Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Para que a solução Microsoft Sentinel para as aplicações SAP funcionarem corretamente, primeiro tem de colocar os seus dados SAP em Microsoft Sentinel. Faça-o ao implementar o Microsoft Sentinel agente do conector de dados SAP ou ao ligar o conector de dados Microsoft Sentinel sem agente para SAP. Selecione a opção na parte superior da página que corresponde ao seu ambiente.
Este artigo descreve o terceiro passo na implementação de uma das soluções de Microsoft Sentinel para aplicações SAP.
Importante
O agente do conector de dados para SAP está a ser preterido e estará permanentemente desativado até 14 de setembro de 2026. Recomendamos que migre para o conector de dados sem agente. Saiba mais sobre a abordagem sem agente na nossa mensagem de blogue.
Os conteúdos neste artigo são relevantes para as suas equipas de segurança, infraestrutura e SAP BASIS . Certifique-se de que executa os passos neste artigo pela ordem em que são apresentados.
Os conteúdos neste artigo são relevantes para a sua equipa de segurança .
Pré-requisitos
Antes de ligar o sistema SAP ao Microsoft Sentinel:
Certifique-se de que todos os pré-requisitos de implementação estão implementados. Para obter mais informações, veja Pré-requisitos para implementar Microsoft Sentinel solução para aplicações SAP.
Importante
Se estiver a trabalhar com o conector de dados sem agente, precisa da função programador de aplicações de ID Entra ou superior para implementar com êxito os recursos de Azure relevantes. Se não tiver esta permissão, trabalhe com um colega que tenha permissão para concluir o processo. Para obter o procedimento completo, veja o passo ligar o conector de dados sem agente .
Confirme que tem a solução Microsoft Sentinel para aplicações SAPinstalada na área de trabalho do Microsoft Sentinel
Certifique-se de que o sistema SAP está totalmente preparado para a implementação.
Se estiver a implementar o agente do conector de dados para comunicar com Microsoft Sentinel através do SNC, certifique-se de que concluiu Configurar o sistema para utilizar o SNC para ligações seguras.
Ver um vídeo de demonstração
Veja uma das seguintes demonstrações em vídeo do processo de implementação descrito neste artigo.
Uma descrição aprofundada das opções do portal:
Inclui mais detalhes sobre como utilizar Azure KeyVault. Sem áudio, demonstração apenas com legendas:
Criar uma máquina virtual e configurar o acesso às suas credenciais
Recomendamos que crie uma máquina virtual dedicada para o contentor do agente do conector de dados para garantir um desempenho ideal e evitar potenciais conflitos. Para obter mais informações, veja Pré-requisitos do sistema para o contentor do agente do conector de dados.
Recomendamos que armazene o SAP e os segredos de autenticação num Azure Key Vault. A forma como acede ao cofre de chaves depende de onde a máquina virtual (VM) é implementada:
| Método de implementação | Método de acesso |
|---|---|
| Contentor numa VM Azure | Recomendamos que utilize uma identidade gerida atribuída pelo sistema Azure para aceder Azure Key Vault. Se não for possível utilizar uma identidade gerida atribuída pelo sistema, o contentor também pode autenticar para Azure Key Vault através de um Microsoft Entra ID principal de serviço de aplicação registada ou, como último recurso, um ficheiro de configuração. |
| Um contentor numa VM no local ou numa VM num ambiente de cloud de terceiros | Autentique-se para Azure Key Vault através de um principal de serviço Microsoft Entra ID aplicação registada. |
Se não conseguir utilizar uma aplicação registada ou um principal de serviço, utilize um ficheiro de configuração para gerir as suas credenciais, embora este método não seja preferido. Para obter mais informações, veja Implementar o conector de dados com um ficheiro de configuração.
Para mais informações, consulte:
- Autenticação no Azure Key Vault
- O que são identidades geridas para recursos Azure?
- Objetos de principal de serviço e aplicação no Microsoft Entra ID
Normalmente, a sua máquina virtual é criada pela sua equipa de infraestrutura . Normalmente, a configuração do acesso às credenciais e a gestão de cofres de chaves é feita pela sua equipa de segurança .
Criar uma identidade gerida com uma VM Azure
Execute o seguinte comando para Criar uma VM no Azure, substituindo os nomes reais do seu ambiente pelo
<placeholders>:az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>Para obter mais informações, veja Início Rápido: Criar uma máquina virtual Linux com a CLI do Azure.
Importante
Após a criação da VM, certifique-se de que aplica quaisquer requisitos de segurança e procedimentos de proteção aplicáveis na sua organização.
Este comando cria o recurso da VM, produzindo um resultado semelhante ao seguinte:
{ "fqdns": "", "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname", "identity": { "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy", "userAssignedIdentities": {} }, "location": "westeurope", "macAddress": "00-11-22-33-44-55", "powerState": "VM running", "privateIpAddress": "192.168.136.5", "publicIpAddress": "", "resourceGroup": "resourcegroupname", "zones": "" }Copie o GUID systemAssignedIdentity , uma vez que será utilizado nos próximos passos. Esta é a sua identidade gerida.
Criar um cofre de chaves
Este procedimento descreve como criar um cofre de chaves para armazenar as informações de configuração do agente, incluindo os segredos de autenticação SAP. Se estiver a utilizar um cofre de chaves existente, avance diretamente para o passo 2.
Para criar o cofre de chaves:
Execute os seguintes comandos, substituindo os nomes reais pelos
<placeholder>valores.az keyvault create \ --name <KeyVaultName> \ --resource-group <KeyVaultResourceGroupName>Copie o nome do cofre de chaves e o nome do respetivo grupo de recursos. Irá precisar destas permissões quando atribuir as permissões de acesso ao cofre de chaves e executar o script de implementação nos próximos passos.
Atribuir permissões de acesso ao cofre de chaves
No cofre de chaves, atribua a função Azure Key Vault Leitor de Segredos à identidade que criou e copiou anteriormente.
No mesmo cofre de chaves, atribua as seguintes funções de Azure ao utilizador que configura o agente do conector de dados:
- Key Vault Contribuidor, para implementar o agente
- Key Vault Secrets Officer, para adicionar novos sistemas
Implementar o agente do conector de dados a partir do portal (Pré-visualização)
Agora que criou uma VM e um Key Vault, o próximo passo é criar um novo agente e ligar a um dos seus sistemas SAP. Embora possa executar vários agentes do conector de dados num único computador, recomendamos que comece apenas com um, monitorize o desempenho e, em seguida, aumente o número de conectores lentamente.
Este procedimento descreve como criar um novo agente e ligá-lo ao seu sistema SAP através dos portais do Azure ou do Defender. Recomendamos que a sua equipa de segurança efetue este procedimento com a ajuda da equipa SAP BASIS .
A implementação do agente do conector de dados a partir do portal é suportada a partir do portal do Azure e do portal do Defender quando Microsoft Sentinel está integrado no portal do Defender.
Embora a implementação também seja suportada a partir da linha de comandos, recomendamos que utilize o portal para implementações típicas. Os agentes do conector de dados implementados com a linha de comandos só podem ser geridos através da linha de comandos e não através do portal. Para obter mais informações, veja Implementar um agente do conector de dados SAP a partir da linha de comandos.
Importante
A implementação do contentor e a criação de ligações para sistemas SAP a partir do portal está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Pré-requisitos:
Para implementar o agente do conector de dados através do portal, precisa de:
- Autenticação através de uma identidade gerida ou de uma aplicação registada
- Credenciais armazenadas num Azure Key Vault
Se não tiver estes pré-requisitos, implemente o agente do conector de dados SAP a partir da linha de comandos .
Para implementar o agente do conector de dados, também precisa de privilégios sudo ou de raiz no computador do agente do conector de dados.
Se quiser ingerir registos Netweaver/ABAP através de uma ligação segura com o Secure Network Communications (SNC), precisa de:
- O caminho para o
sapgenpsebinário elibsapcrypto.soa biblioteca - Os detalhes do certificado de cliente
Para obter mais informações, veja Configurar o sistema para utilizar o SNC para ligações seguras.
- O caminho para o
Para implementar o agente do conector de dados:
Inicie sessão na VM recém-criada na qual está a instalar o agente, como um utilizador com privilégios sudo.
Transfira e/ou transfira o SDK sap NetWeaver para o computador.
No Microsoft Sentinel, selecione Conectores de Dados de Configuração>.
Na barra de pesquisa, introduza SAP. Selecione Microsoft Sentinel para SAP - baseado no agente nos resultados da pesquisa e, em seguida, abrir página do conector.
Na área Configuração , selecione Adicionar novo agente (Pré-visualização).
No painel Criar um agente recoletor , introduza os seguintes detalhes do agente:
Name Descrição Nome do agente Introduza um nome de agente relevante para a sua organização. Não recomendamos nenhuma convenção de nomenclatura específica, exceto que o nome pode incluir apenas os seguintes tipos de carateres: - a-z
- A-Z
- 0-9
- _ (caráter de sublinhado)
- . (ponto final)
- - (traço)
Subscrição / Cofre de chaves Selecione a Subscrição e o Cofre de chaves nos respetivos menus pendentes. Caminho do ficheiro zip do SDK NWRFC na VM do agente Introduza o caminho na VM que contém o arquivo sap NetWeaver Remote Function Call (RFC) Software Development Kit (SDK) (ficheiro .zip).
Certifique-se de que este caminho inclui o número da versão do SDK na seguinte sintaxe:<path>/NWRFC<version number>.zip. Por exemplo:/src/test/nwrfc750P_12-70002726.zip.Ativar o suporte de ligação SNC Selecione para ingerir registos NetWeaver/ABAP através de uma ligação segura com o SNC.
Se selecionar esta opção, introduza o caminho que contém o binário elibsapcrypto.soasapgenpsebiblioteca, em Caminho da Biblioteca Criptográfica SAP na VM do agente.
Se quiser utilizar uma ligação SNC, certifique-se de que seleciona Ativar suporte de ligação SNC nesta fase, uma vez que não pode voltar atrás e ativar uma ligação SNC depois de concluir a implementação do agente. Se quiser alterar esta definição posteriormente, recomendamos que crie um novo agente.Autenticação para Azure Key Vault Para autenticar no cofre de chaves com uma identidade gerida, deixe a opção Identidade Gerida predefinida selecionada. Para autenticar no cofre de chaves com uma aplicação registada, selecione Identidade da Aplicação.
Tem de ter a identidade gerida ou a aplicação registada configurada antecipadamente. Para obter mais informações, veja Criar uma máquina virtual e configurar o acesso às suas credenciais.Por exemplo:
Selecione Criar e reveja as recomendações antes de concluir a implementação:
A implementação do agente do conector de dados SAP requer que conceda a identidade da VM do agente com permissões específicas para a área de trabalho Microsoft Sentinel, utilizando as funções de Operador do Agente e Leitor de Aplicações Empresariais do Microsoft Sentinel.
Para executar os comandos neste passo, tem de ser proprietário de um grupo de recursos na área de trabalho Microsoft Sentinel. Se não for proprietário de um grupo de recursos na área de trabalho, este procedimento também pode ser executado após a implementação do agente estar concluída.
Em Apenas mais alguns passos antes de concluirmos, copie os comandos atribuição de função do passo 1 e execute-os na VM do agente, substituindo o
[Object_ID]marcador de posição pelo ID do objeto de identidade da VM. Por exemplo:
Para localizar o ID do objeto de identidade da VM no Azure:
Para uma identidade gerida, o ID do objeto está listado na página Identidade da VM.
Para um principal de serviço, aceda a Aplicação empresarial no Azure. Selecione Todas as aplicações e, em seguida, selecione a sua VM. O ID do objeto é apresentado na página Descrição geral .
Estes comandos atribuem as funções Microsoft Sentinel Operador de Agente de Aplicações Empresariais e Leitor Azure à identidade gerida ou da aplicação da VM, incluindo apenas o âmbito dos dados do agente especificado na área de trabalho.
Importante
Atribuir as funções de Operador de Agente e Leitor de Aplicações Empresariais Microsoft Sentinel através da CLI atribui as funções apenas no âmbito dos dados do agente especificado na área de trabalho. Esta é a opção mais segura e, portanto, recomendada.
Se tiver de atribuir as funções através do portal do Azure, recomendamos que atribua as funções num âmbito pequeno, como apenas na área de trabalho Microsoft Sentinel.
Selecione Copiar
junto ao comando implementação do Agente no passo 2. Por exemplo:
Copie a linha de comandos para uma localização separada e, em seguida, selecione Fechar.
As informações relevantes do agente são implementadas no Azure Key Vault e o novo agente é visível na tabela em Adicionar um agente recoletor baseado em API.
Nesta fase, o estado de funcionamento do agente é "Instalação incompleta. Siga as instruções". Assim que o agente for instalado com êxito, o estado muda para Agente em bom estado de funcionamento. Esta atualização pode demorar até 10 minutos. Por exemplo:
Nota
A tabela apresenta o nome do agente e o estado de funcionamento apenas para os agentes que implementar através do portal do Azure. Os agentes implementados com a linha de comandos não são apresentados aqui. Para obter mais informações, consulte antes o separador Linha de comandos.
Na VM onde planeia instalar o agente, abra um terminal e execute o comando de implementação Agente que copiou no passo anterior. Este passo requer privilégios sudo ou raiz no computador do agente do conector de dados.
O script atualiza os componentes do SO e instala o CLI do Azure, o software docker e outros utilitários necessários, como jq, netcat e curl.
Forneça parâmetros adicionais para o script, conforme necessário, para personalizar a implementação do contentor. Para obter mais informações sobre as opções de linha de comandos disponíveis, veja Referência do script kickstart.
Se precisar de copiar o comando novamente, selecione Ver
de Funcionamento. À direita da coluna Estado de Funcionamento e copie o comando junto ao comando Implementação do agente no canto inferior direito.Na Microsoft Sentinel solução para a página do conector de dados da aplicação SAP, na área Configuração, selecione Adicionar novo sistema (Pré-visualização) e introduza os seguintes detalhes:
Em Selecionar um agente, selecione o agente que criou anteriormente.
Em Identificador do sistema, selecione o tipo de servidor:
- Servidor ABAP
- Servidor de Mensagens para utilizar um servidor de mensagens como parte de um ABAP SAP Central Services (ASCS).
Continue ao definir detalhes relacionados para o seu tipo de servidor:
- Para um servidor ABAP, introduza o endereço IP/FQDN do servidor da Aplicação ABAP, o ID e o número do sistema e o ID de cliente.
- Para um servidor de mensagens, introduza o endereço IP/FQDN do servidor de mensagens, o número da porta ou o nome do serviço e o grupo de início de sessão
Quando terminar, selecione Seguinte: Autenticação.
Por exemplo:
No separador Autenticação , introduza os seguintes detalhes:
- Para autenticação básica, introduza o utilizador e a palavra-passe.
- Se tiver selecionado uma ligação SNC quando configurou o agente, selecione SNC e introduza os detalhes do certificado.
Quando terminar, selecione Seguinte: Registos.
No separador Registos , selecione os registos que pretende ingerir no SAP e, em seguida, selecione Seguinte: Rever e criar. Por exemplo:
(Opcional) Para obter os melhores resultados na monitorização da tabela SAP PAHI, selecione Histórico de Configuração. Para obter mais informações, consulte Verificar se a tabela PAHI é atualizada em intervalos regulares.
Reveja as definições que definiu. Selecione Anterior para modificar quaisquer definições ou selecione Implementar para implementar o sistema.
A configuração do sistema que definiu é implementada no Azure Key Vault que definiu durante a implementação. Agora pode ver os detalhes do sistema na tabela em Configurar um sistema SAP e atribuí-lo a um agente recoletor. Esta tabela apresenta o nome do agente associado, o ID do Sistema SAP (SID) e o estado de funcionamento dos sistemas que adicionou através do portal ou de outra forma.
Nesta fase, o estado de funcionamento do sistema é Pendente. Se o agente for atualizado com êxito, solicita a configuração do Azure Key Vault e o estado muda para Estado de funcionamento do sistema. Esta atualização pode demorar até 10 minutos.
Veja o vídeo de inclusão do conector
Utilize o vídeo de inclusão para suportar a implementação e configuração da Solução Microsoft Sentinel para SAP – conector de dados sem agente descrito nesta documentação.
Ligar o conector de dados sem agente
No Microsoft Sentinel, aceda à página Conectores de Dados de Configuração > e localize o Microsoft Sentinel do conector de dados SAP - sem agente.
Na área Configuração, expanda o passo 1. Acione a implementação automática de recursos de Azure necessários/Engenheiro do SOC e selecione Implementar recursos de Azure necessários.
Importante
Se não tiver a função Programador de Aplicações de ID Entra ou superior e selecionar implementar os recursos necessários Azure, é apresentada uma mensagem de erro, por exemplo: "Implementar recursos Azure necessários" (os erros podem variar). Isto significa que a regra de recolha de dados (DCR) e o ponto final de recolha de dados (DCE) foram criados, mas tem de se certificar de que o registo da aplicação Entra ID está autorizado. Continue a configurar a autorização correta.
Nota
Ao implementar os recursos de Azure necessários para a solução de Microsoft Sentinel para aplicações SAP (sem agente), o Azure Resource Manager (ARM) pode demorar até 45 segundos a concluir as operações do fornecedor de recursos. Durante este período, a implementação pode parecer atrasada. Este comportamento é esperado. Aguarde até que a operação seja concluída antes de repetir ou reimplementar.
Efetue um dos seguintes procedimentos:
Se tiver a função programador de aplicações de ID Entra ou superior, avance para o passo seguinte.
Se não tiver a função de Programador de Aplicações de ID Entra ou superior:
- Partilhe o ID do DCR com o seu administrador ou colega de ID de Entra com as permissões necessárias.
- Certifique-se de que a função Editor de Métricas de Monitorização está atribuída no DCR, com a atribuição do principal de serviço, utilizando o ID de cliente do registo da aplicação de ID do Entra.
- Obtenha o ID de cliente e o segredo do cliente do registo da aplicação Entra ID para utilizar para autorização no DCR.
O administrador do SAP utiliza o ID de cliente e as informações do segredo do cliente para publicar no DCR.
Desloque-se para baixo e selecione Adicionar cliente SAP.
No painel Ligar a um Cliente SAP , introduza os seguintes detalhes:
Campo Descrição Nome de destino rfc O nome do destino RFC, retirado do destino BTP. ID de Cliente Sem Agente SAP O valor clientid retirado do ficheiro JSON da chave de serviço Integration Runtime processo. Segredo do Cliente sem Agente SAP O valor clientsecret retirado do ficheiro JSON da chave de serviço Integration Runtime processo. URL do servidor de autorização O valor de tokenurl retirado do ficheiro JSON da chave de serviço Integration Runtime processo. Por exemplo: https://your-tenant.authentication.region.hana.ondemand.com/oauth/tokenPonto Final do Integration Suite O valor de URL retirado do ficheiro JSON da chave de serviço Integration Runtime processo. Por exemplo: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.comSelecione Ligar.
Importante
Pode haver algum tempo de espera na ligação inicial. Encontre mais detalhes para verificar o conector aqui.
Mass-Onboard sistemas SAP em escala
Para integrar sistemas SAP na Solução de Sentinel para aplicações SAP em escala, recomenda-se abordagens baseadas na API e na CLI. Introdução a esta biblioteca de scripts.
Rodar o segredo do cliente BTP
Recomendamos que rode periodicamente os segredos do cliente da subconta BTP utilizados pelo conector de dados. Para uma abordagem automatizada baseada na plataforma, veja a renovação automática de certificados de arquivo de confiança SAP BTP com Azure Key Vault ou como parar de pensar nas datas de expiração de uma vez por todas (blogue SAP).
Esta biblioteca de scripts demonstra o processo automático de atualização de um conector de dados existente com um novo segredo.
Personalizar o comportamento do conector de dados (opcional)
Se tiver um conector de dados sem agente SAP para Microsoft Sentinel, pode utilizar o SAP Integration Suite para personalizar a forma como o conector de dados sem agente ingere dados do seu sistema SAP para Microsoft Sentinel.
Este procedimento só é relevante quando quer personalizar o comportamento do conector de dados sem agente SAP. Ignore este procedimento se estiver satisfeito com a funcionalidade predefinida. Por exemplo, se estiver a utilizar o Sybase, recomendamos que desative a ingestão de registos do Change Docs no iflow ao configurar o parâmetro collect-changedocs-logs . Devido a problemas de desempenho da base de dados, a ingestão de registos de Documentos de Alteração do Sybase não é suportada.
Sugestão
Veja este blogue para obter mais informações sobre as implicações da substituição das predefinições.
Pré-requisitos para personalizar o comportamento do conector de dados
- Tem de ter acesso ao SAP Integration Suite, com permissões para criar e editar mapeamentos de valores.
- Um pacote de integração SAP separado, existente ou novo, dedicado ao alojamento do artefacto de mapeamento de valores. O Microsoft Sentinel para o pacote de integração SAP instalado a partir do marketplace está no modo apenas de configuração, pelo que não pode adicioná-lo lá.
Criar o artefacto de mapeamento de valores e personalizar as definições
Crie um artefacto de mapeamento de valores no inquilino do SAP Integration Suite e adicione apenas os parâmetros que pretende substituir. Qualquer parâmetro que não definir mantém o respetivo valor predefinido.
Tem duas opções para implementar o artefacto:
Opção 1 (recomendado): importe o Mapa de Valor da Chave pré-criado do Microsoft Sentinel para o repositório da comunidade SAP. O repositório envia um esquema pré-preenchido de Personalização do Recoletor de Dados (Key Value Map) para personalização. Transfira o pacote base mais recente a partir da página de lançamentos e importe-o para o inquilino do SAP Integration Suite. Em seguida, continue com os passos de personalização abaixo.
Sugestão
O mesmo repositório da comunidade aloja outras receitas de integração fornecidas pela Microsoft que pode adotar juntamente com o conector de dados sem agente, como o SAP Ariba, a edição pública sap S/4HANA Cloud (GROW), o bloco de Utilizador sap e o Sap Table Reader. Procure a pasta integration-artifacts para obter a lista completa e atualizada. As contribuições da comunidade são bem-vindas.
Opção 2: criar o artefacto manualmente. No seu pacote dedicado, crie um novo artefacto de Mapeamento de Valores . Para obter mais informações, veja a documentação do SAP sobre como criar um mapeamento de valores.
Depois de o artefacto de mapeamento de valores estar implementado, personalize-o e ative-o:
Adicione as entradas que personalizam o comportamento do conector de dados. Utilize uma das seguintes abordagens:
- Para personalizar as definições em todos os sistemas SAP, adicione mapeamentos de valores na agência de mapeamento bidirecional global , utilizando o nome do parâmetro como a chave de origem e a substituição como o valor de destino.
-
Para personalizar definições para sistemas SAP específicos, crie uma agência de mapeamento bidirecional separada para cada sistema SAP. Atribua um nome a cada agência para corresponder exatamente ao nome do destino RFC que pretende personalizar (por exemplo,
myRfc, key, myRfc, value) e adicione as entradas de parâmetros nessa agência.
Para obter mais informações, veja a documentação do SAP sobre como configurar mapeamentos de valores.
Guarde e implemente o artefacto de mapeamento de valores para ativar as definições atualizadas.
Utilize a tabela seguinte como guia para o que introduzir no artefacto de mapeamento de valores. Adicione apenas as linhas para os parâmetros que pretende substituir:
| Campo no artefacto de mapeamento de valores | O que introduzir |
|---|---|
| Agência (origem e destino) |
global para todos os sistemas SAP ou o nome de destino RFC (por exemplo, myRfc) para definir o âmbito da substituição para um sistema SAP específico. |
| Identificador (origem e destino) |
key como o identificador de origem e value como o identificador de destino. |
| Valor de origem | O nome do parâmetro da tabela de parâmetros personalizáveis (por exemplo, collect-changedocs-logs). |
| Valor de destino | O valor de substituição para esse parâmetro (por exemplo, false). |
A tabela seguinte lista os parâmetros personalizáveis do conector de dados sem agente SAP para Microsoft Sentinel:
Controlos de coleção gerais
| Parâmetro | Descrição | Valores permitidos | Valor predefinido |
|---|---|---|---|
| collect-audit-logs | Determina se os dados do Registo de Auditoria são ingeridos ou não. | true: Ingerido, falso: Não ingerido | verdadeiro |
| collect-changedocs-logs | Determina se os registos do Change Docs são ingeridos ou não. | true: Ingerido, falso: Não ingerido | verdadeiro |
| collect-user-master-data-users | Determina se os dados de Detalhes do Utilizador são ingeridos ou não. Este parâmetro também é controlado por collect-user-master-data. | true: Ingerido, falso: Não ingerido | verdadeiro |
| collect-user-master-data-roles | Determina se os dados de Autorização de Função são ingeridos ou não. Este parâmetro também é controlado por collect-user-master-data. | true: Ingerido, falso: Não ingerido | verdadeiro |
| ingestão-ciclo-dias | Tempo, em dias, dado para ingerir toda a população de dados do User Master, incluindo utilizadores e funções. | Número inteiro, entre 1-14 | 7 |
| desvio em segundos | Determina o deslocamento, em segundos, para as horas de início e de fim de uma janela de recolha de dados. Utilize este parâmetro para atrasar a recolha de dados pelo número configurado de segundos. | Número inteiro, entre 1-600 | 60 |
Parâmetros do Registo de Auditoria
| Parâmetro | Descrição | Valores permitidos | Valor predefinido |
|---|---|---|---|
| force-audit-log-to-read-from-all-clients | Determina se o Registo de Auditoria é lido a partir de todos os clientes. | true: Read from all clients, false: Not read from all clients | falso |
| max-rows | Atua como uma salvaguarda que limita o número de registos de auditoria processados numa única janela de recolha de dados. Este parâmetro já não se aplica à coleção Alterar Documentos. | Número inteiro, entre10000000- | 150000 |
Alterar parâmetros do Docs
| Parâmetro | Descrição | Valores permitidos | Valor predefinido |
|---|---|---|---|
| changedocs-object-classes | Lista de classes de objetos que são ingeridas a partir dos registos do Change Docs. | Lista separada por vírgulas de classes de objetos | BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA |
| max-changedocs-headers | Atua como uma salvaguarda que limita o número de registos de cabeçalho do Change Docs (registos CDHDR) processados numa única janela de recolha de dados. Utilize este parâmetro para reduzir o tempo de execução e a pressão da memória durante picos no volume de cabeçalho. | Número inteiro, entre10000000- | 1000 |
| max-changedocs-details | Atua como uma salvaguarda que limita o número de registos de detalhes do Change Docs (registos CDPOS) processados numa única janela de recolha de dados. Utilize este parâmetro para otimizar o débito versus a utilização da memória. | Número inteiro, entre10000000- | 10000 |
| change-docs-batch-size | Número de registos de cabeçalho do Change Docs utilizados por chamada de obtenção de detalhes. Reduza este valor se o RFC chamar o tempo limite. | Número inteiro, entre 1-1000 | 1000 |
Parâmetros de Detalhes do Utilizador
| Parâmetro | Descrição | Valores permitidos | Valor predefinido |
|---|---|---|---|
| max-users | Atua como uma salvaguarda que limita o número de utilizadores exclusivos processados num único ciclo de coleção. | Número inteiro, entre10000000- | 125 |
| user-batch-size | Número de utilizadores processados por lote ao obter dados de utilizadores ativos. Reduza este valor se o RFC chamar o tempo limite. | Número inteiro, entre 1-1000 | 125 |
| role-profiles-max | Determina o número máximo combinado de perfis e funções que podem ser emitidos para um utilizador antes de o conector escrever um marcador de truncagem de carateres universais em vez da lista completa. | Número inteiro, entre 110000- | 1000 |
| role-profiles-batch-size | Número de perfis ou funções escritas por linha de saída. Os utilizadores com mais perfis ou funções do que este valor são divididos em várias linhas. | Número inteiro, entre 1-1000 | 14 |
Parâmetros de Autorização de Função
| Parâmetro | Descrição | Valores permitidos | Valor predefinido |
|---|---|---|---|
| max-roles | Atua como uma salvaguarda que limita o número de funções processadas num único ciclo de coleção. | Número inteiro, entre10000000- | 50 |
| max-roles-authz-overall | Atua como uma salvaguarda que limita o número cumulativo de registos de autorização de função obtidos em todas as funções num único ciclo de coleção. | Número inteiro, entre10000000- | 25000 |
| max-roles-authz-individual | Atua como uma salvaguarda que limita o número de registos de autorização obtidos para uma função individual. As funções que excedem este limite são ignoradas. | Número inteiro, entre10000000- | 5000 |
| role-authz-batch-size | Número de registos obtidos por lote ao obter dados de autorização de função. Reduza este valor se o RFC chamar o tempo limite. | Número inteiro, entre 1-1000 | 100 |
Comportamento de truncamento das salvaguardas
Quando um dos limites é atingido, é escrito um registo de marcador na saída com uma mensagem descritiva a indicar o limite atingido, a contagem de registos real e a janela de tempo da coleção. Os dois limites produzem marcadores distintos (TRUNCATED_HEADERS e TRUNCATED_DETAILS) para que possam ser distinguidos em Sentinel.
Verificar a conectividade e o estado de funcionamento
Depois de implementar o conector de dados SAP, verifique o estado de funcionamento e a conectividade do agente. Para obter mais informações, veja Monitorizar o estado de funcionamento e a função dos seus sistemas SAP.
Passo seguinte
Assim que o conector for implementado, continue para configurar a solução de Microsoft Sentinel para o conteúdo das aplicações SAP. Especificamente, a configuração de detalhes nas listas de observação é um passo essencial para ativar as deteções e a proteção contra ameaças.