Solução Microsoft Sentinel para aplicativos SAP: visão geral da implantação

O conector de dados sem agente do Microsoft Sentinel para SAP usa o SAP Cloud Connector e o SAP Integration Suite para se conectar ao seu sistema SAP e extrair logs dele, conforme mostrado na imagem a seguir:

Ao usar o SAP Cloud Connector, o conector de dados sem agente lucra com as configurações já existentes e os processos de integração estabelecidos. Isso significa que você não precisa enfrentar desafios de rede novamente, pois as pessoas que executam o SAP Cloud Connector já passaram por esse processo.

O conector de dados sem agente é compatível com sistemas baseados no SAP NetWeaver. Entre eles, SAP S/4HANA Cloud, Edição Privada (RISE com SAP), SAP S/4HANA on-premises, SAP ERP Central Component (ECC), SAP Business Warehouse (BW) e outros, garantindo a funcionalidade contínua do conteúdo de segurança existente, incluindo deteções, livros de trabalho e playbooks.

O conector de dados sem agente processa logs de segurança críticos, como o log de auditoria de segurança, logs de documentos de alterações e dados principais do utilizador, incluindo funções e autorizações do utilizador.

Por exemplo, a imagem a seguir mostra um cenário SAP multi-SID com uma divisão entre sistemas de produção e não produção, incluindo a SAP Business Technology Platform. Todos os sistemas nesta imagem estão integrados ao Microsoft Sentinel para a solução SAP.

O agente se conecta ao sistema SAP para extrair logs e outros dados dele e, em seguida, envia esses logs para o espaço de trabalho do Microsoft Sentinel. Para fazer isso, o agente tem que autenticar em seu sistema SAP, usando um usuário e função criados especificamente para essa finalidade.

O Microsoft Sentinel suporta algumas opções para armazenar as informações de configuração do agente, incluindo a configuração dos segredos de autenticação SAP. A decisão de qual opção pode depender de onde você implanta sua VM e qual mecanismo de autenticação SAP você usa. As opções suportadas são as seguintes, listadas por ordem de preferência:

• Um Cofre da Chave do Azure acessado por meio de uma identidade gerenciada atribuída ao sistema do Azure
• Um Cofre de Chaves do Azure acessado através de um principal de serviço de aplicação registado do Microsoft Entra ID
• Um arquivo de configuração de texto sem formatação

Você também pode autenticar usando os certificados Secure Network Communication (SNC) e X.509 da SAP. Embora o uso do SNC forneça um nível mais alto de segurança de autenticação, ele pode não ser prático para todos os cenários.

A implantação das soluções Microsoft Sentinel para aplicativos SAP envolve várias etapas e requer colaboração entre suas equipes de segurança e SAP BASIS . A imagem a seguir mostra as etapas na implantação das soluções Microsoft Sentinel para aplicativos SAP, com as equipes relevantes indicadas:

Recomendamos que você envolva ambas as equipes ao planejar sua implantação para garantir que o esforço seja alocado e que a implantação possa ocorrer sem problemas.

As etapas de implantação incluem:

1. Analise os pré-requisitos para implantar o conector de dados sem agente do SAP.

2. Implante a solução de aplicativos SAP a partir do hub de conteúdo. Esta etapa é tratada pela equipe de segurança no portal do Azure.

3. Configure seu sistema SAP para a solução Microsoft Sentinel, incluindo a configuração de autorizações SAP, a configuração de auditoria SAP e muito mais. Recomendamos que essas etapas sejam feitas pela sua equipe SAP BASIS, e nossa documentação inclui referências à documentação SAP. Alguns dos procedimentos nesta etapa podem ser feitos pela equipe do SAP BASIS antes de instalar a solução.

4. Conecte seu sistema SAP usando um conector de dados sem agente com o SAP Cloud Connector. Esta etapa é tratada pela sua equipe de segurança no portal do Azure, usando informações fornecidas pela sua equipe do SAP BASIS.

5. Habilite deteções SAP e proteção contra ameaças. Esta etapa é tratada pela equipe de segurança no portal do Azure.

A implantação das soluções Microsoft Sentinel para aplicativos SAP envolve várias etapas e requer colaboração entre várias equipes, incluindo as equipes de segurança, infraestrutura e SAP BASIS . A imagem a seguir mostra as etapas na implantação das soluções Microsoft Sentinel para aplicativos SAP, com as equipes relevantes indicadas:

Recomendamos que você envolva todas as equipes relevantes ao planejar sua implantação para garantir que o esforço seja alocado e que a implantação possa ocorrer sem problemas.

As etapas de implantação incluem:

1. Analise os pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP. Alguns pré-requisitos exigem coordenação com sua infraestrutura ou equipes do SAP BASIS.

2. As etapas a seguir podem acontecer em paralelo, pois envolvem equipes separadas e não dependem umas das outras:

   1. Implante a solução Microsoft Sentinel para aplicativos SAP a partir do hub de conteúdo. Certifique-se de instalar a solução correta para seu ambiente. Esta etapa é tratada pela equipe de segurança no portal do Azure.

   2. Configure seu sistema SAP para a solução Microsoft Sentinel, incluindo a configuração de autorizações SAP, a configuração de auditoria SAP e muito mais. Recomendamos que essas etapas sejam feitas pela sua equipe SAP BASIS, e nossa documentação inclui referências à documentação SAP. Algumas etapas também são executadas pela equipe de segurança.

3. Conecte seu sistema SAP implantando um agente conector de dados em contêiner. Esta etapa requer coordenação entre suas equipes de segurança, infraestrutura e SAP BASIS.

4. Habilite deteções SAP e proteção contra ameaças. Esta etapa é tratada pela equipe de segurança no portal do Azure.

As opções extras incluem:

• Coletar logs de auditoria do SAP HANA
• Instalar manualmente um agente de conector de dados SAP

Parar a coleta de dados SAP

Se você estiver usando o agente do conector de dados e precisar impedir que o Microsoft Sentinel colete seus dados SAP, interrompa a ingestão de logs e desative o conector. Em seguida, remova a função de usuário extra e todos os CRs opcionais instalados no sistema SAP.

Para obter mais informações, consulte Parar a coleta de dados SAP.