重要
注意:根据
使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案,通过 Microsoft Sentinel 监控您的 SAP 系统,检测 SAP 应用程序中的业务逻辑层和应用层中的复杂威胁。
本文介绍 SAP 应用程序部署的 Microsoft Sentinel 解决方案。
方案组件
SAP 应用程序的Microsoft Sentinel解决方案包括一个数据连接器,该连接器从 SAP 系统收集日志并将其发送到Microsoft Sentinel工作区,以及现成的安全内容,有助于深入了解组织的 SAP 环境并检测和响应安全威胁。
数据连接器
SAP 数据连接器Microsoft Sentinel是作为容器安装在 Linux 虚拟机、物理服务器或 Kubernetes 群集上的代理。 代理从整个 SAP 系统布局收集所有已载入 SAP SID 的应用程序日志,然后将这些日志发送到Microsoft Sentinel中的Log Analytics工作区。
例如,下图显示了在生产系统和非生产系统(包括 SAP Business Technology Platform)之间划分的多 SID SAP 环境。 此映像中的所有系统都已载入 SAP 解决方案的Microsoft Sentinel。
代理连接到 SAP 系统,从中拉取日志和其他数据,然后将这些日志发送到Microsoft Sentinel工作区。 为此,代理必须使用专门为此目的创建的用户和角色向 SAP 系统进行身份验证。
Microsoft Sentinel支持几种用于存储代理配置信息的选项,包括 SAP 身份验证机密的配置。 选择哪种方案可能取决于部署 VM 的位置以及使用的 SAP 身份验证机制。 支持的选项如下所示,按首选项顺序列出:
- 通过Azure 系统分配的托管标识访问的 Azure Key Vault
- 通过 Microsoft Entra ID 中的注册应用程序服务主体访问Azure 密钥保管库
- 纯文本配置文件
还可以使用 SAP 的安全网络通信 (SNC) 和 X.509 证书进行身份验证。 虽然使用 SNC 可提供更高级别的身份验证安全性,但并非对所有方案都适用。
安全内容
SAP 应用程序的Microsoft Sentinel解决方案包括以下类型的安全内容,可帮助你深入了解组织的 SAP 环境并检测和响应安全威胁:
- 分析规则和监视列表用于威胁检测。
- 用于轻松访问数据的功能。
- 用于创建交互式数据可视化效果的工作簿。
- 用于自定义内置解决方案参数的监视列表。
- 可以用于威胁的自动响应的剧本。
有关详细信息,请参阅 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考。
部署流程和用户角色
为 SAP 应用程序部署Microsoft Sentinel解决方案涉及多个步骤,需要跨多个团队进行协作,包括 security、infrastructure 和 SAP BASIS 团队。 下图显示了为 SAP 应用程序部署Microsoft Sentinel解决方案的步骤,并指示相关团队:
建议在规划部署时涉及所有相关团队,以确保工作分配,并且部署可以顺利进行。
部署步骤包括:
查看为 SAP 应用程序部署Microsoft Sentinel解决方案的先决条件。 有些必要条件需要与基础设施或 SAP BASIS 团队协调。
以下步骤可以并行执行,因为它们涉及单独的团队,并且不相互依赖:
从内容中心部署 SAP 应用程序的Microsoft Sentinel解决方案。 请确保为环境安装正确的解决方案。 此步骤由Azure门户上的安全团队处理。
为 Microsoft Sentinel 解决方案配置 SAP 系统,包括配置 SAP 授权、配置 SAP 审核等。 我们建议由 SAP BASIS 团队执行这些步骤,我们的文档包括对 SAP 文档的参考。 有些步骤也是由安全团队执行的。
通过部署容器化数据连接器代理来连接 SAP 系统。 此步骤需要在安全性、基础结构和 SAP BASIS 团队之间进行协调。
启用 SAP 检测和威胁防护。 此步骤由Azure门户上的安全团队处理。
其他选项包括:
停止 SAP 数据收集
如果需要停止Microsoft Sentinel收集 SAP 数据,请停止日志引入并禁用连接器。 然后删除 SAP 系统上安装的额外用户角色和任何可选 CR。
有关详细信息,请参阅“停止 SAP 数据收集”。
相关内容
有关详细信息,请参阅:
下一步
通过查看先决条件,开始为 SAP 应用程序部署Microsoft Sentinel解决方案: