Поделиться через


Службы идентификации и безопасности Azure с ПОМОЩЬЮ SAP RISE

В этой статье описана интеграция удостоверений Azure и служб безопасности с рабочей нагрузкой SAP RISE. Дополнительные сведения об использовании некоторых служб мониторинга Azure описаны для ландшафта SAP RISE.

Единый вход для SAP

Единый вход настраивается для многих сред SAP. При использовании рабочих нагрузок SAP, работающих в ECS/RISE, шаги по реализации не отличаются от собственной системы SAP. Шаги интеграции с единым входом на основе идентификатора Microsoft Entra доступны для типичных управляемых рабочих нагрузок ECS/RISE:

Метод единого входа Поставщик удостоверений Типичный вариант использования Внедрение
SAML/OAuth Microsoft Entra ID SAP Fiori, веб-графический интерфейс, портал, HANA Настройка по клиенту
SNC Microsoft Entra ID SAP GUI Настройка по клиенту
SPNEGO Active Directory (AD) Веб-графический интерфейс, корпоративный портал SAP Настройка клиентом и SAP

Единый вход в службу Active Directory (AD) домена Windows для управляемой среды SAP ECS/RISE, с клиентом SAP SSO Secure Login требуется интеграция AD для устройств конечных пользователей. При использовании SAP RISE все системы Windows не интегрируются с доменом Active Directory клиента. Интеграция домена не требуется для единого входа в AD/Kerberos, так как маркер безопасности домена считывается на клиентском устройстве и безопасно обменивается системой SAP. Обратитесь к SAP, если вам требуются изменения для интеграции единого входа ad или использования сторонних продуктов, отличных от клиента безопасного входа SAP SSO, так как может потребоваться некоторая конфигурация в управляемых системах RISE.

Copilot для обеспечения безопасности с ПОМОЩЬЮ SAP RISE

Copilot for Security — это продукт безопасности искусственного интеллекта, который позволяет ит-специалистам реагировать на киберугрозы, сигналы процесса и оценивать риск на скорости и масштабе искусственного интеллекта. Он имеет собственный портал и встроенные возможности в Microsoft Defender XDR, Microsoft Sentinel и Intune.

Его можно использовать с любым источником данных, поддерживающим XDR Defender и Sentinel, включая SAP RISE/ECS. Ниже показан автономный интерфейс.

Снимок экрана: взаимодействие с Copilot для обеспечения безопасности с инцидентами SAP RISE/ECS.

В дополнение к тому, что интерфейс Copilot для безопасности внедрен на порталЕ XDR Defender. Рядом с сводками, созданными ИИ, рекомендации и исправления, такие как сброс пароля для SAP, предоставляются вне поля. Дополнительные сведения о автоматическом нарушении атак SAP см. здесь.

Снимок экрана: внедренный интерфейс Copilot для обеспечения безопасности в Defender с инцидентами SAP RISE/ECS.

Microsoft Sentinel с SAP RISE

Решение SAP RISE сертифицировано Microsoft Sentinel для приложений SAP позволяет отслеживать, обнаруживать и реагировать на подозрительные действия. Microsoft Sentinel защищает критически важные данные от сложных кибератак для систем SAP, размещенных в Azure, других облаках или локальной инфраструктуре. Решение Microsoft Sentinel для SAP BTP расширяет охват платформы SAP Business Technology Platform (BTP).

Это решение позволяет получать видимость действий пользователей в SAP RISE/ECS и уровнях бизнес-логики SAP и применять встроенное содержимое Sentinel.

  • Используйте одну консоль для мониторинга всех корпоративных активов, включая экземпляры SAP в SAP RISE/ECS в Azure и других облаках, sap Azure native и локальных ресурсов.
  • Обнаружение и автоматическое реагирование на угрозы: обнаружение подозрительных действий, включая эскалацию привилегий, несанкционированные изменения, конфиденциальные транзакции, кражу данных и многое другое с помощью возможностей обнаружения вне поля
  • Сопоставляйте действия SAP с другими сигналами: более точное обнаружение угроз SAP путем перекрестной корреляции между конечными точками, данными Microsoft Entra и т. д.
  • Настройка на основе ваших потребностей — создание собственных обнаружений для отслеживания конфиденциальных транзакций и других бизнес-рисков
  • Визуализация данных с помощью встроенных книг

Схема, демонстрирующая подключение Sentinel к SAP RISE/ECS.

Для SAP RISE/ECS решение Microsoft Sentinel должно быть развернуто в подписке Azure клиента. Все части решения Sentinel управляются клиентом, а не SAP. Для достижения ландшафтов SAP, управляемых SAP RISE/ECS, требуется подключение к частной сети из виртуальной сети клиента. Как правило, это подключение выполняется через установленный пиринг виртуальной сети или через альтернативные варианты, описанные в этом документе.

Чтобы включить решение, требуется только авторизованный пользователь RFC, и ничего не нужно устанавливать в системах SAP. Агент сбора данных SAP на основе контейнера, включенный в решение, можно установить в виртуальной машине или в любой среде Kubernetes. Агент сборщика использует пользователя службы SAP для использования данных журнала приложений из ландшафта SAP через интерфейс RFC с помощью стандартных вызовов RFC.

  • Методы проверки подлинности, поддерживаемые в SAP RISE: имя пользователя и пароль SAP или сертификаты X509/SNC
  • Только подключения на основе RFC доступны в настоящее время с средами SAP RISE/ECS.

Внимание

  • Для запуска Microsoft Sentinel в среде SAP RISE/ECS требуется: импорт запроса на изменение транспорта SAP для следующих полей журнала или источника: сведения об IP-адресе клиента из журнала аудита безопасности SAP, журналы таблиц базы данных (предварительная версия), журналы выходных данных spool. Встроенное содержимое Sentinel (обнаружения, книги и сборники схем) обеспечивает широкий охват и корреляцию без этих источников журналов.
  • Журналы инфраструктуры SAP и операционной системы недоступны для Sentinel в RISE из-за модели общей ответственности.

Автоматический ответ с возможностями SOAR Sentinel

Используйте предварительно созданные сборники схем для обеспечения безопасности, оркестрации, автоматизации и реагирования (SOAR) для быстрого реагирования на угрозы. Популярный первый сценарий — это блокировка пользователей SAP с параметром вмешательства из Microsoft Teams. Шаблон интеграции можно применить к любому типу инцидентов и целевой службе, охватывающим платформу SAP Business Technology Platform (BTP) или идентификатор Microsoft Entra, что касается уменьшения области атаки.

Дополнительные сведения о Microsoft Sentinel и SOAR для SAP см. в серии блогов "От нуля до покрытия безопасности героя" с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP.

Использование возможностей SOAR Sentinel с SAP RISE/ECS.

Дополнительные сведения о Microsoft Sentinel и SAP, включая руководство по развертыванию, см . в документации по продукту Sentinel.

Мониторинг Azure для SAP с помощью SAP RISE

Azure Monitor для решений SAP — это собственное решение Azure для мониторинга системы SAP. Он расширяет возможности мониторинга платформы Azure Monitor за счет поддержки сбора данных о SAP NetWeaver, базе данных и операционной системе.

SAP RISE/ECS — это полностью управляемая служба для ландшафта SAP, поэтому мониторинг Azure для SAP не предназначен для такой управляемой среды. SAP RISE/ECS не поддерживает интеграцию с Azure Monitor для решений SAP. Используется собственный мониторинг и отчеты SAP и предоставляется клиенту в соответствии с описанием службы с помощью SAP.

Центр Azure для решений SAP

Как и в случае с решениями SAP для мониторинга Azure, SAP RISE/ECS не поддерживает интеграцию с Центром Azure для решений SAP в любой возможности. Все рабочие нагрузки SAP RISE развертываются SAP и выполняются в клиенте и подписке SAP, без доступа клиента к ресурсам Azure.

Следующие шаги

См. соответствующую документацию: