Koble SAP-systemet til Microsoft Sentinel

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Hvis Microsoft Sentinel løsning for at SAP-programmer skal fungere riktig, må du først hente SAP-dataene inn i Microsoft Sentinel. Gjør dette ved å distribuere Microsoft Sentinel SAP-datakoblingsagent, eller ved å koble til Microsoft Sentinel agentløs datakobling for SAP. Velg alternativet øverst på siden som samsvarer med miljøet ditt.

Denne artikkelen beskriver det tredje trinnet i distribusjon av en av Microsoft Sentinel løsninger for SAP-programmer.

Viktig

Datakoblingsagenten for SAP avvikles og deaktiveres permanent innen 14. september 2026. Vi anbefaler at du overfører til den agentløse datakoblingen. Mer informasjon om den agentløse tilnærmingen fra blogginnlegget vårt.

Diagram over distribusjonsflyten for SAP-løsninger, som uthever trinnet Koble til SAP-systemet.

Innhold i denne artikkelen er relevant for dine sikkerhets-, infrastruktur- og SAP BASIS-team . Pass på å utføre trinnene i denne artikkelen i den rekkefølgen de presenteres.

Diagram over distribusjonsflyten for SAP-løsninger, som uthever trinnet Koble til SAP-systemet.

Innholdet i denne artikkelen er relevant for sikkerhetsteamet .

Forutsetninger

Før du kobler SAP-systemet til Microsoft Sentinel:

Se en demonstrasjonsvideo

Se en av følgende videodemonstrasjoner av distribusjonsprosessen som er beskrevet i denne artikkelen.

Et dypdykk i portalalternativene:

Inneholder flere detaljer om hvordan du bruker Azure KeyVault. Ingen lyd, demonstrasjon bare med bildetekster:

Opprett en virtuell maskin og konfigurer tilgang til legitimasjonen din

Vi anbefaler at du oppretter en dedikert virtuell maskin for beholderen for datakoblingsagenten for å sikre optimal ytelse og unngå potensielle konflikter. Hvis du vil ha mer informasjon, kan du se Systemkrav for beholderen for datakoblingsagenten.

Vi anbefaler at du lagrer SAP- og godkjenningshemmelighetene i en Azure Key Vault. Hvordan du får tilgang til nøkkelhvelvet, avhenger av hvor den virtuelle maskinen (VM) distribueres:

Distribusjonsmetode Access-metode
Beholder på en Azure VM Vi anbefaler at du bruker en Azure systemtilknyttet administrert identitet til å få tilgang til Azure Key Vault.

Hvis en systemtilknyttet administrert identitet ikke kan brukes, kan beholderen også godkjenne til Azure Key Vault ved hjelp av en Microsoft Entra ID tjenestekontohaver for registrerte programmer, eller, som en siste utvei, en konfigurasjonsfil.
En beholder på en lokal virtuell maskin eller en virtuell maskin i et tredjeparts skymiljø Godkjenn for Azure Key Vault ved hjelp av en Microsoft Entra ID tjenestekontohaver for registrert program.

Hvis du ikke kan bruke et registrert program eller en tjenestekontohaver, kan du bruke en konfigurasjonsfil til å administrere legitimasjonen din, selv om denne metoden ikke foretrekkes. Hvis du vil ha mer informasjon, kan du se Distribuer datakoblingen ved hjelp av en konfigurasjonsfil.

Hvis du vil ha mer informasjon, kan du se:

Den virtuelle maskinen er vanligvis opprettet av infrastrukturteamet . Konfigurering av tilgang til legitimasjon og administrasjon av viktige hvelv gjøres vanligvis av sikkerhetsteamet .

Opprette en administrert identitet med en Azure VM

  1. Kjør følgende kommando for å opprette en virtuell maskin i Azure, og erstatte faktiske navn fra miljøet for <placeholders>følgende:

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    Hvis du vil ha mer informasjon, kan du se Hurtigstart: Opprette en Linux virtuell maskin med Azure CLI.

    Viktig

    Når den virtuelle maskinen er opprettet, må du sørge for å bruke eventuelle sikkerhetskrav og herdingsprosedyrer som gjelder i organisasjonen.

    Denne kommandoen oppretter VM-ressursen og produserer utdata som ser slik ut:

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. Kopier GUID-en systemAssignedIdentity , slik den brukes i de kommende trinnene. Dette er din administrerte identitet.

Opprett et nøkkelhvelv

Denne fremgangsmåten beskriver hvordan du oppretter et nøkkelhvelv for å lagre agentkonfigurasjonsinformasjonen din, inkludert sap-godkjenningshemmelighetene dine. Hvis du bruker et eksisterende nøkkelhvelv, går du direkte til trinn 2.

Slik oppretter du nøkkelhvelvet:

  1. Kjør følgende kommandoer, og erstatte faktiske navn for <placeholder> verdiene.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. Kopier navnet på nøkkelhvelvet og navnet på ressursgruppen. Du trenger disse når du tilordner tilgangstillatelsene for nøkkelhvelvet og kjører distribusjonsskriptet i de neste trinnene.

Tilordne tilgangstillatelser for nøkkelhvelv

  1. Tilordne rollen Azure Key Vault Secrets Reader til identiteten du opprettet og kopierte tidligere, i nøkkelhvelvet.

  2. Tilordne følgende Azure roller til brukeren som konfigurerer datakoblingsagenten, i samme nøkkelhvelv:

    • Key Vault bidragsyter for å distribuere agenten
    • Key Vault Secrets Officer for å legge til nye systemer

Distribuer datakoblingsagenten fra portalen (forhåndsvisning)

Nå som du har opprettet en virtuell maskin og en Key Vault, er neste trinn å opprette en ny agent og koble til et av SAP-systemene dine. Selv om du kan kjøre flere datakoblingsagenter på én enkelt maskin, anbefaler vi at du bare starter med én, overvåker ytelsen og øker antall koblinger sakte.

Denne fremgangsmåten beskriver hvordan du oppretter en ny agent og kobler den til SAP-systemet ved hjelp av Azure- eller Defender-portaler. Vi anbefaler at sikkerhetsteamet utfører denne prosedyren med hjelp fra SAP BASIS-teamet .

Distribusjon av datakoblingsagenten fra portalen støttes både fra Azure Portal og Defender-portalen når Microsoft Sentinel er pålastet til Defender-portalen.

Selv om distribusjon også støttes fra kommandolinjen, anbefaler vi at du bruker portalen for vanlige distribusjoner. Datakoblingsagenter som distribueres ved hjelp av kommandolinjen, kan bare administreres via kommandolinjen, og ikke via portalen. Hvis du vil ha mer informasjon, kan du se Distribuer en SAP-datakoblingsagent fra kommandolinjen.

Viktig

Distribusjon av beholderen og oppretting av tilkoblinger til SAP-systemer fra portalen er for øyeblikket i FORHÅNDSVERSJON. Tilleggsvilkårene for Azure Preview inkluderer ytterligere juridiske vilkår som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke er utgitt i generell tilgjengelighet.

Forutsetninger:

  • Hvis du vil distribuere datakoblingsagenten via portalen, trenger du:

    • Godkjenning via en administrert identitet eller et registrert program
    • Legitimasjon lagret i en Azure Key Vault

    Hvis du ikke har disse forutsetningene, distribuerer du SAP-datakoblingsagenten fra kommandolinjen i stedet.

  • Hvis du vil distribuere datakoblingsagenten, trenger du også sudo- eller rotrettigheter på datakoblingsagentmaskinen.

  • Hvis du vil ta inn Netweaver/ABAP-logger via en sikker tilkobling ved hjelp av Secure Network Communications (SNC), trenger du:

    • Banen til binærfilen sapgenpse og libsapcrypto.so biblioteket
    • Detaljene for klientsertifikatet

    Hvis du vil ha mer informasjon, kan du se Konfigurere systemet til å bruke SNC for sikre tilkoblinger.

Slik distribuerer du datakoblingsagenten:

  1. Logg på den nyopprettede virtuelle maskinen der du installerer agenten, som en bruker med sudo-rettigheter.

  2. Last ned og/eller overfør SAP NetWeaver SDK til maskinen.

  3. Velg Konfigurasjonsdatakoblinger >i Microsoft Sentinel.

  4. Skriv inn SAP i søkefeltet. Velg Microsoft Sentinel for SAP – agentbasert fra søkeresultatene, og åpne deretter koblingssiden.

  5. Velg Legg til ny agent (forhåndsvisning) i Konfigurasjon-området.

    Skjermbilde av instruksjonene for å legge til en SAP API-basert samleragent.

  6. Skriv inn følgende agentdetaljer i ruten Opprett en samleragent :

    Navn Beskrivelse
    Agentnavn Skriv inn et beskrivende agentnavn for organisasjonen. Vi anbefaler ingen spesifikk navnekonvensjon, bortsett fra at navnet bare kan inneholde følgende tegntyper:
    • a-z
    • A-Z
    • 0-9
    • _ (understrekingstegn)
    • . (punktum)
    • - (tankestreker)
    Abonnement / Nøkkelhvelv Velg abonnements- og nøkkelhvelvet fra de respektive rullegardinlistene.
    ZIP-filbane for NWRFC SDK på agentens VM Skriv inn banen i den virtuelle maskinen som inneholder ARKIVET FOR SAP NetWeaver Remote Function Call (RFC) Software Development Kit (SDK) (.zip fil).

    Kontroller at denne banen inneholder SDK-versjonsnummeret i følgende syntaks: <path>/NWRFC<version number>.zip. Eksempel: /src/test/nwrfc750P_12-70002726.zip.
    Aktiver støtte for SNC-tilkobling Velg å ta inn NetWeaver/ABAP-logger via en sikker tilkobling ved hjelp av SNC.

    Hvis du velger dette alternativet, skriver du inn banen som inneholder sapgenpse binærfilen og libsapcrypto.so biblioteket, under sap kryptografisk bibliotekbane på agentens VM.

    Hvis du vil bruke en SNC-tilkobling, må du passe på å velge Aktiver SNC-tilkoblingsstøtte på dette stadiet, da du ikke kan gå tilbake og aktivere en SNC-tilkobling når du er ferdig med å distribuere agenten. Hvis du vil endre denne innstillingen etterpå, anbefaler vi at du oppretter en ny agent i stedet.
    Godkjenning til Azure Key Vault Hvis du vil godkjenne nøkkelhvelvet ved hjelp av en administrert identitet, lar du standardalternativet administrert identitet være valgt. Hvis du vil godkjenne nøkkelhvelvet ved hjelp av et registrert program, velger du Programidentitet.

    Du må ha den administrerte identiteten eller det registrerte programmet konfigurert på forhånd. Hvis du vil ha mer informasjon, kan du se Opprette en virtuell maskin og konfigurere tilgang til legitimasjonen din.

    Eksempel:

    Skjermbilde av området Opprett en samleragent.

  7. Velg Opprett og se gjennom anbefalingene før du fullfører distribusjonen:

    Skjermbilde av den siste fasen av agentdistribusjonen.

  8. Distribusjon av SAP-datakoblingsagenten krever at du gir agentens VM-identitet spesifikke tillatelser til Microsoft Sentinel-arbeidsområdet ved hjelp av rollene Microsoft Sentinel Business Applications Agent Operator og Reader.

    Hvis du vil kjøre kommandoene i dette trinnet, må du være ressursgruppeeier på det Microsoft Sentinel arbeidsområdet. Hvis du ikke er ressursgruppeeier på arbeidsområdet, kan denne prosedyren også utføres etter at agentdistribusjonen er fullført.

    Under Bare noen få trinn til før vi er ferdige, kopierer du kommandoene for rolletilordning fra trinn 1 og kjører dem på agent-VM-en, og erstatter plassholderen [Object_ID] med objekt-ID-en for vm-identiteten din. Eksempel:

    Skjermbilde av Kopier-ikonet for kommandoen fra trinn 1.

    Slik finner du objekt-ID-en for vm-identiteten i Azure:

    • Objekt-ID-en er oppført på identitetssiden til den virtuelle maskinen for en administrert identitet.

    • Hvis du vil ha en tjenestekontohaver, kan du gå til Virksomhetsprogram i Azure. Velg Alle programmer , og velg deretter den virtuelle maskinen. Objekt-ID-en vises på Oversikt-siden .

    Disse kommandoene tilordner rollene Microsoft Sentinel Business Applications Agent Operator og Reader Azure til den virtuelle maskinens administrerte eller programidentitet, inkludert bare omfanget av den angitte agentens data i arbeidsområdet.

    Viktig

    Tilordning av rollene Microsoft Sentinel Business Applications Agent Operator og Reader via CLI tilordner rollene bare på omfanget av den angitte agentens data i arbeidsområdet. Dette er det sikreste og anbefalte alternativet.

    Hvis du må tilordne rollene via Azure Portal, anbefaler vi at du tilordner rollene i et lite omfang, for eksempel bare på det Microsoft Sentinel arbeidsområdet.

  9. Velg Kopierskjermbilde av Kopier-ikonet ved siden av agentdistribusjonskommandoen. Ved siden av agentdistribusjonskommandoen i trinn 2. Eksempel:

    Skjermbilde av Agent-kommandoen som skal kopieres i trinn 2.

  10. Kopier kommandolinjen til en egen plassering, og velg deretter Lukk.

    Den relevante agentinformasjonen distribueres til Azure Key Vault, og den nye agenten er synlig i tabellen under Legg til en API-basert samleragent.

    På dette stadiet er agentens tilstandsstatus ufullstendig installasjon. Følg instruksjonene. Når agenten er installert, endres statusen til agenten. Denne oppdateringen kan ta opptil 10 minutter. Eksempel:

    Skjermbilde av tilstandsstatusene til API-baserte samleragenter på SAP-datakoblingssiden.

    Obs!

    Tabellen viser agentnavn og tilstandsstatus for bare de agentene du distribuerer via Azure Portal. Agenter som distribueres ved hjelp av kommandolinjen, vises ikke her. Hvis du vil ha mer informasjon, kan du se kommandolinjefanen i stedet.

  11. Åpne en terminal på den virtuelle maskinen der du planlegger å installere agenten, og kjør agentdistribusjonskommandoen som du kopierte i forrige trinn. Dette trinnet krever sudo- eller rotrettigheter på datakoblingsagentmaskinen.

    Skriptet oppdaterer OS-komponentene og installerer Azure CLI, Docker-programvare og andre nødvendige verktøy, for eksempel jq, netcat og curl.

    Angi ekstra parametere til skriptet etter behov for å tilpasse beholderdistribusjonen. Hvis du vil ha mer informasjon om tilgjengelige kommandolinjealternativer, kan du se Kickstart-skriptreferanse.

    Hvis du trenger å kopiere kommandoen på nytt, velger du Visskjermbilde av Vis-ikonet ved siden av Tilstand-kolonnen. Til høyre for Tilstand-kolonnen og kopier kommandoen ved siden av agentdistribusjonskommandoen nederst til høyre.

  12. Velg Legg til nytt system (forhåndsvisning) i konfigurasjonsområdet i Microsoft Sentinel løsning for SAP-programmets datakoblingsside, og skriv inn følgende detaljer:

    • Velg agenten du opprettet tidligere, under Velg en agent.

    • Velg servertypen under Systemidentifikator:

      • ABAP-server
      • Meldingsserver for å bruke en meldingsserver som en del av en ABAP SAP Central Services (ASCS).

    • Fortsett ved å definere relaterte detaljer for servertypen:

      • For en ABAP-server skriver du inn IP-adressen/FQDN-en for ABAP-programserveren, system-ID-en og -nummeret og klient-ID-en.
      • Skriv inn IP-adressen/FQDN-en for meldingsserveren, portnummeret eller tjenestenavnet og påloggingsgruppen

    Når du er ferdig, velger du Neste: Godkjenning.

    Eksempel:

    Skjermbilde av fanen Legg til systeminnstillinger i det nye systemområdet.

  13. Skriv inn følgende detaljer på Godkjenning-fanen :

    • Skriv inn brukeren og passordet for enkel godkjenning.
    • Hvis du valgte en SNC-tilkobling da du konfigurerte agenten, velger du SNC og skriver inn sertifikatdetaljene.

    Når du er ferdig, velger du Neste: Logger.

  14. Velg loggene du vil innta fra SAP på Logger-fanen, og velg deretter Neste: Se gjennom og opprett. Eksempel:

    Skjermbilde av Logger-fanen i sideruten Legg til nytt system.

  15. (Valgfritt) Hvis du vil ha optimale resultater i overvåking av SAP PAHI-tabellen, velger du Konfigurasjonslogg. Hvis du vil ha mer informasjon, kan du se Kontrollere at PAHI-tabellen oppdateres med jevne mellomrom.

  16. Se gjennom innstillingene du har definert. Velg Forrige for å endre eventuelle innstillinger, eller velg Distribuer for å distribuere systemet.

Systemkonfigurasjonen du definerte, distribueres til Azure Key Vault du definerte under distribusjonen. Nå kan du se systemdetaljene i tabellen under Konfigurer et SAP-system og tilordne det til en samleragent. Denne tabellen viser det tilknyttede agentnavnet, SAP System ID (SID) og tilstandsstatusen for systemer som du har lagt til via portalen eller på annen måte.

På dette stadiet venter systemets tilstandsstatus. Hvis agenten er oppdatert, henter den konfigurasjonen fra Azure Key Vault, og statusen endres til System healthy. Denne oppdateringen kan ta opptil 10 minutter.

Se videoen om pålasting av koblinger

Bruk pålastingsvideoen til å støtte distribusjon og konfigurasjon av Microsoft Sentinel løsning for SAP – agentløs datakobling som er beskrevet i denne dokumentasjonen.

Koble til den agentløse datakoblingen

  1. Gå til siden konfigurasjonsdatakoblinger > i Microsoft Sentinel, og finn Microsoft Sentinel for SAP – agentløs datakobling.

  2. Utvid trinn 1 i konfigurasjonsområdet. Utløs automatisk distribusjon av nødvendige Azure ressurser / SOC Engineer, og velg Distribuer nødvendige Azure ressurser.

    Viktig

    Hvis du ikke har rollen Entra-ID-programutvikler eller høyere, og du velger distribuer nødvendig Azure ressurser, vises en feilmelding, for eksempel: «Distribuer nødvendige Azure ressurser» (feil kan variere). Dette betyr at datainnsamlingsregelen (DCR) og datainnsamlingsendepunktet (DCE) ble opprettet, men du må sørge for at registreringen av Entra-ID-appen er godkjent. Fortsett å konfigurere riktig autorisasjon.

    Obs!

    Når du distribuerer de nødvendige Azure ressursene for Microsoft Sentinel løsning for SAP-programmer (agentløs), kan det ta opptil 45 sekunder før Azure Resource Manager (ARM) fullfører ressursleverandøroperasjoner. I dette tidsrommet kan distribusjonen virke forsinket. Denne adferden er forventet. Vent til operasjonen er fullført før du prøver på nytt eller distribuerer på nytt.

  3. Gjør ett av følgende:

    • Hvis du har rollen Entra programutvikler for ID eller høyere, fortsetter du til neste trinn.

    • Hvis du ikke har rollen Entra-ID-programutvikler eller høyere:

      • Del DCR-ID-en med Entra-ID-administratoren eller kollegaen med de nødvendige tillatelsene.
      • Kontroller at publisherrollen Overvåking av måledata er tilordnet på DCR, med tjenestekontohavertilordningen, ved hjelp av klient-ID-en fra Entra-ID-appregistreringen.
      • Hent klient-ID-en og klienthemmeligheten fra Entra-ID-appregistreringen som skal brukes til godkjenning på DCR.

      SAP-administratoren bruker klient-ID-en og klienthemmelighetsinformasjonen til å publisere til DCR.

  4. Rull nedover, og velg Legg til SAP-klient.

  5. Skriv inn følgende detaljer i sideruten Koble til en SAP-klient :

    Felt Beskrivelse
    RFC-målnavn Navnet på RFC-destinasjonen, hentet fra BTP-destinasjonen.
    KLIENT-ID uten SAP-agent Klient-ID-verdien hentet fra JSON-filen for Prosess-integrasjonskjøretid-tjenestenøkkelen.
    SAP Agentless Client Secret Clientsecret-verdien hentet fra JSON-filen for Prosess-integrasjonskjøretid-tjenestenøkkelen.
    URL-adresse for godkjenningsserver Tokenurl-verdien hentet fra JSON-filen for Prosess-integrasjonskjøretid-tjenestenøkkelen. For eksempel: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Endepunkt for Integreringsserie Url-adresseverdien hentet fra JSON-filen for Prosess-integrasjonskjøretid-tjenestenøkkelen. For eksempel: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. Velg Koble til.

Viktig

Det kan være litt ventetid ved første tilkobling. Finn mer informasjon for å bekrefte koblingen her.

Mass-Onboard SAP-systemer i stor skala

API- og CLI-baserte tilnærminger anbefales for å koble SAP-systemer til Sentinel-løsningen for SAP-programmer i stor skala. Kom i gang med dette skriptbiblioteket.

Roter BTP-klienthemmeligheten

Vi anbefaler at du med jevne mellomrom roterer klienthemmelighetene for BTP-underkontoen som brukes av datakoblingen. Hvis du vil ha en automatisert, plattformbasert tilnærming, kan du se fornyelse av sertifikatfornyelse for automatisk SAP BTP-klareringslager med Azure Key Vault – eller hvordan du slutter å tenke på utløpsdatoer én gang for alle (SAP-blogg).

Dette skriptbiblioteket demonstrerer den automatiske prosessen med å oppdatere en eksisterende datakobling med en ny hemmelighet.

Tilpass datakoblingsvirkemåte (valgfritt)

Hvis du har en SAP-agentløs datakobling for Microsoft Sentinel, kan du bruke SAP Integration Suite til å tilpasse hvordan de agentløse datakoblingene inntar data fra SAP-systemet til Microsoft Sentinel.

Denne prosedyren er bare relevant når du vil tilpasse virkemåten for SAP-agentløs datakobling. Hopp over denne prosedyren hvis du er fornøyd med standardfunksjonaliteten. Hvis du for eksempel bruker Sybase, anbefaler vi at du deaktiverer inntak for Change Docs-logger i iflowen ved å konfigurere parameteren collect-changedocs-logs . På grunn av problemer med databaseytelsen støttes ikke inntak av Sybase for Endring av Docs-logger.

Tips

Se denne bloggen for å få mer innsikt i konsekvensene av å overstyre standardinnstillingene.

Forutsetninger for tilpassing av datakoblingsvirkemåte

  • Du må ha tilgang til SAP Integration Suite, med tillatelse til å opprette og redigere verditilordninger.
  • En separat SAP-integreringspakke, enten eksisterende eller ny, som er dedikert til å være vert for verditilordningsartefakten. Den Microsoft Sentinel for SAP-integreringspakken som er installert fra markedsplassen, er i konfigureringsmodus, så du kan ikke legge den til der.

Opprett verditilordningsartefakten og tilpass innstillingene

Opprett en verditilordningsartefakt i SAP Integration Suite-leieren, og legg bare til parameterne du vil overstyre. Alle parametere du ikke definerer, beholder standardverdien.

Du har to alternativer for å få artefakten på plass:

  • Alternativ 1 (anbefales): Importer det forhåndsbygde nøkkelverdikartet fra Microsoft Sentinel for SAP-fellesskapets repositorium. Repositoriet sender en forhåndsutfylt plantegning for datainnsamling (Key Value Map) for tilpassing. Last ned den nyeste basispakken fra utgivelsessiden, og importer den til SAP Integration Suite-leieren. Fortsett deretter med tilpassingstrinnene nedenfor.

    Tips

    Det samme fellesskapsrepositoriet er vert for andre integreringsoppskrifter fra Microsoft som du kan ta i bruk sammen med den agentløse datakoblingen, for eksempel SAP Ariba, SAP S/4HANA Cloud Public Edition (GROW),SAP User Block og SAP Table Reader. Bla gjennom mappen for integreringsartefakter for å finne den fullstendige og oppdaterte listen. Bidrag fra fellesskapet er velkomne.

  • Alternativ 2: Opprett artefakten manuelt. Opprett en ny verditilordningsartefakt i den dedikerte pakken. Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen om hvordan du oppretter en verditilordning.

Når verditilordningsartefakten er på plass, kan du tilpasse og aktivere den:

  1. Legg til oppføringene som tilpasser virkemåten for datakoblingen. Bruk én av følgende fremgangsmåter:

    • Hvis du vil tilpasse innstillingene på tvers av alle SAP-systemer, kan du legge til verditilordninger under det globale toveis kartleggingsbyrået ved å bruke parameternavnet som kildenøkkel og overstyring som målverdi.
    • Hvis du vil tilpasse innstillingene for bestemte SAP-systemer, oppretter du et separat toveis kartleggingsbyrå for hvert SAP-system. Gi hvert byrå navn som samsvarer nøyaktig med navnet på RFC-målet du vil tilpasse (for eksempel myRfc, key, myRfc, value), og legg til parameteroppføringene under dette byrået.

    Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen om hvordan du konfigurerer verditilordninger.

  2. Lagre og distribuer verditilordningsartefakten for å aktivere de oppdaterte innstillingene.

Skjermbildeplassholder for verditilordningsartefakten i SAP Cloud Integration med eksempel på agentløse datakoblingsparametere.

Bruk tabellen nedenfor som en veiledning for hva du angir i verditilordningsartefakten. Legg bare til radene for parameterne du vil overstyre:

Feltet i verditilordningsartefakten Hva du skal skrive inn
Byrå (kilde og mål) global for alle SAP-systemer eller RFC-målnavnet (for eksempel myRfc) for å begrense overstyringen til et bestemt SAP-system.
Identifikator (kilde og mål) key som kildeidentifikator og value målidentifikator.
Kildeverdi Parameternavnet fra tabellen med tilpassbare parametere (for eksempel collect-changedocs-logs).
Målverdi Overstyringsverdien for denne parameteren (for eksempel false).

Tabellen nedenfor viser parameterne som kan tilpasses for SAP-agentløs datakobling for Microsoft Sentinel:

Generelle samlingskontroller

Parameteren Beskrivelse Tillatte verdier Standardverdi
collect-audit-logs Bestemmer om data i overvåkingsloggen blir inntatt eller ikke. sann: Inntatt, usann: Ikke inntatt Sant
collect-changedocs-logs Bestemmer om Endre Docs-logger blir inntatt eller ikke. sann: Inntatt, usann: Ikke inntatt Sant
collect-user-master-data-users Bestemmer om brukerdetaljerdata blir inntatt eller ikke. Denne parameteren kontrolleres også av innsamling-bruker-master-data. sann: Inntatt, usann: Ikke inntatt Sant
collect-user-master-data-roles Bestemmer om data for rolleautorisasjon blir inntatt eller ikke. Denne parameteren kontrolleres også av innsamling-bruker-master-data. sann: Inntatt, usann: Ikke inntatt Sant
inntakssyklusdager Time, in days, given to ingest the full User Master data population, including users and roles. Heltall, mellom 1-14 7
forskyvning i sekunder Bestemmer forskyvningen, i sekunder, for både start- og sluttidspunktene i et datainnsamlingsvindu. Bruk denne parameteren til å forsinke datainnsamlingen med det konfigurerte antallet sekunder. Heltall, mellom 1-600 60

Parametere for overvåkingslogg

Parameteren Beskrivelse Tillatte verdier Standardverdi
force-audit-log-to-read-from-all-clients Bestemmer om overvåkingsloggen leses fra alle klienter. sann: Les fra alle klienter, usann: Ikke lest fra alle klienter Falske
maksimalt antall rader Fungerer som en beskyttelse som begrenser antallet overvåkingsloggposter som behandles i ett enkelt datainnsamlingsvindu. Denne parameteren gjelder ikke lenger for Change Docs-samlingen. Heltall, mellom 11000000- 150000

Endre Docs-parametere

Parameteren Beskrivelse Tillatte verdier Standardverdi
changedocs-object-classes Liste over objektklasser som er inntatt fra Endre Docs-logger. Kommadelt liste over objektklasser BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
max-changedocs-headers Fungerer som en beskyttelse som begrenser antallet Change Docs-overskriftsposter (CDHDR-poster) som behandles i ett enkelt datainnsamlingsvindu. Bruk denne parameteren til å redusere kjøretid og minneforbruk under pigger i topptekstvolum. Heltall, mellom 11000000- 1000
max-changedocs-details Fungerer som en beskyttelse som begrenser antall endringsdetaljposter (CDPOS-poster) som behandles i ett enkelt datainnsamlingsvindu. Bruk denne parameteren til å justere gjennomstrømming kontra minnebruk. Heltall, mellom 11000000- 10000
endre størrelse på dokumenter Antall endringshodeposter for Docs som brukes per detaljhentingssamtale. Reduser denne verdien hvis RFC kaller opp tidsavbrudd. Heltall mellom 1-1000 1000

Parametere for brukerdetaljer

Parameteren Beskrivelse Tillatte verdier Standardverdi
maksimalt antall brukere Fungerer som en beskyttelse som begrenser antall unike brukere som behandles i én enkelt samlingssyklus. Heltall, mellom 11000000- 125
brukergruppestørrelse Antall brukere som behandles per gruppe når de henter aktive brukerdata. Reduser denne verdien hvis RFC kaller opp tidsavbrudd. Heltall mellom 1-1000 125
maksimalt antall rolleprofiler Bestemmer maksimalt kombinert antall profiler og roller som kan sendes ut for en bruker før koblingen skriver en jokertegnavkortingsindikator i stedet for den fullstendige listen. Heltall mellom 1-10 000 1000
rolleprofiler-batch-størrelse Antall profiler eller roller skrevet per utdatarad. Brukere med flere profiler eller roller enn denne verdien deles på tvers av flere rader. Heltall mellom 1-1000 14

Parametere for rolleautorisasjon

Parameteren Beskrivelse Tillatte verdier Standardverdi
maksimalt antall roller Fungerer som en beskyttelse som begrenser antall roller som behandles i én enkelt samlingssyklus. Heltall, mellom 11000000- 50
max-roles-authz-overall Fungerer som en beskyttelse som begrenser det kumulative antallet rolleautorisasjonsposter hentet på tvers av alle roller i én enkelt samlingssyklus. Heltall, mellom 11000000- 25000
max-roles-authz-individual Fungerer som en beskyttelse som begrenser antall godkjenningsposter som hentes for en enkeltrolle. Roller som overskrider denne grensen, hoppes over. Heltall, mellom 11000000- 5000
role-authz-batch-size Antall poster som hentes per bunke ved henting av godkjenningsdata for rolle. Reduser denne verdien hvis RFC kaller opp tidsavbrudd. Heltall mellom 1-1000 100

Avkortingsatferd for sikkerhetstiltakene

Når en av begrensningene er nådd, skrives en indikatorpost til utdataene med en beskrivende melding som angir hvilken grense som ble nådd, det faktiske antallet poster og tidsvinduet for samlingen. De to grensene produserer distinkte indikatorer (TRUNCATED_HEADERS og TRUNCATED_DETAILS), slik at de kan skilles ut i Sentinel.

Kontroller tilkobling og tilstand

Når du har distribuert SAP-datakoblingen, må du kontrollere agentens tilstand og tilkobling. Hvis du vil ha mer informasjon, kan du se Overvåke tilstanden og rollen til SAP-systemene.

Neste trinn:

Når koblingen er distribuert, fortsetter du å konfigurere Microsoft Sentinel løsning for SAP-programinnhold. Konfigurering av detaljer i visningslistene er et viktig trinn for å aktivere gjenkjenninger og trusselbeskyttelse.

Aktiver SAP-gjenkjenninger og trusselbeskyttelse

  • Last updated on