Selección del perfil de ingesta de SAP
En este artículo se explica cómo seleccionar el perfil de la solución de SAP. Se recomienda seleccionar un perfil de ingesta que maximice la cobertura de seguridad al tiempo que cumple los requisitos presupuestarios.
Dado que SAP es una aplicación empresarial y los procesos empresariales tienden a ser estacionales, puede ser difícil predecir el volumen total de registros a lo largo del tiempo. Para solucionar este problema, se recomienda mantener todos los registros durante dos semanas y aprender de la actividad observada. Este aprendizaje se puede revisar más adelante durante los picos de actividad empresarial o las principales transformaciones horizontales.
En las secciones siguientes se muestran perfiles de configuración de cliente típicos para la ingesta de registros de SAP.
Perfil predeterminado (recomendado)
Este perfil incluye cobertura completa para:
- Análisis integrado
- Tablas de datos maestros de autorización del usuario de SAP, con información sobre usuarios y privilegios
- La capacidad de realizar el seguimiento de los cambios y las actividades en el entorno de SAP. Este perfil proporciona más información de registro para permitir investigaciones posteriores a la infracción y capacidades de búsqueda extendidas.
Archivo systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
Perfil centrado en la detección
Este perfil incluye los registros de seguridad principales del entorno de SAP necesarios para que la mayor parte de las reglas de análisis funcione bien. Las investigaciones posteriores a la infracción y las funcionalidades de búsqueda son limitadas.
Archivo systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
Perfil mínimo
El registro de auditoría de seguridad de SAP es el origen de datos más importante que usa la solución Microsoft Sentinel para aplicaciones SAP® a fin de analizar las actividades en el entorno de SAP. Habilitar este registro es el requisito mínimo para proporcionar cualquier cobertura de seguridad.
Archivo systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False
Pasos siguientes
Obtenga más información sobre la solución Microsoft Sentinel para aplicaciones SAP®:
- Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
- Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
- Implementación de solicitudes de cambio de SAP y configuración de la autorización
- Implementar el contenido de la solución desde el centro de contenido
- Implementación y configuración del contenedor del agente de conector de datos de SAP
- Implementación del conector de datos de Microsoft Sentinel para SAP con SNC
- Habilitación y configuración de la auditoría para SAP para Microsoft Sentinel
- Supervisar el estado del sistema SAP
- Recopilación de registros de auditoría de SAP HANA
Solución del problema:
Archivos de referencia:
- Referencia de datos de la solución Microsoft Sentinel para aplicaciones SAP®
- Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad
- Referencia del script de actualización
- Referencia del archivo systemconfig.ini
Para obtener más información, consulte soluciones de Microsoft Sentinel.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de