Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Beim Bereitstellen eines Microsoft Sentinel-Datensammlers und der Lösung für SAP haben Sie die Möglichkeit, SAP-Systeme auf verdächtige Aktivitäten zu überwachen und Bedrohungen zu identifizieren. Hierbei sind zusätzliche Konfigurationsschritte erforderlich, um die Lösung für Ihre SAP-Bereitstellung zu optimieren. Dieser Artikel demonstriert bewährte Methoden für die ersten Schritte mit den Sicherheitsinhalten, die mit der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden. Gleichzeitig ist dies der letzte Schritt bei der Bereitstellung der SAP-Integration.
Wichtig
Der Datenkonnektor-Agent für SAP wird abgekündigt und am 14. September 2026 dauerhaft deaktiviert. Wir empfehlen, auf den agentlosen Datenkonnektor zu migrieren. Erfahren Sie mehr über den agentenlosen Ansatz in unserem Blogbeitrag.
Die Inhalte in diesem Artikel sind insbesondere für Ihr Sicherheitsteam relevant.
Voraussetzungen
Bevor Sie die in diesem Artikel beschriebenen Einstellungen konfigurieren, müssen Sie eine Microsoft Sentinel-SAP-Lösung installieren und einen Datenkonnektor konfigurieren.
Weitere Informationen finden Sie unter Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen aus dem Inhaltshub und Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen.
Tipp
Verwenden Sie die Blogreihe "Wie man die SAP for Sentinel-Lösung erfolgreich auswertet und in der Produktion implementiert" für einen ausführlichen Rundgang mit bewährten Methoden.
Erstes Aktivieren der Analyseregeln
Standardmäßig werden alle in der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellten Analyseregeln als Warnungsregelvorlagen bereitgestellt. Wir empfehlen eine in Schritte gegliederte Vorgehensweise, bei denen Sie anhand von Vorlagen jeweils nur einige Regeln erstellen, damit Zeit für die Feinabstimmung der einzelnen Szenarien bleibt.
Wir empfehlen, mit den folgenden Analyseregeln zu beginnen, die unserer Auffassung nach einfacher zu testen sind:
- Ändern eines sensiblen privilegierten Benutzers
- Sensibler privilegierter Benutzer angemeldet
- Sensibler privilegierter Benutzer nimmt eine Änderung bei anderem Benutzer vor
- Sensible Benutzer – Kennwortänderung und Anmeldung
- Ändern der Clientkonfiguration
- Funktionsmodul getestet
Weitere Informationen finden Sie unter Integrierte Analyseregeln und Bedrohungserkennung in Microsoft Sentinel.
Konfigurieren von Watchlists
Konfigurieren Sie Ihre Microsoft Sentinel-Lösung für SAP, indem Sie kundenspezifische Informationen in den folgenden Watchlists bereitstellen:
| Name der Watchlist | Konfigurationsdetails |
|---|---|
| SAP - Systeme | Die Watchlist SAP - Systeme definiert, welche SAP-Systeme in der überwachten Umgebung vorhanden sind. Geben Sie für jedes System Folgendes an: – Die SID – Ob es sich um ein Produktionssystem oder um eine Dev/Test-Umgebung handelt. Diese Definition in Ihrer Watchlist hat keine Auswirkungen auf die Fakturierung, sondern nur auf Ihre Analyseregel. Sie können für das Testen beispielsweise ein Testsystem als Produktionssystem verwenden. – Eine aussagekräftige Beschreibung Die konfigurierten Daten werden von einigen Analyseregeln verwendet, die unterschiedlich reagieren können, wenn relevante Ereignisse in einem Entwicklungs oder einem Produktionssystem auftreten. |
| SAP - Netzwerke | Die Watchlist SAP - Netzwerke enthält alle Netzwerke, die von der Organisation verwendet werden. Sie wird in erster Linie verwendet, um festzustellen, ob Benutzeranmeldungen aus bekannten Segmenten des Netzwerks stammen, oder ob sich der Ursprung einer Benutzeranmeldung unerwartet ändert. Es gibt zahlreiche Ansätze für die Dokumentierung der Netzwerktopologie. Sie können einen großen Adressbereich definieren, z. B. 172.16.0.0/16 und ihn Corporate Network nennen, was für die nachverfolgung von Anmeldungen von außerhalb dieses Bereichs ausreichend ist. Ein segmentierterer Ansatz sorgt jedoch für einen besseren Einblick in potenziell atypische Aktivitäten. Sie können beispielsweise die folgenden beiden Segmente und ihre geografischen Standorte definieren: - 192.168.10.0/23: Westeuropa - 10.15.0.0/16: Australien In solchen Fällen kann Microsoft Sentinel eine Anmeldung von 192.168.10.15 im ersten Segment von einer Anmeldung von 10.15.2.1 im zweiten Segment unterscheiden. Microsoft Sentinel warnt Sie, wenn solches Verhalten als atypisch identifiziert wird. |
|
SAP - Sensible Funktionsmodule SAP - Sensible Tabellen SAP - Sensible ABAP-Programme SAP - Sensible Transaktionen |
Watchlists für sensible Inhalte erkennen sensible Aktionen oder Daten, die von Benutzern ausgeführt werden können bzw. auf die sie Zugriff haben. Mehrere bekannte Vorgänge, Tabellen und Autorisierungen wurden in den Watchlists vorkonfiguriert; wir empfehlen jedoch, sich mit Ihrem SAP BASIS-Team zu beraten, um zu ermitteln, welche Vorgänge, Transaktionen, Autorisierungen und Tabellen in Ihrer SAP-Umgebung als sensibel gelten, und die Listen entsprechend zu aktualisieren. |
|
SAP - Sensible Profile SAP - Sensible Rollen SAP - Privilegierte Benutzer SAP - Kritische Autorisierungen |
Die Microsoft Sentinel-Lösung für SAP-Anwendungen verwendet Benutzerdaten, die aus SAP-Systemen in Watchlists für Benutzerdaten zusammengeführt werden, um festzustellen, welche Benutzer, Profile und Rollen als sensibel betrachtet werden sollen. Auch wenn standardmäßig Beispieldaten in den Watchlists enthalten sind, wird empfohlen, dass Sie sich mit Ihrem SAP BASIS-Team beraten, um die sensiblen Benutzer, Rollen und Profile in Ihrer Organisation zu identifizieren und die Listen nach Bedarf zu aktualisieren. |
Nach der anfänglichen Bereitstellung der Lösung kann es einige Zeit dauern, bis die Watchlists mit Daten gefüllt werden. Wenn Sie eine Watchlist zum Bearbeiten öffnen und feststellen, dass sie leer ist, warten Sie einige Minuten, und versuchen Sie es dann noch einmal.
Weitere Informationen finden Sie unter Verfügbare Watchlists
Verwenden eines Workbooks zum Überprüfen der Compliance Ihrer SAP-Sicherheitskontrollen
Die Microsoft Sentinel-Lösung für SAP-Anwendungen beinhaltet das Workbook SAP - Sicherheitsüberwachungskontrollen, mit dem Sie die Compliance für Ihre SAP-Sicherheitskontrollen überprüfen können. Das Workbook bietet eine umfassende Ansicht der vorhandenen Sicherheitskontrollen sowie des Compliancestatus der einzelnen Kontrollen.
Weitere Informationen finden Sie unter Überprüfen der Compliance für Ihre SAP-Sicherheitskontrollen mit der Arbeitsmappe "SAP - Sicherheitsüberwachungskontrollen".
Nächster Schritt
Es gibt noch viel mehr Inhalte für SAP mit Microsoft Sentinel zu entdecken. Dazu zählen Funktionen, Playbooks, Workbooks und vieles mehr. In diesem Artikel werden einige nützliche Ausgangspunkte aufgezeigt, und Sie sollten damit fortfahren, weitere Inhalte zu implementieren, um Ihre SAP-Sicherheitsüberwachung optimal zu nutzen.
Weitere Informationen finden Sie unter
- Microsoft Sentinel-Lösung für SAP-Anwendungen – Funktionsreferenz
- Microsoft Sentinel-Lösung für SAP-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
Verwandte Inhalte
Weitere Informationen finden Sie unter