Monitorované parametry zabezpečení SAP pro detekci podezřelých změn konfigurace
Tento článek obsahuje seznam statických parametrů zabezpečení v systému SAP, které řešení Microsoft Sentinel pro aplikace SAP monitoruje jako součást sap - (Preview) Citlivé statického parametru, změnilo analytické pravidlo.
Řešení Microsoft Sentinel pro aplikace SAP poskytuje aktualizace pro tento obsah podle změn osvědčených postupů SAP. Přidejte parametry, které chcete sledovat změnou hodnot podle potřeb vaší organizace, a vypněte konkrétní parametry v seznamu ke zhlédnutí SAPSystemParameters.
Tento článek nepopisuje parametry a nejedná se o doporučení ke konfiguraci parametrů. Co je potřeba vzít v úvahu při konfiguraci, obraťte se na správce SAP. Popisy parametrů najdete v dokumentaci k SAP.
Obsah v tomto článku je určený pro týmy SAP BASIS .
Požadavky
Aby bylo řešení Microsoft Sentinelu pro aplikace SAP úspěšně monitorováno parametry zabezpečení SAP, musí řešení v pravidelných intervalech úspěšně monitorovat tabulku SAP PAHI. Další informace naleznete v tématu Ověření, zda je tabulka PAHI aktualizována v pravidelných intervalech.
Parametry ověřování
| Parametr | Hodnota zabezpečení /důležité informace |
|---|---|
| ověřování/no_check_in_some_cases | I když tento parametr může zvýšit výkon, může také představovat bezpečnostní riziko tím, že uživatelům umožní provádět akce, pro které nemusí mít oprávnění. |
| ověřování/object_disabling_active | Pomáhá zlepšit zabezpečení snížením počtu neaktivních účtů s nepotřebnými oprávněními. |
| ověřování/rfc_authority_check | Vysoká. Povolením tohoto parametru zabráníte neoprávněnému přístupu k citlivým datům a funkcím prostřednictvím RFC. |
Parametry brány
| Parametr | Hodnota zabezpečení /důležité informace |
|---|---|
| gw/accept_remote_trace_level | Parametr lze nakonfigurovat tak, aby omezoval úroveň trasování přijatou z externích systémů. Nastavení nižší úrovně trasování může snížit množství informací, které mohou externí systémy získat o interních fungováních systému SAP. |
| gw/acl_mode | Vysoká. Tento parametr řídí přístup k bráně a pomáhá zabránit neoprávněnému přístupu k systému SAP. |
| gw/ protokolování | Vysoká. Tento parametr lze použít k monitorování a zjišťování podezřelých aktivit nebo potenciálních porušení zabezpečení. |
| gw/monitor | |
| gw/sim_mode | Povolení tohoto parametru může být užitečné pro účely testování a může pomoct zabránit jakýmkoli nezamýšleným změnám cílového systému. |
Parametry Internet Communication Manageru (ICM)
| Parametr | Hodnota zabezpečení /důležité informace |
|---|---|
| icm/accept_remote_trace_level | Středně Povolení změn na úrovni vzdáleného trasování může útočníkům poskytnout cenné diagnostické informace a potenciálně ohrozit zabezpečení systému. |
Parametry přihlášení
| Parametr | Hodnota zabezpečení /důležité informace |
|---|---|
| přihlášení/accept_sso2_ticket | Povolení jednotného přihlašování 2 může poskytovat efektivnější a pohodlnější uživatelské prostředí, ale přináší také další bezpečnostní rizika. Pokud útočník získá přístup k platnému lístku SSO2, může být schopný zosobnit legitimního uživatele a získat neoprávněný přístup k citlivým datům nebo provádět škodlivé akce. |
| přihlášení/create_sso2_ticket | |
| přihlášení/disable_multi_gui_login | Tento parametr může pomoct zlepšit zabezpečení tím, že zajistí, aby se uživatelé přihlásili pouze k jedné relaci najednou. |
| přihlášení/failed_user_auto_unlock | |
| přihlášení/fails_to_session_end | Vysoká. Tento parametr pomáhá zabránit útokům hrubou silou na uživatelské účty. |
| přihlášení/fails_to_user_lock | Pomáhá zabránit neoprávněnému přístupu k systému a pomáhá chránit uživatelské účty před napadením. |
| přihlášení/min_password_diff | Vysoká. Vyžadování minimálního počtu rozdílů znaků může pomoct uživatelům zabránit v volbě slabých hesel, která se dají snadno odhadnout. |
| přihlášení/min_password_digits | Vysoká. Tento parametr zvyšuje složitost hesel a znesnadňuje jejich hádání nebo prolomení. |
| přihlášení/min_password_letters | Určuje minimální počet písmen, která musí být zahrnuta do hesla uživatele. Nastavení vyšší hodnoty pomáhá zvýšit sílu a zabezpečení hesel. |
| přihlášení/min_password_lng | Určuje minimální délku, kterou může heslo obsahovat. Nastavení vyšší hodnoty pro tento parametr může zlepšit zabezpečení tím, že zajistí, aby hesla nebyla snadno uhodnutá. |
| přihlášení/min_password_lowercase | |
| přihlášení/min_password_specials | |
| přihlášení/min_password_uppercase | |
| přihlášení/multi_login_users | Povolením tohoto parametru můžete zabránit neoprávněnému přístupu k systémům SAP omezením počtu souběžných přihlášení pro jednoho uživatele. Pokud je tento parametr nastavený na 0, je povolena pouze jedna relace přihlášení pro jednotlivé uživatele a další pokusy o přihlášení jsou odmítnuty. To může pomoct zabránit neoprávněnému přístupu k systémům SAP v případě ohrožení přihlašovacích údajů uživatele nebo jejich sdílení s ostatními. |
| přihlášení/no_automatic_user_sapstar | Vysoká. Tento parametr pomáhá zabránit neoprávněnému přístupu k systému SAP prostřednictvím výchozího účtu SAP*. |
| přihlášení/password_change_for_SSO | Vysoká. Vynucení změn hesel může pomoct zabránit neoprávněnému přístupu k systému útočníky, kteří mohli získat platné přihlašovací údaje prostřednictvím útoku phishing nebo jiným způsobem. |
| přihlášení/password_change_waittime | Nastavení vhodné hodnoty pro tento parametr může pomoct zajistit, aby uživatelé pravidelně měnili svá hesla, aby zachovali zabezpečení systému SAP. Zároveň může být nastavení doby čekání příliš krátké, protože uživatelé můžou mít větší pravděpodobnost opakované použití hesel nebo zvolit slabá hesla, která se snadněji zapamatují. |
| přihlášení/password_compliance_to_current_policy | Vysoká. Povolení tohoto parametru může pomoct zajistit, aby uživatelé při změně hesel dodržovali aktuální zásady hesel, což snižuje riziko neoprávněného přístupu k systémům SAP. Při nastavení 1tohoto parametru se uživatelům při změně hesel zobrazí výzva, aby dodržovali aktuální zásady hesel. |
| přihlášení/password_downwards_compatibility | |
| přihlášení/password_expiration_time | Nastavení tohoto parametru na nižší hodnotu může zlepšit zabezpečení tím, že zajistí, že se hesla často mění. |
| přihlášení/password_history_size | Tento parametr brání uživatelům v opakovaném používání stejných hesel, což může zlepšit zabezpečení. |
| přihlášení/password_max_idle_initial | Nastavení nižší hodnoty pro tento parametr může zlepšit zabezpečení tím, že zajistí, aby nečinné relace zůstaly otevřené po delší dobu. |
| přihlášení/ticket_only_by_https | Vysoká. Použití protokolu HTTPS pro přenos lístku šifruje přenášená data, aby byla bezpečnější. |
Parametry vzdáleného dispečeru
| Parametr | Hodnota zabezpečení /důležité informace |
|---|---|
| rdisp/gui_auto_logout | Vysoká. automatické odhlášení neaktivních uživatelů může pomoct zabránit neoprávněnému přístupu k systému útočníky, kteří můžou mít přístup k pracovní stanici uživatele. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Povolení tohoto parametru může být užitečné při vynucování zásad hesel a zabránění neoprávněnému přístupu k systémům SAP. Pokud je tento parametr nastavený na 1, připojení RFC jsou odmítnuta, pokud vypršela platnost hesla uživatele a uživatel se zobrazí výzva ke změně hesla, než se může připojit. To pomáhá zajistit, aby k systému měli přístup jenom autorizovaní uživatelé s platnými hesly. |
| rsau/enable | Vysoká. Tento protokol auditu zabezpečení může poskytovat cenné informace pro zjišťování a vyšetřování incidentů zabezpečení. |
| rsau/max_diskspace/local | Nastavení vhodné hodnoty pro tento parametr pomáhá zabránit tomu, aby protokoly místního auditu spotřebovávají příliš mnoho místa na disku, což by mohlo vést k problémům s výkonem systému nebo dokonce útokům na dostupnost služby. Na druhou stranu nastavení hodnoty, která je příliš nízká, může vést ke ztrátě dat protokolu auditu, která můžou být vyžadována pro dodržování předpisů a auditování. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Nastavení vhodné hodnoty pomáhá spravovat velikost souborů auditu a vyhnout se problémům s úložištěm. |
| rsau/selection_slots | Pomáhá zajistit, aby se soubory auditu uchovály delší dobu, což může být užitečné při porušení zabezpečení. |
| rspo/auth/pagelimit | Tento parametr nemá přímý vliv na zabezpečení systému SAP, ale může pomoct zabránit neoprávněnému přístupu k citlivým autorizačním datům. Omezením počtu zobrazených položek na stránku může snížit riziko neoprávněných osob, které zobrazují citlivé autorizační informace. |
Parametry zabezpečené síťové komunikace (SNC)
| Parametr | Hodnota zabezpečení /důležité informace |
|---|---|
| snc/accept_insecure_cpic | Povolení tohoto parametru může zvýšit riziko zachycení nebo manipulace s daty, protože přijímá připojení chráněná SNC, která nesplňují minimální standardy zabezpečení. Proto je doporučená hodnota zabezpečení pro tento parametr nastavena na 0, což znamená, že jsou přijata pouze připojení SNC, která splňují minimální požadavky na zabezpečení. |
| snc/accept_insecure_gui | Nastavením hodnoty tohoto parametru 0 se doporučuje zajistit, aby byla připojení SNC vytvořená prostřednictvím grafického uživatelského rozhraní SAP zabezpečená a aby se snížilo riziko neoprávněného přístupu nebo zachycení citlivých dat. Povolení nezabezpečených připojení SNC může zvýšit riziko neoprávněného přístupu k citlivým informacím nebo zachycení dat a mělo by se provést pouze v případě, že existuje určitá potřeba a rizika jsou řádně vyhodnocena. |
| snc/accept_insecure_r3int_rfc | Povolení tohoto parametru může zvýšit riziko zachycení nebo manipulace s daty, protože přijímá připojení chráněná SNC, která nesplňují minimální standardy zabezpečení. Proto je doporučená hodnota zabezpečení pro tento parametr nastavena na 0, což znamená, že jsou přijata pouze připojení SNC, která splňují minimální požadavky na zabezpečení. |
| snc/accept_insecure_rfc | Povolení tohoto parametru může zvýšit riziko zachycení nebo manipulace s daty, protože přijímá připojení chráněná SNC, která nesplňují minimální standardy zabezpečení. Proto je doporučená hodnota zabezpečení pro tento parametr nastavena na 0, což znamená, že jsou přijata pouze připojení SNC, která splňují minimální požadavky na zabezpečení. |
| snc/data_protection/max | Nastavení vysoké hodnoty pro tento parametr může zvýšit úroveň ochrany dat a snížit riziko zachycení nebo manipulace s daty. Doporučená hodnota zabezpečení pro tento parametr závisí na konkrétních požadavcích organizace na zabezpečení a strategii správy rizik. |
| snc/data_protection/min | Nastavení vhodné hodnoty pro tento parametr pomáhá zajistit, aby připojení chráněná SNC poskytovala minimální úroveň ochrany dat. Toto nastavení pomáhá zabránit zachycení citlivých informací nebo manipulaci s nimi útočníky. Hodnota tohoto parametru by měla být nastavena na základě požadavků na zabezpečení systému SAP a citlivosti dat přenášených přes připojení chráněná SNC. |
| snc/data_protection/use | |
| snc/enable | Pokud je tato možnost povolená, poskytuje SNC další vrstvu zabezpečení šifrováním dat přenášených mezi systémy. |
| snc/extid_login_diag | Povolení tohoto parametru může být užitečné při řešení potíží souvisejících s SNC, protože poskytuje další diagnostické informace. Parametr však může také vystavit citlivé informace o externích bezpečnostních produktech používaných systémem, což může být potenciální bezpečnostní riziko, pokud tyto informace spadají do nesprávných rukou. |
| snc/extid_login_rfc |
Parametry webového dispečeru
| Parametr | Hodnota zabezpečení /důležité informace |
|---|---|
| wdisp/ssl_encrypt | Vysoká. Tento parametr zajišťuje šifrování dat přenášených přes PROTOKOL HTTP, což pomáhá zabránit odposlouchávání a manipulaci s daty. |
Související obsah
Další informace naleznete v tématu: