Microsoft Sentinel-lösning för SAP-program: Distributionsöversikt

Microsoft Sentinel-agentlös dataanslutning för SAP använder SAP Cloud Connector och SAP Integration Suite för att ansluta till ditt SAP-system och hämta loggar från det, enligt följande bild:

Med hjälp av SAP Cloud Connector kan den agentlösa dataanslutningsappen dra nytta av redan befintliga installationer och etablerade integrationsprocesser. Det innebär att du inte behöver ta itu med nätverksutmaningar igen, eftersom de personer som kör SAP Cloud Connector redan har gått igenom den processen.

Den agentlösa dataanslutningsappen är kompatibel med SAP S/4HANA Cloud, Private Edition RISE med SAP, SAP S/4HANA lokalt och SAP ERP Central Component (ECC), vilket säkerställer fortsatt funktionalitet för befintligt säkerhetsinnehåll, inklusive identifieringar, arbetsböcker och spelböcker.

Den agentlösa dataanslutningsappen matar in kritiska säkerhetsloggar, till exempel säkerhetsgranskningsloggen, ändringsdokumentloggar och användarhuvuddata, inklusive användarroller och auktoriseringar.

Följande bild visar till exempel ett SAP-landskap med flera SID med en uppdelning mellan produktions- och icke-produktionssystem, inklusive SAP Business Technology Platform. Alla system i den här avbildningen registreras i Microsoft Sentinel för SAP-lösningen.

Agenten ansluter till DITT SAP-system för att hämta loggar och andra data från det och skickar sedan loggarna till din Microsoft Sentinel-arbetsyta. För att göra detta måste agenten autentisera till ditt SAP-system med hjälp av en användare och roll som skapats specifikt för detta ändamål.

Microsoft Sentinel har stöd för några alternativ för att lagra din agentkonfigurationsinformation, inklusive konfigurationen för dina SAP-autentiseringshemligheter. Beslutet om vilket alternativ som kan bero på var du distribuerar den virtuella datorn och vilken SAP-autentiseringsmekanism du använder. Alternativen som stöds är följande, listade i prioritetsordning:

• Ett Azure Key Vault som nås via en azure-systemtilldelad hanterad identitet
• Ett Azure Key Vault som nås via ett Microsoft Entra ID-huvudnamn för tjänsten registered-application
• En konfigurationsfil i klartext

Du kan också autentisera med hjälp av SAP:s SNC-certifikat (Secure Network Communication) och X.509. Även om SNC ger en högre nivå av autentiseringssäkerhet kanske det inte är praktiskt för alla scenarier.

Distributionen av Microsoft Sentinel-lösningarna för SAP-program omfattar flera steg och kräver samarbete mellan dina säkerhets- och SAP BASIS-team . Följande bild visar stegen i distributionen av Microsoft Sentinel-lösningarna för SAP-program, med relevanta team angivna:

Vi rekommenderar att du involverar båda teamen när du planerar distributionen för att säkerställa att arbetet allokeras och att distributionen kan gå smidigt.

Distributionsstegen omfattar:

1. Granska förutsättningarna för att distribuera SAP-agentlös datakoppling.

2. Distribuera SAP-programlösningen från innehållshubben. Det här steget hanteras av säkerhetsteamet på Azure Portal.

3. Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen, inklusive att konfigurera SAP-auktoriseringar, konfigurera SAP-granskning med mera. Vi rekommenderar att de här stegen utförs av ditt SAP BASIS-team, och vår dokumentation innehåller referenser till SAP-dokumentationen. Vissa av procedurerna i det här steget kan utföras av SAP BASIS-teamet innan du installerar lösningen.

4. Anslut ditt SAP-system med en agentlös dataanslutning med SAP Cloud Connector. Det här steget hanteras av ditt säkerhetsteam på Azure Portal med hjälp av information från SAP BASIS-teamet.

5. Aktivera SAP-identifieringar och skydd mot hot. Det här steget hanteras av säkerhetsteamet på Azure Portal.

Distributionen av Microsoft Sentinel-lösningar för SAP-program omfattar flera steg och kräver samarbete mellan flera team, inklusive säkerhets-, infrastruktur- och SAP BASIS-team . Följande bild visar stegen i distributionen av Microsoft Sentinel-lösningarna för SAP-program, med relevanta team angivna:

Vi rekommenderar att du involverar alla relevanta team när du planerar distributionen för att säkerställa att arbetet allokeras och att distributionen kan gå smidigt.

Distributionsstegen omfattar:

1. Granska förutsättningarna för att distribuera Microsoft Sentinel-lösningen för SAP-program. Vissa förutsättningar kräver samordning med din infrastruktur eller SAP BASIS-team.

2. Följande steg kan ske parallellt eftersom de involverar separata team och inte är beroende av varandra:

   1. Distribuera Microsoft Sentinel-lösningen för SAP-program från innehållshubben. Se till att du installerar rätt lösning för din miljö. Det här steget hanteras av säkerhetsteamet på Azure Portal.

   2. Konfigurera DITT SAP-system för Microsoft Sentinel-lösningen, inklusive att konfigurera SAP-auktoriseringar, konfigurera SAP-granskning med mera. Vi rekommenderar att de här stegen utförs av ditt SAP BASIS-team, och vår dokumentation innehåller referenser till SAP-dokumentationen. Vissa steg utförs också av säkerhetsteamet.

3. Anslut DITT SAP-system genom att distribuera en containerbaserad dataanslutningsagent. Det här steget kräver samordning mellan dina säkerhets-, infrastruktur- och SAP BASIS-team.

4. Aktivera SAP-identifieringar och skydd mot hot. Det här steget hanteras av säkerhetsteamet på Azure Portal.

Extra alternativ är:

• Samla in SAP HANA-granskningsloggar
• Distribuera en SAP-dataanslutningsagent manuellt

Stoppa SAP-datainsamling

Om du använder dataanslutningsagenten och behöver stoppa Microsoft Sentinel från att samla in dina SAP-data stoppar du logginmatningen och inaktiverar anslutningsappen. Ta sedan bort den extra användarrollen och eventuella valfria CR:er som är installerade på DITT SAP-system.

Mer information finns i Stoppa SAP-datainsamling.