Požadavky nasazení pro řešení Microsoft Sentinel pro aplikace SAP
Tento článek uvádí požadavky potřebné pro nasazení řešení Microsoft Sentinel pro aplikace SAP. Kontrola a pochopení všech požadavků je prvním krokem při nasazování řešení Microsoft Sentinel pro aplikace SAP.
Obsah v tomto článku je relevantní pro vaše týmy zabezpečení, infrastruktury a SAP BASIS .
Požadavky Azure
Požadavky Azure obvykle spravují vaše bezpečnostní týmy.
| Požadavek | Popis | Povinné nebo volitelné |
|---|---|---|
| Přístup k Microsoft Sentinelu | Poznamenejte si ID vašeho pracovního prostoru a primární klíč pro váš pracovní prostor služby Log Analytics, který je povolený pro Microsoft Sentinel. Tyto podrobnosti najdete v Microsoft Sentinelu: v navigační nabídce vyberte Nastavení> nastavení>nastavení Agenti nastavení. Zkopírujte ID pracovního prostoru a primární klíč a vložte je stranou pro použití během procesu nasazení. |
Požaduje se |
| Oprávnění k vytváření prostředků Azure | Minimálně musíte mít potřebná oprávnění k nasazení řešení z centra obsahu Služby Microsoft Sentinel. Další informace najdete v tématu Požadavky pro nasazení řešení Microsoft Sentinel. | Požaduje se |
| Oprávnění k vytvoření trezoru klíčů Azure nebo přístupu k existujícímu trezoru klíčů | Azure Key Vault slouží k ukládání tajných kódů potřebných pro připojení k systému SAP. Další informace najdete v tématu Přiřazení přístupových oprávnění trezoru klíčů. | Vyžaduje se, pokud plánujete ukládat přihlašovací údaje systému SAP ve službě Azure Key Vault. Volitelné, pokud je plánujete uložit do konfiguračního souboru. Další informace najdete v tématu Vytvoření virtuálního počítače a konfigurace přístupu k vašim přihlašovacím údajům. |
| Oprávnění k přiřazení privilegované role agentu datového konektoru SAP | Nasazení agenta datového konektoru SAP vyžaduje, abyste identitě virtuálního počítače vašeho agenta udělili konkrétní oprávnění k pracovnímu prostoru Služby Microsoft Sentinel pomocí role operátora agenta obchodních aplikací Microsoft Sentinelu. Pokud chcete této roli udělit, potřebujete oprávnění vlastníka pro skupinu prostředků, ve které se nachází váš pracovní prostor Služby Microsoft Sentinel. Další informace najdete v tématu Připojení systému SAP nasazením kontejneru agenta datového konektoru. |
Povinný: Pokud ve skupině prostředků nemáte oprávnění vlastníka , může příslušný krok provést také jiný uživatel, který má příslušná oprávnění, zvlášť po úplném nasazení agenta. |
Systémové požadavky
Požadavky na systém obvykle spravují týmy infrastruktury. Pro nasazení kontejneru agenta datového konektoru SAP se vyžadují následující požadavky na systém:
| Požadavek | Popis |
|---|---|
| Systémová architektura | Komponenta datového konektoru řešení SAP se nasadí jako kontejner Dockeru. Hostitelem kontejneru může být fyzický počítač nebo virtuální počítač, který může být umístěný místně nebo v libovolném cloudu. Virtuální počítač, který je hostitelem kontejneru , nemusí být umístěný ve stejném předplatném Azure jako váš pracovní prostor Microsoft Sentinelu nebo dokonce ve stejném tenantovi Microsoft Entra. |
| Podporované verze Linuxu | Agent datového konektoru SAP se testuje s následujícími distribucemi Linuxu: – Ubuntu 18.04 nebo vyšší – SLES verze 15 nebo vyšší – RHEL verze 7.7 nebo vyšší Pokud máte jiný operační systém, možná budete muset kontejner nasadit a nakonfigurovat ručně. Další informace najdete v tématu Nasazení kontejneru agenta datového konektoru MICROSOFT Sentinel pro SAP s možnostmi expertů nebo otevřením lístku podpory. |
| Doporučení pro změnu velikosti virtuálních počítačů | Minimální specifikace, například pro testovací prostředí: Standard_B2s virtuální počítač s: - Dvě jádra – 4 GB PAMĚTI RAM Standardní konektor (výchozí): Standard_D2as_v5 virtuální počítač nebo Standard_D2_v5 virtuální počítač s: - Dvě jádra – 8 GB PAMĚTI RAM Více konektorů: Standard_D4as_v5 nebo Standard_D4_v5 virtuální počítač s: - Čtyři jádra – 16 GB PAMĚTI RAM |
| Oprávněními | Na hostitelském počítači kontejneru jsou vyžadována oprávnění správce (root). |
| Síťové připojení | Ujistěte se, že má hostitel kontejneru přístup k: – Microsoft Sentinel – Azure Key Vault (ve scénáři nasazení, ve kterém se trezor klíčů Azure používá k ukládání tajných kódů – Systém SAP přes následující porty TCP: 32xx, 5xx13, 33xx, 48xx (při použití SNC), kde xx je číslo instance SAP. |
| Softwarové nástroje | Skript nasazení datového konektoru SAP nainstaluje na virtuální počítač hostitele kontejneru následující požadovaný software (v závislosti na použité distribuci Linuxu se seznam může mírně lišit): - Rozepnout - NetCat - Docker - jq - kudrna |
| Spravovaná identita nebo instanční objekt | Nejnovější verze agenta datového konektoru SAP vyžaduje pro ověření ve službě Microsoft Sentinel spravovanou identitu nebo instanční objekt . Starší verze agentů se podporují pro aktualizace na nejnovější verzi a pak musí používat spravovanou identitu nebo instanční objekt, aby mohli pokračovat v aktualizaci na další verze. |
Požadavky SAP
Doporučujeme, aby váš tým SAP BASIS ověřil a zajistil požadavky na systém SAP. Důrazně doporučujeme, aby veškerá správa systému SAP byla provedena zkušeným správcem systému SAP.
| Požadavek | Popis |
|---|---|
| Podporované verze SAP | Agent datového konektoru SAP podporuje systémy SAP NetWeaver a byl testován na SAP_BASIS verze 731 a vyšší. Některé kroky v tomto kurzu obsahují alternativní pokyny, pokud pracujete se staršími SAP_BASIS verze 740. |
| Požadovaný software | SAP NetWeaver RFC SDK 7.50 (stáhnout zde) Ujistěte se, že máte také uživatelský účet SAP, abyste měli přístup ke stránce pro stažení softwaru SAP. |
| Podrobnosti o systému SAP | Poznamenejte si následující podrobnosti o systému SAP: – IP adresa systému SAP a název hostitele plně kvalifikovaného názvu domény – systémové číslo SAP, například 00– ID systému SAP ze systému SAP NetWeaver (například NPL) – ID klienta SAP, například 001 |
| Přístup k instanci SAP NetWeaver | Agent datového konektoru SAP používá k ověření systému SAP jeden z následujících mechanismů: – Uživatel/heslo SAP ABAP – Uživatel s certifikátem X.509. Tato možnost vyžaduje další kroky konfigurace. Další informace najdete v tématu Konfigurace systému pro použití SNC pro zabezpečená připojení. |
| Požadavky na roli SAP | Pokud chcete datovému konektoru SAP povolit připojení k systému SAP, musíte vytvořit roli systému SAP. Doporučujeme vytvořit požadovanou systémovou roli nasazením žádosti SAP NPLK900271 o změnu (CR). Další informace najdete v tématu Konfigurace role Microsoft Sentinelu. |
| Doporučené žádosti o přijetí změn pro další podporu | Nasaďte do systému SAP doporučené žádosti o přijetí změn, abyste získali další podrobnosti, jako jsou IP adresa klienta a další protokoly. Další informace najdete v tématu Konfigurace podpory pro dodatečné načítání dat (doporučeno). |
Plánování příjmu dat
Doporučujeme otestovat vaše systémy a určit počet protokolů, které jednotlivé systémy SAP odesílají do Služby Microsoft Sentinel. Fakturace služby Microsoft Sentinel závisí na velikosti příjmu protokolů, která zase závisí na faktorech, jako je využití systému, nasazené moduly, počet uživatelů, případy použití, síťový provoz a typy protokolů.
Další informace naleznete v tématu:
- Ceny řešení
- Plánování nákladů a vysvětlení cen a fakturace služby Microsoft Sentinel
- Snížení nákladů na Microsoft Sentinel
- Správa a monitorování nákladů pro Microsoft Sentinel