Solução do Microsoft Sentinel para aplicativos SAP: visão geral da implantação

O conector de dados sem agente do Microsoft Sentinel para SAP usa o SAP Cloud Connector e o SAP Integration Suite para se conectar ao sistema SAP e efetuar pull de logs dele, conforme mostrado na imagem a seguir:

Usando o Conector de Nuvem SAP, o conector de dados sem necessidade de agente se beneficia de configurações já existentes e processos de integração estabelecidos. Isso significa que você não precisará enfrentar novamente os desafios de rede, pois as pessoas responsáveis pelo seu SAP Cloud Connector já passaram por esse processo.

O conector de dados sem agente é compatível com sistemas baseados em SAP NetWeaver. Entre eles SAP S/4HANA Cloud, Private Edition (RISE with SAP), SAP S/4HANA instalado localmente, SAP ERP Central Component (ECC), SAP Business Warehouse (BW) e muito mais, garantindo a funcionalidade contínua do conteúdo de segurança existente, incluindo detecções, pastas de trabalho e playbooks.

O conector de dados sem agente ingere logs de segurança críticos, como o log de auditoria de segurança, logs de documentos de alteração e dados mestres do usuário, incluindo funções e autorizações do usuário.

Por exemplo, a imagem a seguir mostra uma estrutura do SAP com vários SID com uma divisão entre sistemas de produção e não produção, incluindo o SAP Business Technology Platform. Todos os sistemas nesta imagem são integrados à Solução do Microsoft Sentinel para SAP.

O agente se conecta ao sistema SAP para extrair logs e outros dados dele e, em seguida, enviar esses logs para o espaço de trabalho do Microsoft Sentinel. Para fazer isso, o agente precisa se autenticar em seu sistema SAP, usando um usuário e uma função criadas especificamente para essa finalidade.

O Microsoft Sentinel dá suporte a algumas opções para armazenar as informações de configuração do agente, incluindo a configuração dos segredos de autenticação do SAP. A decisão de qual opção usar pode depender de onde você implanta sua VM e qual mecanismo de autenticação SAP você usa. As opções compatíveis são as seguintes, listadas em ordem de preferência:

• Um Azure Key Vault, acessado por meio de uma identidade gerenciada atribuída pelo sistema do Azure
• Um Azure Key Vault, acessado por meio de uma entidade de serviço de aplicativo registrado do Microsoft Entra ID
• Um arquivo de configuração de texto não criptografado

Você também pode se autenticar usando os certificados SNC (Secure Network Communication) e X.509 da SAP. Embora o uso do SNC forneça um nível mais alto de segurança de autenticação, pode não ser prático para todos os cenários.

A implantação das soluções do Microsoft Sentinel para aplicativos SAP envolve várias etapas e requer colaboração com suas equipes de segurança e SAP BASIS. A seguinte imagem mostra as etapas na implantação das soluções do Microsoft Sentinel para aplicativos SAP, com as equipes relevantes indicadas:

Recomendamos que você envolva as equipes relevantes ao planejar sua implantação para garantir que o esforço seja alocado e que a implantação possa ocorrer sem problemas.

As etapas de implantação incluem:

1. Examine os pré-requisitos para implantar o conector de dados sem agente do SAP.

2. Implante a solução de aplicativos SAP no hub de conteúdo. A equipe de segurança cuida dessa etapa no portal do Azure.

3. Configure seu sistema SAP para a solução do Microsoft Sentinel, incluindo a configuração de autorizações SAP, a configuração da auditoria SAP e mais. Recomendamos que essas etapas sejam feitas pela sua equipe do SAP BASIS e nossa documentação inclua referências à documentação do SAP. Alguns dos procedimentos nesta etapa podem ser feitos pela equipe do SAP BASIS antes de instalar a solução.

4. Conecte seu sistema SAP usando um conector de dados sem agente com o SAP Cloud Connector. Essa etapa é realizada pela sua equipe de segurança no portal do Azure, usando informações fornecidas pela sua equipe do SAP BASIS.

5. Habilitar detecções SAP e proteção contra ameaças. A equipe de segurança cuida dessa etapa no portal do Azure.

A implantação das soluções do Microsoft Sentinel para aplicativos SAP envolve várias etapas e requer colaboração com várias equipes, incluindo as equipes de segurança, infraestruturae SAP BASIS. A seguinte imagem mostra as etapas na implantação das soluções do Microsoft Sentinel para aplicativos SAP, com as equipes relevantes indicadas:

Recomendamos que você envolva todas as equipes relevantes ao planejar sua implantação para garantir que o esforço seja alocado e que a implantação possa ocorrer sem problemas.

As etapas de implantação incluem:

1. Examinar os pré-requisitos para implantar dos aplicativos da Solução do Microsoft Sentinel para SAP. Alguns pré-requisitos exigem coordenação com suas equipes de infraestrutura ou SAP BASIS.

2. As seguintes etapas podem ocorrer em paralelo, pois envolvem equipes separadas e não dependem umas das outras:

   1. Implantar a Solução do Microsoft Sentinel para aplicativos SAP a partir do hub de conteúdo. Instale a solução correta para seu ambiente. A equipe de segurança cuida dessa etapa no portal do Azure.

   2. Configure seu sistema SAP para a solução do Microsoft Sentinel, incluindo a configuração de autorizações SAP, a configuração da auditoria SAP e mais. Recomendamos que essas etapas sejam feitas pela sua equipe do SAP BASIS e nossa documentação inclua referências à documentação do SAP. Algumas etapas também são executadas pela equipe de segurança.

3. Conecte seu sistema SAP implantando um agente de conector de dados em contêineres. Esta etapa requer coordenação entre suas equipes de segurança, infraestrutura e SAP BASIS.

4. Habilitar detecções SAP e proteção contra ameaças. A equipe de segurança cuida dessa etapa no portal do Azure.

Opções adicionais incluem:

• Coletar logs de auditoria do SAP HANA
• Implantar um agente do conector de dados SAP manualmente

Interromper a coleta de dados SAP

Se você estiver usando o agente do conector de dados e precisar impedir o Microsoft Sentinel de coletar seus dados SAP, interrompa a ingestão de logs e desabilite o conector. Em seguida, remova a função de usuário extra e todas as CRs opcionais instaladas em seu sistema SAP.

Para obter mais informações, confira Parar a coleta de dados SAP.