Configure seu sistema SAP para a solução Microsoft Sentinel
Este artigo descreve como preparar seu ambiente SAP para conexão com o agente do conector de dados SAP. A preparação inclui a configuração das autorizações SAP necessárias e, opcionalmente, a implementação de solicitações de alteração (CRs) SAP extras.
Este artigo faz parte da segunda etapa na implantação da solução Microsoft Sentinel para aplicativos SAP.
Os procedimentos neste artigo são normalmente executados pela sua equipe SAP BASIS .
Pré-requisitos
- Antes de começar, certifique-se de revisar os pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP.
Configurar a função Microsoft Sentinel
Para permitir que o conector de dados SAP se conecte ao seu sistema SAP, você deve criar uma função de sistema SAP especificamente para essa finalidade.
Para incluir ações de recuperação de log e resposta a interrupção de ataque, recomendamos criar essa função carregando autorizações de função do arquivo /MSFTSEN/SENTINEL_RESPONDER.
Para incluir apenas a recuperação de log, recomendamos a criação dessa função implantando o NPLK900271 SAP change request (CR): K900271.NPL | R900271. NPL
Implante os CRs em seu sistema SAP conforme necessário, assim como implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador de sistema SAP experiente. Para obter mais informações, consulte a documentação do SAP.
Como alternativa, carregue as autorizações de função do arquivo MSFTSEN_SENTINEL_CONNECTOR , que inclui todas as permissões básicas para o conector de dados operar.
Administradores SAP experientes podem optar por criar a função manualmente e atribuir-lhe as permissões apropriadas. Nesses casos, crie uma função manualmente com as autorizações relevantes necessárias para os logs que você deseja ingerir. Para obter mais informações, consulte Autorizações ABAP necessárias. Exemplos em nossa documentação usam o nome /MSFTSEN/SENTINEL_RESPONDER .
Ao configurar a função, recomendamos que você:
- Gere um perfil de função ativa para o Microsoft Sentinel executando a transação PFCG .
- Use
/MSFTSEN/SENTINEL_RESPONDERcomo o nome da função.
Para obter mais informações, consulte a documentação do SAP sobre a criação de funções.
Criar um utilizador
A solução Microsoft Sentinel para aplicativos SAP requer uma conta de usuário para se conectar ao seu sistema SAP. Ao criar seu usuário:
- Certifique-se de criar um usuário do sistema.
- Atribua a função /MSFTSEN/SENTINEL_RESPONDER ao usuário, que você criou na etapa anterior.
Para obter mais informações, consulte a documentação do SAP.
Configurar auditoria SAP
Algumas instalações de sistemas SAP podem não ter o log de auditoria habilitado por padrão. Para obter melhores resultados na avaliação do desempenho e da eficácia da solução Microsoft Sentinel para aplicativos SAP, habilite a auditoria do seu sistema SAP e configure os parâmetros de auditoria. Se você quiser ingerir logs SAP HANA DB, certifique-se de ativar também a auditoria para o SAP HANA DB.
Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, pois esses dados são úteis para deteções do Microsoft Sentinel e em investigações e caças pós-comprometimento.
Para obter mais informações, consulte a comunidade SAP e Coletar logs de auditoria do SAP HANA no Microsoft Sentinel.
Configurar suporte para recuperação de dados extra (recomendado)
Embora esta etapa seja opcional, recomendamos que você implante CRs extras do repositório GitHub do Microsoft Sentinel para permitir que o conector de dados SAP recupere as seguintes informações de conteúdo do seu sistema SAP:
- Logs de saída de tabela de banco de dados e spool
- Informações de endereço IP do cliente dos logs de auditoria de segurança (somente SAP BASIS versão 7.5 SP12 e superior)
Implante os CRs relevantes de acordo com sua versão SAP:
| Versões do SAP BASIS | CR recomendado |
|---|---|
| 750 e superior | NPLK900202: K900202.NPL, R900202. NPL Ao implantar este CR em qualquer uma das seguintes versões do SAP, implante também 2641084 - Acesso de leitura padronizado aos dados do Log de Auditoria de Segurança: - 750 SP04 a SP12 - 751 SP00 a SP06 - 752 SP00 a SP02 |
| 740 | NPLK900201: K900201.NPL, R900201. NPL |
Implante os CRs em seu sistema SAP conforme necessário, assim como implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador de sistema SAP experiente. Para obter mais informações, consulte a documentação do SAP.
Para obter mais informações, consulte a Comunidade SAP e a documentação do SAP.
Verifique se a tabela PAHI é atualizada em intervalos regulares
A tabela SAP PAHI inclui dados sobre o histórico do sistema SAP, o banco de dados e os parâmetros SAP. Em alguns casos, a solução Microsoft Sentinel para aplicativos SAP não pode monitorar a tabela SAP PAHI em intervalos regulares, devido à configuração ausente ou defeituosa. É importante atualizar a tabela PAHI e monitorá-la com frequência, para que a solução Microsoft Sentinel para aplicativos SAP possa alertar sobre ações suspeitas que podem acontecer a qualquer momento ao longo do dia. Para obter mais informações, consulte:
Se a tabela PAHI for atualizada regularmente, o trabalho será agendado SAP_COLLECTOR_FOR_PERFMONITOR e executado de hora em hora. Se o SAP_COLLECTOR_FOR_PERFMONITOR trabalho não existir, certifique-se de configurá-lo conforme necessário.
Para obter mais informações, consulte Coletor de banco de dados em processamento em segundo plano e Configuração do coletor de dados.
Configure seu sistema para usar SNC para conexões seguras
Por padrão, o agente do conector de dados SAP se conecta a um servidor SAP usando uma conexão RFC (chamada de função remota) e um nome de usuário e senha para autenticação.
No entanto, talvez seja necessário fazer a conexão em um canal criptografado ou usar certificados de cliente para autenticação. Nesses casos, use o Smart Network Communications (SNC) da SAP para proteger suas conexões de dados, conforme descrito nesta seção.
Em um ambiente de produção, é altamente recomendável que você consulte os administradores do SAP para criar um plano de implantação para configurar o SNC. Para obter mais informações, consulte a documentação do SAP.
Ao configurar o SNC:
- Se o certificado do cliente tiver sido emitido por uma autoridade de certificação corporativa, transfira os certificados de CA emissores e de autoridade de certificação raiz para o sistema em que você planeja criar o agente do conector de dados.
- Certifique-se também de inserir os valores relevantes e usar os procedimentos relevantes ao configurar o contêiner do agente do conector de dados SAP.