Microsoft Sentinel mit SAP RISE

  • 10 Minuten

Mit der SAP RISE-zertifizierten Microsoft Sentinel-Lösung für SAP-Anwendungen können Sie verdächtige Aktivitäten überwachen, erkennen und darauf reagieren. Microsoft Sentinel schützt Ihre kritischen Daten vor komplexen Cyberangriffen für SAP-Systeme, die in Azure, anderen Clouds oder einer lokalen Infrastruktur gehostet werden. Die Microsoft Sentinel-Lösung für SAP BTP erweitert diese Abdeckung auf die SAP Business Technology Platform (BTP).

Die Lösung ermöglicht es Ihnen, Die Benutzeraktivitäten auf SAP RISE/ECS und den SAP-Geschäftslogikebenen sichtbar zu machen und die integrierten Inhalte von Microsoft Sentinel anzuwenden.

  • Verwenden Sie eine einzige Konsole, um alle Ihre Unternehmensressourcen zu überwachen, einschließlich SAP-Instanzen in SAP RISE/ECS in Azure und anderen Clouds, SAP Azure Native und lokalem Besitz.
  • Erkennen und reagieren Sie automatisch auf Bedrohungen: Erkennen Sie verdächtige Aktivitäten, einschließlich Berechtigungseskalation, nicht autorisierte Änderungen, sensible Transaktionen, Datenexfiltration und mehr mit sofort einsatzbereiten Erkennungsfunktionen.
  • Korrelieren Sie SAP-Aktivitäten mit anderen Signalen: Erkennen Sie SAP-Bedrohungen präziser, indem Sie Daten über Endpunkte hinweg, Microsoft Entra-Daten und mehr korrelieren.
  • Passen Sie basierend auf Ihren Anforderungen an – erstellen Sie eigene Erkennungen, um vertrauliche Transaktionen und andere Geschäftsrisiken zu überwachen.
  • Visualisieren Sie die Daten mit integrierten Arbeitsmappen.

Diagramm, das zeigt, wie Microsoft Sentinel mit SAP RISE/ECS verbunden wird.

Dieses Diagramm zeigt ein Beispiel für Microsoft Sentinel, das über eine zwischengeschaltete VM oder einen Container mit SAP-verwaltetem SAP-System verbunden ist. Die zwischengeschaltete VM oder der Container wird im eigenen Abonnement des Kunden mit konfigurierten SAP-Datenconnector-Agent ausgeführt. Die Verbindung mit der SAP Business Technology Platform (BTP) verwendet die öffentlichen APIs von SAP für den Überwachungsprotokollverwaltungsdienst.

Für SAP RISE/ECS muss die Microsoft Sentinel-Lösung im Azure-Abonnement des Kunden bereitgestellt werden. Alle Teile der Microsoft Sentinel-Lösung werden vom Kunden und nicht von SAP verwaltet. Um die von SAP RISE/ECS verwalteten SAP-Landschaften zu erreichen, ist eine private Netzwerkkonnektivität vom vnet des Kunden erforderlich. In der Regel erfolgt diese Verbindung über das bestehende vnet-Peering oder über die in diesem Dokument beschriebenen Alternativen.

Um die Lösung zu aktivieren, ist nur ein autorisierter RFC-Benutzer erforderlich, und auf den SAP-Systemen muss nichts installiert werden. Der containerbasierte SAP-Datensammlungs-Agent , der in der Lösung enthalten ist, kann entweder auf vm oder AKS/jeder Kubernetes-Umgebung installiert werden. Der Collector-Agent verwendet einen SAP-Dienstbenutzer, um Anwendungsprotokolldaten aus Ihrer SAP-Landschaft über die RFC-Schnittstelle mithilfe von STANDARD RFC-Aufrufen zu nutzen.

  • In SAP RISE unterstützte Authentifizierungsmethoden: SAP-Benutzername und -Kennwort oder X509/SNC-Zertifikate.
  • Derzeit sind nur RFC-basierte Verbindungen mit SAP RISE/ECS-Umgebungen möglich.

Von Bedeutung

  • Zum Ausführen von Microsoft Sentinel in einer SAP RISE/ECS-Umgebung ist Folgendes erforderlich: Import einer SAP-Transportänderungsanforderung für die folgenden Protokollfelder/Quelle: Client-IP-Adressinformationen aus dem SAP-Sicherheitsüberwachungsprotokoll, Datenbanktabellenprotokolle (Vorschau), Spool-Ausgabeprotokoll. Die integrierten Inhalte von Microsoft Sentinel (Erkennungen, Arbeitsmappen und Playbooks) bieten umfassende Abdeckung und Korrelation ohne diese Protokollquellen.
  • SAP-Infrastruktur- und Betriebssystemprotokolle sind aufgrund des Modells für gemeinsame Verantwortung nicht für Microsoft Sentinel in RISE verfügbar.