Megosztás a következőn keresztül:

Az SAP BTP-hez készült Microsoft Sentinel-megoldás üzembe helyezése

  • Cikk

Ez a cikk azt ismerteti, hogyan helyezheti üzembe a Microsoft Sentinel-megoldást az SAP Business Technology Platform (BTP) rendszerhez. Az SAP BTP-hez készült Microsoft Sentinel-megoldás figyeli és védi az SAP BTP-rendszert. Naplókat és tevékenységnaplókat gyűjt a BTP-infrastruktúrából és a BTP-alapú alkalmazásokból, majd észleli a fenyegetéseket, a gyanús tevékenységeket, a törvénytelen tevékenységeket stb. További információ a megoldásról.

Fontos

Az SAP BTP-megoldáshoz készült Microsoft Sentinel-megoldás jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

Mielőtt hozzákezdene, ellenőrizze, hogy:

  • A Microsoft Sentinel-megoldás engedélyezve van.
  • Meghatározott Microsoft Sentinel-munkaterülettel rendelkezik, és olvasási és írási engedélyekkel rendelkezik a munkaterületen.
  • A szervezet az SAP BTP-t használja (felhőbeli öntödei környezetben) az SAP-alkalmazásokkal és más üzleti alkalmazásokkal való interakció gördülékenyebbé tételéhez.
  • Sap BTP-fiókkal rendelkezik (amely támogatja a BTP-fiókokat a Cloud Foundry környezetben). SAP BTP-próbafiókot is használhat.
  • Rendelkezik az SAP BTP auditlog-felügyeleti szolgáltatással és szolgáltatáskulcsával (lásd : A BTP-fiók és -megoldás beállítása).
  • A Microsoft Sentinel közreműködői szerepköre a cél Microsoft Sentinel-munkaterületen van.

A BTP-fiók és -megoldás beállítása

A BTP-fiók és a megoldás beállítása:

  1. Miután bejelentkezett a BTP-fiókjába (lásd az előfeltételeket), kövesse az SAP BTP rendszer naplózási naplójának lekérési lépéseit .

  2. Az SAP BTP-pilótafülkében válassza ki a naplózási naplókezelési szolgáltatást.

    A BTP naplózási naplókezelési szolgáltatás kiválasztását bemutató képernyőkép.

  3. Hozza létre a Naplózási naplókezelő szolgáltatás egy példányát a BTP-alfiókban.

    A BTP-alfiók egy példányának létrehozását bemutató képernyőkép.

  4. Hozzon létre egy szolgáltatáskulcsot, és rögzítse a url, uaa.clientid, uaa.clientecretés uaa.url. Ezek az értékek szükségesek az adatösszekötő telepítéséhez.

    Íme néhány példa a következő mezőértékekre:

    • URL-cím: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: sb-ac79fee5-8ad0-4f88-be71-d3f9c566e73a!b136532|auditlog-management!b1237
    • uaa.clientsecret: 682323d2-42a0-45db-a939-74639efde986$gR3x3ohHTB8iyYSKHW0SNIWG4G0tQkkMdBwO7lKhwcQ=
    • uaa.url: https://915a0312trial.authentication.us10.hana.ondemand.com

  5. Jelentkezzen be az Azure Portalra.

  6. Nyissa meg a Microsoft Sentinel szolgáltatást.

  7. Válassza a Tartalomközpont lehetőséget, és a keresősávon keresse meg a BTP-t.

  8. Válassza az SAP BTP-t.

  9. Válassza a Telepítés lehetőséget.

    A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.

  10. Válassza a Létrehozás lehetőséget.

    Képernyőkép az SAP BTP-hez készült Microsoft Sentinel-megoldás létrehozásáról.

  11. Válassza ki azt az erőforráscsoportot és a Microsoft Sentinel-munkaterületet, amelyben üzembe szeretné helyezni a megoldást.

  12. Válassza a Tovább gombot, amíg át nem adja az ellenőrzést, majd válassza a Létrehozás lehetőséget.

  13. Amikor a megoldás üzembe helyezése befejeződött, térjen vissza a Microsoft Sentinel-munkaterületre, és válassza az Adatösszekötők lehetőséget.

  14. A keresősávon adja meg a BTP-t, majd válassza az SAP BTP lehetőséget.

  15. Válassza az Összekötő megnyitása lap lehetőséget.

  16. Az összekötő oldalán győződjön meg arról, hogy megfelel a szükséges előfeltételeknek, és végezze el a konfigurációs lépéseket. Ha elkészült, válassza a Fiók hozzáadása lehetőséget.

  17. Adja meg a konfiguráció során korábban definiált paramétereket. A megadott alfióknév a tábla oszlopaként SAPBTPAuditLog_CL van kivetítve, és több alfiók esetén a naplók szűrésére használható.

    Feljegyzés

    A globális fiók naplózásainak lekérése nem kéri le automatikusan az alfiók naplózásait. Kövesse a monitorozni kívánt alfiókok összekötők konfigurációs lépéseit, és kövesse az alábbi lépéseket a globális fiók esetében is. Tekintse át ezeket a fióknaplózási konfigurációs szempontokat.

  18. Győződjön meg arról, hogy a BTP-naplók a Microsoft Sentinel-munkaterületre kerülnek:

    1. Jelentkezzen be a BTP-alfiókba, és futtasson néhány olyan tevékenységet, amely naplókat hoz létre, például bejelentkezéseket, felhasználók hozzáadását, engedélyek módosítását és beállítások módosítását.
    2. A naplók 20–30 perc alatt megkezdődnek.
    3. Az SAP BTP-összekötő oldalán ellenőrizze, hogy a Microsoft Sentinel megkapja-e a BTP-adatokat, vagy közvetlenül lekérdezi a SAPBTPAuditLog_CL táblát.

  19. Engedélyezze a munkafüzetet és a megoldás részeként megadott elemzési szabályokat az alábbi irányelvek követésével.

Fontolja meg a fiók naplózási konfigurációit

Az üzembe helyezési folyamat utolsó lépése a globális fiók és az alfiók naplózási konfigurációjának figyelembe vétele.

Globális fiók naplózási konfigurációja

Ha engedélyezi a naplózási naplók lekérését a globális fiók BTP-pilótafülkéjében: Ha az az alfiók, amelyhez engedélyezni szeretné a naplózási naplókezelési szolgáltatást, egy címtár alatt van, először a címtár szintjén kell engedélyeznie a szolgáltatást. Csak ezután jogosíthatja fel a szolgáltatást az alfiók szintjén.

Alfiók naplózási konfigurációja

Ha engedélyezni szeretné egy alfiók naplózását, hajtsa végre az SAP-alfiókok naplózási api-dokumentációjának lépéseit.

Az API dokumentációja leírja, hogyan engedélyezheti a naplózási naplók lekérését a Cloud Foundry parancssori felületével.

A naplókat a felhasználói felületen keresztül is lekérheti:

  1. Az SAP Service Marketplace-en található alfiókban hozzon létre egy auditnapló-kezelési szolgáltatáspéldányt.
  2. Az új példányban hozzon létre egy szolgáltatáskulcsot.
  3. Tekintse meg a szolgáltatáskulcsot, és kérje le a szükséges paramétereket az adatösszekötő felhasználói felületén található konfigurációs utasítások 4. lépéséből (url, uaa.url, uaa.clientid és uaa.clientsecret).

A BTP-ügyfél titkos kódjának elforgatása

Javasoljuk, hogy rendszeresen forgassa el a BPT-alfiók ügyfélkulcsát. Az alábbi példaszkript bemutatja egy meglévő adatösszekötő frissítésének folyamatát az Azure Key Vaultból lekért új titkos kóddal.

Mielőtt hozzákezd, gyűjtse össze a szkriptparaméterekhez szükséges értékeket, beleértve a következőket:

  • A Microsoft Sentinel-munkaterület előfizetés-azonosítója, erőforráscsoportja és munkaterületneve.
  • A kulcstartó és a kulcstartó titkos kulcsának neve.
  • A frissíteni kívánt adatösszekötő neve egy új titkos kóddal. Az adatösszekötő nevének azonosításához nyissa meg az SAP BPT adatösszekötőt a Microsoft Sentinel adatösszekötők lapján. Az adatösszekötő neve a következő szintaxissal rendelkezik: BTP_{connector name}
param(
    [Parameter(Mandatory = $true)] [string]$subscriptionId,
    [Parameter(Mandatory = $true)] [string]$workspaceName,
    [Parameter(Mandatory = $true)] [string]$resourceGroupName,
    [Parameter(Mandatory = $true)] [string]$connectorName,
    [Parameter(Mandatory = $true)] [string]$clientId,
    [Parameter(Mandatory = $true)] [string]$keyVaultName,
    [Parameter(Mandatory = $true)] [string]$secretName
)

# Import the required modules
Import-Module Az.Accounts
Import-Module Az.KeyVault

try {
    # Login to Azure
    Login-AzAccount

    # Retrieve BTP client secret from Key Vault
    $clientSecret = (Get-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName).SecretValue
    if (!($clientSecret)) {
        throw "Failed to retrieve the client secret from Azure Key Vault"
    }

    # Get the connector from data connectors API
    $path = "/subscriptions/{0}/resourceGroups/{1}/providers/Microsoft.OperationalInsights/workspaces/{2}/providers/Microsoft.SecurityInsights/dataConnectors/{3}?api-version=2024-01-01-preview" -f $subscriptionId, $resourceGroupName, $workspaceName, $connectorName
    $connector = (Invoke-AzRestMethod -Path $path -Method GET).Content | ConvertFrom-Json
    if (!($connector)) {
        throw "Failed to retrieve the connector"
    }

    # Add the updated client ID and client secret to the connector
    $connector.properties.auth | Add-Member -Type NoteProperty -Name "clientId" -Value $clientId
    $connector.properties.auth | Add-Member -Type NoteProperty -Name "clientSecret" -Value ($clientSecret | ConvertFrom-SecureString -AsPlainText)

    # Update the connector with the new auth object
    Invoke-AzRestMethod -Path $path -Method PUT -Payload ($connector | ConvertTo-Json -Depth 10)
}
catch {
    Write-Error "An error occurred: $_"
}

Kapcsolódó tartalom