Microsoft Sentinel untuk SAP di Azure
Artikel ini adalah bagian dari seri artikel "SAP extend and innovate security: Best practices".
- SQL Server keamanan database untuk SAP di Azure
- Microsoft Sentinel untuk SAP di Azure
- Operasi keamanan untuk SAP di Azure
Artikel ini menguraikan pertimbangan desain utama untuk menyebarkan agen dengan menggunakan solusi Microsoft Azure Sentinel untuk aplikasi SAP, server aplikasi SAP, server database SAP Hana, dan aturan Microsoft Azure Sentinel.
Prasyarat untuk skenario ini:
- Untuk mengumpulkan data dari sistem SAP, Anda harus menyebarkan konektor SAP Microsoft Sentinel.
- Anda harus menyebarkan konektor terpisah untuk setiap pengidentifikasi keamanan SAP (SID) dan kombinasi nomor klien.
Mempertimbangkan rancangan
Lihat pertimbangan desain berikut untuk setiap komponen.
Solusi Microsoft Azure Sentinel untuk aplikasi SAP
Topologi arsitektur SAP dapat memiliki beberapa produk SAP yang tersebar di beberapa ID sistem, klien, dan nomor instans. Arsitektur mungkin memiliki beberapa server ABAP front-end, tetapi hanya memerlukan satu koneksi server ABAP. Pertimbangkan untuk menyambungkan ke server pesan SAP, yang merutekan konektor ke server ABAP yang benar dan mengumpulkan data untuk sistem SAP Anda.
Konektor disebarkan sebagai kontainer Docker pada komputer virtual host (VM) atau server fisik. Kontainer konektor mendukung penyebaran pada komputer lokal dan VM berbasis Azure. Konektor data tidak mendukung konfigurasi ketersediaan tinggi di luar kotak. Jika skenario Anda memerlukan opsi ketersediaan tinggi, pertimbangkan untuk menyebarkan kontainer konektor ke dalam kluster Kubernetes atau di Azure Kubernetes Service (AKS).
Untuk konfigurasi langkah demi langkah AKS, lihat Menyebarkan Pemantauan Ancaman Microsoft Sentinel untuk agen SAP ke dalam kluster AKS atau Kubernetes.
Catatan
Anda hanya dapat mencapai ketersediaan tinggi untuk konektor data dengan menggunakan penyebaran AKS atau Kubernetes.
Kluster Kubernetes hanya mendukung satu konektor data yang mengambil data dari sistem SAP dan mengirim data ke satu ruang kerja Analitik Log. Jika Anda menjalankan beberapa pod dalam kluster Kubernetes yang terhubung ke sistem SAP yang sama dan mengirim data ke ruang kerja Log Analytics yang sama, beberapa salinan data dikirim, yang dapat mengakibatkan peningkatan biaya untuk retensi data.
Saat Anda menggunakan kontainer Docker, semua data dari sistem SAP masuk ke satu ruang kerja Analitik Log.
Server yang menghosting agen konektor harus terhubung ke semua server ABAP yang memerlukan pengambilan data. Misalnya, konektor harus merutekan dan menyambungkan ke server ABAP target dengan menggunakan port. Untuk informasi selengkapnya, lihat Prasyarat penyebaran untuk solusi Microsoft Sentinel untuk SAP.
Gunakan pemberitahuan Microsoft Azure Sentinel, seperti Microsoft Teams, email, atau pemberitahuan seluler.
Ketika beberapa konektor dihosting pada satu komputer:
- Pola penamaan kontainer adalah
sapcon-<SID>, sehingga Anda tidak dapat terhubung ke beberapa sistem dengan SID yang sama. - Jika Anda terhubung ke beberapa sistem yang memiliki ID klien yang berbeda, gunakan
--multi-clientssakelar yang tidak terdokumentasi saat Anda menjalankan skrip kickstart. Kontainer yang dibuat memiliki polasapcon-<SID>-<client>penamaan . - Ketika Anda terhubung ke beberapa sistem yang memiliki SID yang sama dan ID klien yang sama, konektor harus disebarkan pada host yang berbeda. Sistem mungkin memiliki nomor sistem yang berbeda. Konektor juga harus disebarkan pada host yang berbeda untuk beberapa lingkungan sistem, seperti produksi, pengembangan, atau pengujian, yang menggunakan SID, ID klien, atau nomor sistem yang sama. Data Analitik Log dari sistem ini tidak dapat dibedakan. Saat Anda bekerja dengan sistem yang memiliki SID, ID klien, atau nomor sistem yang identik, gunakan ruang kerja Analitik Log yang berbeda untuk membedakan data.
- Pola penamaan kontainer adalah
Server aplikasi SAP
- Gunakan konektor SAP untuk menyambungkan server ABAP ke Microsoft Azure Sentinel.
- Instal konektor SAP pada komputer virtual terpisah.
- Setiap sistem SAP dengan ID sistem unik memerlukan konektor SAP terpisah.
- Simpan kredensial di Azure Key Vault.
- Untuk menarik data di setiap sistem SAP, tetapkan peran dan otorisasi yang tepat yang khusus untuk integrasi Microsoft Azure Sentinel.
- Dalam sistem SAP yang dipantau, aktifkan pengelogan perubahan tabel SAP dan pengelogan ABAP.
- Menyempurnakan konektor SAP untuk menghindari cadangan pendek dan menarik jumlah data yang tepat.
- Untuk menghilangkan positif palsu, terapkan proses berulang untuk menyempurnakan pemberitahuan di Microsoft Azure Sentinel. Misalnya, izinkan pengguna tertentu untuk menjalankan kueri sensitif.
Server database SAP Hana
Microsoft Azure Sentinel mengandalkan log yang didorong ke ruang kerjanya oleh SAP Hana melalui protokol pengelogan sistem (syslog). Tidak ada konektor SAP dalam skenario ini.
Untuk mendorong syslog SAP Hana ke ruang kerja Microsoft Azure Sentinel, instal Agen Azure Monitor sejajar dengan versi standar Microsoft Operations Management Suite. Secara default, Operations Management Suite mendorong data ke ruang kerja telemetri. Anda dapat mengalihkan log Agen Azure Monitor ke ruang kerja Microsoft Azure Sentinel.
Secara default, jejak audit SAP Hana ditulis ke tabel database yang disebut CSTABLE. Tim keamanan menggunakan fungsionalitas, seperti menangkap login pemadam kebakaran, untuk menggunakan log audit dari database. Anda tidak dapat menunjuk kembali pengelogan default ke syslog, tetapi Anda dapat mengalihkan jejak audit yang berbeda ke target yang berbeda, sehingga semua kebijakan audit terkait Microsoft Azure Sentinel menunjuk ke tingkat pemberitahuan. Saat Anda menerapkan perubahan ini, semua log tingkat pemberitahuan masuk ke syslog.
Aturan Microsoft Azure Sentinel
Aturan Microsoft Azure Sentinel membantu menemukan ancaman dan perilaku anomali di lingkungan Anda. Selama fase analisis dan desain:
- Tinjau aturan yang ada. Tentukan aturan analitik bawaan mana yang ada untuk SAP dan Microsoft Azure Sentinel.
- Menetapkan cakupan. Tentukan cakupan dan kasus penggunaan untuk situasi Anda.
- Menetapkan kriteria aturan. Menetapkan kriteria untuk identifikasi dan prioritas aturan.
- Memprioritaskan aturan. Identifikasi dan prioritaskan aturan untuk implementasi.
Pertimbangan desain berikut juga berlaku:
Untuk mengidentifikasi positif palsu dan menyesuaikan logika kueri dan entri daftar pengawasan yang sesuai, buat proses untuk meninjau dan memvalidasi pemberitahuan.
Gunakan daftar pengawasan untuk menghubungkan data dari sumber data dengan peristiwa di lingkungan Microsoft Azure Sentinel Anda.
- Misalnya, Anda dapat membuat daftar tonton dengan daftar aset bernilai tinggi, karyawan yang diberhentikan, atau akun layanan di lingkungan Anda.
- Aturan yang ada menggunakan daftar pengawasan statis yang berisi daftar pengguna. Tetapi Anda dapat mengonfigurasi aturan untuk memberi Microsoft Azure Sentinel sumber data dinamis aset yang dapat disegarkan yang dievaluasi Microsoft Azure Sentinel.
- Aturan analitik memanfaatkan daftar tonton SAP_User_Config. Misalnya, jika pengguna menghasilkan jumlah pemberitahuan yang berlebihan, pengguna ditambahkan ke daftar pengawasan dengan tag, seperti
MassiveLogonsOKatauMassiveRFCOK, untuk mencegah gangguan.
Gunakan buku kerja bawaan untuk mengidentifikasi celah dalam data dan memantau kesehatan sistem.
Gunakan aturan eksfiltrasi untuk memantau kehilangan data. Untuk informasi selengkapnya, lihat Aturan penyelundupandata dan Aturan deteksi penyelundupan data baru.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk