De Microsoft Sentinel-oplossing implementeren voor SAP BTP

In dit artikel wordt beschreven hoe u de Microsoft Sentinel-oplossing implementeert voor het SAP BTP-systeem (Business Technology Platform). De Microsoft Sentinel oplossing voor SAP BTP bewaakt en beschermt uw SAP BTP-systeem. Het verzamelt auditlogboeken en activiteitenlogboeken van de BTP-infrastructuur en BTP-apps en detecteert vervolgens bedreigingen, verdachte activiteiten, onwettige activiteiten en meer. Lees meer over de oplossing.

Belangrijk

Voor een verschuiving van de architectuur in de gegevensconnector v3.0.11 om rekening te houden met vertraagde SAP BTP-logboeken is het opnieuw onboarden van SAP-subaccounts vereist die vóór die wijziging zijn toegevoegd. Zie de releaseopmerkingen voor meer informatie. Overweeg de hulpprogramma's voor massa-onboarding voor het gemak.

Vereisten

Controleer voordat u begint het volgende:

  • De Microsoft Sentinel-oplossing is ingeschakeld.
  • U hebt een gedefinieerde Microsoft Sentinel werkruimte en u hebt lees- en schrijfmachtigingen voor de werkruimte.
  • Uw organisatie gebruikt SAP BTP (in een Cloud Foundry-omgeving) om interacties met SAP-toepassingen en andere zakelijke toepassingen te stroomlijnen.
  • U hebt een SAP BTP-subaccount (dat BTP-subaccounts in de Cloud Foundry-omgeving ondersteunt). U kunt ook een SAP BTP-proefaccount gebruiken.
  • U beschikt over de SAP BTP auditlog-management-service en servicesleutel (zie Het BTP-subaccount en de oplossing instellen).
  • U hebt de rol Microsoft Sentinel Inzender voor de doelwerkruimte Microsoft Sentinel.

Het BTP-subaccount en de oplossing instellen

Voer de volgende stappen uit om het BTP-subaccount en de oplossing handmatig in te stellen vanuit de SAP BTP-cockpit en Azure Portal:

  1. Nadat u zich hebt aangemeld bij uw BTP-subaccount (zie de vereisten), volgt u de stappen voor het ophalen van auditlogboeken op het SAP BTP-systeem.

  2. Selecteer in de SAP BTP-cockpit de auditlogboekbeheerservice.

    Schermopname van het selecteren van de BTP Audit Log Management Service.

  3. Maak een exemplaar van de auditlogboekbeheerservice in het BTP-subaccount.

    Schermopname van het maken van een exemplaar van het BTP-subaccount.

  4. Maak een servicesleutel en noteer de waarden voor url, uaa.clientid, uaa.clientsecreten uaa.url. Deze waarden zijn vereist voor het implementeren van de gegevensconnector.

    Hier volgen voorbeelden van deze veldwaarden:

    • url: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Meld u aan bij Azure Portal.

  6. Ga naar de Microsoft Sentinel-service.

  7. Selecteer Inhoudshub en zoek in de zoekbalk naar BTP.

  8. Selecteer SAP BTP.

  9. Kies Installeren.

    Zie Out-of-the-Box-inhoud detecteren en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.

  10. Selecteer Maken.

    Schermopname van het maken van de Microsoft Sentinel-oplossing voor SAP BTP.

  11. Selecteer de resourcegroep en de Microsoft Sentinel werkruimte waarin u de oplossing wilt implementeren.

  12. Selecteer Volgende totdat u de validatie hebt geslaagd en selecteer vervolgens Maken.

  13. Wanneer de implementatie van de oplossing is voltooid, keert u terug naar uw Microsoft Sentinel werkruimte en selecteert u Gegevensconnectors.

  14. Voer in de zoekbalk BTP in en selecteer vervolgens SAP BTP.

  15. Selecteer Connectorpagina openen.

  16. Zorg er op de connectorpagina voor dat u voldoet aan de vereiste vereisten die worden vermeld en voltooi de configuratiestappen. Wanneer u klaar bent, selecteert u Account toevoegen.

  17. Geef de parameters op die u eerder tijdens de configuratie hebt gedefinieerd. De opgegeven subaccountnaam wordt geprojecteerd als een kolom in de SAPBTPAuditLog_CL tabel en kan worden gebruikt om de logboeken te filteren wanneer u meerdere subaccounts hebt.

    Houd rekening met de geavanceerde opties, indien nodig:

    • Polling frequency: de frequentie waarmee de connector naar nieuwe gegevens peilt. De standaardwaarde is 1 minuut.
    • Vertraging in logboekopname: de geschatte vertraging tussen het moment waarop de gebeurtenis wordt gegenereerd in SAP BTP en de tijd die beschikbaar is op de SAP BTP-auditlogboekservice voor opname in Microsoft Sentinel. De standaardwaarde is 20 minuten.

    Opmerking

    Als u controles voor het globale account ophaalt, worden controles voor het subaccount niet automatisch opgehaald. Volg de connectorconfiguratiestappen voor elk van de subaccounts die u wilt bewaken en volg ook deze stappen voor het globale account. Bekijk deze overwegingen voor accountcontroleconfiguratie.

  18. Zorg ervoor dat BTP-logboeken naar de Microsoft Sentinel werkruimte stromen:

    1. Meld u aan bij uw BTP-subaccount en voer een aantal activiteiten uit waarmee logboeken worden gegenereerd, zoals aanmeldingen, het toevoegen van gebruikers, het wijzigen van machtigingen en het wijzigen van instellingen.
    2. Het duurt 20 tot 30 minuten voordat de logboeken beginnen te stromen.
    3. Controleer op de pagina SAP BTP-connector of Microsoft Sentinel de BTP-gegevens ontvangt of voer rechtstreeks een query uit op de SAPBTPAuditLog_CL tabel.

  19. Schakel de werkmap en de analyseregels in die deel uitmaken van de oplossing door deze richtlijnen te volgen.

Opmerking

Als u SAP BTP-subaccounts op schaal wilt onboarden, worden api- en CLI-benaderingen aanbevolen. Aan de slag met deze scriptbibliotheek.

Uw accountcontroleconfiguraties overwegen

De laatste stap in het implementatieproces bestaat uit het overwegen van uw algemene account- en subaccountcontroleconfiguraties.

Configuratie voor globale accountcontrole

Wanneer u het ophalen van auditlogboeken inschakelt in de BTP-cockpit voor het globale account: als het subaccount waarvoor u de auditlogboekbeheerservice wilt toewijzen, zich onder een map bevindt, moet u de service eerst op adreslijstniveau het recht geven. Alleen dan kunt u de service recht geven op het niveau van het subaccount.

Configuratie van subaccountcontrole

Als u controle voor een subaccount wilt inschakelen, voert u de stappen uit in de documentatie van de SAP-subaccounts audit retrieval-API.

In de API-documentatie wordt beschreven hoe u het ophalen van auditlogboeken inschakelt met behulp van de Cloud Foundry CLI.

U kunt de logboeken ook ophalen via de gebruikersinterface:

  1. Maak in uw subaccount in SAP Service Marketplace een exemplaar van Audit Log Management Service.
  2. Maak in het nieuwe exemplaar een servicesleutel.
  3. Bekijk de servicesleutel en haal de vereiste parameters op uit stap 4 van de configuratie-instructies in de gebruikersinterface van de gegevensconnector (url, uaa.url, uaa.clientid en uaa.clientsecret).

Mass-Onboard SAP BTP-subaccounts op schaal

Als u SAP BTP-subaccounts op schaal wilt onboarden, worden api- en CLI-benaderingen aanbevolen. Aan de slag met deze scriptbibliotheek.

Het BTP-clientgeheim draaien

We raden u aan om de BTP-subaccountclientgeheimen periodiek te roteren. Voor een geautomatiseerde, platformgebaseerde aanpak raadpleegt u onze automatische verlenging van SAP BTP-vertrouwensarchiefcertificaten met Azure Key Vault of hoe u niet meer nadenkt over vervaldatums (SAP-blog).

Deze scriptbibliotheek demonstreert het automatische proces van het bijwerken van een bestaande gegevensconnector met een nieuw geheim.

Verwante onderwerpen

  • Last updated on