Compartilhar via

Implementar a solução de Microsoft Sentinel para SAP BTP

Este artigo descreve como implementar a solução Microsoft Sentinel para o sistema BTP (SAP Business Technology Platform). A solução Microsoft Sentinel para SAP BTP monitoriza e protege o seu sistema SAP BTP. Recolhe registos de auditoria e registos de atividades da infraestrutura BTP e aplicações baseadas em BTP e, em seguida, deteta ameaças, atividades suspeitas, atividades ilegítimas e muito mais. Leia mais sobre a solução.

Importante

Uma mudança de arquitetura no conector de dados v3.0.11 para atender a registos SAP BTP atrasados requer a reinserção de subcontas SAP adicionadas antes dessa alteração. Veja as notas de versão para obter mais detalhes. Considere as ferramentas de inclusão em massa para sua comodidade.

Pré-requisitos

Antes de começar, verifique se:

  • A solução Microsoft Sentinel está ativada.
  • Tem uma área de trabalho Microsoft Sentinel definida e tem permissões de leitura e escrita para a área de trabalho.
  • A sua organização utiliza o SAP BTP (num ambiente cloud Foundry) para simplificar as interações com aplicações SAP e outras aplicações empresariais.
  • Tem uma Subconta SAP BTP (que suporta Subcontas BTP no ambiente cloud Foundry). Também pode utilizar uma conta de avaliação do SAP BTP.
  • Tem o serviço sap BTP auditlog-management e a chave de serviço (veja Configurar a Subconta e a solução BTP).
  • Tem a função contribuidor Microsoft Sentinel na área de trabalho Microsoft Sentinel de destino.

Configurar a subconta e a solução BTP

Para configurar a subconta BTP e a solução manualmente a partir do cockpit e do portal do Azure SAP BTP, siga estes passos:

  1. Depois de poder iniciar sessão na sua Subconta BTP (veja os pré-requisitos), siga os passos de obtenção do registo de auditoria no sistema SAP BTP.

  2. No cockpit do SAP BTP, selecione o Serviço de Gestão de Registos de Auditoria.

    Captura de ecrã que mostra a seleção do Serviço de Gestão de Registos de Auditoria btP.

  3. Crie uma instância do Serviço de Gestão de Registos de Auditoria na subconta BTP.

    Captura de ecrã a mostrar a criação de uma instância da subconta BTP.

  4. Crie uma chave de serviço e registe os valores para url, uaa.clientid, uaa.clientsecrete uaa.url. Estes valores são necessários para implementar o conector de dados.

    Eis exemplos destes valores de campo:

    • URL: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Entre no portal do Azure.

  6. Aceda ao serviço Microsoft Sentinel.

  7. Selecione Hub de conteúdos e, na barra de pesquisa, procure BTP.

  8. Selecione SAP BTP.

  9. Selecione Instalar.

    Para obter mais informações sobre como gerir os componentes da solução, veja Detetar e implementar conteúdos desabrofados.

  10. Selecione Criar.

    Captura de ecrã que mostra como criar a solução de Microsoft Sentinel para SAP BTP.

  11. Selecione o grupo de recursos e a área de trabalho Microsoft Sentinel na qual pretende implementar a solução.

  12. Selecione Seguinte até passar a validação e, em seguida, selecione Criar.

  13. Quando a implementação da solução estiver concluída, regresse à área de trabalho Microsoft Sentinel e selecione Conectores de dados.

  14. Na barra de pesquisa, introduza BTP e, em seguida, selecione SAP BTP.

  15. Selecione Abrir página do conector.

  16. Na página do conector, certifique-se de que cumpre os pré-requisitos necessários listados e conclua os passos de configuração. Quando estiver pronto, selecione Adicionar conta.

  17. Especifique os parâmetros que definiu anteriormente durante a configuração. O nome da subconta especificado é projetado como uma coluna na SAPBTPAuditLog_CL tabela e pode ser utilizado para filtrar os registos quando tem várias subcontas.

    Considere as opções avançadas, se necessário:

    • Frequência de Consulta: a frequência com que o conector consulta novos dados. A predefinição é de 1 minuto.
    • Atraso na Ingestão de Registos: o atraso estimado entre a hora em que o evento é gerado no SAP BTP e a hora em que está disponível no serviço de registo de auditoria sap BTP para ingestão no Microsoft Sentinel. O padrão é 20 minutos.

    Observação

    A obtenção de auditorias para a conta global não obtém automaticamente as auditorias da subconta. Siga os passos de configuração do conector para cada uma das subcontas que pretende monitorizar e siga estes passos para a conta global. Reveja estas considerações de configuração de auditoria de conta.

  18. Confirme que os registos BTP estão a fluir para a área de trabalho Microsoft Sentinel:

    1. Inicie sessão na sua subconta BTP e execute algumas atividades que geram registos, como inícios de sessão, adição de utilizadores, alteração de permissões e alteração de definições.
    2. Aguarde entre 20 a 30 minutos para que os registos comecem a fluir.
    3. Na página do conector SAP BTP, confirme que Microsoft Sentinel recebe os dados BTP ou consulte diretamente a tabela de SAPBTPAuditLog_CL.

  19. Ative o livro e as regras de análise fornecidas como parte da solução ao seguir estas diretrizes.

Observação

Para integrar subcontas SAP BTP em escala, recomenda-se abordagens baseadas na API e na CLI. Introdução a esta biblioteca de scripts.

Considere as configurações de auditoria da conta

O passo final no processo de implementação é considerar as configurações de auditoria da conta global e da subconta.

Configuração de auditoria de conta global

Quando ativa a obtenção do registo de auditoria no cockpit do BTP para a conta global: se a subconta para a qual pretende dar direito ao Serviço de Gestão de Registos de Auditoria estiver num diretório, primeiro tem de dar direito ao serviço ao nível do diretório. Só assim pode dar direito ao serviço ao nível da subconta.

Configuração de auditoria de subconta

Para ativar a auditoria de uma subconta, conclua os passos na documentação da API de obtenção de auditoria de subcontas SAP.

A documentação da API descreve como ativar a obtenção do registo de auditoria com a CLI do Cloud Foundry.

Também pode obter os registos através da IU:

  1. Na sua subconta no Sap Service Marketplace, crie uma instância do Serviço de Gestão de Registos de Auditoria.
  2. Na nova instância, crie uma chave de serviço.
  3. Veja a chave de serviço e obtenha os parâmetros necessários do passo 4 das instruções de configuração na IU do conector de dados (url, uaa.url, uaa.clientid e uaa.clientsecret).

Mass-Onboard subcontas SAP BTP em escala

Para integrar subcontas SAP BTP em escala, recomenda-se abordagens baseadas na API e na CLI. Introdução a esta biblioteca de scripts.

Rodar o segredo do cliente BTP

Recomendamos que rode periodicamente os segredos do cliente da subconta BTP. Para uma abordagem automatizada baseada na plataforma, veja a renovação automática de certificados de arquivo de confiança SAP BTP com Azure Key Vault ou como parar de pensar nas datas de expiração de uma vez por todas (blogue SAP).

Esta biblioteca de scripts demonstra o processo automático de atualização de um conector de dados existente com um novo segredo.

Conteúdo relacionado

  • Last updated on