Microsoft Sentinel-Lösung für SAP®-Anwendungen konfigurieren

Hinweis

Azure Sentinel heißt jetzt Microsoft Sentinel, und wir werden diese Seiten in den nächsten Wochen aktualisieren. Erfahren Sie mehr über die aktuellen Sicherheitsverbesserungen von Microsoft.

Diese Artikel enthält bewährte Methoden zum Konfigurieren der Microsoft Sentinel-Lösung für SAP®-Anwendungen. Der vollständige Bereitstellungsprozess wird in einer ganzen Reihe von Artikeln erläutert. Links zu diesen Artikeln finden Sie unter Bereitstellungsmeilensteine.

Wichtig

Einige Komponenten der Microsoft Sentinel-Lösung für SAP®-Anwendungen befinden sich derzeit in der Vorschau. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Die Bereitstellung des Datensammler-Agents und der Lösung in Microsoft Sentinel bietet Ihnen die Möglichkeit, SAP-Systeme auf verdächtige Aktivitäten hin zu überwachen und Bedrohungen zu identifizieren. Bewährte Methoden für die optimale Ausführung der Lösung legen jedoch eindringlich nahe, mehrere zusätzliche Konfigurationsschritte durchzuführen, die sehr von der SAP-Bereitstellung abhängig sind.

Bereitstellungsmeilensteine

Verfolgen Sie den Bereitstellungsweg Ihrer SAP-Lösung durch diese Reihe von Artikeln:

1. Übersicht über die Bereitstellung

2. Voraussetzungen für die Bereitstellung

3. Mit der Lösung über mehrere Arbeitsbereiche hinweg arbeiten (VORSCHAU)

4. Vorbereiten einer SAP-Umgebung

5. Konfigurieren der Überwachung

6. Bereitstellen der Microsoft Sentinel-Lösung für SAP®-Anwendungen aus dem Inhaltshub

7. Bereitstellen des Datenconnector-Agents

8. Microsoft Sentinel-Lösung für SAP®-Anwendungen konfigurieren (Sie sind hier)

9. Optionale Bereitstellungsschritte

   • Konfigurieren des Datenconnectors für die Verwendung von SNC
   • Erfassen von SAP HANA-Überwachungsprotokollen
   • Konfigurieren von Überwachungsregeln für Überwachungsprotokolle
   • Manuelles Bereitstellen des SAP-Connectors
   • Auswählen von SAP-Erfassungsprofilen

Konfigurieren von Watchlists

Die Konfiguration der Microsoft Sentinel-Lösung für SAP®-Anwendungen erfolgt durch Bereitstellung kundenspezifischer Informationen in den bereitgestellten Watchlists.

Hinweis

Nach der anfänglichen Bereitstellung der Lösung kann es einige Zeit dauern, bis die Watchlists mit Daten gefüllt werden. Wenn Sie eine Watchlist bearbeiten und feststellen, dass sie leer ist, warten Sie einige Minuten, und versuchen Sie erneut, die Watchlist für die Bearbeitung zu öffnen.

SAP – System-Watchlist

Die SAP-System-Watchlist definiert, welche SAP-Systeme in der überwachten Umgebung vorhanden sind. Geben Sie für jedes System (unabhängig davon, ob es sich um ein Produktionssystem oder eine Entwicklungs-/Testumgebung handelt) die Sicherheits-ID (SID) und eine Beschreibung ein. Diese Informationen werden von einigen Analyseregeln verwendet, die unterschiedlich reagieren können, wenn relevante Ereignisse in einer Entwicklung oder einem Produktionssystem angezeigt werden.

SAP-Networks-Watchlist

Die SAP-Networks-Watchlist umfasst alle Netzwerke, die von der Organisation verwendet werden. Sie wird in erster Linie verwendet, um festzustellen, ob Benutzeranmeldungen aus bekannten Segmenten des Netzwerks stammen, auch wenn sich der Ursprung der Benutzeranmeldung unerwartet ändert.

Es gibt eine Reihe von Ansätzen für die Dokumentierung der Netzwerktopologie. Sie können eine großen Adressbereich definieren, z. B. 172.16.0.0/16, und sie z. B. „Unternehmensnetzwerk“ nennen. Dies ist für die Nachverfolgung von Anmeldungen außerhalb dieses Bereichs ausreichend. Ein segmentierterer Ansatz sorgt jedoch für einen besseren Einblick in potenziell atypische Aktivitäten.

Definieren Sie beispielsweise die folgenden beiden Segmente und ihre geografischen Standorte:

Segment	Standort
192.168.10.0/23	Europa, Westen
10.15.0.0/16	Australien

Jetzt kann Microsoft Sentinel eine Anmeldung von 192.168.10.15 (im ersten Segment) von einer Anmeldung von 10.15.2.1 (im zweiten Segment) unterscheiden und Sie warnen, wenn dieses Verhalten als atypisch identifiziert wird.

Vertrauliche Daten-Watchlists

• SAP – Sensible Funktionsmodule
• SAP – Sensible Tabellen
• SAP – Sensible ABAP-Programme
• SAP – Sensible Transaktionen

Diese Überwachungslisten identifizieren vertrauliche Aktionen oder Daten, die von Benutzer*innen ausgeführt werden können bzw. auf die sie Zugriff haben. Mehrere bekannte Vorgänge, Tabellen und Autorisierungen wurden in den Watchlists vorkonfiguriert; es wird jedoch empfohlen, sich mit dem SAP BASIS-Team zu beraten, um zu ermitteln, welche Vorgänge, Transaktionen, Autorisierungen und Tabellen in Ihrer SAP-Umgebung als vertraulich gelten.

Benutzermasterdaten-Watchlists

• SAP – Sensible Profile
• SAP – Sensible Rollen
• SAP – Privilegierte-Benutzer
• SAP – Kritisches Autorisierungen

Die Microsoft Sentinel-Lösung für SAP®-Anwendungen verwendet Benutzermasterdaten, die aus SAP-Systemen zusammengetragen werden, um festzustellen, welche Benutzer, Profile und Rollen als sensibel betrachtet werden sollten. Einige Beispieldaten sind in den Watchlists enthalten; es wird aber dennoch empfohlen, sich mit dem SAP BASIS-Team zu beraten, um vertrauliche Benutzer, Rollen und Profile zu identifizieren und entsprechende Daten in die Watchlists einzugeben.

Erstes Aktivieren der Analyseregeln

In der Standardeinstellung werden alle in der Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitgestellten Analyseregeln als Vorlagen für Warnungsregeln bereitgestellt. Wir empfehlen einen schrittweisen Ansatz und jeweils nur ein paar Regeln aus Vorlagen zu erstellen, damit Zeit für die Feinabstimmung der einzelnen Szenarien bleibt. Unserer Ansicht nach sind die folgenden Regeln am einfachsten zu implementieren, sodass Sie am besten mit diesen beginnen:

1. Ändern der sensiblen privilegierten Benutzer
2. Ändern der Clientkonfiguration
3. Anmelden der sensiblen privilegierten Benutzer
4. Vornehmen einer Änderung durch sensiblen privilegierten Benutzer an anderem Benutzer
5. Ändern des Kennworts eines sensiblen privilegierten Benutzers und Anmelden
6. Testen des Funktionsmoduls

Aktivieren oder Deaktivieren der Erfassung bestimmter SAP-Protokolle

So aktivieren oder deaktivieren Sie die Erfassung eines bestimmten Protokolls:

1. Bearbeiten Sie die Datei systemconfig.json unter /opt/sapcon/SID/ auf der Connector-VM.
2. Suchen Sie in der Konfigurationsdatei das relevante Protokoll, und führen Sie einen der folgenden Schritte aus:
   • Um das Protokoll zu aktivieren, ändern Sie den Wert in True.
   • Um das Protokoll zu deaktivieren, ändern Sie den Wert in False.

Wenn Sie beispielsweise die Erfassung für ABAPJobLog beenden möchten, ändern Sie den Wert in False:

"abapjoblog": "True",

Überprüfen Sie die Liste der verfügbaren Protokolle im Dateiverweis von „Systemconfig.json“.

Sie können auch die Erfassung der Benutzer-Masterdatentabellen beenden.

Hinweis

Sobald Sie eines der Protokolle oder eine der Tabellen beendet haben, funktionieren die Arbeitsmappen und Analyseabfragen, die dieses Protokoll verwenden, möglicherweise nicht mehr. Informationen dazu, welches Protokoll von den einzelnen Arbeitsmappen verwendet wird, und Informationen dazu, welches Protokoll von den einzelnen Analyseregeln verwendet wird.

Beenden der Protokollerfassung und Deaktivieren des Connectors

Führen Sie den folgenden Befehl aus, um die Erfassung von SAP-Protokollen im Microsoft Sentinel-Arbeitsbereich zu beenden und den Datenstrom aus dem Docker-Container zu beenden:

docker stop sapcon-[SID/agent-name]

Um die Erfassung einer bestimmten SID für einen Multi-SID-Container zu beenden, müssen Sie die SID aus der Benutzeroberfläche der Connectorseite in Sentinel löschen. Der Docker-Container wird beendet und sendet keine weiteren SAP-Protokolle an den Microsoft Sentinel-Arbeitsbereich. Dadurch wird sowohl die Erfassung als auch die Abrechnung für das SAP-System im Zusammenhang mit dem Connector beendet.

Wenn Sie den Docker-Container erneut aktivieren müssen, führen Sie den folgenden Befehl aus:

docker start sapcon-[SID]

Entfernen der Benutzerrolle und der auf Ihrem ABAP-System installierten optionalen CR

Um die Benutzerrolle und optionale CR zu entfernen, die in Ihr System importiert wurde, importieren Sie die CR NPLK900259 zum Löschen in Ihr ABAP-System.

Nächste Schritte

Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:

• Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
• Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Bereitstellen von SAP-Änderungsanforderungen (CRs) und Konfigurieren der Autorisierung
• Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
• Bereitstellen von SAP-Sicherheitsinhalten
• Überwachen der Integrität Ihres SAP-Systems
• Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP mit SNC
• Aktivieren und Konfigurieren von SAP-Überwachung
• Erfassen von SAP HANA-Überwachungsprotokollen

Problembehandlung:

• Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen

Referenzdateien:

• Datenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
• Kickstart-Skriptreferenz
• Referenz zum Updateskript
• Referenz zur Datei „Systemconfig.ini“

Weitere Informationen finden Sie unter Microsoft Sentinel-Lösungen.