Soluzione Microsoft Sentinel per le applicazioni SAP: Panoramica della distribuzione

Il connettore dati senza agente di Microsoft Sentinel per SAP usa SAP Cloud Connector e SAP Integration Suite per connettersi al sistema SAP ed eseguire il pull dei log, come illustrato nell'immagine seguente:

Usando SAP Cloud Connector, il connettore dati senza agente trae profitto dalle configurazioni già esistenti e dai processi di integrazione stabiliti. Ciò significa che non è necessario affrontare di nuovo le sfide di rete, perché gli utenti che eseguono SAP Cloud Connector hanno già superato tale processo.

Il connettore dati senza agente è compatibile con SAP S/4HANA Cloud, Private Edition RISE con SAP, SAP S/4HANA locale e SAP ERP Central Component (ECC), garantendo funzionalità continue del contenuto di sicurezza esistente, inclusi rilevamenti, cartelle di lavoro e playbook.

Il connettore dati senza agente acquisisce log di sicurezza critici, come il log di audit della sicurezza, i log dei documenti di modifica e i dati master degli utenti, inclusi i ruoli utente e le autorizzazioni.

Ad esempio, l'immagine seguente mostra un panorama SAP multi-SID con una suddivisione tra sistemi di produzione e non di produzione, inclusa SAP Business Technology Platform. Tutti i sistemi in questa immagine vengono distribuiti in Microsoft Sentinel per la soluzione SAP.

L'agente si connette al sistema SAP per eseguire il pull dei log e di altri dati da esso, quindi invia tali log all'area di lavoro di Microsoft Sentinel. A tale scopo, l'agente deve eseguire l'autenticazione nel sistema SAP usando un utente e un ruolo creati appositamente per questo scopo.

Microsoft Sentinel supporta alcune opzioni per archiviare le informazioni di configurazione dell'agente, inclusa la configurazione per i segreti di autenticazione SAP. La decisione di quale opzione può dipendere dalla posizione in cui si distribuisce la macchina virtuale e dal meccanismo di autenticazione SAP usato. Le opzioni supportate sono le seguenti, elencate in ordine di preferenza:

• Un Azure Key Vault a cui si accede tramite un'identità gestita assegnata dal sistema di Azure
• Un Azure Key Vault a cui si accede tramite la principale del servizio di un'applicazione registrata di Microsoft Entra ID
• Un file di configurazione di testo non crittografato

È anche possibile eseguire l'autenticazione usando i certificati SNC (Secure Network Communication) e X.509 di SAP. Sebbene l'uso di SNC fornisca un livello di sicurezza di autenticazione superiore, potrebbe non essere pratico per tutti gli scenari.

La distribuzione delle soluzioni Microsoft Sentinel per le applicazioni SAP prevede diversi passaggi e richiede la collaborazione tra i team di sicurezza e SAP BASIS . L'immagine seguente illustra i passaggi della distribuzione delle soluzioni Di Microsoft Sentinel per le applicazioni SAP, con i team pertinenti indicati:

È consigliabile coinvolgere entrambi i team durante la pianificazione della distribuzione per assicurarsi che lo sforzo venga allocato e che la distribuzione possa spostarsi senza problemi.

I passaggi di distribuzione includono:

1. Esaminare i prerequisiti per la distribuzione del connettore dati senza agente SAP.

2. Distribuire la soluzione di applicazioni SAP dall'hub del contenuto. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.

3. Configurare il sistema SAP per la soluzione Microsoft Sentinel, inclusa la configurazione delle autorizzazioni SAP, la configurazione del controllo SAP e altro ancora. È consigliabile eseguire questi passaggi dal team SAP BASIS e la documentazione include riferimenti alla documentazione SAP. Alcune delle procedure descritte in questo passaggio possono essere eseguite dal team SAP BASIS prima di installare la soluzione.

4. Connettere il sistema SAP usando un connettore dati senza agente con SAP Cloud Connector. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure, usando le informazioni fornite dal team SAP BASIS.

5. Abilitare i rilevamenti SAP e la protezione dalle minacce. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.

La distribuzione delle soluzioni Microsoft Sentinel per le applicazioni SAP prevede diversi passaggi e richiede la collaborazione tra più team, tra cui i team di sicurezza, infrastruttura e SAP BASIS . L'immagine seguente illustra i passaggi della distribuzione delle soluzioni Di Microsoft Sentinel per le applicazioni SAP, con i team pertinenti indicati:

È consigliabile coinvolgere tutti i team pertinenti durante la pianificazione della distribuzione per assicurarsi che lo sforzo venga allocato e che la distribuzione possa spostarsi senza problemi.

I passaggi di distribuzione includono:

1. Esaminare i prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP. Alcuni prerequisiti richiedono il coordinamento con l'infrastruttura o i team SAP BASIS.

2. I passaggi seguenti possono verificarsi in parallelo perché coinvolgono team separati e non dipendono l'uno dall'altro:

   1. Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub del contenuto. Assicurarsi di installare la soluzione corretta per l'ambiente. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.

   2. Configurare il sistema SAP per la soluzione Microsoft Sentinel, inclusa la configurazione delle autorizzazioni SAP, la configurazione del controllo SAP e altro ancora. È consigliabile eseguire questi passaggi dal team SAP BASIS e la documentazione include riferimenti alla documentazione SAP. Alcuni passaggi vengono eseguiti anche dal team di sicurezza.

3. Connettere il sistema SAP distribuendo un agente connettore dati in contenitori. Questo passaggio richiede il coordinamento tra i team di sicurezza, infrastruttura e SAP BASIS.

4. Abilitare i rilevamenti SAP e la protezione dalle minacce. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.

Le opzioni aggiuntive includono:

• Raccogliere i log di controllo di SAP HANA
• Distribuire manualmente un agente di SAP Data Connector

Arrestare la raccolta dati SAP

Se si usa l'agente del connettore dati e si deve impedire a Microsoft Sentinel di raccogliere i dati SAP, arrestare l'inserimento dei log e disabilitare il connettore. Rimuovere quindi il ruolo utente aggiuntivo ed eventuali CR facoltativi installati nel sistema SAP.

Per altre informazioni, vedere Arrestare la raccolta dati SAP.