Share via

Microsoft Sentinel для SAP в Azure

  • Статья

Эта статья входит в серию статей SAP "Расширение и внедрение инноваций в систему безопасности: рекомендации".

В этой статье описываются основные рекомендации по проектированию для развертывания агентов с помощью решения Microsoft Sentinel для приложений SAP, серверов приложений SAP, серверов баз данных SAP HANA и правил Microsoft Sentinel.

Предварительные требования для данного сценария

  • Для сбора данных из систем SAP необходимо развернуть соединитель SAP Microsoft Sentinel.
  • Необходимо развернуть отдельный соединитель для каждого сочетания идентификатора безопасности (SID) SAP и номера клиента.

Рекомендации по проектированию

Ознакомьтесь со следующими рекомендациями по проектированию для каждого компонента.

Решение Microsoft Sentinel для приложений SAP

  • Топология архитектуры SAP может иметь несколько продуктов SAP, распределенных по нескольким идентификаторам системы, клиентам и номерам экземпляров. Архитектура может иметь несколько интерфейсных серверов ABAP, но для нее требуется только одно подключение к серверу ABAP. Рассмотрите возможность подключения к серверу сообщений SAP, который направляет соединитель на правильный сервер ABAP и собирает данные для системы SAP.

  • Соединитель развертывается как контейнер Docker на виртуальной машине узла или физическом сервере. Контейнер соединителя поддерживает развертывание на локальном компьютере и виртуальной машине на основе Azure. Соединитель данных не поддерживает конфигурацию высокого уровня доступности. Если для вашего сценария требуется высокий уровень доступности, рассмотрите возможность развертывания контейнера соединителя в кластере Kubernetes или на Служба Azure Kubernetes (AKS).

    Пошаговую настройку AKS см. в статье Развертывание мониторинга угроз Microsoft Sentinel для агента SAP в AKS или кластере Kubernetes.

    Примечание

    Высокий уровень доступности для соединителя данных можно достичь только с помощью развертывания AKS или Kubernetes.

  • Кластер Kubernetes поддерживает только один соединитель данных, который получает данные из системы SAP и отправляет их в одну рабочую область Log Analytics. При запуске нескольких модулей pod в кластере Kubernetes, которые подключаются к одной и той же системе SAP и отправляют данные в одну и ту же рабочую область Log Analytics, отправляются несколько копий данных, что может привести к увеличению расходов на хранение данных.

  • При использовании контейнеров Docker все данные из системы SAP попадают в одну рабочую область Log Analytics.

  • Сервер, на котором размещаются агенты соединителя, должен подключаться ко всем серверам ABAP, для которых требуется получение данных. Например, соединитель должен маршрутизировать и подключаться к целевым серверам ABAP с помощью портов. Дополнительные сведения см. в статье Предварительные требования к развертыванию для решений Microsoft Sentinel для SAP.

  • Используйте оповещения Microsoft Sentinel, такие как Microsoft Teams, электронная почта или мобильные оповещения.

  • При размещении нескольких соединителей на одном компьютере:

    • Шаблон именования контейнера — , поэтому вы не можете подключиться sapcon-<SID>к нескольким системам с одинаковым идентификатором безопасности.
    • Если вы подключаетесь к нескольким системам с разными идентификаторами клиентов, используйте незарегистрированный --multi-clients параметр при запуске скрипта kickstart. Созданный контейнер имеет шаблон sapcon-<SID>-<client>именования .
    • При подключении к нескольким системам с одинаковым идентификатором безопасности и идентификатором клиента соединитель должен быть развернут на разных узлах. Системы могут иметь разные системные номера. Соединитель также должен быть развернут на разных узлах для нескольких системных сред, таких как рабочая среда, разработка или тестирование, которые используют один и тот же идентификатор безопасности, идентификатор клиента или номер системы. Данные Log Analytics из этих систем неотличимы. При работе с системами с идентичными идентификаторами безопасности, идентификаторами клиентов или номерами системы используйте разные рабочие области Log Analytics для различения данных.

серверов приложений SAP,

  • Используйте соединитель SAP для подключения серверов ABAP к Microsoft Sentinel.
  • Установите соединитель SAP на отдельной виртуальной машине.
  • Для каждой системы SAP с уникальным идентификатором требуется отдельный соединитель SAP.
  • Храните учетные данные в azure Key Vault.
  • Чтобы извлечь данные в каждой системе SAP, назначьте соответствующие роли и разрешения, относящиеся к интеграции Microsoft Sentinel.
  • В отслеживаемых системах SAP включите ведение журнала изменений таблиц SAP и ведение журнала ABAP.
  • Точно настройте соединитель SAP, чтобы избежать коротких дампов и извлечь нужный объем данных.
  • Чтобы исключить ложные срабатывания, реализуйте итеративный процесс для точной настройки оповещений в Microsoft Sentinel. Например, разрешите избранным пользователям выполнять конфиденциальные запросы.

Сервер базы данных SAP HANA

  • Microsoft Sentinel использует журналы, отправленные в рабочую область SAP HANA с помощью системного протокола ведения журнала (syslog). В этом сценарии нет соединителей SAP.

  • Чтобы отправить системный журнал SAP HANA в рабочую область Microsoft Sentinel, установите агент Azure Monitor параллельно со стандартной версией Microsoft Operations Management Suite. По умолчанию Operations Management Suite отправляет данные в рабочую область телеметрии. Журналы агента Azure Monitor можно перенаправить в рабочую область Microsoft Sentinel.

  • По умолчанию журнал аудита SAP HANA записывается в таблицу базы данных CSTABLE. Группа безопасности использует такие функции, как запись имен входа пожарных, для использования журналов аудита из баз данных. Вы не можете перенаправить ведение журнала по умолчанию в системный журнал, но вы можете перенаправить различные журналы аудита в разные целевые объекты, чтобы все политики аудита, связанные с Microsoft Sentinel, указывали на уровень оповещений. При реализации этого изменения все журналы уровня оповещений переходят в системный журнал.

Правила Microsoft Sentinel

Правила Microsoft Sentinel помогают обнаруживать угрозы и аномальное поведение в вашей среде. На этапе анализа и проектирования:

  • Просмотрите существующие правила. Определите , какие встроенные правила аналитики существуют для SAP и Microsoft Sentinel.
  • Установите область. Определите область и варианты использования для вашей ситуации.
  • Установите критерии правила. Установите критерии для идентификации и определения приоритетов правил.
  • Определение приоритета правил. Определите и определите приоритеты правил для реализации.

Также применяются следующие рекомендации по проектированию.

  • Чтобы определить ложные срабатывания и соответствующим образом настроить логику запросов и записи списка отслеживания, установите процесс проверки и проверки оповещений.

  • Используйте списки отслеживания для корреляции данных из источника данных с событиями в среде Microsoft Sentinel.

    • Например, вы можете создать список видео к просмотру, содержащий ценные ресурсы, уволенных сотрудников или учетные записи служб в вашей среде.
    • Существующие правила используют статические списки отслеживания, содержащие список пользователей. Но вы можете настроить правила для предоставления Microsoft Sentinel обновляемого динамического источника данных ресурсов, которые оценивает Microsoft Sentinel.
    • Правила аналитики используют преимущества SAP_User_Config списка отслеживания. Например, если пользователь создает чрезмерное количество оповещений, он добавляется в список отслеживания с тегами, такими как MassiveLogonsOK или MassiveRFCOK, чтобы предотвратить помехи.

  • Используйте встроенные книги для выявления пробелов в данных и мониторинга работоспособности системы.

  • Используйте правила кражи для отслеживания потери данных. Дополнительные сведения см. в разделах Правила кражи данных и Новые правила обнаружения кражи данных.

Дальнейшие действия