Решение Microsoft Sentinel для приложений SAP: обзор развертывания

Соединитель данных без агента Microsoft Sentinel для SAP использует SAP Cloud Connector и SAP Integration Suite для подключения к системе SAP и извлечения журналов, как показано на следующем рисунке:

Используя SAP Cloud Connector, соединитель данных без агента получает прибыль от уже существующих установок и установленных процессов интеграции. Это означает, что вам не нужно снова решать сетевые проблемы, так как люди, работающие в SAP Cloud Connector, уже прошли этот процесс.

Соединитель данных без агента совместим с SAP S/4HANA Cloud, Private Edition RISE с SAP, SAP S/4HANA в локальной среде и компонентом SAP ERP Central (ECC), гарантируя непрерывное функционирование существующего содержимого безопасности, включая обнаружение, рабочие книги и сценарии.

Соединитель данных без агента получает критически важные журналы безопасности, такие как журнал аудита безопасности, журналы документов изменений и данные о пользователях, включая роли пользователей и авторизации.

Например, на следующем рисунке показан ландшафт SAP с несколькими sid SAP с разделением между производственными и непроизводственных системами, включая платформу SAP Business Technology Platform. Все системы в этом образе подключены к Microsoft Sentinel для решения SAP.

Агент подключается к системе SAP, чтобы извлечь из нее журналы и другие данные, а затем отправляет эти журналы в рабочую область Microsoft Sentinel. Для этого агент должен пройти проверку подлинности в системе SAP, используя пользователя и роль, созданную специально для этой цели.

Microsoft Sentinel поддерживает несколько вариантов хранения сведений о конфигурации агента, включая конфигурацию секретов проверки подлинности SAP. Решение о том, какой вариант может зависеть от места развертывания виртуальной машины и используемого вами механизма проверки подлинности SAP. Поддерживаемые параметры приведены в списке по порядку предпочтений:

• Доступ к Azure Key Vault с помощью управляемого удостоверения, назначаемого системой Azure
• Доступ к Azure Key Vault с помощью субъекта-службы зарегистрированного приложения идентификатора Microsoft Entra
• Файл конфигурации с открытым текстом

Вы также можете пройти проверку подлинности с помощью сертификатов SAP Secure Network Communication (SNC) и X.509. Хотя использование SNC обеспечивает более высокий уровень безопасности проверки подлинности, это может оказаться не практическим для всех сценариев.

Развертывание решений Microsoft Sentinel для приложений SAP включает несколько шагов и требует совместной работы в группах безопасности и SAP BASIS . На следующем рисунке показаны шаги при развертывании решений Microsoft Sentinel для приложений SAP с указанными соответствующими командами:

Рекомендуется включать обе команды при планировании развертывания, чтобы убедиться, что усилия выделены, и развертывание может плавно перемещаться.

Ниже приведены действия по развертыванию.

1. Просмотрите предварительные требования для развертывания соединителя данных без агента SAP.

2. Разверните решение приложений SAP из концентратора содержимого. Этот шаг обрабатывается командой безопасности в портал Azure.

3. Настройте систему SAP для решения Microsoft Sentinel, включая настройку авторизации SAP, настройку аудита SAP и многое другое. Мы рекомендуем выполнить эти действия командой SAP BASIS, а наша документация содержит ссылки на документацию ПО SAP. Перед установкой решения можно выполнить некоторые процедуры, описанные в этом шаге, командой SAP BASIS.

4. Подключите систему SAP с помощью соединителя данных без агента с помощью SAP Cloud Connector. Этот шаг обрабатывается командой безопасности в портал Azure, используя сведения, предоставляемые командой SAP BASIS.

5. Включите обнаружение SAP и защиту от угроз. Этот шаг обрабатывается командой безопасности в портал Azure.

Развертывание решений Microsoft Sentinel для приложений SAP включает несколько шагов и требует совместной работы между несколькими командами, включая группы безопасности, инфраструктуры и SAP BASIS . На следующем рисунке показаны шаги при развертывании решений Microsoft Sentinel для приложений SAP с указанными соответствующими командами:

Рекомендуется включить все соответствующие команды при планировании развертывания, чтобы убедиться, что усилия выделены, и развертывание может плавно перемещаться.

Ниже приведены действия по развертыванию.

1. Ознакомьтесь с предварительными условиями развертывания решения Microsoft Sentinel для приложений SAP. Для некоторых предварительных требований требуется координация с вашей инфраструктурой или командами SAP BASIS.

2. Следующие шаги могут выполняться параллельно, так как они включают отдельные команды и не зависят друг от друга:

   1. Разверните решение Microsoft Sentinel для приложений SAP из концентратора содержимого. Убедитесь, что вы устанавливаете правильное решение для вашей среды. Этот шаг обрабатывается командой безопасности в портал Azure.

   2. Настройте систему SAP для решения Microsoft Sentinel, включая настройку авторизации SAP, настройку аудита SAP и многое другое. Мы рекомендуем выполнить эти действия командой SAP BASIS, а наша документация содержит ссылки на документацию ПО SAP. Некоторые шаги также выполняются командой безопасности.

3. Подключите систему SAP путем развертывания контейнеризованного агента соединителя данных. Для этого шага требуется координация между группами безопасности, инфраструктуры и SAP BASIS.

4. Включите обнаружение SAP и защиту от угроз. Этот шаг обрабатывается командой безопасности в портал Azure.

Дополнительные варианты:

• Сбор журналов аудита SAP HANA
• Развертывание агента соединителя данных SAP вручную

Остановка сбора данных SAP

Если вы используете агент соединителя данных и должны остановить Microsoft Sentinel от сбора данных SAP, остановите прием журналов и отключите соединитель. Затем удалите дополнительную роль пользователя и все необязательные CR, установленные в системе SAP.

Дополнительные сведения см. в разделе "Остановка сбора данных SAP".