Soluzione Microsoft Sentinel per le applicazioni SAP: Panoramica della distribuzione
Usare la soluzione Microsoft Sentinel per le applicazioni SAP per monitorare i sistemi SAP con Microsoft Sentinel, rilevando minacce sofisticate nei livelli di logica di business e applicazione delle applicazioni SAP.
Questo articolo presenta la soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP.
Componenti della soluzione
La soluzione Microsoft Sentinel per le applicazioni SAP include un connettore dati, che raccoglie i log dai sistemi SAP e li invia all'area di lavoro di Microsoft Sentinel e al contenuto di sicurezza predefinito, che consente di ottenere informazioni dettagliate sull'ambiente SAP dell'organizzazione e rilevare e rispondere alle minacce alla sicurezza.
Connettore dati
Microsoft Sentinel per SAP Data Connector è un agente installato come contenitore in una macchina virtuale Linux, in un server fisico o in un cluster Kubernetes. L'agente raccoglie i log applicazioni per tutti i SID SAP di cui è stato eseguito l'onboarding dall'intero panorama del sistema SAP e quindi li invia all'area di lavoro Log Analytics in Microsoft Sentinel.
Ad esempio, l'immagine seguente mostra un panorama SAP multi-SID con una suddivisione tra sistemi di produzione e non di produzione, inclusa SAP Business Technology Platform. Tutti i sistemi in questa immagine vengono distribuiti in Microsoft Sentinel per la soluzione SAP.
L'agente si connette al sistema SAP per eseguire il pull dei log e di altri dati da esso, quindi invia tali log all'area di lavoro di Microsoft Sentinel. A tale scopo, l'agente deve eseguire l'autenticazione nel sistema SAP usando un utente e un ruolo creati appositamente per questo scopo.
Microsoft Sentinel supporta alcune opzioni per archiviare le informazioni di configurazione dell'agente, inclusa la configurazione per i segreti di autenticazione SAP. La decisione di quale opzione può dipendere dalla posizione in cui si distribuisce la macchina virtuale e dal meccanismo di autenticazione SAP usato. Le opzioni supportate sono le seguenti, elencate in ordine di preferenza:
- Un insieme di credenziali delle chiavi di Azure a cui si accede tramite un'identità gestita assegnata dal sistema di Azure
- Un insieme di credenziali delle chiavi di Azure a cui si accede tramite un'entità servizio registrata dell'applicazione Microsoft Entra ID
- Un file di configurazione di testo non crittografato
È anche possibile eseguire l'autenticazione usando i certificati SNC (Secure Network Communication) e X.509 di SAP. Sebbene l'uso di SNC fornisca un livello di sicurezza di autenticazione superiore, potrebbe non essere pratico per tutti gli scenari.
Contenuto della sicurezza
La soluzione Microsoft Sentinel per le applicazioni SAP include i tipi di contenuto di sicurezza seguenti per ottenere informazioni dettagliate sull'ambiente SAP dell'organizzazione e rilevare e rispondere alle minacce alla sicurezza:
- Regole di analisi e watchlist per il rilevamento delle minacce.
- Funzioni per semplificare l'accesso ai dati.
- Cartelle di lavoro per creare una visualizzazione interattiva dei dati.
- Watchlist per la personalizzazione dei parametri della soluzione predefiniti.
- Playbook che è possibile usare per automatizzare le risposte alle minacce.
Per altre informazioni, vedere La soluzione Microsoft Sentinel per le applicazioni SAP: informazioni di riferimento sul contenuto di sicurezza.
Flusso di distribuzione e persona
La distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP prevede diversi passaggi e richiede la collaborazione tra più team, tra cui i team di sicurezza, infrastruttura e SAP BASIS . L'immagine seguente illustra i passaggi della distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP, con i team pertinenti indicati:
È consigliabile coinvolgere tutti i team pertinenti durante la pianificazione della distribuzione per assicurarsi che lo sforzo venga allocato e che la distribuzione possa spostarsi senza problemi.
I passaggi di distribuzione includono:
Esaminare i prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP. Alcuni prerequisiti richiedono il coordinamento con l'infrastruttura o i team SAP BASIS.
I passaggi seguenti possono verificarsi in parallelo perché coinvolgono team separati e non dipendono l'uno dall'altro:
Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub del contenuto. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.
Configurare il sistema SAP per la soluzione Microsoft Sentinel, inclusa la configurazione delle autorizzazioni SAP, la configurazione del controllo SAP e altro ancora. È consigliabile eseguire questi passaggi dal team SAP BASIS e la documentazione include riferimenti alla documentazione SAP.
Connettere il sistema SAP distribuendo il contenitore dell'agente del connettore dati. Questo passaggio richiede il coordinamento tra i team di sicurezza, infrastruttura e SAP BASIS.
Abilitare i rilevamenti SAP e la protezione dalle minacce. Questo passaggio viene gestito dal team di sicurezza nel portale di Azure.
Le opzioni aggiuntive includono:
Arrestare la raccolta dati SAP
Se è necessario impedire a Microsoft Sentinel di raccogliere i dati SAP, arrestare l'inserimento dei log e disabilitare il connettore. Rimuovere quindi il ruolo utente aggiuntivo ed eventuali CR facoltativi installati nel sistema SAP.
Per altre informazioni, vedere Arrestare la raccolta dati SAP.
Contenuto correlato
Per altre informazioni, vedi:
- Informazioni sul contenuto e sulle soluzioni di Microsoft Sentinel.
- Monitorare l'integrità e il ruolo dei sistemi SAP
- Aggiornare l'agente del connettore dati SAP di Microsoft Sentinel
Passaggio successivo
Iniziare la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP esaminando i prerequisiti: