Partilhar via

Implantar a solução Microsoft Sentinel para SAP BTP

Este artigo descreve como implantar a solução Microsoft Sentinel para o sistema SAP Business Technology Platform (BTP). A solução Microsoft Sentinel para SAP BTP monitoriza e protege o seu sistema SAP BTP. Ele coleta logs de auditoria e registros de atividades da infraestrutura BTP e aplicativos baseados em BTP e, em seguida, deteta ameaças, atividades suspeitas, atividades ilegítimas e muito mais. Leia mais sobre a solução.

Importante

Uma mudança arquitetónica no conector de dados v3.0.11 para acomodar logs SAP BTP atrasados exige a reintegração das subcontas SAP adicionadas antes dessa alteração. Consulte as notas de lançamento para mais detalhes. Considere as ferramentas de integração em massa para maior conveniência.

Pré-requisitos

Antes de começar, verifique se:

  • A solução Microsoft Sentinel está habilitada.
  • Você tem um espaço de trabalho definido do Microsoft Sentinel e tem permissões de leitura e gravação para o espaço de trabalho.
  • Sua organização usa o SAP BTP (em um ambiente Cloud Foundry) para agilizar as interações com aplicativos SAP e outros aplicativos de negócios.
  • Tens uma subconta SAP BTP (que suporta subcontas BTP no ambiente Cloud Foundry). Você também pode usar uma conta de avaliação do SAP BTP.
  • Tem o serviço de gestão de registos de auditoria SAP BTP e a chave de serviço ( veja Configurar a Subconta BTP e a solução).
  • Você tem a função de Colaborador do Microsoft Sentinel no espaço de trabalho de destino do Microsoft Sentinel.

Configurar a subconta BTP e a solução

Para configurar manualmente a subconta BTP e a solução a partir do cockpit SAP BTP e do portal Azure, siga estes passos:

  1. Depois de conseguir iniciar sessão na sua Subconta BTP (veja os pré-requisitos), siga os passos de recuperação do registo de auditoria no sistema SAP BTP.

  2. Na console do SAP BTP, selecione o Audit Log Management Service.

    Captura de ecrã que mostra a seleção do Serviço de Gestão de Registos de Auditoria BTP.

  3. Crie uma instância do Serviço de Gerenciamento de Log de Auditoria na subconta BTP.

    Captura de tela que mostra a criação de uma instância da subconta BTP.

  4. Crie uma chave de serviço e registre os valores de url, uaa.clientid, uaa.clientsecrete uaa.url. Esses valores são necessários para implantar o conector de dados.

    Eis alguns exemplos destes valores de campo:

    • URL: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • UAA.ClientID: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret:aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Inicie sessão no portal do Azure.

  6. Vá para o serviço Microsoft Sentinel.

  7. Selecione Hub de conteúdo e, na barra de pesquisa, procure por BTP.

  8. Selecione SAP BTP.

  9. Selecione Instalar.

    Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.

  10. Selecione Criar.

    Captura de tela que mostra como criar a solução Microsoft Sentinel para SAP BTP.

  11. Selecione o grupo de recursos e o espaço de trabalho do Microsoft Sentinel no qual implantar a solução.

  12. Selecione Avançar até passar na validação e, em seguida, selecione Criar.

  13. Quando a implantação da solução estiver concluída, retorne ao espaço de trabalho do Microsoft Sentinel e selecione Conectores de dados.

  14. Na barra de pesquisa, digite BTP e selecione SAP BTP.

  15. Selecione Abrir página do conector.

  16. Na página do conector, verifique se você atende aos pré-requisitos necessários listados e conclua as etapas de configuração. Quando estiver pronto, selecione Adicionar conta.

  17. Especifique os parâmetros que você definiu anteriormente durante a configuração. O nome da subconta especificado aparece como uma coluna na tabela SAPBTPAuditLog_CL e pode ser utilizado para filtrar os logs quando existem várias subcontas.

    Considere as opções avançadas, se necessário:

    • Frequência de sondagens: A frequência com que o conector faz sondagens para novos dados. O padrão é 1 minuto.
    • Atraso na Ingestão do Log: O atraso estimado entre o momento em que o evento é gerado no SAP BTP e o momento em que está disponível para ingestão no serviço de registo de auditoria SAP BTP no Microsoft Sentinel. O padrão é 20 minutos.

    Nota

    A recuperação de auditorias para a conta global não recupera automaticamente as auditorias da subconta. Siga as etapas de configuração do conector para cada uma das subcontas que você deseja monitorar e também siga estas etapas para a conta global. Analise estas considerações de configuração de auditoria de conta.

  18. Verifique se os logs BTP estão fluindo para o espaço de trabalho do Microsoft Sentinel:

    1. Inicie sessão na sua subconta BTP e execute algumas atividades que geram registos, tais como iniciar sessão, adicionar utilizadores, alterar permissões e alterar definições.
    2. Aguarde de 20 a 30 minutos para que os logs comecem a fluir.
    3. Na página do conector SAP BTP, confirme se o Microsoft Sentinel recebe os dados BTP ou consulte diretamente a tabela SAPBTPAuditLog_CL.

  19. Habilite a pasta de trabalho e as regras de análise fornecidas como parte da solução seguindo estas diretrizes.

Nota

Para integrar subcontas SAP BTP em grande escala, recomendam-se abordagens baseadas em API e CLI. Comece a usar esta biblioteca de scripts.

Considere as configurações de auditoria da sua conta

A etapa final no processo de implantação é considerar suas configurações de auditoria de conta global e subconta.

Configuração de auditoria de conta global

Quando você habilita a recuperação do log de auditoria no cockpit do BTP para a conta global: Se a subconta para a qual você deseja habilitar o Serviço de Gerenciamento de Log de Auditoria estiver em um diretório, você deverá habilitar o serviço no nível do diretório primeiro. Só então poderá atribuir o serviço ao nível da subconta.

Configuração de auditoria de subconta

Para habilitar a auditoria de uma subconta, conclua as etapas na documentação da API de recuperação de auditoria de subcontas SAP.

A documentação da API descreve como habilitar a recuperação do log de auditoria usando a CLI do Cloud Foundry.

Você também pode recuperar os logs por meio da interface do usuário:

  1. Em sua subconta no SAP Service Marketplace, crie uma instância do Audit Log Management Service.
  2. Na nova instância, crie uma chave de serviço.
  3. Exiba a chave de serviço e recupere os parâmetros necessários na etapa 4 das instruções de configuração na interface de utilizador do conector de dados (url, uaa.url, uaa.clientid e uaa.clientsecret).

Integração massiva de subcontas SAP BTP em larga escala

Para integrar subcontas SAP BTP em grande escala, recomendam-se abordagens baseadas em API e CLI. Comece a usar esta biblioteca de scripts.

Alterar o segredo do cliente BTP

Recomendamos que você alterne periodicamente os segredos do cliente da subconta BTP. Para obter uma abordagem automatizada baseada em plataforma, consulte nossa renovação automática de certificados de armazenamento confiável SAP BTP com o Azure Key Vault – ou como parar de pensar em datas de expiração de uma vez por todas (blog da SAP).

O script de exemplo a seguir demonstra o processo de atualização de um conector de dados existente com um novo segredo obtido no Cofre de Chaves do Azure.

Antes de começar, colete os valores necessários para os parâmetros de scripts, incluindo:

  • A ID da assinatura, o grupo de recursos e o nome do espaço de trabalho para seu espaço de trabalho do Microsoft Sentinel.
  • O cofre da chave e o nome do segredo armazenado no cofre.
  • O nome do conector de dados que pretendes atualizar com um novo segredo. Para identificar o nome do conector de dados, abra o conector de dados SAP BPT na página Conectores de dados do Microsoft Sentinel. O nome do conector de dados tem a seguinte sintaxe: BTP_{nome do conector}
param(
    [Parameter(Mandatory = $true)] [string]$subscriptionId,
    [Parameter(Mandatory = $true)] [string]$workspaceName,
    [Parameter(Mandatory = $true)] [string]$resourceGroupName,
    [Parameter(Mandatory = $true)] [string]$connectorName,
    [Parameter(Mandatory = $true)] [string]$clientId,
    [Parameter(Mandatory = $true)] [string]$keyVaultName,
    [Parameter(Mandatory = $true)] [string]$secretName
)

# Import the required modules
Import-Module Az.Accounts
Import-Module Az.KeyVault

try {
    # Login to Azure
    Login-AzAccount

    # Retrieve BTP client secret from Key Vault
    $clientSecret = (Get-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName).SecretValue
    if (!($clientSecret)) {
        throw "Failed to retrieve the client secret from Azure Key Vault"
    }

    # Get the connector from data connectors API
    $path = "/subscriptions/{0}/resourceGroups/{1}/providers/Microsoft.OperationalInsights/workspaces/{2}/providers/Microsoft.SecurityInsights/dataConnectors/{3}?api-version=2024-01-01-preview" -f $subscriptionId, $resourceGroupName, $workspaceName, $connectorName
    $connector = (Invoke-AzRestMethod -Path $path -Method GET).Content | ConvertFrom-Json
    if (!($connector)) {
        throw "Failed to retrieve the connector"
    }

    # Add the updated client ID and client secret to the connector
    $connector.properties.auth | Add-Member -Type NoteProperty -Name "clientId" -Value $clientId
    $connector.properties.auth | Add-Member -Type NoteProperty -Name "clientSecret" -Value ($clientSecret | ConvertFrom-SecureString -AsPlainText)

    # Update the connector with the new auth object
    Invoke-AzRestMethod -Path $path -Method PUT -Payload ($connector | ConvertTo-Json -Depth 10)
}
catch {
    Write-Error "An error occurred: $_"
}

Conteúdos relacionados

  • Last updated on