Verbinden Ihres SAP-Systems mit Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Damit die Microsoft Sentinel Lösung für SAP-Anwendungen ordnungsgemäß funktioniert, müssen Sie zuerst Ihre SAP-Daten in Microsoft Sentinel. Stellen Sie dazu entweder den Microsoft Sentinel SAP-Datenconnector-Agent bereit oder verbinden Sie den Microsoft Sentinel Agentless-Datenconnector für SAP. Wählen Sie die Option oben auf der Seite aus, die Ihrer Umgebung entspricht.

In diesem Artikel wird der dritte Schritt bei der Bereitstellung einer der Microsoft Sentinel Lösungen für SAP-Anwendungen beschrieben.

Wichtig

Der Datenconnector-Agent für SAP ist veraltet und wird bis zum 14. September 2026 dauerhaft deaktiviert. Es wird empfohlen, zum Datenconnector ohne Agent zu migrieren. Erfahren Sie mehr über den Agentless-Ansatz in unserem Blogbeitrag.

Diagramm des Bereitstellungsablaufs für SAP-Lösungen mit hervorgehobenem Schritt

Die Inhalte in diesem Artikel sind für Ihre Sicherheits-, Infrastruktur- und SAP BASIS-Teams relevant. Stellen Sie sicher, dass Sie die Schritte in diesem Artikel in der Reihenfolge ausführen, in der sie angezeigt werden.

Diagramm des Bereitstellungsablaufs für SAP-Lösungen mit hervorgehobenem Schritt

Die Inhalte in diesem Artikel sind für Ihr Sicherheitsteam relevant.

Voraussetzungen

Bevor Sie Ihr SAP-System mit Microsoft Sentinel verbinden:

Sehen Sie sich ein Demovideo an

Sehen Sie sich eine der folgenden Videodemonstrationen des in diesem Artikel beschriebenen Bereitstellungsprozesses an.

Ausführliche Informationen zu den Portaloptionen:

Enthält weitere Details zur Verwendung von Azure KeyVault. Kein Audio, Demonstration nur mit Untertiteln:

Erstellen eines virtuellen Computers und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen

Es wird empfohlen, einen dedizierten virtuellen Computer für Ihren Datenconnector-Agent-Container zu erstellen, um eine optimale Leistung sicherzustellen und potenzielle Konflikte zu vermeiden. Weitere Informationen finden Sie unter Systemvoraussetzungen für den Datenconnector-Agent-Container.

Es wird empfohlen, Ihre SAP- und Authentifizierungsgeheimnisse in einem Azure Key Vault zu speichern. Wie Sie auf Ihren Schlüsseltresor zugreifen, hängt davon ab, wo Ihr virtueller Computer (VM) bereitgestellt wird:

Bereitstellungsmethode Access-Methode
Container auf einer Azure VM Es wird empfohlen, eine Azure systemseitig zugewiesene verwaltete Identität für den Zugriff auf Azure Key Vault zu verwenden.

Wenn eine systemseitig zugewiesene verwaltete Identität nicht verwendet werden kann, kann sich der Container auch bei Azure Key Vault authentifizieren, indem ein Microsoft Entra ID dienstprinzipal registrierter Anwendung oder als letztes Mittel eine Konfigurationsdatei verwendet wird.
Ein Container auf einem lokalen virtuellen Computer oder ein virtueller Computer in einer Cloudumgebung eines Drittanbieters Authentifizieren Sie sich bei Azure Key Vault mithilfe eines Microsoft Entra ID registrierten Anwendungsdienstprinzipals.

Wenn Sie keine registrierte Anwendung oder einen Dienstprinzipal verwenden können, verwenden Sie eine Konfigurationsdatei, um Ihre Anmeldeinformationen zu verwalten, obwohl diese Methode nicht bevorzugt wird. Weitere Informationen finden Sie unter Bereitstellen des Datenconnectors mithilfe einer Konfigurationsdatei.

Weitere Informationen finden Sie unter:

Ihr virtueller Computer wird in der Regel von Ihrem Infrastrukturteam erstellt. Das Konfigurieren des Zugriffs auf Anmeldeinformationen und die Verwaltung von Schlüsseltresoren erfolgt in der Regel von Ihrem Sicherheitsteam .

Erstellen einer verwalteten Identität mit einer Azure-VM

  1. Führen Sie den folgenden Befehl aus, um einen virtuellen Computer in Azure zu erstellen, und ersetzen Sie die tatsächlichen Namen aus Ihrer Umgebung durch <placeholders>:

    az vm create --resource-group <resource group name> --name <VM Name> --image Canonical:0001-com-ubuntu-server-focal:20_04-lts-gen2:latest --admin-username <azureuser> --public-ip-address "" --size  Standard_D2as_v5 --generate-ssh-keys --assign-identity --role <role name> --scope <subscription Id>

    Weitere Informationen finden Sie unter Schnellstart: Erstellen eines Linux virtuellen Computers mit der Azure CLI.

    Wichtig

    Achten Sie nach der Erstellung des virtuellen Computers darauf, alle Sicherheitsanforderungen und Härtungsverfahren anzuwenden, die in Ihrem organization gelten.

    Dieser Befehl erstellt die VM-Ressource und erzeugt eine Ausgabe, die wie folgt aussieht:

    {
  "fqdns": "",
  "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourcegroupname/providers/Microsoft.Compute/virtualMachines/vmname",
  "identity": {
    "systemAssignedIdentity": "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy",
    "userAssignedIdentities": {}
  },
  "location": "westeurope",
  "macAddress": "00-11-22-33-44-55",
  "powerState": "VM running",
  "privateIpAddress": "192.168.136.5",
  "publicIpAddress": "",
  "resourceGroup": "resourcegroupname",
  "zones": ""
}

  2. Kopieren Sie die systemAssignedIdentity-GUID , wie sie in den nächsten Schritten verwendet wird. Dies ist Ihre verwaltete Identität.

Erstellen eines Schlüsseltresors

In diesem Verfahren wird beschrieben, wie Sie einen Schlüsseltresor erstellen, um Ihre Agent-Konfigurationsinformationen zu speichern, einschließlich Ihrer SAP-Authentifizierungsgeheimnisse. Wenn Sie einen vorhandenen Schlüsseltresor verwenden, fahren Sie direkt mit Schritt 2 fort.

So erstellen Sie Ihren Schlüsseltresor:

  1. Führen Sie die folgenden Befehle aus, und ersetzen Sie dabei die tatsächlichen Namen für die <placeholder> Werte.

    az keyvault create \
  --name <KeyVaultName> \
  --resource-group <KeyVaultResourceGroupName>

  2. Kopieren Sie den Namen Ihres Schlüsseltresors und den Namen seiner Ressourcengruppe. Sie benötigen diese, wenn Sie die Zugriffsberechtigungen für den Schlüsseltresor zuweisen und das Bereitstellungsskript in den nächsten Schritten ausführen.

Zuweisen von Key Vault-Zugriffsberechtigungen

  1. Weisen Sie in Ihrem Schlüsseltresor die Rolle Azure Key Vault Geheimnisleser der Identität zu, die Sie zuvor erstellt und kopiert haben.

  2. Weisen Sie dem Benutzer, der den Datenconnector-Agent konfiguriert, im selben Schlüsseltresor die folgenden Azure Rollen zu:

    • Key Vault Mitwirkender, um den Agent bereitzustellen
    • Key Vault Secrets Officer, um neue Systeme hinzuzufügen

Bereitstellen des Datenconnector-Agents über das Portal (Vorschau)

Nachdem Sie nun eine VM und eine Key Vault erstellt haben, erstellen Sie im nächsten Schritt einen neuen Agent und stellen eine Verbindung mit einem Ihrer SAP-Systeme her. Sie können zwar mehrere Datenconnector-Agents auf einem einzelnen Computer ausführen, es wird jedoch empfohlen, nur mit einem Computer zu beginnen, die Leistung zu überwachen und dann die Anzahl der Connectors langsam zu erhöhen.

In diesem Verfahren wird beschrieben, wie Sie einen neuen Agent erstellen und ihn über die Azure- oder Defender-Portale mit Ihrem SAP-System verbinden. Es wird empfohlen, dass Ihr Sicherheitsteam dieses Verfahren mit Hilfe des SAP BASIS-Teams durchführt.

Die Bereitstellung des Datenconnector-Agents über das Portal wird sowohl über die Azure-Portal als auch über das Defender-Portal unterstützt, wenn Microsoft Sentinel in das Defender-Portal integriert ist.

Die Bereitstellung wird zwar auch über die Befehlszeile unterstützt, es wird jedoch empfohlen, das Portal für typische Bereitstellungen zu verwenden. Datenconnector-Agents, die über die Befehlszeile bereitgestellt werden, können nur über die Befehlszeile und nicht über das Portal verwaltet werden. Weitere Informationen finden Sie unter Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile.

Wichtig

Das Bereitstellen des Containers und das Erstellen von Verbindungen mit SAP-Systemen über das Portal befindet sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.

Voraussetzungen:

  • Um Ihren Datenconnector-Agent über das Portal bereitzustellen, benötigen Sie Folgendes:

    • Authentifizierung über eine verwaltete Identität oder eine registrierte Anwendung
    • In einem Azure Key Vault gespeicherte Anmeldeinformationen

    Wenn Diese Voraussetzungen nicht erfüllt sind, stellen Sie stattdessen den SAP-Datenconnector-Agent über die Befehlszeile bereit.

  • Zum Bereitstellen des Datenconnector-Agents benötigen Sie auch sudo- oder root-Berechtigungen auf dem Computer des Datenconnectors-Agents.

  • Wenn Sie NetWeaver-/ABAP-Protokolle über eine sichere Verbindung mithilfe von Secure Network Communications (SNC) erfassen möchten, benötigen Sie Folgendes:

    • Der Pfad zur sapgenpse Binärdatei und libsapcrypto.so Bibliothek
    • Die Details Ihres Clientzertifikats

    Weitere Informationen finden Sie unter Konfigurieren Ihres Systems für die Verwendung von SNC für sichere Verbindungen.

So stellen Sie den Datenconnector-Agent bereit:

  1. Melden Sie sich bei der neu erstellten VM an, auf der Sie den Agent installieren, als Benutzer mit sudo-Berechtigungen.

  2. Laden Sie das SAP NetWeaver SDK herunter, und/oder übertragen Sie es auf den Computer.

  3. Wählen Sie Microsoft Sentinel Konfigurationsdatenconnectors >aus.

  4. Geben Sie in der Suchleiste SAP ein. Wählen Sie in den Suchergebnissen Microsoft Sentinel für SAP - Agent-basiert und dann Connectorseite öffnen aus.

  5. Wählen Sie im Bereich Konfiguration die Option Neuen Agent hinzufügen (Vorschau) aus.

    Screenshot der Anweisungen zum Hinzufügen eines SAP-API-basierten Collector-Agents.

  6. Geben Sie im Bereich Collector-Agent erstellen die folgenden Agent-Details ein:

    Name Beschreibung
    Name des Agents Geben Sie einen aussagekräftigen Agentnamen für Ihre organization ein. Es wird keine bestimmte Benennungskonvention empfohlen, mit der Ausnahme, dass der Name nur die folgenden Zeichentypen enthalten kann:
    • a-z
    • A-Z
    • 0-9
    • _ (Unterstrich)
    • . (Punkt)
    • - (Bindestrich)
    Abonnement / Schlüsseltresor Wählen Sie in ihren jeweiligen Dropdownlisten die Optionen Abonnement und Schlüsseltresor aus.
    Pfad der NWRFC SDK-ZIP-Datei auf der Agent-VM Geben Sie den Pfad in Ihrem virtuellen Computer ein, der das ARCHIV DES SAP NetWeaver Remote Function Call (RFC) Software Development Kit (SDK) enthält (.zip-Datei).

    Stellen Sie sicher, dass dieser Pfad die SDK-Versionsnummer in der folgenden Syntax enthält: <path>/NWRFC<version number>.zip. Beispiel: /src/test/nwrfc750P_12-70002726.zip.
    Aktivieren der SNC-Verbindungsunterstützung Wählen Sie diese Option aus, um NetWeaver/ABAP-Protokolle über eine sichere Verbindung mithilfe von SNC zu erfassen.

    Wenn Sie diese Option auswählen, geben Sie den Pfad ein, der die Binärdatei und die sapgenpse Bibliothek enthält, unter Pfad der SAP-Kryptografiebibliothek auf der Agent-VM.libsapcrypto.so

    Wenn Sie eine SNC-Verbindung verwenden möchten, stellen Sie sicher, dass Sie in dieser Phase Unterstützung für SNC-Verbindungen aktivieren auswählen, da Sie nach der Bereitstellung des Agents keine SNC-Verbindung mehr aktivieren können. Wenn Sie diese Einstellung später ändern möchten, empfiehlt es sich, stattdessen einen neuen Agent zu erstellen.
    Authentifizierung bei Azure Key Vault Um sich mit einer verwalteten Identität bei Ihrem Schlüsseltresor zu authentifizieren, lassen Sie die Option "Verwaltete Standardidentität " aktiviert. Um sich mit einer registrierten Anwendung bei Ihrem Schlüsseltresor zu authentifizieren, wählen Sie Anwendungsidentität aus.

    Sie müssen die verwaltete Identität oder die registrierte Anwendung im Voraus einrichten. Weitere Informationen finden Sie unter Erstellen eines virtuellen Computers und Konfigurieren des Zugriffs auf Ihre Anmeldeinformationen.

    Zum Beispiel:

    Screenshot des Bereichs

  7. Wählen Sie Erstellen aus, und überprüfen Sie die Empfehlungen, bevor Sie die Bereitstellung abschließen:

    Screenshot der letzten Phase der Agent-Bereitstellung.

  8. Die Bereitstellung des SAP-Datenconnector-Agents erfordert, dass Sie die VM-Identität Ihres Agents mit bestimmten Berechtigungen für den Microsoft Sentinel Arbeitsbereich erteilen, indem Sie die Rollen Microsoft Sentinel Business Applications-Agent-Operator und Leser verwenden.

    Zum Ausführen der Befehle in diesem Schritt müssen Sie Besitzer einer Ressourcengruppe in Ihrem Microsoft Sentinel Arbeitsbereich sein. Wenn Sie kein Ressourcengruppenbesitzer in Ihrem Arbeitsbereich sind, kann dieses Verfahren auch nach Abschluss der Agent-Bereitstellung ausgeführt werden.

    Kopieren Sie die Rollenzuweisungsbefehle aus Schritt 1 unter Noch einige weitere Schritte, und führen Sie sie auf Ihrer Agent-VM aus. Ersetzen Sie dabei den Platzhalter durch die [Object_ID] Objekt-ID Ihrer VM-Identität. Zum Beispiel:

    Screenshot des Kopiersymbols für den Befehl aus Schritt 1.

    So suchen Sie ihre VM-Identitätsobjekt-ID in Azure:

    • Bei einer verwalteten Identität wird die Objekt-ID auf der Seite Identität des virtuellen Computers aufgeführt.

    • Für einen Dienstprinzipal wechseln Sie zu Unternehmensanwendung in Azure. Wählen Sie Alle Anwendungen und dann Ihren virtuellen Computer aus. Die Objekt-ID wird auf der Seite Übersicht angezeigt.

    Diese Befehle weisen die Rollen Microsoft Sentinel Business Applications-Agent-Operator und -Leser Azure der verwalteten oder Anwendungsidentität Ihres virtuellen Computers zu, einschließlich nur des Bereichs der Daten des angegebenen Agents im Arbeitsbereich.

    Wichtig

    Durch Zuweisen der Rollen Microsoft Sentinel Business Applications-Agent-Operator und Leser über die CLI werden die Rollen nur für den Bereich der Daten des angegebenen Agents im Arbeitsbereich zugewiesen. Dies ist die sicherste und daher empfohlene Option.

    Wenn Sie die Rollen über die Azure-Portal zuweisen müssen, empfiehlt es sich, die Rollen in einem kleinen Bereich zuzuweisen, z. B. nur im Microsoft Sentinel Arbeitsbereich.

  9. Wählen Sie KopierenScreenshot des Kopiersymbols neben dem Agent-Bereitstellungsbefehl aus. Neben dem Befehl Agent-Bereitstellung in Schritt 2. Zum Beispiel:

    Screenshot des Zu kopierenden Agent-Befehls in Schritt 2.

  10. Kopieren Sie die Befehlszeile an einen separaten Speicherort, und wählen Sie dann Schließen aus.

    Die relevanten Agent-Informationen werden in Azure Key Vault bereitgestellt, und der neue Agent wird in der Tabelle unter Hinzufügen eines API-basierten Collector-Agents angezeigt.

    In diesem Stadium lautet die Integritäts-status des Agents "Unvollständige Installation. Folgen Sie bitte den Anweisungen". Sobald der Agent erfolgreich installiert wurde, ändert sich der status in "Agent fehlerfrei". Dieses Update kann bis zu 10 Minuten dauern. Zum Beispiel:

    Screenshot: Integritätsstatus von API-basierten Collector-Agents auf der Seite

    Hinweis

    In der Tabelle werden der Agentname und die integritätsbasierte status nur für die Agents angezeigt, die Sie über die Azure-Portal bereitstellen. Über die Befehlszeile bereitgestellte Agents werden hier nicht angezeigt. Weitere Informationen finden Sie stattdessen auf der Registerkarte Befehlszeile.

  11. Öffnen Sie auf dem virtuellen Computer, auf dem Sie den Agent installieren möchten, ein Terminal, und führen Sie den Agent-Bereitstellungsbefehl aus, den Sie im vorherigen Schritt kopiert haben. Für diesen Schritt sind sudo- oder root-Berechtigungen auf dem Computer des Datenconnectors-Agents erforderlich.

    Das Skript aktualisiert die Betriebssystemkomponenten und installiert die Azure CLI, Docker-Software und andere erforderliche Hilfsprogramme wie jq, netcat und curl.

    Stellen Sie dem Skript nach Bedarf zusätzliche Parameter bereit, um die Containerbereitstellung anzupassen. Weitere Informationen zu den verfügbaren Befehlszeilenoptionen finden Sie unter Kickstart-Skriptreferenz.

    Wenn Sie Ihren Befehl erneut kopieren müssen, wählen SieScreenshot des Ansichtssymbols neben der Spalte Integrität aus. Rechts neben der Spalte Integrität , und kopieren Sie den Befehl neben Agent-Bereitstellungsbefehl unten rechts.

  12. Wählen Sie auf der Seite Microsoft Sentinel Lösung für den Datenconnector der SAP-Anwendung im Bereich Konfiguration die Option Neues System hinzufügen (Vorschau) aus, und geben Sie die folgenden Details ein:

    • Wählen Sie unter Agent auswählen den Agent aus, den Sie zuvor erstellt haben.

    • Wählen Sie unter Systembezeichner den Servertyp aus:

      • ABAP-Server
      • Message Server , um einen Nachrichtenserver als Teil eines ABAP SAP Central Services (ASCS) zu verwenden.

    • Fahren Sie fort, indem Sie verwandte Details für Ihren Servertyp definieren:

      • Geben Sie für einen ABAP-Server die IP-Adresse/den FQDN des ABAP-Anwendungsservers, die System-ID und -Nummer sowie die Client-ID ein.
      • Geben Sie für einen Nachrichtenserver die IP-Adresse/den FQDN des Nachrichtenservers, die Portnummer oder den Dienstnamen und die Anmeldegruppe ein.

    Wenn Sie fertig sind, wählen Sie Weiter: Authentifizierung aus.

    Zum Beispiel:

    Screenshot der Registerkarte

  13. Geben Sie auf der Registerkarte Authentifizierung die folgenden Details ein:

    • Geben Sie für die Standardauthentifizierung den Benutzer und das Kennwort ein.
    • Wenn Sie beim Einrichten des Agents eine SNC-Verbindung ausgewählt haben, wählen Sie SNC aus, und geben Sie die Zertifikatdetails ein.

    Wenn Sie fertig sind, wählen Sie Weiter: Protokolle aus.

  14. Wählen Sie auf der Registerkarte Protokolle die Protokolle aus, die Sie von SAP erfassen möchten, und wählen Sie dann Weiter: Überprüfen und erstellen aus. Zum Beispiel:

    Screenshot der Registerkarte

  15. (Optional) Um optimale Ergebnisse bei der Überwachung der SAP PAHI-Tabelle zu erzielen, wählen Sie Konfigurationsverlauf aus. Weitere Informationen finden Sie unter Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird.

  16. Überprüfen Sie die von Ihnen definierten Einstellungen. Wählen Sie Zurück aus, um einstellungen zu ändern, oder wählen Sie Bereitstellen aus, um das System bereitzustellen.

Die von Ihnen definierte Systemkonfiguration wird in der Azure Key Vault bereitgestellt, die Sie während der Bereitstellung definiert haben. Die Systemdetails werden nun in der Tabelle unter Sap-System konfigurieren und einem Collector-Agent zuweisen angezeigt. In dieser Tabelle werden der zugehörige Agentname, die SAP-System-ID (SID) und die integritätsbasierte status für Systeme angezeigt, die Sie über das Portal oder auf andere Weise hinzugefügt haben.

In dieser Phase ist die Integritäts-status des Systems ausstehend. Wenn der Agent erfolgreich aktualisiert wurde, ruft er die Konfiguration aus Azure Key Vault ab, und die status ändert sich in System fehlerfrei. Dieses Update kann bis zu 10 Minuten dauern.

Verbinden Ihres Datenconnectors ohne Agent

  1. Navigieren Sie Microsoft Sentinel zur Seite Konfigurationsdatenconnectors>, und suchen Sie die Microsoft Sentinel für SAP – Datenconnector ohne Agent.

  2. Erweitern Sie im Bereich Konfiguration Schritt 1. Lösen Sie die automatische Bereitstellung der erforderlichen Azure Ressourcen/SOC Engineer aus, und wählen Sie Erforderliche Azure Ressourcen bereitstellen aus.

    Wichtig

    Wenn Sie nicht über die Rolle Entra-ID-Anwendungsentwickler oder höher verfügen und erforderliche Azure Ressourcen bereitstellen auswählen, wird eine Fehlermeldung angezeigt, z. B.: "Erforderliche Azure Ressourcen bereitstellen" (Fehler können variieren). Dies bedeutet, dass die Datensammlungsregel (Data Collection Rule, DCR) und der Datensammlungsendpunkt (DATA Collection Endpoint, DCE) erstellt wurden. Sie müssen jedoch sicherstellen, dass Ihre Entra-ID-App-Registrierung autorisiert ist. Fahren Sie mit dem Einrichten der richtigen Autorisierung fort.

    Hinweis

    Bei der Bereitstellung der erforderlichen Azure Ressourcen für die Microsoft Sentinel Lösung für SAP-Anwendungen (ohne Agent) kann Azure Resource Manager (ARM) bis zu 45 Sekunden dauern, bis ressourcenanbietervorgänge abgeschlossen sind. Während dieser Zeit wird die Bereitstellung möglicherweise verzögert angezeigt. Dieses Verhalten wird erwartet. Warten Sie, bis der Vorgang abgeschlossen ist, bevor Sie es erneut versuchen oder erneut bereitstellen.

  3. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie über die Rolle anwendungsentwickler Entra ID oder höher verfügen, fahren Sie mit dem nächsten Schritt fort.

    • Wenn Sie nicht über die Rolle Entra-ID-Anwendungsentwickler oder höher verfügen:

      • Geben Sie die DCR-ID mit Ihrem Entra-ID-Administrator oder Kollegen mit den erforderlichen Berechtigungen frei.
      • Stellen Sie sicher, dass die Rolle Herausgeber von Überwachungsmetriken auf dem DCR zugewiesen ist, wobei die Dienstprinzipalzuweisung die Client-ID aus der Entra-ID-App-Registrierung verwendet wird.
      • Rufen Sie die Client-ID und den geheimen Clientschlüssel aus der Entra-ID-App-Registrierung ab, die für die Autorisierung auf dem DCR verwendet werden soll.

      Der SAP-Administrator verwendet die Client-ID und die Informationen zum geheimen Clientschlüssel, um eine Veröffentlichung an den DCR zu senden.

      Hinweis

      Wenn Sie SAP-Administrator sind und keinen Zugriff auf die Connectorinstallation haben, laden Sie das Integrationspaket direkt herunter.

  4. Scrollen Sie nach unten, und wählen Sie SAP-Client hinzufügen aus.

  5. Geben Sie im Bereich Verbindung mit einem SAP-Client herstellen die folgenden Details ein:

    Feld Beschreibung
    RFC-Zielname Der Name des RFC-Ziels aus Ihrem BTP-Ziel.
    CLIENT-ID ohne SAP-Agent Der Clientid-Wert aus der JSON-Datei "Process Integration Runtime-Dienstschlüssels".
    Geheimer SAP-Clientschlüssel ohne Agent Der clientecret-Wert aus der JSON-Datei "Process Integration Runtime-Dienstschlüssels".
    Autorisierungsserver-URL Der tokenurl-Wert, der aus der JSON-Datei des Dienstschlüssels "Process Integration Runtime" stammt. Beispiel: https://your-tenant.authentication.region.hana.ondemand.com/oauth/token
    Integration Suite-Endpunkt Der URL-Wert, der aus der JSON-Datei des Dienstschlüssels "Process Integration Runtime" stammt. Beispiel: https://your-tenant.it-account-rt.cfapps.region.hana.ondemand.com

  6. Wählen Sie Verbinden aus.

Wichtig

Bei der ersten Verbindung kann es zu wartezeiten kommen. Weitere Informationen zum Überprüfen des Connectors finden Sie hier.

Mass-Onboard SAP-Systeme im großen Stil

Um SAP-Systeme in die Sentinel Lösung für SAP-Anwendungen im großen Stil zu integrieren, werden API- und CLI-basierte Ansätze empfohlen. Erste Schritte mit dieser Skriptbibliothek.

Rotieren des geheimen BTP-Clientschlüssels

Es wird empfohlen, die vom Datenconnector verwendeten geheimen Clientschlüssel des BTP-Unterkontos in regelmäßigen Abständen zu rotieren. Einen automatisierten, plattformbasierten Ansatz finden Sie in unserer automatischen Erneuerung des SAP BTP-Vertrauensspeicherzertifikats mit Azure Key Vault – oder wie Sie ein für alle Mal nicht mehr über Ablaufdatum nachdenken (SAP-Blog).

Diese Skriptbibliothek veranschaulicht den automatischen Prozess zum Aktualisieren eines vorhandenen Datenconnectors mit einem neuen Geheimnis.

Anpassen des Datenconnectorverhaltens (optional)

Wenn Sie über einen DATENconnector ohne SAP-Agent für Microsoft Sentinel verfügen, können Sie die SAP Integration Suite verwenden, um anzupassen, wie der Agentlose Datenconnector Daten aus Ihrem SAP-System in Microsoft Sentinel erfasst.

Dieses Verfahren ist nur relevant, wenn Sie das Verhalten des SAP-Datenconnectors ohne Agent anpassen möchten. Überspringen Sie dieses Verfahren, wenn Sie mit der Standardfunktionalität zufrieden sind. Wenn Sie beispielsweise Sybase verwenden, empfiehlt es sich, die Erfassung für Änderungsdokumentationsprotokolle in iflow zu deaktivieren, indem Sie den Parameter collect-changedocs-logs konfigurieren. Aufgrund von Problemen mit der Datenbankleistung wird das Erfassen von Änderungsdokumentationsprotokollen von Sybase nicht unterstützt.

Tipp

Weitere Informationen zu den Auswirkungen der Außerkraftsetzung der Standardwerte finden Sie in diesem Blog.

Voraussetzungen für das Anpassen des Verhaltens des Datenconnectors

Herunterladen der Konfigurationsdatei und Anpassen der Einstellungen

  1. Laden Sie die Standarddateiexample-parameters.zip herunter, die Einstellungen bereitstellt, die das Standardverhalten definieren und ein guter Ausgangspunkt für den Einstieg in die Anpassung sind.

    Speichern Sie die example-parameters.zip-Datei an einem Speicherort, auf den Ihre SAP Integration Suite-Umgebung zugreifen kann.

  2. Verwenden Sie die SAP-Standardverfahren, um eine Wertzuordnungsdatei hochzuladen und Änderungen vorzunehmen, um Die Einstellungen des Datenconnectors anzupassen:

    1. Laden Sie die example-parameters.zip-Datei als Wertzuordnungsartefakt in die SAP Integration Suite hoch. Weitere Informationen finden Sie in der SAP-Dokumentation.

    2. Verwenden Sie eine der folgenden Methoden, um Ihre Einstellungen anzupassen:

      • Um Einstellungen für alle SAP-Systeme anzupassen, fügen Sie Wertzuordnungen für die globale bidirektionale Zuordnung hinzu.
      • Um Einstellungen für bestimmte SAP-Systeme anzupassen, fügen Sie neue bidirektionale Zuordnungsagenturen für jedes SAP-System hinzu, und fügen Sie dann wertbezogene Zuordnungen für jedes system hinzu. Benennen Sie Ihre Agenturen so, dass sie genau mit dem Namen des RFC-Ziels übereinstimmen, das Sie anpassen möchten, z. B. myRfc, key, myRfc, value.

      Weitere Informationen finden Sie in der SAP-Dokumentation zum Konfigurieren von Wertzuordnungen.

    Stellen Sie sicher, dass Sie das Artefakt bereitstellen, wenn Sie die Anpassung zum Aktivieren der aktualisierten Einstellungen abgeschlossen haben.

In der folgenden Tabelle sind die anpassbaren Parameter für den SAP-Datenconnector ohne Agent für Microsoft Sentinel aufgeführt:

Parameter Beschreibung Zulässige Werte Standardwert
changedocs-object-classes Liste der Objektklassen, die aus Änderungsdokumentationsprotokollen erfasst werden. Durch Trennzeichen getrennte Liste von Objektklassen BANK, CLEARING, IBAN, IDENTITY, KERBEROS, OA2_CLIENT, PCA_BLOCK, PCA_MASTER, PFCG, SECM, SU_USOBT_C, SECURITY_POLICY, STATUS, SU22_USOBT, SU22_USOBX, SUSR_PROF, SU_USOBX_C, USER_CUA
collect-audit-logs Bestimmt, ob Überwachungsprotokolldaten erfasst werden. true: Erfasst
false: Nicht erfasst		 STIMMT
collect-changedocs-logs Bestimmt, ob Änderungsdokumentationsprotokolle erfasst werden. true: Erfasst
false: Nicht erfasst		 STIMMT
collect-user-master-data Bestimmt, ob Benutzermasterdaten erfasst werden. true: Erfasst
false: Nicht erfasst		 STIMMT
force-audit-log-to-read-from-all-clients Bestimmt, ob das Überwachungsprotokoll von allen Clients gelesen wird. true: Lesen von allen Clients
false: Nicht von allen Clients gelesen		 FALSE
Erfassungszyklus-Tage Zeit in Tagen zum Erfassen der vollständigen Benutzermasterdaten, einschließlich aller Rollen und Benutzer. Dieser Parameter wirkt sich nicht auf die Erfassung von Änderungen an Benutzermasterdaten aus. Ganze Zahl, zwischen 1-und 14 1
Offset in Sekunden Bestimmt den Offset in Sekunden für die Start- und Endzeit eines Datensammlungsfensters. Verwenden Sie diesen Parameter, um die Datensammlung um die konfigurierte Anzahl von Sekunden zu verzögern. Ganze Zahl, zwischen 1-600 60
max-rows Dient als Schutzmaßnahme, die die Anzahl der Datensätze einschränkt, die in einem einzelnen Datensammlungsfenster verarbeitet werden. Dies trägt dazu bei, Leistungs- oder Arbeitsspeicherprobleme im CPI zu verhindern, die durch einen plötzlichen Anstieg des Ereignisvolumens verursacht werden. Ganze Zahl, zwischen 1 und 10000000 150000

Überprüfen der Konnektivität und Integrität

Nachdem Sie den SAP-Datenconnector bereitgestellt haben, überprüfen Sie die Integrität und Konnektivität Ihres Agents. Weitere Informationen finden Sie unter Überwachen der Integrität und Rolle Ihrer SAP-Systeme.

Nächster Schritt

Nachdem der Connector bereitgestellt wurde, fahren Sie mit der Konfiguration der Microsoft Sentinel Lösung für DEN Inhalt von SAP-Anwendungen fort. Insbesondere ist das Konfigurieren von Details in den Watchlists ein wesentlicher Schritt beim Aktivieren von Erkennungen und Bedrohungsschutz.

Aktivieren von SAP-Erkennungen und Bedrohungsschutz

  • Last updated on