Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung
In diesem Artikel wird beschrieben, wie Sie Ihre SAP-Umgebung für eine Verbindung mit dem SAP-Datenconnector-Agent vorbereiten. Die Vorbereitung umfasst die Konfiguration erforderlicher SAP-Autorisierungen und optional die Bereitstellung zusätzlicher SAP-Änderungsanforderungen (Change Requests, CRs).
Dieser Artikel ist Teil des zweiten Schritts bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.
Die Verfahren in diesem Artikel werden in der Regel von Ihrem SAP BASIS-Team durchgeführt.
Voraussetzungen
- Bevor Sie beginnen, stellen Sie sicher, dass alle Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen erfüllt sind.
Konfigurieren der Microsoft Sentinel-Rolle
Damit der SAP-Datenconnector eine Verbindung mit Ihrem SAP-System herstellen kann, müssen Sie eine spezielle SAP-Systemrolle dafür erstellen.
Um sowohl den Protokollabruf als auch Maßnahmen zur Angriffsunterbrechung einzuschließen, wird empfohlen, diese Rolle durch Laden von Rollenautorisierungen aus der Datei /MSFTSEN/SENTINEL_RESPONDER zu erstellen.
Um nur den Protokollabruf einzuschließen, wird empfohlen, diese Rolle durch Bereitstellen des SAP-Änderungsantrags (Change Request, CR) NPLK900271 zu erstellen: K900271.NPL | R900271. NPL
Stellen Sie die CRs nach Bedarf genauso wie andere CRs in Ihrem SAP-System bereit. Die Bereitstellung von SAP-CRs sollte unbedingt von einem erfahrenen SAP-Systemadministrator durchgeführt werden. Weitere Informationen finden Sie in der SAP-Dokumentation.
Laden Sie alternativ die Rollenautorisierungen aus der Datei MSFTSEN_SENTINEL_CONNECTOR, die alle grundlegenden Berechtigungen für den Datenconnector enthält.
Erfahrene SAP-Administratoren/-Administratorinnen können sich entscheiden, die Rolle manuell zu erstellen und ihr die entsprechenden Berechtigungen zuzuweisen. In solchen Fällen können Sie manuell eine Rolle mit den relevanten Autorisierungen erstellen, die für die zu erfassenden Protokolle erforderlich sind. Weitere Informationen finden Sie unter Erforderliche ABAP-Autorisierungen. In den Beispiele in der Dokumentation wird der Name /MSFTSEN/SENTINEL_RESPONDER verwendet.
Beim Konfigurieren der Rolle wird Folgendes empfohlen:
- Generieren Sie ein aktives Rollenprofil für Microsoft Sentinel, indem Sie die PFCG-Transaktion ausführen.
- Verwenden Sie als Rollennamen
/MSFTSEN/SENTINEL_RESPONDER
.
Weitere Informationen finden Sie in der SAP-Dokumentation zum Erstellen von Rollen.
Erstellen eines Benutzers
Die Microsoft Sentinel-Lösung für SAP-Anwendungen erfordern ein Benutzerkonto, um eine Verbindung mit Ihrem SAP-System herzustellen. Vorgehensweise beim Erstellen eines Benutzers:
- Achten Sie darauf, einen Systembenutzer zu erstellen.
- Weisen Sie dem Benutzer die Rolle /MSFTSEN/SENTINEL_RESPONDER zu, die Sie im vorherigen Schritt erstellt haben.
Weitere Informationen finden Sie in der SAP-Dokumentation.
Konfigurieren der SAP-Überwachung
Bei einigen Installationen von SAP-Systemen ist möglicherweise standardmäßig kein Überwachungsprotokoll aktiviert. Damit Sie optimale Ergebnisse bei der Bewertung von Leistung und Wirksamkeit der Microsoft Sentinel-Lösung für SAP-Anwendungen erzielen können, aktivieren Sie die Überwachung Ihres SAP-Systems, und konfigurieren Sie die Überwachungsparameter. Wenn Sie SAP HANA DB-Protokolle erfassen möchten, müssen Sie auch die Überwachung für SAP HANA DB aktivieren.
Es wird empfohlen, die Überwachung für alle Nachrichten vom Überwachungsprotokoll zu konfigurieren, da diese Daten für Microsoft Sentinel-Erkennungen, bei Untersuchungen nach Vorfällen und beim Hunting hilfreich sind.
Weitere Informationen erhalten Sie von der SAP-Community und unter Erfassen von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel.
Konfigurieren der Unterstützung für zusätzliche Datenabrufe (empfohlen)
Dieser Schritt ist zwar optional, es wird jedoch empfohlen, zusätzliche CRs aus dem GitHub-Repository für Microsoft Sentinel bereitzustellen, damit der SAP-Datenconnector die folgenden Inhaltsinformationen aus Ihrem SAP-System abrufen kann:
- Protokolle von DB-Tabellen und Spoolausgabe
- Informationen zur Client-IP-Adresse aus den Sicherheitsüberwachungsprotokollen (nur SAP BASIS Version 7.5 SP12 und höher)
Stellen Sie die relevanten CRs gemäß Ihrer SAP-Version bereit:
SAP BASIS-Versionen | Empfohlener CR |
---|---|
750 und höher | NPLK900202: K900202.NPL, R900202.NPL Stellen Sie bei der Bereitstellung dieses CR in eine der folgenden SAP-Versionen auch 2641084 – Standardisierter Lesezugriff auf Daten des Sicherheitsüberwachungsprotokolls bereit: – 750 SP04 bis SP12 – 751 SP00 bis SP06 – 752 SP00 bis SP02 |
740 | NPLK900201: K900201.NPL, R900201.NPL |
Stellen Sie die CRs nach Bedarf genauso wie andere CRs in Ihrem SAP-System bereit. Die Bereitstellung von SAP-CRs sollte unbedingt von einem erfahrenen SAP-Systemadministrator durchgeführt werden. Weitere Informationen finden Sie in der SAP-Dokumentation.
Weitere Informationen erhalten Sie von der SAP Community und in der SAP-Dokumentation.
Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird
Die SAP PAHI-Tabelle enthält Daten zum Verlauf des SAP-Systems, der Datenbank und SAP-Parameter. In einigen Fällen können die Microsoft Sentinel-Lösung für SAP-Anwendungen die SAP PAHI-Tabelle nicht in regelmäßigen Abständen überwachen, da die Konfiguration fehlt oder fehlerhaft ist. Es ist wichtig, die PAHI-Tabelle zu aktualisieren und regelmäßig zu überwachen, damit die Microsoft Sentinel-Lösung für SAP-Anwendungen Warnungen bei verdächtigen Aktionen ausgeben können, die jederzeit im Lauf des Tages auftreten können. Weitere Informationen finden Sie unter:
Wenn die PAHI-Tabelle regelmäßig aktualisiert wird, wird der SAP_COLLECTOR_FOR_PERFMONITOR
-Auftrag geplant und stündlich ausgeführt. Wenn der SAP_COLLECTOR_FOR_PERFMONITOR
-Auftrag nicht vorhanden ist, müssen Sie ihn bei Bedarf konfigurieren.
Weitere Informationen finden Sie unter Datenbankerfassung bei der Hintergrundverarbeitung und Konfigurieren des Datensammlers.
Konfigurieren des Systems für die Verwendung von SNC für sichere Verbindungen
Der SAP-Datenconnector-Agent stellt standardmäßig eine Verbindung mit einem SAP-Server über eine RFC-Verbindung (Remote Functional Call, Remotefunktionsaufruf) her und verwendet den Benutzernamen und das Kennwort für die Authentifizierung.
Möglicherweise müssen Sie jedoch die Verbindung über einen verschlüsselten Kanal herstellen oder Clientzertifikate für die Authentifizierung verwenden. Verwenden Sie in diesen Fällen SNC (Smart Network Communications) von SAP wie in diesem Abschnitt beschrieben, um Ihre Datenverbindungen zu schützen.
In einer Produktionsumgebung wird dringend empfohlen, die SAP-Administratoren zu Rate zu ziehen, um einen Bereitstellungsplan für die Konfiguration von SNC zu erstellen. Weitere Informationen finden Sie in der SAP-Dokumentation.
Beim Konfigurieren von SNC:
- Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, übertragen Sie die Zertifikate der ausstellenden Zertifizierungsstelle und der Stammzertifizierungsstelle auf das System, in dem Sie den Datenconnector-Agent erstellen.
- Geben Stellen unbedingt die relevanten Werte ein, und wenden Sie beim Konfigurieren des Containers für den SAP-Datenconnector-Agent die relevanten Verfahren an.