本文列出了为 SAP 应用程序部署 Microsoft Sentinel 解决方案所需的先决条件,具体取决于是部署数据连接器代理还是将无代理数据连接器用于 SAP 云连接器。 选择此页面顶部与部署匹配的选项。
检查并确保你具有或了解所有先决条件是部署适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的第一步。 选择连接类型以列出环境的先决条件。
本文中的内容与安全性、基础结构和 SAP BASIS 团队相关。
本文中的内容与 安全和SAP BASIS 团队相关。
重要
Microsoft Sentinel 的 SAP 无代理数据连接器目前以 LIMITED PREVIEW 提供。 Azure 预览版补充条款包括适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的其他法律条款。
Azure 先决条件
通常,Azure 先决条件由 安全 团队管理。
| 先决条件 | 说明 | 必需/可选 |
|---|---|---|
| 访问 Microsoft Sentinel | 记下为 Microsoft Sentinel 启用的 Log Analytics 工作区的 工作区 ID 和 主密钥 。 可以在 Microsoft Sentinel 中找到这些详细信息:从导航菜单中,选择“设置”“工作区设置”>“代理管理”。 复制工作区 ID 和主密钥,然后将它们粘贴到一边,以便在部署过程中使用。 |
必须 |
| 创建 Azure 资源的权限 | 必须具有从 Microsoft Sentinel 内容中心部署解决方案所需的权限。 还必须在 Microsoft Sentinel 资源组上具有 “所有者” 角色,这是以下项所必需的: - 创建数据收集规则和数据收集终结点。 - 在数据收集规则上分配 监视指标发布者 角色。 有关详细信息,请参阅 部署 Microsoft Sentinel 解决方案 和 Microsoft Entra 内置角色的先决条件。 |
必须 |
| 创建 Azure Key Vault 或访问现有密钥保管库的权限 | 使用 Azure Key Vault 存储连接到 SAP 系统所需的机密。 有关详细信息,请参阅 分配密钥保管库访问权限。 | 如果计划将 SAP 系统凭据存储在 Azure Key Vault 中,则需要此权限。 如果计划将它们存储在配置文件中,则为可选。 有关详细信息,请参阅 创建虚拟机并配置对凭据的访问权限。 |
| 向 SAP 数据连接器代理分配特权角色的权限 | 部署 SAP 数据连接器代理要求使用 Microsoft Sentinel Business Applications Agent作员 角色向代理的 VM 标识授予对 Microsoft Sentinel 工作区的特定权限。 若要授予此角色,需要对 Microsoft Sentinel 工作区所在的资源组拥有“所有者”权限。 有关详细信息,请参阅 通过部署数据连接器代理容器来连接 SAP 系统。 |
必需。 如果没有资源组的“所有者”权限,也可以由具有相关权限的其他用户执行相关步骤,但要在完全部署代理后单独执行。 |
数据连接器代理容器的系统先决条件
通常,系统先决条件由 基础结构 团队管理。
| 先决条件 | 说明 |
|---|---|
| 系统体系结构 | SAP 解决方案的数据连接器组件作为 Docker 容器进行部署。 容器主机可以是物理计算机或虚拟机,可以位于本地或任何云中。 托管容器的 VM 不必 与 Microsoft Sentinel 工作区位于同一 Azure 订阅中,甚至不必位于同一Microsoft Entra 租户中。 |
| 支持的 Linux 版本 | 使用以下 Linux 发行版测试了 SAP 数据连接器代理: - Ubuntu 18.04 或更高版本 - SLES 版本 15 或更高版本 - RHEL 版本 7.7 或更高版本 如果有其他操作系统,可能需要手动部署和配置容器。 有关详细信息,请参阅 使用专家选项部署适用于 SAP 数据连接器代理容器的 Microsoft Sentinel ,或开具支持票证。 |
| 虚拟机大小调整建议 | 最小规格,例如用于实验室环境: Standard_B2s VM,包括: - 双核 - 4 GB RAM 标准连接器(默认): Standard_D2as_v5 VM 或 Standard_D2_v5 VM,带有: - 双核 - 8 GB RAM 多个连接器: Standard_D4as_v5 或 Standard_D4_v5 VM,带有: - 四核 - 16 GB RAM |
| 管理权限 | 容器主机需要管理权限(根)。 |
| 网络连接 | 确保容器主机有权访问: Microsoft Sentinel- - Azure Key Vault(在 Azure Key Vault 用于存储机密的部署方案中) 通过以下 TCP 端口的 SAP 系统:32xx、5xx13、33xx、48xx(使用 SNC 时),其中 xx 是 SAP 实例编号。 |
| 软件实用工具 |
SAP 数据连接器部署脚本在容器主机 VM 上安装以下必需的软件(具体取决于使用的 Linux 分发版),列表可能会略有不同: - 解 压缩 - NetCat - 码头工人 - jq - 卷曲 |
| 托管标识或服务主体 | 最新版本的 SAP 数据连接器代理需要托管标识或服务主体才能向 sentinel Microsoft进行身份验证。 旧版代理程序支持更新到最新版本,然后必须使用托管标识或服务主体继续更新到后续版本。 |
数据连接器代理容器的 SAP 先决条件
建议 SAP BASIS 团队验证并确保 SAP 系统先决条件。 强烈建议由经验丰富的 SAP 系统管理员执行对 SAP 系统的所有管理。
| 先决条件 | 说明 |
|---|---|
| 支持的 SAP 版本 | SAP 数据连接器代理支持 SAP NetWeaver 系统,并在 SAP_BASIS 版本 731 及更高版本上进行测试。 如果使用的是旧 版 740 SAP_BASIS,本教程中的某些步骤提供了替代说明。 |
| 所需软件 | SAP NetWeaver RFC SDK 7.50 (在此处下载) 请确保你还拥有 SAP 用户帐户,以便访问 SAP 软件下载页面。 |
| SAP 系统详细信息 | 记下以下 SAP 系统详细信息: - SAP 系统 IP 地址和 FQDN 主机名 - SAP 系统编号,如 00- 来自 SAP NetWeaver 系统的 SAP 系统 ID(例如 NPL)- SAP 客户端 ID,如 001 |
| SAP NetWeaver 实例访问 | SAP 数据连接器代理使用以下机制之一向 SAP 系统进行身份验证: - SAP ABAP 用户/密码 - 具有 X.509 证书的用户。 此选项需要额外的配置步骤。 有关详细信息,请参阅 配置系统以使用 SNC 进行安全连接。 |
| SAP 角色要求 | 若要使 SAP 数据连接器可以连接到 SAP 系统,必须创建一个 SAP 系统角色。 建议通过部署 SAP NPLK900271 更改请求(CR)来创建所需的系统角色。 有关详细信息,请参阅 配置 Microsoft Sentinel 角色。 |
| 建议的用于额外支持的 CR | 在 SAP 系统上部署推荐的 CR 以检索额外详细信息,例如客户端 IP 地址和额外日志。 有关详细信息,请参阅配置对额外数据检索的支持(建议)。 |
注册有限预览版
若要使用 SAP 的无代理数据连接器, 请注册有限的预览版。
Azure 先决条件
通常,Azure 先决条件由 安全 团队管理。
| 先决条件 | 说明 | 必需/可选 |
|---|---|---|
| 创建 Azure 资源的权限 | 必须具备: - 从 Microsoft Sentinel 内容中心部署解决方案所需的权限。 有关详细信息,请参阅 部署 Microsoft Sentinel 解决方案 和 Microsoft Entra 内置角色的先决条件。 Microsoft Sentinel 资源组的所有者,需要: - 创建数据收集规则和数据收集终结点。 - 监视数据收集规则上的指标发布者角色分配。 |
必须 |
| 读取工作区共享密钥的权限 | 有关详细信息,请参阅 在 Windows 计算机上安装 Log Analytics 代理。 | 必须 |
| Microsoft Entra 中的权限 | 必须在创建应用注册所需的 Microsoft Entra ID 中拥有权限。 可以通过内置Microsoft Entra ID 角色的成员身份获取此权限: - 应用程序开发人员。 |
必须 |
无代理数据连接器的 SAP 先决条件
建议 SAP BASIS 团队验证并确保 SAP 系统先决条件。 强烈建议由经验丰富的 SAP 系统管理员执行对 SAP 系统的所有管理。
| 先决条件 | 说明 |
|---|---|
| 支持的 SAP 版本 |
无代理解决方案支持具有 SAP_BASIS 版本 750 及更高版本的 SAP NetWeaver 系统。 不支持在 Sybase 上运行的更改 Docs 日志。 如果使用 Sybase,建议自定义系统以关闭更改文档日志的引入。 有关详细信息,请参阅自定义数据连接器行为(可选)。 |
| SAP 环境 | SAP 环境必须具有: 在 SAP 系统上远程启用 的 RSAU_API_GET_LOG_DATA 函数模块。 有关详细信息,请参阅 SAP 文档。 启用了以下服务的 SAP BTP 子帐户: - SAP Integration Suite - SAP 进程集成运行时 - Cloud Foundry Runtime 有关详细信息,请参阅 SAP 文档。 支持试用帐户。 部署的 SAP 云连接器 SAP NetWeaver 版本 7.5 或更高版本 |
| SAP 角色和权限 | 必须在 SAP 系统中具有以下角色: 在 SAP NetWeaver 7.5+:SAP Netweaver 管理员 在 SAP BTP 中,以下所有角色: - 子帐户管理员 - 集成预配器 - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
规划引入
建议测试系统以确定每个 SAP 系统发送给 Microsoft Sentinel 的日志数。 Microsoft Sentinel 计费取决于日志引入大小,而日志引入大小又取决于系统使用情况、部署的模块、用户数、运行用例、网络流量和日志类型等因素。
有关详细信息,请参阅: