Развертывание решения Microsoft Sentinel для SAP BTP
В этой статье описывается развертывание решения Microsoft Sentinel для системы SAP Business Technology Platform (BTP). Решение Microsoft Sentinel для мониторов SAP BTP и защищает систему SAP BTP. Он собирает журналы аудита и журналы действий из инфраструктуры BTP и приложений на основе BTP, а затем обнаруживает угрозы, подозрительные действия, нелегитимные действия и многое другое. Дополнительные сведения о решении.
Внимание
Решение Microsoft Sentinel для решения SAP BTP в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Необходимые компоненты
Прежде чем начать, убедитесь, что:
- Решение Microsoft Sentinel включено.
- У вас есть определенная рабочая область Microsoft Sentinel, и у вас есть разрешения на чтение и запись в рабочую область.
- Ваша организация использует SAP BTP (в среде Cloud Foundry) для упрощения взаимодействия с приложениями SAP и другими бизнес-приложениями.
- У вас есть учетная запись SAP BTP (которая поддерживает учетные записи BTP в среде Cloud Foundry). Вы также можете использовать пробную учетную запись SAP BTP.
- У вас есть служба управления аудитом SAP BTP и ключ службы (см. раздел "Настройка учетной записи И решения BTP").
- У вас есть роль участника Microsoft Sentinel в целевой рабочей области Microsoft Sentinel.
Настройка учетной записи И решения BTP
Чтобы настроить учетную запись BTP и решение, выполните следующие действия.
После входа в учетную запись BTP (см . предварительные требования), выполните действия по извлечению журнала аудита в системе SAP BTP.
В кабине SAP BTP выберите службу управления журналами аудита.
Создайте экземпляр службы управления журналами аудита в подсчетной учетной записи BTP.
Создайте ключ службы и запишите значения для
url,uaa.clientidиuaa.clientecretuaa.url. Эти значения необходимы для развертывания соединителя данных.Ниже приведены примеры следующих значений полей:
- URL-адрес:
https://auditlog-management.cfapps.us10.hana.ondemand.com - uaa.clientid:
sb-ac79fee5-8ad0-4f88-be71-d3f9c566e73a!b136532|auditlog-management!b1237 - uaa.clientsecret:
682323d2-42a0-45db-a939-74639efde986$gR3x3ohHTB8iyYSKHW0SNIWG4G0tQkkMdBwO7lKhwcQ= - uaa.url:
https://915a0312trial.authentication.us10.hana.ondemand.com
- URL-адрес:
Войдите на портал Azure.
Перейдите в службу Microsoft Sentinel.
Выберите центр контента и в строке поиска найдите BTP.
Выберите SAP BTP.
Выберите Установить.
Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".
Нажмите кнопку создания.
Выберите группу ресурсов и рабочую область Microsoft Sentinel, в которой необходимо развернуть решение.
Нажмите кнопку "Далее ", пока не пройдете проверку, а затем нажмите кнопку "Создать".
По завершении развертывания решения вернитесь в рабочую область Microsoft Sentinel и выберите соединители данных.
В строке поиска введите BTP и выберите SAP BTP.
Выберите Открыть страницу соединителя.
На странице соединителя убедитесь, что выполнены необходимые предварительные требования и выполните действия по настройке. Когда вы будете готовы, нажмите кнопку "Добавить учетную запись".
Укажите параметры, определенные ранее во время настройки. Указанное имя подсчета проецируется в виде столбца в
SAPBTPAuditLog_CLтаблице и может использоваться для фильтрации журналов при наличии нескольких подсчетных записей.Примечание.
Получение аудита для глобальной учетной записи не автоматически извлекает аудит для подсчета. Выполните действия по настройке соединителя для каждой из подсчетов, которые вы хотите отслеживать, а также выполните следующие действия для глобальной учетной записи. Просмотрите эти рекомендации по настройке аудита учетной записи.
Убедитесь, что журналы BTP передаются в рабочую область Microsoft Sentinel:
- Войдите в подсчет BTP и выполните несколько действий, которые создают журналы, такие как входы, добавление пользователей, изменение разрешений и изменение параметров.
- Разрешите 20–30 минут для запуска потоков журналов.
- На странице соединителя SAP BTP убедитесь, что Microsoft Sentinel получает данные BTP или запрашивает таблицу SAPBTPAuditLog_CL напрямую.
Включите книгу и правила аналитики, предоставляемые в рамках решения, следуя этим рекомендациям.
Рассмотрите конфигурации аудита учетной записи
Последним шагом процесса развертывания является рассмотрение глобальных учетных записей и конфигураций аудита подсчета.
Конфигурация аудита глобальной учетной записи
Если включить получение журнала аудита в кабине BTP для глобальной учетной записи: если подсчет, для которого требуется получить право на управление журналами аудита, находится в каталоге, необходимо сначала указать службу на уровне каталога. Только после этого можно получить право на службу на уровне подсчета.
Конфигурация аудита подсчетной учетной записи
Чтобы включить аудит для подсчетной учетной записи, выполните действия, описанные в документации по API получения аудита подсчетов SAP.
В документации по API описывается включение извлечения журнала аудита с помощью интерфейса командной строки Cloud Foundry.
Журналы также можно получить с помощью пользовательского интерфейса:
- В подсчете в SAP Service Marketplace создайте экземпляр службы управления журналами аудита.
- В новом экземпляре создайте ключ службы.
- Просмотрите ключ службы и получите необходимые параметры из шага 4 инструкций по настройке в пользовательском интерфейсе соединителя данных (url, uaa.url, uaa.clientid и uaa.clientecret).
Поворот секрета клиента BTP
Рекомендуется периодически поворачивать секреты клиента подсчетной учетной записи BPT. В следующем примере скрипта демонстрируется процесс обновления существующего соединителя данных с новым секретом, полученным из Azure Key Vault.
Перед началом сбора значений, необходимых для параметров скриптов, в том числе:
- Идентификатор подписки, группа ресурсов и имя рабочей области для рабочей области Microsoft Sentinel.
- Хранилище ключей и имя секрета хранилища ключей.
- Имя соединителя данных, который требуется обновить с помощью нового секрета. Чтобы определить имя соединителя данных, откройте соединитель данных SAP BPT на странице соединителей данных Microsoft Sentinel. Имя соединителя данных имеет следующий синтаксис: BTP_{имя соединителя}
param(
[Parameter(Mandatory = $true)] [string]$subscriptionId,
[Parameter(Mandatory = $true)] [string]$workspaceName,
[Parameter(Mandatory = $true)] [string]$resourceGroupName,
[Parameter(Mandatory = $true)] [string]$connectorName,
[Parameter(Mandatory = $true)] [string]$clientId,
[Parameter(Mandatory = $true)] [string]$keyVaultName,
[Parameter(Mandatory = $true)] [string]$secretName
)
# Import the required modules
Import-Module Az.Accounts
Import-Module Az.KeyVault
try {
# Login to Azure
Login-AzAccount
# Retrieve BTP client secret from Key Vault
$clientSecret = (Get-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName).SecretValue
if (!($clientSecret)) {
throw "Failed to retrieve the client secret from Azure Key Vault"
}
# Get the connector from data connectors API
$path = "/subscriptions/{0}/resourceGroups/{1}/providers/Microsoft.OperationalInsights/workspaces/{2}/providers/Microsoft.SecurityInsights/dataConnectors/{3}?api-version=2024-01-01-preview" -f $subscriptionId, $resourceGroupName, $workspaceName, $connectorName
$connector = (Invoke-AzRestMethod -Path $path -Method GET).Content | ConvertFrom-Json
if (!($connector)) {
throw "Failed to retrieve the connector"
}
# Add the updated client ID and client secret to the connector
$connector.properties.auth | Add-Member -Type NoteProperty -Name "clientId" -Value $clientId
$connector.properties.auth | Add-Member -Type NoteProperty -Name "clientSecret" -Value ($clientSecret | ConvertFrom-SecureString -AsPlainText)
# Update the connector with the new auth object
Invoke-AzRestMethod -Path $path -Method PUT -Payload ($connector | ConvertTo-Json -Depth 10)
}
catch {
Write-Error "An error occurred: $_"
}