Поделиться через

Решение Microsoft Sentinel для приложений SAP: обзор развертывания

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Используйте решение Microsoft Sentinel для приложений SAP для мониторинга систем SAP с помощью Microsoft Sentinel, обнаруживая сложные угрозы в бизнес-логике и уровнях приложений SAP.

В этой статье описано решение Microsoft Sentinel для развертывания приложений SAP.

Компоненты решения

Решение Microsoft Sentinel для приложений SAP включает соединитель данных, который собирает журналы из систем SAP и отправляет их в рабочую область Microsoft Sentinel и нестандартное содержимое безопасности, которое помогает получить представление о среде SAP вашей организации и обнаруживать и реагировать на угрозы безопасности.

Соединитель данных

Соединитель данных Microsoft Sentinel для SAP — это агент, установленный в качестве контейнера на виртуальной машине Linux, физическом сервере или кластере Kubernetes. Агент собирает журналы приложений для всех подключенных идентификаторов SAP из всей системы SAP, а затем отправляет эти журналы в рабочую область Log Analytics в Microsoft Sentinel.

Например, на следующем рисунке показан ландшафт SAP с несколькими sid SAP с разделением между производственными и непроизводственных системами, включая платформу SAP Business Technology Platform. Все системы в этом образе подключены к Microsoft Sentinel для решения SAP.

Схема, показывающая ландшафт SAP с несколькими идентификаторами БЕЗОПАСНОСТИ с помощью Microsoft Sentinel.

Агент подключается к системе SAP, чтобы извлечь из нее журналы и другие данные, а затем отправляет эти журналы в рабочую область Microsoft Sentinel. Для этого агент должен пройти проверку подлинности в системе SAP, используя пользователя и роль, созданную специально для этой цели.

Microsoft Sentinel поддерживает несколько вариантов хранения сведений о конфигурации агента, включая конфигурацию секретов проверки подлинности SAP. Решение о том, какой вариант может зависеть от места развертывания виртуальной машины и используемого вами механизма проверки подлинности SAP. Поддерживаемые параметры приведены в списке по порядку предпочтений:

  • Доступ к Azure Key Vault с помощью управляемого удостоверения, назначаемого системой Azure
  • Доступ к Azure Key Vault с помощью субъекта-службы зарегистрированного приложения идентификатора Microsoft Entra
  • файл конфигурации с открытым текстом.

Вы также можете пройти проверку подлинности с помощью сертификатов SAP Secure Network Communication (SNC) и X.509. Хотя использование SNC обеспечивает более высокий уровень безопасности проверки подлинности, это может оказаться не практическим для всех сценариев.

Содержимое системы безопасности

Решение Microsoft Sentinel для приложений SAP включает в себя следующие типы содержимого безопасности, которые помогут вам получить представление о среде SAP вашей организации и обнаружить и реагировать на угрозы безопасности:

  • Правила аналитики и списки наблюдения для обнаружения угроз.
  • Функции для простого доступа к данным.
  • Книги для создания интерактивной визуализации данных.
  • Списки наблюдения для настройки встроенных параметров решения.
  • Сборники схем, которые можно использовать для автоматизации реагирования на угрозы.

Дополнительные сведения см . в решении Microsoft Sentinel для приложений SAP: справочник по содержимому безопасности.

Поток развертывания и лица

Развертывание решения Microsoft Sentinel для приложений SAP включает несколько шагов и требует совместной работы между несколькими командами, включая группы безопасности, инфраструктуры и SAP BASIS . На следующем рисунке показаны шаги при развертывании решения Microsoft Sentinel для приложений SAP с указанными соответствующими командами:

Схема, на которой показаны полные шаги в решении Microsoft Sentinel для развертывания приложений SAP.

Рекомендуется включить все соответствующие команды при планировании развертывания, чтобы убедиться, что усилия выделены, и развертывание может плавно перемещаться.

Ниже приведены действия по развертыванию.

  1. Просмотрите предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP. Для некоторых предварительных требований требуется координация с вашей инфраструктурой или командами SAP BASIS.

  2. Следующие шаги могут выполняться параллельно, так как они включают отдельные команды и не зависят друг от друга:

    1. Разверните решение Microsoft Sentinel для приложений SAP из концентратора содержимого. Этот шаг обрабатывается командой безопасности в портал Azure.

    2. Настройте систему SAP для решения Microsoft Sentinel, включая настройку авторизации SAP, настройку аудита SAP и многое другое. Мы рекомендуем выполнить эти действия командой SAP BASIS, а наша документация содержит ссылки на документацию ПО SAP.

  3. Подключите систему SAP, развернув контейнер агента соединителя данных. Для этого шага требуется координация между группами безопасности, инфраструктуры и SAP BASIS.

  4. Включите обнаружение SAP и защиту от угроз. Этот шаг обрабатывается командой безопасности в портал Azure.

Дополнительные варианты:

Остановка сбора данных SAP

Если вам нужно остановить сбор данных SAP в Microsoft Sentinel, остановите прием журналов и отключите соединитель. Затем удалите дополнительную роль пользователя и все необязательные CR, установленные в системе SAP.

Дополнительные сведения см. в разделе "Остановка сбора данных SAP".

Связанный контент

Дополнительные сведения см. в разделе:

Следующий шаг

Начните развертывание решения Microsoft Sentinel для приложений SAP, просмотрите предварительные требования:

Необходимые условия