本文列出部署 SAP 應用程式的 Microsoft Sentinel 解決方案所需的必要條件,視您要部署數據連接器代理程式或使用無代理程式數據連接器搭配 SAP Cloud Connector 而有所不同。 選取此頁面頂端符合部署的選項。
檢閱並確保您具備或瞭解所有必要條件,是部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案的第一個步驟。 選取連線類型以列出您環境的必要條件。
Important
SAP 的資料連接器代理程式將被 棄用 ,並將於 2026 年 9 月 30 日前永久停用。 我們建議您 遷移到無代理資料連接器。 想了解更多關於無代理人的方法,請參閱我們的 部落格文章。
本文中的內容與您的 安全性、 基礎結構和 SAP BASIS 小組相關。
本文中的內容與您的 安全性和SAP BASIS 小組有關。
Azure 必要條件
一般而言,Azure 必要條件是由 您的安全性 小組所管理。
| Prerequisite | Description | Required/optional |
|---|---|---|
| Microsoft Sentinel 的存取權 | 請記下已啟用 Microsoft Sentinel 之 Log Analytics 工作區的 工作區標識碼 和 主鍵 。 您可以在 Microsoft Sentinel 中找到這些詳細資料:從導覽功能表中,選取 [設定] >[工作區設定]>[代理程式管理]。 複製 工作區標識碼 和 主鍵 ,並貼到一旁以供部署程式使用。 |
Required |
| 建立 Azure 資源的許可權 | 您必須擁有從Microsoft Sentinel 內容中樞部署解決方案的必要許可權。 您也必須具有 Sentinel 資源群組Microsoft擁有 者 角色,這是下列專案的必要專案: - 建立數據收集規則和數據收集端點。 - 在數據收集規則上指派 監視計量發行者 角色。 如需詳細資訊,請參閱 部署Microsoft Sentinel 解決方案和MicrosoftEntra 內建角色的必要條件。 |
Required |
| 建立 Azure Key Vault 或存取現有金鑰保存庫的許可權 | 使用 Azure 金鑰保存庫 來儲存連線至 SAP 系統所需的秘密。 如需詳細資訊,請參閱 指派密鑰保存庫訪問許可權。 | 如果您打算將 SAP 系統認證儲存在 Azure Key Vault 中,則為必要條件。 如果您打算將這些認證儲存在設定檔中,則為選用步驟。 如需詳細資訊,請參閱 建立虛擬機並設定認證存取權。 |
| 將特殊許可權角色指派給 SAP 資料連接器代理程式的許可權 | 部署 SAP 數據連接器代理程式時,您必須使用 Microsoft Sentinel Business Applications Agent作員 角色,將代理程式的 VM 身分識別授與Microsoft Sentinel 工作區的特定許可權。 若要授與此角色,您需要Microsoft Sentinel 工作區所在的資源群組擁有 者 許可權。 如需詳細資訊,請參閱 部署數據連接器代理程式容器來連接SAP系統。 |
Required. 如果您沒有資源群組的 擁有者 許可權,相關步驟也可以由另一位具有相關許可權的使用者執行,在代理程式完全部署之後個別執行。 |
數據連接器代理程式容器的系統必要條件
一般而言,系統必要條件是由 您的基礎結構 小組所管理。
| Prerequisite | Description |
|---|---|
| 系統架構 | SAP 解決方案的數據連接器元件會部署為 Docker 容器。 容器主機可以是實體機器或虛擬機器,可以位於內部部署或任何雲端。 裝載容器的 VM 不 一定與Microsoft Sentinel 工作區位於相同的 Azure 訂用帳戶中,或甚至位於相同的Microsoft Entra 租使用者中。 |
| 支援的Linux版本 | SAP 資料連接器代理程式已經過下列 Linux 發行版本的測試: - Ubuntu 18.04 或更高版本 - SLES 15 版或更高版本 - RHEL 7.7 版或更高版本 如果您有不同的作業系統,您可能需要手動部署和設定容器。 如需詳細資訊,請參閱 使用專家選項部署 Microsoft Sentinel for SAP 數據連接器代理程式容器 ,或開啟支援票證。 |
| 虛擬機重設大小建議 |
實驗室環境的最低規格,例如: Standard_B2s VM,具有: - 雙核心 - 4 GB RAM 標準連線器 (預設值): Standard_D2as_v5 VM 或 Standard_D2_v5 VM,具有: - 雙核心 - 8 GB RAM 多個連接器: Standard_D4as_v5 或 Standard_D4_v5 VM,具有: - 四核心 - 16 GB RAM |
| 管理權限 | 容器主機機器上需要 (根) 的系統管理權限。 |
| 網路連線能力 | 確定容器主機可以存取: Microsoft Sentinel- - Azure Key Vault(在用來儲存秘密的部署案例中 - 透過下列 TCP 埠的 SAP 系統: 32xx、 5xx13、 33xx、 48xx (使用 SNC 時),其中 xx 是 SAP 實例號碼。 |
| 軟體公用程式 |
SAP 資料連接器部署文本會在容器主機 VM 上安裝下列必要軟體(視使用的 Linux 發行版而定,清單可能會稍有不同): - 解壓縮 - 網路貓 - Docker - JQ - 巻 |
| 受控識別或服務主體 | 最新版的 SAP 數據連接器代理程式需要 受控識別 或服務 主體 ,才能向 Sentinel Microsoft進行驗證。 舊版代理程式支援最新版本更新,然後使用受控識別或服務主體繼續更新至後續版本。 |
數據連接器代理程式容器的 SAP 必要條件
建議您的 SAP BASIS 小組確認並確認 SAP 系統必要條件。 強烈建議您 SAP 系統的任何管理都是由經驗豐富的 SAP 系統管理員執行。
| Prerequisite | Description |
|---|---|
| 支援的 SAP 版本 | SAP 資料連接器代理程式支援 SAP_BASIS 731 版和更新版本的 SAP NetWeaver 系統。 注意:數據連接器代理程式不支援套用 SAP 附注3446187的系統。 在這種情況下,請改用 無代理程式數據連接器 ,這與 Note 3446187 所引進的增強行為完全相容。 如果您使用的是舊 版 SAP_BASIS 740,本教學課程中的某些步驟會提供替代指示。 |
| 必要的軟體 | SAP NetWeaver RFC SDK 7.50 (在這裡下載) 請確定您也有 SAP 使用者帳戶,以便能夠存取 SAP 軟體下載頁面。 |
| SAP 系統詳細數據 | 記下下列 SAP 系統詳細資料: - SAP 系統 IP 位址和 FQDN 主機名稱 - SAP 系統編號,例如 00- SAP 系統識別碼,來自 SAP NetWeaver 系統 (例如, NPL)- SAP 用戶端識別碼,例如 001 |
| SAP NetWeaver 實例存取 | SAP 資料連接器代理程式會使用下列其中一種機制向 SAP 系統進行驗證: - SAP ABAP 使用者/密碼 - 具有 X.509 憑證的使用者。 此選項需要額外的設定步驟。 如需詳細資訊,請參閱 將系統設定為使用SNC進行安全連線。 |
| SAP 角色需求 | 若要允許 SAP 資料連接器連線到您的 SAP 系統,您必須建立 SAP 系統角色。 建議您藉由部署 SAP NPLK900271 變更要求 (CR) 來建立必要的系統角色。 如需詳細資訊,請參閱 設定Microsoft Sentinel 角色。 |
| 額外支持的建議CR | 在您的 SAP 系統上部署建議的 CR,以擷取額外的詳細數據,例如用戶端 IP 位址和額外的記錄。 如需詳細資訊,請參閱設定額外數據擷取的支持(建議)。 |
Azure 必要條件
一般而言,Azure 必要條件是由 您的安全性 小組所管理。
| Prerequisite | Description | Required/optional |
|---|---|---|
| 建立 Azure 資源的許可權 | 您必須具備: - 從 Microsoft Sentinel 內容中樞部署解決方案的必要許可權。 如需詳細資訊,請參閱 部署Microsoft Sentinel 解決方案和MicrosoftEntra 內建角色的必要條件。 Microsoft Sentinel 資源群組的擁有者,需要: - 建立數據收集規則和數據收集端點。 - 監視數據收集規則的計量發行者角色指派。 |
Required |
| 讀取工作區共用金鑰的許可權 | 如需詳細資訊,請參閱 在 Windows 電腦上安裝 Log Analytics 代理程式。 | Required |
| Microsoft Entra 中的許可權 | 您必須擁有建立應用程式註冊所需的Microsoft Entra ID 許可權。 此許可權可透過內建Microsoft Entra ID 角色的成員資格取得: - 應用程式開發人員。 |
Required |
無代理程式數據連接器的 SAP 必要條件
建議您的 SAP BASIS 小組確認並確認 SAP 系統必要條件。 SAP BASIS 系統管理員應該檢閱 SAP 附注3390051和382318,以確保 NetWeaver 已設定進行整合。
強烈建議您 SAP 系統的任何管理都是由經驗豐富的 SAP 系統管理員執行。
| Prerequisite | Description |
|---|---|
| 支援的 SAP 版本 |
無代理程式解決方案支援具有 SAP_BASIS 750 版和更新版本的 SAP NetWeaver 系統。 不支援在 Sybase 上執行的變更文件記錄。 如果您使用 Sybase,建議您自定義系統以關閉變更 Docs 記錄的擷取。 如需詳細資訊,請參閱自定義數據連接器行為(選擇性)。 |
| SAP 環境 | 您的 SAP 環境必須具有: RSAU_API_GET_LOG_DATA函式模組,在 SAP 系統上啟用遠端功能。 如需詳細資訊,請參閱 SAP 檔。 已啟用下列服務的 SAP BTP 子帳戶: - SAP 整合套件 - SAP Process Integration 執行階段 - Cloud Foundry 執行時期 如需詳細資訊,請參閱 SAP 檔。 支援試用版帳戶。 已部署 SAP Cloud Connector SAP NetWeaver 7.5 版或更高版本 |
| SAP 角色和許可權 | 您必須在 SAP 系統中具有下列角色: 在 SAP NetWeaver 7.5+:SAP Netweaver 系統管理員 在 SAP BTP 中,下列所有角色: - 子帳戶管理員 - 整合布建器 - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
規劃擷取
建議您測試系統,以判斷每個 SAP 系統傳送至 sentinel Microsoft記錄數目。 Microsoft Sentinel 計費取決於記錄擷取大小,這反過來又取決於系統使用量、部署的模組、用戶數目、執行使用案例、網路流量和記錄類型等因素。
如需詳細資訊,請參閱