Развертывание решения Microsoft Sentinel для SAP BTP

В этой статье описывается развертывание решения Microsoft Sentinel для системы SAP Business Technology Platform (BTP). Решение Microsoft Sentinel для SAP BTP отслеживает и защищает систему SAP BTP. Он собирает журналы аудита и журналы действий из инфраструктуры BTP и приложений на основе BTP, а затем обнаруживает угрозы, подозрительные действия, нелегитимные действия и многое другое. Узнайте больше о решении.

Важно!

Архитектурный сдвиг в соединителе данных версии 3.0.11 для удовлетворения отложенных журналов SAP BTP требует повторного подключения вложенных учетных записей SAP, добавленных до этого изменения. Дополнительные сведения см. в заметках о выпуске . Для удобства рассмотрите средства массовой адаптации .

Предварительные условия

Перед началом работы убедитесь, что:

  • Решение Microsoft Sentinel включено.
  • У вас есть определенный Microsoft Sentinel рабочей области, а также разрешения на чтение и запись в ней.
  • Ваша организация использует SAP BTP (в среде Cloud Foundry) для оптимизации взаимодействия с приложениями SAP и другими бизнес-приложениями.
  • У вас есть подсчетная запись SAP BTP (которая поддерживает подсчетные записи BTP в среде Cloud Foundry). Вы также можете использовать пробную учетную запись SAP BTP.
  • У вас есть служба управления журналом аудита SAP BTP и ключ службы (см . раздел Настройка подсчетной записи И решения BTP).
  • У вас есть роль участника Microsoft Sentinel в целевой рабочей области Microsoft Sentinel.

Настройка подсчетной записи И решения BTP

Чтобы настроить подсчетную учетную запись BTP и решение вручную из кабины SAP BTP и портал Azure, выполните следующие действия.

  1. После входа в подсчетную учетную запись BTP (см. предварительные требования), выполните действия по получению журнала аудита в системе SAP BTP.

  2. В кабине SAP BTP выберите Службу управления журналами аудита.

    Снимок экрана: выбор службы управления журналами аудита BTP.

  3. Создайте экземпляр службы управления журналами аудита во вложенной учетной записи BTP.

    Снимок экрана: создание экземпляра подсчетной записи BTP.

  4. Создайте ключ службы и запишите значения для url, uaa.clientid, uaa.clientsecretи uaa.url. Эти значения необходимы для развертывания соединителя данных.

    Ниже приведены примеры этих значений полей:

    • url-адрес: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Войдите на портал Azure.

  6. Перейдите в службу Microsoft Sentinel.

  7. Выберите Центр содержимого и в строке поиска найдите BTP.

  8. Выберите SAP BTP.

  9. Нажмите кнопку Установить.

    Дополнительные сведения об управлении компонентами решения см. в статье Обнаружение и развертывание готового содержимого.

  10. Нажмите Создать.

    Снимок экрана: создание решения Microsoft Sentinel для SAP BTP.

  11. Выберите группу ресурсов и рабочую область Microsoft Sentinel, в которой будет развернуто решение.

  12. Нажмите кнопку Далее , пока не пройдете проверку, а затем нажмите кнопку Создать.

  13. После завершения развертывания решения вернитесь в рабочую область Microsoft Sentinel и выберите Соединители данных.

  14. В строке поиска введите BTP и выберите SAP BTP.

  15. Выберите Открыть страницу соединителя.

  16. На странице соединителя убедитесь, что выполнены необходимые предварительные требования, перечисленные в списке, и выполните действия по настройке. Когда все будет готово, выберите Добавить учетную запись.

  17. Укажите параметры, определенные ранее во время настройки. Указанное имя вложенной учетной записи проецируется в виде столбца в SAPBTPAuditLog_CL таблице и может использоваться для фильтрации журналов при наличии нескольких вложенных учетных записей.

    При необходимости рассмотрите дополнительные варианты:

    • Частота опроса: частота, с которой соединитель опрашивает новые данные. Значение по умолчанию — 1 минута.
    • Задержка приема журнала. Предполагаемая задержка между временем создания события в SAP BTP и временем его доступности в службе журнала аудита SAP BTP для приема в Microsoft Sentinel. Значение по умолчанию: 20 мин.

    Примечание.

    При получении аудитов для глобальной учетной записи аудиты для подсчетной учетной записи не извлекаются автоматически. Выполните действия по настройке соединителя для каждой из вложенных учетных записей, которые вы хотите отслеживать, а также выполните следующие действия для глобальной учетной записи. Ознакомьтесь с рекомендациями по настройке аудита учетных записей.

  18. Убедитесь, что журналы BTP передаются в рабочую область Microsoft Sentinel:

    1. Войдите в подсчетную запись BTP и выполните несколько действий, которые создают журналы, например входы, добавление пользователей, изменение разрешений и изменение параметров.
    2. Разрешите 20–30 минут, чтобы журналы начали течь.
    3. На странице соединителя SAP BTP убедитесь, что Microsoft Sentinel получает данные BTP, или запросите таблицу SAPBTPAuditLog_CL напрямую.

  19. Включите книгу и правила аналитики , предоставляемые в рамках решения, следуя этим рекомендациям.

Примечание.

Для подключения подсчетных учетных записей SAP BTP в большом масштабе рекомендуется использовать подходы на основе API и CLI. Начало работы с этой библиотекой скриптов.

Рассмотрите конфигурации аудита учетной записи

Последним шагом в процессе развертывания является рассмотрение конфигураций аудита глобальной учетной записи и подсчетной учетной записи.

Настройка аудита глобальной учетной записи

При включении извлечения журнала аудита в кабине BTP для глобальной учетной записи. Если подсчетная запись, для которой требуется предоставить право на службу управления журналами аудита, находится в каталоге, сначала необходимо предоставить право службе на уровне каталога. Только после этого вы сможете получить право на службу на уровне подсчетной учетной записи.

Конфигурация аудита субсчетных учетных записей

Чтобы включить аудит для подсчетной учетной записи, выполните действия, описанные в документации по API получения аудита sap subaccounts.

В документации по API описано, как включить получение журнала аудита с помощью интерфейса командной строки Cloud Foundry.

Вы также можете получить журналы с помощью пользовательского интерфейса:

  1. Во вложенной учетной записи в SAP Service Marketplace создайте экземпляр службы управления журналами аудита.
  2. В новом экземпляре создайте ключ службы.
  3. Просмотрите ключ службы и получите необходимые параметры из шага 4 инструкций по настройке в пользовательском интерфейсе соединителя данных (url, uaa.url, uaa.clientid и uaa.clientsecret).

Mass-Onboard подсчетных учетных записей SAP BTP в большом масштабе

Для подключения подсчетных учетных записей SAP BTP в большом масштабе рекомендуется использовать подходы на основе API и CLI. Начало работы с этой библиотекой скриптов.

Смена секрета клиента BTP

Рекомендуется периодически менять секреты клиента подсчетной учетной записи BTP. Об автоматизированном подходе на основе платформы см. в статье Автоматическое продление сертификата хранилища доверия SAP BTP с помощью Azure Key Vault или о том, как перестать думать о сроках действия раз и навсегда (блог SAP).

Эта библиотека скриптов демонстрирует автоматический процесс обновления существующего соединителя данных новым секретом.

Связанные материалы

  • Last updated on