Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
In diesem Artikel werden die sicherheitsbezogenen Inhalte für die Microsoft Sentinel-Lösung für SAP detailliert beschrieben.
Wichtig
Während die Microsoft Sentinel-Lösung für SAP®-Anwendungen allgemein verfügbar ist, sind einige bestimmte Komponenten weiterhin als VORSCHAUVERSION verfügbar. In diesem Artikel werden die Komponenten angegeben, die sich in den entsprechenden Abschnitten unten in der Vorschauversion befinden. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Zu verfügbaren Sicherheitsinhalten gehören integrierte Arbeitsmappen und Analyseregeln. Sie können auch SAP-bezogene Watchlists hinzufügen, um sie in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Playbooks für die Reaktion auf Bedrohungen zu verwenden.
Integrierte Arbeitsmappen
Verwenden Sie die folgenden integrierten Arbeitsmappen zur Visualisierung und Überwachung von Daten, die über den SAP-Datenconnector erfasst wurden. Nachdem Sie die SAP-Lösung bereitgestellt haben, finden Sie SAP-Arbeitsmappen auf der Registerkarte Meine Arbeitsmappen.
| Arbeitsmappenname | Beschreibung | Protokolle |
|---|---|---|
| SAP: Überwachungsprotokollbrowser | Zeigt Daten an wie z. B.: – Allgemeine Systemintegrität, einschließlich Benutzeranmeldungen im Laufe der Zeit, vom System aufgenommene Ereignisse, Nachrichtenklassen und IDs und USERS-Programme -Schweregrade von Ereignissen, die in Ihrem System auftreten – Authentifizierungs- und Autorisierungsereignisse in Ihrem System |
Nutzt Daten aus dem folgenden Protokoll: ABAPAuditLog_CL |
| SAP-Überwachungskontrollen | Unterstützt Sie bei der Überprüfung der Sicherheitskontrollen Ihrer SAP-Umgebung auf die Einhaltung Des gewählten Steuerelementframeworks, indem Sie Tools verwenden, um Folgendes auszuführen: – Zuweisen von Analyseregeln in Ihrer Umgebung zu bestimmten Sicherheitssteuerelementen und Steuerelementfamilien - Überwachen und Kategorisieren der Vorfälle, die von den sap lösungsbasierten Analyseregeln generiert werden – Bericht über Ihre Compliance |
Verwendet Daten aus den folgenden Tabellen: - SecurityAlert- SecurityIncident |
Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Azure Monitor-Arbeitsmappen und Bereitstellen der Microsoft Sentinel-Lösung für SAP®-Anwendungen.
Integrierte Analyseregeln
Überwachen der Konfiguration statischer SAP-Sicherheitsparameter (Vorschau)
Um das SAP-System zu sichern, hat SAP sicherheitsrelevante Parameter identifiziert, die auf Änderungen überwacht werden müssen. Mit der Regel "SAP - (Preview) Sensitive Static Parameter has Changed" überwacht die Microsoft Sentinel-Lösung für SAP®-Anwendungen über 52 statische sicherheitsrelevante Parameter im SAP-System, die in Microsoft Sentinel integriert sind.
Hinweis
Damit die Microsoft Sentinel-Lösung für SAP®-Anwendungen die SAP-Sicherheitsparameter erfolgreich überwachen können, muss die Lösung die SAP PAHI-Tabelle in regelmäßigen Abständen erfolgreich überwachen. Überprüfen Sie, ob die Lösung die PAHI-Tabelle erfolgreich überwachen kann.
Um Parameteränderungen im System nachzuvollziehen, nutzt die Microsoft Sentinel-Lösung für SAP®-Anwendungen die Parameterhistorientabelle, die Änderungen an Systemparametern stündlich aufzeichnet.
Die Parameter werden auch in der SAPSystemParameters-Watchlist angezeigt. Diese Watchlist ermöglicht es Benutzern, neue Parameter hinzuzufügen, vorhandene Parameter zu deaktivieren und die Werte und Schweregrade pro Parameter und Systemrolle in Produktions- oder Nicht-Produktionsumgebungen zu ändern.
Bei der Änderung eines dieser Parameter prüft Microsoft Sentinel, ob die Änderung sicherheitsrelevant ist und ob der Wert entsprechend den empfohlenen Werten eingestellt ist. Falls der Verdacht besteht, dass die Änderung außerhalb der Sicherheitszone liegt, erstellt Microsoft Sentinel einen Vorfall, in dem die Änderung detailliert beschrieben wird, und ermittelt, wer die Änderung vorgenommen hat.
Überprüfen Sie die Liste der Parameter, die von dieser Regel überwacht werden.
Überwachung des SAP-Überwachungsprotokolls
Die SAP-Überwachungsprotokolldaten werden in vielen Analyseregeln der Microsoft Sentinel-Lösung für SAP®-Anwendungen verwendet. Einige Analyseregeln suchen nach bestimmten Ereignissen im Protokoll, während andere Anzeichen aus mehreren Protokollen korrelieren, um Warnungen und Vorfälle mit hoher Zuverlässigkeit zu erzeugen.
Darüber hinaus gibt es zwei Analyseregeln, die darauf ausgelegt sind, den gesamten Satz standardmäßiger SAP-Überwachungsprotokollereignisse (183 verschiedene Ereignisse) sowie alle anderen benutzerdefinierten Ereignisse, die Sie mithilfe des SAP-Überwachungsprotokolls protokollieren möchten, zu berücksichtigen.
Beide Überwachungsanalyseregeln für das SAP-Überwachungsprotokoll nutzen gemeinsam dieselben Datenquellen und dieselbe Konfiguration, unterscheiden sich jedoch in einem kritischen Aspekt. Während die Regel „SAP - Dynamic Deterministic Audit Log Monitor“ deterministische Warnschwellenwerte und Benutzerausschlussregeln erfordert, wendet die Regel „SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)“ zusätzliche Algorithmen des maschinellen Lernens an, um Hintergrundgeräusche auf unüberwachte Weise herauszufiltern. Aus diesem Grund werden die meisten Ereignistypen oder SAP-Nachrichten-IDs des SAP-Überwachungsprotokolls standardmäßig an die Analyseregel „Anomaliebasiert“ gesendet, während die einfacher zu definierenden Ereignistypen an die deterministische Analyseregel gesendet werden. Diese Einstellung kann zusammen mit anderen verwandten Einstellungen noch weiter so konfiguriert werden, dass alle Systembedingungen abgedeckt werden.
SAP – Dynamische deterministische Überwachung des Überwachungsprotokolls
Eine dynamische Analyseregel, die für die Abdeckung der gesamten Gruppe von SAP-Überwachungsprotokoll-Ereignistypen vorgesehen ist, die eine deterministische Definition im Hinblick auf die Benutzergesamtheit und Ereignisschwellenwerte aufweisen.
- Konfigurieren der Regel mit der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“
- Hier erfahren Sie mehr darüber, wie Sie die Regel konfigurieren (vollständige Prozedur).
SAP – Dynamische anomaliebasierte Überwachungswarnungen für das Überwachungsprotokoll (VORSCHAU)
Eine dynamische Analyseregel, die darauf ausgelegt ist, normales Systemverhalten zu lernen, und bei Aktivitäten warnen soll, die im SAP-Überwachungsprotokoll beobachtet und als anomal eingestuft werden. Wenden Sie diese Regel auf die SAP-Überwachungsprotokoll-Ereignistypen an, die sich im Hinblick auf Benutzergesamtheit, Netzwerkattribute und Schwellenwerte schwieriger definieren lassen.
Weitere Informationen:
- Konfigurieren der Regel mit den Watchlists „SAP_Dynamic_Audit_Log_Monitor_Configuration“ und „SAP_User_Config“
- Hier erfahren Sie mehr darüber, wie Sie die Regel konfigurieren (vollständige Prozedur).
In den folgenden Tabellen sind die integrierten Analyseregeln in der Microsoft Sentinel-Lösung für SAP®-Anwendungen aufgeführt, die über den Marketplace für Microsoft Sentinel-Lösungen bereitgestellt wird.
Erstzugriff
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Anmeldung über unerwartetes Netzwerk | Identifiziert eine Anmeldung über ein unerwartetes Netzwerk. Verwalten Sie Netzwerke in der Watchlist SAP – Netzwerke. |
Melden Sie sich beim Back-End-System mit einer IP-Adresse an, die keinem der Netzwerke zugewiesen ist. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff |
| SAP – SPNego-Angriff | Identifiziert einen SPNego-Replay-Angriff. | Datenquellen: SAPcon – Überwachungsprotokoll | Auswirkung, Lateral Movement |
| SAP – Anmeldeversuch im Dialogfeld von einem privilegierten Benutzer | Identifiziert Anmeldeversuche im Dialogfeld vom Typ AUM durch privilegierte Benutzer in einem SAP-System. Weitere Informationen finden Sie unter SAPUsersGetPrivileged. | Versuchen Sie, sich innerhalb des geplanten Zeitintervalls mit derselben IP-Adresse bei mehreren Systemen bzw. Clients anzumelden. Datenquellen: SAPcon – Überwachungsprotokoll |
Auswirkung, Lateral Movement |
| SAP – Brute-Force-Angriffe | Identifiziert Brute-Force-Angriffe auf das SAP-System durch RFC-Anmeldung. | Es wurde versucht, eine Anmeldung innerhalb des geplanten Zeitintervalls mit derselben IP-Adresse bei mehreren Systemen/Clients mittels RFC vorzunehmen. Datenquellen: SAPcon – Überwachungsprotokoll |
Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Anmeldungen über dieselbe IP-Adresse | Identifiziert die Anmeldung mehrerer Benutzer über dieselbe IP-Adresse innerhalb eines geplanten Zeitintervalls. Untergeordneter Anwendungsfall: Persistenz |
Melden Sie mehrere Benutzer über die gleiche IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff |
| SAP – Mehrere Anmeldungen durch Benutzer | Identifiziert Anmeldungen desselben Benutzers an mehreren Terminals innerhalb des geplanten Zeitintervalls. Bei SAP-Versionen ab 7.5 nur über die Methode „SAL überwachen“ verfügbar. |
Melden Sie sich mit demselben Benutzer und verschiedenen IP-Adressen an. Datenquellen: SAPcon – Überwachungsprotokoll |
PreAttack, Zugriff auf Anmeldeinformationen, Erstzugriff, Sammlung Untergeordneter Anwendungsfall: Persistenz |
| SAP – Information – Lebenszyklus – SAP-Hinweise wurden im System implementiert | Identifiziert die Implementierungen von SAP-Hinweisen im System. | Implementieren Sie einen SAP-Hinweis mithilfe von SNOTE/TCI. Datenquellen: SAPcon - Change Requests |
- |
Datenexfiltration
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – FTP für nicht autorisierte Server | Identifiziert eine FTP-Verbindung für einen nicht autorisierten Server. | Erstellen Sie eine neue FTP-Verbindung, z. B. mithilfe des Funktionsmoduls FTP_CONNECT. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Erstzugriff, Command-and-Control |
| SAP – Konfiguration unsicherer FTP-Server | Identifiziert unsichere FTP-Serverkonfigurationen, z. B. wenn eine FTP-Positivliste leer ist oder Platzhalter enthält. | Verwalten Sie in der Verwaltungsansicht SAPFTP_SERVERS_V keine Werte, die in der Tabelle SAPFTP_SERVERS Platzhalter enthalten. (SM30) Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff, Command-and-Control |
| SAP – Download mehrerer Dateien | Identifiziert Downloads mehrerer Dateien für einen Benutzer innerhalb einer bestimmten Zeitspanne. | Laden Sie mithilfe von SAPGui für Excel, Listen usw. mehrere Dateien herunter. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Spoolausführungen | Identifiziert mehrere Spools für einen Benutzer innerhalb einer bestimmten Zeitspanne. | Erstellen und führen Sie mehrere Spoolaufträge eines beliebigen Typs durch einen Benutzer aus. (SP01) Datenquellen: SAPcon – Spoolprotokoll, SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Spoolausgabeausführungen | Identifiziert mehrere Spools für einen Benutzer innerhalb einer bestimmten Zeitspanne. | Erstellen und führen Sie mehrere Spoolaufträge eines beliebigen Typs durch einen Benutzer aus. (SP01) Datenquellen: SAPcon – Spoolprotokoll, SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Vertrauliche Tabellen – Direktzugriff durch RFC-Anmeldung | Identifiziert den Zugriff auf eine generische Tabelle per RFC-Anmeldung. Verwalten Sie Tabellen in der Watchlist SAP – Sensible Tabellen. Hinweis: Nur für Produktionssysteme relevant. |
Öffnen Sie den Tabelleninhalt mit SE11/SE16/SE16N. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Spool-Übernahme | Identifiziert einen Benutzer, der eine Spoolanforderung druckt, die von einer anderen Person erstellt wurde. | Erstellen Sie eine Spoolanforderung mit einem Benutzer, und geben Sie sie dann in als ein anderer Benutzer aus. Datenquellen: SAPcon - Spool Log, SAPcon - Spool Output Log, SAPcon - Audit Log |
Sammlung, Exfiltration, Command-and-Control |
| SAP – Dynamisches RFC-Ziel | Identifiziert die Ausführung von RFC mithilfe dynamischer Ziele. Untergeordneter Anwendungsfall: Erstzugriff und Versuche zum Umgehen von SAP-Sicherheitsmechanismen |
Führen Sie einen ABAP-Bericht aus, der dynamische Ziele (cl_dynamic_destination) verwendet. Beispiel: DEMO_RFC_DYNAMIC_DEST. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration |
| SAP – Vertrauliche Tabellen– Direktzugriff per Dialoganmeldung | Identifiziert den Zugriff auf generische Tabellen per Dialoganmeldung. | Öffnen Sie den Tabelleninhalt mit SE11/SE16/SE16N. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung |
| SAP: Datei, die von einer schädlichen IP-Adresse heruntergeladen wurde (Vorschau) | Identifiziert das Herunterladen einer Datei aus einem SAP-System mithilfe einer IP-Adresse, die als schädlich bekannt ist. Schädliche IP-Adressen werden von Threat Intelligence-Diensten abgerufen. | Herunterladen einer Datei von einer schädlichen IP-Adresse. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, Threat Intelligence |
Exfiltration |
| SAP: Mithilfe eines Datentransports aus einem Produktionssystem exportierte Daten (Vorschau) | Identifiziert den Datenexport aus einem Produktionssystem mithilfe eines Datentransports. Datentransporte werden in Entwicklungssystemen verwendet und ähneln Pull Requests. Diese Warnungsregel löst Vorfälle mit mittlerem Schweregrad aus, wenn ein Datentransport, der Daten aus einer beliebigen Tabelle enthält, aus einem Produktionssystem freigegeben wird. Die Regel erstellt einen Vorfall mit hohem Schweregrad, wenn der Export Daten aus einer vertraulichen Tabelle enthält. | Freigeben eines Datentransports aus einem Produktionssystem. Datenquellen: SAP CR-Protokoll, SAP: Vertrauliche Tabellen |
Exfiltration |
| SAP: Vertrauliche Daten werden auf einem USB-Laufwerk gespeichert (Vorschau) | Identifiziert den Export von SAP-Daten über Dateien. Die Regel überprüft, ob in der Umgebung einer Ausführung einer vertraulichen Transaktion, eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle Daten auf einem kürzlich eingebundenen USB-Laufwerk gespeichert wurden. | Exportieren von SAP-Daten über Dateien und Speichern auf einem USB-Laufwerk. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, DeviceFileEvents (Microsoft Defender for Endpoint), SAP: Vertrauliche Tabellen, SAP: Vertrauliche Transaktionen, SAP: Vertrauliche Programme |
Exfiltration |
| SAP: Drucken potenziell vertraulicher Daten (Vorschau) | Identifiziert eine Anforderung zum Drucken oder den tatsächlichen Druck potenziell vertraulicher Daten. Daten gelten als vertraulich, wenn der Benutzer die Daten im Rahmen einer vertraulichen Transaktion, Ausführung eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle erhält. | Drucken oder Anfordern des Druckens vertraulicher Daten. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP-Spoolprotokolle, SAP: Vertrauliche Tabellen, SAP: Vertrauliche Programme |
Exfiltration |
| SAP: Export großer Mengen potenziell vertraulicher Daten (Vorschau) | Identifiziert den Export einer großen Datenmenge über Dateien in der Umgebung einer Ausführung einer vertraulichen Transaktion, eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle. | Exportieren einer großen Menge an Daten über Dateien. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP: Vertrauliche Tabellen, SAP: Vertrauliche Transaktionen, SAP: Vertrauliche Programme |
Exfiltration |
Persistenz
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Aktivierung oder Deaktivierung des ICF-Diensts | Identifiziert die Aktivierung oder Deaktivierung des ICF-Diensts. | Aktivieren Sie einen Dienst mithilfe von SICF. Datenquellen: SAPcon – Tabellendatenprotokoll |
Command-and-Control, Lateral Movement, Persistenz |
| SAP – Funktionsmodul getestet | Identifiziert das Testen eines Funktionsmoduls. | Testen Sie ein Funktionsmodul mit SE37 / SE80. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Umgehen von Verteidigungsmaßnahmen, Lateral Movement |
| SAP – (VORSCHAU) HANA DB – Benutzeradministratoraktionen | Identifiziert Benutzerverwaltungsaktionen. | Erstellen, Aktualisieren oder Löschen Sie einen Datenbankbenutzer. Datenquellen: Linux-Agent – Syslog* |
Berechtigungsausweitung |
| SAP – Neue ICF-Diensthandler | Identifiziert die Erstellung von ICF-Handlern. | Weisen Sie einem Dienst mithilfe von SICF einen neuen Handler zu. Datenquellen: SAPcon – Überwachungsprotokoll |
Command-and-Control, Lateral Movement, Persistenz |
| SAP – Neue ICF-Dienste | Identifiziert die Erstellung von ICF-Diensten. | Erstellen Sie einen Dienst mithilfe von SICF. Datenquellen: SAPcon – Tabellendatenprotokoll |
Command-and-Control, Lateral Movement, Persistenz |
| SAP – Ausführung eines veralteten oder unsicheren Funktionsmoduls | Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Funktionsmoduls. Verwalten Sie veraltete Funktionen in der Watchlist SAP – Veraltete Funktionsmodule. Stellen Sie sicher, dass Sie im Back-End Änderungen an der Tabellenprotokollierung für die Tabelle EUFUNC aktivieren. (SE13)Hinweis: Nur für Produktionssysteme relevant. |
Führen Sie ein veraltetes oder unsicheres Funktionsmodul direkt mit SE37 aus. Datenquellen: SAPcon – Tabellendatenprotokoll |
Ermittlung, Command-and-Control |
| SAP – Ausführung eines veralteten/unsicheren Programms | Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Programms. Verwalten Sie veraltete Programme in der Watchlist SAP – Veraltete Programme. Hinweis: Nur für Produktionssysteme relevant. |
Führen Sie ein Programm direkt mithilfe von SE38/SA38/SE80 oder eines Hintergrundauftrags aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Command-and-Control |
| SAP – Mehrere Kennwortänderungen durch Benutzer | Identifiziert mehrere Kennwortänderungen durch Benutzer. | Benutzerkennwort ändern Datenquellen: SAPcon – Überwachungsprotokoll |
Zugriff auf Anmeldeinformationen |
Versuche, die SAP-Sicherheitsmechanismen zu umgehen
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Ändern der Clientkonfiguration | Identifiziert Änderungen an der Clientkonfiguration, z. B. Clientrolle oder Änderungsaufzeichnungsmodus. | Führen Sie Clientkonfigurationsänderungen mithilfe des Transaktionscodes SCC4 aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Umgehen von Verteidigungsmaßnahmen, Exfiltration, Persistenz |
| Ändern der ClientkonfigurationSAP – Daten haben sich während der Debugaktivität geändert | Identifiziert Änderungen an Laufzeitdaten während einer Debugaktivität. Untergeordneter Anwendungsfall: Persistenz |
1. Aktivieren Sie das Debuggen (/h). 2. Wählen Sie ein zu änderndes Feld aus, und aktualisieren Sie dessen Wert. Datenquellen: SAPcon – Überwachungsprotokoll |
Ausführung/Lateral Movement |
| SAP – Deaktivierung des Sicherheitsüberwachungsprotokolls | Identifiziert die Deaktivierung des Sicherheitsüberwachungsprotokolls. | Deaktivieren Sie das Sicherheitsüberwachungsprotokoll mit SM19/RSAU_CONFIG. Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Umgehen von Verteidigungsmaßnahmen, Persistenz |
| SAP – Ausführung eines vertraulichen ABAP-Programms | Identifiziert die direkte Ausführung eines sensiblen ABAP-Programms. Verwalten Sie ABAP-Programme in der Watchlist SAP – Sensible ABAP-Programme. |
Führen Sie ein Programm direkt mithilfe von SE38/SA38/SE80 aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Lateral Movement, Ausführung |
| SAP – Ausführung eines vertraulichen Transaktionscodes | Identifiziert die Ausführung eines sensiblen Transaktionscodes. Verwalten Sie Transaktionscodes in der Watchlist SAP – Sensible Transaktionscodes. |
Führen Sie einen sensiblen Transaktionscode aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Ausführung |
| SAP – Ausführung eines vertraulichen Funktionsmoduls | Identifiziert die Ausführung eines sensiblen ABAP-Funktionsmoduls. Untergeordneter Anwendungsfall: Persistenz Hinweis: Nur für Produktionssysteme relevant. Verwalten Sie sensible Funktionen in der Watchlist SAP – Sensible Funktionsmodule, und aktivieren Sie Tabellenprotokollierungsänderungen im Back-End für die Tabelle EUFUNC. (SE13) |
Führen Sie ein sensibles Funktionsmodul direkt mit SE37 aus. Datenquellen: SAPcon – Tabellendatenprotokoll |
Ermittlung, Command-and-Control |
| SAP – (VORSCHAU) HANA DB – Änderungen an Überwachungsprotokollrichtlinien | Identifiziert Änderungen an Überwachungsprotokollrichtlinien für HANA DB. | Erstellen oder aktualisieren Sie die vorhandene Überwachungsrichtlinie in Sicherheitsdefinitionen. Datenquellen: Linux-Agent – Syslog |
Lateral Movement, Umgehen von Verteidigungsmaßnahmen, Persistenz |
| SAP – (VORSCHAU) HANA DB – Deaktivierung des Überwachungsprotokolls | Identifiziert die Deaktivierung des HANA DB-Überwachungsprotokolls. | Deaktivieren Sie das Überwachungsprotokoll in der HANA DB-Sicherheitsdefinition. Datenquellen: Linux-Agent – Syslog |
Persistenz, Lateral Movement, Umgehen von Verteidigungsmaßnahmen |
| SAP – Nicht autorisierte Remoteausführung eines vertraulichen Funktionsmoduls | Erkennt nicht autorisierte Ausführungen vertraulicher Funktionsmodule, indem die Aktivität mit dem Autorisierungsprofil des Benutzers verglichen wird, während kürzlich geänderte Autorisierungen ignoriert werden. Verwalten Sie Funktionsmodule in der Watchlist SAP – Sensible Funktionsmodelle. |
Führen Sie ein Funktionsmodul mit RFC aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ausführung, Lateral Movement, Ermittlung |
| SAP – Ändern der Systemkonfiguration | Identifiziert Änderungen der Systemkonfiguration. | Passen Sie Systemänderungsoptionen oder Änderungen an Softwarekomponenten mithilfe des Transaktionscodes SE06 an.Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Umgehen von Verteidigungsmaßnahmen, Persistenz |
| SAP – Debugaktivitäten | Identifiziert alle auf das Debuggen bezogenen Aktivitäten. Untergeordneter Anwendungsfall: Persistenz |
Aktivieren Sie das Debuggen (/h) im System, debuggen Sie einen aktiven Prozess, fügen Sie dem Quellcode Haltepunkte hinzu usw. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung |
| SAP – Änderung der Konfiguration des Sicherheitsüberwachungsprotokolls | Identifiziert Änderungen an der Konfiguration des Sicherheitsüberwachungsprotokolls. | Ändern Sie mit SM19/RSAU_CONFIG beliebige Konfigurationseinstellungen des Überwachungsprotokolls, z. B. Filter, Status, Aufzeichnungsmodus usw. Datenquellen: SAPcon – Überwachungsprotokoll |
Persistenz, Exfiltration, Umgehen von Verteidigungsmaßnahmen |
| SAP – Transaktion ist entsperrt | Identifiziert das Entsperren einer Transaktion. | Entsperren Sie einen Transaktionscode mit SM01/SM01_DEV/SM01_CUS. Datenquellen: SAPcon – Überwachungsprotokoll |
Persistenz, Ausführung |
| SAP – Dynamisches ABAP-Programm | Identifiziert die Ausführung dynamischer ABAP-Programmierung. Beispielsweise, wenn ABAP-Code dynamisch erstellt, geändert oder gelöscht wurde. Verwalten Sie ausgeschlossene Transaktionscodes in der Watchlist SAP – Transaktionen für Generierungen von ABAP-Code. |
Erstellen Sie einen ABAP-Bericht, der ABAP-Programmgenerierungsbefehle wie INSERT REPORT verwendet, und führen Sie den Bericht dann aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Command-and-Control, Auswirkung |
Verdächtige Berechtigungsoperationen
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Ändern des vertraulichen privilegierten Benutzers | Identifiziert Änderungen an sensiblen privilegierten Benutzern. Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer. |
Ändern Sie Benutzerdetails/Autorisierungen mithilfe von SU01. Datenquellen: SAPcon – Überwachungsprotokoll |
Rechteausweitung, Zugriff auf Anmeldeinformationen |
| SAP – (VORSCHAU) HANA DB – Zuweisen von Administratorautorisierungen | Identifiziert Administratorrechte oder Rollenzuweisungen. | Weisen Sie einen Benutzer mit Administratorrolle oder -berechtigungen zu. Datenquellen: Linux-Agent – Syslog |
Berechtigungsausweitung |
| SAP – Angemeldeter vertraulicher privilegierter Benutzer | Identifiziert die Dialoganmeldung eines sensiblen privilegierten Benutzers. Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer. |
Melden Sie sich mit SAP* oder einem anderen privilegierten Benutzer am Back-End-System an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff, Zugriff auf Anmeldeinformationen |
| SAP – Vertraulicher privilegierter Benutzer nimmt eine Änderung bei anderem Benutzer vor | Identifiziert Änderungen des sensiblen privilegierten Benutzers bei anderen Benutzern. | Ändern Sie Benutzerdetails/Autorisierungen mithilfe von SU01. Datenquellen: SAPcon - Audit Log |
Rechteausweitung, Zugriff auf Anmeldeinformationen |
| SAP – Vertrauliche Benutzer– Kennwortänderung und Anmeldung | Identifiziert Kennwortänderungen privilegierter Benutzer. | Ändern Sie das Kennwort eines privilegierten Benutzers, und melden Sie sich beim System an. Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer. Datenquellen: SAPcon – Überwachungsprotokoll |
Auswirkung, Command-and-Control, Rechteausweitung |
| SAP – Benutzer erstellt und verwendet neuen Benutzer | Identifiziert einen Benutzer, der andere Benutzer erstellt und verwendet. Untergeordneter Anwendungsfall: Persistenz |
Erstellen Sie einen Benutzer mit SU01, und melden Sie sich dann mit dem neu erstellten Benutzer und derselben IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, PreAttack, Erstzugriff |
| SAP – Benutzer entsperrt und verwendet andere Benutzer | Identifiziert einen Benutzer, der entsperrt und von anderen Benutzern verwendet wird. Untergeordneter Anwendungsfall: Persistenz |
Entsperren Sie einen Benutzer mit SU01, und melden Sie sich dann mit dem entsperrten Benutzer und derselben IP-Adresse an. Datenquellen: SAPcon - Audit Log, SAPcon - Change Documents Log |
Ermittlung, PreAttack, Erstzugriff, Lateral Movement |
| SAP – Zuweisung eines vertraulichen Profils | Identifiziert neue Zuweisungen eines sensiblen Profils zu einem Benutzer. Verwalten Sie sensible Profile in der Watchlist SAP – Sensible Profile. |
Weisen Sie mit SU01 einem Benutzer ein Profil zu. Datenquellen: SAPcon – Dokumentänderungsprotokoll |
Berechtigungsausweitung |
| SAP – Zuweisung einer vertraulichen Rolle | Identifiziert neue Zuweisungen für eine sensible Rolle für einen Benutzer. Verwalten Sie sensible Rollen in der Watchlist SAP – Sensible Rollen. |
Weisen Sie mit SU01 / PFCG einem Benutzer eine Rolle zu. Datenquellen: SAPcon – Dokumentänderungsprotokoll, Überwachungsprotokoll |
Berechtigungsausweitung |
| SAP – (VORSCHAU) Kritische Autorisierungszuweisung – Neuer Autorisierungswert | Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer. Verwalten Sie kritische Autorisierungsobjekte in der Watchlist SAP – Kritische Autorisierungsobjekte. |
Weisen Sie mithilfe von PFCG ein neues Autorisierungsobjekt zu, oder aktualisieren Sie ein vorhandenes in einer Rolle. Datenquellen: SAPcon – Dokumentänderungsprotokoll |
Berechtigungsausweitung |
| SAP – Kritische Autorisierungszuweisung – Neue Benutzerzuweisung | Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer. Verwalten Sie kritische Autorisierungsobjekte in der Watchlist SAP – Kritische Autorisierungsobjekte. |
Weisen Sie mithilfe von SU01/PFCG einen neuen Benutzer einer Rolle zu, die kritische Autorisierungswerte enthält. Datenquellen: SAPcon – Dokumentänderungsprotokoll |
Berechtigungsausweitung |
| SAP – Änderungen an vertraulichen Rollen | Identifiziert Änderungen an sensiblen Rollen. Verwalten Sie sensible Rollen in der Watchlist SAP – Sensible Rollen. |
Ändern Sie eine Rolle mithilfe von PFCG. Datenquellen: SAPcon – Dokumentänderungsprotokoll, SAPcon – Überwachungsprotokoll |
Auswirkung, Rechteausweitung, Persistenz |
Verfügbare Watchlists
In der folgenden Tabelle sind die für die Microsoft Sentinel-Lösung für SAP®-Anwendungen verfügbaren Watchlists und deren Felder aufgeführt.
In diesen Watchlists wird die Konfiguration für die Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitgestellt. Die SAP-Watchlists sind im Microsoft Sentinel-GitHub verfügbar.
| Name der Watchlist | Beschreibung und Felder |
|---|---|
| SAP – Kritische Autorisierungsobjekte | Kritisches Autorisierungsobjekt, für das Zuweisungen gesteuert werden sollen. - AuthorizationObject: Ein SAP-Autorisierungsobjekt wie S_DEVELOP, S_TCODE oder Table TOBJ - AuthorizationField: Ein SAP-Autorisierungsfeld wie OBJTYP oder TCD - AuthorizationValue: Ein SAP-Autorisierungsfeldwert wie DEBUG - ActivityField: SAP-Aktivitätsfeld. In den meisten Fällen ist dieser Wert ACTVT. Für Autorisierungsobjekte ohne Aktivität oder mit nur einem Feld Aktivität, das mit NOT_IN_USE gefüllt ist. - Aktivität: SAP-Aktivität gemäß dem Autorisierungsobjekt, z. B.: 01: Erstellen; 02: Ändern; 03: Anzeigen usw. - Beschreibung: eine aussagekräftige Beschreibung des kritischen Autorisierungsobjekts. |
| SAP – Ausgeschlossene Netzwerke | Für die interne Wartung ausgeschlossener Netzwerke, z. B. zum Ignorieren von Webdispatchern, Terminalservern usw. -Netzwerk: eine Netzwerk-IP-Adresse oder ein IP-Adressbereich, z. B. 111.68.128.0/17. -Beschreibung: eine aussagekräftige Netzwerkbeschreibung. |
| SAP – Ausgeschlossene Benutzer | Systembenutzer, die am System angemeldet sind und ignoriert werden müssen. Beispielsweise Warnungen bei mehreren Anmeldungen durch denselben Benutzer. - Benutzer: SAP-Benutzer -Beschreibung: eine aussagekräftige Benutzerbeschreibung. |
| SAP – Netzwerke | Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen. - Netzwerk: Netzwerk-IP-Adresse oder IP-Adressbereich, z. B. 111.68.128.0/17 - Beschreibung: eine aussagekräftige Netzwerkbeschreibung. |
| SAP – Privilegierte-Benutzer | Privilegierte Benutzer, für die zusätzliche Einschränkungen gelten. - Benutzer: der ABAP-Benutzer, z. B. DDIC oder SAP - Beschreibung: eine aussagekräftige Benutzerbeschreibung. |
| SAP – Sensible ABAP-Programme | Sensible ABAP-Programme (Berichte), in denen die Ausführung gesteuert werden soll. - ABAPProgram: ABAP-Programm oder -Bericht, z. B. RSPFLDOC - Beschreibung: Eine aussagekräftige Programmbeschreibung. |
| SAP – Sensibles Funktionsmodul | Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen. - FunctionModule: Ein ABAP-Funktionsmodul, z. B. RSAU_CLEAR_AUDIT_LOG - Beschreibung: eine aussagekräftige Modulbeschreibung. |
| SAP – Sensible Profile | Sensible Profile, bei denen Zuweisungen gesteuert werden sollen. - Profil: SAP-Autorisierungsprofil, z. B. SAP_ALL oder SAP_NEW - Beschreibung: Eine aussagekräftige Profilbeschreibung. |
| SAP – Sensible Tabellen | Sensible Tabellen, bei denen der Zugriff gesteuert werden soll. - Tabelle: ABAP-Wörterbuchtabelle, z. B. USR02 oder PA008 - Beschreibung: eine aussagekräftige Tabellenbeschreibung. |
| SAP – Sensible Rollen | Sensible Rollen, bei denen die Zuweisung gesteuert werden soll. - Rolle: SAP-Autorisierungsrolle, z. B. SAP_BC_BASIS_ADMIN - Beschreibung: eine aussagekräftige Rollenbeschreibung. |
| SAP – Sensible Transaktionen | Sensible Transaktionen, bei denen die Ausführung gesteuert werden soll. - TransactionCode: SAP-Transaktionscode, z. B. RZ11 - Beschreibung: eine aussagekräftige Codebeschreibung. |
| SAP – Systeme | Beschreibt die Landschaft von SAP-Systemen je nach Rolle, Nutzung und Konfiguration. - SystemID: die SAP-System-ID (SYSID) - SystemRole: die SAP-Systemrolle, einer der folgenden Werte: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: die SAP-Systemnutzung, einer der folgenden Werte: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. |
| SAPSystemParameters | Parameter, die auf verdächtige Konfigurationsänderungen überwacht werden sollen. Diese Watchlist ist mit empfohlenen Werten vorausgefüllt (gemäß den SAP bewährten Methoden), und Sie können die Watchlist erweitern, um weitere Parameter aufzunehmen. Wenn Sie keine Benachrichtigungen für einen Parameter erhalten möchten, setzen Sie EnableAlerts auf false.- ParameterName: Der Name des Parameters. - Kommentar: Die SAP-Standardparameterbeschreibung. - EnableAlerts: Definiert, ob Warnungen für diesen Parameter aktiviert werden sollen. Gültige Werte sind true und false.- Option: Definiert, in welchem Fall eine Warnung ausgelöst werden soll: Wenn der Parameterwert größer oder gleich ( GE), kleiner oder gleich (LE) oder gleich (EQ) ist.Wenn der login/fails_to_user_lock SAP-Parameter beispielsweise auf LE (kleiner oder gleich) und auf den Wert 5 festgelegt ist, sobald Microsoft Sentinel eine Änderung an diesem spezifischen Parameter erkennt, werden der neu gemeldete Wert und der erwartete Wert verglichen. Wenn der neue Wert 4 lautet, löst Microsoft Sentinel keine Warnung aus. Wenn der neue Wert 6 ist, löst Microsoft Sentinel eine Warnung aus.- ProductionSeverity: Der Incidentschweregrad für Produktionssysteme. - ProductionValues: Zulässige Werte für Produktionssysteme. - NonProdSeverity: Der Incidentschweregrad des Vorfalls für Nicht-Produktionssysteme. - NonProdValues: Erlaubte Werte für Nicht-Produktionssysteme. |
| SAP – Ausgeschlossene Benutzer | Systembenutzer, die angemeldet sind und ignoriert werden müssen, z. B. für die Warnung „Mehrere Anmeldungen durch Benutzer“. - Benutzer: SAP-Benutzer - Beschreibung: eine aussagekräftige Benutzerbeschreibung |
| SAP – Ausgeschlossene Netzwerke | Verwalten Sie interne, ausgeschlossene Netzwerke zum Ignorieren von Webdispatchern, Terminalservern usw. - Netzwerk: Netzwerk-IP-Adresse oder IP-Adressbereich, z. B. 111.68.128.0/17 - Beschreibung: eine aussagekräftige Netzwerkbeschreibung |
| SAP – Veraltete Funktionsmodule | Veraltete Funktionsmodule, deren Ausführung gesteuert werden soll. - FunctionModule: ABAP-Funktionsmodul, z. B. TH_SAPREL - Beschreibung: eine aussagekräftige Funktionsmodulbeschreibung |
| SAP – Veraltete Programme | Sensible ABAP-Programme (Berichte), in denen die Ausführung gesteuert werden soll. - ABAPProgram: ABAP-Programm, z. B. TH_ RSPFLDOC - Beschreibung: eine aussagekräftige ABAP-Programmbeschreibung |
| SAP – Transaktionen für ABAP-Generierungen | Transaktionen für ABAP-Generierungen, deren Ausführung gesteuert werden soll. - TransactionCode: Transaktionscode, z. B. SE11. - Beschreibung: eine aussagekräftige Transaktionscodebeschreibung |
| SAP – FTP-Server | FTP-Server zur Identifizierung nicht autorisierter Verbindungen. - Client: z. B. 100. - FTP_Server_Name: FTP-Servername, z. B. http://contoso.com/ -FTP_Server_Port: FTP-Serverport, z. B. 22. - Beschreibung: eine aussagekräftige FTP-Serverbeschreibung |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurieren Sie die SAP-Überwachungsprotokollwarnungen, indem Sie jeder Nachrichten-ID nach Ihrem Bedarf pro Systemrolle (Produktion, Nichtproduktion) einen Schweregrad zuweisen. Diese Überwachungsliste enthält alle verfügbaren Standardüberwachungsprotokoll-IDs von SAP. Diese Watchlist kann erweitert werden, um zusätzliche Nachrichten-IDs aufzunehmen, die Sie möglicherweise selbst mit ABAP-Erweiterungen auf SAP NetWeaver-Systemen erstellen. Diese Watchlist ermöglicht außerdem das Konfigurieren eines bestimmten Teams, das alle Ereignistypen verarbeitet, sowie das Ausschließen von Benutzer*innen nach SAP-Rollen, SAP-Profilen oder Tags aus der Watchlist SAP_User_Config. Diese Watchlist ist eine der Kernkomponenten, die zum Konfigurieren integrierter SAP-Analyseregeln zum Überwachen des SAP-Überwachungsprotokolls verwendet wird. - MessageID: Die SAP-MessageID oder der Ereignistyp wie z. B. AUD (Benutzermasterdatensatz-Änderungen) oder AUB (Autorisierungsänderungen) - DetailedDescription: Eine Markdown-aktivierte Beschreibung, die im Incidentbereich angezeigt werden soll - ProductionSeverity: Der gewünschte Schweregrad für den Vorfall, mit dem dieser für Produktionssysteme erstellt werden soll, High, Medium. Kann auf Disabled festgelegt werden - NonProdSeverity: Der gewünschte Schweregrad für den Vorfall, mit dem dieser für Nichtproduktionssysteme erstellt werden soll High, Medium. Kann auf Disabled festgelegt werden - ProductionThreshold: Die Anzahl der Ereignisse „pro Stunde“, die als verdächtig für Produktionssysteme betrachtet werden sollen 60 - NonProdThreshold: Die Anzahl der Ereignisse „pro Stunde“, die als verdächtig für Nichtproduktionssysteme betrachtet werden sollen 10 - RolesTagsToExclude: Dieses Feld akzeptiert SAP-Rollennamen, SAP-Profilnamen oder Tags aus der SAP_User_Config-Watchlist. Diese werden dann verwendet, um die zugeordneten Benutzer*innen von bestimmten Ereignistypen auszuschließen. Sehen Sie sich auch die Optionen für Rollentags am Ende dieser Liste an. - RuleType: Verwenden Sie Deterministic als Ereignistyp, der an die SAP – Dynamische deterministische Überwachung des Überwachungsprotokolls gesendet werden soll, oder AnomaliesOnly, um dieses Ereignis von den SAP – Dynamischen anomaliebasierten Überwachungswarnungen für das Überwachungsprotokoll (VORSCHAUVERSION) abgedeckt zu wissen.- TeamsChannelID: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. - DestinationEmail: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. Für das Feld RolesTagsToExclude: – Wenn Sie SAP-Rollen oder SAP-Profile auflisten, schließt dies alle Benutzer*innen mit den aufgelisteten Rollen oder Profilen von diesen Ereignistypen für das gleiche SAP-System aus. Wenn Sie z. B. die ABAP-Rolle BASIC_BO_USERS für RFC-bezogene Ereignistypen angeben, lösen Business Objects-Benutzer*innen keine Vorfälle aus, wenn sie umfangreiche RFC-Aufrufe ausführen.– Das Markieren eines Ereignistyps ähnelt dem Angeben von SAP-Rollen oder -Profilen, doch Tags können im Arbeitsbereich erstellt werden, sodass SOC-Teams Benutzer*innen nach Aktivitäten ausschließen können, ohne vom SAP-Team abhängig zu sein. Beispielsweise werden den Überwachungsmeldungs-IDs „AUB“ (Autorisierungsänderungen) und „AUD“ (Benutzermasterdatensatz-Änderungen) das Tag MassiveAuthChanges zugewiesen. Benutzer*innen, denen dieses Tag zugewiesen ist, werden von den Prüfungen für diese Aktivitäten ausgeschlossen. Beim Ausführen der Arbeitsbereichsfunktion SAPAuditLogConfigRecommend wird eine Liste der empfohlenen Tags erstellt, die Benutzer*innen zugewiesen werden sollen, z. B. Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Ermöglicht das Optimieren von Warnungen, indem Benutzer*innen in bestimmten Kontexten aus-/eingeschlossen werden und wird außerdem zum Konfigurieren der integrierten SAP-Analyseregeln für das Überwachen des SAP-Überwachungsprotokolls verwendet. - SAPUser: Der oder die SAP-Benutzer*in - Tags: Tags werden verwendet, um Benutzer*innen im Zusammenhang mit bestimmten Aktivitäten zu identifizieren. Das Hinzufügen der Tags ["GenericTablebyRFCOK"] zum Benutzer SENTINEL_SRV verhindert beispielsweise, dass RFC-bezogene Vorfälle für diesen bestimmten Benutzer erstellt werden. Andere Active Directory-Benutzer-IDs - AD-Benutzer-ID - Lokale SID des Benutzers - Benutzerprinzipalname |
Verfügbare Playbooks
| Playbook-Name | Parameter | Verbindungen |
|---|---|---|
| SAP Incident Response: Sperren von Benutzern aus Teams – Basic | - SAP-SOAP-User-Password - SAP-SOAP-Username – SOAPApiBasePath - DefaultEmail - TeamsChannel |
– Microsoft Sentinel – Microsoft Teams |
| SAP Incident Response: Sperren von Benutzern in Teams – Erweitert | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
– Microsoft Sentinel - Azure Monitor-Protokolle - Office 365 Outlook – Microsoft Entra ID – Azure Key Vault – Microsoft Teams |
| SAP Incident Response: Erneutes Aktivieren der Überwachungsprotokollierung nach Deaktivierung | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
– Microsoft Sentinel – Azure Key Vault - Azure Monitor-Protokolle – Microsoft Teams |
Nächste Schritte
Weitere Informationen finden Sie unter
- Bereitstellen der Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Protokollreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Überwachen der Integrität Ihres SAP-Systems
- Bereitstellen des Datenconnectors der Microsoft Sentinel-Lösung für SAP®-Anwendungen mit SNC
- Verweis von der Konfigurationsdatei
- Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen