Bagikan melalui

Mengonfigurasi sistem SAP Anda untuk solusi Microsoft Azure Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Artikel ini menjelaskan cara menyiapkan lingkungan SAP Anda untuk menyambungkan ke konektor data SAP. Persiapan berbeda, tergantung pada apakah Anda menggunakan agen konektor data dalam kontainer. Pilih opsi di bagian atas halaman yang cocok dengan lingkungan Anda.

Artikel ini adalah bagian dari langkah kedua dalam menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.

Diagram alur penyebaran untuk solusi Microsoft Sentinel untuk aplikasi SAP, dengan langkah SAP persiapan disorot.

Prosedur dalam artikel ini biasanya dilakukan oleh tim SAP BASIS Anda. Jika Anda menggunakan solusi tanpa agen, Anda mungkin juga perlu melibatkan tim keamanan Anda.

Penting

Solusi Tanpa Agen Microsoft Sentinel berada dalam pratinjau terbatas sebagai produk yang telah dirilis sebelumnya, yang mungkin dimodifikasi secara substansial sebelum dirilis secara komersial. Microsoft tidak membuat jaminan yang dinyatakan atau tersirat, sehubungan dengan informasi yang diberikan di sini. Akses ke solusi Tanpa Agen juga memerlukan pendaftaran dan hanya tersedia untuk pelanggan dan mitra yang disetujui selama periode pratinjau. Untuk informasi selengkapnya, lihat Microsoft Sentinel untuk SAP menjadi tanpa agen .

Prasyarat

Mengonfigurasi peran Microsoft Azure Sentinel

Untuk memungkinkan konektor data SAP terhubung ke sistem SAP Anda, Anda harus membuat peran sistem SAP khusus untuk tujuan ini.

  • Untuk menyertakan tindakan respons pengambilan log dan gangguan serangan, sebaiknya buat peran ini dengan memuat otorisasi peran dari file /MSFTSEN/SENTINEL_RESPONDER.

  • Untuk menyertakan pengambilan log saja, sebaiknya buat peran ini dengan menyebarkanNPLK900271 permintaan perubahan SAP (CR): K900271.NPL | R900271. NPL

    Sebarkan CR pada sistem SAP Anda sesuai kebutuhan seperti yang Anda sebarkan CR lainnya. Kami sangat menyarankan agar penyebaran SAP CR dilakukan oleh administrator sistem SAP yang berpengalaman. Untuk informasi selengkapnya, lihat dokumentasi SAP.

    Secara bergantian, muat otorisasi peran dari file MSFTSEN_SENTINEL_CONNECTOR , yang mencakup semua izin dasar agar konektor data beroperasi.

    Administrator SAP berpengalaman mungkin memilih untuk membuat peran secara manual dan menetapkan izin yang sesuai. Dalam kasus seperti itu, buat peran secara manual dengan otorisasi relevan yang diperlukan untuk log yang ingin Anda serap. Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan. Contoh dalam dokumentasi kami menggunakan nama /MSFTSEN/SENTINEL_RESPONDER .

Saat mengonfigurasi peran, kami sarankan Anda:

  • Buat profil peran aktif untuk Microsoft Azure Sentinel dengan menjalankan transaksi PFCG .
  • Gunakan /MSFTSEN/SENTINEL_RESPONDER sebagai nama peran.

Buat peran menggunakan templat MSFTSEN_SENTINEL_READER , yang mencakup semua izin dasar agar konektor data beroperasi.

Untuk informasi selengkapnya, lihat dokumentasi SAP tentang membuat peran.

Buat pengguna

Solusi Microsoft Sentinel untuk aplikasi SAP memerlukan akun pengguna untuk terhubung ke sistem SAP Anda. Saat membuat pengguna Anda:

  • Pastikan untuk membuat pengguna sistem.
  • Tetapkan peran /MSFTSEN/SENTINEL_RESPONDER kepada pengguna, yang telah Anda buat di langkah sebelumnya.
  • Pastikan untuk membuat pengguna sistem.
  • Tetapkan peran MSFTSEN_SENTINEL_READER kepada pengguna, yang telah Anda buat di langkah sebelumnya.

Untuk informasi selengkapnya, lihat dokumentasi SAP.

Mengonfigurasi audit SAP

Beberapa penginstalan sistem SAP mungkin tidak mengaktifkan pengelogan audit secara default. Untuk hasil terbaik dalam mengevaluasi performa dan kemanjuran solusi Microsoft Sentinel untuk aplikasi SAP, aktifkan audit sistem SAP Anda dan konfigurasikan parameter audit. Jika Anda ingin menyerap log SAP Hana DB, pastikan juga mengaktifkan audit untuk SAP Hana DB.

Kami menyarankan agar Anda mengonfigurasi audit untuk semua pesan dari log audit, bukan hanya log tertentu. Perbedaan biaya penyerapan umumnya minimal dan data berguna untuk deteksi Microsoft Azure Sentinel dan dalam penyelidikan dan perburuan pasca-kompromi.

Untuk informasi selengkapnya, lihat komunitas SAP dan Mengumpulkan log audit SAP Hana di Microsoft Azure Sentinel.

Mengonfigurasi sistem Anda untuk menggunakan SNC untuk koneksi aman

Secara default, agen konektor data SAP terhubung ke server SAP menggunakan koneksi panggilan fungsi jarak jauh (RFC) dan nama pengguna dan kata sandi untuk autentikasi.

Namun, Anda mungkin perlu membuat koneksi pada saluran terenkripsi atau menggunakan sertifikat klien untuk autentikasi. Dalam kasus ini, gunakan Smart Network Communications (SNC) dari SAP untuk mengamankan koneksi data Anda, seperti yang dijelaskan di bagian ini.

Di lingkungan produksi, kami sangat menyarankan agar Anda berkonsultasi dengan administrator SAP untuk membuat rencana penyebaran untuk mengonfigurasi SNC. Untuk informasi selengkapnya, lihat dokumentasi SAP.

Saat mengonfigurasi SNC:

  • Jika sertifikat klien dikeluarkan oleh otoritas sertifikasi perusahaan, transfer sertifikat CA dan CA akar yang diterbitkan ke sistem tempat Anda berencana untuk membuat agen konektor data.
  • Jika Anda menggunakan agen konektor data, pastikan juga memasukkan nilai yang relevan dan menggunakan prosedur yang relevan saat mengonfigurasi kontainer agen konektor data SAP. Jika Anda menggunakan solusi tanpa agen, konfigurasi SNC dilakukan di Konektor Cloud SAP.

Untuk informasi selengkapnya tentang SNC, lihat Mulai menggunakan SAP SNC untuk integrasi RFC - blog SAP.

Meskipun langkah ini bersifat opsional, kami sarankan Anda mengaktifkan konektor data SAP untuk mengambil informasi konten berikut dari sistem SAP Anda:

  • Log Tabel DB dan Output Spool
  • Informasi alamat IP klien dari log audit keamanan

  1. Sebarkan CR yang relevan dari repositori GitHub Microsoft Sentinel, sesuai dengan versi SAP Anda:

    Versi SAP BASIS CR yang direkomendasikan
    750 dan lebih tinggi NPLK900202: K900202.NPL, R900202.NPL

    Saat menyebarkan CR ini salah satu versi SAP berikut, sebarkan juga 2641084 - Akses baca standar ke data Log Audit Keamanan:
    - 750 SP04 ke SP12
    - 751 SP00 ke SP06
    - 752 SP00 ke SP02
    740 NPLK900201: K900201.NPL, R900201.NPL

    Sebarkan CR pada sistem SAP Anda sesuai kebutuhan seperti yang Anda sebarkan CR lainnya. Kami sangat menyarankan agar penyebaran SAP CR dilakukan oleh administrator sistem SAP yang berpengalaman. Untuk informasi selengkapnya, lihat dokumentasi SAP.

    Untuk informasi selengkapnya, lihat Komunitas SAP dan dokumentasi SAP.

  2. Untuk mendukung SAP BASIS versi 7.31-7.5 SP12 dalam mengirim informasi alamat IP klien ke Microsoft Azure Sentinel, aktifkan pengelogan untuk tabel SAP USR41. Untuk informasi selengkapnya, lihat dokumentasi SAP.

Verifikasi bahwa tabel PAHI diperbarui secara berkala

Tabel SAP PAHI menyertakan data tentang riwayat sistem SAP, database, dan parameter SAP. Dalam beberapa kasus, solusi Microsoft Sentinel untuk aplikasi SAP tidak dapat memantau tabel SAP PAHI secara berkala, karena konfigurasi yang hilang atau rusak. Penting untuk memperbarui tabel PAHI dan untuk memantaunya secara sering, sehingga solusi Microsoft Sentinel untuk aplikasi SAP dapat memperingatkan tindakan mencurigakan yang mungkin terjadi kapan saja sepanjang hari. Untuk informasi selengkapnya, lihat:

Jika tabel PAHI diperbarui secara berkala, pekerjaan dijadwalkan SAP_COLLECTOR_FOR_PERFMONITOR dan berjalan per jam. SAP_COLLECTOR_FOR_PERFMONITOR Jika pekerjaan tidak ada, pastikan untuk mengonfigurasinya sesuai kebutuhan.

Untuk informasi selengkapnya, lihat Pengumpul Database di Pemrosesan Latar Belakang dan Mengonfigurasi Pengumpul Data.

Mengonfigurasi pengaturan SAP BTP

  1. Di subaccount SAP BTP Anda, tambahkan pemberian izin untuk layanan berikut:

    • SAP Integration Suite
    • Runtime Integrasi Proses SAP
    • Cloud Foundry Runtime

  2. Buat instans Cloud Foundry Runtime, lalu buat juga ruang Cloud Foundry.

  3. Buat instans SAP Integration Suite.

  4. Tetapkan peran Integration_Provisioner SAP BTP ke akun pengguna subaccount SAP BTP Anda.

  5. Di SAP Integration Suite, tambahkan kemampuan integrasi cloud.

  6. Tetapkan peran integrasi proses berikut ke akun pengguna Anda:

    • PI_Administrator
    • PI_Integration_Developer
    • PI_Business_Expert

    Peran ini hanya tersedia setelah Anda mengaktifkan kemampuan integrasi cloud.

  7. Buat instans SAP Process Integration Runtime di subaccount Anda.

  8. Buat kunci layanan untuk SAP Process Integration Runtime dan simpan konten JSON ke lokasi yang aman. Anda harus mengaktifkan kemampuan integrasi cloud sebelum membuat kunci layanan untuk SAP Process Integration Runtime.

Untuk informasi selengkapnya, lihat dokumentasi SAP.

Mengonfigurasi pengaturan Konektor Cloud SAP

  1. Instal Konektor Cloud SAP. Untuk informasi selengkapnya, lihat dokumentasi SAP.

  2. Masuk di antarmuka konektor cloud, dan tambahkan subaccount menggunakan kredensial yang relevan. Untuk informasi selengkapnya, lihat dokumentasi SAP.

  3. Di subaccount konektor cloud Anda, tambahkan pemetaan sistem baru ke sistem backend untuk memetakan sistem ABAP ke protokol RFC.

  4. Tentukan opsi penyeimbangan beban dan masukkan detail server ABAP backend Anda. Dalam langkah ini, salin nama host virtual ke lokasi aman untuk digunakan nanti dalam proses penyebaran.

  5. Tambahkan sumber daya baru ke pemetaan sistem untuk setiap nama fungsi berikut:

    • RSAU_API_GET_LOG_DATA, untuk mengambil data log audit keamanan SAP

    • BAPI_USER_GET_DETAIL, untuk mengambil detail pengguna SAP

    • RFC_READ_TABLE, untuk membaca data dari tabel yang diperlukan

  6. Tambahkan tujuan baru di SAP BTP yang mengarahkan host virtual yang telah Anda buat sebelumnya. Gunakan detail berikut untuk mengisi tujuan baru:

    • Nama: Masukkan nama yang ingin Anda gunakan untuk koneksi Microsoft Azure Sentinel

    • JenisRFC

    • Jenis Proksi:On-Premise

    • Pengguna: Masukkan akun pengguna ABAP yang Anda buat sebelumnya untuk Microsoft Azure Sentinel

    • Jenis Otorisasi:CONFIGURED USER

    • Properti tambahan:

      • jco.client.ashost = <virtual host name>

      • jco.client.client = <client e.g. 001>

      • jco.client.sysnr = <system number = 00>

      • jco.client.lang = EN

    • Lokasi: Hanya diperlukan saat Anda menyambungkan beberapa Konektor Cloud ke subaccount BTP yang sama. Untuk informasi selengkapnya, lihat Dokumentasi SAP.

Mengonfigurasi pengaturan SAP Integration Suite

Buat kredensial klien OAuth2 baru untuk menyimpan detail koneksi untuk pendaftaran aplikasi ID Microsoft Entra yang telah Anda buat sebelumnya.

Saat membuat kredensial, masukkan detail berikut:

  • Nama: LogIngestionAPI

  • URL Layanan Token:https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token

  • ID Klien: <your app registration client ID>

  • Autentikasi Klien: Kirim sebagai parameter isi

  • Cakupan:https://monitor.azure.com//.default

  • Jenis Konten: application/x-www-form-urlencoded

Mengimpor dan menyebarkan solusi Microsoft Azure Sentinel untuk paket SAP

  1. Unduh solusi Microsoft Azure Sentinel untuk paket SAP dari https://aka.ms/SAPAgentlessPackage.

  2. Impor paket yang diunduh ke SAP Integration Suite.

  3. Buka solusi Microsoft Sentinel untuk paket SAP dan telusuri artefak.

  4. Pilih Kirim log keamanan ke Microsoft - artefak lapisan aplikasi.

  5. Pilih Konfigurasikan lalu masukkan detail DCR Anda:

    • LogsIngestionURL URL Penyerapan dari DCE DCR, seperti yang disimpan sebelumnya.
    • DCRImmutableId: ID DCR yang tidak dapat diubah, seperti yang disimpan sebelumnya.

  6. Pilih Sebarkan untuk menyebarkan alur i menggunakan Integrasi Cloud SAP sebagai layanan runtime.

Langkah selanjutnya

Menyambungkan sistem SAP Anda ke Microsoft Azure Sentinel