Konfigurieren Ihres SAP-Systems für die Microsoft Sentinel-Lösung

In diesem Artikel wird beschrieben, wie Sie Ihre SAP-Umgebung für eine Verbindung mit dem SAP-Datenconnector-Agent vorbereiten. Die Vorbereitung umfasst die Konfiguration erforderlicher SAP-Autorisierungen und optional die Bereitstellung zusätzlicher SAP-Änderungsanforderungen (Change Requests, CRs).

Dieser Artikel ist Teil des zweiten Schritts bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP-Anwendungen.

Diagramm des Bereitstellungsflows für die Microsoft Sentinel-Lösung für SAP-Anwendungen mit hervorgehobenem Schritt zur Vorbereitung von SAP

Die Verfahren in diesem Artikel werden in der Regel von Ihrem SAP BASIS-Team durchgeführt.

Voraussetzungen

Konfigurieren der Microsoft Sentinel-Rolle

Damit der SAP-Datenconnector eine Verbindung mit Ihrem SAP-System herstellen kann, müssen Sie eine spezielle SAP-Systemrolle dafür erstellen.

  • Um sowohl den Protokollabruf als auch Maßnahmen zur Angriffsunterbrechung einzuschließen, wird empfohlen, diese Rolle durch Laden von Rollenautorisierungen aus der Datei /MSFTSEN/SENTINEL_RESPONDER zu erstellen.

  • Um nur den Protokollabruf einzuschließen, wird empfohlen, diese Rolle durch Bereitstellen des SAP-Änderungsantrags (Change Request, CR) NPLK900271 zu erstellen: K900271.NPL | R900271. NPL

    Stellen Sie die CRs nach Bedarf genauso wie andere CRs in Ihrem SAP-System bereit. Die Bereitstellung von SAP-CRs sollte unbedingt von einem erfahrenen SAP-Systemadministrator durchgeführt werden. Weitere Informationen finden Sie in der SAP-Dokumentation.

    Laden Sie alternativ die Rollenautorisierungen aus der Datei MSFTSEN_SENTINEL_CONNECTOR, die alle grundlegenden Berechtigungen für den Datenconnector enthält.

    Erfahrene SAP-Administratoren/-Administratorinnen können sich entscheiden, die Rolle manuell zu erstellen und ihr die entsprechenden Berechtigungen zuzuweisen. In solchen Fällen können Sie manuell eine Rolle mit den relevanten Autorisierungen erstellen, die für die zu erfassenden Protokolle erforderlich sind. Weitere Informationen finden Sie unter Erforderliche ABAP-Autorisierungen. In den Beispiele in der Dokumentation wird der Name /MSFTSEN/SENTINEL_RESPONDER verwendet.

Beim Konfigurieren der Rolle wird Folgendes empfohlen:

  • Generieren Sie ein aktives Rollenprofil für Microsoft Sentinel, indem Sie die PFCG-Transaktion ausführen.
  • Verwenden Sie als Rollennamen /MSFTSEN/SENTINEL_RESPONDER.

Weitere Informationen finden Sie in der SAP-Dokumentation zum Erstellen von Rollen.

Erstellen eines Benutzers

Die Microsoft Sentinel-Lösung für SAP-Anwendungen erfordern ein Benutzerkonto, um eine Verbindung mit Ihrem SAP-System herzustellen. Vorgehensweise beim Erstellen eines Benutzers:

  • Achten Sie darauf, einen Systembenutzer zu erstellen.
  • Weisen Sie dem Benutzer die Rolle /MSFTSEN/SENTINEL_RESPONDER zu, die Sie im vorherigen Schritt erstellt haben.

Weitere Informationen finden Sie in der SAP-Dokumentation.

Konfigurieren der SAP-Überwachung

Bei einigen Installationen von SAP-Systemen ist möglicherweise standardmäßig kein Überwachungsprotokoll aktiviert. Damit Sie optimale Ergebnisse bei der Bewertung von Leistung und Wirksamkeit der Microsoft Sentinel-Lösung für SAP-Anwendungen erzielen können, aktivieren Sie die Überwachung Ihres SAP-Systems, und konfigurieren Sie die Überwachungsparameter. Wenn Sie SAP HANA DB-Protokolle erfassen möchten, müssen Sie auch die Überwachung für SAP HANA DB aktivieren.

Es wird empfohlen, die Überwachung für alle Nachrichten vom Überwachungsprotokoll zu konfigurieren, da diese Daten für Microsoft Sentinel-Erkennungen, bei Untersuchungen nach Vorfällen und beim Hunting hilfreich sind.

Weitere Informationen erhalten Sie von der SAP-Community und unter Erfassen von SAP HANA-Überwachungsprotokollen in Microsoft Sentinel.

Dieser Schritt ist zwar optional, es wird jedoch empfohlen, zusätzliche CRs aus dem GitHub-Repository für Microsoft Sentinel bereitzustellen, damit der SAP-Datenconnector die folgenden Inhaltsinformationen aus Ihrem SAP-System abrufen kann:

  • Protokolle von DB-Tabellen und Spoolausgabe
  • Informationen zur Client-IP-Adresse aus den Sicherheitsüberwachungsprotokollen (nur SAP BASIS Version 7.5 SP12 und höher)

Stellen Sie die relevanten CRs gemäß Ihrer SAP-Version bereit:

SAP BASIS-Versionen Empfohlener CR
750 und höher NPLK900202: K900202.NPL, R900202.NPL

Stellen Sie bei der Bereitstellung dieses CR in eine der folgenden SAP-Versionen auch 2641084 – Standardisierter Lesezugriff auf Daten des Sicherheitsüberwachungsprotokolls bereit:
– 750 SP04 bis SP12
– 751 SP00 bis SP06
– 752 SP00 bis SP02
740 NPLK900201: K900201.NPL, R900201.NPL

Stellen Sie die CRs nach Bedarf genauso wie andere CRs in Ihrem SAP-System bereit. Die Bereitstellung von SAP-CRs sollte unbedingt von einem erfahrenen SAP-Systemadministrator durchgeführt werden. Weitere Informationen finden Sie in der SAP-Dokumentation.

Weitere Informationen erhalten Sie von der SAP Community und in der SAP-Dokumentation.

Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird

Die SAP PAHI-Tabelle enthält Daten zum Verlauf des SAP-Systems, der Datenbank und SAP-Parameter. In einigen Fällen können die Microsoft Sentinel-Lösung für SAP-Anwendungen die SAP PAHI-Tabelle nicht in regelmäßigen Abständen überwachen, da die Konfiguration fehlt oder fehlerhaft ist. Es ist wichtig, die PAHI-Tabelle zu aktualisieren und regelmäßig zu überwachen, damit die Microsoft Sentinel-Lösung für SAP-Anwendungen Warnungen bei verdächtigen Aktionen ausgeben können, die jederzeit im Lauf des Tages auftreten können. Weitere Informationen finden Sie unter:

Wenn die PAHI-Tabelle regelmäßig aktualisiert wird, wird der SAP_COLLECTOR_FOR_PERFMONITOR-Auftrag geplant und stündlich ausgeführt. Wenn der SAP_COLLECTOR_FOR_PERFMONITOR-Auftrag nicht vorhanden ist, müssen Sie ihn bei Bedarf konfigurieren.

Weitere Informationen finden Sie unter Datenbankerfassung bei der Hintergrundverarbeitung und Konfigurieren des Datensammlers.

Konfigurieren des Systems für die Verwendung von SNC für sichere Verbindungen

Der SAP-Datenconnector-Agent stellt standardmäßig eine Verbindung mit einem SAP-Server über eine RFC-Verbindung (Remote Functional Call, Remotefunktionsaufruf) her und verwendet den Benutzernamen und das Kennwort für die Authentifizierung.

Möglicherweise müssen Sie jedoch die Verbindung über einen verschlüsselten Kanal herstellen oder Clientzertifikate für die Authentifizierung verwenden. Verwenden Sie in diesen Fällen SNC (Smart Network Communications) von SAP wie in diesem Abschnitt beschrieben, um Ihre Datenverbindungen zu schützen.

In einer Produktionsumgebung wird dringend empfohlen, die SAP-Administratoren zu Rate zu ziehen, um einen Bereitstellungsplan für die Konfiguration von SNC zu erstellen. Weitere Informationen finden Sie in der SAP-Dokumentation.

Beim Konfigurieren von SNC:

  • Wenn das Clientzertifikat von einer Unternehmenszertifizierungsstelle ausgestellt wurde, übertragen Sie die Zertifikate der ausstellenden Zertifizierungsstelle und der Stammzertifizierungsstelle auf das System, in dem Sie den Datenconnector-Agent erstellen.
  • Geben Stellen unbedingt die relevanten Werte ein, und wenden Sie beim Konfigurieren des Containers für den SAP-Datenconnector-Agent die relevanten Verfahren an.

Nächster Schritt