Ansluta DITT SAP-system till Microsoft Sentinel

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

För att den Microsoft Sentinel lösningen för ATT SAP-program ska fungera korrekt måste du först hämta dina SAP-data till Microsoft Sentinel. Gör detta genom att antingen distribuera Microsoft Sentinel SAP-dataanslutningsagenten eller genom att ansluta Microsoft Sentinel agentlös dataanslutning för SAP. Välj det alternativ överst på sidan som matchar din miljö.

Den här artikeln beskriver det tredje steget när du distribuerar en av de Microsoft Sentinel lösningarna för SAP-program.

Viktigt

Dataanslutningsagenten för SAP är inaktuell och inaktiveras permanent senast den 14 september 2026. Vi rekommenderar att du migrerar till den agentlösa dataanslutningen. Läs mer om den agentlösa metoden i vårt blogginlägg.

Diagram över distributionsflödet för SAP-lösningen med fokus på steget Anslut ditt SAP-system.

Innehållet i den här artikeln är relevant för dina säkerhets-, infrastruktur- och SAP BASIS-team . Se till att utföra stegen i den här artikeln i den ordning som de visas.

Diagram över distributionsflödet för SAP-lösningen med fokus på steget Anslut ditt SAP-system.

Innehållet i den här artikeln är relevant för ditt säkerhetsteam .

Förhandskrav

Innan du ansluter DITT SAP-system till Microsoft Sentinel:

Titta på en demovideo

Titta på någon av följande videodemonstrationer av distributionsprocessen som beskrivs i den här artikeln.

En djupdykning i portalalternativen:

Innehåller mer information om hur du använder Azure KeyVault. Inget ljud, endast demonstration med bildtexter:

Skapa en virtuell dator och konfigurera åtkomst till dina autentiseringsuppgifter

Vi rekommenderar att du skapar en dedikerad virtuell dator för din dataanslutningsagentcontainer för att säkerställa optimala prestanda och undvika potentiella konflikter. Mer information finns i Systemkrav för dataanslutningsagentcontainern.

Vi rekommenderar att du lagrar dina SAP- och autentiseringshemligheter i en Azure Key Vault. Hur du kommer åt ditt nyckelvalv beror på var den virtuella datorn (VM) distribueras:

Distributionsmetod Access-metod
Container på en Azure virtuell dator Vi rekommenderar att du använder en Azure systemtilldelad hanterad identitet för att få åtkomst till Azure Key Vault.

Om en systemtilldelad hanterad identitet inte kan användas kan containern också autentiseras för att Azure Key Vault med hjälp av ett Microsoft Entra ID huvudnamn för tjänsten registered-application eller, som en sista utväg, en konfigurationsfil.
En container på en lokal virtuell dator eller en virtuell dator i en molnmiljö från tredje part Autentisera för att Azure Key Vault med hjälp av ett Microsoft Entra ID tjänstens huvudnamn för registrerade program.

Om du inte kan använda ett registrerat program eller ett huvudnamn för tjänsten använder du en konfigurationsfil för att hantera dina autentiseringsuppgifter, men den här metoden rekommenderas inte. Mer information finns i Distribuera dataanslutningsappen med hjälp av en konfigurationsfil.

Mer information finns i:

Den virtuella datorn skapas vanligtvis av infrastrukturteamet . Konfiguration av åtkomst till autentiseringsuppgifter och hantering av nyckelvalv utförs vanligtvis av ditt säkerhetsteam .

Skapa en hanterad identitet med en Azure virtuell dator

  1. Kör följande kommando för att skapa en virtuell dator i Azure och ersätt faktiska namn från din miljö för <placeholders>:

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    Mer information finns i Snabbstart: Skapa en Linux virtuell dator med Azure CLI.

    Viktigt

    När den virtuella datorn har skapats måste du tillämpa alla säkerhetskrav och härdningsprocedurer som gäller i din organisation.

    Det här kommandot skapar den virtuella datorresursen och genererar utdata som ser ut så här:

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. Kopiera systemAssignedIdentity GUID så som det kommer att användas i de kommande stegen. Det här är din hanterade identitet.

Skapa ett nyckelvalv

Den här proceduren beskriver hur du skapar ett nyckelvalv för att lagra din agentkonfigurationsinformation, inklusive dina SAP-autentiseringshemligheter. Om du använder ett befintligt nyckelvalv går du direkt till steg 2.

Så här skapar du ditt nyckelvalv:

  1. Kör följande kommandon och ersätt faktiska namn med <placeholder> värdena.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. Kopiera namnet på ditt nyckelvalv och namnet på dess resursgrupp. Du behöver dessa när du tilldelar åtkomstbehörigheter för nyckelvalvet och kör distributionsskriptet i nästa steg.

Tilldela åtkomstbehörigheter för nyckelvalv

  1. I nyckelvalvet tilldelar du rollen Azure Key Vault Secrets Reader till den identitet som du skapade och kopierade tidigare.

  2. I samma nyckelvalv tilldelar du följande Azure roller till användaren som konfigurerar dataanslutningsagenten:

    • Key Vault deltagare för att distribuera agenten
    • Key Vault Secrets Officer för att lägga till nya system

Distribuera dataanslutningsagenten från portalen (förhandsversion)

Nu när du har skapat en virtuell dator och en Key Vault är nästa steg att skapa en ny agent och ansluta till ett av dina SAP-system. Du kan köra flera dataanslutningsagenter på en enda dator, men vi rekommenderar att du börjar med en enda, övervakar prestanda och sedan ökar antalet anslutningsappar långsamt.

Den här proceduren beskriver hur du skapar en ny agent och ansluter den till ditt SAP-system med hjälp av Azure- eller Defender-portalerna. Vi rekommenderar att säkerhetsteamet utför den här proceduren med hjälp av SAP BASIS-teamet .

Distribution av dataanslutningsagenten från portalen stöds från både Azure Portal och Defender-portalen när Microsoft Sentinel registreras i Defender-portalen.

Även om distribution även stöds från kommandoraden rekommenderar vi att du använder portalen för vanliga distributioner. Dataanslutningsagenter som distribueras med kommandoraden kan endast hanteras via kommandoraden och inte via portalen. Mer information finns i Distribuera en SAP-dataanslutningsagent från kommandoraden.

Viktigt

Distribution av containern och skapande av anslutningar till SAP-system från portalen finns för närvarande i FÖRHANDSVERSION. De kompletterande villkoren för Azure förhandsversion innehåller ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Förutsättningar:

  • Om du vill distribuera dataanslutningsagenten via portalen behöver du:

    • Autentisering via en hanterad identitet eller ett registrerat program
    • Autentiseringsuppgifter som lagras i en Azure Key Vault

    Om du inte har dessa krav distribuerar du SAP-dataanslutningsagenten från kommandoraden i stället.

  • Om du vill distribuera dataanslutningsagenten behöver du även sudo- eller rotprivilegier på dataanslutningsagentdatorn.

  • Om du vill mata in Netweaver/ABAP-loggar över en säker anslutning med hjälp av SNC (Secure Network Communications) behöver du:

    • Sökvägen till binärfilen sapgenpse och libsapcrypto.so biblioteket
    • Information om klientcertifikatet

    Mer information finns i Konfigurera systemet att använda SNC för säkra anslutningar.

Så här distribuerar du dataanslutningsagenten:

  1. Logga in på den nyligen skapade virtuella datorn där du installerar agenten som en användare med sudo-behörighet.

  2. Ladda ned och/eller överför SAP NetWeaver SDK till datorn.

  3. I Microsoft Sentinel väljer du Anslutningsappar för konfigurationsdata>.

  4. I sökfältet anger du SAP. Välj Microsoft Sentinel för SAP – agentbaserad från sökresultatet och sedan sidan Öppna anslutningsapp.

  5. I området Konfiguration väljer du Lägg till ny agent (förhandsversion).

    Skärmbild av instruktionerna för att lägga till en SAP API-baserad insamlaragent.

  6. I fönstret Skapa en insamlaragent anger du följande agentinformation:

    Namn Beskrivning
    Agentnamn Ange ett beskrivande agentnamn för din organisation. Vi rekommenderar inte någon specifik namngivningskonvention, förutom att namnet bara kan innehålla följande typer av tecken:
    • a–z
    • A–Z
    • 0-9
    • _ (understreck)
    • . (punkt)
    • - (streck)
    Prenumeration / Nyckelvalv Välj prenumerations- och nyckelvalvet i respektive listruta.
    ZIP-filsökvägen NWRFC SDK på den virtuella agentdatorn Ange sökvägen i den virtuella datorn som innehåller SDK-arkivet (SAP NetWeaver Remote Function Call) (RFC) (Software Development Kit) (.zip fil).

    Kontrollera att den här sökvägen innehåller SDK-versionsnumret i följande syntax: <path>/NWRFC<version number>.zip. Till exempel: /src/test/nwrfc750P_12-70002726.zip.
    Aktivera stöd för SNC-anslutning Välj att mata in NetWeaver/ABAP-loggar över en säker anslutning med hjälp av SNC.

    Om du väljer det här alternativet anger du sökvägen som innehåller sapgenpse binärfilen och libsapcrypto.so biblioteket under SÖKvägen för SAP Cryptographic Library på den virtuella agentdatorn.

    Om du vill använda en SNC-anslutning måste du välja Aktivera SNC-anslutningsstöd i det här skedet eftersom du inte kan gå tillbaka och aktivera en SNC-anslutning när du har distribuerat agenten. Om du vill ändra den här inställningen efteråt rekommenderar vi att du skapar en ny agent i stället.
    Autentisering till Azure Key Vault Om du vill autentisera till ditt nyckelvalv med hjälp av en hanterad identitet låter du standardalternativet hanterad identitet vara markerat. Om du vill autentisera till ditt nyckelvalv med ett registrerat program väljer du Programidentitet.

    Du måste ha konfigurerat den hanterade identiteten eller det registrerade programmet i förväg. Mer information finns i Skapa en virtuell dator och konfigurera åtkomst till dina autentiseringsuppgifter.

    Till exempel:

    Skärmbild av området Skapa en insamlaragent.

  7. Välj Skapa och granska rekommendationerna innan du slutför distributionen:

    Skärmbild av det sista steget i agentdistributionen.

  8. Distribution av SAP-dataanslutningsagenten kräver att du beviljar agentens VM-identitet med specifika behörigheter till Microsoft Sentinel-arbetsytan, med hjälp av rollerna Microsoft Sentinel Business Applications Agent Operator och Reader.

    Om du vill köra kommandona i det här steget måste du vara resursgruppsägare på din Microsoft Sentinel arbetsyta. Om du inte är resursgruppsägare på arbetsytan kan den här proceduren också utföras när agentdistributionen har slutförts.

    Under Bara några fler steg innan vi slutförkopierar du rolltilldelningskommandona från steg 1 och kör dem på den virtuella agentdatorn och ersätter [Object_ID] platshållaren med objekt-ID:t för den virtuella datorns identitetsobjekt. Till exempel:

    Skärmbild av ikonen Kopiera för kommandot från steg 1.

    Så här hittar du objekt-ID:t för den virtuella datorns identitet i Azure:

    • För en hanterad identitet visas objekt-ID:t på den virtuella datorns identitetssida .

    • För tjänstens huvudnamn går du till Företagsprogram i Azure. Välj Alla program och välj sedan den virtuella datorn. Objekt-ID:t visas på sidan Översikt .

    Dessa kommandon tilldelar rollerna Microsoft Sentinel Business Applications Agent Operator och Reader Azure till den virtuella datorns hanterade identitet eller programidentitet, inklusive endast omfånget för den angivna agentens data på arbetsytan.

    Viktigt

    När du tilldelar rollerna Microsoft Sentinel Business Applications Agent Operator och Reader via CLI tilldelas rollerna endast i omfånget för den angivna agentens data på arbetsytan. Det här är det säkraste och rekommenderade alternativet.

    Om du måste tilldela rollerna via Azure Portal rekommenderar vi att du tilldelar rollerna i ett litet omfång, till exempel endast på Microsoft Sentinel arbetsyta.

  9. Välj Kopieraskärmbild av ikonen Kopiera bredvid agentdistributionskommandot. bredvid kommandot Agentdistribution i steg 2. Till exempel:

    Skärmbild av agentkommandot som ska kopieras i steg 2.

  10. Kopiera kommandoraden till en separat plats och välj sedan Stäng.

    Relevant agentinformation distribueras till Azure Key Vault och den nya agenten visas i tabellen under Lägg till en API-baserad insamlaragent.

    I det här skedet är agentens hälsostatus"Ofullständig installation. Följ anvisningarna". När agenten har installerats ändras statusen till Agent felfri. Den här uppdateringen kan ta upp till 10 minuter. Till exempel:

    Skärmbild av hälsostatusen för API-baserade insamlaragenter på sidan för SAP-dataanslutningsappen.

    Obs!

    Tabellen visar agentnamnet och hälsostatusen för endast de agenter som du distribuerar via Azure Portal. Agenter som distribueras med kommandoraden visas inte här. Mer information finns på fliken Kommandorad i stället.

  11. På den virtuella dator där du planerar att installera agenten öppnar du en terminal och kör distributionskommandot Agent som du kopierade i föregående steg. Det här steget kräver sudo- eller rotprivilegier på dataanslutningsagentdatorn.

    Skriptet uppdaterar OS-komponenterna och installerar Azure CLI, Docker-programvara och andra verktyg som krävs, till exempel jq, netcat och curl.

    Ange extra parametrar till skriptet efter behov för att anpassa containerdistributionen. Mer information om tillgängliga kommandoradsalternativ finns i Referens för Kickstart-skript.

    Om du behöver kopiera kommandot igen väljer du Visaskärmbild av ikonen Visa bredvid kolumnen Hälsa. Till höger om kolumnen Hälsa och kopierar kommandot bredvid agentdistributionskommandot längst ned till höger.

  12. I den Microsoft Sentinel lösningen för SAP-programmets dataanslutningssida går du till konfigurationsområdet och väljer Lägg till nytt system (förhandsversion) och anger följande information:

    • Under Välj en agent väljer du den agent som du skapade tidigare.

    • Under Systemidentifierare väljer du servertypen:

      • ABAP-server
      • Meddelandeserver för att använda en meddelandeserver som en del av en ABAP SAP Central Services (ASCS).

    • Fortsätt genom att definiera relaterad information för din servertyp:

      • För en ABAP-server anger du ABAP-programserverns IP-adress/FQDN, system-ID och nummer samt klient-ID.
      • För en meddelandeserver anger du meddelandeserverns IP-adress/FQDN, portnummer eller tjänstnamn och inloggningsgruppen

    När du är klar väljer du Nästa: Autentisering.

    Till exempel:

    Skärmbild av fliken Systeminställningar i området Lägg till nytt system.

  13. Ange följande information på fliken Autentisering :

    • För grundläggande autentisering anger du användaren och lösenordet.
    • Om du valde en SNC-anslutning när du konfigurerade agenten väljer du SNC och anger certifikatinformationen.

    När du är klar väljer du Nästa: Loggar.

  14. På fliken Loggar väljer du de loggar som du vill mata in från SAP och väljer sedan Nästa: Granska och skapa. Till exempel:

    Skärmbild av fliken Loggar i fönstret Lägg till ny systemsida.

  15. (Valfritt) För optimala resultat vid övervakning av SAP PAHI-tabellen väljer du Konfigurationshistorik. Mer information finns i Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum.

  16. Granska de inställningar som du har definierat. Välj Föregående om du vill ändra några inställningar eller välj Distribuera för att distribuera systemet.

Systemkonfigurationen som du definierade distribueras till den Azure Key Vault som du definierade under distributionen. Nu kan du se systeminformationen i tabellen under Konfigurera ett SAP-system och tilldela det till en insamlaragent. I den här tabellen visas det associerade agentnamnet, SAP System ID (SID) och hälsostatusen för system som du har lagt till via portalen eller på annat sätt.

I det här skedet är systemets hälsostatusväntande. Om agenten uppdateras hämtar den konfigurationen från Azure Key Vault och statusen ändras till System felfri. Den här uppdateringen kan ta upp till 10 minuter.

Titta på videon om anslutningsappens registrering

Använd onboarding-videon för att stödja distribution och konfiguration av Microsoft Sentinel Solution for SAP – agentless data connector som beskrivs i den här dokumentationen.

Ansluta din agentlösa dataanslutning

  1. I Microsoft Sentinel går du till sidan Anslutningsappar för konfigurationsdata > och letar upp Microsoft Sentinel för SAP – agentlös dataanslutning.

  2. I området Konfiguration expanderar du steg 1. Utlös automatisk distribution av nödvändiga Azure resurser/SOC-tekniker och välj Distribuera nödvändiga Azure resurser.

    Viktigt

    Om du inte har rollen programutvecklare för Entra eller högre och du väljer distribuera nödvändiga Azure resurser visas ett felmeddelande, till exempel: "Distribuera nödvändiga Azure resurser" (felen kan variera). Det innebär att datainsamlingsregeln (DCR) och datainsamlingsslutpunkten (DCE) har skapats, men du måste se till att din Entra-ID-appregistrering har auktoriserats. Fortsätt att konfigurera rätt auktorisering.

    Obs!

    När du distribuerar nödvändiga Azure resurser för Microsoft Sentinel lösning för SAP-program (agentlös) kan det ta upp till 45 sekunder för Azure Resource Manager (ARM) att slutföra resursprovideråtgärderna. Under den här tiden kan distributionen se fördröjd ut. Det här beteendet förväntas. Vänta tills åtgärden har slutförts innan du försöker eller omdistribuerar.

  3. Gör något av följande:

    • Om du har rollen programutvecklare för Entra ID eller senare fortsätter du till nästa steg.

    • Om du inte har rollen programutvecklare för Entra-ID eller högre:

      • Dela DCR-ID:t med din Entra-ID-administratör eller kollega med de behörigheter som krävs.
      • Se till att rollen Monitoring Metrics Publisher har tilldelats dcr med tilldelningen av tjänstens huvudnamn med hjälp av klient-ID:t från Entra ID-appregistrering.
      • Hämta klient-ID:t och klienthemligheten från Entra-ID-appregistreringen som ska användas för auktorisering på domänkontrollanten.

      SAP-administratören använder klient-ID och klienthemlighetsinformation för att publicera till DCR.

  4. Rulla nedåt och välj Lägg till SAP-klient.

  5. I fönstret Anslut till en SAP-klient anger du följande information:

    Fält Beskrivning
    RFC-målnamn Namnet på RFC-målet som hämtats från btp-målet.
    SAP Agentless Client ID Det clientid-värde som hämtats från JSON-filen Process Integration Runtime-tjänstnyckel.
    SAP Agentless Client Secret Värdet för clientsecret som hämtats från JSON-filen Process Integration Runtime-tjänstnyckel.
    Auktoriseringsserver-URL Tokenurl-värdet som hämtats från JSON-filen Process Integration Runtime-tjänstnyckel. Till exempel: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Integration Suite-slutpunkt URL-värdet som hämtats från JSON-filen Process Integration Runtime-tjänstnyckel. Till exempel: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. Välj Anslut.

Viktigt

Det kan finnas en viss väntetid vid den första anslutningen. Mer information om hur du verifierar anslutningsappen finns här.

Mass-Onboard SAP-system i stor skala

Om du vill publicera SAP-system i Sentinel Lösning för SAP-program i stor skala rekommenderas API- och CLI-baserade metoder. Kom igång med det här skriptbiblioteket.

Rotera BTP-klienthemligheten

Vi rekommenderar att du regelbundet roterar btp-underkontots klienthemligheter som används av dataanslutningsappen. En automatiserad, plattformsbaserad metod finns i vår automatiska certifikatförnyelse för SAP BTP-förtroendearkiv med Azure Key Vault – eller hur du slutar tänka på förfallodatum en gång för alla (SAP-bloggen).

Det här skriptbiblioteket visar den automatiska processen för att uppdatera en befintlig dataanslutning med en ny hemlighet.

Anpassa dataanslutningsbeteende (valfritt)

Om du har en SAP-agentlös dataanslutning för Microsoft Sentinel kan du använda SAP Integration Suite för att anpassa hur den agentlösa dataanslutningsappen matar in data från DITT SAP-system i Microsoft Sentinel.

Den här proceduren är bara relevant när du vill anpassa beteendet för SAP-agentlösa dataanslutningar. Hoppa över den här proceduren om du är nöjd med standardfunktionerna. Om du till exempel använder Sybase rekommenderar vi att du inaktiverar inmatning för Ändringsdokument-loggar i iflow genom att konfigurera parametern collect-changedocs-logs . På grund av problem med databasprestanda stöds inte inmatning av Sybase-loggar för ändringsdokument.

Tips

Mer information om konsekvenserna av att åsidosätta standardvärdena finns i denhär bloggen.

Förutsättningar för att anpassa dataanslutningsbeteende

  • Du måste ha åtkomst till SAP Integration Suite, med behörighet att skapa och redigera värdemappningar.
  • Ett separat SAP-integreringspaket, antingen befintligt eller nytt, som är dedikerat till att vara värd för värdemappningsartefakten. Den Microsoft Sentinel för SAP-integreringspaket som installerats från Marketplace är i läget konfigurerad, så du kan inte lägga till den där.

Skapa värdemappningsartefakten och anpassa inställningar

Skapa en värdemappningsartefakt i din SAP Integration Suite-klientorganisation och lägg bara till de parametrar som du vill åsidosätta. Alla parametrar som du inte definierar behåller standardvärdet.

Du har två alternativ för att få artefakten på plats:

  • Alternativ 1 (rekommenderas): Importera den fördefinierade nyckelvärdekartan från Microsoft Sentinel för SAP Community-lagringsplatsen. Lagringsplatsen skickar en förifylld skiss för anpassning av datainsamlaren (nyckelvärdeskarta ). Ladda ned det senaste baspaketet från versionssidan och importera det till din SAP Integration Suite-klientorganisation. Fortsätt sedan med anpassningsstegen nedan.

    Tips

    Samma community-lagringsplats är värd för andra Microsoft-tillhandahållna integrationsrecept som du kan använda tillsammans med den agentlösa dataanslutningsappen, till exempel SAP Ariba, SAP S/4HANA Cloud Public Edition (GROW), SAP User Block och SAP Table Reader. Bläddra i mappen integration-artifacts för den fullständiga och uppdaterade listan. Community-bidrag är välkomna.

  • Alternativ 2: Skapa artefakten manuellt. Skapa en ny värdemappningsartefakt i ditt dedikerade paket. Mer information finns i SAP-dokumentationen om hur du skapar en värdemappning.

När värdemappningsartefakten är på plats anpassar och aktiverar du den:

  1. Lägg till de poster som anpassar beteendet för dataanslutningen. Använd någon av följande metoder:

    • Om du vill anpassa inställningarna i alla SAP-system lägger du till värdemappningar under den globala byrån för dubbelriktad mappning med parameternamnet som källnyckel och åsidosättningen som målvärde.
    • Om du vill anpassa inställningar för specifika SAP-system skapar du en separat byrå för dubbelriktad mappning för varje SAP-system. Namnge varje byrå så att den exakt matchar namnet på det RFC-mål som du vill anpassa (till exempel myRfc, key, myRfc, value) och lägg till parameterposterna under den byrån.

    Mer information finns i SAP-dokumentationen om hur du konfigurerar värdemappningar.

  2. Spara och distribuera värdemappningsartefakten för att aktivera de uppdaterade inställningarna.

Skärmbild av platshållaren för värdemappningsartefakten i SAP Cloud Integration med exempelparametrar för agentlös dataanslutning.

Använd följande tabell som en guide för vad som ska anges i värdemappningsartefakten. Lägg bara till raderna för de parametrar som du vill åsidosätta:

Fält i värdemappningsartefakten Vad du ska ange
Byrå (källa och mål) global för alla SAP-system eller RFC-målnamnet (till exempel myRfc) för att begränsa åsidosättningen till ett specifikt SAP-system.
Identifierare (källa och mål) key som källidentifierare och value som målidentifierare.
Källvärde Parameternamnet från tabellen med anpassningsbara parametrar (till exempel collect-changedocs-logs).
Målvärde Åsidosättningsvärdet för den parametern (till exempel false).

I följande tabell visas de anpassningsbara parametrarna för SAP-agentlös dataanslutning för Microsoft Sentinel:

Allmänna samlingskontroller

Parameter Beskrivning Tillåtna värden Standardvärdet
samla in granskningsloggar Avgör om granskningsloggdata matas in eller inte. sant: Matas in, falskt: Matas inte in Sant
collect-changedocs-logs Avgör om Change Docs-loggar matas in eller inte. sant: Matas in, falskt: Matas inte in Sant
collect-user-master-data-users Avgör om användarinformationsdata matas in eller inte. Den här parametern styrs också av collect-user-master-data. sant: Matas in, falskt: Matas inte in Sant
collect-user-master-data-roles Avgör om rollauktoriseringsdata matas in eller inte. Den här parametern styrs också av collect-user-master-data. sant: Matas in, falskt: Matas inte in Sant
ingestion-cycle-days Tid, i dagar, som ges för att mata in hela användarhuvuddatapopulationen, inklusive användare och roller. Heltal, mellan 1-14 7
offset-in-seconds Avgör förskjutningen i sekunder för både start- och sluttiderna för ett datainsamlingsfönster. Använd den här parametern för att fördröja datainsamlingen med det konfigurerade antalet sekunder. Heltal, mellan 1-600 60

Parametrar för granskningslogg

Parameter Beskrivning Tillåtna värden Standardvärdet
force-audit-log-to-read-from-all-clients Avgör om granskningsloggen läse från alla klienter. sant: Läsa från alla klienter, falskt: Läs inte från alla klienter Falska
max-rader Fungerar som ett skydd som begränsar antalet granskningsloggposter som bearbetas i ett enda datainsamlingsfönster. Den här parametern gäller inte längre för Change Docs-samlingen. Heltal, mellan 1-10000000 150000

Ändra Docs-parametrar

Parameter Beskrivning Tillåtna värden Standardvärdet
changedocs-object-classes Lista över objektklasser som matas in från Change Docs-loggar. Kommaavgränsad lista över objektklasser BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
max-changedocs-headers Fungerar som ett skydd som begränsar antalet ändringsdokumenthuvudposter (CDHDR-poster) som bearbetas i ett enda datainsamlingsfönster. Använd den här parametern för att minska körnings- och minnesbelastningen vid toppar i huvudvolymen. Heltal, mellan 1-10000000 1000
max-changedocs-details Fungerar som ett skydd som begränsar antalet informationsposter för Ändringsdokument (CDPOS-poster) som bearbetas i ett enda fönster för datainsamling. Använd den här parametern för att justera dataflödet jämfört med minnesanvändningen. Heltal, mellan 1-10000000 10000
change-docs-batch-size Antal ändringsdokumenthuvudposter som används per detaljhämtningsanrop. Minska det här värdet om tidsgränsen överskrids för RFC-anrop. Heltal, mellan 1-1 000 1000

Parametrar för användarinformation

Parameter Beskrivning Tillåtna värden Standardvärdet
max-users Fungerar som ett skydd som begränsar antalet unika användare som bearbetas i en enda samlingscykel. Heltal, mellan 1-10000000 125
user-batch-size Antal användare som bearbetas per batch när aktiva användardata hämtas. Minska det här värdet om tidsgränsen överskrids för RFC-anrop. Heltal, mellan 1-1 000 125
role-profiles-max Avgör det maximala kombinerade antalet profiler och roller som kan genereras för en användare innan anslutningsappen skriver en jokerteckentrunkeringsmarkör i stället för den fullständiga listan. Heltal, mellan 1-10000 1000
role-profiles-batch-size Antal profiler eller roller som skrivits per utdatarad. Användare med fler profiler eller roller än det här värdet delas upp på flera rader. Heltal, mellan 1-1 000 14

Parametrar för rollauktorisering

Parameter Beskrivning Tillåtna värden Standardvärdet
max-roles Fungerar som ett skydd som begränsar antalet roller som bearbetas i en enda samlingscykel. Heltal, mellan 1-10000000 50
max-roles-authz-overall Fungerar som ett skydd som begränsar det kumulativa antalet rollauktoriseringsposter som hämtats för alla roller i en enda samlingscykel. Heltal, mellan 1-10000000 25000
max-roles-authz-individual Fungerar som ett skydd som begränsar antalet auktoriseringsposter som hämtats för en enskild roll. Roller som överskrider den här gränsen hoppas över. Heltal, mellan 1-10000000 5000
role-authz-batch-size Antal poster som hämtats per batch när rollauktoriseringsdata hämtas. Minska det här värdet om tidsgränsen överskrids för RFC-anrop. Heltal, mellan 1-1 000 100

Skyddsmekanismernas truncationbeteende

När någon av gränserna nås skrivs en markörpost till utdata med ett beskrivande meddelande som anger vilken gräns som har nåtts, det faktiska antalet poster och samlingens tidsperiod. De två gränserna ger distinkta markörer (TRUNCATED_HEADERS och TRUNCATED_DETAILS) så att de kan särskiljas i Sentinel.

Kontrollera anslutning och hälsa

När du har distribuerat SAP-dataanslutningen kontrollerar du agentens hälsa och anslutning. Mer information finns i Övervaka hälsotillståndet och rollen för dina SAP-system.

Nästa steg

När anslutningsappen har distribuerats fortsätter du med att konfigurera den Microsoft Sentinel lösningen för SAP-programinnehåll. Mer specifikt är konfiguration av information i bevakningslistor ett viktigt steg för att aktivera identifieringar och skydd mot hot.

Aktivera SAP-identifieringar och skydd mot hot

  • Last updated on