Přehled řešení Microsoft Sentinel pro aplikace SAP®

Systémy SAP představují jedinečnou výzvu zabezpečení. Systémy SAP zpracovávají extrémně citlivé informace a jsou hlavními cíli pro útočníky.

Bezpečnostní provozní týmy tradičně měly velmi málo přehledu o systémech SAP. Porušení systému SAP může vést k odcizeným souborům, vystaveným datům nebo narušení dodavatelského řetězce. Jakmile je útočník v systému, existuje několik ovládacích prvků k detekci exfiltrace nebo jiných špatných činů. Aby bylo možné efektivně detekovat hrozby, musí aktivita SAP korelovat s dalšími daty v celé organizaci.

Microsoft Sentinel nabízí řešení Microsoft Sentinel pro aplikace SAP®, které pomáhá tuto mezeru zavřít. Toto komplexní řešení využívá komponenty na všech úrovních Služby Microsoft Sentinel k tomu, aby nabízelo kompletní detekci, analýzu, šetření a reakci na hrozby ve vašem prostředí SAP.

Co dělá řešení Microsoft Sentinel pro aplikace SAP®

Řešení Microsoft Sentinel pro aplikace SAP nepřetržitě monitoruje systémy SAP® pro hrozby ve všech vrstvách – obchodní logiku, aplikaci, databázi a operační systém. Umožňuje:

• Korelace monitorování SAP s jinými signály ve vaší organizaci a použití detekcí poskytovaných řešením nebo vytvoření vlastních detekcí za účelem monitorování citlivých transakcí a dalších obchodních rizik, jako jsou eskalace oprávnění, neschválené změny a neoprávněný přístup.

• Vytvářejte automatizované procesy odezvy pro interakci s vašimi systémy SAP za účelem zastavení aktivních bezpečnostních hrozeb.

Řešení Microsoft Sentinel pro aplikace SAP® také nabízí monitorování a detekci hrozeb pro platformu SAP Business Technology Platform.

Následující obrázek například ukazuje prostředí SAP s více identifikátory SID s rozdělením mezi produktivní a neprodukční systémy, včetně platformy SAP Business Technology Platform. Všechny systémy v této imagi jsou nasazené do Microsoft Sentinelu pro řešení SAP.

Podrobnosti řešení

Zdroje protokolů

Datový konektor řešení načítá širokou škálu zdrojů protokolů SAP:

• protokol auditu zabezpečení jazyk ABAP
• protokol změn dokumentů jazyk ABAP
• protokol fondu jazyk ABAP
• výstupní protokol jazyk ABAP fondu
• protokol úloh jazyk ABAP
• protokol pracovního postupu jazyk ABAP
• data tabulky jazyk ABAP DB
• Hlavní data uživatele SAP
• protokol CR jazyk ABAP
• Protokoly ICM
• Protokoly Webdispacher JAVA
• Syslog

Pokrytí detekce hrozeb

• Podezřelé operace s oprávněními – vytvoření privilegovaného uživatele

  • Použití uživatelů se zalomeným sklem
  • Odemknutí uživatele a přihlášení k němu ze stejné IP adresy
  • Přiřazení citlivých rolí a oprávnění správce
  • Odemknutí uživatele a použití jiných uživatelů
  • Přiřazení kritické autorizace

• Pokusy o obejití mechanismů zabezpečení SAP –

  • Zakázání protokolování auditu (HANA a SAP)
  • Provádění citlivých modulů funkcí
  • Odemknutí blokovaných transakcí
  • Ladění produkčních systémů
  • Přímý přístup k citlivým tabulkám podle RFC
  • RFC Execution of Sanative Function
  • Změna konfigurace systému, dynamický program jazyk ABAP.

• Vytvoření backdooru (trvalost)

  • Vytvoření nových internetových rozhraní (ICF)
  • Přímý přístup k citlivým tabulkám vzdáleným voláním funkce
  • Přiřazení nových obslužných rutin služeb do ICF
  • Provádění zastaralých programů
  • Uživatel odemkne a používá jiné uživatele.  

• Exfiltrace dat

  • Stažení více souborů
  • Převzetí fondu
  • Povolení přístupu k nezabezpečeným serverům FTP a připojením z neautorizovaných hostitelů
  • Dynamický cíl RFC
  • DATABÁZE HANA – Akce Správa uživatelů na úrovni databáze  

• Počáteční přístup – hrubá síla

  • Více přihlášení ze stejné IP adresy
  • Privilegovaná přihlášení uživatelů z neočekávaných sítí
  • Přehrání útoku SPNego

Osvědčení

Řešení Microsoft Sentinel pro aplikace SAP® je certifikované pro SAP S/4HANA® Cloud, Private Edition RISE se SAP a SAP S/4 místně.

• Scénáře integrace zahrnují S/4-BC-XAL 1.0/S/4 EXTERNÍ VÝSTRAHY A MONITOROVÁNÍ 1.0 (pro S/4).
• Naše certifikace zahrnuje S/4 a SAP Rise S/4 HANA® Cloud Private Edition běžící v jakémkoli cloudu a místně.
• Podporujeme hybridní nasazení, která můžou pokrýt celá zákaznická aktiva.

Podívejte se na certifikaci v adresáři SAP Certified Solutions Directory.

Přiřazení ochranné známky

SAP S/4HANA a SAP jsou ochranné známky nebo registrované ochranné známky SAP SE nebo jejích přidružených společností v Německu a v jiných zemích/oblastech. 

Další kroky

Další informace o řešení Microsoft Sentinel pro aplikace SAP®:

• Nasazení řešení Microsoft Sentinel pro aplikace SAP®
• Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
• Nasazení žádostí o změnu SAP (CRS) a konfigurace autorizace
• Nasazení obsahu řešení z centra obsahu
• Nasazení a konfigurace kontejneru hostujícího agenta datového konektoru SAP
• Monitorování stavu systému SAP
• Nasazení datového konektoru Microsoft Sentinel pro SAP pomocí SNC
• Povolení a konfigurace auditování SAP
• Shromažďování protokolů auditu SAP HANA
• Nasazení řešení Microsoft Sentinel pro SAP® BTP

Řešení potíží:

• Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP®

Referenční soubory:

• Referenční informace k datům aplikací SAP® pro řešení Microsoft Sentinel
• Řešení Microsoft Sentinel pro aplikace SAP®: Referenční informace k obsahu zabezpečení
• Úvodní referenční informace ke skriptu
• Referenční informace k aktualizačnímu skriptu
• Referenční informace k souboru Systemconfig.ini