Mengonfigurasi sistem SAP Anda untuk solusi Microsoft Azure Sentinel
Artikel ini menjelaskan cara menyiapkan lingkungan SAP Anda untuk menyambungkan ke konektor data SAP. Persiapan berbeda, tergantung pada apakah Anda menggunakan agen konektor data dalam kontainer. Pilih opsi di bagian atas halaman yang cocok dengan lingkungan Anda.
Artikel ini adalah bagian dari langkah kedua dalam menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.
Prosedur dalam artikel ini biasanya dilakukan oleh tim SAP BASIS Anda. Jika Anda menggunakan solusi tanpa agen, Anda mungkin juga perlu melibatkan tim keamanan Anda.
Penting
Solusi Tanpa Agen Microsoft Sentinel berada dalam pratinjau terbatas sebagai produk yang telah dirilis sebelumnya, yang mungkin dimodifikasi secara substansial sebelum dirilis secara komersial. Microsoft tidak membuat jaminan yang dinyatakan atau tersirat, sehubungan dengan informasi yang diberikan di sini. Akses ke solusi Tanpa Agen juga memerlukan pendaftaran dan hanya tersedia untuk pelanggan dan mitra yang disetujui selama periode pratinjau. Untuk informasi selengkapnya, lihat Microsoft Sentinel untuk SAP menjadi tanpa agen .
Prasyarat
- Sebelum memulai, pastikan untuk meninjau prasyarat untuk menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.
Mengonfigurasi peran Microsoft Azure Sentinel
Untuk memungkinkan konektor data SAP terhubung ke sistem SAP Anda, Anda harus membuat peran sistem SAP khusus untuk tujuan ini.
Untuk menyertakan tindakan respons pengambilan log dan gangguan serangan, sebaiknya buat peran ini dengan memuat otorisasi peran dari file /MSFTSEN/SENTINEL_RESPONDER.
Untuk menyertakan pengambilan log saja, sebaiknya buat peran ini dengan menyebarkanNPLK900271 permintaan perubahan SAP (CR): K900271.NPL | R900271. NPL
Sebarkan CR pada sistem SAP Anda sesuai kebutuhan seperti yang Anda sebarkan CR lainnya. Kami sangat menyarankan agar penyebaran SAP CR dilakukan oleh administrator sistem SAP yang berpengalaman. Untuk informasi selengkapnya, lihat dokumentasi SAP.
Secara bergantian, muat otorisasi peran dari file MSFTSEN_SENTINEL_CONNECTOR , yang mencakup semua izin dasar agar konektor data beroperasi.
Administrator SAP berpengalaman mungkin memilih untuk membuat peran secara manual dan menetapkan izin yang sesuai. Dalam kasus seperti itu, buat peran secara manual dengan otorisasi relevan yang diperlukan untuk log yang ingin Anda serap. Untuk informasi selengkapnya, lihat Otorisasi ABAP yang diperlukan. Contoh dalam dokumentasi kami menggunakan nama /MSFTSEN/SENTINEL_RESPONDER .
Saat mengonfigurasi peran, kami sarankan Anda:
- Buat profil peran aktif untuk Microsoft Azure Sentinel dengan menjalankan transaksi PFCG .
- Gunakan
/MSFTSEN/SENTINEL_RESPONDER
sebagai nama peran.
Buat peran menggunakan templat MSFTSEN_SENTINEL_READER , yang mencakup semua izin dasar agar konektor data beroperasi.
Untuk informasi selengkapnya, lihat dokumentasi SAP tentang membuat peran.
Buat pengguna
Solusi Microsoft Sentinel untuk aplikasi SAP memerlukan akun pengguna untuk terhubung ke sistem SAP Anda. Saat membuat pengguna Anda:
- Pastikan untuk membuat pengguna sistem.
- Tetapkan peran /MSFTSEN/SENTINEL_RESPONDER kepada pengguna, yang telah Anda buat di langkah sebelumnya.
- Pastikan untuk membuat pengguna sistem.
- Tetapkan peran MSFTSEN_SENTINEL_READER kepada pengguna, yang telah Anda buat di langkah sebelumnya.
Untuk informasi selengkapnya, lihat dokumentasi SAP.
Mengonfigurasi audit SAP
Beberapa penginstalan sistem SAP mungkin tidak mengaktifkan pengelogan audit secara default. Untuk hasil terbaik dalam mengevaluasi performa dan kemanjuran solusi Microsoft Sentinel untuk aplikasi SAP, aktifkan audit sistem SAP Anda dan konfigurasikan parameter audit. Jika Anda ingin menyerap log SAP Hana DB, pastikan juga mengaktifkan audit untuk SAP Hana DB.
Kami menyarankan agar Anda mengonfigurasi audit untuk semua pesan dari log audit, bukan hanya log tertentu. Perbedaan biaya penyerapan umumnya minimal dan data berguna untuk deteksi Microsoft Azure Sentinel dan dalam penyelidikan dan perburuan pasca-kompromi.
Untuk informasi selengkapnya, lihat komunitas SAP dan Mengumpulkan log audit SAP Hana di Microsoft Azure Sentinel.
Mengonfigurasi sistem Anda untuk menggunakan SNC untuk koneksi aman
Secara default, agen konektor data SAP terhubung ke server SAP menggunakan koneksi panggilan fungsi jarak jauh (RFC) dan nama pengguna dan kata sandi untuk autentikasi.
Namun, Anda mungkin perlu membuat koneksi pada saluran terenkripsi atau menggunakan sertifikat klien untuk autentikasi. Dalam kasus ini, gunakan Smart Network Communications (SNC) dari SAP untuk mengamankan koneksi data Anda, seperti yang dijelaskan di bagian ini.
Di lingkungan produksi, kami sangat menyarankan agar Anda berkonsultasi dengan administrator SAP untuk membuat rencana penyebaran untuk mengonfigurasi SNC. Untuk informasi selengkapnya, lihat dokumentasi SAP.
Saat mengonfigurasi SNC:
- Jika sertifikat klien dikeluarkan oleh otoritas sertifikasi perusahaan, transfer sertifikat CA dan CA akar yang diterbitkan ke sistem tempat Anda berencana untuk membuat agen konektor data.
- Jika Anda menggunakan agen konektor data, pastikan juga memasukkan nilai yang relevan dan menggunakan prosedur yang relevan saat mengonfigurasi kontainer agen konektor data SAP. Jika Anda menggunakan solusi tanpa agen, konfigurasi SNC dilakukan di Konektor Cloud SAP.
Untuk informasi selengkapnya tentang SNC, lihat Mulai menggunakan SAP SNC untuk integrasi RFC - blog SAP.
Mengonfigurasi dukungan untuk pengambilan data tambahan (disarankan)
Meskipun langkah ini bersifat opsional, kami sarankan Anda mengaktifkan konektor data SAP untuk mengambil informasi konten berikut dari sistem SAP Anda:
- Log Tabel DB dan Output Spool
- Informasi alamat IP klien dari log audit keamanan
Sebarkan CR yang relevan dari repositori GitHub Microsoft Sentinel, sesuai dengan versi SAP Anda:
Versi SAP BASIS CR yang direkomendasikan 750 dan lebih tinggi NPLK900202: K900202.NPL, R900202.NPL
Saat menyebarkan CR ini salah satu versi SAP berikut, sebarkan juga 2641084 - Akses baca standar ke data Log Audit Keamanan:
- 750 SP04 ke SP12
- 751 SP00 ke SP06
- 752 SP00 ke SP02740 NPLK900201: K900201.NPL, R900201.NPL Sebarkan CR pada sistem SAP Anda sesuai kebutuhan seperti yang Anda sebarkan CR lainnya. Kami sangat menyarankan agar penyebaran SAP CR dilakukan oleh administrator sistem SAP yang berpengalaman. Untuk informasi selengkapnya, lihat dokumentasi SAP.
Untuk informasi selengkapnya, lihat Komunitas SAP dan dokumentasi SAP.
Untuk mendukung SAP BASIS versi 7.31-7.5 SP12 dalam mengirim informasi alamat IP klien ke Microsoft Azure Sentinel, aktifkan pengelogan untuk tabel SAP USR41. Untuk informasi selengkapnya, lihat dokumentasi SAP.
Verifikasi bahwa tabel PAHI diperbarui secara berkala
Tabel SAP PAHI menyertakan data tentang riwayat sistem SAP, database, dan parameter SAP. Dalam beberapa kasus, solusi Microsoft Sentinel untuk aplikasi SAP tidak dapat memantau tabel SAP PAHI secara berkala, karena konfigurasi yang hilang atau rusak. Penting untuk memperbarui tabel PAHI dan untuk memantaunya secara sering, sehingga solusi Microsoft Sentinel untuk aplikasi SAP dapat memperingatkan tindakan mencurigakan yang mungkin terjadi kapan saja sepanjang hari. Untuk informasi selengkapnya, lihat:
Jika tabel PAHI diperbarui secara berkala, pekerjaan dijadwalkan SAP_COLLECTOR_FOR_PERFMONITOR
dan berjalan per jam.
SAP_COLLECTOR_FOR_PERFMONITOR
Jika pekerjaan tidak ada, pastikan untuk mengonfigurasinya sesuai kebutuhan.
Untuk informasi selengkapnya, lihat Pengumpul Database di Pemrosesan Latar Belakang dan Mengonfigurasi Pengumpul Data.
Mengonfigurasi pengaturan SAP BTP
Di subaccount SAP BTP Anda, tambahkan pemberian izin untuk layanan berikut:
- SAP Integration Suite
- Runtime Integrasi Proses SAP
- Cloud Foundry Runtime
Buat instans Cloud Foundry Runtime, lalu buat juga ruang Cloud Foundry.
Buat instans SAP Integration Suite.
Tetapkan peran Integration_Provisioner SAP BTP ke akun pengguna subaccount SAP BTP Anda.
Di SAP Integration Suite, tambahkan kemampuan integrasi cloud.
Tetapkan peran integrasi proses berikut ke akun pengguna Anda:
- PI_Administrator
- PI_Integration_Developer
- PI_Business_Expert
Peran ini hanya tersedia setelah Anda mengaktifkan kemampuan integrasi cloud.
Buat instans SAP Process Integration Runtime di subaccount Anda.
Buat kunci layanan untuk SAP Process Integration Runtime dan simpan konten JSON ke lokasi yang aman. Anda harus mengaktifkan kemampuan integrasi cloud sebelum membuat kunci layanan untuk SAP Process Integration Runtime.
Untuk informasi selengkapnya, lihat dokumentasi SAP.
Mengonfigurasi pengaturan Konektor Cloud SAP
Instal Konektor Cloud SAP. Untuk informasi selengkapnya, lihat dokumentasi SAP.
Masuk di antarmuka konektor cloud, dan tambahkan subaccount menggunakan kredensial yang relevan. Untuk informasi selengkapnya, lihat dokumentasi SAP.
Di subaccount konektor cloud Anda, tambahkan pemetaan sistem baru ke sistem backend untuk memetakan sistem ABAP ke protokol RFC.
Tentukan opsi penyeimbangan beban dan masukkan detail server ABAP backend Anda. Dalam langkah ini, salin nama host virtual ke lokasi aman untuk digunakan nanti dalam proses penyebaran.
Tambahkan sumber daya baru ke pemetaan sistem untuk setiap nama fungsi berikut:
RSAU_API_GET_LOG_DATA, untuk mengambil data log audit keamanan SAP
BAPI_USER_GET_DETAIL, untuk mengambil detail pengguna SAP
RFC_READ_TABLE, untuk membaca data dari tabel yang diperlukan
Tambahkan tujuan baru di SAP BTP yang mengarahkan host virtual yang telah Anda buat sebelumnya. Gunakan detail berikut untuk mengisi tujuan baru:
Nama: Masukkan nama yang ingin Anda gunakan untuk koneksi Microsoft Azure Sentinel
Jenis
RFC
Jenis Proksi:
On-Premise
Pengguna: Masukkan akun pengguna ABAP yang Anda buat sebelumnya untuk Microsoft Azure Sentinel
Jenis Otorisasi:
CONFIGURED USER
Properti tambahan:
jco.client.ashost = <virtual host name>
jco.client.client = <client e.g. 001>
jco.client.sysnr = <system number = 00>
jco.client.lang = EN
Lokasi: Hanya diperlukan saat Anda menyambungkan beberapa Konektor Cloud ke subaccount BTP yang sama. Untuk informasi selengkapnya, lihat Dokumentasi SAP.
Mengonfigurasi pengaturan SAP Integration Suite
Buat kredensial klien OAuth2 baru untuk menyimpan detail koneksi untuk pendaftaran aplikasi ID Microsoft Entra yang telah Anda buat sebelumnya.
Saat membuat kredensial, masukkan detail berikut:
Nama:
LogIngestionAPI
URL Layanan Token:
https://login.microsoftonline.com/<your Microsoft Entra ID tenant ID>/oauth2/v2.0/token
ID Klien:
<your app registration client ID>
Autentikasi Klien: Kirim sebagai parameter isi
Cakupan:
https://monitor.azure.com//.default
Jenis Konten:
application/x-www-form-urlencoded
Mengimpor dan menyebarkan solusi Microsoft Azure Sentinel untuk paket SAP
Unduh solusi Microsoft Azure Sentinel untuk paket SAP dari https://aka.ms/SAPAgentlessPackage.
Impor paket yang diunduh ke SAP Integration Suite.
Buka solusi Microsoft Sentinel untuk paket SAP dan telusuri artefak.
Pilih Kirim log keamanan ke Microsoft - artefak lapisan aplikasi.
Pilih Konfigurasikan lalu masukkan detail DCR Anda:
- LogsIngestionURL URL Penyerapan dari DCE DCR, seperti yang disimpan sebelumnya.
- DCRImmutableId: ID DCR yang tidak dapat diubah, seperti yang disimpan sebelumnya.
Pilih Sebarkan untuk menyebarkan alur i menggunakan Integrasi Cloud SAP sebagai layanan runtime.