Microsoft Sentinel para SAP en Azure
Este artículo forma parte de la serie de artículos "Ampliación e innovación de la seguridad de SAP: Procedimientos recomendados".
- Seguridad de bases de datos de SQL Server para SAP en Azure
- Microsoft Sentinel para SAP en Azure
- Operaciones de seguridad para SAP en Azure
En este artículo, se describen las consideraciones de diseño clave para implementar agentes mediante las aplicaciones de la solución Microsoft Sentinel para SAP, servidores de aplicaciones SAP, servidores de bases de datos de SAP HANA y reglas de Microsoft Sentinel.
Requisitos previos para este escenario:
- Para recopilar los datos de los sistemas SAP, debe implementar un conector de SAP de Microsoft Sentinel.
- Debe implementar un conector independiente para cada combinación de identificadores de seguridad (SID) de SAP y número de cliente.
Consideraciones de diseño
Consulte las siguientes consideraciones de diseño para cada componente.
Aplicaciones de la solución Microsoft Sentinel para SAP
La topología de la arquitectura de SAP puede tener varios productos de SAP distribuidos entre varios identificadores de sistema, clientes y números de instancia. La arquitectura puede tener varios servidores ABAP de front-end, pero solo requiere una conexión de servidor ABAP. Considere la posibilidad de conectarse al servidor de mensajes de SAP, que enruta el conector al servidor ABAP correcto y recopila datos para el sistema SAP.
El conector se implementa como un contenedor de Docker en una máquina virtual (VM) host o en un servidor físico. El contenedor del conector admite la implementación en una máquina local y una máquina virtual basada en Azure. El conector de datos no admite una configuración de alta disponibilidad preconfigurada. Si el escenario requiere una opción de alta disponibilidad, considere la posibilidad de implementar el contenedor del conector en un clúster de Kubernetes o en Azure Kubernetes Service (AKS).
Para obtener la configuración paso a paso de AKS, consulte Implementación de la supervisión de amenazas de Microsoft Sentinel para un agente de SAP en un clúster de AKS o Kubernetes.
Nota
Solo puede lograr una alta disponibilidad para el conector de datos mediante una implementación de AKS o Kubernetes.
Un clúster de Kubernetes solo admite un único conector de datos que captura datos de un sistema SAP y envía los datos a una única área de trabajo de Log Analytics. Si ejecuta varios pods en un clúster de Kubernetes que se conectan al mismo sistema SAP y envían datos a la misma área de trabajo de Log Analytics, se envían varias copias de los datos, lo que podría provocar un aumento de los cargos por retención de datos.
Cuando se usan contenedores de Docker, todos los datos de un sistema SAP pasan a una única área de trabajo de Log Analytics.
El servidor que hospeda los agentes del conector debe conectarse a todos los servidores de ABAP que requieran recuperación de datos. Por ejemplo, el conector debe enrutar y conectarse a los servidores ABAP de destino mediante puertos. Para más información, consulte Implementación de requisitos previos para las soluciones Microsoft Sentinel para SAP.
Use alertas de Microsoft Sentinel, como Microsoft Teams, correo electrónico o alertas móviles.
Cuando se hospedan varios conectores en una sola máquina:
- El patrón de nomenclatura del contenedor es
sapcon-<SID>, por lo que no se puede conectar a varios sistemas con el mismo SID. - Si se conecta a varios sistemas que tienen id. de cliente diferentes, use el modificador no documentado
--multi-clientsal ejecutar el script kickstart. El contenedor que se crea tiene el patrón de nomenclaturasapcon-<SID>-<client>. - Cuando se conecta a varios sistemas que tienen el mismo SID y el mismo id. de cliente, el conector debe implementarse en distintos hosts. Los sistemas pueden tener números de sistema diferentes. El conector también debe implementarse en diferentes hosts para varios entornos del sistema, como producción, desarrollo o prueba, que usen el mismo SID, identificador de cliente o número del sistema. Los datos de Log Analytics de estos sistemas son indistinguibles. Al trabajar con sistemas que tienen SID idénticos, identificadores de cliente o números de sistema, use diferentes áreas de trabajo de Log Analytics para distinguir los datos.
- El patrón de nomenclatura del contenedor es
servidores de aplicaciones de SAP,
- Use un conector de SAP para conectar servidores ABAP a Microsoft Sentinel.
- Instale el conector de SAP en una máquina virtual independiente.
- Cada sistema SAP con un id. de sistema único requiere un conector de SAP independiente.
- Almacene los credenciales en Azure Key Vault.
- Para extraer los datos de cada sistema SAP, asigne los roles y autorizaciones adecuados específicos de la integración de Microsoft Sentinel.
- En los sistemas SAP supervisados, habilite el registro de cambios de tabla de SAP y el registro de ABAP.
- Ajuste el conector de SAP para evitar volcados cortos y extraer la cantidad de datos adecuada.
- Para eliminar falsos positivos, implemente un proceso iterativo para ajustar las alertas en Microsoft Sentinel. Por ejemplo, permita que los usuarios seleccionados ejecuten consultas confidenciales.
Servidor de base de datos de SAP HANA
Microsoft Sentinel se basa en los registros insertados en su área de trabajo por SAP HANA mediante el protocolo de registro del sistema (syslog). No hay conectores de SAP en este escenario.
Para insertar el syslog de SAP HANA en un área de trabajo de Microsoft Sentinel, instale el agente de Azure Monitor en paralelo a la versión estándar de Microsoft Operations Management Suite. De forma predeterminada, Operations Management Suite inserta datos en el área de trabajo de telemetría. Puede redirigir los registros del agente de Azure Monitor al área de trabajo de Microsoft Sentinel.
De forma predeterminada, la pista de auditoría de SAP HANA se escribe en una tabla de base de datos denominada CSTABLE. El equipo de seguridad usa funcionalidades, como capturar inicios de sesión de bomberos, para consumir los registros de auditoría de las bases de datos. No puede redirigir el registro predeterminado a syslog, pero puede redirigir diferentes seguimientos de auditoría a distintos destinos, de modo que todas las directivas de auditoría relacionadas con Microsoft Sentinel apunten al nivel de alerta. Al implementar este cambio, todos los registros de nivel de alerta van a syslog.
Reglas de Microsoft Sentinel
Las reglas de Microsoft Sentinel ayudan a detectar amenazas y comportamientos anómalos en el entorno. Durante la fase de análisis y diseño:
- Revise las reglas existentes. Determine qué reglas de análisis integradas existen para SAP y Microsoft Sentinel.
- Establezca el ámbito. Defina el ámbito y los casos de uso para su situación.
- Establezca criterios de regla. Establezca criterios para la identificación y priorización de reglas.
- Clasifique por orden de prioridad las reglas. Identifique y priorice las reglas para la implementación.
Las siguientes consideraciones de diseño también se aplican:
Para identificar falsos positivos y ajustar la lógica de consulta y las entradas de la lista de reproducción en consecuencia, establezca un proceso para revisar y validar alertas.
Use listas de reproducción para correlacionar los datos de un origen de datos con los eventos del entorno de Microsoft Sentinel.
- Por ejemplo, puede crear una lista de seguimiento con una lista de recursos de alto valor, de empleados que ya no trabajen para usted o de cuentas de servicio en su entorno.
- Las reglas existentes usan listas de reproducción estáticas que contienen una lista de usuarios. Sin embargo, puede configurar reglas para proporcionar a Microsoft Sentinel un origen de datos dinámico actualizable de los recursos que evalúa Microsoft Sentinel.
- Las reglas analíticas aprovechan la lista de reproducción de SAP_User_Config. Por ejemplo, si un usuario genera un número excesivo de alertas, el usuario se agrega a la lista de reproducción con etiquetas, como
MassiveLogonsOKoMassiveRFCOK, para evitar problemas.
Use los libros integrados para identificar brechas en los datos y supervisar el estado del sistema.
Use reglas de filtración para supervisar la pérdida de datos. Para más información, consulte Reglas de filtración de datos y Nuevas reglas de detección de filtración de datos.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de