Поделиться через

Подключение системы SAP к Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Чтобы решение Microsoft Sentinel для приложений SAP работало правильно, необходимо сначала получить данные SAP в Microsoft Sentinel. Это можно сделать, развернув агент соединителя данных SAP Microsoft Sentinel или подключив соединитель данных Microsoft Sentinel без агента для SAP. Выберите параметр в верхней части страницы, которая соответствует вашей среде.

В этой статье описывается третий шаг при развертывании одного из решений Microsoft Sentinel для приложений SAP.

Схема потока развертывания решения SAP с выделением шага подключения вашей системы SAP.

Содержимое этой статьи относится к группам безопасности, инфраструктуры и SAP BASIS . Выполните действия, описанные в этой статье, в том порядке, в который они представлены.

Схема потока развертывания решения SAP с выделением шага подключения вашей системы SAP.

Содержимое этой статьи относится к вашей группе безопасности .

Внимание

Соединитель данных без агента Microsoft Sentinel для SAP в настоящее время находится в ограниченной предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Предварительные условия

Перед подключением системы SAP к Microsoft Sentinel:

Посмотрите демонстрационное видео

Просмотрите одно из следующих видео демонстраций процесса развертывания, описанного в этой статье.

Подробные сведения о параметрах портала:

Содержит дополнительные сведения об использовании Azure KeyVault. Нет звука, демонстрация только с субтитрами:

Создание виртуальной машины и настройка доступа к учетным данным

Рекомендуется создать выделенную виртуальную машину для контейнера агента соединителя данных, чтобы обеспечить оптимальную производительность и избежать потенциальных конфликтов. Дополнительные сведения см. в разделе "Предварительные требования к системе" для контейнера агента соединителя данных.

Рекомендуется хранить секреты SAP и проверки подлинности в Azure Key Vault. Доступ к хранилищу ключей зависит от того, где развернута виртуальная машина:

Метод развертывания Метод доступа
Контейнер на виртуальной машине Azure Мы рекомендуем использовать управляемое удостоверение, назначаемое системой Azure, для доступа к Azure Key Vault.

Если управляемое удостоверение, назначаемое системой, нельзя использовать, контейнер также может пройти проверку подлинности в Azure Key Vault с помощью удостоверения службы зарегистрированного приложения Microsoft Entra ID или, в качестве последнего средства, с помощью файла конфигурации.
Контейнер на локальной виртуальной машине или виртуальной машине в сторонней облачной среде Аутентификация в Azure Key Vault с использованием субъекта-службы зарегистрированного в Microsoft Entra ID приложения.

Если вы не можете использовать зарегистрированное приложение или учетную запись службы, используйте файл конфигурации для управления учетными данными, хотя этот метод является менее предпочтительным. Дополнительные сведения см. в статье "Развертывание соединителя данных с помощью файла конфигурации".

Дополнительные сведения см. в разделе:

Ваша виртуальная машина обычно создается командой инфраструктуры . Настройка доступа к учетным данным и управление хранилищами ключей обычно выполняется командой безопасности .

Создание управляемого удостоверения с помощью виртуальной машины Azure

  1. Выполните следующую команду, чтобы создать виртуальную машину в Azure, подставив фактические имена из вашей среды вместо <placeholders>.

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    Дополнительные сведения см. в статье Краткое руководство. Создание виртуальной машины Linux с помощью Azure CLI.

    Внимание

    После создания виртуальной машины обязательно примените все требования к безопасности и процедуры защиты, действующие в вашей организации.

    Эта команда создает ресурс виртуальной машины, создавая выходные данные, которые выглядят следующим образом:

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. Скопируйте идентификатор GUID systemAssignedIdentity, так как он будет использоваться на дальнейших этапах. Это ваша управляемая идентичность.

Создание хранилища ключей

В этой процедуре описывается создание хранилища ключей для хранения сведений о конфигурации агента, включая секреты проверки подлинности SAP. Если вы используете существующее хранилище ключей, перейдите непосредственно к шагу 2.

Чтобы создать хранилище ключей, выполните приведенные действия.

  1. Выполните следующие команды, заменив фактические имена для значений <placeholder>.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. Скопируйте имя хранилища ключей и имя своей группы ресурсов. Они потребуются при назначении разрешений доступа к хранилищу ключей и запуске скрипта развертывания на следующих шагах.

Назначение разрешений доступа к хранилищу ключей

  1. В хранилище ключей назначьте роль средства чтения секретов Azure Key Vault удостоверению, созданному и скопированном ранее.

  2. Назначьте пользователю, который настраивает агент подключений данных, следующие роли Azure в том же хранилище ключей.

    • Key Vault Contributor для развертывания агента
    • Сотрудник Key Vault Secrets, занимающийся добавлением новых систем

Развертывание агента соединителя данных на портале (предварительная версия)

Теперь, когда вы создали виртуальную машину и Key Vault, необходимо создать новый агент и подключиться к одной из систем SAP. Хотя на одном компьютере можно запустить несколько агентов соединителя данных, рекомендуется начать только с одного, отслеживать производительность, а затем медленно увеличивать количество соединителей.

В этой процедуре описывается, как создать агент и подключить его к системе SAP с помощью порталов Azure или Defender. Рекомендуется, чтобы ваша команда безопасности выполняла эту процедуру с помощью команды SAP BASIS .

Развертывание агента соединителя данных на портале поддерживается как с портала Azure, так и на портале Defender, если Microsoft Sentinel подключен к порталу Defender.

Хотя развертывание также поддерживается из командной строки, рекомендуется использовать портал для типичных развертываний. Агенты соединителя данных, развернутые с помощью командной строки, можно управлять только с помощью командной строки, а не через портал. Дополнительные сведения см. в разделе "Развертывание агента соединителя данных SAP" из командной строки.

Внимание

Развертывание контейнера и создание подключений к системам SAP на портале в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Необходимые условия:

  • Чтобы развернуть агент соединителя данных на портале, вам потребуется:

    • Проверка подлинности с помощью управляемого удостоверения или зарегистрированного приложения
    • Учетные данные, хранящиеся в Azure Key Vault

    Если у вас нет этих предварительных требований, разверните агент соединителя данных SAP из командной строки .

  • Чтобы развернуть агент соединителя данных, на компьютере агента соединителя данных также требуются права sudo или root.

  • Если вы хотите получать журналы Netweaver/ABAP по безопасному соединению с помощью Secure Network Communications (SNC), вам потребуется:

    • Путь к исполняемому файлу sapgenpse и библиотеке libsapcrypto.so
    • Сведения о сертификате клиента

    Дополнительные сведения см. в статье "Настройка системы для использования SNC для безопасных подключений".

Чтобы развернуть агент подключения данных, выполните следующие действия.

  1. Войдите на только что созданную виртуальную машину, на которой устанавливается агент, как пользователь с привилегиями sudo.

  2. Скачайте и/или перенесите пакет SDK SAP NetWeaver на компьютер.

  3. В Microsoft Sentinel выберите >.

  4. В строке поиска введите SAP. Выберите Microsoft Sentinel для SAP на основе агента на основе результатов поиска, а затем откройте страницу соединителя.

  5. В области конфигурации выберите "Добавить новый агент ( предварительная версия)".

    Снимок экрана: инструкции по добавлению агента сборщика на основе API SAP.

  6. В области создания агента сборщика введите следующие сведения об агенте:

    Имя Описание
    Имя агента Введите понятное имя агента для вашей организации. Мы не рекомендуем использовать какое-либо конкретное соглашение об именовании, за исключением того, что имя может содержать только следующие типы символов:
    • a-z
    • А-Я
    • 0–9
    • _ (символ подчеркивания)
    • . (период)
    • -
    Хранилище ключей подписки / Выберите подпискуи хранилище ключей из соответствующих раскрывающихся списков.
    Путь к zip-файлу SDK NWRFC на виртуальной машине агента Введите путь в вашей виртуальной машине, содержащий архив SAP NetWeaver Remote Function Call SDK (.zip файл).

    Убедитесь, что этот путь содержит номер версии пакета SDK в следующем синтаксисе: <path>/NWRFC<version number>.zip Например: /src/test/nwrfc750P_12-70002726.zip.
    Включение поддержки подключения SNC Выберите для приема журналов NetWeaver/ABAP через безопасное подключение с помощью SNC.

    Если выбрать этот параметр, введите путь, содержащий двоичный sapgenpse файл и libsapcrypto.so библиотеку, в разделе Путь к библиотеке шифрования SAP на виртуальной машине агента.

    Если вы хотите использовать подключение SNC, обязательно выберите включить поддержку подключения SNC на этом этапе, так как вы не сможете вернуться и включить подключение SNC после завершения развертывания агента. Если вы хотите изменить этот параметр после этого, рекомендуется создать новый агент.
    Проверка подлинности в Azure Key Vault Чтобы пройти проверку подлинности в хранилище ключей с помощью управляемого удостоверения, оставьте выбранной опцию Управляемое удостоверение по умолчанию. Чтобы аутентифицироваться в хранилище ключей с помощью зарегистрированного приложения, выберите Удостоверение приложения.

    Необходимо заранее настроить управляемое удостоверение или зарегистрированное приложение. Дополнительные сведения см. в статье "Создание виртуальной машины" и настройка доступа к учетным данным.

    Например:

    Снимок экрана области создания агента сборщика.

  7. Нажмите кнопку "Создать " и просмотрите рекомендации перед завершением развертывания:

    Снимок экрана: последний этап развертывания агента.

  8. При развертывании агента соединителя данных SAP необходимо предоставить удостоверению виртуальной машины агента определенные разрешения для рабочей области Microsoft Sentinel, используя роли Оператора агента бизнес-приложений Microsoft Sentinel и Читатель.

    Чтобы выполнить команды на этом шаге, необходимо быть владельцем группы ресурсов в рабочей области Microsoft Sentinel. Если вы не являетесь владельцем группы ресурсов в рабочей области, эта процедура также может выполняться после завершения развертывания агента.

    Перед завершением работы скопируйте команды назначения ролей из шага 1 и запустите их на виртуальной машине агента, заменив [Object_ID] заполнитель идентификатором объекта удостоверения виртуальной машины. Например:

    Снимок экрана: значок копирования для команды из шага 1.

    Чтобы найти идентификатор объекта виртуальной машины в Azure:

    • Для управляемого удостоверения идентификатор объекта указан на странице Удостоверения для виртуальной машины.

    • Для служебного принципала перейдите в Enterprise application в Azure. Выберите все приложения и выберите виртуальную машину. Идентификатор объекта отображается на странице обзора .

    Эти команды назначают роли Оператор агента бизнес-приложений Microsoft Sentinel и Читатель Azure управляемой идентичности или идентичности приложения вашей виртуальной машины, только в пределах области данных указанного агента в рабочей области.

    Внимание

    Назначение ролей Оператор агента бизнес-приложений Microsoft Sentinel и Читателя через интерфейс командной строки назначает роли только в области данных указанного агента в рабочей области. Это самый безопасный и, следовательно, рекомендуемый вариант.

    Если необходимо назначить роли через портал Azure, рекомендуется назначать роли в небольшой области, например только в рабочей области Microsoft Sentinel.

  9. Выберите "КопироватьСнимок экрана: значок копирования рядом с командой развертывания агента." рядом с командой развертывания агента на шаге 2. Например:

    Снимок экрана: команда агента для копирования на шаге 2.

  10. Скопируйте командную строку в отдельное расположение и нажмите кнопку "Закрыть".

    Соответствующие сведения агента развертываются в Azure Key Vault, а новый агент отображается в таблице в разделе "Добавление агента сборщика на основе API".

    На этом этапе состояние работоспособности агента "Неполная установка. Следуйте инструкциям. После успешной установки агента состояние изменится на агент работоспособен. Это обновление может занять до 10 минут. Например:

    Снимок экрана состояний работоспособности агентов-сборщиков на базе API на странице соединителя данных SAP.

    Примечание.

    В таблице отображается имя агента и состояние работоспособности только тех агентов, которые вы развертываете с помощью портал Azure. Агенты, развернутые с помощью командной строки, не отображаются здесь. Дополнительные сведения см. на вкладке командной строки.

  11. На виртуальной машине, в которой планируется установить агент, откройте терминал и выполните команду развертывания агента, скопированную на предыдущем шаге. На этом шаге требуются права sudo или root на компьютере агента соединителя данных.

    Скрипт обновляет компоненты ОС и устанавливает Azure CLI, программное обеспечение Docker и другие необходимые служебные программы, такие как jq, netcat и curl.

    Укажите дополнительные параметры скрипту при необходимости для настройки развертывания контейнера. Дополнительные сведения о доступных параметрах командной строки см. в справочнике по скрипту Kickstart.

    Если вам нужно снова скопировать команду, выберите Просмотр справа от Screenshot of the View icon next to the Health column.Screenshot of the View icon next to the Health column.столбца 'Работоспособность', и выберите затем скопируйте команду рядом с командой развертывания агента в правом нижнем углу.

  12. На странице соединителя данных приложения SAP в области конфигурации в решении Microsoft Sentinel выберите "Добавить новую систему (предварительная версия) и введите следующие сведения:

    • В разделе "Выбор агента" выберите созданный ранее агент.

    • В разделе "Системный идентификатор" выберите тип сервера:

      • ABAP Server
      • Сервер сообщений используется как часть служб SAP Central Services на базе ABAP (ASCS).

    • Продолжайте определять связанные сведения для типа сервера:

      • Для сервера ABAP введите IP-адрес и полное доменное имя сервера приложений ABAP, идентификатор системы и номер клиента.
      • Для сервера сообщений введите IP-адрес или полное доменное имя сервера сообщений, номер порта или имя службы и группу входа в систему.

    После завершения нажмите кнопку "Далее: проверка подлинности".

    Например:

    Снимок экрана вкладки 'Настройки системы' в разделе 'Добавление новой системы'.

  13. На вкладке "Проверка подлинности" введите следующие сведения:

    • Для базовой проверки подлинности введите пользователя и пароль.
    • Если при настройке агента выбрано подключение SNC, выберите SNC и введите сведения о сертификате.

    После завершения нажмите кнопку "Далее: журналы".

  14. На вкладке "Журналы" выберите журналы , которые вы хотите принять из SAP, а затем нажмите кнопку "Далее: Проверка и создание". Например:

    Снимок экрана: вкладка

  15. (Необязательно) Для оптимального мониторинга таблицы SAP PAHI выберите журнал конфигурации. Дополнительные сведения см. в статье "Проверка того, что таблица PAHI обновляется через регулярные интервалы".

  16. Просмотрите заданные параметры. Выберите "Назад" , чтобы изменить любые параметры или выбрать "Развернуть ", чтобы развернуть систему.

Определяемая вами конфигурация системы развертывается в Azure Key Vault, определенной во время развертывания. Теперь вы можете просмотреть сведения о системе в таблице под "Настройка системы SAP и назначение ее агенту сборщика". В этой таблице отображается связанное имя агента, идентификатор системы SAP (SID) и состояние системы для систем, добавленных через портал или другим способом.

На данном этапе состояние Работоспособности системы находится в статусе Ожидается. Если агент успешно обновлен, он извлекает конфигурацию из Azure Key Vault, а состояние изменится на система исправна. Это обновление может занять до 10 минут.

Подключите ваш соединитель данных без агента (ограниченная предварительная версия)

  1. В Microsoft Sentinel перейдите на страницу соединителей данных конфигурации > и найдите соединитель данных Microsoft Sentinel для SAP — без агента (предварительная версия).

  2. В области конфигурации разверните шаг 1. Активируйте автоматическое развертывание необходимых ресурсов Azure или инженера SOC и выберите "Развернуть необходимые ресурсы Azure".

    Внимание

    Если у вас нет роли разработчик приложений Entra ID или выше и вы выбираете развертывание необходимых ресурсов Azure, отображается сообщение об ошибке, например: "Развертывание необходимых ресурсов Azure" (ошибки могут отличаться). Это означает, что было создано правило сбора данных (DCR) и конечная точка сбора данных (DCE), но необходимо убедиться, что регистрация приложения Entra ID авторизована. Продолжайте настраивать правильную авторизацию.

  3. Выполните одно из следующих действий:

    • Если у вас есть роль Entra ID Application Developer или выше, перейдите к следующему шагу.

    • Если у вас нет роли разработчика приложений Entra ID или выше:

      • Поделитесь идентификатором DCR с администратором идентификатора Entra ID или коллегой с необходимыми разрешениями доступа.
      • Убедитесь, что роль издателя метрик мониторинга назначена для DCR с помощью назначения служебного субъекта, используя идентификатор клиента из регистрации приложения Entra ID.
      • Извлеките идентификатор клиента и секрет клиента из регистрации приложения Entra ID, используемого для авторизации в DCR.

      Администратор SAP использует идентификатор клиента и секрет клиента для публикации в DCR.

      Примечание.

      Если вы являетесь администратором SAP и не имеете доступа к установке соединителя, скачайте пакет интеграции напрямую.

  4. Прокрутите вниз и выберите "Добавить клиент SAP".

  5. В боковой области "Подключение к клиенту SAP" введите следующие сведения:

    Поле Описание
    Имя назначения RFC Имя назначения RFC, взятое из назначения BTP.
    Идентификатор клиента без агента SAP Значение clientid, взятое из JSON-файла ключа службы Process Integration Runtime.
    Секрет клиента без агента SAP Значение clientsecret, полученное из файла JSON ключа службы среды выполнения процесса.
    URL-адрес сервера авторизации Значение tokenurl, полученное из JSON-файла ключа службы среды выполнения интеграции процессов. Например: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Конечная точка Integration Suite Значение URL-адреса, полученное из JSON-файла ключа службы среды выполнения процесса. Например: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. Нажмите Подключиться.

Настройка поведения соединителя данных (необязательно)

Если у вас есть соединитель данных без агента SAP для Microsoft Sentinel, можно использовать SAP Integration Suite для настройки приема данных без агента из системы SAP в Microsoft Sentinel.

Эта процедура относится только к настройке поведения соединителя данных без агента SAP. Пропустите эту процедуру, если вы удовлетворены функциональными возможностями по умолчанию. Например, если вы используете Sybase, рекомендуется отключить прием журналов для "Изменить документы" в потоке iflow, настроив параметр collect-changedocs-logs. Из-за проблем с производительностью базы данных прием журналов Sybase журналов изменений не поддерживается.

Предварительные требования для настройки поведения соединителя данных

Скачивание файла конфигурации и настройка параметров

  1. Скачайте файлexample-parameters.zipпо умолчанию, который содержит параметры, определяющие стандартное поведение, и является хорошей отправной точкой для начала настройки.

    Сохраните файлexample-parameters.zip в расположении, доступном для среды SAP Integration Suite.

  2. Используйте стандартные процедуры SAP для отправки файла сопоставления значений и внесения изменений в настройки параметров соединителя данных:

    1. Загрузите файлexample-parameters.zip в SAP Integration Suite в качестве объекта для сопоставления значений. Дополнительные сведения см. в документации по SAP.

    2. Используйте один из следующих методов для настройки параметров:

      • Чтобы настроить параметры во всех системах SAP, добавьте сопоставления значений для глобального двунаправленного агентства сопоставления.
      • Чтобы настроить параметры для определенных систем SAP, добавьте новые двунаправленные агентства сопоставления для каждой системы SAP, а затем добавьте сопоставления значений для каждого из них. Присвойте агентствам имя, точно соответствующее имени пункта назначения RFC, которое вы хотите настроить, например myRfc, key, myRfc, value.

      Дополнительные сведения см. в документации ПО SAP по настройке сопоставлений значений

    Не забудьте развернуть артефакт, когда вы закончите настройку для активации обновленных параметров.

В следующей таблице перечислены настраиваемые параметры соединителя данных без агента SAP для Microsoft Sentinel:

Параметр Описание Допустимые значения Значение по умолчанию
changedocs-object-classes Список классов объектов, которые загружаются из журналов документов изменений. Разделенный запятыми список классов объектов BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
сбор журналов аудита Определяет, загружаются данные журнала аудита или нет. true: поглощено
false: не принято		 истина
collect-changedocs-logs Определяет, принимаются ли журналы Change Docs или нет. true: поглощено
false: не принято		 истина
собрать-основные-данные-пользователя Определяет, обрабатываются ли основные данные пользователя. true: поглощено
false: не принято		 истина
заставить журнал аудита читать из всех клиентов Определяет, считывается ли журнал аудита со всех клиентов. true: чтение со всех клиентов
false: не считываются со всех клиентов		 ложный
цикл-приема-дней Время в днях, учитывая прием полных основных данных пользователя, включая все роли и пользователей. Этот параметр не влияет на загрузку изменений в основные данные пользователей. Целое число в диапазоне от 1 14- 1
смещение в секундах Определяет смещение в секундах для времени начала и окончания окна сбора данных. Используйте этот параметр для задержки сбора данных по заданному количеству секунд. Целое число от 1-до 600 60

Проверка подключения и работоспособности

После развертывания соединителя данных SAP проверьте работоспособность и подключение агента. Дополнительные сведения см. в статье "Мониторинг работоспособности и роли систем SAP".

Следующий шаг

После развертывания соединителя перейдите к настройке решения Microsoft Sentinel для содержимого приложений SAP. В частности, настройка сведений в списках наблюдения является важным шагом в включении обнаружения и защиты от угроз.

Включение обнаружения SAP и защиты от угроз