Freigeben über

Verbinden Ihres SAP-Systems mit Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Damit die Microsoft Sentinel Lösung für SAP-Anwendungen ordnungsgemäß funktioniert, müssen Sie zunächst Ihre SAP-Daten in Microsoft Sentinel abrufen. Stellen Sie dazu entweder den Microsoft Sentinel SAP-Datenkonnektor-Agent bereit, oder indem Sie den Microsoft Sentinel agentlosen Datenkonnektor für SAP verbinden. Wählen Sie oben auf der Seite die Option aus, die Ihrer Umgebung entspricht.

In diesem Artikel wird der dritte Schritt bei der Bereitstellung einer der Microsoft Sentinel Lösungen für SAP-Anwendungen beschrieben.

Wichtig

Der Datenkonnektor-Agent für SAP wird ausgemustert und am 14. September 2026 dauerhaft deaktiviert. Wir empfehlen, auf den agentlosen Datenkonnektor zu migrieren. Erfahren Sie mehr über den agentenlosen Ansatz in unserem Blogbeitrag.

Diagramm: Bereitstellungsflows für die SAP-Lösung mit hervorgehobenem Schritt zum Verbinden des SAP-Systems

Die Inhalte in diesem Artikel sind für Ihre Sicherheits-, Infrastruktur- und SAP BASIS-Teams relevant. Stellen Sie sicher, dass Sie die Schritte in diesem Artikel in der angegebenen Reihenfolge ausführen.

Diagramm: Bereitstellungsflows für die SAP-Lösung mit hervorgehobenem Schritt zum Verbinden des SAP-Systems

Die Inhalte in diesem Artikel sind insbesondere für Ihr Sicherheitsteam relevant.

Voraussetzungen

Bevor Sie Ihr SAP-System mit Microsoft Sentinel verbinden:

Sehen Sie sich ein Demovideo an.

Sehen Sie sich eine der folgenden Videodemonstrationen des in diesem Artikel beschriebenen Bereitstellungsprozesses an.

Ein umfassender Einblick in die Portaloptionen:

Enthält weitere Details zur Verwendung von Azure KeyVault. Demonstration ohne Audio, nur mit Untertiteln:

Erstellen einer VM und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen

Es wird empfohlen, eine dedizierte VM für Ihren Datenconnector-Agent-Container zu erstellen, um eine optimale Leistung sicherzustellen und potenzielle Konflikte zu vermeiden. Weitere Informationen finden Sie unter Systemvoraussetzungen für den Container für den Datenconnector-Agen.

Es wird empfohlen, Ihre SAP- und Authentifizierungsschlüssel in einem Azure Key Vault zu speichern. Wie Sie auf Ihren Schlüsseltresor zugreifen, hängt davon ab, wo Ihre virtuelle Maschine (VM) bereitgestellt wird:

Bereitstellungsmethode Zugriffsmethode
Container auf einer Azure VM Wir empfehlen die Verwendung einer Azure vom System zugewiesenen verwalteten Identität für den Zugriff auf Azure Key Vault.

Wenn eine vom System zugewiesene verwaltete Identität nicht verwendet werden kann, kann sich der Container auch bei Azure Key Vault mithilfe eines Microsoft Entra ID Dienstprinzipals für registrierte Anwendungen oder als letztes Mittel eine Konfigurationsdatei authentifizieren.
Ein Container auf einer lokalen VM oder einer VM in der Cloudumgebung eines Drittanbieters Authentifizieren Sie sich bei Azure Key Vault mithilfe eines Microsoft Entra ID Dienstprinzipals für registrierte Anwendungen.

Wenn Sie keine registrierte Anwendung oder keinen Dienstprinzipal verwenden können, benutzen Sie eine Konfigurationsdatei zum Verwalten Ihrer Anmeldeinformationen. Diese Methode wird allerdings nicht empfohlen. Weitere Informationen finden Sie unter Bereitstellen des Datenconnectors mithilfe einer Konfigurationsdatei.

Weitere Informationen finden Sie unter

Ihre VM wird in der Regel von Ihrem Infrastruktur-Team erstellt. Das Konfigurieren des Zugriffs auf Anmeldeinformationen und das Verwalten von Schlüsseltresoren erfolgt in der Regel durch ihr Sicherheitsteam.

Erstellen einer verwalteten Identität mit einer Azure VM

  1. Führen Sie den folgenden Befehl aus, um eine virtuelle Maschine zu erstellen in Azure. Ersetzen Sie dabei die tatsächlichen Namen aus Ihrer Umgebung für die <placeholders>.

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    Weitere Informationen finden Sie unter Quickstart: Erstellen eines virtuellen Linux-Computers mit dem Azure CLI.

    Wichtig

    Achten Sie nach dem Erstellen der VM unbedingt darauf, alle Sicherheitsanforderungen und Härtungsverfahren anzuwenden, die in Ihrer Organisation gültig sind.

    Dieser Befehl erstellt die VM-Ressource, wodurch die folgende Ausgabe erzeugt wird:

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. Kopieren Sie die systemAssignedIdentity-GUID, da sie in den kommenden Schritten verwendet wird. Dies ist Ihre verwaltete Identität.

Erstellen eines Schlüsseltresors

Diese Prozedur beschreibt, wie Sie einen Schlüsseltresor zum Speichern der Konfigurationsinformationen Ihres Agents erstellen, einschließlich Ihrer SAP-Authentifizierungsgeheimnisse. Wenn Sie einen vorhandenen Schlüsseltresor verwenden, fahren Sie direkt mit Schritt 2 fort.

So erstellen Sie Ihren Schlüsseltresor:

  1. Führen Sie die folgenden Befehle aus, und ersetzen Sie die <placeholder>-Werte mit tatsächlichen Namen.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. Kopieren Sie den Namen Ihres Schlüsseltresors und den Namen seiner Ressourcengruppe. Sie benötigen diese, wenn Sie die Zugriffsberechtigungen für den Schlüsseltresor zuweisen und das Bereitstellungsskript in den nächsten Schritten ausführen.

Schlüsseltresor-Zugriffsberechtigungen zuweisen

  1. Weisen Sie in Ihrem key vault die Rolle Azure Key Vault Secrets Reader der Identity zu, die Sie zuvor erstellt und kopiert haben.

  2. Weisen Sie dem Benutzer, der den Daten-Connector-Agent konfiguriert, die folgenden Azure-Rollen im gleichen Key Vault zu:

    • Key Vault Mitwirkender, um den Agent bereitzustellen
    • Key Vault Secrets Officer, zum Hinzufügen neuer Systeme

Bereitstellen des Datenconnector-Agents aus dem Portal (Vorschau)

Nachdem Sie nun einen virtuellen Computer und eine Key Vault erstellt haben, besteht der nächste Schritt darin, einen neuen Agent zu erstellen und eine Verbindung mit einem Ihrer SAP-Systeme herzustellen. Sie können zwar mehrere Datenconnector-Agents auf einem einzelnen Computer ausführen, es wird jedoch empfohlen, nur mit einem zu beginnen, seine Leistung zu überwachen und dann die Anzahl der Connectors langsam zu erhöhen.

In diesem Verfahren wird beschrieben, wie Sie einen neuen Agent erstellen und mithilfe der Azure oder Defender Portale mit Ihrem SAP-System verbinden. Es wird empfohlen, dass Ihr Sicherheitsteam dieses Verfahren in Zusammenarbeit mit dem SAP BASIS-Team durchführt.

Die Bereitstellung des Datenkonnektor-Agents aus dem Portal wird sowohl vom Azure-Portal als auch vom Defender Portal unterstützt, wenn Microsoft Sentinel in das Defender-Portal integriert ist.

Eine Bereitstellung über die Befehlszeile wird zwar auch unterstützt, es wird jedoch empfohlen, für typische Bereitstellungen das Portal zu verwenden. Datenconnector-Agents, die mithilfe der Befehlszeile bereitgestellt werden, können nur über die Befehlszeile und nicht über das Portal verwaltet werden. Weitere Informationen finden Sie unter Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile.

Wichtig

Das Bereitstellen des Containers und das Erstellen von Verbindungen mit SAP-Systemen über das Azure-Portal befindet sich derzeit in der VORSCHAU. Die Azure Preview-Ergänzungsbedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, der Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.

Voraussetzungen:

  • Um Ihren Datenconnector-Agent über das Portal bereitzustellen, benötigen Sie Folgendes:

    • Authentifizierung über eine verwaltete Identität oder eine registrierte Anwendung
    • In einem Azure Key Vault gespeicherte Anmeldeinformationen

    Wenn Sie diese Voraussetzungen nicht erfüllen, stellen Sie den SAP-Datenconnector-Agent stattdessen über die Befehlszeile bereit.

  • Um den Datenconnector-Agent bereitzustellen, benötigen Sie außerdem sudo- oder Stammberechtigungen auf dem Datenconnector-Agent-Computer.

  • Wenn Sie NetWeaver/ABAP-Protokolle über eine sichere Verbindung mit Secure Network Communications (SNC) erfassen möchten, benötigen Sie Folgendes:

    • Den Pfad zur sapgenpse-Binär und zur libsapcrypto.so-Bibliothek
    • Die Details Ihres Clientzertifikats

    Weitere Informationen finden Sie unter Konfigurieren des Systems für die Verwendung von SNC für sichere Verbindungen.

Folgendermaßen stellen Sie den Agent für den Datenconnector bereit:

  1. Melden Sie sich bei der neu erstellten VM, auf der Sie den Agent installieren, als Benutzer mit sudo-Berechtigungen an.

  2. Laden Sie das SAP NetWeaver SDK auf den Computer herunter, oder übertragen Sie es.

  3. Wählen Sie in Microsoft Sentinel Configuration > Datenverbinder aus.

  4. Geben Sie in der Suchleiste SAP ein. Wählen Sie Microsoft Sentinel für SAP – agentbasiert aus den Suchergebnissen aus, und die Verbindungsseite öffnen.

  5. Wählen Sie im Bereich Konfiguration die Option Neuen Agent hinzufügen (Vorschau) aus.

    Screenshot der Anweisungen zum Hinzufügen eines API-basierten SAP-Collector-Agents.

  6. Geben Sie im Bereich Collector-Agent erstellen die folgenden Agent-Details ein:

    Name Beschreibung
    Agentname Geben Sie einen aussagekräftigen Agent-Namen für Ihre Organisation ein. Es wird keine bestimmte Benennungskonvention empfohlen, der Name darf jedoch nur die folgenden Zeichentypen enthalten:
    • a – z
    • A – Z
    • 0-9
    • _ (Unterstrich)
    • . (Punkt)
    • - (Bindestrich)
    Abonnement / Schlüsseltresor Wählen Sie das Abonnement und den Schlüsseltresor aus den jeweiligen Dropdownlisten aus.
    NWRFC SDK ZIP-Dateipfad auf der Agent-VM Geben Sie den Pfad in Ihrer VM ein, der das Software Development Kit (SDK)-Archiv (ZIP-Datei) für den SAP NetWeaver-Remote-Funktionsaufruf (Remote Function Call, RFC) enthält.

    Stellen Sie sicher, dass dieser Pfad die SDK-Versionsnummer in der folgenden Syntax enthält: <path>/NWRFC<version number>.zip. Beispiel: /src/test/nwrfc750P_12-70002726.zip.
    Aktivieren der SNC-Verbindungsunterstützung Wählen Sie aus, dass NetWeaver/ABAP-Protokolle über eine sichere Verbindung mit SNC erfasst werden sollen.

    Wenn Sie diese Option auswählen, geben Sie unter dem sapgenpse den Pfad an, der die libsapcrypto.so-Binärdatei und die -Bibliothek enthält.

    Wenn Sie eine SNC-Verbindung verwenden möchten, stellen Sie sicher, dass Sie in dieser Phase die SNC-Verbindungsunterstützung aktivieren, da Sie nicht zurückkehren und eine SNC-Verbindung aktivieren können, nachdem Sie die Bereitstellung des Agents abgeschlossen haben. Wenn Sie diese Einstellung später ändern möchten, wird empfehlen, stattdessen einen neuen Agent zu erstellen.
    Authentication für Azure Key Vault Um sich mit einer verwalteten Identität bei Ihrem Schlüsseltresor zu authentifizieren, lassen Sie die Standardoption Verwaltete Identität ausgewählt. Um sich mit einer registrierten Anwendung bei Ihrem Schlüsseltresor zu authentifizieren, wählen Sie Anwendungsidentität aus.

    Sie müssen die verwaltete Identität oder registrierte Anwendung vorab eingerichtet haben. Weitere Informationen finden Sie unter Erstellen einer VM und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen.

    Beispiel:

    Screenshot des Bereichs „Erstellen eines Collector-Agents“.

  7. Wählen Sie Erstellen aus, und überprüfen Sie die Empfehlungen, bevor Sie die Bereitstellung abschließen:

    Screenshot der letzten Phase der Agent-Bereitstellung.

  8. Für die Bereitstellung des SAP-Datenverbindungsagenten müssen Sie der VM-Identität Ihres Agents spezifische Berechtigungen für den Microsoft Sentinel-Arbeitsbereich erteilen, indem Sie die Rollen Microsoft Sentinel Business Applications Agent Operator und Reader verwenden.

    Um die Befehle in diesem Schritt auszuführen, müssen Sie ein Ressourcengruppenbesitzer in Ihrem Microsoft Sentinel Arbeitsbereich sein. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann diese Prozedur auch ausgeführt werden, nachdem die Bereitstellung des Agents abgeschlossen ist.

    Kopieren Sie unter Nur noch wenige Schritte, bevor wir fertig sind die Rollenzuweisungsbefehle aus Schritt 1, und führen Sie diese auf Ihrer Agent-VM aus, und ersetzen Sie den [Object_ID]-Platzhalter durch die Objekt-ID Ihrer VM-Identität. Beispiel:

    Screenshot des Symbols „Kopieren“ für den Befehl aus Schritt 1.

    So suchen Sie ihre VM-Identitätsobjekt-ID in Azure:

    • Bei einer verwalteten Identität finden Sie die Objekt-ID auf der Seite Identität der VM.

    • Wechseln Sie für einen Dienstprinzipal zu Unternehmensanwendung in Azure. Wählen Sie Alle Anwendungen und dann Ihre VM aus. Die Objekt-ID wird auf der Seite Übersicht angezeigt.

    Diese Befehle weisen den Microsoft Sentinel Business Applications Agent Operator und Reader Azure Rollen der verwalteten oder Anwendungsidentität Ihrer VM zu, einschließlich nur des Umfangs der Daten des angegebenen Agents im Arbeitsbereich.

    Wichtig

    Durch Zuweisen der Rollen Microsoft Sentinel Business Applications Agent Operator und Reader über die CLI werden die Rollen nur im Bereich der Daten des angegebenen Agents im Arbeitsbereich zugewiesen. Dies ist die sicherste und daher die empfohlene Option.

    Wenn Sie die Rollen über das Azure-Portal zuweisen müssen, empfehlen wir, die Rollen in kleinem Umfang, wie z.B. nur für den Microsoft Sentinel Arbeitsbereich, zuzuweisen.

  9. Wählen Sie KopierenScreenshot des Kopieren-Symbols neben dem Befehl „Agent-Bereitstellung“. neben dem Agent-Bereitstellungsbefehl in Schritt 2 aus. Beispiel:

    Screenshot des Befehls „Agent“, der in Schritt 2 kopiert werden soll.

  10. Kopieren Sie die Befehlszeile in einen separaten Speicherort, und wählen Sie dann Schließen aus.

    Die relevanten Agentinformationen werden in Azure Key Vault bereitgestellt, und der neue Agent ist in der Tabelle unter Add an API based collector agent sichtbar.

    In dieser Phase lautet der Integritätsstatus des Agents „Unvollständige Installation. Bitte befolgen Sie die Anweisungen“. Wenn der Agent erfolgreich hinzugefügt wurde, ändert sich der Status in Agent fehlerfrei. Diese Aktualisierung kann bis zu zehn Minuten dauern. Beispiel:

    Screenshot der Integritätsstatus von API-basierten Collector-Agents auf der Seite „SAP-Datenkonnektor“.

    Hinweis

    In der Tabelle werden der Agentname und der Integritätsstatus nur für die Agenten angezeigt, die Sie über das Azure-Portal bereitstellen. Agents, die über die Befehlszeile bereitgestellt werden, werden hier nicht angezeigt. Weitere Informationen finden Sie stattdessen auf der Registerkarte Befehlszeile.

  11. Öffnen Sie auf der VM, auf der Sie den Agent installieren wollen, ein Terminal, und führen Sie den Agent-Bereitstellungsbefehl aus, den Sie im vorherigen Schritt kopiert haben. Für diesen Schritt sind sudo- oder Stammberechtigungen auf dem Datenconnector-Agent-Computer erforderlich.

    Das Skript aktualisiert die Betriebssystemkomponenten und installiert die Azure CLI, Docker-Software und andere erforderliche Dienstprogramme, z. B. jq, netcat und curl.

    Stellen Sie dem Skript nach Bedarf zusätzliche Parameter bereit, um die Containerbereitstellung anzupassen. Weitere Informationen zu verfügbaren Befehlszeilenoptionen finden Sie unter Kickstart-Skriptreferenz.

    Wenn Sie Ihren Befehl erneut kopieren müssen, wählen Sie AnsichtScreenshot des „Ansicht“-Symbols neben der Spalte „Integrität“. rechts neben der Spalte Integrität aus, und kopieren Sie den Befehl neben dem Agent-Bereitstellungsbefehl rechts unten.

  12. Wählen Sie auf der Seite für den Datenkonnektor der Microsoft Sentinel-Lösung für SAP im Bereich Configuration die Option Neues System hinzufügen (Vorschau) aus, und geben Sie die folgenden Details ein:

    • Wählen Sie unter Agent auswählen den Agent, den Sie vorhin erstellt haben.

    • Wählen Sie unter Systembezeichner den Servertyp aus:

      • ABAP-Server
      • Nachrichtenserver, um einen Nachrichtenserver als Teil eines ABAP SAP Central Services (ASCS) zu verwenden.

    • Fahren Sie fort, indem Sie die entsprechenden Details für Ihren Servertyp definieren:

      • Für einen ABAP-Server geben Sie die IP-Adresse/den FQDN des ABAP-Anwendungsservers, die System-ID sowie die Nummer und die Client-ID ein.
      • Für einen Nachrichtenserver geben Sie die IP-Adresse/den FQDN des Nachrichtenservers, die Portnummer oder den Dienstnamen und die Anmeldegruppe ein.

    Wenn Sie fertig sind, wählen Sie Weiter: Authentifizierung aus.

    Beispiel:

    Screenshot des Bereichs „Neues System hinzufügen“ auf der Registerkarte „Systemeinstellungen“.

  13. Geben Sie auf der Registerkarte Authentifizierung die folgenden Details ein:

    • Geben Sie für die Standardauthentifizierung den Benutzer und das Kennwort an.
    • Wenn Sie beim Einrichten des Agents eine SNC-Verbindung ausgewählt haben, wählen Sie SNC aus, und geben Sie die Zertifikatdetails an.

    Wenn Sie fertig sind, klicken Sie auf Weiter: Protokolle.

  14. Wählen Sie auf der Registerkarte Protokolle die Protokolle aus, die Sie aus SAP erfassen möchten, und wählen Sie dann Weiter: Überprüfen und erstellen aus. Beispiel:

    Screenshot der Registerkarte „Protokolle“ im Bereich „Neues System hinzufügen“.

  15. (Optional) Um optimale Ergebnisse bei der Überwachung der SAP PAHI-Tabelle zu erzielen, wählen Sie Konfigurationsverlauf aus. Weitere Informationen finden Sie unter Überprüfen Sie, ob die PAHI-Tabelle regelmäßig aktualisiert wird.

  16. Überprüfen Sie die von Ihnen definierten Einstellungen. Wählen Sie Zurück aus, um Einstellungen zu ändern, oder wählen Sie Bereitstellen aus, um das System bereitzustellen.

Die von Ihnen definierte Systemkonfiguration wird in der Azure Key Vault bereitgestellt, die Sie während der Bereitstellung definiert haben. Die Systemdetails werden jetzt in der Tabelle unter Konfigurieren eines SAP-Systems und Zuweisen zu einem Collector-Agent angezeigt. In dieser Tabelle werden der zugehörige Agent-Name, die SAP-System-ID (SID) und der Integritätsstatus für Systeme angezeigt, die Sie über das Portal oder einen anderen Weg hinzugefügt haben.

In dieser Phase ist der Integritätsstatus des Systems Ausstehend. Wenn der Agent erfolgreich aktualisiert wird, ruft er die Konfiguration aus Azure Key Vault ab, und der Status wird in System healthy geändert. Diese Aktualisierung kann bis zu zehn Minuten dauern.

Verbinden Sie Ihren agentenlosen Daten-Connector

  1. Wechseln Sie in Microsoft Sentinel zur Seite Configuration > Data Connectors, und suchen Sie den Microsoft Sentinel für SAP - agentless Data Connector.

  2. Erweitern Sie im Bereich Configuration Schritt 1. Lösen Sie die automatische Bereitstellung der erforderlichen Azure Ressourcen /SOC Engineer aus, und wählen Sie Deploy required Azure resources aus.

    Wichtig

    Wenn Sie nicht über die Rolle Entra ID Application Developer oder höher verfügen und Deploy required Azure resources auswählen, wird eine Fehlermeldung angezeigt, z. B. "Bereitstellen erforderlicher Azure Ressourcen" (Fehler können variieren). Dies bedeutet, dass die Datensammlungsregel (Data Collection Rule, DCE) und der Datensammlungsendpunkt (Data Collection Rule, DCE) erstellt wurden, aber Sie müssen sicherstellen, dass Ihre Entra ID App-Registrierung autorisiert ist. Fahren Sie mit der Einrichtung der richtigen Autorisierung fort.

    Hinweis

    Bei der Bereitstellung der erforderlichen Azure-Ressourcen für die Microsoft Sentinel-Lösung für SAP-Anwendungen (ohne Agenten) kann es bis zu 45 Sekunden dauern, bis Azure Resource Manager (ARM) die Ressourcenanbietervorgänge abgeschlossen hat. Während dieser Zeit wird die Bereitstellung möglicherweise verzögert angezeigt. Dies ist das erwartete Verhalten. Warten Sie, bis der Vorgang abgeschlossen ist, bevor Sie den Vorgang erneut versuchen oder erneut bereitstellen.

  3. Führen Sie eine der folgenden Aktionen aus:

    • Wenn Sie über die Rolle Entra ID Application Developer oder höher verfügen, fahren Sie mit dem nächsten Schritt fort.

    • Wenn Sie nicht über die Rolle "Entra ID Anwendungsentwickler oder höher verfügen:

      • Teilen Sie die DCR-ID an Ihren Entra ID-Administrator oder an einen Kollegen mit den erforderlichen Berechtigungen.
      • Stellen Sie sicher, dass die Rolle Monitoring Metrics Publisher auf dem DCR zugewiesen ist und dass die Dienstprinzipalzuweisung die Client-ID aus der Entra ID-App-Registrierung verwendet.
      • Rufen Sie die Client-ID und den geheimen Clientschlüssel aus der Entra ID App-Registrierung ab, die für die Autorisierung für den DCR verwendet werden soll.

      Der SAP-Administrator verwendet die Client-ID und das Client-Geheimnis, um Daten an den DCR zu übermitteln.

      Hinweis

      Wenn Sie EIN SAP-Administrator sind und keinen Zugriff auf die Connectorinstallation haben, laden Sie das Integrationspaket direkt herunter.

  4. Scrollen Sie nach unten, und wählen Sie "SAP-Client hinzufügen" aus.

  5. Geben Sie im Bereich "Mit einem SAP-Client verbinden" die folgenden Details ein:

    Feld Beschreibung
    RFC-Zielname Der Name des RFC-Ziels, das vom BTP-Ziel stammt
    Client-ID für SAP ohne Agent Der clientid-Wert, der aus der JSON-Datei des "Process Integration Runtime Service Keys" entnommen wurde.
    Geheimer Clientschlüssel für SAP ohne Agent Der Wert clientsecret, der aus der JSON-Datei des Service-Schlüssels für die Process Integration Runtime entnommen wurde.
    URL des Autorisierungsservers Der Wert tokenurl, entnommen aus der JSON-Datei des „Process Integration Runtime“-Service-Schlüssels. Beispiel: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Integration Suite-Endpunkt Der Wert url, entnommen aus der JSON-Datei des "Process Integration Runtime Service Keys". Beispiel: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. Wählen Sie Verbinden aus.

Wichtig

Es kann einige Wartezeiten bei der ersten Verbindung geben. Weitere Details finden Sie hier, um den Connector zu überprüfen.

Massenintegration von SAP-Systemen in großem Maßstab

Um SAP-Systeme in die Sentinel-Lösung für SAP-Anwendungen zu integrieren, werden API- und CLI-basierte Ansätze empfohlen. Erste Schritte mit dieser Skriptbibliothek.

Drehen des geheimen BTP-Clientschlüssels

Wir empfehlen Ihnen, die vom Daten-Connector verwendeten BTP Subaccount Client Secrets regelmäßig zu rotieren. Für einen automatisierten, plattformbasierten Ansatz lesen Sie unseren Blogbeitrag Automatische SAP BTP Trust Store Zertifikaterneuerung mit Azure Key Vault – oder wie Sie sich nie wieder um Ablaufdaten kümmern müssen (SAP-Blog).

Diese script-Bibliothek veranschaulicht den automatischen Vorgang zum Aktualisieren eines vorhandenen Datenconnectors mit einem neuen geheimen Schlüssel.

Anpassen des Datenkonnektorverhaltens (optional)

Wenn Sie über einen SAP Agentless Data Connector für Microsoft Sentinel verfügen, können Sie die SAP Integration Suite verwenden, um anzupassen, wie der agentlose Datenkonnektor Daten aus Ihrem SAP-System in Microsoft Sentinel einnimmt.

Dieses Verfahren ist nur relevant, wenn Sie das VERHALTEN des SAP-Agentenlosen Datenkonnektors anpassen möchten. Überspringen Sie dieses Verfahren, wenn Sie mit der Standardfunktionalität zufrieden sind. Wenn Sie beispielsweise Sybase verwenden, empfehlen wir, die Protokollierung von Änderungsdokumenten im IFlow zu deaktivieren, indem Sie den Parameter collect-changedocs-logs konfigurieren. Aufgrund von Datenbankleistungsproblemen wird das Erfassen von Änderungsdokumentationsprotokolle von Sybase nicht unterstützt.

Tipp

In diesem Blog finden Sie weitere Einblicke in die Auswirkungen der Außerkraftsetzung der Standardwerte.

Voraussetzungen für das Anpassen des Datenkonnektorverhaltens

Herunterladen der Konfigurationsdatei und Anpassen von Einstellungen

  1. Laden Sie die Standarddatei example-parameters.zip herunter, die Einstellungen zum Definieren des Standardverhaltens bereitstellt und ein guter Ausgangspunkt für die Anpassung ist.

    Speichern Sie die example-parameters.zip Datei an einem Speicherort, auf den Sie in Ihrer SAP Integration Suite-Umgebung zugreifen können.

  2. Verwenden Sie die standardmäßigen SAP-Verfahren zum Hochladen einer Wertzuordnungsdatei und Vornehmen von Änderungen zum Anpassen Ihrer Datenkonnektoreinstellungen:

    1. Laden Sie die dateiexample-parameters.zip als Wertzuordnungsartefakt in die SAP Integration Suite hoch. Weitere Informationen finden Sie in der SAP-Dokumentation.

    2. Verwenden Sie eine der folgenden Methoden, um Ihre Einstellungen anzupassen:

      • Um Einstellungen für alle SAP-Systeme anzupassen, fügen Sie Wertzuordnungen für die globale bidirektionale Zuordnungsagentur hinzu.
      • Um Einstellungen für bestimmte SAP-Systeme anzupassen, fügen Sie neue bidirektionale Zuordnungsagenturen für jedes SAP-System hinzu, und fügen Sie dann Wertzuordnungen für jedes einzelne hinzu. Benennen Sie Ihre Agenturen so, dass sie genau mit dem Namen des RFC-Ziels übereinstimmen, das Sie anpassen möchten, z. B. myRfc, key, myRfc, value.

      Weitere Informationen finden Sie in der SAP-Dokumentation zum Konfigurieren von Wertzuordnungen

    Stellen Sie sicher, dass Sie das Artefakt deployen, wenn Sie die Anpassung abgeschlossen haben, damit die aktualisierten Einstellungen aktiviert werden.

In der folgenden Tabelle sind die anpassbaren Parameter für den SAP-Agentless-Datenkonnektor für Microsoft Sentinel aufgeführt:

Parameter Beschreibung Zulässige Werte Standardwert
changedocs-object-classes Liste der Objektklassen, die aus Änderungsdokumentprotokollen aufgenommen werden. Durch Trennzeichen getrennte Liste von Objektklassen BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
Prüfprotokolle sammeln Bestimmt, ob Überwachungsprotokolldaten erfasst werden oder nicht. wahr: Erfasst
false: Nicht aufgenommen		 STIMMT
collect-changedocs-logs Bestimmt, ob Änderungsdokumentationsprotokolle erfasst werden oder nicht. wahr: Erfasst
false: Nicht aufgenommen		 STIMMT
Sammeln von Benutzerstammdaten Bestimmt, ob Benutzermasterdaten erfasst werden oder nicht. wahr: Erfasst
false: Nicht aufgenommen		 STIMMT
force-audit-log-to-read-from-all-clients Bestimmt, ob das Überwachungsprotokoll von allen Clients gelesen wird. true: Von allen Clients lesen
false: Nicht von allen Clients gelesen		 FALSCH
Aufnahme-Zyklus-Tage Zeit in Tagen, die zum Erfassen der vollständigen Benutzermasterdaten, einschließlich aller Rollen und Benutzenden, erteilt werden. Dieser Parameter wirkt sich nicht auf die Aufnahme von Änderungen an Benutzermasterdaten aus. Ganze Zahl zwischen 1-14 1
offset-in-seconds Bestimmt den Offset in Sekunden für die Start- und Endzeiten eines Datensammlungsfensters. Verwenden Sie diesen Parameter, um die Datensammlung um die konfigurierte Anzahl von Sekunden zu verzögern. Ganze Zahl zwischen 1-600 60
Max-Zeilen Dient als Schutz, der die Anzahl der in einem einzigen Datensammlungsfenster verarbeiteten Datensätze begrenzt. Dadurch können Leistungs- oder Speicherprobleme in CPI vermieden werden, die durch eine plötzliche Zunahme des Ereignisvolumes verursacht werden. Eine ganze Zahl zwischen 1 und 1000000 150000

Überprüfen von Konnektivität und Integrität

Überprüfen Sie nach der Bereitstellung des SAP-Datenconnectors die Integrität und Konnektivität Ihres Agents. Weitere Informationen finden Sie unter Überwachen der Integrität und Rolle Ihrer SAP-Systeme.

Nächster Schritt

Nachdem der Connector bereitgestellt wurde, konfigurieren Sie die Microsoft Sentinel Lösung für SAP-Anwendungsinhalte. Insbesondere das Konfiguration von Details in den Watchlists ist ein wesentlicher Schritt bei der Aktivierung von Erkennungen und Bedrohungsschutz.

Aktivieren von SAP-Erkennungen und -Bedrohungsschutz

  • Last updated on