Microsoft Sentinel pro SAP v Azure
Tento článek je součástí série článků SAP Rozšíření a inovace zabezpečení: Osvědčené postupy.
- SQL Server zabezpečení databáze pro SAP v Azure
- Microsoft Sentinel pro SAP v Azure
- Operace zabezpečení pro SAP v Azure
Tento článek popisuje klíčové aspekty návrhu pro nasazení agentů pomocí řešení Microsoft Sentinel pro aplikace SAP, aplikační servery SAP, databázové servery SAP HANA a pravidla služby Microsoft Sentinel.
Požadavky pro tento scénář:
- Pokud chcete shromažďovat data ze systémů SAP, musíte nasadit konektor SAP služby Microsoft Sentinel.
- Pro každou kombinaci identifikátoru zabezpečení SAP (SID) a čísla klienta musíte nasadit samostatný konektor.
Na co dát pozor při navrhování
Projděte si následující aspekty návrhu pro každou komponentu.
Řešení Microsoft Sentinel pro aplikace SAP
Topologie architektury SAP může obsahovat několik produktů SAP rozložených mezi několik ID systému, klientů a čísel instancí. Architektura může mít několik front-end serverů ABAP, ale vyžaduje pouze jedno připojení k serveru ABAP. Zvažte připojení k serveru zpráv SAP, který směruje konektor na správný server ABAP a shromažďuje data pro váš systém SAP.
Konektor se nasadí jako kontejner Dockeru na hostitelský virtuální počítač nebo fyzický server. Kontejner konektoru podporuje nasazení na místním počítači a virtuálním počítači založeném na Azure. Datový konektor nepodporuje předefinované konfigurace s vysokou dostupností. Pokud váš scénář vyžaduje možnost vysoké dostupnosti, zvažte nasazení kontejneru konektoru do clusteru Kubernetes nebo v Azure Kubernetes Service (AKS).
Podrobnou konfiguraci AKS najdete v tématu Nasazení monitorování hrozeb služby Microsoft Sentinel pro agenta SAP do clusteru AKS nebo Kubernetes.
Poznámka
Vysoké dostupnosti datového konektoru můžete dosáhnout pouze pomocí nasazení AKS nebo Kubernetes.
Cluster Kubernetes podporuje pouze jeden datový konektor, který načítá data ze systému SAP a odesílá je do jednoho pracovního prostoru služby Log Analytics. Pokud v clusteru Kubernetes spustíte několik podů, které se připojují ke stejnému systému SAP a odesílají data do stejného pracovního prostoru služby Log Analytics, odešle se několik kopií dat, což může vést ke zvýšení poplatků za uchovávání dat.
Při použití kontejnerů Dockeru všechna data ze systému SAP putují do jednoho pracovního prostoru služby Log Analytics.
Server, který je hostitelem agentů konektoru, se musí připojit ke všem serverům ABAP, které vyžadují načtení dat. Konektor například musí směrovat cílové servery ABAP a připojovat se k němu pomocí portů. Další informace najdete v tématu Požadavky na nasazení pro řešení Microsoft Sentinel pro SAP.
Používejte upozornění služby Microsoft Sentinel, jako jsou upozornění Microsoft Teams, e-mail nebo mobilní zařízení.
Pokud je na jednom počítači hostováno více konektorů:
- Vzor pojmenování kontejneru je
sapcon-<SID>, takže se nemůžete připojit k více systémům se stejným identifikátorem SID. - Pokud se připojujete k více systémům, které mají různá ID klientů, použijte
--multi-clientspři spuštění kickstart skriptu nezdokumentovaný přepínač. Vytvořený kontejner má vzorsapcon-<SID>-<client>pojmenování . - Když se připojíte k více systémům, které mají stejný identifikátor SID a stejné ID klienta, musí být konektor nasazený na různých hostitelích. Systémy můžou mít různá systémová čísla. Konektor musí být také nasazený na různých hostitelích pro více systémových prostředí, jako je produkční, vývojová nebo testovací prostředí, která používají stejný identifikátor SID, ID klienta nebo systémové číslo. Data Log Analytics z těchto systémů nejsou k nerozeznání. Když pracujete se systémy, které mají identická SID, ID klientů nebo systémová čísla, použijte k odlišení dat různé pracovní prostory služby Log Analytics.
- Vzor pojmenování kontejneru je
Aplikační servery SAP
- Pomocí konektoru SAP připojte servery ABAP ke službě Microsoft Sentinel.
- Nainstalujte konektor SAP na samostatný virtuální počítač.
- Každý systém SAP s jedinečným ID systému vyžaduje samostatný konektor SAP.
- Uložte přihlašovací údaje v Azure Key Vault.
- Pokud chcete načíst data v každém systému SAP, přiřaďte správné role a autorizace, které jsou specifické pro integraci služby Microsoft Sentinel.
- V monitorovaných systémech SAP povolte protokolování změn tabulek SAP a protokolování ABAP.
- Vylaďte konektor SAP, abyste se vyhnuli krátkým výpisům paměti a vytáhli správné množství dat.
- Pokud chcete eliminovat falešně pozitivní výsledky, implementujte iterativní proces pro vyladění výstrah ve službě Microsoft Sentinel. Například můžete vybraným uživatelům povolit spouštění citlivých dotazů.
Databázový server SAP HANA
Microsoft Sentinel spoléhá na protokoly, které SAP HANA odešle do svého pracovního prostoru prostřednictvím protokolu syslog (System Logging Protocol). V tomto scénáři nejsou žádné konektory SAP.
Pokud chcete odeslat syslog SAP HANA do pracovního prostoru služby Microsoft Sentinel, nainstalujte agenta Azure Monitor paralelně se standardní verzí Microsoft Operations Management Suite. Ve výchozím nastavení Operations Management Suite odesílají data do pracovního prostoru telemetrie. Protokoly agenta Azure Monitoru můžete přesměrovat do pracovního prostoru služby Microsoft Sentinel.
Ve výchozím nastavení se záznam auditování SAP HANA zapisuje do databázové tabulky s názvem CSTABLE. Bezpečnostní tým využívá funkce, jako je zachytávání přihlašovacích údajů hasičů, ke zpracování protokolů auditu z databází. Výchozí protokolování nemůžete převést na syslog, ale různé záznamy auditu můžete přesměrovat na různé cíle, aby všechny zásady auditu související se službou Microsoft Sentinel ukazovaly na úroveň upozornění. Když tuto změnu implementujete, všechny protokoly na úrovni upozornění přejdou do syslogu.
Pravidla služby Microsoft Sentinel
Pravidla služby Microsoft Sentinel pomáhají zjišťovat hrozby a neobvyklé chování ve vašem prostředí. Během fáze analýzy a návrhu:
- Zkontrolujte existující pravidla. Zjistěte, která předdefinována analytická pravidla existují pro SAP a Microsoft Sentinel.
- Stanovte obor. Definujte rozsah a případy použití pro vaši situaci.
- Stanovte kritéria pravidla. Stanovte kritéria pro identifikaci a stanovení priorit pravidel.
- Určete prioritu pravidel. Identifikujte pravidla implementace a určete jejich prioritu.
Platí také následující aspekty návrhu:
Pokud chcete identifikovat falešně pozitivní výsledky a odpovídajícím způsobem upravit položky logiky dotazu a seznamu ke zhlédnutí, vytvořte proces kontroly a ověřování upozornění.
Pomocí konsolidovaných seznamů můžete data ze zdroje dat s událostmi v prostředí služby Microsoft Sentinel korelovat.
- Můžete například vytvořit seznam ke zhlédnutí se seznamem prostředků s vysokou hodnotou, ukončených zaměstnanců nebo účtů služeb ve vašem prostředí.
- Existující pravidla používají statické seznamy ke zhlédnutí, které obsahují seznam uživatelů. Můžete ale nakonfigurovat pravidla, která službě Microsoft Sentinel poskytnou aktualizovatelný dynamický zdroj dat prostředků, které služba Microsoft Sentinel vyhodnocuje.
- Analytická pravidla využívají SAP_User_Config konsolidovaný seznam. Pokud například uživatel generuje nadměrný počet výstrah, přidá se uživatel do seznamu ke zhlédnutí se značkami, jako
MassiveLogonsOKje neboMassiveRFCOK, aby se zabránilo narušení.
Pomocí předdefinovaných sešitů můžete identifikovat mezery v datech a monitorovat stav systému.
Monitorování ztráty dat pomocí pravidel exfiltrace Další informace najdete v tématech Pravidla exfiltrace dat a Nová pravidla detekce exfiltrace dat.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro