Konfigurace řešení Microsoft Sentinel pro aplikace SAP®

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a v nadcházejících týdnech budeme tyto stránky aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

Tento článek obsahuje osvědčené postupy pro konfiguraci řešení Microsoft Sentinel pro aplikace SAP®. Celý proces nasazení je podrobně popsaný v celé sadě článků, na které odkazujeme v části Milníky nasazení.

Důležité

Některé komponenty řešení Microsoft Sentinel pro aplikace SAP® jsou v současné době ve verzi PREVIEW. Dodatkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, verzi Preview nebo jinak ještě nejsou obecně dostupné.

Nasazení agenta a řešení kolektoru dat ve službě Microsoft Sentinel umožňuje monitorovat podezřelé aktivity v systémech SAP a identifikovat hrozby. Pro dosažení nejlepších výsledků však osvědčené postupy pro provoz řešení důrazně doporučujeme provést několik dalších kroků konfigurace, které jsou velmi závislé na nasazení SAP.

Milníky nasazení

Sledujte cestu nasazení řešení SAP prostřednictvím této série článků:

1. Přehled nasazení

2. Požadavky nasazení

3. Práce s řešením ve více pracovních prostorech (PREVIEW)

4. Příprava prostředí SAP

5. Nasazení agenta datového konektoru

6. Nasazení obsahu zabezpečení SAP

7. Konfigurace řešení Microsoft Sentinel pro aplikace SAP® (tady jste)

8. Volitelné kroky nasazení

   • Konfigurace auditování
   • Konfigurace datového konektoru pro použití SNC
   • Výběr profilů příjmu dat SAP

Konfigurace konsolidovaných seznamů

Řešení Microsoft Sentinel pro konfiguraci aplikací SAP® se dosahuje poskytováním informací specifických pro zákazníka ve zřízených konsolidovaných znacích.

Poznámka

Po počátečním nasazení řešení může nějakou dobu trvat, než se sledované seznamy naplní daty. Pokud upravíte seznam ke zhlédnutí a zjistíte, že je prázdný, počkejte prosím několik minut a zkuste ho znovu otevřít pro úpravy.

SAP – seznam ke zhlédnutí systémů

SAP – seznam zhlédnutí systémů definuje, které systémy SAP se v monitorovaném prostředí nacházejí. Pro každý systém zadejte jeho IDENTIFIKÁTOR SID, ať už se jedná o produkční systém nebo prostředí pro vývoj/testování, a také popis. Tyto informace používají některá analytická pravidla, která můžou reagovat odlišně, pokud se ve vývojovém nebo produkčním systému objeví relevantní události.

SAP – seznam ke zhlédnutí sítí

SAP – seznam zhlédnutí sítí popisuje všechny sítě, které organizace používá. Primárně se používá k identifikaci, jestli přihlášení uživatelů pocházejí ze známých segmentů sítě, a to i v případě neočekávané změny původu přihlášení uživatele.

Existuje několik přístupů k dokumentaci síťové topologie. Můžete definovat širokou škálu adres, například 172.16.0.0/16, a pojmenovat ji "Podniková síť", což bude stačit pro sledování přihlášení mimo tento rozsah. Segmentovaný přístup ale umožňuje lepší přehled o potenciálně atypických aktivitách.

Příklad: Definujte následující dva segmenty a jejich geografická umístění:

Segment	Umístění
192.168.10.0/23	Západní Evropa
10.15.0.0/16	Austrálie

Microsoft Sentinel teď bude moct odlišit přihlášení od 192.168.10.15 (v prvním segmentu) od přihlášení z adresy 10.15.2.1 (ve druhém segmentu) a upozornit vás, pokud se takové chování identifikuje jako neobvyklé.

Seznamy ke zhlédnutí citlivých dat

• SAP – Moduly citlivých funkcí
• SAP – Citlivé tabulky
• SAP – Citlivé programy ABAP
• SAP – Citlivé transakce

Všechny tyto seznamy ke zhlédnutí identifikují citlivé akce nebo data, která můžou uživatelé provádět nebo ke kterým mají přístup. V seznamu ke zhlédnutí jsme předem nakonfigurovali několik dobře známých operací, tabulek a autorizací, ale doporučujeme, abyste se poradili s týmem SAP BASIS, abyste zjistili, které operace, transakce, autorizace a tabulky jsou ve vašem prostředí SAP považovány za citlivé.

Seznamy ke zhlédnutí hlavních dat uživatelů

• SAP – Citlivé profily
• SAP – Citlivé role
• SAP – Privilegovaní uživatelé
• SAP – Kritické autorizace

Řešení Microsoft Sentinel pro aplikace SAP® používá data User Master shromážděná ze systémů SAP k identifikaci uživatelů, profilů a rolí, které by měly být považovány za citlivé. Některá ukázková data jsou součástí konsolidovaných seznamů, ale doporučujeme, abyste se poradit s týmem SAP BASIS, aby identifikovali citlivé uživatele, role a profily a odpovídajícím způsobem naplnili seznamy ke zhlédnutí.

Zahájení povolení analytických pravidel

Ve výchozím nastavení se všechna analytická pravidla poskytovaná v řešení Microsoft Sentinel pro aplikace SAP® poskytují jako šablony pravidel upozornění. Doporučujeme fázovaný přístup, kdy se ze šablon vytváří několik pravidel najednou, což poskytuje čas na vyladění jednotlivých scénářů. Následující pravidla považujeme za nejjednodušší implementovat, proto je nejlepší začít těmito pravidly:

1. Změna citlivého privilegovaného uživatele
2. Změna konfigurace klienta
3. Citlivé privilegované přihlášení uživatele
4. Citlivý privilegovaný uživatel provede změnu v jiném
5. Změna a přihlášení uživatele s citlivými oprávněními
6. Testovaný modul funkce

Povolení nebo zakázání příjmu konkrétních protokolů SAP

Povolení nebo zakázání příjmu dat konkrétního protokolu:

1. Upravte souborsystemconfig.ini umístěný ve složce /opt/sapcon/SID/ na virtuálním počítači konektoru.
2. V konfiguračním souboru vyhledejte příslušný protokol a udělejte jednu z těchto věcí:
   • Pokud chcete protokol povolit, změňte hodnotu na True.
   • Pokud chcete protokol zakázat, změňte hodnotu na False.

Pokud chcete například zastavit příjem dat pro ABAPJobLog, změňte jeho hodnotu na False:

ABAPJobLog = False

Projděte si seznam dostupných protokolů v referenčních informacích k souborůmSystemconfig.ini.

Můžete také zastavit příjem tabulek hlavních dat uživatele.

Poznámka

Jakmile některý z protokolů nebo tabulek zastavíte, nemusí sešity a analytické dotazy, které tento protokol používají, fungovat. Seznamte se s protokoly, které jednotlivé sešity používají , a zjistěte, jaký protokol každé analytické pravidlo používá.

Zastavení příjmu protokolů a zakázání konektoru

Pokud chcete zastavit ingestování protokolů SAP do pracovního prostoru služby Microsoft Sentinel a datový proud z kontejneru Dockeru, spusťte tento příkaz:

docker stop sapcon-[SID]

Kontejner Dockeru se zastaví a do pracovního prostoru služby Microsoft Sentinel neodesílá žádné další protokoly SAP. Tím se zastaví příjem dat a fakturace systému SAP souvisejícího s konektorem.

Pokud potřebujete znovu povolit kontejner Dockeru, spusťte tento příkaz:

docker start sapcon-[SID]

Odebrání role uživatele a volitelného cr nainstalovaného v systému ABAP

Pokud chcete odebrat roli uživatele a volitelný cr importovaný do vašeho systému, importujte odstraněný CR NPLK900259 do systému ABAP.