Implantar a solução Microsoft Sentinel para SAP BTP
Este artigo descreve como implantar a solução Microsoft Sentinel para o sistema SAP Business Technology Platform (BTP). A solução Microsoft Sentinel para SAP BTP monitoriza e protege o seu sistema SAP BTP. Ele coleta logs de auditoria e registros de atividades da infraestrutura BTP e aplicativos baseados em BTP e, em seguida, deteta ameaças, atividades suspeitas, atividades ilegítimas e muito mais. Leia mais sobre a solução.
Pré-requisitos
Antes de começar, verifique se:
- A solução Microsoft Sentinel está habilitada.
- Você tem um espaço de trabalho definido do Microsoft Sentinel e tem permissões de leitura e gravação para o espaço de trabalho.
- Sua organização usa o SAP BTP (em um ambiente Cloud Foundry) para agilizar as interações com aplicativos SAP e outros aplicativos de negócios.
- Você tem uma conta SAP BTP (que suporta contas BTP no ambiente Cloud Foundry). Você também pode usar uma conta de avaliação do SAP BTP.
- Você tem o serviço de gerenciamento de logs de auditoria e a chave de serviço do SAP BTP (consulte Configurar a conta e a solução BTP).
- Você tem a função de Colaborador do Microsoft Sentinel no espaço de trabalho de destino do Microsoft Sentinel.
Configurar a conta e a solução BTP
Para configurar a conta BTP e a solução:
Depois de fazer login na sua conta BTP (consulte os pré-requisitos), siga as etapas de recuperação do log de auditoria no sistema SAP BTP.
No cockpit do SAP BTP, selecione o Audit Log Management Service.
Crie uma instância do Serviço de Gerenciamento de Log de Auditoria na subconta BTP.
Crie uma chave de serviço e registre os valores de
url
,uaa.clientid
,uaa.clientecret
euaa.url
. Esses valores são necessários para implantar o conector de dados.Eis alguns exemplos destes valores de campo:
- URL:
https://auditlog-management.cfapps.us10.hana.ondemand.com
- UAA.ClientID:
00001111-aaaa-2222-bbbb-3333cccc4444|auditlog-management!b1237
- uaa.clientsecret:
aaaaaaaa-0b0b-1c1c-2d2d-333333333333
- uaa.url:
https://trial.authentication.us10.hana.ondemand.com
- URL:
Inicie sessão no portal do Azure.
Vá para o serviço Microsoft Sentinel.
Selecione Hub de conteúdo e, na barra de pesquisa, procure por BTP.
Selecione SAP BTP.
Selecione Instalar.
Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.
Selecione Criar.
Selecione o grupo de recursos e o espaço de trabalho do Microsoft Sentinel no qual implantar a solução.
Selecione Avançar até passar na validação e, em seguida, selecione Criar.
Quando a implantação da solução estiver concluída, retorne ao espaço de trabalho do Microsoft Sentinel e selecione Conectores de dados.
Na barra de pesquisa, digite BTP e selecione SAP BTP.
Selecione Abrir página do conector.
Na página do conector, verifique se você atende aos pré-requisitos necessários listados e conclua as etapas de configuração. Quando estiver pronto, selecione Adicionar conta.
Especifique os parâmetros que você definiu anteriormente durante a configuração. O nome da subconta especificado é projetado como uma coluna na
SAPBTPAuditLog_CL
tabela e pode ser usado para filtrar os logs quando você tiver várias subcontas.Nota
A recuperação de auditorias para a conta global não recupera automaticamente as auditorias da subconta. Siga as etapas de configuração do conector para cada uma das subcontas que você deseja monitorar e também siga estas etapas para a conta global. Analise estas considerações de configuração de auditoria de conta.
Verifique se os logs BTP estão fluindo para o espaço de trabalho do Microsoft Sentinel:
- Inicie sessão na sua subconta BTP e execute algumas atividades que geram registos, tais como iniciar sessão, adicionar utilizadores, alterar permissões e alterar definições.
- Aguarde de 20 a 30 minutos para que os logs comecem a fluir.
- Na página Conector BTP SAP, confirme se o Microsoft Sentinel recebe os dados BTP ou consulte diretamente a tabela SAPBTPAuditLog_CL.
Habilite a pasta de trabalho e as regras de análise fornecidas como parte da solução seguindo estas diretrizes.
Considere as configurações de auditoria da sua conta
A etapa final no processo de implantação é considerar suas configurações de auditoria de conta global e subconta.
Configuração de auditoria de conta global
Quando você habilita a recuperação do log de auditoria no cockpit do BTP para a conta global: Se a subconta para a qual você deseja habilitar o Serviço de Gerenciamento de Log de Auditoria estiver em um diretório, você deverá habilitar o serviço no nível do diretório primeiro. Só então poderá dar direito ao serviço ao nível da subconta.
Configuração de auditoria de subconta
Para habilitar a auditoria de uma subconta, conclua as etapas na documentação da API de recuperação de auditoria de subcontas SAP.
A documentação da API descreve como habilitar a recuperação do log de auditoria usando a CLI do Cloud Foundry.
Você também pode recuperar os logs por meio da interface do usuário:
- Em sua subconta no SAP Service Marketplace, crie uma instância do Audit Log Management Service.
- Na nova instância, crie uma chave de serviço.
- Exiba a chave de serviço e recupere os parâmetros necessários na etapa 4 das instruções de configuração na interface do usuário do conector de dados (url, uaa.url, uaa.clientid e uaa.clientsecret).
Girar o segredo do cliente BTP
Recomendamos que você alterne periodicamente os segredos do cliente da subconta BPT. O script de exemplo a seguir demonstra o processo de atualização de um conector de dados existente com um novo segredo obtido no Cofre de Chaves do Azure.
Antes de começar, colete os valores necessários para os parâmetros de scripts, incluindo:
- A ID da assinatura, o grupo de recursos e o nome do espaço de trabalho para seu espaço de trabalho do Microsoft Sentinel.
- O cofre da chave e o nome do segredo do cofre da chave.
- O nome do conector de dados que você deseja atualizar com um novo segredo. Para identificar o nome do conector de dados, abra o conector de dados SAP BPT na página Conectores de dados do Microsoft Sentinel. O nome do conector de dados tem a seguinte sintaxe: BTP_{nome do conector}
param(
[Parameter(Mandatory = $true)] [string]$subscriptionId,
[Parameter(Mandatory = $true)] [string]$workspaceName,
[Parameter(Mandatory = $true)] [string]$resourceGroupName,
[Parameter(Mandatory = $true)] [string]$connectorName,
[Parameter(Mandatory = $true)] [string]$clientId,
[Parameter(Mandatory = $true)] [string]$keyVaultName,
[Parameter(Mandatory = $true)] [string]$secretName
)
# Import the required modules
Import-Module Az.Accounts
Import-Module Az.KeyVault
try {
# Login to Azure
Login-AzAccount
# Retrieve BTP client secret from Key Vault
$clientSecret = (Get-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName).SecretValue
if (!($clientSecret)) {
throw "Failed to retrieve the client secret from Azure Key Vault"
}
# Get the connector from data connectors API
$path = "/subscriptions/{0}/resourceGroups/{1}/providers/Microsoft.OperationalInsights/workspaces/{2}/providers/Microsoft.SecurityInsights/dataConnectors/{3}?api-version=2024-01-01-preview" -f $subscriptionId, $resourceGroupName, $workspaceName, $connectorName
$connector = (Invoke-AzRestMethod -Path $path -Method GET).Content | ConvertFrom-Json
if (!($connector)) {
throw "Failed to retrieve the connector"
}
# Add the updated client ID and client secret to the connector
$connector.properties.auth | Add-Member -Type NoteProperty -Name "clientId" -Value $clientId
$connector.properties.auth | Add-Member -Type NoteProperty -Name "clientSecret" -Value ($clientSecret | ConvertFrom-SecureString -AsPlainText)
# Update the connector with the new auth object
Invoke-AzRestMethod -Path $path -Method PUT -Payload ($connector | ConvertTo-Json -Depth 10)
}
catch {
Write-Error "An error occurred: $_"
}