다음을 통해 공유

SAP 시스템을 Microsoft Sentinel에 연결

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

SAP 애플리케이션용 Microsoft Sentinel 솔루션이 올바르게 작동하려면 먼저 SAP 데이터를 Microsoft Sentinel로 가져와야 합니다. Microsoft Sentinel SAP 데이터 커넥터 에이전트를 배포하거나 SAP용 Microsoft Sentinel 에이전트 없는 데이터 커넥터를 연결하여 이 작업을 수행합니다. 페이지 상단에서 사용자의 환경에 맞는 옵션을 선택합니다.

이 문서에서는 SAP 애플리케이션용 Microsoft Sentinel 솔루션 중 하나를 배포하는 세 번째 단계를 설명합니다.

중요합니다

SAP용 데이터 커넥터 에이전트는 2026년 9월 30일까지 영구적으로 비활성화될 예정입니다. 에이전트 리스 데이터 커넥터로 마이그레이션하는 것을 권장합니다. 에이전트리스 접근법에 대해 더 알고 싶다면 저희 블로그 글을 참고하세요.

SAP 시스템 연결 단계를 강조 표시하는 SAP 솔루션 배포 흐름의 다이어그램

이 문서의 콘텐츠는 사용자의 보안, 인프라, SAP BASIS 팀과 관련이 있습니다. 이 문서에 나와 있는 단계를 순서대로 수행하세요.

SAP 시스템 연결 단계를 강조 표시하는 SAP 솔루션 배포 흐름의 다이어그램

이 문서의 콘텐츠는 보안 팀과 관련이 있습니다.

필수 구성 요소

SAP 시스템을 Microsoft Sentinel에 연결하기 전에:

데모 비디오 보기

이 문서에 설명된 배포 프로세스에 대한 다음 비디오 데모 중 하나를 시청해 보세요.

포털 옵션에 대한 심층 분석:

Azure KeyVault 사용에 대한 자세한 내용을 포함합니다. 오디오 없음, 캡션만 있는 데모:

가상 머신 만들기 및 자격 증명에 대한 액세스 구성

최적의 성능을 보장하고 잠재적인 충돌을 방지하려면 데이터 커넥터 에이전트 컨테이너에 대한 전용 가상 머신을 만드는 것이 좋습니다. 자세한 내용은 데이터 커넥터 에이전트 컨테이너에 대한 시스템 필수 구성 요소를 참조하세요.

AZURE Key Vault에 SAP 및 인증 비밀을 저장하는 것이 좋습니다. 키 자격 증명 모음에 액세스하는 방법은 VM(가상 머신)이 배포된 위치에 따라 달라집니다.

배포 방법 액세스 방법
Azure VM의 컨테이너 Azure Key Vault에 액세스하려면 Azure 시스템이 할당한 관리 ID를 사용하는 것이 좋습니다.

시스템이 할당한 관리 ID를 사용할 수 없는 경우, 컨테이너는 Microsoft Entra ID에 등록된 애플리케이션 서비스 주체를 사용해 Azure Key Vault에 인증할 수 있으며, 최후의 수단으로는 구성 파일을 사용할 수도 있습니다.
온-프레미스 VM의 컨테이너 또는 타사 클라우드 환경의 VM Microsoft Entra ID에 등록된 애플리케이션 서비스 주체를 사용하여 Azure Key Vault에 인증합니다.

등록된 애플리케이션 또는 서비스 주체를 사용할 수 없는 경우, 구성 파일을 사용하여 자격 증명을 관리하지만 이 방법이 권장되지는 않습니다. 자세한 내용은 구성 파일을 사용하여 데이터 커넥터 배포를 참조하세요.

자세한 내용은 다음을 참조하세요.

가상 머신은 일반적으로 인프라 팀에서 만들어집니다. 자격 증명에 대한 액세스 구성 및 키 자격 증명 모음 관리는 일반적으로 보안 팀에서 수행합니다.

Azure VM에서 관리 ID 만들기

  1. 다음 명령을 실행하여 Azure에서 VM을 만듭니다(<placeholders> 환경에서 실제 이름으로 바꿈).

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    자세한 내용은 빠른 시작: Azure CLI를 사용하여 Linux 가상 머신 만들기를 참조하세요.

    중요합니다

    VM이 만들어지면 조직에서 적용할 수 있는 모든 보안 요구 사항 및 강화 절차를 적용해야 합니다.

    이 명령은 다음과 같은 출력을 생성하는 VM 리소스를 만듭니다.

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. 다음 단계에서 사용되므로 systemAssignedIdentity GUID를 복사합니다. 관리 ID입니다.

키 자격 증명 모음 만들기

이 절차에서는 SAP 인증 비밀을 포함하여 에이전트 구성 정보를 저장하는 키 자격 증명 모음을 만드는 방법을 설명합니다. 기존 키 자격 증명 모음을 사용하는 경우 2단계로 직접 건너뜁니다.

키 자격 증명 모음을 만들려면:

  1. <placeholder> 값을 실제 이름으로 바꾸어 다음 명령을 실행합니다.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. 키 자격 증명 모음의 이름과 해당 리소스 그룹의 이름을 복사합니다. 이러한 항목은 다음 단계에서 키 자격 증명 모음 액세스 정책을 할당하고 배포 스크립트를 실행할 때 필요합니다.

키 자격 증명 모음 액세스 권한 할당

  1. 키 자격 증명 모음에서 Azure Key Vault Secrets Reader 역할을 이전에 만들고 복사한 ID에 할당합니다.

  2. 동일한 키 자격 증명 모음에서 데이터 커넥터 에이전트를 구성하는 사용자에게 다음 Azure 역할을 할당합니다.

    • 에이전트를 배포하기 위한 Key Vault Contributor
    • 새로운 시스템에 추가하기 위한 Key Vault Secrets Officer

포털에서 데이터 커넥터 에이전트 배포(미리 보기)

이제 VM 및 Key Vault를 만들었습니다. 다음 단계는 새 에이전트를 만들고 SAP 시스템 중 하나에 연결하는 것입니다. 단일 머신에서 여러 데이터 커넥터 에이전트를 실행할 수 있지만, 처음에는 하나만 실행하고 성능을 모니터링한 다음 커넥터 수를 천천히 늘리는 것이 좋습니다.

이 절차에서는 Azure 또는 Defender 포털을 사용하여 새 에이전트를 만들고 SAP 시스템에 연결하는 방법을 설명합니다. security 팀이 SAP BASIS 팀의 도움을 받아 이 절차를 수행하는 것이 좋습니다.

Microsoft Sentinel이 Defender 포털에 온보딩되는 경우, Azure Portal과 Defender Portal 모두에서 포털에서 데이터 커넥터 에이전트를 배포할 수 있습니다.

명령줄에서도 배포가 지원되지만 일반적인 배포에는 포털을 사용하는 것이 좋습니다. 명령줄을 사용하여 배포된 데이터 커넥터 에이전트는 포털이 아닌 명령줄을 통해서만 관리할 수 있습니다. 자세한 내용은 명령줄에서 SAP 데이터 커넥터 에이전트 배포를 참조하세요.

중요합니다

포털에서 컨테이너 배포 및 SAP 시스템에 대한 연결 만들기는 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

필수 조건:

  • 포털을 통해 데이터 커넥터 에이전트를 배포하려면 다음이 필요합니다.

    • 관리 ID 또는 등록된 애플리케이션을 통한 인증
    • Azure Key Vault에 저장된 자격 증명

    이러한 필수 구성 요소가 없으면 대신 명령줄에서 SAP 데이터 커넥터 에이전트를 배포하세요.

  • 데이터 커넥터 에이전트를 배포하려면 데이터 커넥터 에이전트 머신에 대한 sudo 또는 루트 권한도 필요합니다.

  • SNC(Secure Network Communications)를 사용하여 보안 연결을 통해 Netweaver/ABAP 로그를 수집하려면 다음이 필요합니다.

    • sapgenpse 이진 및 libsapcrypto.so 라이브러리의 경로
    • 클라이언트 인증서의 세부 정보

    자세한 내용은 보안 연결에 SNC를 사용하도록 시스템 구성을 참조하세요.

데이터 커넥터 에이전트를 배포하려면:

  1. sudo 권한이 있는 사용자로 에이전트를 설치하는 새로 만든 VM에 로그인합니다.

  2. SAP NetWeaver SDK를 다운로드하고/또는 머신으로 전송합니다.

  3. Microsoft Sentinel에서 구성 > 데이터 커넥터를 선택합니다.

  4. 검색 창에 SAP를 입력합니다. 검색 결과에서 에이전트 기반 SAP용 Microsoft Sentinel 을 선택한 다음 커넥터 페이지를 엽니다.

  5. 구성 영역에서 새 에이전트 추가(미리 보기)를 선택합니다.

    SAP API 기반 수집기 에이전트를 추가하는 지침의 스크린샷

  6. 수집기 에이전트 만들기 창에서 다음 에이전트 세부 정보를 입력합니다.

    이름 설명
    에이전트 이름 사용자의 조직에 적합한 에이전트 이름을 입력하세요. 이름에 포함할 수 있는 문자 유형은 다음과 같으므로, 특정 명명 규칙은 권장하지 않습니다.
    • a-z
    • A-Z
    • 0-9
    • _(밑줄)
    • . (기간)
    • -(대시)
    구독 / 키 자격 증명 모음 구독을 선택하고 해당 드롭다운에서 키 자격 증명 모음을 선택합니다.
    에이전트 VM의 NWRFC SDK zip 파일 경로 SAP NetWeaver RFC(Remote Function Call) SDK(소프트웨어 개발 키트) 보관 파일(.zip 파일)이 포함된 VM에 경로를 입력합니다.

    이 경로가 <path>/NWRFC<version number>.zip 구문에 SDK 버전 번호를 포함하는지 확인합니다. 예: /src/test/nwrfc750P_12-70002726.zip
    SNC 연결 지원 사용 SNC를 사용하여 보안 연결을 통해 NetWeaver/ABAP 로그를 수집하도록 선택합니다.

    이 옵션을 선택하면 sapgenpselibsapcrypto.so 이진 및 라이브러리가 포함된 경로를 입력합니다.

    에이전트 배포를 완료한 후에는 돌아가 SNC 연결을 사용하도록 설정할 수 없으므로 SNC 연결을 사용하려는 경우 이 단계에서 SNC 연결 지원 사용을 선택해야 합니다. 나중에 이 설정을 변경하려면 대신 새 에이전트를 만드는 것이 좋습니다.
    Azure Key Vault에서 인증 관리 ID를 사용하여 키 자격 증명 모음에 인증하려면 관리 ID 기본 옵션을 선택한 상태로 둡니다. 등록된 애플리케이션을 사용하여 키 자격 증명 모음에 인증하려면 애플리케이션 ID를 선택합니다.

    관리 ID 또는 등록된 애플리케이션이 미리 설정되어 있어야 합니다. 자세한 내용은 가상 머신 만들기 및 자격 증명에 대한 액세스 구성을 참조하세요.

    예를 들면 다음과 같습니다.

    수집기 에이전트 만들기 영역의 스크린샷

  7. 만들기를 선택하고 배포를 완료하기 전에 권장 사항을 검토합니다.

    에이전트 배포의 마지막 단계 스크린샷

  8. SAP 데이터 커넥터 에이전트를 배포하려면 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할을 사용하여 Microsoft Sentinel 작업 영역에 대한 특정 권한으로 에이전트의 VM ID를 부여해야 합니다.

    이 단계에서 이 명령을 실행하려면 Microsoft Sentinel 작업 영역에서 리소스 그룹 소유자여야 합니다. 작업 영역에서 리소스 그룹 소유자가 아닌 경우 에이전트 배포가 완료된 후에도 이 절차를 수행할 수 있습니다.

    완료하기 전에 몇 가지 단계만 더 거치면 됩니다. 1단계의 역할 할당 명령을 복사하여 에이전트 VM에서 실행하고 [Object_ID] 자리 표시자를 VM ID 개체 ID로 바꿉니다. 예를 들면 다음과 같습니다.

    1단계의 명령에 대한 복사 아이콘의 스크린샷

    Azure에서 VM ID 개체 ID를 찾으려면:

    • 관리 ID의 경우 개체 ID는 VM의 ID 페이지에 나열됩니다.

    • 서비스 주체의 경우, Azure의 엔터프라이즈 애플리케이션으로 이동합니다. 모든 애플리케이션을 선택한 다음, VM을 선택합니다. 개체 ID가 개요 페이지에 표시됩니다.

    이 명령은 작업 영역에 있는 할당된 에이전트 데이터의 범위만 포함하여 VM의 관리 ID 또는 애플리케이션 ID에 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 Azure 역할을 할당합니다.

    중요합니다

    CLI를 통해 Microsoft Sentinel Business Applications 에이전트 운영자읽기 권한자 역할을 할당하면 작업 영역에서 할당된 에이전트의 데이터 범위에만 역할이 할당됩니다. 가장 안전하므로 권장되는 옵션입니다.

    Azure Portal을 통해 역할을 할당해야 하는 경우 Microsoft Sentinel 작업 영역과 같은 작은 범위에서만 역할을 할당하는 것이 좋습니다.

  9. 2단계의 에이전트 배포 명령 옆에 있는 Screenshot of the Copy icon next to the Agent deployment command.Screenshot of the Copy icon next to the Agent deployment command.복사를 선택합니다. 예를 들면 다음과 같습니다.

    2단계에서 복사할 에이전트 명령의 스크린샷

  10. 명령줄을 별도의 위치에 복사한 다음, 닫기를 선택합니다.

    관련 에이전트 정보는 Azure Key Vault에 배포되고 새 에이전트는 API 기반 수집기 에이전트 추가의 표에 표시됩니다.

    이 단계에서 에이전트의 정상 상태는 "불완전한 설치입니다. 지침을 따르세요."입니다. 에이전트가 성공적으로 설치되면 상태는 에이전트 정상으로 변경됩니다. 이 업데이트에는 최대 10분 정도 걸릴 수 있습니다. 예를 들면 다음과 같습니다.

    SAP 데이터 커넥터 페이지의 API 기반 수집기의 에이전트 상태 스크린샷

    참고

    이 표에는 Azure Portal을 통해 배포하는 에이전트의 에이전트 이름과 상태만 표시됩니다. 명령줄을 사용하여 배포된 에이전트는 여기에 표시되지 않습니다. 자세한 내용은 명령줄을 대신 참조하세요.

  11. 에이전트를 설치하려는 VM에서 터미널을 열고 이전 단계에서 복사한 에이전트 배포 명령을 실행합니다. 이 단계에서는 데이터 커넥터 에이전트 머신에 대한 sudo 또는 루트 권한이 필요합니다.

    스크립트에서 OS 구성 요소를 업데이트하고 Azure CLI 및 Docker 소프트웨어와 기타 필수 유틸리티(예: jq, netcat, curl)를 설치합니다.

    필요에 따라 스크립트에 추가 매개 변수를 제공하여 컨테이너 배포를 사용자 지정할 수 있습니다. 사용 가능한 명령줄 옵션에 대한 자세한 내용은 Kickstart 스크립트 참조를 참조하세요.

    명령을 다시 복사해야 하는 경우 상태 열 오른쪽에 있는 Screenshot of the View icon next to the Health column.Screenshot of the View icon next to the Health column.보기를 선택하고 오른쪽 아래에 있는 에이전트 배포 명령 옆에 있는 명령을 복사합니다.

  12. SAP 애플리케이션용 Microsoft Sentinel 솔루션의 데이터 커넥터 페이지의 구성 영역에서 새 시스템 추가(미리 보기)를 선택하고 다음의 세부 정보를 입력합니다.

    • 에이전트 선택에서 이전 단계에서 만든 에이전트를 선택합니다.

    • 시스템 식별자에서 서버 유형을 선택합니다.

      • ABAP 서버
      • 메시지 서버는 ASCS(ABAP SAP Central Services)의 일부로 메시지 서버를 사용합니다.

    • 서버 유형 관련 세부 정보를 정의하여 계속합니다.

      • ABAP 서버의 경우, ABAP 애플리케이션 서버 IP 주소/FQDN, 시스템 ID 및 번호, 클라이언트 ID를 입력합니다.
      • 메시지 서버의 경우, 메시지 서버 IP 주소/FQDN, 포트 번호 또는 서비스 이름, 로그온 그룹을 입력합니다.

    완료되면 다음: 인증을 선택합니다.

    예를 들면 다음과 같습니다.

    새 시스템 추가 영역의 시스템 설정 탭의 스크린샷

  13. 인증 탭에서 다음 세부 정보를 입력합니다.

    • 기본 인증에 사용자와 암호를 입력합니다.
    • 에이전트를 설정할 때 SNC 연결을 선택한 경우 SNC를 선택하고 인증서 세부 정보를 입력합니다.

    완료되면 다음: 로그를 선택합니다.

  14. 로그 탭의 SAP에서 수집할 로그를 선택한 다음, 다음: 검토 및 만들기를 선택합니다. 예를 들면 다음과 같습니다.

    새 시스템 추가 쪽 창의 로그 탭 스크린샷

  15. (선택 사항) SAP PAHI 테이블을 모니터링하는 데 최적의 결과를 얻으려면 구성 기록을 선택합니다. 자세한 내용은 PAHI 테이블이 정기적으로 업데이트되는지 확인을 참조하세요.

  16. 정의한 설정을 검토합니다. 이전을 선택하여 설정을 수정하거나 배포를 선택하여 시스템을 배포합니다.

정의한 시스템 구성은 배포 중에 정의한 Azure Key Vault에 배포됩니다. 이제 SAP 시스템 구성 및 수집기 에이전트에 할당에 있는 표에서 시스템 세부 정보를 확인할 수 있습니다. 이 표에는 포털 또는 다른 방법을 통해 추가한 시스템의 연결된 에이전트 이름, SID(SAP 시스템 ID), 정상 상태가 표시됩니다.

이 단계에서 시스템 상태보류 중입니다. 에이전트가 성공적으로 업데이트되면 Azure Key Vault에서 구성을 끌어오고 상태는 시스템 정상으로 변경됩니다. 이 업데이트에는 최대 10분 정도 걸릴 수 있습니다.

에이전트 없는 데이터 커넥터 연결

  1. Microsoft Sentinel에서 구성 > 데이터 커넥터 페이지로 이동하여 SAP용 Microsoft Sentinel - 에이전트 없는 데이터 커넥터를 찾습니다.

  2. 구성 영역에서 1단계를 확장합니다. 필요한 Azure 리소스/SOC 엔지니어의 자동 배포를 트리거하고 필요한 Azure 리소스 배포를 선택합니다.

    중요합니다

    Entra ID 애플리케이션 개발자 역할 이상이 없고 필요한 Azure 리소스 배포를 선택하면 "필요한 Azure 리소스 배포"와 같은 오류 메시지가 표시됩니다(오류는 다를 수 있음). 즉, DCR(데이터 수집 규칙) 및 DCE(데이터 수집 엔드포인트)가 만들어졌지만 Entra ID 앱 등록에 권한이 있는지 확인해야 합니다. 올바른 권한 부여를 계속 설정합니다.

  3. 다음 중 하나를 수행합니다.

    • Entra ID 애플리케이션 개발자 역할 이상이 있는 경우 다음 단계를 계속 진행합니다.

    • Entra ID 애플리케이션 개발자 역할이 없는 경우 다음을 수행합니다.

      • 필요한 사용 권한으로 엔트라 ID 관리자 또는 동료와 DCR ID를 공유합니다.
      • 엔트라 ID 앱 등록에서 클라이언트 ID를 사용하여 서비스 주체 할당을 통해 DCR에 모니터링 메트릭 게시자 역할이 할당되었는지 확인합니다.
      • DCR의 권한 부여에 사용할 Entra ID 앱 등록에서 클라이언트 ID 및 클라이언트 비밀을 검색합니다.

      SAP 관리자는 클라이언트 ID 및 클라이언트 비밀 정보를 사용하여 DCR에 게시합니다.

      참고

      SAP 관리자이고 커넥터 설치에 액세스할 수 없는 경우 통합 패키지를 직접 다운로드합니다.

  4. 아래로 스크롤하여 SAP 클라이언트 추가를 선택합니다.

  5. SAP 클라이언트 쪽에 연결 창에서 다음 세부 정보를 입력합니다.

    필드 설명
    RFC 대상 이름 BTP 대상에서 가져온 RFC 대상의 이름입니다.
    SAP 에이전트 없는 클라이언트 ID Process Integration Runtime 서비스 키 JSON 파일에서 가져온 clientid 값입니다.
    SAP 에이전트 없는 클라이언트 암호 Process Integration Runtime 서비스 키 JSON 파일에서 가져온 clientsecret 값입니다.
    권한 부여 서버 URL Process Integration Runtime 서비스 키 JSON 파일에서 가져온 tokenurl 값입니다. 예: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Integration Suite 엔드포인트 Process Integration Runtime 서비스 키 JSON 파일에서 가져온 url 값입니다. 예: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. 연결을 선택합니다.

중요합니다

초기 연결에 약간의 대기 시간이 있을 수 있습니다. 자세한 내용을 확인하여 커넥터를 검증합니다.

데이터 커넥터 동작 사용자 지정(선택 사항)

Microsoft Sentinel용 SAP 에이전트 없는 데이터 커넥터가 있는 경우 SAP Integration Suite를 사용하여 에이전트 없는 데이터 커넥터가 SAP 시스템에서 Microsoft Sentinel로 데이터를 수집하는 방법을 사용자 지정할 수 있습니다.

이 절차는 SAP 에이전트 없는 데이터 커넥터 동작을 사용자 지정하려는 경우에만 관련이 있습니다. 기본 기능에 만족하는 경우 이 절차를 건너뜁니다. 예를 들어 Sybase를 사용하는 경우 collect-changedocs-logs 매개 변수를 구성하여 iflow에서 변경 문서 로그에 대한 수집을 해제하는 것이 좋습니다. 데이터베이스 성능 문제로 인해 변경 문서 로그 Sybase 수집은 지원되지 않습니다.

팁 (조언)

기본값 재정의의 의미에 대한 자세한 내용은 이 블로그를 참조하세요.

데이터 커넥터 동작을 사용자 지정하기 위한 필수 구성 요소

  • 값 매핑을 편집할 수 있는 권한이 있는 SAP Integration Suite에 액세스할 수 있어야 합니다.
  • 기본값 매핑 파일을 업로드하기 위한 SAP 통합 패키지(기존 또는 새 패키지)입니다.

구성 파일 다운로드 및 설정 사용자 지정

  1. 기본 동작을 정의하는 설정을 제공하고 사용자 지정을 시작하는 좋은 시작 지점인 기본 example-parameters.zip 파일을 다운로드합니다.

    example-parameters.zip 파일을 SAP Integration Suite 환경에서 액세스할 수 있는 위치에 저장합니다.

  2. 표준 SAP 프로시저를 사용하여 값 매핑 파일을 업로드하고 변경하여 데이터 커넥터 설정을 사용자 지정합니다.

    1. example-parameters.zip 파일을 값 매핑 아티팩트로 SAP Integration Suite에 업로드합니다. 자세한 내용은 SAP 설명서를 참조하세요.

    2. 다음 방법 중 하나를 사용하여 설정을 사용자 지정합니다.

      • 모든 SAP 시스템에서 설정을 사용자 지정하려면글로벌 양방향 매핑 기관에 대한 값 매핑을 추가합니다.
      • 특정 SAP 시스템에 대한 설정을 사용자 지정하려면 각 SAP 시스템에 대한 새로운 양방향 매핑 기관을 추가한 다음 각 SAP 시스템에 대한 값 매핑을 추가합니다. myRfc, 키, myRfc, 값 등 사용자 지정하려는 RFC 대상의 이름과 정확히 일치하도록 기관의 이름을 지정합니다.

      자세한 내용은 값 매핑 구성에 대한 SAP 설명서를 참조하세요.

    사용자 지정을 완료한 후, 업데이트된 설정을 활성화하려면 반드시 아티팩트를 배포하세요.

다음 표에서는 Microsoft Sentinel용 SAP 에이전트 없는 데이터 커넥터에 대한 사용자 지정 가능한 매개 변수를 나열합니다.

매개 변수 설명 허용되는 값 기본값
changedocs-object-classes 문서 변경 로그에서 수집되는 개체 클래스 목록입니다. 쉼표로 구분된 개체 클래스 목록 BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
collect-audit-logs 감사 로그 데이터를 수집할지 여부를 결정합니다. true: 섭취됨
false: 수집되지 않음		 true
변경 문서 로그 수집 문서 변경 로그를 수집할지 여부를 결정합니다. true: 섭취됨
false: 수집되지 않음		 true
사용자-마스터-데이터-수집 사용자 마스터 데이터를 수집할지 여부를 결정합니다. true: 섭취됨
false: 수집되지 않음		 true
모든 클라이언트에서 감사 로그를 읽도록 강제 지정하다 감사 로그가 모든 클라이언트에서 읽혀지는지 여부를 결정합니다. true: 모든 클라이언트에서 읽기
false: 모든 클라이언트에서 읽지 않음		 false
ingestion-cycle-days 모든 역할 및 사용자를 포함하여 전체 사용자 마스터 데이터를 수집하기 위해 지정된 시간(일)입니다. 이 매개 변수는 사용자 마스터 데이터에 대한 변경 내용 수집에 영향을 주지 않습니다. 정수( 1 14- 사이) 1
오프셋(초) 데이터 컬렉션 창의 시작 시간과 종료 시간 모두에 대한 오프셋(초)을 결정합니다. 이 매개 변수를 사용하여 구성된 시간(초)으로 데이터 수집을 지연합니다. 정수( 1-600 사이) 60
최대 행수 단일 데이터 수집 창에서 처리되는 레코드 수를 제한하는 보호 장치 역할을 합니다. 이렇게 하면 이벤트 볼륨의 급격한 증가로 인한 CPI의 성능 또는 메모리 문제를 방지할 수 있습니다. 정수(1-1000000) 150000

연결 및 상태 확인

SAP 데이터 커넥터를 배포한 후 에이전트의 상태와 커넥터를 확인합니다. 자세한 내용은 SAP 시스템의 상태 및 역할 모니터링을 참조하세요.

다음 단계

커넥터가 배포되면 SAP 애플리케이션용 Microsoft Sentinel 솔루션 콘텐츠 구성을 계속 진행합니다. 특히, 관심 목록에서 세부 정보를 구성하는 것은 검색 및 위협 방지를 활성화하는 데 필수적인 단계입니다.

SAP 검색 및 위협 방지 사용

  • Last updated on