适用于 SAP 的 Microsoft Sentinel 解决方案应用程序:部署概述

使用适用于 SAP 的 Microsoft Sentinel 解决方案通过 Microsoft Sentinel 监视 SAP 系统,检测 SAP 应用程序的业务逻辑和应用程序层的复杂威胁。

本文介绍适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的部署。

解决方案构成

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括数据连接器(用于从 SAP 系统收集日志,并将其发送到 Microsoft Sentinel 工作区)和现成的安全内容,可帮助你深入了解组织的 SAP 环境,以及检测和响应安全威胁。

数据连接器

SAP 数据连接器的 Microsoft Sentinel 是作为容器安装在 Linux 虚拟机、物理服务器或 Kubernetes 群集上的代理。 该代理从整个 SAP 系统环境中收集所有加入的 SAP SID 的应用程序日志,然后将这些日志发送到 Microsoft Sentinel 中的 Log Analytics 工作区。

例如,下图显示了在生产系统和非生产系统(包括 SAP Business Technology Platform)之间划分的多 SID SAP 环境。 此图中的所有系统均已加入适用于 SAP 的 Microsoft Sentinel 解决方案。

此图显示了一个使用 Microsoft Sentinel 的多 SID SAP 布局。

代理连接到 SAP 系统,从中拉取日志和其他数据,然后将这些日志发送到 Microsoft Sentinel 工作区。 为此,代理必须使用专门为此目的创建的用户和角色向 SAP 系统进行身份验证。

Microsoft Sentinel 支持几种用于存储代理配置信息的选项,包括 SAP 身份验证机密的配置。 选择哪种方案可能取决于部署 VM 的位置以及使用的 SAP 身份验证机制。 支持的选项如下所示,按首选项顺序列出:

  • Azure Key Vault,通过 Azure 系统分配的托管标识进行访问
  • Azure Key Vault,通过 Microsoft Entra ID 已注册的应用程序服务主体进行访问
  • 纯文本配置文件

还可以使用 SAP 的安全网络通信 (SNC) 和 X.509 证书进行身份验证。 虽然使用 SNC 可提供更高级别的身份验证安全性,但并非对所有方案都适用。

安全内容

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括以下类型的安全内容,可帮助你深入了解组织的 SAP 环境并检测和响应安全威胁:

  • 分析规则和监视列表威胁检测。
  • 用于轻松访问数据的功能。
  • 用于创建交互式数据可视化效果的工作簿。
  • 用于自定义内置解决方案参数的监视列表。
  • 可用于自动响应威胁的 Playbook。

有关详细信息,请参阅适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考

部署流和角色

部署适用于 SAP 的 Microsoft Sentinel 解决方案涉及多个步骤,需要跨多个团队进行协作,包括安全性基础结构,以及 SAP BASIS 团队。 下图显示了部署适用于 SAP 的 Microsoft Sentinel 解决方案的步骤,并指示相关团队:

此图显示了适用于 SAP 的 Microsoft Sentinel 解决方案的部署流中的完整步骤。

建议在规划部署时涉及所有相关团队,以确保工作分配,并且部署可以顺利进行。

部署步骤包括:

  1. 审阅部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的先决条件。 某些先决条件需要与基础结构或 SAP BASIS 团队协调。

  2. 以下步骤可以并行执行,因为它们涉及单独的团队,并且不相互依赖:

    1. 从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案。 此步骤由 Azure 门户上的安全团队处理。

    2. 为 Microsoft Sentinel 解决方案配置 SAP 系统,包括配置 SAP 授权、配置 SAP 审核等。 我们建议由 SAP BASIS 团队执行这些步骤,我们的文档包括对 SAP 文档的参考。

  3. 通过部署数据连接器代理容器来连接 SAP 系统。 此步骤需要在安全性、基础结构和 SAP BASIS 团队之间进行协调。

  4. 启用 SAP 检测和威胁防护。 此步骤由 Azure 门户上的安全团队处理。

其他选项包括:

停止 SAP 数据收集

如果需要停止 Microsoft Sentinel 收集 SAP 数据,请停止日志引入并禁用连接器。 然后删除 SAP 系统上安装的额外用户角色和任何可选 CR。

有关详细信息,请参阅“停止 SAP 数据收集”。

有关详细信息,请参阅:

下一步

查看先决条件,开始部署适用于 SAP 的 Microsoft Sentinel 解决方案应用程序: