Auswählen eines SAP-Erfassungsprofils

  • Artikel

In diesem Artikel wird erläutert, wie Sie das Profil für Ihre SAP-Lösung auswählen. Wir empfehlen Ihnen, ein Erfassungsprofil zu wählen, das Ihre Sicherheitsabdeckung maximiert und gleichzeitig Ihren Budgetanforderungen entspricht.

Da SAP eine Geschäftsanwendung ist und Geschäftsprozesse in der Regel saisonabhängig sind, kann das Gesamtvolumen der Protokolle im zeitlichen Verlauf schwer vorherzusagen sein. Zur Lösung dieses Problems empfehlen wir Ihnen, alle Protokolle für zwei Wochen aufzubewahren und anhand der beobachteten Aktivitäten eine Entscheidung zu treffen. Diese Entscheidungen können später bei Spitzen in der Geschäftstätigkeit oder bei größeren Veränderungen der Landschaft überarbeitet werden.

Die folgenden Abschnitte zeigen typische Kundenkonfigurationsprofile für die SAP-Protokollerfassung.

Dieses Profil bietet vollständige Abdeckung für:

  • Integrierte Analysen
  • Die Masterdatentabellen der SAP-Benutzerautorisierung mit Benutzer- und Berechtigungsinformationen
  • Die Möglichkeit, Änderungen und Aktivitäten in der SAP-Landschaft nachzuverfolgen. Dieses Profil bietet zusätzliche Protokollinformationen, um Untersuchungen nach Sicherheitsverletzungen und erweiterte Huntingfunktionen zu unterstützen.

Datei „systemconfig.ini“

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

Erkennungsorientiertes Profil

Dieses Profil umfasst die wichtigsten Sicherheitsprotokolle der SAP-Landschaft, die für eine reibungslose Funktion der meisten Analyseregeln erforderlich sind. Die Untersuchungsmöglichkeiten und Huntingfunktionen nach Sicherheitsverletzungen sind eingeschränkt.

Datei „systemconfig.ini“

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

Minimales Profil

Das SAP-Sicherheitsüberwachungsprotokoll ist die wichtigste Datenquelle, die die Microsoft Sentinel-Lösung für SAP®-Anwendungen zum Analysieren von Aktivitäten in der SAP-Landschaft verwendet. Die Aktivierung dieses Protokolls stellt die Mindestanforderung für die Bereitstellung von Sicherheit dar.

Datei „systemconfig.ini“

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False

Nächste Schritte

Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:

Problembehandlung:

Referenzdateien:

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.