Monitorované parametry zabezpečení SAP pro detekci podezřelých změn konfigurace
Tento článek podrobně popisuje parametry zabezpečení v systému SAP, které řešení Microsoft Sentinel pro aplikace SAP® monitoruje v rámci analytického pravidla "SAP – (Preview) Sensitive Static Parameter has Changed" (SAP – (Preview) Sensitive Static Parameter has Change.
Řešení Microsoft Sentinel pro aplikace SAP® bude poskytovat aktualizace pro tento obsah podle změn osvědčených postupů SAP. Můžete také přidat parametry do watch pro, změnit hodnoty podle potřeb vaší organizace a zakázat konkrétní parametry v seznamu zhlédnutí SAPSystemParameters.
Poznámka
Aby řešení Microsoft Sentinel pro aplikace SAP® úspěšně monitoruje parametry zabezpečení SAP, musí v pravidelných intervalech úspěšně monitorovat tabulku SAP PAHI. Ověřte, že řešení dokáže úspěšně monitorovat tabulku PAHI.
Monitorované statické parametry zabezpečení SAP
Tento seznam obsahuje statické parametry zabezpečení SAP, které řešení Microsoft Sentinel pro aplikace SAP® monitoruje, aby chránilo váš systém SAP. Seznam není doporučením pro konfiguraci těchto parametrů. Informace o konfiguraci získáte od správců SAP.
| Parametr | Popis | Hodnota zabezpečení a důležité informace |
|---|---|---|
| gw/accept_remote_trace_level | Určuje, zda subsystémy CPI (Central Process Integration) a RFC (Remote Function Call) přecházejí na úroveň vzdáleného trasování. Pokud je tento parametr nastavený na 1, subsystémy CPI a RFC přijímají a přijímají úrovně vzdáleného trasování. Pokud je nastavená na 0, vzdálené úrovně trasování se nepřijmou a místo toho se použije místní úroveň trasování.Úroveň trasování je nastavení, které určuje úroveň podrobností zaznamenaných v systémovém protokolu pro konkrétní program nebo proces. Když subsystémy přejdou na úrovně trasování, můžete nastavit úroveň trasování pro program nebo proces ze vzdáleného systému, a to nejen z místního systému. Toto nastavení může být užitečné v situacích, kdy se vyžaduje vzdálené ladění nebo řešení potíží. |
Parametr je možné nakonfigurovat tak, aby omezil úroveň trasování přijímanou z externích systémů. Nastavení nižší úrovně trasování může snížit množství informací, které mohou externí systémy získat o interním fungování systému SAP. |
| přihlášení/password_change_for_SSO | Určuje, jak se vynucují změny hesel v situacích jednotného přihlašování. | Vysoká, protože vynucení změn hesel může pomoct zabránit neoprávněnému přístupu k systému útočníky, kteří mohli získat platné přihlašovací údaje prostřednictvím útoku phishing nebo jiným způsobem. |
| icm/accept_remote_trace_level | Určuje, zda Internet Communication Manager (ICM) přijímá vzdálené změny úrovně trasování z externích systémů. | Střední, protože povolení změn úrovně vzdáleného trasování může útočníkům poskytnout cenné diagnostické informace a potenciálně ohrozit zabezpečení systému. |
| rdisp/gui_auto_logout | Určuje maximální dobu nečinnosti připojení SAP GUI před automatickým odhlášením uživatele. | Vysoká, protože automatické odhlášení neaktivních uživatelů může pomoct zabránit neoprávněnému přístupu k systému útočníky, kteří mohli získat přístup k pracovní stanici uživatele. |
| rsau/enable | Určuje, jestli je protokol auditu zabezpečení povolený. | Vysoká, protože protokol auditování zabezpečení může poskytovat cenné informace pro detekci a prošetřování incidentů zabezpečení. |
| přihlášení/min_password_diff | Určuje minimální počet znaků, které se musí při změně hesla lišit mezi starým a novým heslem. | Vysoká, protože vyžadování minimálního počtu rozdílů ve znaku může uživatelům zabránit v volbě slabých hesel, která se dají snadno uhodnout. |
| přihlášení/min_password_digits | Nastaví minimální počet číslic požadovaných v hesle pro uživatele. | Vysoká, protože parametr zvyšuje složitost hesel a znesnadňuje jejich uhádnutí nebo prolomení. |
| přihlášení/ticket_only_by_https | Tento parametr určuje, jestli se lístky ověřování odesílají jenom přes HTTPS, nebo jestli se dají posílat i přes HTTP. | Vysoká, protože použití https pro přenos lístků šifruje přenášená data, což je bezpečnější. |
| ověřování/rfc_authority_check | Určuje, jestli se pro RFC provádějí kontroly autority. | Vysoká, protože povolením tohoto parametru zabráníte neoprávněnému přístupu k citlivým datům a funkcím prostřednictvím rfc. |
| gw/acl_mode | Nastaví režim pro soubor seznamu řízení přístupu (ACL) používaný bránou SAP. | Vysoká, protože parametr řídí přístup k bráně a pomáhá zabránit neoprávněnému přístupu k systému SAP. |
| gw/protokolování | Řídí nastavení protokolování pro bránu SAP. | Vysoká, protože tento parametr lze použít k monitorování a detekci podezřelých aktivit nebo potenciálních porušení zabezpečení. |
| přihlášení/fails_to_session_end | Nastaví počet povolených neplatných pokusů o přihlášení před ukončením relace uživatele. | Vysoká, protože parametr pomáhá zabránit útokům hrubou silou na uživatelské účty. |
| wdisp/ssl_encrypt | Nastaví režim pro opětovné šifrování požadavků HTTP protokolem SSL. | Vysoká, protože tento parametr zajišťuje šifrování dat přenášených přes PROTOKOL HTTP, což pomáhá zabránit odposlouchávání a manipulaci s daty. |
| přihlášení/no_automatic_user_sapstar | Řídí automatické přihlášení uživatele SAP*. | Vysoká, protože tento parametr pomáhá zabránit neoprávněnému přístupu k systému SAP prostřednictvím výchozího účtu SAP*. |
| rsau/max_diskspace/local | Definuje maximální množství místa na disku, které lze použít pro místní úložiště protokolů auditu. Tento parametr zabezpečení pomáhá zabránit zaplnění místa na disku a zajišťuje, aby protokoly auditu byly k dispozici pro šetření. | Nastavení odpovídající hodnoty pro tento parametr pomáhá zabránit tomu, aby místní protokoly auditu zabíraly příliš mnoho místa na disku, což by mohlo vést k problémům s výkonem systému nebo dokonce k útokům na odepření služby. Na druhou stranu nastavení příliš nízké hodnoty může vést ke ztrátě dat protokolu auditu, která může být vyžadována pro dodržování předpisů a auditování. |
| snc/extid_login_diag | Povolí nebo zakáže protokolování externího ID v chybách přihlášení SNC (Secure Network Communication). Tento parametr zabezpečení může pomoct identifikovat pokusy o neoprávněný přístup k systému. | Povolení tohoto parametru může být užitečné při řešení potíží souvisejících se SNC, protože poskytuje další diagnostické informace. Parametr však může také zveřejnit citlivé informace o externích bezpečnostních produktech používaných systémem, což může být potenciální bezpečnostní riziko, pokud tyto informace spadají do nesprávných rukou. |
| přihlášení/password_change_waittime | Definuje počet dnů, po které musí uživatel počkat, než si heslo znovu změní. Tento parametr zabezpečení pomáhá vynucovat zásady hesel a zajistit, aby uživatelé pravidelně měnili svá hesla. | Nastavení vhodné hodnoty pro tento parametr může pomoct zajistit, aby uživatelé pravidelně měnili svá hesla dostatečně, aby zachovali zabezpečení systému SAP. Zároveň může být nastavení příliš krátké doby čekání kontraproduktivní, protože uživatelé můžou s větší pravděpodobností opakovaně používat hesla nebo zvolit slabá hesla, která se snadněji zapamatují. |
| snc/accept_insecure_cpic | Určuje, zda systém přijímá nezabezpečená připojení SNC pomocí protokolu CPIC. Tento parametr zabezpečení řídí úroveň zabezpečení připojení SNC. | Povolení tohoto parametru může zvýšit riziko zachycení nebo manipulace s daty, protože přijímá připojení chráněná SNC, která nesplňují minimální standardy zabezpečení. Proto je doporučenou hodnotou zabezpečení pro tento parametr nastavit hodnotu 0, což znamená, že jsou přijímána pouze připojení SNC, která splňují minimální požadavky na zabezpečení. |
| snc/accept_insecure_r3int_rfc | Určuje, zda systém přijímá nezabezpečená připojení SNC pro protokoly R/3 a RFC. Tento parametr zabezpečení řídí úroveň zabezpečení připojení SNC. | Povolení tohoto parametru může zvýšit riziko zachycení nebo manipulace s daty, protože přijímá připojení chráněná SNC, která nesplňují minimální standardy zabezpečení. Proto je doporučenou hodnotou zabezpečení pro tento parametr nastavit hodnotu 0, což znamená, že jsou přijímána pouze připojení SNC, která splňují minimální požadavky na zabezpečení. |
| snc/accept_insecure_rfc | Určuje, jestli systém přijímá nezabezpečená připojení SNC pomocí protokolů RFC. Tento parametr zabezpečení řídí úroveň zabezpečení připojení SNC. | Povolení tohoto parametru může zvýšit riziko zachycení nebo manipulace s daty, protože přijímá připojení chráněná SNC, která nesplňují minimální standardy zabezpečení. Proto je doporučenou hodnotou zabezpečení pro tento parametr nastavit hodnotu 0, což znamená, že jsou přijímána pouze připojení SNC, která splňují minimální požadavky na zabezpečení. |
| snc/data_protection/max | Definuje maximální úroveň ochrany dat pro připojení SNC. Tento parametr zabezpečení řídí úroveň šifrování používaná pro připojení SNC. | Nastavení vysoké hodnoty pro tento parametr může zvýšit úroveň ochrany dat a snížit riziko zachycování nebo manipulace s daty. Doporučená hodnota zabezpečení pro tento parametr závisí na konkrétních požadavcích organizace na zabezpečení a strategii řízení rizik. |
| rspo/auth/pagelimit | Definuje maximální počet požadavků na zařazování, které může uživatel zobrazit nebo odstranit najednou. Tento parametr zabezpečení pomáhá zabránit útokům dos služby na systém zařazování. | Tento parametr nemá přímý vliv na zabezpečení systému SAP, ale může pomoct zabránit neoprávněnému přístupu k citlivým autorizačním datům. Omezení počtu položek zobrazených na stránce může snížit riziko, že si neautorizované osoby budou prohlížet citlivé autorizační informace. |
| snc/accept_insecure_gui | Určuje, zda systém přijímá nezabezpečená připojení SNC pomocí grafického uživatelského rozhraní. Tento parametr zabezpečení řídí úroveň zabezpečení připojení SNC. | Pokud chcete zajistit, aby připojení SNC vytvořená prostřednictvím grafického uživatelského rozhraní SAP byla zabezpečená, a aby se snížilo riziko neoprávněného přístupu nebo zachytávání citlivých dat, doporučujeme nastavit hodnotu tohoto parametru na 0 hodnotu . Povolení nezabezpečených připojení SNC může zvýšit riziko neoprávněného přístupu k citlivým informacím nebo zachytávání dat a mělo by se provádět pouze v případě, že existuje konkrétní potřeba a rizika byla řádně vyhodnocena. |
| přihlášení/accept_sso2_ticket | Povolí nebo zakáže přijetí lístků jednotného přihlašování 2 pro přihlášení. Tento parametr zabezpečení řídí úroveň zabezpečení pro přihlášení k systému. | Povolení jednotného přihlašování 2 může poskytnout efektivnější a pohodlnější uživatelské prostředí, ale také přináší další bezpečnostní rizika. Pokud útočník získá přístup k platnému lístku jednotného přihlašování2, může být schopen zosobnit legitimního uživatele a získat neoprávněný přístup k citlivým datům nebo provádět škodlivé akce. |
| přihlášení/multi_login_users | Definuje, zda je pro stejného uživatele povoleno více přihlašovacích relací. Tento parametr zabezpečení řídí úroveň zabezpečení uživatelských relací a pomáhá zabránit neoprávněnému přístupu. | Povolením tohoto parametru můžete zabránit neoprávněnému přístupu k systémům SAP tím, že omezíte počet souběžných přihlášení pro jednoho uživatele. Pokud je tento parametr nastavený na 0hodnotu , pro každého uživatele je povolena pouze jedna relace přihlášení a další pokusy o přihlášení se zamítnou. To může pomoct zabránit neoprávněnému přístupu k systémům SAP v případě ohrožení přihlašovacích údajů uživatele nebo jejich sdílení s ostatními. |
| přihlášení/password_expiration_time | Určuje maximální časový interval ve dnech, pro které je heslo platné. Po uplynutí této doby se uživateli zobrazí výzva ke změně hesla. | Nastavení tohoto parametru na nižší hodnotu může zlepšit zabezpečení tím, že zajistíte, aby se hesla často měnily. |
| přihlášení/password_max_idle_initial | Určuje maximální časový interval v minutách, po který může uživatel zůstat přihlášený bez provádění jakékoli aktivity. Po uplynutí této doby se uživatel automaticky odhlásí. | Nastavení nižší hodnoty pro tento parametr může zlepšit zabezpečení tím, že zajistíte, aby nečinné relace nezůstaly otevřené po delší dobu. |
| přihlášení/password_history_size | Určuje počet předchozích hesel, která uživatel nesmí znovu použít. | Tento parametr zabraňuje uživatelům v opakovaném používání stejných hesel, což může zlepšit zabezpečení. |
| snc/data_protection/use | Umožňuje použití ochrany dat SNC. Pokud je tato možnost povolená, SNC zajišťuje, aby všechna data přenášená mezi systémy SAP byla šifrovaná a zabezpečená. | |
| rsau/max_diskspace/per_day | Určuje maximální množství místa na disku v MB, které lze použít pro protokoly auditu za den. Nastavení nižší hodnoty pro tento parametr může pomoct zajistit, že protokoly auditu nebudou využívat příliš mnoho místa na disku a budou se moct efektivně spravovat. | |
| snc/enable | Umožňuje SNC pro komunikaci mezi systémy SAP. | Pokud je služba SNC povolená, poskytuje další vrstvu zabezpečení tím, že šifruje data přenášená mezi systémy. |
| ověřování/no_check_in_some_cases | V některých případech zakáže kontroly autorizace. | I když tento parametr může zvýšit výkon, může také představovat bezpečnostní riziko, protože umožňuje uživatelům provádět akce, ke kterým nemusí mít oprávnění. |
| ověřování/object_disabling_active | Zakáže konkrétní autorizační objekty pro uživatelské účty, které byly po určitou dobu neaktivní. | Může pomoct zlepšit zabezpečení snížením počtu neaktivních účtů s zbytečnými oprávněními. |
| přihlášení/disable_multi_gui_login | Zabraňuje přihlášení uživatele k více relacím grafického uživatelského rozhraní současně. | Tento parametr může pomoct zlepšit zabezpečení tím, že zajistí, aby uživatelé byly přihlášeni pouze k jedné relaci najednou. |
| přihlášení/min_password_lng | Určuje minimální délku hesla. | Nastavení vyšší hodnoty pro tento parametr může zlepšit zabezpečení tím, že zajistíte, aby hesla nebyla snadno uhodnutá. |
| rfc/reject_expired_passwd | Zabrání spuštění dokumentu RFC, když vypršela platnost hesla uživatele. | Povolení tohoto parametru může být užitečné při vynucování zásad hesel a zabránění neoprávněnému přístupu k systémům SAP. Pokud je tento parametr nastavený na 1, připojení RFC se zamítnou, pokud vypršela platnost hesla uživatele, a před připojením se uživateli zobrazí výzva ke změně hesla. To pomáhá zajistit, aby k systému měli přístup jenom oprávnění uživatelé s platnými hesly. |
| rsau/max_diskspace/per_file | Nastaví maximální velikost souboru auditu, který může auditování systému SAP vytvořit. Nastavení nižší hodnoty pomáhá zabránit nadměrnému nárůstu počtu souborů auditu a zajistit tak dostatek místa na disku. | Nastavení vhodné hodnoty pomáhá spravovat velikost souborů auditu a vyhnout se problémům s úložištěm. |
| přihlášení/min_password_letters | Určuje minimální počet písmen, která musí být zahrnuta do hesla uživatele. Nastavení vyšší hodnoty pomáhá zvýšit sílu a zabezpečení hesla. | Nastavení vhodné hodnoty pomáhá vynucovat zásady hesel a zlepšit zabezpečení hesel. |
| rsau/selection_slots | Nastaví počet slotů výběru, které lze použít pro soubory auditu. Nastavení vyšší hodnoty může pomoct zabránit přepsání starších souborů auditu. | Pomáhá zajistit, aby se soubory auditu uchovály po delší dobu, což může být užitečné při narušení zabezpečení. |
| gw/sim_mode | Tento parametr nastaví režim simulace brány. Pokud je tato brána povolená, pouze simuluje komunikaci s cílovým systémem a neproběne žádná skutečná komunikace. | Povolení tohoto parametru může být užitečné pro účely testování a může pomoct zabránit nezamýšleným změnám cílového systému. |
| přihlášení/fails_to_user_lock | Nastaví počet neúspěšných pokusů o přihlášení, po kterých se uživatelský účet uzamkne. Nastavení nižší hodnoty pomáhá zabránit útokům hrubou silou. | Pomáhá zabránit neoprávněnému přístupu k systému a chránit uživatelské účty před ohrožením zabezpečení. |
| přihlášení/password_compliance_to_current_policy | Vynucuje dodržování předpisů nových hesel s aktuálními zásadami hesel v systému. Jeho hodnota by měla být nastavena na 1 , aby se tato funkce povolila. |
Vysoká. Povolením tohoto parametru můžete zajistit, aby uživatelé při změně hesel dodržovali aktuální zásady hesel, což snižuje riziko neoprávněného přístupu k systémům SAP. Pokud je tento parametr nastavený na 1, zobrazí se uživatelům při změně hesel výzva, aby dodržovali aktuální zásady hesel. |
| rfc/ext_debugging | Povolí režim ladění RFC pro externí volání RFC. Jeho hodnota by měla být nastavená na 0 , aby se tato funkce zakázala. |
|
| gw/monitor | Umožňuje monitorování připojení brány. Jeho hodnota by měla být nastavena na 1 , aby se tato funkce povolila. |
|
| přihlášení/create_sso2_ticket | Umožňuje uživatelům vytvářet lístky jednotného přihlašování2. Jeho hodnota by měla být nastavena na 1 , aby se tato funkce povolila. |
|
| přihlášení/failed_user_auto_unlock | Povolí automatické odemykání uživatelských účtů po neúspěšném pokusu o přihlášení. Jeho hodnota by měla být nastavena na 1 , aby se tato funkce povolila. |
|
| přihlášení/min_password_uppercase | Nastaví minimální počet velkých písmen požadovaných v nových heslech. Jeho hodnota by měla být nastavena na kladné celé číslo. | |
| přihlášení/min_password_specials | Nastaví minimální počet speciálních znaků požadovaných v nových heslech. Jeho hodnota by měla být nastavena na kladné celé číslo. | |
| snc/extid_login_rfc | Umožňuje použití SNC pro externí volání RFC. Její hodnota by měla být nastavená na 1 , aby se tato funkce povolila. |
|
| přihlášení/min_password_lowercase | Nastaví minimální počet malých písmen požadovaných v nových heslech. Jeho hodnota by měla být nastavena na kladné celé číslo. | |
| přihlášení/password_downwards_compatibility | Umožňuje nastavit hesla pomocí starých hashovacích algoritmů pro zpětnou kompatibilitu se staršími systémy. Jeho hodnota by měla být nastavená na 0 , aby se tato funkce zakázala. |
|
| snc/data_protection/min | Nastaví minimální úroveň ochrany dat, která se musí používat pro připojení chráněná SNC. Jeho hodnota by měla být nastavena na kladné celé číslo. | Nastavení odpovídající hodnoty pro tento parametr pomáhá zajistit, aby připojení chráněná SNC poskytovala minimální úroveň ochrany dat. Toto nastavení pomáhá zabránit zachycení citlivých informací nebo manipulaci s nimi ze strany útočníků. Hodnota tohoto parametru by měla být nastavená na základě požadavků na zabezpečení systému SAP a citlivosti dat přenášených přes připojení chráněná SNC. |
Další kroky
Další informace naleznete v tématu:
- Nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Obsah zabezpečení řešení SAP
- Referenční informace k protokolům aplikací SAP® pro řešení Microsoft Sentinel
- Monitorování stavu systému SAP
- Nasazení řešení Microsoft Sentinel pro datový konektor aplikací SAP® s využitím SNC
- Referenční informace ke konfiguračnímu souboru
- Požadavky na nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP®