Konfigurace řešení Microsoft Sentinel pro aplikace SAP®
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a v nadcházejících týdnech budeme tyto stránky aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Tento článek obsahuje osvědčené postupy pro konfiguraci řešení Microsoft Sentinel pro aplikace SAP®. Celý proces nasazení je podrobně popsaný v celé sadě článků, na které odkazujeme v části Milníky nasazení.
Důležité
Některé komponenty řešení Microsoft Sentinel pro aplikace SAP® jsou v současné době ve verzi PREVIEW. Dodatkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo jinak ještě nejsou obecně dostupné.
Nasazení agenta a řešení kolektoru dat ve službě Microsoft Sentinel umožňuje monitorovat podezřelé aktivity v systémech SAP a identifikovat hrozby. Pro dosažení nejlepších výsledků však osvědčené postupy pro provoz řešení důrazně doporučujeme provést několik dalších kroků konfigurace, které jsou velmi závislé na nasazení SAP.
Milníky nasazení
Sledujte cestu nasazení řešení SAP prostřednictvím této série článků:
Nasazení řešení Microsoft Sentinel pro aplikace® SAP z centra obsahu
Konfigurace řešení Microsoft Sentinel pro aplikace SAP® (tady jste)
Volitelné kroky nasazení
Konfigurace konsolidovaných seznamů
Řešení Microsoft Sentinel pro konfiguraci aplikací SAP® se dosahuje poskytováním informací specifických pro zákazníka ve zřízených konsolidovaných znacích.
Poznámka
Po počátečním nasazení řešení může nějakou dobu trvat, než se sledované seznamy naplní daty. Pokud upravíte seznam ke zhlédnutí a zjistíte, že je prázdný, počkejte prosím několik minut a zkuste ho znovu otevřít pro úpravy.
SAP – seznam ke zhlédnutí systémů
SAP – seznam zhlédnutí systémů definuje, které systémy SAP se v monitorovaném prostředí nacházejí. Pro každý systém zadejte jeho IDENTIFIKÁTOR SID, ať už se jedná o produkční systém nebo prostředí pro vývoj/testování, a také popis. Tyto informace používají některá analytická pravidla, která můžou reagovat odlišně, pokud se ve vývojovém nebo produkčním systému objeví relevantní události.
SAP – seznam ke zhlédnutí sítí
SAP – seznam zhlédnutí sítí popisuje všechny sítě, které organizace používá. Primárně se používá k identifikaci, jestli přihlášení uživatelů pocházejí ze známých segmentů sítě, a to i v případě neočekávané změny původu přihlášení uživatele.
Existuje několik přístupů k dokumentaci síťové topologie. Můžete definovat širokou škálu adres, například 172.16.0.0/16, a pojmenovat ji "Podniková síť", což bude stačit pro sledování přihlášení mimo tento rozsah. Segmentovaný přístup ale umožňuje lepší přehled o potenciálně atypických aktivitách.
Příklad: Definujte následující dva segmenty a jejich geografická umístění:
| Segment | Umístění |
|---|---|
| 192.168.10.0/23 | Západní Evropa |
| 10.15.0.0/16 | Austrálie |
Microsoft Sentinel teď bude moct odlišit přihlášení od 192.168.10.15 (v prvním segmentu) od přihlášení z 10.15.2.1 (ve druhém segmentu) a upozornit vás, pokud se takové chování identifikuje jako neobvyklé.
Seznamy ke zhlédnutí citlivých dat
- SAP – Moduly citlivých funkcí
- SAP – Citlivé tabulky
- SAP – Citlivé programy ABAP
- SAP – Citlivé transakce
Všechny tyto seznamy ke zhlédnutí identifikují citlivé akce nebo data, která můžou uživatelé provádět nebo ke kterým mají přístup. V seznamu ke zhlédnutí jsme předem nakonfigurovali několik dobře známých operací, tabulek a autorizací, ale doporučujeme, abyste se s týmem SAP BASIS poradili, abyste zjistili, které operace, transakce, autorizace a tabulky jsou ve vašem prostředí SAP považovány za citlivé.
Seznamy ke zhlédnutí hlavních dat uživatelů
- SAP – Citlivé profily
- SAP – Citlivé role
- SAP – Privilegovaní uživatelé
- SAP – Kritické autorizace
Řešení Microsoft Sentinel pro aplikace SAP® používá data User Master shromážděná ze systémů SAP k identifikaci uživatelů, profilů a rolí, které by měly být považovány za citlivé. Některá ukázková data jsou součástí konsolidovaných seznamů, ale doporučujeme, abyste se s týmem SAP BASIS poradily s identifikací citlivých uživatelů, rolí a profilů a odpovídajícím způsobem naplnily seznamy ke zhlédnutí.
Zahájení povolení analytických pravidel
Ve výchozím nastavení se všechna analytická pravidla poskytovaná v řešení Microsoft Sentinel pro aplikace SAP® poskytují jako šablony pravidel upozornění. Doporučujeme fázovaný přístup, kdy se ze šablon vytváří několik pravidel najednou, což poskytuje čas na vyladění jednotlivých scénářů. Následující pravidla považujeme za nejjednodušší implementovat, proto je nejlepší začít těmito pravidly:
- Změna citlivého privilegovaného uživatele
- Změna konfigurace klienta
- Citlivé privilegované přihlášení uživatele
- Citlivý privilegovaný uživatel provede změnu v jiném
- Změna a přihlášení uživatele s citlivými oprávněními
- Testovaný modul funkce
Povolení nebo zakázání příjmu konkrétních protokolů SAP
Povolení nebo zakázání příjmu dat konkrétního protokolu:
- Upravte soubor systemconfig.json umístěný ve složce /opt/sapcon/SID/ na virtuálním počítači konektoru.
- V konfiguračním souboru vyhledejte příslušný protokol a udělejte jednu z těchto věcí:
- Pokud chcete protokol povolit, změňte hodnotu na
True. - Pokud chcete protokol zakázat, změňte hodnotu na
False.
- Pokud chcete protokol povolit, změňte hodnotu na
Pokud například chcete zastavit příjem dat pro ABAPJobLog, změňte jeho hodnotu na False:
"abapjoblog": "True",
Projděte si seznam dostupných protokolů v referenčních informacích k souboru Systemconfig.json.
Můžete také zastavit příjem tabulek hlavních dat uživatele.
Poznámka
Jakmile některý z protokolů nebo tabulek zastavíte, nemusí sešity a analytické dotazy, které tento protokol používají, fungovat. Seznamte se s protokoly, které jednotlivé sešity používají , a zjistěte, jaký protokol každé analytické pravidlo používá.
Zastavení příjmu protokolů a zakázání konektoru
Pokud chcete zastavit příjem protokolů SAP do pracovního prostoru služby Microsoft Sentinel a datový proud z kontejneru Dockeru, spusťte tento příkaz:
docker stop sapcon-[SID/agent-name]
Pokud chcete zastavit ingestování konkrétního identifikátoru SID pro kontejner s více identifikátory SID, musíte identifikátor SID odstranit z uživatelského rozhraní stránky konektoru ve službě Sentinel. Kontejner Dockeru se zastaví a do pracovního prostoru služby Microsoft Sentinel neodesílá žádné další protokoly SAP. Tím se zastaví příjem dat i fakturace systému SAP souvisejícího s konektorem.
Pokud potřebujete znovu povolit kontejner Dockeru, spusťte tento příkaz:
docker start sapcon-[SID]
Odebrání role uživatele a volitelného cr nainstalovaného v systému ABAP
Pokud chcete odebrat roli uživatele a volitelný cr importovaný do systému, importujte odstraněné CR NPLK900259 do systému ABAP.
Další kroky
Další informace o řešení Microsoft Sentinel pro aplikace SAP®:
- Nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Nasazení žádostí o změnu SAP a konfigurace autorizace
- Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP
- Nasazení obsahu zabezpečení SAP
- Monitorování stavu systému SAP
- Nasazení datového konektoru Microsoft Sentinel pro SAP pomocí SNC
- Povolení a konfigurace auditování SAP
- Shromažďování protokolů auditu SAP HANA
Řešení potíží:
Referenční soubory:
- Referenční informace k datům řešení Microsoft Sentinel pro aplikace SAP®
- Řešení Microsoft Sentinel pro aplikace SAP®: referenční informace k obsahu zabezpečení
- Referenční informace ke skriptu kickstartu
- Referenční informace k skriptu aktualizace
- Systemconfig.ini referenční dokumentace k souborům
Další informace najdete v tématu Řešení Microsoft Sentinel.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro