你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件

本文列出了部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序所需的先决条件。

部署里程碑

通过以下系列文章跟踪 SAP 解决方案部署过程:

  1. 部署概述

  2. 部署先决条件(你目前位于此位置)

  3. 跨多个工作区使用解决方案(预览版)

  4. 准备 SAP 环境

  5. 配置审核

  6. 从内容中心部署解决方案内容

  7. 部署数据连接器代理

  8. 配置适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序

  9. 可选部署步骤

先决条件表

若要成功部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序,必须满足以下先决条件:

Azure 先决条件

先决条件 说明 必需/可选
访问 Microsoft Sentinel 记下 Microsoft Sentinel 工作区 ID 和主密钥。
可以在 Microsoft Sentinel 中找到这些详细信息:从导航菜单中,选择“设置”>“工作区设置”>“代理管理”。 复制工作区 ID 和主密钥,然后将它们粘贴到一边,以便在部署过程中使用。
必须
创建 Azure 资源的权限 至少,必须具有从 Microsoft Sentinel 内容中心部署解决方案所需的权限。 有关详细信息,请参阅 Microsoft Sentinel 内容中心目录 - 如果计划通过 UI 部署数据连接器代理,则为必需。
- 如果计划使用其他方法部署数据连接器代理,则为可选。
创建 Azure Key Vault 或访问现有 Key Vault 的权限 使用 Azure Key Vault 存储连接到 SAP 系统所需的机密(如果这是必需的先决条件,则推荐使用)。 有关详细信息,请参阅 Azure Key Vault 文档 - 如果计划通过 UI 部署数据连接器代理,则为必需。
- 如果计划使用其他方法部署数据连接器代理,则为可选。

系统先决条件

先决条件 说明
系统体系结构 SAP 解决方案的数据连接器组件作为 Docker 容器进行部署,每个 SAP 客户端都需要自己的容器实例。
容器主机可以是物理计算机或虚拟机,可以位于本地或任何云中。
托管容器的 VM 不必与你的 Microsoft Sentinel 工作区位于同一 Azure 订阅中,甚至不必位于同一 Microsoft Entra 租户中
虚拟机大小调整建议 最小规格,例如用于实验室环境:
Standard_B2s VM,包括:
- 2 个核心
- 4 GB RAM

标准连接器(默认):
Standard_D2as_v5 VM 或
Standard_D2_v5 VM,带有:
- 2 个核心
- 8 GB RAM

多个连接器:
Standard_D4as_v5 或
Standard_D4_v5 VM,带有:
- 4 个核心
- 16 GB RAM
管理权限 容器主机需要管理权限(根)。
支持的 Linux 版本 已使用以下 Linux 分发版测试了 SAP 数据连接器代理:
- Ubuntu 18.04 或更高版本
- SLES 版本 15 或更高版本
- RHEL 版本 7.7 或更高版本

如果你有其他操作系统,可能需要手动部署和配置容器,而不是使用 kickstart 脚本。
网络连接 确保容器主机有权访问:
Microsoft Sentinel-
- Azure 密钥保管库(Azure 密钥保管库用于存储机密的部署场景)
通过以下 TCP 端口的 SAP 系统:32xx、5xx13、33xx、48xx(使用 SNC 时),其中 xx 是 SAP 实例编号。
软件实用工具 SAP 数据连接器部署脚本在容器主机 VM 上安装以下必需的软件(根据所使用的 Linux 发行版,列表可能会略有不同):
- Unzip
- NetCat
- Docker
- jq
- curl

SAP 先决条件

先决条件 说明
支持的 SAP 版本 SAP 数据连接器代理支持 SAP NetWeaver 系统,已在 SAP_BASIS 版本 731 及更高版本上测试过。

如果你使用的是较旧的 SAP_BASIS 版本 740,本教程中的特定步骤提供了其他说明。
所需软件 SAP NetWeaver RFC SDK 7.50(在此处下载
请确保你还拥有 SAP 用户帐户,以便访问 SAP 软件下载页面。
SAP 系统详细信息 请记下以下 SAP 系统详细信息以供本教程使用:
- SAP 系统 IP 地址和 FQDN 主机名
- SAP 系统编号,如 00
- 来自 SAP NetWeaver 系统的 SAP 系统 ID(例如 NPL
- SAP 客户端 ID,如 001
SAP NetWeaver 实例访问权限 SAP 数据连接器代理使用以下机制之一向 SAP 系统进行身份验证:
- SAP ABAP 用户/密码
- 拥有 X.509 证书的用户(此选项需要额外的配置步骤)

SAP 环境验证步骤

注意

部署 SAP CR 并配置授权指南中提供了有关部署 CR 和分配所需角色的分步说明。 确定需要部署哪些 CR,从下表中的链接中检索相关的 CR,然后转到分步指南。

创建和配置角色(必需)

若要使 SAP 数据连接器可以连接到 SAP 系统,必须创建角色。 通过部署 CR NPLK900271 或通过从 MSFTSEN_SENTINEL_CONNECTOR_ROLE_V0.0.27.SAP 文件加载角色授权来创建角色。

注意

或者,可以通过部署更改请求 NPLK900268 或从 MSFTSEN_SENTINEL_AGENT_BASIC_ROLE_V0.0.1.SAP 文件加载角色授权来创建具有最小权限的角色。 此更改请求或授权文件会创建 /MSFTSEN/SENTINEL_AGENT_BASIC 角色。 此角色具有数据连接器运行所需的最低权限。 请注意,如果选择部署此角色,可能需要经常更新它。

有经验的 SAP 管理员可以选择手动创建角色并为其分配适当的权限。 在这种情况下,不必部署 CR NPLK900271,但必须改用专家:部署 SAP CR 并部署所需的 ABAP 授权中所述的建议创建角色。

SAP Basis 版本 示例 CR
任何版本 NPLK900271:K900271.NPLR900271.NPL

从 SAP 检索其他信息(可选)

可以从 Microsoft Sentinel GitHub 存储库部署其他 CR,使 SAP 数据连接器能够从 SAP 系统检索特定信息。

  • SAP BASIS 7.5 SP12 及更高版本:安全审核日志中的客户端 IP 地址信息
  • 任何 SAP BASIS 版本:DB 表日志、池输出日志
SAP Basis 版本 建议的 CR 说明
- 750 及更高版本 NPLK900202:K900202.NPLR900202.NPL 部署相关的 SAP 说明
- 740 NPLK900201:K900201.NPLR900201.NPL

部署 SAP 说明(可选)

如果选择使用 NPLK900202 可选 CR 检索其他信息,请确保在 SAP 系统中根据其版本部署以下 SAP 说明:

SAP Basis 版本 说明
- 750 SP04 到 SP12
- 751 SP00 到 SP06
- 752 SP00 到 SP02
2641084 - 对安全审核日志数据的标准化读取访问*

后续步骤

验证满足所有先决条件后,继续下一步,将所需的 CR 部署到你的 SAP 系统并配置授权。