Compartilhar via

Conectar seu sistema SAP ao Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Para que a Solução do Microsoft Sentinel para aplicativos SAP funcionem corretamente, primeiro você deve trazer seus dados do SAP para o Microsoft Sentinel. Faça isso implantando o agente do conector de dados SAP do Microsoft Sentinel ou conectando o conector de dados sem agente do Microsoft Sentinel para SAP. Selecione a opção na parte superior da página que corresponde ao seu ambiente.

Esse artigo descreve a terceira etapa da implantação de uma das soluções do Microsoft Sentinel para aplicativos SAP.

Importante

O agente do conector de dados para SAP está sendo preterido e será desativado permanentemente até 30 de setembro de 2026. Recomendamos que você migre para o conector de dados sem agente. Saiba mais sobre a abordagem sem agente em nossa postagem no blog.

Diagrama do fluxo de implantação da solução SAP, realçando a etapa Conectar seu sistema SAP.

O conteúdo deste artigo é relevante para suas equipes de segurança, infraestrutura e SAP BASIS. Certifique-se de executar as etapas deste artigo na ordem em que são apresentadas.

Diagrama do fluxo de implantação da solução SAP, realçando a etapa Conectar seu sistema SAP.

O conteúdo deste artigo é relevante para a sua equipe de segurança.

Pré-requisitos

Antes de conectar seu sistema SAP ao Microsoft Sentinel:

Assista a um vídeo de demonstração

Assista a uma das seguintes demonstrações em vídeo do processo de implantação descrito neste artigo.

Uma análise detalhada das opções do portal:

Inclui mais detalhes sobre como usar o Azure KeyVault. Sem áudio, demonstração apenas com legendas:

Criar uma máquina virtual e configurar o acesso às suas credenciais

Recomendamos criar uma máquina virtual dedicada para seu contêiner do agente do conector de dados para garantir o desempenho ideal e evitar possíveis conflitos. Para obter mais informações, consulte Pré-requisitos do sistema para o contêiner do agente do conector de dados.

Recomendamos que você armazene seus segredos de SAP e autenticação em um Azure Key Vault. Como você acessa seu cofre de chaves depende de onde sua máquina virtual (VM) está implantada:

Método de implantação Método de acesso
Contêiner em uma VM do Azure Recomendamos usar uma identidade gerenciada atribuída pelo sistema do Azure para acessar o Azure Key Vault.

Se uma identidade gerenciada atribuída pelo sistema não puder ser usada, o contêiner também poderá autenticar no Azure Key Vault usando uma entidade de serviço de aplicativo registrada no Microsoft Entra ID ou, como último recurso, um arquivo de configuração.
Um contêiner em uma VM local ou uma VM em um ambiente de nuvem de terceiros Autenticar no Azure Key Vault usando uma entidade de serviço de aplicativo registrada no Microsoft Entra ID.

Se você não puder usar um aplicativo registrado ou uma entidade de serviço, use um arquivo de configuração para gerenciar suas credenciais, embora esse método não seja o preferencial. Para obter mais informações, confira Implantar o conector de dados usando um arquivo de configuração.

Para saber mais, veja:

Sua máquina virtual geralmente é criada pela sua equipe de infraestrutura. Configurar o acesso às credenciais e gerenciar cofres de chaves geralmente é feito pela sua equipe de segurança.

Criar uma identidade gerenciada com uma VM do Azure

  1. Execute o seguinte comando para Criar uma VM no Azure, substituindo nomes reais do seu ambiente por <placeholders>:

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    Para obter mais informações, confira Guia de início rápido: criar uma máquina virtual do Linux com a CLI do Azure.

    Importante

    Depois que a VM for criada, aplique os requisitos de segurança e procedimentos de proteção necessários em sua organização.

    Esse comando cria o recurso de VM, produzindo uma saída que se parece com isto:

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. Copie o GUID systemAssignedIdentity, pois ele será usado nas próximas etapas. Essa é sua identidade gerenciada.

Criar um cofre de chaves

Este procedimento descreve como criar um cofre de chaves para armazenar suas informações de configuração do agente, incluindo seus segredos de autenticação do SAP. Se você estiver usando um cofre de chaves existente, pule diretamente para etapa 2.

Para criar seu cofre de chaves:

  1. Execute os comandos a seguir, substituindo os nomes reais pelos valores <placeholder>.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. Copie o nome do seu cofre de chaves e o nome do seu grupo de recursos. Você precisará deles quando atribuir as permissões de acesso do cofre de chaves e executar o script de implantação nas próximas etapas.

Atribuir permissões de acesso ao cofre de chaves

  1. No seu cofre de chaves, atribua a função Leitor de Segredos do Azure Key Vault à identidade que você criou e copiou anteriormente.

  2. No mesmo cofre de chaves, atribua as seguintes funções do Azure ao usuário que estiver configurando o agente do conector de dados:

    • Colaborador do Key Vault, para implantar o agente
    • Responsável por segredos do Key Vault, para adicionar novos sistemas

Implantar o agente do conector de dados do portal (Versão Prévia)

Agora que você criou uma VM e um Key Vault, sua próxima etapa será criar um agente e conectar a um dos seus sistemas SAP. Embora você possa executar vários agentes do conector de dados em um único computador, recomendamos que você comece com apenas um, monitore o desempenho e, em seguida, aumente o número de conectores lentamente.

Este procedimento descreve como criar um agente e conectá-lo ao seu sistema SAP usando os portais Azure ou Defender. Recomendamos que sua equipe de segurança execute esse procedimento com a ajuda da equipe do SAP BASIS.

A implantação do agente do conector de dados do portal tem suporte no portal do Azure e no portal do Defender quando o Microsoft Sentinel é integrado ao portal do Defender.

Embora também haja suporte para a implementação a partir da linha de comando, recomendamos que você use o portal para implementações típicas. Agentes do conector de dados implantados usando a linha de comando podem ser gerenciados apenas via linha de comando, e não via portal. Para mais informações, veja Implantar um agente de conector de dados SAP a partir da linha de comando.

Importante

Implantar o contêiner e criar conexões com sistemas SAP do portal está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos:

  • Para implantar seu agente de conector de dados por meio do portal, você precisa:

    • Autenticação por meio de uma identidade gerenciada ou um aplicativo registrado
    • Credenciais armazenadas em um Azure Key Vault

    Se você não tiver esses pré-requisitos, implante o agente do conector de dados SAP da linha de comando em vez disso.

  • Para implantar o agente do conector de dados, você também precisará de privilégios sudo ou raiz no computador do agente do conector de dados.

  • Se você quiser ingerir logs Netweaver/ABAP por uma conexão segura usando as Comunicações de Rede Segura (SNC), você precisará:

    • O caminho para o binário sapgenpse e a biblioteca libsapcrypto.so
    • Os detalhes do seu certificado do cliente

    Para obter mais informações, confira Configurar seu sistema para usar o SNC para conexões seguras.

Para implantar o agente do conector de dados:

  1. Conectar à VM recém-criada na qual você está instalando o agente, como um usuário com privilégios sudo.

  2. Baixar e/ou transferir o SDK do SAP NetWeaver para o computador.

  3. No Microsoft Sentinel, selecione Configuração > Conectores de dados.

  4. Na barra de pesquisa, insira SAP. Selecione Microsoft Sentinel para SAP - baseado em agente nos resultados da pesquisa e depois Abrir a página do conector.

  5. Na área Configuração, selecione Adicionar um novo agente (versão prévia).

    Captura de tela das instruções para adicionar um agente coletor baseado em API SAP.

  6. No painel Criar um agente coletor, insira os seguintes detalhes do agente:

    Nome Descrição
    Nome do agente Insira um nome de agente significativo para sua organização. Não recomendamos nenhuma convenção de nomenclatura específica, exceto que o nome pode incluir apenas os seguintes tipos de caracteres:
    • a-z
    • A-Z
    • 0-9
    • _ (sublinhado)
    • . (ponto final)
    • - (traço)
    Assinatura / Key Vault Selecione Assinatura e Key Vault em suas respectivas listas suspensas.
    Caminho de arquivo zip do SDK do NWRFC na VM do agente Insira o caminho na sua VM que contenha o arquivo (arquivo .zip) do SDK (Software Development Kit) do RFC (Chamada de Função Remota) do SAP NetWeaver.

    Verifique se esse caminho inclui o número de versão do SDK na seguinte sintaxe: <path>/NWRFC<version number>.zip. Por exemplo: /src/test/nwrfc750P_12-70002726.zip.
    Habilitar o suporte à conexão SNC Selecione para ingerir logs NetWeaver/ABAP por uma conexão segura usando SNC.

    Se você selecionar essa opção, insira o caminho que contém o binário sapgenpse e a biblioteca libsapcrypto.so, no Caminho da Biblioteca Criptográfica SAP na VM do agente.

    Se você quiser usar uma conexão SNC, selecione Habilitar o suporte à conexão SNC neste momento, pois não é possível voltar e habilitar uma conexão SNC depois de concluir a implantação do agente. Se você quiser alterar essa configuração depois, recomendamos que você crie um agente em vez disso.
    Autenticação para o Azure Key Vault Para autenticar no cofre de chaves usando uma identidade gerenciada, deixe a opção padrão Identidade Gerenciada selecionada. Para autenticar no cofre de chaves usando um aplicativo registrado, selecione Identidade do Aplicativo.

    Você deve ter a identidade gerenciada ou o aplicativo registrado configurado com antecedência. Para obter mais informações, consulte Criar uma máquina virtual e configurar o acesso às suas credenciais.

    Por exemplo:

    Captura de tela da área Criar um agente coletor.

  7. Selecione Criar e analise as recomendações antes de concluir a implantação:

    Captura de tela da etapa final da implantação do agente.

  8. A implantação do agente do conector de dados SAP exige que você conceda à identidade da VM do agente permissões específicas para o workspace do Microsoft Sentinel, usando as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor.

    Para executar os comandos nesta etapa, você deve ser um proprietário do grupo de recursos em seu workspace do Microsoft Sentinel. Se você não for um proprietário do grupo de recursos em seu workspace, esse procedimento também poderá ser executado após a conclusão da implantação do agente.

    Em Apenas mais algumas etapas antes de terminarmos, copie os Comandos de atribuição de função da etapa 1 e execute-os na sua VM do agente, substituindo o espaço reservado [Object_ID] pela ID do objeto de identidade da sua VM. Por exemplo:

    Captura de tela do ícone Copiar para o comando da etapa 1.

    Para encontrar a ID do objeto de identidade da sua VM no Azure:

    • Para uma identidade gerenciada, a ID do objeto está listada na página Identidade da VM.

    • Para uma entidade de serviço, acesse Aplicativo empresarial no Azure. Selecione Todos os aplicativos e depois selecione sua VM. A ID do objeto é exibido na página Visão geral.

    Esses comandos atribuem as funções do Azure Operador do Agente de Aplicativos de Negócios do Microsoft Sentinel e Leitor à identidade gerenciada ou de aplicativo da sua VM, incluindo apenas o escopo dos dados do agente especificado no espaço de trabalho.

    Importante

    Atribuir as funções Operador do Agente de Aplicativos Empresariais do Microsoft Sentinel e Leitor através da CLI atribui as funções apenas no escopo dos dados do agente especificado no workspace. Esta é a opção mais segura e recomendada.

    Se você precisar atribuir as funções por meio do portal do Azure, recomendamos atribuir as funções em um escopo pequeno, como somente no workspace do Microsoft Sentinel.

  9. Selecione CopiarCaptura de tela do ícone Copiar ao lado do comando de implantação do Agente. ao lado do Comando de implantação do Agente na etapa 2. Por exemplo:

    Captura de tela do comando do Agente a ser copiado na etapa 2.

  10. Copie a linha de comando para um local separado e depois selecione Fechar.

    As informações necessárias do agente são implantadas no Azure Key Vault e o novo agente fica visível na tabela disponível em Adicionar um agente coletor baseado em API.

    Nesta fase, o status de Saúde do agente é "Instalação incompleta. Siga as instruções". Quando o agente for instalado com sucesso, o status será alterado para Agente saudável. A atualização pode levar até 10 minutos. Por exemplo:

    Captura de tela dos status de integridade de agentes coletores baseado em API da página do conector de dados SAP.

    Observação

    A tabela exibe o nome do agente e o status de saúde apenas dos agentes implantados por meio do portal do Azure. Os agentes implantados usando a linha de comando não são exibidos aqui. Para obter mais informações, confira a guia Linha de comandoem vez disso.

  11. Na VM em que você planeja instalar o agente, abra um terminal e execute o Comando de implantação do agente que você copiou na etapa anterior. Essa etapa requer privilégios sudo ou raiz no computador do agente do conector de dados.

    O script atualiza os componentes do sistema operacional e instala a CLI do Azure, o software do Docker e outros utilitários necessários, como jq, netcat e curl.

    Forneça parâmetros extras ao script conforme necessário para personalizar a implantação do contêiner. Para obter mais informações sobre as opções de linha de comando disponíveis, consulte a referência do script de Início rápido.

    Se precisar copiar seu comando novamente, selecione ExibirCaptura de tela do ícone Exibir ao lado da coluna Integridade. à direita da coluna Integridade e copie o comando próximo ao comando de implantação do Agente no canto inferior direito.

  12. Na página do conector de dados do Aplicativo da Solução do Microsoft Sentinel para SAP, na área Configuração, selecione Adicionar novo sistema (Versão prévia) e insira os seguintes detalhes:

    • Em Selecionar um agente, selecione o agente que você criou anteriormente.

    • Em Identificador do sistema, selecione o tipo de servidor:

      • Servidor ABAP
      • Servidor de mensagens para usar um servidor de mensagens como parte de um Serviço Central SAP ABAP (ASCS).

    • Continue definindo os detalhes relacionados para o seu tipo de servidor:

      • Para um servidor ABAP, insira o endereço IP/FQDN do servidor de aplicativos ABAP, a ID do sistema e o número, e a ID do cliente.
      • Para um servidor de mensagens, insira o endereço IP/FQDN do servidor de mensagens, o número da porta ou nome do serviço, e o grupo de logon

    Quando você terminar, selecione Avançar: Autenticação.

    Por exemplo:

    Captura de tela da guia Configurações do sistema da área Adicionar novo sistema.

  13. Na guia Autenticação, insira os seguintes detalhes:

    • Para autenticação básica, insira o usuário e a senha.
    • Se você selecionou uma conexão SNC quando configurar o agente, selecione SNC e insira os detalhes do certificado.

    Quando terminar, selecione Avançar: Logs.

  14. Na guia Logs, selecione os logs que você deseja ingerir do SAP e, em seguida, selecione Avançar: Revisar e criar. Por exemplo:

    Captura de tela da guia Logs no painel lateral de Adicionar novo sistema.

  15. (Opcional) Para obter resultados otimizados ao monitorar a tabela SAP PAHI, selecione Histórico de Configuração. Para mais informações, confira a seção Verifique se a tabela PAHI está sendo atualizada a intervalos regulares.

  16. Confira as configurações que você definiu. Selecione Anterior para modificar as configurações ou selecione Implantar para implantar o sistema.

A configuração do sistema definida é implantada no Azure Key Vault definido durante a implantação. Agora você pode ver os detalhes do sistema na tabela em Configurar um sistema SAP e atribuí-lo a um agente coletor. Essa tabela exibe o nome do agente associado, a ID do Sistema SAP (SID) e o status da integridade para sistemas que você adicionou por meio do portal ou de outra forma.

Nesta fase, o status de Saúde do sistema está Pendente. Se o agente for atualizado com sucesso, ele obtém a configuração do Azure Key Vault, e o status será alterado para Sistema saudável. A atualização pode levar até 10 minutos.

Conecte seu conector de dados sem agente

  1. No Microsoft Sentinel, acesse a página Conectores de Dados de Configuração > e localize o Microsoft Sentinel para SAP – conector de dados sem agente.

  2. Na área Configuração, expanda a etapa 1. Acione a implantação automática dos recursos necessários do Azure/SOC Engineer e selecione Implantar os recursos necessários do Azure.

    Importante

    Se você não tiver a função de Desenvolvedor de Aplicativos do Entra ID ou superior e selecionar implantar os recursos necessários do Azure, uma mensagem de erro será exibida, por exemplo: "Implantar recursos necessários do Azure" (os erros podem variar). Isso significa que a regra de coleta de dados (DCR) e o ponto de extremidade de coleta de dados (DCE) foram criados, mas você precisa garantir que o registro do aplicativo Entra ID esteja autorizado. Continue configurando a autorização correta.

  3. Siga um destes procedimentos:

    • Se você tiver a função de Desenvolvedor de Aplicativos do Entra ID ou superior, prossiga para a próxima etapa.

    • Se você não tiver a função de Desenvolvedor de Aplicativos do Entra ID ou superior:

      • Compartilhe a ID do DCR com o administrador ou colega da ID do Entra com as permissões necessárias.
      • Verifique se a função Publicador de Métricas de Monitoramento está atribuída na DCR, com a atribuição da entidade de serviço, usando a ID do cliente do registro do aplicativo Entra ID.
      • Recupere a ID do cliente e o segredo do cliente do registro do aplicativo Entra ID para usar na autorização da DCR.

      O administrador do SAP usa a ID do cliente e as informações secretas do cliente para postar no DCR.

      Observação

      Se você for um administrador do SAP e não tiver acesso à instalação do conector, baixe o pacote de integração diretamente.

  4. Role para baixo e selecione Adicionar cliente SAP.

  5. No painel Conectar a um cliente SAP , insira os seguintes detalhes:

    Campo Descrição
    Nome do destino RFC O nome do destino RFC, obtido do destino BTP.
    ID do cliente do SAP sem agente O valor clientid obtido do arquivo JSON da chave de serviço do Process Integration Runtime.
    Segredo do cliente do SAP sem agente O valor clientsecret obtido do arquivo JSON da chave de serviço do Process Integration Runtime.
    URL do servidor de autorização O valor tokenurl obtido do arquivo JSON da chave de serviço do Process Integration Runtime. Por exemplo: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Ponto de extremidade do Integration Suite O valor url obtido do arquivo JSON da chave de serviço do Process Integration Runtime. Por exemplo: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. Selecione Conectar.

Importante

Pode haver tempo de espera na conexão inicial. Encontre mais detalhes para verificar o conector aqui.

Personalizar o comportamento do conector de dados (opcional)

Se você tiver um conector de dados sem agente sap para o Microsoft Sentinel, poderá usar o SAP Integration Suite para personalizar como o conector de dados sem agente ingere dados do sistema SAP no Microsoft Sentinel.

Esse procedimento só é relevante quando você deseja personalizar o comportamento do conector de dados sem agente do SAP. Ignore este procedimento se você estiver satisfeito com a funcionalidade padrão. Por exemplo, se você estiver usando o Sybase, recomendamos desativar a ingestão para logs do Change Docs no iflow configurando o parâmetro collect-changedocs-logs . Devido a problemas de desempenho do banco de dados, a ingestão de logs do Change Docs no Sybase não é suportada.

Dica

Consulte este blog para obter mais informações sobre as implicações de substituir os padrões.

Pré-requisitos para personalizar o comportamento do conector de dados

Baixar o arquivo de configuração e personalizar as configurações

  1. Baixe o arquivo padrão example-parameters.zip, que fornece configurações que definem o comportamento padrão e é um bom ponto de partida para começar a personalizar.

    Salve o arquivo example-parameters.zip em um local acessível ao seu ambiente do SAP Integration Suite.

  2. Use os procedimentos padrão do SAP para carregar um arquivo de Mapeamento de Valor e fazer alterações para personalizar as configurações do conector de dados:

    1. Carregue o arquivo example-parameters.zip no SAP Integration Suite como um artefato de mapeamento de valor. Para obter mais informações, confira a Documentação da SAP.

    2. Use um dos seguintes métodos para personalizar suas configurações:

      • Para personalizar as configurações em todos os sistemas SAP, adicione mapeamentos de valor para a agência global de mapeamento bidirecional.
      • Para personalizar as configurações de sistemas SAP específicos, adicione novas agências de mapeamento bidirecional para cada sistema SAP e adicione mapeamentos de valor para cada um deles. Nomeie suas agências para corresponder exatamente ao nome do destino RFC que você deseja personalizar, como myRfc, key, myRfc, value.

      Para obter mais informações, consulte a documentação do SAP sobre como configurar mapeamentos de valor

    Certifique-se de implantar o artefato quando terminar de personalizar para ativar as configurações atualizadas.

A tabela a seguir lista os parâmetros personalizáveis para o conector de dados sem agente do SAP para o Microsoft Sentinel:

Parâmetro Descrição Valores permitidos Valor padrão
changedocs-object-classes Lista de classes de objeto que são ingeridas dos logs do Change Docs. Lista separada por vírgulas de classes de objeto BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
collect-audit-logs Determina se os dados do Log de Auditoria são ingeridos ou não. true: Ingerido
false: Não ingerido		 verdadeiro
collect-changedocs-logs Determina se os logs do Change Docs são ingeridos ou não. true: Ingerido
false: Não ingerido		 verdadeiro
coletar-dados-mestres-do-usuário Determina se os dados mestres do usuário são ingeridos ou não. true: Ingerido
false: Não ingerido		 verdadeiro
force-audit-log-to-read-from-all-clients Determina se o Registro de Auditoria é lido de todos os clientes. true: leitura de todos os clientes
false: Não lido por todos os clientes		 falso
ciclo de ingestão (em dias) Tempo, em dias, dado para ingerir os dados mestre completos do usuário, incluindo todas as funções e usuários. Esse parâmetro não afeta a ingestão de alterações nos dados mestres do usuário. Inteiro, entre 1-14 1
offset-in-seconds Determina o deslocamento, em segundos, para os horários de início e término de uma janela de coleta de dados. Use esse parâmetro para atrasar a coleta de dados pelo número configurado de segundos. Inteiro, entre 1- e 600 60
max-rows Atua como uma proteção que limita o número de registros processados em uma única janela de coleta de dados. Isso ajuda a evitar problemas de desempenho ou memória na CPI causados por um aumento repentino no volume de eventos. Inteiro, entre 1–1000000 150000

Verifique a conectividade e a saúde

Após implantar o conector de dados SAP, verifique a integridade e a conectividade do agente. Para obter mais informações, confira Monitorar a integridade e a função dos seus sistemas SAP.

Próxima etapa

Depois que o conector for implantado, prossiga para configurar o conteúdo da solução Microsoft Sentinel para aplicativos SAP. Especificamente, a configuração de detalhes nas listas de observação é uma etapa essencial para permitir detecções e proteção contra ameaças.

Habilitar detecções SAP e proteção contra ameaças

  • Last updated on