Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen

Den här artikeln beskriver hur du förbereder DIN SAP-miljö för anslutning till SAP-dataanslutningsagenten. Förberedelse omfattar konfiguration av nödvändiga SAP-auktoriseringar och, om du vill, distribuera extra SAP-ändringsbegäranden (CRs).

Den här artikeln är en del av det andra steget i distributionen av Microsoft Sentinel-lösningen för SAP-program.

Procedurerna i den här artikeln utförs vanligtvis av SAP BASIS-teamet .

Förutsättningar

• Innan du börjar bör du granska förutsättningarna för att distribuera Microsoft Sentinel-lösningen för SAP-program.

Konfigurera Microsoft Sentinel-rollen

För att sap-dataanslutningen ska kunna ansluta till ditt SAP-system måste du skapa en SAP-systemroll specifikt för detta ändamål.

• Om du vill inkludera både svarsåtgärder för logghämtning och attackstörningar rekommenderar vi att du skapar den här rollen genom att läsa in rollauktoriseringar från filen /MSFTSEN/SENTINEL_RESPONDER.

• Om du bara vill inkludera logghämtning rekommenderar vi att du skapar den här rollen genom att distribuera NPLK900271 SAP-ändringsbegäran (CR): K900271.NPL | R900271. NPL

  Distribuera CRs på ditt SAP-system efter behov precis som du distribuerar andra CRs. Vi rekommenderar starkt att du distribuerar SAP CRs av en erfaren SAP-systemadministratör. Mer information finns i SAP-dokumentationen.

  Alternativt läser du in rollauktoriseringarna från MSFTSEN_SENTINEL_CONNECTOR-filen, som innehåller alla grundläggande behörigheter för att dataanslutningen ska fungera.

  Erfarna SAP-administratörer kan välja att skapa rollen manuellt och tilldela den lämpliga behörigheter. I sådana fall skapar du en roll manuellt med de relevanta auktoriseringar som krävs för loggarna som du vill mata in. Mer information finns i Nödvändiga ABAP-auktoriseringar. Exempel i vår dokumentation använder namnet /MSFTSEN/SENTINEL_RESPONDER .

När du konfigurerar rollen rekommenderar vi att du:

• Generera en aktiv rollprofil för Microsoft Sentinel genom att köra PFCG-transaktionen .
• Använd /MSFTSEN/SENTINEL_RESPONDER som rollnamn.

Mer information finns i SAP-dokumentationen om hur du skapar roller.

Skapa en användare

Microsoft Sentinel-lösningen för SAP-program kräver ett användarkonto för att ansluta till ditt SAP-system. När du skapar din användare:

• Se till att skapa en systemanvändare.
• Tilldela rollen /MSFTSEN/SENTINEL_RESPONDER till användaren, som du skapade i föregående steg.

Mer information finns i SAP-dokumentationen.

Konfigurera SAP-granskning

Vissa installationer av SAP-system kanske inte har granskningsloggning aktiverat som standard. För bästa resultat vid utvärdering av prestanda och effekt för Microsoft Sentinel-lösningen för SAP-program kan du aktivera granskning av SAP-systemet och konfigurera granskningsparametrarna. Om du vill mata in SAP HANA DB-loggar måste du även aktivera granskning för SAP HANA DB.

Vi rekommenderar att du konfigurerar granskning för alla meddelanden från granskningsloggen, eftersom dessa data är användbara för Microsoft Sentinel-identifieringar och i undersökningar och jakt efter kompromissen.

Mer information finns i SAP-communityn och Samla in SAP HANA-granskningsloggar i Microsoft Sentinel.

Konfigurera stöd för extra datahämtning (rekommenderas)

Även om det här steget är valfritt rekommenderar vi att du distribuerar extra CR från Microsoft Sentinel GitHub-lagringsplatsen så att SAP-dataanslutningen kan hämta följande innehållsinformation från DITT SAP-system:

• Db Table- och Spool-utdataloggar
• Information om klientens IP-adress från säkerhetsgranskningsloggarna (ENDAST SAP BASIS version 7.5 SP12 och senare)

Distribuera relevanta CR:er enligt din SAP-version:

Distribuera CRs på ditt SAP-system efter behov precis som du distribuerar andra CRs. Vi rekommenderar starkt att du distribuerar SAP CRs av en erfaren SAP-systemadministratör. Mer information finns i SAP-dokumentationen.

Mer information finns i SAP Community och SAP-dokumentationen.

Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum

SAP PAHI-tabellen innehåller data om historiken för SAP-systemet, databasen och SAP-parametrarna. I vissa fall kan Microsoft Sentinel-lösningen för SAP-program inte övervaka SAP PAHI-tabellen med jämna mellanrum på grund av att konfigurationen saknas eller är felaktig. Det är viktigt att uppdatera PAHI-tabellen och övervaka den ofta, så att Microsoft Sentinel-lösningen för SAP-program kan avisera om misstänkta åtgärder som kan inträffa när som helst under dagen. Mer information finns i:

• SAP-anteckning 12103
• Övervaka konfigurationen av statiska SAP-säkerhetsparametrar (förhandsversion)

Om PAHI-tabellen uppdateras regelbundet schemaläggs SAP_COLLECTOR_FOR_PERFMONITOR jobbet och körs varje timme. Om jobbet SAP_COLLECTOR_FOR_PERFMONITOR inte finns måste du konfigurera det efter behov. Mer information finns i SAP-dokumentationen: Databasinsamlare i bakgrundsbearbetning och konfigurera datainsamlaren

Konfigurera systemet att använda SNC för säkra anslutningar

Som standard ansluter SAP-dataanslutningsagenten till en SAP-server med hjälp av en RFC-anslutning (Remote Function Call) och ett användarnamn och lösenord för autentisering.

Du kan dock behöva upprätta anslutningen på en krypterad kanal eller använda klientcertifikat för autentisering. I dessa fall använder du Smart Network Communications (SNC) från SAP för att skydda dina dataanslutningar, enligt beskrivningen i det här avsnittet.

I en produktionsmiljö rekommenderar vi starkt att du kontaktar SAP-administratörer för att skapa en distributionsplan för att konfigurera SNC. Mer information finns i SAP-dokumentationen.

När du konfigurerar SNC:

• Om klientcertifikatet har utfärdats av en företagscertifikatutfärdare överför du certifikatutfärdare och rotcertifikatutfärdarcertifikat till systemet där du planerar att skapa dataanslutningsagenten.
• Se till att även ange relevanta värden och använda relevanta procedurer när du konfigurerar sap-dataanslutningsagentcontainern.

Gå vidare