Konfigurer SAP-systemet for den Microsoft Sentinel løsningen

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Denne artikkelen beskriver hvordan du klargjør SAP-miljøet for å koble til SAP-datakoblingen. Klargjøringen er forskjellig, avhengig av om du bruker den beholderiserte datakoblingsagenten. Velg alternativet øverst på siden som samsvarer med miljøet ditt.

Denne artikkelen er en del av det andre trinnet i distribusjon av Microsoft Sentinel løsning for SAP-programmer.

Viktig

Datakoblingsagenten for SAP avvikles og deaktiveres permanent innen 14. september 2026. Vi anbefaler at du overfører til den agentløse datakoblingen. Mer informasjon om den agentløse tilnærmingen fra blogginnlegget vårt.

Diagram over distribusjonsflyten for Microsoft Sentinel løsning for SAP-programmer, med klargjøring av SAP-trinnet uthevet.

Fremgangsmåtene i denne artikkelen utføres vanligvis av SAP BASIS-teamet .

Denne artikkelen er en del av det andre trinnet i distribusjon av Microsoft Sentinel løsning for SAP-programmer. Selv om trinn som utføres i Microsoft Sentinel krever at løsningen installeres først, kan andre forberedelser i SAP-miljøet skje parallelt.

Diagram over distribusjonsflyten for Microsoft Sentinel løsning for SAP-programmer, med klargjøring av SAP-trinnet uthevet.

Mange av prosedyrene i denne artikkelen utføres vanligvis av SAP BASIS-teamet . Noen av trinnene omfatter også sikkerhetsteamet .

Forutsetninger

Konfigurer Microsoft Sentinel-rollen

Hvis du vil tillate at SAP-datakoblingen kobler til SAP-systemet, må du opprette en SAP-systemrolle spesielt for dette formålet.

Vi anbefaler at du oppretter denne rollen ved å distribuere NPLK900271 SAP-endringsforespørselen (CR): K900271.NPL | R900271.NPL

Distribuer CR-ene på SAP-systemet etter behov, akkurat som du ville distribuert andre CR-er. Vi anbefaler på det sterkeste at distribusjon av SAP-CR-er gjøres av en erfaren SYSTEMANSVARLIG for SAP. Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

Last eventuelt inn rolleautorisasjonene fra MSFTSEN_SENTINEL_CONNECTOR-filen , som inkluderer alle de grunnleggende tillatelsene for at datakoblingen skal fungere.

Erfarne SAP-administratorer kan velge å opprette rollen manuelt og tilordne den de riktige tillatelsene. I slike tilfeller kan du opprette en rolle manuelt med de relevante autorisasjonene som kreves for loggene du vil ta inn. Hvis du vil ha mer informasjon, kan du se Obligatoriske ABAP-autorisasjoner. Eksempler i dokumentasjonen vår bruker navnet /MSFTSEN/SENTINEL_RESPONDER .

Når du konfigurerer rollen, anbefaler vi at du:

  • Generer en aktiv rolleprofil for Microsoft Sentinel ved å kjøre PFCG-transaksjonen.
  • Bruk /MSFTSEN/SENTINEL_RESPONDER som rollenavn.

Opprett en rolle ved hjelp av malen MSFTSEN_SENTINEL_READER , som inneholder alle de grunnleggende tillatelsene for at datakoblingen skal fungere.

Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen om oppretting av roller.

Opprette en bruker

Den Microsoft Sentinel løsningen for SAP-programmer krever en brukerkonto for å koble til SAP-systemet. Når du oppretter brukeren:

  • Pass på å opprette en systembruker.
  • Tilordne rollen /MSFTSEN/SENTINEL_RESPONDER til brukeren, som du hadde opprettet i forrige trinn.
  • Pass på å opprette en systembruker.
  • Tilordne den MSFTSEN_SENTINEL_READER rollen til brukeren, som du hadde opprettet i forrige trinn.

Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

Konfigurer SAP-overvåking

Noen installasjoner av SAP-systemer har kanskje ikke overvåkingslogging aktivert som standard. For best resultat i evalueringen av ytelsen og effekten til Microsoft Sentinel løsning for SAP-programmer, aktiverer du overvåking av SAP-systemet og konfigurerer overvåkingsparameterne.

Vi anbefaler at du konfigurerer overvåking for alle meldinger fra overvåkingsloggen, i stedet for bare bestemte logger. Inntakskostnadsforskjeller er generelt minimale, og dataene er nyttige for Microsoft Sentinel oppdagelser og i undersøkelser og jakt etter kompromisser.

Tips

Hvis du vil ta inn SAP HANA DB-logger, må du også aktivere overvåking for SAP HANA DB. Hvis du vil ha mer informasjon, kan du se Samle inn SAP HANA-overvåkingslogger i Microsoft Sentinel

Tips

For SAP-systemer som administreres av SAP RISE/ECS, er aktivering av sikkerhetsrevisjonslogg en del av den delte ansvarsavtalen. Bekreft med SAP-kontakten om overvåking allerede er aktiv som standard, eller om det må utføres flere trinn. Systemene for offentlig utgave av SAP S/4HANA Cloud har revisjon aktivert som standard.

For full overvåkingsdekning med den agentløse datakoblingen anbefaler vi at du aktiverer overvåking på alle klient-ID-er for de overvåkede SAP-systemene, inkludert klienter 000 og 066.

Hvis du vil ha mer informasjon, kan du se SAPs artikkel.

Konfigurer systemet til å bruke SNC for sikre tilkoblinger

Som standard kobler SAP-datakoblingsagenten til en SAP-server ved hjelp av en RFC-tilkobling (remote function call) og et brukernavn og passord for godkjenning.

Du må imidlertid kanskje opprette tilkoblingen på en kryptert kanal eller bruke klientsertifikater for godkjenning. I slike tilfeller kan du bruke Smart Network Communications (SNC) fra SAP til å sikre datatilkoblingene, som beskrevet i denne delen.

I et produksjonsmiljø anbefaler vi på det sterkeste at du tar kontakt med SAP-administratorer for å opprette en distribusjonsplan for konfigurering av SNC. Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

Når du konfigurerer SNC:

  • Hvis klientsertifikatet ble utstedt av en foretakssertifiseringsinstans, overfører du de utstedende sertifiseringsinstans- og rotsertifiseringsinstanssertifikatene til systemet der du planlegger å opprette datakoblingsagenten.
  • Hvis du bruker datakoblingsagenten, må du også angi de relevante verdiene og bruke de relevante prosedyrene når du konfigurerer agentbeholderen for SAP-datakoblingen. Hvis du bruker den agentløse datakoblingen, utføres SNC-konfigurasjonen i SAP Cloud Connector.

Hvis du vil ha mer informasjon om SNC, kan du se Komme i gang med SAP SNC for RFC-integreringer – SAP-blogg.

Selv om dette trinnet er valgfritt, anbefaler vi at du aktiverer SAP-datakoblingen for å hente følgende innholdsinformasjon fra SAP-systemet:

  • DB-tabell- og utskriftslogger for utskriftsspole
  • Ip-adresseinformasjon for klient fra overvåkingsloggene for sikkerhet

  1. Distribuer de relevante CR-ene fra Microsoft Sentinel GitHub-repositoriet, i henhold til SAP-versjonen din:

    SAP BASIS-versjoner Anbefalt cr
    750 og høyere NPLK900202: K900202.NPL, R900202.NPL

    Når du distribuerer denne cr noen av følgende SAP-versjoner, også distribuere 2641084 - Standardisert lesetilgang til data i sikkerhetsrevisjonslogg:
    - 750 SP04 til SP12
    - 751 SP00 til SP06
    – 752 SP00 til SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Distribuer CR-ene på SAP-systemet etter behov, akkurat som du ville distribuert andre CR-er. Vi anbefaler på det sterkeste at distribusjon av SAP-CR-er gjøres av en erfaren SYSTEMANSVARLIG for SAP. Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

    Hvis du vil ha mer informasjon, kan du se SAP-fellesskapet og SAP-dokumentasjonen.

  2. Hvis du vil støtte SAP BASIS-versjoner 7.31-7.5 SP12 ved sending av klient-IP-adresseinformasjon til Microsoft Sentinel, aktiverer du logging for SAP-tabellen USR41. Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

Kontroller at PAHI-tabellen oppdateres med jevne mellomrom

SAP PAHI-tabellen inneholder data om loggen for SAP-systemet, databasen og SAP-parameterne. I noen tilfeller kan ikke den Microsoft Sentinel løsningen for SAP-programmer overvåke SAP PAHI-tabellen med jevne mellomrom, på grunn av manglende eller feil konfigurasjon. Det er viktig å oppdatere PAHI-tabellen og overvåke den ofte, slik at Microsoft Sentinel løsning for SAP-programmer kan varsle om mistenkelige handlinger som kan skje når som helst i løpet av dagen. Hvis du vil ha mer informasjon, kan du se:

Hvis PAHI-tabellen oppdateres regelmessig, SAP_COLLECTOR_FOR_PERFMONITOR planlegges jobben og kjøres hver time. Hvis jobben ikke finnes, må du passe på å konfigurere den SAP_COLLECTOR_FOR_PERFMONITOR etter behov.

Hvis du vil ha mer informasjon, kan du se Database Collector i Bakgrunnsbehandling og Konfigurere datainnsamlingen.

Konfigurer SAP BTP-innstillinger

  1. Legg til rettigheter for følgende tjenester i SAP BTP-underkontoen:

    • SAP Integration Suite
    • INTEGRATION RUNTIME for SAP-prosess
    • Kjøretid for sky-støperi

Obs!

Denne løsningen tar bare hensyn til SAP Cloud Integration i Cloud Foundry-miljøet.

  1. Opprett en forekomst av Cloud Foundry Runtime, og opprett deretter et skyopprettingsområde.

  2. Opprett en forekomst av SAP Integration Suite.

  3. Tilordne SAP BTP-Integration_Provisioner-rollen til SAP BTP-brukerkontoen for underkontoen.

  4. Legg til skyintegreringsfunksjonen i SAP Integration Suite.

  5. Tilordne følgende prosessintegrasjonsroller til brukerkontoen:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Disse rollene er bare tilgjengelige etter at du har aktivert skyintegreringsfunksjonen.

  6. Opprett en forekomst av SAP-prosess-integrasjonskjøretid i underkontoen ved hjelp av integrasjonsflyt for serviceplan (ikke API!).

  7. Opprett en tjenestenøkkel for SAP-integrasjonskjøretid og lagre JSON-innholdet på en sikker plassering. Du må aktivere skyintegreringsfunksjonen før du oppretter en tjenestenøkkel for SAP-prosess-integrasjonskjøretid.

Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

Konfigurere koblingen i Microsoft Sentinel og i SAP-systemet

Denne fremgangsmåten har trinn både i Microsoft Sentinel og SAP-systemet, og krever koordinering med SAP-administratoren.

  1. Gå til siden konfigurasjonsdatakoblinger > i Microsoft Sentinel, og finn Microsoft Sentinel for SAP – agentløs datakobling.

  2. Utvid og følg instruksjonene i konfigurasjonen av den første koblingen i konfigurasjonen i konfigurasjonen for konfigurasjonen av konfigurasjonenav den første koblingen. Kjør trinnene nedenfor én gang: del. Disse trinnene krever både SecuritySOC-teknikeren og SAP-administratoren.

    1. Utløs automatisk distribusjon av Azure ressurser (SOC Engineer). Hvis verdiene i trinn 2 og 3 ikke fylles ut automatisk etter at du distribuerer Azure ressurser, lukker og utvider du trinn 1 for å oppdatere verdiene i trinn 2 og 3.

    2. Distribuer en OAuth2-klientlegitimasjonsartefakt i SAP-integrering (SAP-Admin).

    3. Distribuer SAP-agentløs datakoblingspakke til SAP Integration Suite (SAP Admin). Denne prosedyren utføres fra SAP Integration Suite-portalen (SAP Cloud Integration Web UI).

      1. Åpne Discover-delen .
      2. Søk etter Microsoft Sentinel løsning, og åpne den.
      3. Klikk på Kopier for å importere integreringspakken til skyintegreringsleieren.
      4. Åpne pakken, og gå til Artefakter-fanen . Velg deretter datainnsamlingskonfigurasjonen . Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.
      5. Konfigurer integreringsflyten med LogIngestionURL og DCRImmutableID.
      6. Distribuer iflowen ved hjelp av SAP Cloud Integration som kjøretidstjeneste.

Konfigurer innstillinger for SAP Cloud Connector

  1. Installer SAP Cloud Connector. Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

  2. Logg på grensesnittet for skykoblingen, og legg til underkontoen ved hjelp av den relevante legitimasjonen. Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

  3. Legg til en ny systemtilordning til serverdelsystemet i cloud connector-underkontoen for å tilordne ABAP-systemet til RFC-protokollen.

  4. Definer alternativer for belastningsfordeling, og angi detaljer for ABAP-serverdelen. I dette trinnet kopierer du navnet på den virtuelle verten til en sikker plassering som skal brukes senere i distribusjonsprosessen.

  5. Legg til nye ressurser i systemtilordningen for hvert av følgende funksjonsnavn:

    • RSAU_API_GET_LOG_DATA for å hente data i overvåkingsloggen for SAP-sikkerhet

    • BAPI_USER_GET_DETAIL for å hente SAP-brukerdetaljer

    • RFC_READ_TABLE for å lese data fra obligatoriske tabeller

    • SIAG_ROLE_GET_AUTH for å hente godkjenninger for sikkerhetsrolle

    • /OSP/SYSTEM_TIMEZONE, for å hente tidssonedetaljer for SAP-systemet

Obs!

Den angitte rollen er konfigurert for minst tilgang til rettigheter. Dette sikrer at funksjonsmoduler som RFC_READ_TABLE bare brukes etter behov. Vurder SAPs anbefalte fremgangsmåter for RFC-tilgang og SAP Unified Connectivity (UCON)-innstillinger for å kontrollere funksjonsmodultilgang utover kontrollene til SAP Cloud Connector og SAP-rollen.

  1. Legg til et nytt mål i SAP BTP som peker til den virtuelle verten du opprettet tidligere. Bruk følgende detaljer til å fylle ut det nye målet:

    • Navn: Skriv inn navnet du vil bruke for Microsoft Sentinel tilkoblingen

    • TypeRFC

    • Proxy-type:On-Premise

    • Bruker: Angi ABAP-brukerkontoen du opprettet tidligere for Microsoft Sentinel

    • Godkjenningstype:CONFIGURED USER

    • Tilleggsegenskaper:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Plassering: Bare nødvendig når du kobler flere Cloud Connectors til samme BTP-underkonto. Hvis du vil ha mer informasjon, kan du se SAP-dokumentasjonen.

Kjør forutsetningskontrollen

  1. Iflow for forutsetningskontroll er inkludert i pakken. Konfigurer og distribuer denne iflowen før du fortsetter til neste trinn, slik at SAP-systemet oppfyller systemkravene før integrering med Microsoft Sentinel. Etter distribusjon kjører iflowen etter en tidsplan i SAP Cloud Integration. se gjennom siste kjøringsstatus for å bekrefte vellykket.

    Slik konfigurerer og distribuerer du verktøyet:

    1. Åpne integreringspakken, gå til Artefakter-fanen, og velg konfigurasjon av iflow> for forutsetningskontroll.
    2. Angi målnavnet for det eksterne funksjonskallet (RFC) til SAP-systemet du vil kontrollere. For eksempel A4H-100-Sentinel-RFC.
    3. Distribuer iflowen på samme måte som du ellers ville gjort for SAP-systemene.
    4. For best resultat kjøre kontrollen i 24 timer med 1min frekvens for å fange eventuelle anomalier som rogue overnatting batch jobber, eller eventuelle ukjente bruk pigger.

    Slik ser du gjennom sjekkstatusen:

    1. Åpnemonitorintegrering> i SAP Cloud Integration og finn kjøringene av forutsetningskontroll-iflowen i henhold til klokkeperioden (f.eks. 24h). Bekreft at kjøringene er fullført med status fullført (HTTP 200), og at nyttelasten for svar ikke inneholder advarsler eller feil. Planleggeren kan produsere meldinger med tilstanden «Forkastet» på grunn av intern arbeid i SAP Cloud Integration. Disse meldingene kan ignoreres og inneholde tekst som «Meldingsbehandling har blitt forkastet fordi den utløsende tidtakerhendelsen allerede ble håndtert av en annen prosess».
    2. Undersøk vedlegg og egenskaper for meldingsbehandlingsloggen (MPL) for resultatene per kontroll. Åpne filen som er vedlagt MPL-oppføringen.

    Skjermbildeplassholder for kjørestatusen For forutsetningskontroll iflow i SAP Cloud Integration Monitor.

    Bruk følgende tabell til å tolke resultatene:

    Status Hva det betyr Neste trinn:
    Fullført, ingen advarsler Alle forutsetninger er oppfylt. Fortsett å koble SAP-systemet til Microsoft Sentinel.
    Fullført, med advarsler Forutsetninger er delvis oppfylt. Se gjennom svardetaljene og utbedr før du kobler til.
    Mislykket eller ikke-200-status Kontrollen kan ikke nå målets SAP-system, eller det oppstod en konfigurasjonsfeil. Kontroller RFC-målet og -legitimasjonen, og redistribuer og kjør iflowen på nytt.

    Hvis noen funn gjenstår, kan du se svardetaljene for veiledning om utbedringstrinn. Eldre SAP-systemer krever ofte ekstra SAP-notater. Se i tillegg feilsøkingsdelen for vanlige problemer og løsninger.

    Etter fullføring:

    Opphev distribusjon av den planlagte kravkontroll-iflyten når SAP-systemkontrollen er fullført. Gjenta denne sekvensen for alle nye SAP-systemer som skal omlastes.

  2. Rull lenger ned i konfigurasjonsområdet på Sentinel-portalen, og utvid og følg instruksjonene i Legg til overvåkede SAP-systemer – Kjør trinnene nedenfor for hvert overvåkede SAP-system: område for hvert SAP-system du vil overvåke.

    Når du kommer til trinn 2. Koble SAP System til Microsoft Sentinel / SOC Engineer, fortsett med Koble SAP-systemet til Microsoft Sentinel.

Neste trinn:

Koble SAP-systemet til Microsoft Sentinel

  • Last updated on