部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件

本文列出了部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序所需的先决条件。

部署里程碑

通过以下系列文章跟踪 SAP 解决方案部署过程:

  1. 部署概述

  2. 部署先决条件(你目前位于此位置)

  3. 跨多个工作区使用解决方案(预览版)

  4. 准备 SAP 环境

  5. 配置审核

  6. 从内容中心部署解决方案内容

  7. 部署数据连接器代理

  8. 配置适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序

  9. 可选部署步骤

先决条件表

若要成功部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序,必须满足以下先决条件:

Azure 先决条件

先决条件 说明 必需/可选
访问 Microsoft Sentinel 记下 Microsoft Sentinel 工作区 ID 和主密钥。
可以在 Microsoft Sentinel 中找到这些详细信息:从导航菜单中,选择“设置”>“工作区设置”>“代理管理”。 复制工作区 ID 和主密钥,然后将它们粘贴到一边,以便在部署过程中使用。
必须
创建 Azure 资源的权限 至少,必须具有从 Microsoft Sentinel 内容中心部署解决方案所需的权限。 有关详细信息,请参阅 Microsoft Sentinel 内容中心目录 必须
创建 Azure Key Vault 或访问现有 Key Vault 的权限 使用 Azure Key Vault 存储连接到 SAP 系统所需的机密(如果这是必需的先决条件,则推荐使用)。 有关详细信息,请参阅分配密钥保管库访问权限 如果计划将 SAP 系统凭据存储在 Azure Key Vault 中,则需要此权限。

如果计划将它们存储在配置文件中,则为可选。 有关详细信息,请参阅创建虚拟机并配置对凭据的访问权限
向 SAP 数据连接器代理分配特权角色的权限 部署 SAP 数据连接器代理需要使用 Microsoft Sentinel Business Applications 代理操作员角色向代理的 VM 身份授予对 Microsoft Sentinel 工作区的特定权限。 若要授予此角色,需要对 Microsoft Sentinel 工作区所在的资源组拥有“所有者”权限

有关详细信息,请参阅部署数据连接器代理
必需。
如果没有资源组的“所有者”权限,也可以由具有相关权限的其他用户执行相关步骤,但要在完全部署代理后单独执行

系统先决条件

先决条件 说明
系统体系结构 SAP 解决方案的数据连接器组件作为 Docker 容器进行部署,每个 SAP 客户端都需要自己的容器实例。
容器主机可以是物理计算机或虚拟机,可以位于本地或任何云中。
托管容器的 VM 不必与你的 Microsoft Sentinel 工作区位于同一 Azure 订阅中,甚至不必位于同一 Microsoft Entra 租户中
虚拟机大小调整建议 最小规格,例如用于实验室环境:
Standard_B2s VM,包括:
- 双核
- 4-GB RAM

标准连接器(默认):
Standard_D2as_v5 VM 或
Standard_D2_v5 VM,带有:
- 双核
- 8-GB RAM

多个连接器:
Standard_D4as_v5 或
Standard_D4_v5 VM,带有:
- 四核
- 16-GB RAM
管理权限 容器主机需要管理权限(根)。
支持的 Linux 版本 使用以下 Linux 发行版测试了 SAP 数据连接器代理:
- Ubuntu 18.04 或更高版本
- SLES 版本 15 或更高版本
- RHEL 版本 7.7 或更高版本

如果有其他操作系统,可能需要手动部署和配置容器。 有关更多信息,请开具支持工单。
网络连接 确保容器主机有权访问:
Microsoft Sentinel-
- Azure 密钥保管库(Azure 密钥保管库用于存储机密的部署场景)
通过以下 TCP 端口的 SAP 系统:32xx、5xx13、33xx、48xx(使用 SNC 时),其中 xx 是 SAP 实例编号。
软件实用工具 SAP 数据连接器部署脚本在容器主机 VM 上安装以下所需软件(根据所使用的 Linux 发行版,列表可能略有不同):
- Unzip
- NetCat
- Docker
- jq
- curl
托管标识或服务主体 最新版本的 SAP 数据连接器代理需要通过托管标识或服务主体向 Microsoft Sentinel 进行身份验证。

旧版代理程序支持更新到最新版本,然后必须使用托管标识或服务主体继续更新到后续版本。

SAP 先决条件

先决条件 说明
支持的 SAP 版本 SAP 数据连接器代理支持 SAP NetWeaver 系统,已在 SAP_BASIS 版本 731 及更高版本上测试过。

如果你使用的是较旧的 SAP_BASIS 版本 740,本教程中的特定步骤提供了其他说明。
所需软件 SAP NetWeaver RFC SDK 7.50(在此处下载
请确保你还拥有 SAP 用户帐户,以便访问 SAP 软件下载页面。
SAP 系统详细信息 请记下以下 SAP 系统详细信息以供本教程使用:
- SAP 系统 IP 地址和 FQDN 主机名
- SAP 系统编号,如 00
- 来自 SAP NetWeaver 系统的 SAP 系统 ID(例如 NPL
- SAP 客户端 ID,如 001
SAP NetWeaver 实例访问权限 SAP 数据连接器代理使用以下机制之一向 SAP 系统进行身份验证:
- SAP ABAP 用户/密码
- 拥有 X.509 证书的用户(此选项需要额外的配置步骤)

SAP 环境验证步骤

注意

部署 SAP CR 并配置授权指南中提供了有关部署 CR 和分配所需角色的分步说明。 确定需要部署哪些 CR,从下表中的链接中检索相关的 CR,然后转到分步指南。

创建和配置角色(必需)

若要使 SAP 数据连接器可以连接到 SAP 系统,必须创建角色。 通过从 /MSFTSEN/SENTINEL_RESPONDER 文件加载角色授权来创建角色

/MSFTSEN/SENTINEL_RESPONDER 角色包括日志检索和攻击中断响应操作。 若要仅启用日志检索,而不执行攻击中断响应操作,请在 SAP 系统上部署 SAP NPLK900271 CR,或从 MSFTSEN_SENTINEL_CONNECTOR 文件加载角色授权。 “/MSFTSEN/SENTINEL_CONNECTOR”角色,该角色具有数据连接器运行所需的所有基本权限。

SAP Basis 版本 示例 CR
任何版本 NPLK900271:K900271.NPLR900271.NPL

有经验的 SAP 管理员可以选择手动创建角色并为其分配适当的权限。 在这种情况下,请确保遵循每个日志的建议授权。 有关详细信息,请参阅所需的 ABAP 授权

从 SAP 检索其他信息(可选)

可以从 Microsoft Sentinel GitHub 存储库部署其他 CR,使 SAP 数据连接器能够从 SAP 系统检索特定信息。

  • SAP BASIS 7.5 SP12 及更高版本:安全审核日志中的客户端 IP 地址信息
  • 任何 SAP BASIS 版本:DB 表日志、池输出日志
SAP Basis 版本 建议的 CR 说明
- 750 及更高版本 NPLK900202:K900202.NPLR900202.NPL 部署相关的 SAP 说明
- 740 NPLK900201:K900201.NPLR900201.NPL

部署 SAP 说明(可选)

如果选择使用 NPLK900202 可选 CR 检索其他信息,请确保在 SAP 系统中根据其版本部署以下 SAP 说明:

SAP Basis 版本 说明
- 750 SP04 到 SP12
- 751 SP00 到 SP06
- 752 SP00 到 SP02
2641084 - 对安全审核日志数据的标准化读取访问*

后续步骤

验证满足所有先决条件后,继续下一步,将所需的 CR 部署到你的 SAP 系统并配置授权。