dei messaggi (MPL) per i risultati per ogni controllo. Aprire il file collegato alla voce MPL.

    Segnaposto screenshot dello stato di esecuzione del flusso di controllo dei prerequisiti in SAP Cloud Integration Monitor.

    Usare la tabella seguente per interpretare i risultati:

    Stato Che cosa significa Passaggio successivo
    Completato, nessun avviso Vengono soddisfatti tutti i prerequisiti. Continuare a connettere il sistema SAP a Microsoft Sentinel.
    Completato, con avvisi I prerequisiti sono parzialmente soddisfatti. Esaminare i dettagli della risposta e correggere prima di connettersi.
    Stato non riuscito o non 200 Il controllo non è riuscito a raggiungere il sistema SAP di destinazione o ha rilevato un errore di configurazione. Verificare la destinazione RFC e le credenziali, quindi ridistribuire ed eseguire nuovamente l'iflow.

    Se rimangono risultati, consultare i dettagli della risposta per indicazioni sui passaggi di correzione. I sistemi SAP legacy spesso richiedono note SAP aggiuntive. Vedere inoltre la sezione relativa alla risoluzione dei problemi per problemi e soluzioni comuni.

    Dopo il completamento:

    Annullare la distribuzione del flusso di iflow di controllo dei prerequisiti pianificato dopo il completamento del controllo del sistema SAP. Ripetere questa sequenza per ogni nuovo sistema SAP di cui verrà eseguito l'onboarding.

  2. Nel portale di Sentinel scorrere più in basso nell'area Configurazione, espandere e seguire le istruzioni in Aggiungere sistemi SAP monitorati - Eseguire i passaggi seguenti per ogni sistema SAP monitorato: area per ogni sistema SAP che si vuole monitorare.

    Quando si arriva al passaggio 2. Connettere SAP System a Microsoft Sentinel/SOC Engineer, continuare con Connettere il sistema SAP a Microsoft Sentinel.

Passaggio successivo

Connettere il sistema SAP a Microsoft Sentinel

  • Last updated on