Prerequisiti di distribuzione per le soluzioni Microsoft Sentinel per le applicazioni SAP
Questo articolo elenca i prerequisiti necessari per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP, che variano a seconda che si stia distribuendo un agente del connettore dati o usando la soluzione senza agente con SAP Cloud Connector. Selezionare l'opzione nella parte superiore di questa pagina corrispondente alla distribuzione.
La revisione e la verifica di avere o comprendere tutti i prerequisiti è il primo passaggio della distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP. Selezionare un tipo di connessione per elencare i prerequisiti per l'ambiente in uso.
Il contenuto di questo articolo è rilevante per i team di sicurezza, infrastruttura e SAP BASIS .
Il contenuto di questo articolo è pertinente per i team di sicurezza e SAP BASIS .
Importante
La soluzione Agentless di Microsoft Sentinel è in anteprima limitata come prodotto non definitiva, che può essere modificato in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia espressa o implicita in relazione alle informazioni fornite qui. L'accesso alla soluzione senza agente richiede anche la registrazione ed è disponibile solo per i clienti e i partner approvati durante il periodo di anteprima. Per altre informazioni, vedere Microsoft Sentinel per SAP diventa senza agente .
Prerequisiti di Azure
In genere, i prerequisiti di Azure vengono gestiti dai team di sicurezza .
| Prerequisito | Descrizione | Obbligatoria/facoltativa |
|---|---|---|
| Accesso a Microsoft Sentinel | Prendere nota dell'ID dell'area di lavoro e della chiave primaria per l'area di lavoro Log Analytics abilitata per Microsoft Sentinel. È possibile trovare questi dettagli in Microsoft Sentinel: dal menu di spostamento selezionare Impostazioni>Impostazioni area di lavoro>Gestione agenti. Copiare ID area di lavoro e chiave primaria e incollarli per usarli durante il processo di distribuzione. |
Richiesto |
| Autorizzazioni per creare risorse di Azure | È necessario disporre almeno delle autorizzazioni necessarie per distribuire soluzioni dall'hub del contenuto di Microsoft Sentinel. Per altre informazioni, vedere Prerequisiti per la distribuzione di soluzioni Di Microsoft Sentinel. | Richiesto |
| Autorizzazioni per creare un insieme di credenziali delle chiavi di Azure o accedere a un esistente | Usare Azure Key Vault per archiviare i segreti necessari per connettersi al sistema SAP. Per altre informazioni, vedere Assegnare autorizzazioni di accesso all'insieme di credenziali delle chiavi. | Obbligatorio se si prevede di archiviare le credenziali di sistema SAP in Azure Key Vault. Facoltativo se si prevede di archiviarle in un file di configurazione. Per altre informazioni, vedere Creare una macchina virtuale e configurare l'accesso alle credenziali. |
| Autorizzazioni per assegnare un ruolo con privilegi all'agente del connettore dati SAP | Per distribuire l'agente del connettore dati SAP è necessario concedere all'identità della macchina virtuale dell'agente autorizzazioni specifiche per l'area di lavoro di Microsoft Sentinel, usando il ruolo Agente e lettore di applicazioni aziendali di Microsoft Sentinel. Per concedere questo ruolo, sono necessarie autorizzazioni Proprietario nel gruppo di risorse in cui risiede l'area di lavoro di Microsoft Sentinel. Per altre informazioni, vedere Connettere il sistema SAP distribuendo il contenitore dell'agente del connettore dati. |
Obbligatorio. Se non si dispone delle autorizzazioni di Proprietario per il gruppo di risorse, il passaggio pertinente può essere eseguito anche da un altro utente che dispone delle autorizzazioni pertinenti, separatamente dopo la distribuzione completa dell'agente. |
Prerequisiti di sistema per il contenitore dell'agente del connettore dati
In genere, i prerequisiti di sistema vengono gestiti dai team dell'infrastruttura .
| Prerequisito | Descrizione |
|---|---|
| Architettura di sistema | Il componente connettore dati della soluzione SAP viene distribuito come contenitore Docker. L'host contenitore può essere una macchina fisica o una macchina virtuale, può trovarsi in locale o in qualsiasi cloud. La macchina virtuale che ospita il contenitore non deve trovarsi nella stessa sottoscrizione di Azure dell'area di lavoro di Microsoft Sentinel o anche nello stesso tenant di Microsoft Entra. |
| Versioni di Linux supportate | L'agente del connettore dati SAP viene testato con le distribuzioni Linux seguenti: - Ubuntu 18.04 o versioni successive - SLES versione 15 o successiva - RHEL versione 7.7 o successiva Se si dispone di un sistema operativo diverso, potrebbe essere necessario distribuire e configurare manualmente il contenitore. Per altre informazioni, vedere Distribuire il contenitore dell'agente di Microsoft Sentinel per SAP Data Connector con opzioni di esperti o aprire un ticket di supporto. |
| Consigli per il ridimensionamento delle macchine virtuali | Specifica minima, ad esempio per un ambiente lab: VM Standard_B2s, con: - Due core - 4 GB di RAM Connettore Standard (impostazione predefinita): VM Standard_D2as_v5 o VM Standard_D2_v5 con: - Due core - 8 GB di RAM Connettori multipli: Standard_D4as_v5 o VM Standard_D4_v5 con: - Quattro core - 16 GB di RAM |
| Privilegi amministrativi | I privilegi amministrativi (radice) sono necessari nel computer host del contenitore. |
| Connettività di rete | Assicurarsi che l'host del contenitore abbia accesso a: Microsoft Sentinel- - Insieme di credenziali delle chiavi di Azure (nello scenario di distribuzione in cui viene usato l'insieme di credenziali delle chiavi di Azure per archiviare i segreti) - Sistema SAP tramite le porte TCP seguenti: 32xx, 5xx13, 33xx, 48xx (quando viene usato SNC), dove xx è il numero di istanza SAP. |
| Utilità software | Lo script di distribuzione del connettore dati SAP installa il software necessario seguente nella macchina virtuale host contenitore (a seconda della distribuzione Linux usata, l'elenco potrebbe variare leggermente): - Unzip - NetCat - Docker - jq - curl |
| identità gestita o entità servizio | La versione più recente dell'agente del connettore dati SAP richiede un'identità gestita o un'entità servizio per l'autenticazione in Microsoft Sentinel. Gli agenti legacy sono supportati per gli aggiornamenti alla versione più recente e quindi devono usare un'identità gestita o un'entità servizio per continuare l'aggiornamento alle versioni successive. |
Prerequisiti SAP per il contenitore dell'agente del connettore dati
È consigliabile verificare il team SAP BASIS e verificare i prerequisiti del sistema SAP. È consigliabile che qualsiasi gestione del sistema SAP venga eseguita da un amministratore di sistema SAP esperto.
| Prerequisito | Descrizione |
|---|---|
| Versioni SAP supportate | L'agente del connettore dati SAP supporta i sistemi SAP NetWeaver ed è stato testato in SAP_BASIS versioni 731 e successive. Alcuni passaggi di questa esercitazione forniscono istruzioni alternative se si lavora su SAP_BASIS versione 740 precedente. |
| Requisiti software | SAP NetWeaver RFC SDK 7.50 (Scarica qui) Assicurarsi di disporre anche di un account utente SAP per accedere alla pagina di download del software SAP. |
| Dettagli del sistema SAP | Prendere nota dei dettagli di sistema SAP seguenti: - Indirizzo IP del sistema SAP e nome host FQDN - Numero del sistema SAP, come ad esempio 00- ID sistema SAP, dal sistema SAP NetWeaver (ad esempio, NPL) - ID client SAP, ad esempio 001 |
| Accesso all'istanza di SAP NetWeaver | L'agente del connettore dati SAP usa uno dei meccanismi seguenti per l'autenticazione nel sistema SAP: - Utente/password di SAP ABAP - Un utente con un certificato X.509. Questa opzione richiede passaggi di configurazione aggiuntivi. Per altre informazioni, vedere Configurare il sistema per l'uso di SNC per connessioni sicure. |
| Requisiti dei ruoli SAP | Per consentire al connettore dati SAP di connettersi al sistema SAP, è necessario creare un ruolo di sistema SAP. È consigliabile creare il ruolo di sistema richiesto distribuendo la richiesta di modifica di SAP NPLK900271 ( CR). Per altre informazioni, vedere Configurare il ruolo di Microsoft Sentinel. |
| Richieste pull consigliate per un supporto aggiuntivo | Distribuire CR consigliati nel sistema SAP per recuperare dettagli aggiuntivi, ad esempio l'indirizzo IP client e i log aggiuntivi. Per altre informazioni, vedere Configurare il supporto per il recupero di dati aggiuntivo (scelta consigliata). |
Prerequisiti di Azure
In genere, i prerequisiti di Azure vengono gestiti dai team di sicurezza .
| Prerequisito | Descrizione | Obbligatoria/facoltativa |
|---|---|---|
| Accesso all'anteprima limitata | La soluzione senza agente richiede la registrazione ed è disponibile solo per i clienti e i partner approvati durante il periodo di anteprima limitato. Per altre informazioni, vedere Iscrizione con anteprima limitata: soluzione Microsoft Sentinel per SAP - Connettore dati senza agente. | Richiesto |
| Autorizzazioni per creare risorse di Azure | È necessario disporre di: - Autorizzazioni necessarie per distribuire soluzioni dall'hub del contenuto di Microsoft Sentinel. Per altre informazioni, vedere Prerequisiti per la distribuzione di soluzioni Microsoft Sentinel e ruoli predefiniti di Microsoft Entra. Proprietario del gruppo di risorse di Microsoft Sentinel , obbligatorio per: - Creazione di una regola di raccolta dati e di un endpoint di raccolta dati. - Monitoraggio dell'assegnazione di ruolo del server di pubblicazione delle metriche nella regola di raccolta dati. |
Richiesto |
| Autorizzazioni in Microsoft Entra | Per creare registrazioni dell'app, è necessario disporre delle autorizzazioni in Microsoft Entra ID. Questa autorizzazione può essere ottenuta tramite l'appartenenza al ruolo predefinito Microsoft Entra ID: - Sviluppatore di applicazioni. |
Richiesto |
Prerequisiti SAP per il connettore dati senza agente
È consigliabile verificare il team SAP BASIS e verificare i prerequisiti del sistema SAP. È consigliabile che qualsiasi gestione del sistema SAP venga eseguita da un amministratore di sistema SAP esperto.
| Prerequisito | Descrizione |
|---|---|
| Versioni SAP supportate | La soluzione senza agente supporta i sistemi SAP NetWeaver con SAP_BASIS versioni 750 e successive. |
| Sistema SAP | Il sistema SAP deve avere: Un account secondario SAP BTP con i servizi seguenti abilitati: - SAP Integration Suite - Sap Process Integration Runtime - Runtime di Cloud Foundry Per altre informazioni, vedere la documentazione di SAP. Gli account di valutazione sono supportati. SAP Cloud Connector distribuito SAP NetWeaver versione 7.5 o successiva |
| Ruoli e autorizzazioni SAP | Nei sistemi SAP è necessario disporre dei ruoli seguenti: In SAP NetWeaver 7.5+: Amministratore sap Netweaver In SAP BTP tutti i ruoli seguenti: - Amministratore account secondario - Provisioner integrazione - PI_Administrator - PI_Integration_Developer - PI_Business_Expert |
Pianificare l'inserimento
È consigliabile testare i sistemi per determinare il numero di log inviati da ogni sistema SAP a Microsoft Sentinel. La fatturazione di Microsoft Sentinel dipende dalle dimensioni di inserimento dei log, che a loro volta dipendono da fattori quali l'utilizzo del sistema, i moduli distribuiti, il numero di utenti, i casi d'uso in esecuzione, il traffico di rete e i tipi di log.
Per altre informazioni, vedi:
- Prezzi della soluzione
- Pianificare i costi e comprendere i prezzi e la fatturazione di Microsoft Sentinel
- Ridurre i costi per Microsoft Sentinel
- Gestire e monitorare i costi per Microsoft Sentinel