Настройка системы SAP для решения Microsoft Sentinel

2025-05-22
Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

В этой статье описывается, как подготовить среду SAP для подключения к соединителю данных SAP. Подготовка отличается в зависимости от того, используется ли агент соединителя контейнерных данных. Выберите параметр в верхней части страницы, которая соответствует вашей среде.

Эта статья является частью второго шага развертывания решения Microsoft Sentinel для приложений SAP.

Схема потока развертывания для решения Microsoft Sentinel для приложений SAP с выделенным этапом подготовки SAP.

Процедуры, описанные в этой статье, обычно выполняются командой SAP BASIS .

Эта статья является частью второго шага развертывания решения Microsoft Sentinel для приложений SAP. Хотя шаги, выполняемые в Microsoft Sentinel, требуют, чтобы решение было установлено первым, другие подготовки в среде SAP могут выполняться параллельно.

Схема потока развертывания для решения Microsoft Sentinel для приложений SAP с выделенным этапом подготовки SAP.

Многие процедуры, описанные в этой статье, обычно выполняются командой SAP BASIS . Некоторые шаги также включают вашу команду безопасности.

Внимание

Соединитель данных без агента Microsoft Sentinel для SAP в настоящее время находится в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Необходимые компоненты

Перед началом работы проверьте предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP.

Если вы работаете с соединителем данных без агента, некоторые шаги выполняются в Microsoft Sentinel и требуют, чтобы решение было установлено первым.

Настройка роли Microsoft Sentinel

Чтобы разрешить соединителю данных SAP подключаться к системе SAP, необходимо создать роль системы SAP специально для этой цели.

Мы рекомендуем создать эту роль, развернув запрос на изменение SAP NPLK900271 (CR):K900271.NPL R900271.NPL |

Разверните службы CR в системе SAP так же, как и при развертывании других CR. Настоятельно рекомендуется выполнить развертывание ЦС SAP опытным системным администратором SAP. Дополнительные сведения см. в документации по SAP.

Кроме того, загрузите авторизацию роли из файла MSFTSEN_SENTINEL_CONNECTOR , включающую все основные разрешения для работы соединителя данных.

Опытные администраторы SAP могут вручную создать роль и назначить ему соответствующие разрешения. В таких случаях создайте роль вручную с соответствующими разрешениями, необходимыми для журналов, которые необходимо принять. Дополнительные сведения см. в разделе "Обязательные разрешения ABAP". Примеры в нашей документации используют имя /MSFTSEN/SENTINEL_RESPONDER .

При настройке роли рекомендуется:

Создайте активный профиль роли для Microsoft Sentinel, запустив транзакцию PFCG.
Используйте /MSFTSEN/SENTINEL_RESPONDER в качестве имени роли.

Создайте роль с помощью шаблона MSFTSEN_SENTINEL_READER , который включает все основные разрешения для работы соединителя данных.

Дополнительные сведения см. в документации ПО SAP по созданию ролей.

Создание пользователя

Для решения Microsoft Sentinel для приложений SAP требуется учетная запись пользователя для подключения к системе SAP. При создании пользователя:

Обязательно создайте системного пользователя.
Назначьте роль /MSFTSEN/SENTINEL_RESPONDER пользователю, который вы создали на предыдущем шаге.

Обязательно создайте системного пользователя.
Назначьте MSFTSEN_SENTINEL_READER роль пользователю, который вы создали на предыдущем шаге.

Дополнительные сведения см. в документации по SAP.

Настройка аудита SAP

Некоторые установки систем SAP могут не включать ведение журнала аудита по умолчанию. Чтобы лучше всего оценить производительность и эффективность решения Microsoft Sentinel для приложений SAP, включите аудит системы SAP и настройте параметры аудита. Если вы хотите принимать журналы SAP HANA DB, обязательно включите аудит для SAP HANA DB.

Рекомендуется настроить аудит для всех сообщений из журнала аудита, а не только для определенных журналов. Разница в стоимости приема данных обычно минимальна, а эти данные полезны для обнаружений Microsoft Sentinel, а также при расследовании компрометаций и охоте.

Для полного мониторинга с помощью соединителя данных без агента рекомендуется включить мониторинг всех клиентских идентификаторов отслеживаемых систем SAP, включая клиентов 000 и 066.

Дополнительные сведения см. в сообществе SAP и сбор журналов аудита SAP HANA в Microsoft Sentinel.

Настройка системы для использования SNC для безопасных подключений

По умолчанию агент соединителя данных SAP подключается к серверу SAP с помощью удаленного вызова функции (RFC) и имени пользователя и пароля для проверки подлинности.

Однако может потребоваться подключиться к зашифрованным каналам или использовать сертификаты клиента для проверки подлинности. В этих случаях используйте smart Network Communications (SNC) из SAP для защиты подключений к данным, как описано в этом разделе.

В рабочей среде настоятельно рекомендуется обратиться к администраторам SAP, чтобы создать план развертывания для настройки SNC. Дополнительные сведения см. в документации по SAP.

При настройке SNC:

Если сертификат клиента был выдан центром сертификации предприятия, передайте выданные сертификаты ЦС и корневого ЦС в систему, в которой планируется создать агент соединителя данных.
Если вы используете агент соединителя данных, обязательно введите соответствующие значения и используйте соответствующие процедуры при настройке контейнера агента соединителя данных SAP. Если вы используете соединитель данных без агента, конфигурация SNC выполняется в SAP Cloud Connector.

Дополнительные сведения о SNC см. в статье "Начало работы с SAP SNC для интеграции RFC" — блог SAP.

Настройка поддержки получения дополнительных данных (рекомендуется)

Хотя этот шаг является необязательным, рекомендуется включить соединитель данных SAP для получения следующих сведений о содержимом из системы SAP:

Таблицы базы данных и журналы выходных данных
Сведения об IP-адресе клиента из журналов аудита безопасности

Разверните соответствующие CR из репозитория Microsoft Sentinel GitHub в соответствии с версией SAP:

Версии SAP BASIS	Рекомендуемая CR
750 и выше	NPLK900202: K900202.NPL, R900202.NPL При развертывании этого CR любой из следующих версий SAP также развертывайте 2641084 — стандартный доступ на чтение к данным журнала аудита безопасности: — 750 с пакетом обновления 12 (SP12) — 751 SP00 до SP06 — 752 SP00 до SP02
740	NPLK900201: K900201.NPL, R900201.NPL

Версии SAP BASIS

Рекомендуемая CR

750 и выше

NPLK900202: K900202.NPL, R900202.NPL

При развертывании этого CR любой из следующих версий SAP также развертывайте 2641084 — стандартный доступ на чтение к данным журнала аудита безопасности:
— 750 с пакетом обновления 12 (SP12)
— 751 SP00 до SP06
— 752 SP00 до SP02

740

NPLK900201: K900201.NPL, R900201.NPL

Дополнительные сведения см. в сообществе SAP и документации SAP.

Чтобы поддерживать sap BASIS версии 7.31-7.5 с пакетом обновления 12 (SP12) при отправке сведений об IP-адресе клиента в Microsoft Sentinel, активируйте ведение журнала для таблицы SAP USR41. Дополнительные сведения см. в документации по SAP.

Убедитесь, что таблица PAHI обновляется через регулярные интервалы

Таблица SAP PAHI содержит данные по журналу системы SAP, базы данных и параметров SAP. В некоторых случаях решение Microsoft Sentinel для приложений SAP не может отслеживать таблицу SAP PAHI через регулярные интервалы из-за отсутствия или сбоя конфигурации. Важно обновить таблицу PAHI и часто отслеживать ее, чтобы решение Microsoft Sentinel для приложений SAP могло оповещать о подозрительных действиях, которые могут произойти в любое время в течение дня. Дополнительные сведения см. в разделе:

Если таблица PAHI обновляется регулярно, SAP_COLLECTOR_FOR_PERFMONITOR задание планируется и выполняется почасово. SAP_COLLECTOR_FOR_PERFMONITOR Если задание не существует, обязательно настройте его по мере необходимости.

Дополнительные сведения см. в разделе "Сборщик баз данных" в фоновой обработке и настройке сборщика данных.

Настройка параметров SAP BTP

В подсчете SAP BTP добавьте права для следующих служб:
- SAP Integration Suite
- Среда выполнения интеграции процесса SAP
- Среда выполнения Cloud Foundry
Создайте экземпляр Cloud Foundry Runtime, а затем создайте пространство Cloud Foundry.
Создайте экземпляр SAP Integration Suite.
Назначьте роль SAP BTP Integration_Provisioner учетной записи пользователя субаккаунта SAP BTP.
В SAP Integration Suite добавьте облачную интеграцию.
Назначьте следующие роли интеграции процесса учетной записи пользователя:
- PI_Administrator
- PI_Integration_Developer
- PI_Business_Expert
Эти роли доступны только после активации функции интеграции с облаком.
Создайте экземпляр среды выполнения интеграции процессов SAP в подсчетной учетной записи.
Создайте ключ службы для среды выполнения интеграции процессов SAP и сохраните содержимое JSON в безопасном расположении. Перед созданием ключа службы для среды выполнения интеграции процесса SAP необходимо активировать функцию интеграции с облаком.

Дополнительные сведения см. в документации по SAP.

Настройка соединителя в Microsoft Sentinel и в системе SAP

Эта процедура выполняет шаги как в Microsoft Sentinel, так и в системе SAP, а также требуется координация с администратором SAP.

В Microsoft Sentinel перейдите на страницу соединителей данных конфигурации > и найдите соединитель данных Microsoft Sentinel для SAP — без агента (предварительная версия).
В разделе "Конфигурация" разверните и следуйте инструкциям в начальной конфигурации соединителя. Выполните следующие действия один раз: раздел. Для выполнения этих действий потребуется как инженер SecuritySOC, так и администратор SAP.
1. Активируйте автоматическое развертывание ресурсов Azure (инженер SOC). Если после развертывания ресурсов Azure значения в шагах 2 и 3 не заполняются автоматически, закройте и повторно разверните шаг 1, чтобы обновить значения в шагах 2 и 3.
2. Разместите артефакт учетных данных клиента OAuth2 в SAP Integration (администратор SAP).
3. Разверните артефакт безопасного параметра в SAP Integration (SAP Admin) с именем workspaceKey , содержащий ключ рабочей области Log Analytics, видимый в пользовательском интерфейсе соединителя данных.
4. Разверните пакет соединителя данных без агента SAP в SAP Integration Suite (администратор SAP).
  1. Скачайте пакет интеграции и отправьте его в пакет SAP Integration Suite. Дополнительные сведения см. в документации по SAP.
  2. Откройте пакет и перейдите на вкладку "Артефакты ". Затем выберите конфигурацию сборщика данных . Дополнительные сведения см. в документации по SAP.
  3. Настройте поток интеграции с logIngestionURL и DCRImmutableID.
  4. Разверните i-flow с помощью SAP Cloud Integration в качестве службы выполнения.

Запуск средства проверки предварительных условий

В пакет включен средство проверки предварительных условий iflow. Мы рекомендуем запустить этот iFlow перед переходом к следующему шагу, чтобы убедиться, что система SAP соответствует предварительным требованиям системы.

Чтобы запустить средство, выполните следующие действия.
1. Откройте пакет интеграции, перейдите на вкладку артефактов и выберите средство проверки готовности iflow >Configure.
2. Задайте целевое назначение RFC для системы SAP, которую необходимо проверить.
3. Разверните поток iflow, как обычно для ваших систем SAP. Например, используйте следующий пример скрипта PowerShell, изменив примеры значений заполнителей для вашей среды:
```
$cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
$credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
$serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
$serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)

$credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
$headers = @{
    "Authorization" = "Basic $credentials"
    "Content-Type"  = "application/json"
}
$authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
    -Method Post `
    -Headers $headers
$token = ($authResponse.Content | ConvertFrom-Json).access_token
$path = "/http/checkSAP"
$param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
$headers = @{
    "Authorization"      = "Bearer $token"
    "Content-Type"       = "application/json"
}
$response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
Write-Host $response.RawContent
```
Убедитесь, что проверка необходимых компонентов успешно завершается перед подключением к Microsoft Sentinel.
Прокрутите вниз в области конфигурации и разверните и следуйте инструкциям в разделе "Добавление отслеживаемых систем SAP". Выполните приведенные ниже действия для каждой отслеживаемой системы SAP: область для каждой системы SAP , которую вы хотите отслеживать.

Когда вы перейдете к шагу 2. Подключите систему SAP к Microsoft Sentinel / SOC Engineer, продолжайте с подключением вашей системы SAP к Microsoft Sentinel.

Настройка параметров SAP Cloud Connector

Установите SAP Cloud Connector. Дополнительные сведения см. в документации по SAP.
Войдите в интерфейс облачного соединителя и добавьте подсчет с помощью соответствующих учетных данных. Дополнительные сведения см. в документации по SAP.
В подсчете облачного соединителя добавьте новое сопоставление системы в серверную систему, чтобы сопоставить систему ABAP с протоколом RFC.
Определите параметры балансировки нагрузки и введите сведения о сервере ABAP серверной части. На этом шаге скопируйте имя виртуального узла в безопасное расположение, чтобы использовать его позже в процессе развертывания.
Добавьте новые ресурсы в системное сопоставление для каждого из следующих имен функций:
- RSAU_API_GET_LOG_DATA, чтобы получить данные журнала аудита безопасности SAP
- BAPI_USER_GET_DETAIL для получения сведений о пользователе SAP
- RFC_READ_TABLE для чтения данных из обязательных таблиц
- SIAG_ROLE_GET_AUTH для получения авторизации ролей безопасности
- /OSP/SYSTEM_TIMEZONE для получения сведений о системе часового пояса SAP
Добавьте новое назначение в SAP BTP, указывающее на созданный ранее виртуальный узел. Используйте следующие сведения для заполнения нового назначения:
- Имя: Введите имя, которое вы хотите использовать для подключения Microsoft Sentinel
- ТипRFC
- Тип прокси-сервера:On-Premise
- Пользователь: введите учетную запись пользователя ABAP, созданную ранее для Microsoft Sentinel
- Тип авторизации:CONFIGURED USER
- Дополнительные свойства:
  - jco.client.ashost = <virtual host name>
  - jco.client.client = <client e.g. 001>
  - jco.client.sysnr = <system number = 00>
  - jco.client.lang = EN
- Расположение: требуется только при подключении нескольких облачных соединителей к одной субучетной записи BTP. Дополнительные сведения см. в документации по SAP.

Следующий шаг

Подключение системы SAP к Microsoft Sentinel