Übersicht über die Microsoft Sentinel-Lösung für SAP®-Anwendungen

SAP-Systeme stellen eine besondere Herausforderung in punkto Sicherheit dar. Mit SAP-Systemen werden äußerst vertrauliche Informationen behandelt. Sie sind beliebte Ziele für Angreifer.

Für die Betriebssicherheit zuständige Teams hatten bisher nur wenig Einblick in SAP-Systeme. Eine Verletzung der SAP-Systeme kann zu gestohlenen Dateien, verfügbar gemachten Daten oder gestörten Lieferketten führen. Sobald ein Angreifer Zugang zum System hat, gibt es nur wenige Steuerelemente, um Exfiltration oder andere Straftaten zu erkennen. SAP-Aktivitäten müssen mit anderen Daten in der gesamten Organisation korreliert werden, um Bedrohungen effektiv zu erkennen.

Um diese Lücke zu schließen, bietet Microsoft Sentinel die Microsoft Sentinel-Lösung für SAP®-Anwendungen an. Diese umfassende Lösung verwendet Komponenten auf jeder Ebene von Microsoft Sentinel, um End-to-End-Erkennung, Analyse, Untersuchung und Reaktionen auf Bedrohungen in Ihrer SAP-Umgebung anzubieten.

Funktionsweise der Microsoft Sentinel-Lösung für SAP-Anwendungen®

Die Microsoft Sentinel-Lösung für SAP®-Anwendungen überwacht kontinuierlich SAP-Systeme auf Bedrohungen aller Ebenen – Geschäftslogik, Anwendung, Datenbank und Betriebssystem. Die Funktion ermöglicht Folgendes:

• Korrelieren Sie die SAP-Überwachung mit anderen Signalen in Ihrer Organisation, und verwenden Sie Erkennungen, die von der Lösung bereitgestellt werden, oder erstellen Sie eigene Erkennungen, um vertrauliche Transaktionen und andere Geschäftsrisiken wie Berechtigungseskalation, nicht genehmigte Änderungen und nicht autorisierten Zugriff zu überwachen.

• Erstellen Sie automatisierte Reaktionsprozesse, um mit Ihren SAP-Systemen zu interagieren, um aktive Sicherheitsbedrohungen zu stoppen.

Die Microsoft Sentinel-Lösung für SAP-Anwendungen® bietet auch Bedrohungsüberwachung und -erkennung für SAP Business Technology Platform.

Die folgende Abbildung zeigt beispielsweise eine multi-SID SAP-Landschaft mit einer Aufteilung zwischen produktiven und nicht produktiven Systemen, einschließlich der SAP Business Technology Platform. Alle Systeme in diesem Image sind in Microsoft Sentinel für die SAP-Lösung integriert.

Details zur Lösung

Protokollquellen

Der Datenconnector der Lösung ruft eine Vielzahl von SAP-Protokollquellen ab:

• ABAP-Sicherheitsüberwachungsprotokoll
• Protokoll für ABAP-Änderungsdokumente
• ABAP-Spoolprotokoll
• APAB-Spoolausgabeprotokoll
• ABAP-Auftragsprotokoll
• ABAP-Workflowprotokoll
• ABAP DB-Tabellendaten
• SAP-Benutzermasterdaten
• ABAP CR-Protokoll
• ICM-Protokolle
• JAVA Webdispacher Logs
• syslog

Bedrohungserkennungsabdeckung

• Verdächtige Berechtigungsvorgänge – Erstellung privilegierter Benutzer

  • Einsatz von Notfallbenutzern
  • Entsperren eines Benutzers und Anmelden von derselben IP
  • Zuordnung vertraulicher Rollen und Administratorrechte
  • Benutzer entsperrt und verwendet andere Benutzer
  • Kritische Autorisierungszuweisung

• Versuche zur Umgehung von SAP-Sicherheitsmechanismen –

  • Deaktivieren von Überwachungsprotokollen (HANA und SAP)
  • Ausführung sensibler Funktionsmodule
  • Entsperren blockierter Transaktionen
  • Debuggen von Produktionssystemen
  • Direkter Zugriff auf vertrauliche Tabellen nach RFC
  • RFC-Ausführung der Sanative-Funktion
  • Systemkonfigurationsänderung, dynamisches ABAP Programm.

• Backdoor Creation (Persistency)

  • Erstellung neuer internetorientierter Schnittstellen (ICF)
  • Direkter Zugriff auf vertrauliche Tabellen durch Remotefunktionsaufruf
  • Zuweisen neuer Diensthandler zu ICF
  • Ausführung veralteter Programme
  • Benutzer entsperrt und verwendet andere Benutzer.  

• Datenexfiltration

  • Download mehrerer Dateien
  • Spool-Übernahmen
  • Zugriff auf unsichere FTP-Server und Verbindungen von nicht autorisierten Hosts zulassen
  • Dynamisches RFC-Ziel
  • HANA DB – Benutzer Admin Aktionen auf DB-Ebene.  

• Erstzugriff – Brute Force

  • Mehrere Anmeldungen über dieselbe IP-Adresse
  • Privilegierte Benutzeranmeldungen aus unerwarteten Netzwerken
  • SPNego-Replay-Angriff

Zertifizierung

Die Microsoft Sentinel-Lösung für SAP®-Anwendungen ist für SAP S/4HANA® Cloud, Private Edition RISE mit SAP und SAP S/4 lokal zertifiziert.

• Die Integrationsszenarien umfassen S/4-BC-XAL 1.0/S/4 EXTERNAL ALERT AND MONITORING 1.0 (für S/4).
• Unsere Zertifizierung umfasst S/4 und SAP Rise S/4 HANA® Cloud Private Edition, die in jeder Cloud und lokal ausgeführt werden.
• Wir unterstützen Hybridbereitstellungen, die den gesamten Kundenbestand abdecken können.

Sehen Sie sich die Zertifizierungen an im SAP Certified Solutions-Verzeichnis.

Markenzuordnung

SAP S/4HANA und SAP sind Marken oder eingetragene Marken von SAP SE oder mit ihr verbundenen Unternehmen in Deutschland und anderen Ländern/Regionen. 

Nächste Schritte

Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen:

• Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
• Voraussetzungen für die Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Bereitstellen von SAP-Änderungsanforderungen (CRs) und Konfigurieren der Autorisierung
• Bereitstellen des Lösungsinhalts über den Inhaltshub
• Bereitstellen und Konfigurieren des Containers für den SAP-Datenconnector-Agent
• Überwachen der Integrität Ihres SAP-Systems
• Bereitstellen des Microsoft Sentinel-Datenconnectors für SAP mit SNC
• Aktivieren und Konfigurieren von SAP-Überwachung
• Erfassen von SAP HANA-Überwachungsprotokollen
• Bereitstellen der Microsoft Sentinel-Lösung für SAP® BTP

Problembehandlung:

• Problembehandlung bei der Bereitstellung der Microsoft Sentinel-Lösung für SAP®-Anwendungen

Referenzdateien:

• Datenreferenz für die Microsoft Sentinel-Lösung für SAP®-Anwendungen
• Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
• Referenz zum Kickstartskript
• Referenz zum Updateskript
• Referenz zur Datei „Systemconfig.ini“