Uw SAP-systeem configureren voor de Microsoft Sentinel-oplossing

  • Van toepassing op: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

In dit artikel wordt beschreven hoe u uw SAP-omgeving voorbereidt om verbinding te maken met de SAP-gegevensconnector. De voorbereiding verschilt, afhankelijk van of u de agent voor de gegevensconnector in een container gebruikt. Selecteer de optie bovenaan de pagina die overeenkomt met uw omgeving.

Dit artikel maakt deel uit van de tweede stap in het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen.

Belangrijk

De gegevensconnectoragent voor SAP wordt afgeschaft en wordt definitief uitgeschakeld op 14 september 2026. U wordt aangeraden te migreren naar de gegevensconnector zonder agent. Meer informatie over de aanpak zonder agent vindt u in ons blogbericht.

Diagram van de implementatiestroom voor de Microsoft Sentinel-oplossing voor SAP-toepassingen, met de stap SAP voorbereiden gemarkeerd.

De procedures in dit artikel worden doorgaans uitgevoerd door uw SAP BASIS-team .

Dit artikel maakt deel uit van de tweede stap in het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen. Hoewel stappen die worden uitgevoerd in Microsoft Sentinel vereisen dat de oplossing eerst wordt geïnstalleerd, kunnen andere voorbereidingen in de SAP-omgeving parallel worden uitgevoerd.

Diagram van de implementatiestroom voor de Microsoft Sentinel-oplossing voor SAP-toepassingen, met de stap SAP voorbereiden gemarkeerd.

Veel van de procedures in dit artikel worden doorgaans uitgevoerd door uw SAP BASIS-team . Sommige stappen omvatten ook uw beveiligingsteam .

Vereisten

De Microsoft Sentinel-rol configureren

Als u wilt dat de SAP-gegevensconnector verbinding kan maken met uw SAP-systeem, moet u specifiek voor dit doel een SAP-systeemrol maken.

We raden u aan deze rol te maken door de NPLK900271 SAP-wijzigingsaanvraag (CR) te implementeren: K900271.NPL | R900271.NPL

Implementeer de CER's op uw SAP-systeem, net zoals u andere CA's zou implementeren. We raden u ten zeerste aan om SAP-CRs te implementeren door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.

U kunt ook de rolautorisaties laden vanuit het MSFTSEN_SENTINEL_CONNECTOR-bestand , dat alle basismachtigingen voor de gegevensconnector bevat om te werken.

Ervaren SAP-beheerders kunnen ervoor kiezen om de rol handmatig te maken en deze de juiste machtigingen toe te wijzen. In dergelijke gevallen maakt u handmatig een rol met de relevante autorisaties die zijn vereist voor de logboeken die u wilt opnemen. Zie Vereiste ABAP-autorisaties voor meer informatie. Voorbeelden in onze documentatie gebruiken de naam /MSFTSEN/SENTINEL_RESPONDER .

Wanneer u de rol configureert, raden we u aan het volgende te doen:

  • Genereer een actief rolprofiel voor Microsoft Sentinel door de PFCG-transactie uit te voeren.
  • Gebruik /MSFTSEN/SENTINEL_RESPONDER als de rolnaam.

Maak een rol met behulp van de sjabloon MSFTSEN_SENTINEL_READER , die alle basismachtigingen bevat om de gegevensconnector te laten werken.

Zie de SAP-documentatie over het maken van rollen voor meer informatie.

Een gebruiker maken

Voor de Microsoft Sentinel-oplossing voor SAP-toepassingen is een gebruikersaccount vereist om verbinding te maken met uw SAP-systeem. Bij het maken van uw gebruiker:

  • Zorg ervoor dat u een systeemgebruiker maakt.
  • Wijs de rol /MSFTSEN/SENTINEL_RESPONDER toe aan de gebruiker, die u in de vorige stap hebt gemaakt.
  • Zorg ervoor dat u een systeemgebruiker maakt.
  • Wijs de MSFTSEN_SENTINEL_READER rol toe aan de gebruiker, die u in de vorige stap hebt gemaakt.

Zie de SAP-documentatie voor meer informatie.

SAP-controle configureren

Voor sommige installaties van SAP-systemen is auditlogboekregistratie mogelijk niet standaard ingeschakeld. Voor de beste resultaten bij het evalueren van de prestaties en werkzaamheid van de Microsoft Sentinel-oplossing voor SAP-toepassingen, schakelt u de controle van uw SAP-systeem in en configureert u de controleparameters.

U wordt aangeraden controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. De kostenverschillen voor opname zijn over het algemeen minimaal en de gegevens zijn nuttig voor Microsoft Sentinel detecties en bij post-inbreukonderzoeken en opsporing.

Tip

Als u SAP HANA DB-logboeken wilt opnemen, moet u ook controle voor SAP HANA DB inschakelen. Zie SAP HANA-auditlogboeken verzamelen in Microsoft Sentinel voor meer informatie

Tip

Voor SAP-systemen die worden beheerd door SAP RISE/ECS, maakt het inschakelen van beveiligingscontrolelogboeken deel uit van de overeenkomst voor gedeelde verantwoordelijkheid. Controleer bij uw SAP-contactpersoon of controle standaard al actief is of dat er aanvullende stappen moeten worden uitgevoerd. Voor openbare editiesystemen van SAP S/4HANA Cloud is controle standaard ingeschakeld.

Voor volledige bewakingsdekking met de gegevensconnector zonder agent, raden we u aan bewaking in te schakelen op alle client-id's van uw bewaakte SAP-systemen, inclusief clients 000 en 066.

Zie het artikel van SAP voor meer informatie.

Uw systeem configureren voor het gebruik van SNC voor beveiligde verbindingen

Standaard maakt de SAP-gegevensconnectoragent verbinding met een SAP-server via een RFC-verbinding (Remote Function Call) en een gebruikersnaam en wachtwoord voor verificatie.

Mogelijk moet u echter verbinding maken via een versleuteld kanaal of clientcertificaten gebruiken voor verificatie. In deze gevallen gebruikt u Smart Network Communications (SNC) van SAP om uw gegevensverbindingen te beveiligen, zoals beschreven in deze sectie.

In een productieomgeving raden we u ten zeerste aan om contact op te vragen met SAP-beheerders om een implementatieplan te maken voor het configureren van SNC. Zie de SAP-documentatie voor meer informatie.

Bij het configureren van SNC:

  • Als het clientcertificaat is uitgegeven door een certificeringsinstantie voor ondernemingen, moet u de verlenende CA- en basis-CA-certificaten overdragen naar het systeem waar u de gegevensconnectoragent wilt maken.
  • Als u de gegevensconnectoragent gebruikt, moet u ook de relevante waarden invoeren en de relevante procedures gebruiken bij het configureren van de SAP-gegevensconnectoragentcontainer. Als u de gegevensconnector zonder agent gebruikt, wordt de SNC-configuratie uitgevoerd in de SAP Cloud Connector.

Zie Aan de slag met SAP SNC voor RFC-integraties - SAP-blog voor meer informatie over SNC.

Hoewel deze stap optioneel is, raden we u aan de SAP-gegevensconnector in te schakelen om de volgende inhoudsgegevens op te halen uit uw SAP-systeem:

  • Databasetabel- en Spool-uitvoerlogboeken
  • Ip-adresgegevens van client uit de beveiligingscontrolelogboeken

  1. Implementeer de relevante CR's vanuit de Microsoft Sentinel GitHub-opslagplaats, op basis van uw SAP-versie:

    SAP BASIS-versies Aanbevolen CR
    750 en hoger NPLK900202: K900202.NPL, R900202.NPL

    Wanneer u deze CR implementeert in een van de volgende SAP-versies, implementeert u ook 2641084 - Gestandaardiseerde leestoegang tot gegevens van het beveiligingscontrolelogboek:
    - 750 SP04 naar SP12
    - 751 SP00 naar SP06
    - 752 SP00 naar SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Implementeer de CER's op uw SAP-systeem, net zoals u andere CA's zou implementeren. We raden u ten zeerste aan om SAP-CRs te implementeren door een ervaren SAP-systeembeheerder. Zie de SAP-documentatie voor meer informatie.

    Zie de SAP-community en de SAP-documentatie voor meer informatie.

  2. Als u SAP BASIS-versies 7.31-7.5 SP12 wilt ondersteunen bij het verzenden van CLIENT-IP-adresgegevens naar Microsoft Sentinel, activeert u logboekregistratie voor SAP-tabel USR41. Zie de SAP-documentatie voor meer informatie.

Controleer of de PAHI-tabel regelmatig wordt bijgewerkt

De SAP PAHI-tabel bevat gegevens over de geschiedenis van het SAP-systeem, de database en SAP-parameters. In sommige gevallen kan de Microsoft Sentinel-oplossing voor SAP-toepassingen de SAP PAHI-tabel niet regelmatig bewaken vanwege ontbrekende of onjuiste configuratie. Het is belangrijk om de PAHI-tabel bij te werken en deze regelmatig te controleren, zodat de Microsoft Sentinel-oplossing voor SAP-toepassingen kan waarschuwen bij verdachte acties die op elk moment van de dag kunnen plaatsvinden. Zie voor meer informatie:

Als de PAHI-tabel regelmatig wordt bijgewerkt, wordt de SAP_COLLECTOR_FOR_PERFMONITOR taak gepland en wordt deze elk uur uitgevoerd. Als de SAP_COLLECTOR_FOR_PERFMONITOR taak niet bestaat, moet u deze zo nodig configureren.

Zie Databaseverzamelaar in Achtergrondverwerking en De gegevensverzamelaar configureren voor meer informatie.

SAP BTP-instellingen configureren

  1. Voeg in uw SAP BTP-subaccount rechten toe voor de volgende services:

    • SAP Integration Suite
    • SAP-proces Integration Runtime
    • Cloud Foundry Runtime

Opmerking

Deze oplossing houdt alleen rekening met SAP Cloud-integratie in de Cloud Foundry-omgeving.

  1. Maak een exemplaar van Cloud Foundry Runtime en maak vervolgens ook een Cloud Foundry-ruimte.

  2. Maak een exemplaar van SAP Integration Suite.

  3. Wijs de rol SAP BTP Integration_Provisioner toe aan uw SAP BTP-subaccountgebruikersaccount.

  4. Voeg in SAP Integration Suite de mogelijkheid voor cloudintegratie toe.

  5. Wijs de volgende procesintegratierollen toe aan uw gebruikersaccount:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Deze rollen zijn alleen beschikbaar nadat u de cloudintegratiemogelijkheid hebt geactiveerd.

  6. Maak een exemplaar van het SAP-proces Integration Runtime in uw subaccount met behulp van de integratiestroom voor het serviceplan (niet API!).

  7. Maak een servicesleutel voor het SAP-proces Integration Runtime en sla de JSON-inhoud op een beveiligde locatie op. U moet de cloudintegratiefunctie activeren voordat u een servicesleutel voor SAP Process Integration Runtime maakt.

Zie de SAP-documentatie voor meer informatie.

De connector configureren in Microsoft Sentinel en in uw SAP-systeem

Deze procedure bevat stappen in zowel Microsoft Sentinel als uw SAP-systeem en vereist coördinatie met de SAP-beheerder.

  1. Ga in Microsoft Sentinel naar de pagina Connectors voor configuratiegegevens > en zoek de Microsoft Sentinel voor SAP - gegevensconnector zonder agent.

  2. Vouw in de sectie Configuratie de instructies uit en volg de instructies in de sectie Initiële connectorconfiguratie - Voer de onderstaande stappen één keer uit: uit. Voor deze stappen is zowel uw SecuritySOC-engineer als de SAP-beheerder vereist.

    1. Automatische implementatie van Azure-resources activeren (SOC Engineer). Als na het implementeren van de Azure resources de waarden in stap 2 en 3 niet automatisch worden ingevuld, sluit en vouwt u stap 1 opnieuw uit om de waarden in stap 2 en 3 te vernieuwen.

    2. Implementeer een OAuth2-clientreferentieartefact in sap-integratie (SAP Beheer).

    3. Implementeer het SAP-gegevensconnectorpakket zonder agent in SAP Integration Suite (SAP Beheer). Deze procedure wordt uitgevoerd vanuit de SAP Integration Suite-portal (SAP Cloud Integration Web UI).

      1. Open de sectie Ontdekken .
      2. Zoek naar Microsoft Sentinel Solution en open deze.
      3. Klik op Kopiëren om het integratiepakket te importeren in uw Cloud Integration-tenant.
      4. Open het pakket en ga naar het tabblad Artefacten . Selecteer vervolgens de configuratie van de gegevensverzamelaar . Zie de SAP-documentatie voor meer informatie.
      5. Configureer de integratiestroom met de LogIngestionURL en de DCRImmutableID.
      6. Implementeer de iflow met behulp van SAP Cloud Integration als de runtime-service.

Sap Cloud Connector-instellingen configureren

  1. Installeer de SAP Cloud Connector. Zie de SAP-documentatie voor meer informatie.

  2. Meld u aan bij de interface van de cloudconnector en voeg het subaccount toe met behulp van de relevante referenties. Zie de SAP-documentatie voor meer informatie.

  3. Voeg in het subaccount van uw cloudconnector een nieuwe systeemtoewijzing toe aan het back-endsysteem om het ABAP-systeem toe te wijzen aan het RFC-protocol.

  4. Definieer opties voor taakverdeling en voer de details van uw back-end ABAP-server in. In deze stap kopieert u de naam van de virtuele host naar een beveiligde locatie om deze later in het implementatieproces te gebruiken.

  5. Voeg nieuwe resources toe aan de systeemtoewijzing voor elk van de volgende functienamen:

    • RSAU_API_GET_LOG_DATA, om sap-beveiligingslogboekgegevens op te halen

    • BAPI_USER_GET_DETAIL, om SAP-gebruikersgegevens op te halen

    • RFC_READ_TABLE, om gegevens uit vereiste tabellen te lezen

    • SIAG_ROLE_GET_AUTH om autorisaties voor beveiligingsrollen op te halen

    • /OSP/SYSTEM_TIMEZONE, om details van sap-systeemtijdzone op te halen

Opmerking

De opgegeven rol is geconfigureerd voor toegang met minimale bevoegdheden. Dit zorgt ervoor dat functiemodules zoals RFC_READ_TABLE alleen worden gebruikt als dat nodig is. Houd rekening met de best practices van SAP voor RFC-toegang en UCON-instellingen (SAP Unified Connectivity) om de toegang tot functiemodules te beheren buiten de besturingselementen van SAP Cloud Connector en de SAP-rol.

  1. Voeg een nieuwe bestemming toe in SAP BTP die verwijst naar de virtuele host die u eerder hebt gemaakt. Gebruik de volgende gegevens om de nieuwe bestemming in te vullen:

    • Naam: Voer de naam in die u wilt gebruiken voor de Microsoft Sentinel-verbinding

    • TypeRFC

    • Proxytype:On-Premise

    • Gebruiker: voer het ABAP-gebruikersaccount in dat u eerder hebt gemaakt voor Microsoft Sentinel

    • Autorisatietype:CONFIGURED USER

    • Aanvullende eigenschappen:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Locatie: alleen vereist wanneer u meerdere cloudconnectors verbindt met hetzelfde BTP-subaccount. Zie de SAP-documentatie voor meer informatie.

De vereiste controle uitvoeren

  1. De iflow voor vereistencontrole is opgenomen in het pakket. Configureer en implementeer deze iflow voordat u verdergaat met de volgende stap, zodat uw SAP-systeem voldoet aan de systeemvereisten voordat de integratie met Microsoft Sentinel. Na de implementatie wordt de iflow uitgevoerd volgens een schema in SAP Cloud Integration; controleer de meest recente uitvoeringsstatus om te bevestigen dat het is gelukt.

    Het hulpprogramma configureren en implementeren:

    1. Open het integratiepakket, navigeer naar het tabblad Artefacten en selecteer vereistencontrole iflow >configureren.
    2. Stel de doelbestemmingsnaam voor de externe functie-aanroep (RFC) in op het SAP-systeem dat u wilt controleren. Bijvoorbeeld A4H-100-Sentinel-RFC.
    3. Implementeer de iflow zoals u anders zou doen voor uw SAP-systemen.
    4. Voor de beste resultaten voert u de controle 24 uur uit met een frequentie van 1 minuten om afwijkingen zoals rogue overnight batch-taken of onbekende pieken in het gebruik op te sporen.

    De controlestatus controleren:

    1. Open in SAP Cloud Integration Integraties bewaken> en zoek deuitvoeringen van de Vereiste controle-iflow op basis van uw controleperiode (bijvoorbeeld 24 uur). Controleer of de uitvoeringen zijn voltooid met de status Voltooid (HTTP 200) en of de nettolading van het antwoord geen waarschuwingen of fouten bevat. De scheduler kan berichten produceren met de status 'Genegeerd' vanwege interne werking van SAP Cloud Integration. Deze berichten kunnen worden genegeerd en bevatten tekst zoals 'Berichtverwerking is verwijderd omdat de activerende timergebeurtenis al is verwerkt door een ander proces'.
    2. Controleer de bijlagen en eigenschappen van het berichtverwerkingslogboek (MPL) op de resultaten per controle. Open het bestand dat is gekoppeld aan de MPL-vermelding.

    Schermafbeelding van de tijdelijke aanduiding voor de uitvoeringsstatus van de vereiste controle iflow in SAP Cloud Integration Monitor.

    Gebruik de volgende tabel om de resultaten te interpreteren:

    Status Wat betekent dit? Volgende stap
    Voltooid, geen waarschuwingen Aan alle vereisten wordt voldaan. Blijf uw SAP-systeem verbinden met Microsoft Sentinel.
    Voltooid, met waarschuwingen Aan de vereisten wordt gedeeltelijk voldaan. Controleer de antwoorddetails en herstel voordat u verbinding maakt.
    Status Mislukt of niet-200 De controle kan het SAP-doelsysteem niet bereiken of er is een configuratiefout opgetreden. Controleer het RFC-doel en de referenties, implementeer de iflow opnieuw en voer de iflow opnieuw uit.

    Als er nog resultaten zijn, raadpleegt u de antwoorddetails voor hulp bij herstelstappen. Verouderde SAP-systemen vereisen vaak extra SAP-notities. Zie verder de sectie probleemoplossing voor veelvoorkomende problemen en oplossingen.

    Na voltooiing:

    Implementeer de geplande vereistencontrole-iflow zodra de SAP-systeemcontrole is voltooid. Herhaal deze volgorde voor elk nieuw SAP-systeem dat onboarding moet hebben.

  2. Schuif in de Sentinel portal verder omlaag in het gebied Configuratie en vouw de instructies uit en volg de instructies in het gebied Bewaakte SAP-systemen toevoegen : voer de onderstaande stappen uit voor elk gecontroleerd SAP-systeem: voor elk SAP-systeem dat u wilt bewaken.

    Wanneer u bij stap 2 bent. Verbind SAP System met Microsoft Sentinel/SOC Engineer en ga verder met Uw SAP-systeem verbinden met Microsoft Sentinel.

Volgende stap

Uw SAP-systeem verbinden met Microsoft Sentinel

  • Last updated on