Configuración de la solución Microsoft Sentinel para aplicaciones SAP®

Nota

Azure Sentinel ahora se denomina Microsoft Sentinel y se actualizarán estas páginas en las próximas semanas. Obtenga más información sobre las recientes mejoras de seguridad de Microsoft.

En este artículo se proporcionan los procedimientos recomendados para la configuración de la solución Microsoft Sentinel para las aplicaciones de SAP®. La totalidad del proceso de implementación se detalla en un conjunto completo de artículos vinculados en Hitos de la implementación.

Importante

Algunos componentes de la solución Microsoft Sentinel para aplicaciones de SAP® están actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

La implementación del agente del recopilador de datos y la solución en Microsoft Sentinel proporciona la capacidad de supervisar sistemas SAP en busca de actividades sospechosas e identificar amenazas. Sin embargo, para obtener los mejores resultados, los procedimientos recomendados de funcionamiento de la solución recomiendan encarecidamente llevar a cabo varios pasos de configuración adicionales que dependen en gran medida de la implementación de SAP.

Hitos de la implementación

Realice un seguimiento del recorrido de implementación de la solución de SAP mediante esta serie de artículos:

1. Descripción general de la implementación

2. Requisitos previos de implementación

3. Trabajar con la solución en varias áreas de trabajo (VERSIÓN PRELIMINAR)

4. Preparación del entorno de SAP

5. Configuración de la auditoría

6. Implementar la solución Microsoft Sentinel para aplicaciones de SAP® desde el centro de contenido

7. Implementación del agente del conector de datos

8. Configuración de la solución de Microsoft Sentinel para las aplicaciones de SAP® (está aquí)

9. Pasos de implementación opcionales

   • Configuración del conector de datos para usar SNC
   • Recopilación de registros de auditoría de SAP HANA
   • Configuración de reglas de supervisión de registros de auditoría
   • Implementación manual del conector de SAP
   • Selección de perfiles de ingesta de SAP

Configuración de listas de reproducción

La configuración de la solución Microsoft Sentinel para las aplicaciones de SAP® se realiza proporcionando información específica del cliente en las listas de reproducción aprovisionadas.

Nota:

Después de la implementación de la solución inicial, puede tardar algún tiempo antes de que las listas de reproducción se rellenen con datos. Si edita una lista de reproducción y la encuentra vacía, espere unos minutos y vuelva a intentar abrir la lista de reproducción para su edición.

SAP: lista de reproducción de sistemas

SAP: la lista de reproducción de sistemas define qué sistemas SAP están presentes en el entorno supervisado. Para cada sistema, especifique su SID, ya sea un sistema de producción o un entorno de desarrollo y pruebas, así como una descripción. Esta información la usan algunas reglas de análisis, que pueden reaccionar de forma diferente si los eventos pertinentes aparecen en un sistema de desarrollo o en uno de producción.

SAP: lista de reproducción de redes

SAP: la lista de reproducción de redes describe todas las redes que usa la organización. Se usa principalmente para identificar si los inicios de sesión de usuario se originan en segmentos conocidos de la red o no, también si el origen del inicio de sesión del usuario cambia inesperadamente.

Hay varios enfoques para documentar la topología de red. Puede definir un amplio intervalo de direcciones, como 172.16.0.0/16, y asignarle el nombre "Red corporativa", que será lo suficientemente bueno para realizar un seguimiento de los inicios de sesión desde fuera de ese intervalo. Sin embargo, un enfoque más segmentado permite una mejor visibilidad de una actividad potencialmente inusual.

Por ejemplo: defina los dos segmentos siguientes y sus ubicaciones geográficas:

Segment	Location
192.168.10.0/23	Europa Occidental
10.15.0.0/16	Australia

Ahora, Microsoft Sentinel podrá diferenciar un inicio de sesión de 192.168.10.15 (en el primer segmento) de un inicio de sesión de 10.15.2.1 (en el segundo segmento) y avisarle si este comportamiento se identifica como inusual.

Listas de reproducción de datos confidenciales

• SAP: módulos de funciones confidenciales
• SAP: tablas confidenciales
• SAP: programas de ABAP confidenciales
• SAP: transacciones confidenciales

Todas estas listas de reproducción identifican acciones o datos confidenciales que los usuarios pueden llevar a cabo o a los que pueden acceder. Se han configurado previamente varias operaciones, tablas y autorizaciones conocidas en las listas de reproducción; sin embargo, se recomienda consultar con el equipo de SAP BASIS para identificar qué operaciones, transacciones, autorizaciones y tablas se consideran confidenciales en el entorno de SAP.

Listas de reproducción de datos maestros de usuario

• SAP: perfiles confidenciales
• SAP: roles confidenciales
• SAP: usuarios con privilegios.
• SAP: autorizaciones críticas

La solución Microsoft Sentinel para aplicaciones de SAP® usa datos maestros de usuario recopilados de los sistemas SAP para identificar qué usuarios, perfiles y roles deben considerarse confidenciales. Algunos datos de ejemplo se incluyen en las listas de reproducción, aunque se recomienda consultar con el equipo de SAP BASIS para identificar usuarios, roles y perfiles confidenciales y rellenar las listas de reproducción según corresponda.

Inicio de la habilitación de reglas de análisis

De manera predeterminada, todas las reglas de análisis proporcionadas en la solución Microsoft Sentinel para aplicaciones de SAP® se proporcionan como plantillas de regla de alerta. Se recomienda un enfoque por fases, donde se crean algunas reglas a partir de plantillas a la vez, lo que permite el tiempo para ajustar cada escenario. Consideramos que las reglas siguientes son más fáciles de implementar, por lo que es mejor empezar con esas:

1. Cambio en usuario con privilegios confidenciales
2. Cambio de configuración de cliente
3. Inicio de sesión de usuario con privilegios confidenciales
4. Un usuario con privilegios confidenciales realiza un cambio en otro
5. Cambio de contraseña de usuario con privilegios confidenciales e inicio de sesión
6. Módulo de funciones probado

Habilitación o deshabilitación de la ingesta de registros de SAP específicos

Para habilitar o deshabilitar la ingesta de un registro específico:

1. Edite el archivo systemconfig.json ubicado en /opt/sapcon/SID/ en la máquina virtual del conector.
2. Dentro del archivo de configuración, busque el registro pertinente y realice una de las acciones siguientes:
   • Para habilitar el registro, cambie el valor a True.
   • Para deshabilitar el registro, cambie el valor a False.

Por ejemplo, para detener la ingesta de ABAPJobLog, cambie su valor a False:

"abapjoblog": "True",

Revise la lista de registros disponibles en la referencia del archivo systemconfig.json.

También puede detener la ingesta de las tablas de datos maestros de usuario.

Nota

Una vez que detenga uno de los registros o tablas, es posible que los libros y las consultas de análisis que usan ese registro no funcionen. Comprenda qué registro usa cada libro y comprenda qué registro usa cada regla de análisis.

Detención de la ingesta de registros y deshabilitación del conector

Para detener la ingesta de registros de SAP en el área de trabajo de Microsoft Sentinel y detener el flujo de datos desde el contenedor de Docker, ejecute este comando:

docker stop sapcon-[SID/agent-name]

Para dejar de ingerir un SID específico para un contenedor de varios SID, debe eliminar el SID de la interfaz de usuario de la página del conector en Sentinel El contenedor de Docker se detiene y no envía más registros de SAP al área de trabajo de Microsoft Sentinel. Esto detiene la ingesta y la facturación del sistema SAP relacionado con el conector.

Si necesita volver a habilitar el contenedor de Docker, ejecute este comando:

docker start sapcon-[SID]

Eliminación del rol de usuario y la CR opcional instalada en el sistema ABAP

Para quitar el rol de usuario y la CR opcional importada en el sistema, importe la CR de eliminación NPLK900259 en el sistema ABAP.

Pasos siguientes

Obtenga más información sobre la solución Microsoft Sentinel para aplicaciones SAP®:

• Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
• Implementación de solicitudes de cambio de SAP y configuración de la autorización
• Implementación y configuración del contenedor del agente de conector de datos de SAP
• Implementación del contenido de seguridad de SAP
• Supervisar el estado del sistema SAP
• Implementación del conector de datos de Microsoft Sentinel para SAP con SNC
• Habilitación y configuración de la auditoría para SAP para Microsoft Sentinel
• Recopilación de registros de auditoría de SAP HANA

Solución del problema:

• Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones de SAP®

Archivos de referencia:

• Referencia de datos de la solución Microsoft Sentinel para aplicaciones SAP®
• Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad
• Referencia de scripts de kickstart
• Referencia del script de actualización
• Referencia del archivo systemconfig.ini

Para obtener más información, consulte soluciones de Microsoft Sentinel.