Configure seu sistema SAP para a solução Microsoft Sentinel

Este artigo faz parte da segunda etapa da implantação de aplicativos de Solução do Microsoft Sentinel para SAP.

Os procedimentos neste artigo normalmente são realizados pela sua equipe do SAP BASIS.

Este artigo faz parte da segunda etapa da implantação de aplicativos de Solução do Microsoft Sentinel para SAP. Embora as etapas executadas no Microsoft Sentinel exijam que a solução seja instalada primeiro, outras preparações no ambiente SAP podem ocorrer em paralelo.

Muitos dos procedimentos neste artigo normalmente são executados pela sua equipe do SAP BASIS . Algumas etapas incluem sua equipe de segurança também.

• Se você estiver trabalhando com o conector de dados sem agente, algumas etapas serão executadas no Microsoft Sentinel e exigirão que a solução seja instalada primeiro.

Recomendamos criar essa função implantando a solicitação de mudança (CR) do SAP NPLK900271: K900271.NPL | R900271.NPL

Implante os CRs no seu sistema SAP conforme necessário, assim como você implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador experiente do sistema SAP. Para obter mais informações, veja a Documentação do SAP.

Como alternativa, carregue as autorizações de função do arquivo MSFTSEN_SENTINEL_CONNECTOR, que inclui todas as permissões básicas para o conector de dados operar.

Os administradores experientes do SAP podem optar por criar a função manualmente e atribuí-la às permissões apropriadas. Nesses casos, crie uma função manualmente com as autorizações relevantes necessárias para os logs que você deseja ingerir. Para obter mais informações, veja Autorizações do ABAP necessárias. Os exemplos da documentação usam o nome /MSFTSEN/SENTINEL_RESPONDER.

Ao configurar a função, recomendamos que você:

• Gere um perfil de função ativo para o Microsoft Sentinel executando a transação PFCG.
• Use /MSFTSEN/SENTINEL_RESPONDER como nome da função.

Crie uma função usando o modelo MSFTSEN_SENTINEL_READER, que inclui todas as permissões básicas para o conector de dados operar.

• Certifique-se de criar um usuário do sistema.
• Atribua a função /MSFTSEN/SENTINEL_RESPONDER ao usuário que você criou na etapa anterior.

• Certifique-se de criar um usuário do sistema.
• Atribua a função MSFTSEN_SENTINEL_READER ao usuário, que você criou na etapa anterior.

Para cobertura completa de monitoramento com o conector de dados sem agente, recomendamos que você habilite o monitoramento em todas as IDs de cliente de seus sistemas SAP monitorados, incluindo os clientes 000 e 066.

Configurar o suporte para recuperação de dados extras (recomendado)

Embora esta etapa seja opcional, recomendamos que você habilite o conector de dados do SAP para recuperar as seguintes informações de conteúdo do seu sistema SAP:

• Tabela de BD e Logs de saída de spool
• Informações de endereço IP do cliente dos logs de auditoria de segurança

1. Implante os CRs relevantes do repositório GitHub do Microsoft Sentinel, de acordo com a sua versão do SAP:

   Versões do SAP BASIS	CR recomendado
   750 e superior	NPLK900202: K900202.NPL, R900202.NPL Ao implantar esse CR em qualquer uma das seguintes versões do SAP, implante também 2641084 – Acesso de leitura padronizado aos dados do Log de Auditoria de Segurança: – 750 SP04 a SP12 – 751 SP00 a SP06 – 752 SP00 a SP02
   740	NPLK900201: K900201.NPL, R900201.NPL

   Implante os CRs no seu sistema SAP conforme necessário, assim como você implantaria outros CRs. É altamente recomendável que a implantação de CRs SAP seja feita por um administrador experiente do sistema SAP. Para obter mais informações, veja a Documentação do SAP.

   Para obter mais informações, veja a Comunidade SAP e a documentação SAP.

2. Para dar suporte às versões 7.31 a 7.5 SP12 do SAP BASIS no envio de informações de endereço IP do cliente para o Microsoft Sentinel, ative o registro em log para a tabela USR41 do SAP. Para obter mais informações, veja a Documentação do SAP.

Verifique se a tabela do PAHI é atualizada em intervalos regulares

A tabela do PAHI do SAP inclui dados sobre o histórico do sistema SAP, do banco de dados e dos parâmetros do SAP. Em alguns casos, de aplicativos de Solução do Microsoft Sentinel para SAP não consegue monitorar a tabela do SAP PAHI em intervalos regulares devido a configuração ausente ou defeituosa. É importante atualizar a tabela do PAHI e monitorá-la com frequência, para que de aplicativos de Solução do Microsoft Sentinel para SAP possa alertar sobre ações suspeitas que podem acontecer a qualquer momento do dia. Para obter mais informações, veja:

• Nota SAP 12103
• Monitoramento da configuração de parâmetros de segurança SAP estáticos (versão prévia)

Se a tabela do PAHI for atualizada regularmente, o SAP_COLLECTOR_FOR_PERFMONITOR trabalho será agendado e executado de hora em hora. Se o trabalho SAP_COLLECTOR_FOR_PERFMONITOR não existir, lembre-se de configurá-lo conforme necessário.

Para obter mais informações, veja a documentação do SAP: Coletor do banco de dados em processamento em segundo plano e Como configurar o coletor de dados.

Definir as configurações do SAP BTP

1. Na sua subconta do SAP BTP, adicione direitos para os seguintes serviços:

   • SAP Integration Suite
   • Runtime de Integração de Processos SAP
   • Runtime do Cloud Foundry

1. Crie uma instância do Cloud Foundry Runtime e crie também um espaço do Cloud Foundry.

2. Crie uma instância do SAP Integration Suite.

3. Atribua a função Integration_Provisioner do SAP BTP à sua conta de usuário da subconta do SAP BTP.

4. No SAP Integration Suite, adicione a funcionalidade de integração de nuvem.

5. Atribua as seguintes funções de integração de processo à sua conta de usuário:

   • PI_Administrator
   • PI_Integration_Developer
   • PI_Business_Expert

   Essas funções só ficam disponíveis depois que você ativa a funcionalidade de integração de nuvem.

6. Crie uma instância do SAP Process Integration Runtime em sua subcontagem usando o fluxo de integração do plano de serviço (não a API!).

7. Crie uma chave de serviço para o SAP Process Integration Runtime e salve o conteúdo JSON em um local seguro. Você precisa ativar a funcionalidade de integração de nuvem antes de criar uma chave de serviço para o SAP Process Integration Runtime.

Para obter mais informações, veja a Documentação do SAP.

Configurar o conector no Microsoft Sentinel e em seu sistema SAP

Este procedimento tem etapas no Microsoft Sentinel e no sistema SAP e requer coordenação com o administrador do SAP.

1. No Microsoft Sentinel, acesse a página Conectores de Dados de Configuração > e localize o Microsoft Sentinel para SAP – conector de dados sem agente.

2. Na seção Configuração, expanda e siga as instruções da seção Configuração Inicial do Conector - Execute as etapas abaixo uma vez: Essas etapas exigirão o engenheiro do SecuritySOC e o administrador do SAP.

   1. Acionar a implantação automática de recursos do Azure (Engenheiro SOC). Se, depois de implantar os recursos do Azure, os valores nas etapas 2 e 3 não forem preenchidos automaticamente, feche e expanda novamente a etapa 1 para atualizar os valores nas etapas 2 e 3.

   2. Implante um artefato de credenciais de cliente OAuth2 na Integração do SAP (Administrador SAP).

   3. Implante um artefato de Parâmetro Seguro na Integração SAP (Administrador SAP) chamado workspaceKey que contenha a chave do workspace do Log Analytics visível na interface do usuário do conector de dados.

   4. Implante o pacote do conector de dados sem agente SAP no SAP Integration Suite (SAP Admin).

      1. Baixe o pacote de integração e carregue-o em seu SAP Integration Suite. Para obter mais informações, veja a Documentação do SAP.
      2. Abra o pacote e vá para a guia Artefatos . Em seguida, selecione a configuração do Coletor de Dados . Para obter mais informações, veja a Documentação do SAP.
      3. Configure o fluxo de integração com o LogIngestionURL e o DCRImmutableID.
      4. Implante o iflow usando o SAP Cloud Integration como o serviço de runtime.

Executar o verificador de pré-requisitos

1. O Prerequisite checker iflow está incluído no pacote. É recomendável executar esse fluxo manualmente antes de continuar para a próxima etapa para garantir que o sistema SAP atenda aos pré-requisitos do sistema antes de tentar a integração do Microsoft Sentinel.

   Para executar a ferramenta:

   1. Abra o pacote de integração, navegue até a guia de artefatos, e selecione o verificador de pré-requisitos iflow >Configure.

   2. Defina o nome de destino da RFC (chamada de função remota) para o sistema SAP que você deseja verificar. Por exemplo, A4H-100-Sentinel-RFC.

   3. Implante o iflow como faria de outra forma para seus sistemas SAP.

   4. Acione o iflow de qualquer cliente REST. Por exemplo, use o seguinte exemplo de script do PowerShell, modificando os valores de espaço reservado de exemplo para seu ambiente:

      $cpiEndpoint = "https://my-cpi-uri.it-cpi012-rt.cfapps.eu01-010.hana.ondemand.com" # CPI endpoint URL
      $credentialsUrl = "https://my-uaa-uri.authentication.eu01.hana.ondemand.com/oauth/token" # SAP authorization server URL
      $serviceKey = 'sb-12324cd-a1b2-5678-a1b2-1234cd5678ef!g9123|it-rt-my-cpi!h45678' # Process Integration Runtime Service client ID
      $serviceSecret = '< client secret >' # Your Process Integration Runtime service secret (make sure to use single quotes)
      
      $credentials = [Convert]::ToBase64String([Text.Encoding]::ASCII.GetBytes("$serviceKey`:$serviceSecret"))
      $headers = @{
          "Authorization" = "Basic $credentials"
          "Content-Type"  = "application/json"
      }
      $authResponse = Invoke-WebRequest -Uri $credentialsUrl"?grant_type=client_credentials" `
          -Method Post `
          -Headers $headers
      $token = ($authResponse.Content | ConvertFrom-Json).access_token
      $path = "/http/checkSAP"
      $param = "?startTimeUTC=$((Get-Date).AddMinutes(-1).ToString("yyyy-MM-ddTHH:mm:ss"))&endTimeUTC=$((Get-Date).ToString("yyyy-MM-ddTHH:mm:ss"))"
      $headers = @{
          "Authorization"      = "Bearer $token"
          "Content-Type"       = "application/json"
      }
      $response = Invoke-WebRequest -Uri "$cpiEndpoint$path$param" -Method Get -Headers $headers
      Write-Host $response.RawContent
      

   Verifique se o verificador de pré-requisitos é executado com êxito (código de status 200) sem avisos na saída de resposta antes de se conectar ao Microsoft Sentinel.

   Se houver descobertas, consulte os detalhes da resposta para obter diretrizes sobre as etapas de correção. Os sistemas SAP herdados geralmente exigem anotações adicionais do SAP. Além disso, consulte a seção de solução de problemas para problemas e resoluções comuns.

2. Role mais para baixo na área Configuração e expanda e siga as instruções em Adicionar sistemas SAP monitorados – execute as etapas abaixo para cada sistema SAP monitorado: área para cada sistema SAP que você deseja monitorar.

   Quando você chegar à etapa 2. Conecte o Sistema SAP ao Microsoft Sentinel/Engenheiro SOC, continue com Conecte seu sistema SAP ao Microsoft Sentinel.

Definir as configurações do SAP Cloud Connector

1. Instale o SAP Cloud Connector. Para obter mais informações, veja a Documentação do SAP.

2. Entre na interface do conector de nuvem e adicione a subconta usando as credenciais relevantes. Para obter mais informações, veja a Documentação do SAP.

3. Na subconta do conector de nuvem, adicione um novo mapeamento do sistema ao sistema de back-end para mapear o sistema ABAP para o protocolo RFC.

4. Defina as opções de balanceamento de carga e insira os detalhes do servidor ABAP de back-end. Nesta etapa, copie o nome do host virtual para um local seguro a ser usado posteriormente no processo de implantação.

5. Adicione novos recursos ao mapeamento do sistema para cada um dos seguintes nomes de função:

   • RSAU_API_GET_LOG_DATA, para buscar dados de log de auditoria de segurança do SAP

   • BAPI_USER_GET_DETAIL, para recuperar os detalhes do usuário do SAP

   • RFC_READ_TABLE, para ler dados de tabelas necessárias

   • SIAG_ROLE_GET_AUTH, para recuperar autorizações de função de segurança

   • /OSP/SYSTEM_TIMEZONE, para recuperar detalhes de fuso horário do sistema SAP

1. Adicione um novo destino no SAP BTP que aponte o host virtual criado por você anteriormente. Use os seguintes detalhes para preencher o novo destino:

   • Nome: insira o nome que você deseja usar para a conexão do Microsoft Sentinel

   • TipoRFC

   • Tipo de proxy:On-Premise

   • Usuário: insira a conta de usuário do ABAP que você criou anteriormente para o Microsoft Sentinel

   • Tipo de autorização:CONFIGURED USER

   • Propriedades adicionais:

     • jco.client.ashost = <virtual host name>

     • jco.client.client = <client e.g. 001>

     • jco.client.sysnr = <system number = 00>

     • jco.client.lang = EN

   • Local: necessário somente quando você conecta vários conectores de nuvem à mesma subconta do BTP. Para obter mais informações, veja a documentação do SAP.