Condividi tramite

Distribuire la soluzione Microsoft Sentinel per SAP BTP

Questo articolo descrive come distribuire la soluzione Microsoft Sentinel per il sistema SAP Business Technology Platform (BTP). La soluzione Microsoft Sentinel per SAP BTP monitora e protegge il sistema SAP BTP. Raccoglie i log di controllo e i log attività dall'infrastruttura BTP e dalle app basate su BTP, quindi rileva minacce, attività sospette, attività illegittime e altro ancora. Altre informazioni sulla soluzione.

Importante

Uno spostamento dell'architettura nel connettore dati v3.0.11 per gestire i log SAP BTP ritardati richiede il nuovo onboarding degli account secondari SAP aggiunti prima di tale modifica. Per altri dettagli, vedere le note sulla versione . Prendere in considerazione gli strumenti di onboarding di massa per praticità.

Prerequisiti

Prima di iniziare, verificare che:

  • La soluzione Microsoft Sentinel è abilitata.
  • Si dispone di un'area di lavoro Microsoft Sentinel definita e si dispone delle autorizzazioni di lettura e scrittura per l'area di lavoro.
  • L'organizzazione usa SAP BTP (in un ambiente Cloud Foundry) per semplificare le interazioni con le applicazioni SAP e altre applicazioni aziendali.
  • Si dispone di un account secondario SAP BTP (che supporta gli account secondari BTP nell'ambiente Cloud Foundry). È anche possibile usare un account di valutazione SAP BTP.
  • Sono disponibili il servizio sap BTP auditlog-management e la chiave del servizio (vedere Configurare l'account secondario BTP e la soluzione).
  • Si dispone del ruolo Collaboratore Microsoft Sentinel nell'area di lavoro Microsoft Sentinel di destinazione.

Configurare l'account secondario BTP e la soluzione

Per configurare manualmente l'account secondario BTP e la soluzione dal cockpit E portale di Azure SAP BTP, seguire questa procedura:

  1. Dopo aver eseguito l'accesso all'account secondario BTP (vedere i prerequisiti), seguire la procedura di recupero del log di controllo nel sistema SAP BTP.

  2. Nel pannello di controllo SAP BTP selezionare Servizio di gestione log di controllo.

    Screenshot che mostra la selezione del servizio di gestione dei log di controllo BTP.

  3. Creare un'istanza del servizio di gestione dei log di controllo nell'account secondario BTP.

    Screenshot che mostra la creazione di un'istanza dell'account secondario BTP.

  4. Creare una chiave del servizio e registrare i valori per url, uaa.clientid, uaa.clientsecrete uaa.url. Questi valori sono necessari per distribuire il connettore dati.

    Ecco alcuni esempi di questi valori di campo:

    • url: https://auditlog-management.cfapps.us10.hana.ondemand.com
    • uaa.clientid: 00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
    • uaa.clientsecret: aaaaaaaa-0b0b-1c1c-2d2d-333333333333
    • uaa.url: https://trial.authentication.us10.hana.ondemand.com

  5. Accedere al portale di Azure.

  6. Passare al servizio Microsoft Sentinel.

  7. Selezionare Hub contenuto e nella barra di ricerca cercare BTP.

  8. Selezionare SAP BTP.

  9. Selezionare Installa.

    Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuto predefinito.

  10. Selezionare Crea.

    Screenshot che mostra come creare la soluzione Microsoft Sentinel per SAP BTP.

  11. Selezionare il gruppo di risorse e l'area di lavoro Microsoft Sentinel in cui distribuire la soluzione.

  12. Selezionare Avanti fino a passare la convalida e quindi selezionare Crea.

  13. Al termine della distribuzione della soluzione, tornare all'area di lavoro Microsoft Sentinel e selezionare Connettori dati.

  14. Nella barra di ricerca immettere BTP e quindi selezionare SAP BTP.

  15. Selezionare Apri la pagina del connettore.

  16. Nella pagina del connettore assicurarsi di soddisfare i prerequisiti richiesti elencati e completare i passaggi di configurazione. Quando si è pronti, selezionare Aggiungi account.

  17. Specificare i parametri definiti in precedenza durante la configurazione. Il nome dell'account secondario specificato viene proiettato come colonna nella SAPBTPAuditLog_CL tabella e può essere usato per filtrare i log quando sono presenti più account secondari.

    Prendere in considerazione le opzioni avanzate, se necessario:

    • Frequenza di polling: frequenza con cui il connettore esegue il polling dei nuovi dati. Il valore predefinito è 1 minuto.
    • Ritardo inserimento log: ritardo stimato tra il momento in cui l'evento viene generato in SAP BTP e il tempo disponibile nel servizio log di controllo SAP BTP per l'inserimento in Microsoft Sentinel. L'impostazione predefinita è 20 minuti.

    Nota

    Il recupero dei controlli per l'account globale non recupera automaticamente i controlli per l'account secondario. Seguire i passaggi di configurazione del connettore per ognuno degli account secondari da monitorare e seguire anche questi passaggi per l'account globale. Esaminare queste considerazioni sulla configurazione del controllo degli account.

  18. Assicurarsi che i log BTP vengano trasmessi nell'area di lavoro Microsoft Sentinel:

    1. Accedere all'account secondario BTP ed eseguire alcune attività che generano log, ad esempio accessi, aggiunta di utenti, modifica delle autorizzazioni e modifica delle impostazioni.
    2. Consentire il flusso dei log da 20 a 30 minuti.
    3. Nella pagina del connettore SAP BTP verificare che Microsoft Sentinel riceva i dati BTP oppure eseguire direttamente una query sulla tabella SAPBTPAuditLog_CL.

  19. Abilitare la cartella di lavoro e le regole di analisi fornite come parte della soluzione seguendo queste linee guida.

Nota

Per eseguire l'onboarding di account secondari SAP BTP su larga scala, sono consigliati approcci basati su API e interfaccia della riga di comando. Introduzione a questa libreria di script.

Prendere in considerazione le configurazioni di controllo dell'account

Il passaggio finale del processo di distribuzione consiste nel prendere in considerazione le configurazioni di controllo dell'account globale e dell'account secondario.

Configurazione del controllo dell'account globale

Quando si abilita il recupero del log di controllo nel pannello di controllo BTP per l'account globale: se l'account secondario per cui si vuole dare diritto al servizio di gestione dei log di controllo si trova in una directory, è necessario innanzitutto dare diritto al servizio a livello di directory. Solo in questo caso è possibile assegnare il diritto al servizio a livello di account secondario.

Configurazione del controllo degli account secondari

Per abilitare il controllo per un account secondario, completare i passaggi nella documentazione dell'API di recupero dei controlli degli account secondari SAP.

La documentazione dell'API descrive come abilitare il recupero del log di controllo usando l'interfaccia della riga di comando di Cloud Foundry.

È anche possibile recuperare i log tramite l'interfaccia utente:

  1. Nell'account secondario in SAP Service Marketplace creare un'istanza di Audit Log Management Service.
  2. Nella nuova istanza creare una chiave del servizio.
  3. Visualizzare la chiave del servizio e recuperare i parametri necessari dal passaggio 4 delle istruzioni di configurazione nell'interfaccia utente del connettore dati (url, uaa.url, uaa.clientid e uaa.clientsecret).

Mass-Onboard sottoaccount SAP BTP su larga scala

Per eseguire l'onboarding di account secondari SAP BTP su larga scala, sono consigliati approcci basati su API e interfaccia della riga di comando. Introduzione a questa libreria di script.

Ruotare il segreto client BTP

È consigliabile ruotare periodicamente i segreti client dell'account secondario BTP. Per un approccio automatizzato basato sulla piattaforma, vedere il rinnovo automatico del certificato dell'archivio attendibilità SAP BTP con Azure Key Vault o come smettere di pensare una volta per tutte alle date di scadenza (blog SAP).

Questa libreria di script illustra il processo automatico di aggiornamento di un connettore dati esistente con un nuovo segreto.

Contenuto correlato

  • Last updated on