为 Microsoft Sentinel 解决方案配置 SAP 系统

本文介绍如何准备 SAP 环境以连接到 SAP 数据连接器代理。 准备包括配置所需的 SAP 授权,以及(可选)部署额外的 SAP 更改请求 (CR)。

本文是为 SAP 应用程序部署 Microsoft Sentinel 解决方案的第二步的一部分。

SAP 应用程序的 Microsoft Sentinel 解决方案的部署流示意图,其中突出显示了准备 SAP 步骤。

本文中的过程通常由 SAP BASIS 团队执行。

先决条件

配置 Microsoft Sentinel 角色

若要使 SAP 数据连接器可以连接到 SAP 系统,必须专门为此创建 SAP 系统角色。

  • 若要包含日志检索,建议通过部署 NPLK900271 SAP 更改请求 (CR) 来创建此角色:K900271.NPL | R900271.NPL

    根据需要在 SAP 系统上部署 CR, 就像部署其他 CR 一样。 强烈建议由经验丰富的 SAP 系统管理员完成部署 SAP CR。 有关详细信息,请参阅 SAP 文档

    或者,从 MSFTSEN_SENTINEL_CONNECTOR 文件加载角色授权,其中包括数据连接器运行的所有基本权限。

    有经验的 SAP 管理员可以选择手动创建角色并为其分配适当的权限。 在这种情况下,使用要引入的日志所需的相关授权手动创建角色。 有关详细信息,请参阅所需的 ABAP 授权。 文档中的示例使用 /MSFTSEN/SENTINEL_RESPONDER 名称。

配置角色时,建议:

  • 通过运行 PFCG 事务,为 Microsoft Sentinel 生成活动角色配置文件。
  • 使用 /MSFTSEN/SENTINEL_RESPONDER 作为角色名称。

有关详细信息,请参阅 SAP 文档

创建用户

适用于 SAP 的 Microsoft Sentinel 解决方案应用程序要求用户帐户连接到 SAP 系统。 创建用户时:

  • 请确保创建系统用户。
  • /MSFTSEN/SENTINEL_RESPONDER 角色分配给在上一步骤中创建的用户。

有关详细信息,请参阅 SAP 文档

配置 SAP 审核

默认情况下,SAP 系统的某些安装可能未启用审核日志。 在评估适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的性能和效果时,为获得最佳结果,请对 SAP 系统启用审核并配置审核参数。 如果要引入 SAP HANA DB 日志,请确保同时为 SAP HANA DB 启用审核。

建议为审核日志中的所有消息(而不是仅特定日志)配置审核。 引入成本差异通常很小,并且数据对于 Microsoft Sentinel 检测以及入侵后调查和搜寻很有用。

有关详细信息,请参阅 SAP 社区在 Microsoft Sentinel 中收集 SAP HANA 审核日志

虽然此步骤是可选的,但建议从 Microsoft Sentinel GitHub 存储库部署其他 CR,使 SAP 数据连接器能够从 SAP 系统检索特定信息。

  • DB 表和后台输出日志
  • 安全审核日志中的客户端 IP 地址信息(SAP BASIS 7.5 SP12 及更高版本)

根据你的 SAP 版本部署相关 CR:

SAP Basis 版本 建议的 CR
750 及更高版本 NPLK900202:K900202.NPLR900202.NPL

部署以下任一 SAP 版本时,还要部署 2641084 - 对安全审核日志数据的标准化读取访问
- 750 SP04 到 SP12
- 751 SP00 到 SP06
- 752 SP00 到 SP02
740 NPLK900201:K900201.NPLR900201.NPL

根据需要在 SAP 系统上部署 CR, 就像部署其他 CR 一样。 强烈建议由经验丰富的 SAP 系统管理员完成部署 SAP CR。 有关详细信息,请参阅 SAP 文档

有关详细信息,请参阅 SAP 社区SAP 文档

验证 PAHI 表是否定期更新

SAP PAHI 表包括有关 SAP 系统、数据库和 SAP 参数的历史记录数据。 在某些情况下,由于配置缺失或错误,适用于 SAP 的 Microsoft Sentinel 解决方案 应用程序无法定期监视 SAP PAHI 表。 请务必更新 PAHI 表并经常对其进行监视,以便适用于 SAP 的 Microsoft Sentinel 解决方案 应用程序可以针对全天随时可能发生的可疑操作发出警报。 有关详细信息,请参阅:

如果 PAHI 表定期更新,则会计划 SAP_COLLECTOR_FOR_PERFMONITOR 作业并每小时运行一次。 如果 SAP_COLLECTOR_FOR_PERFMONITOR 作业不存在,请确保根据需要对其进行配置。

有关详细信息,请参阅后台处理中的数据库收集器配置数据收集器

将系统配置为使用 SNC 进行安全连接

默认情况下,SAP 数据连接器代理使用远程函数调用 (RFC) 连接以及用户名和密码连接到 SAP 服务器进行身份验证。

但是,可能需要在加密通道上建立连接,或使用客户端证书进行身份验证。 在这些情况下,请使用 SAP 中的智能网络通信 (SNC) 来保护数据连接,如本部分所述。

在生产环境中,强烈建议你咨询 SAP 管理员来创建配置 SNC 的部署计划。 有关详细信息,请参阅 SAP 文档

配置 SNC 时:

  • 如果客户端证书是由企业证书颁发机构颁发的,请将颁发的 CA 和根 CA 证书传输到计划创建数据连接器代理的系统。
  • 确保在配置 SAP 数据连接器代理容器时输入相关值并使用相关过程。

下一步