Reglas de detección personalizadas con búsqueda avanzada: protección de comandos del sistema operativo externo de SAP (SAPXPG)

Se aplica a:

• Microsoft Defender para punto de conexión para servidores
• Microsoft Defender para el plan 1 o el plan 2 de servidores

Los sistemas SAP pueden ejecutar comandos de nivel de sistema operativo mediante SAPXPG – Transaction Code SM49/SM69. En este artículo se describe cómo usar la búsqueda avanzada con Microsoft Defender para punto de conexión para ayudar a proteger el mecanismo SAPXPG para protegerlo de que se aproveche. En el ejemplo que se muestra en este artículo se muestran las características de SAP que se ejecutan en Linux; sin embargo, el procedimiento para SAP que se ejecuta en Windows Server es similar.

Antes de empezar

Asegúrese de leer los siguientes artículos antes de comenzar:

• Creación de reglas de detección personalizadas
• Documentación de SAP: Inicio de comandos y programas externos

El equipo de SAP BASIS y el equipo de seguridad deben desarrollar conjuntamente la solución. El equipo de SAP BASIS no tiene acceso al portal de Microsoft Defender y el equipo de seguridad no conoce los detalles de los trabajos de SAP Batch y los comandos externos. Ambos equipos deben trabajar juntos.

Secuencia de implementación recomendada

1. El equipo de SAP BASIS identifica y clasifica los comandos y scripts externos que se ejecutan en todos los entornos de SAP (Desarrollo, QA, PRD).

2. El equipo de seguridad y el equipo de SAP BASIS garantizan que Defender for Endpoint se implemente y configure correctamente en todos los servidores SAP. Para obtener instrucciones sobre la implementación, consulte los artículos siguientes:

   • Guía de implementación para Microsoft Defender para punto de conexión en Linux para SAP
   • Microsoft Defender para punto de conexión en Windows Server con SAP

3. El equipo de seguridad identifica todos los servidores SAP y ejecuta una consulta para "InitiatingProcessName" == "sapxpg", señalando qué servidores están iniciando SAPXPG.

   Se recomienda limitar el número de servidores que ejecutan SAPXPG al mínimo y no permitir SAPXPG en la mayoría de los servidores SAP. Además, el equipo de SAP BASIS y el equipo de seguridad deben limitar el acceso a los objetos de autorización y los códigos de transacción para SAPXPG.

4. El equipo de SAP BASIS proporciona información al equipo de seguridad sobre las utilidades "permitidas", como BRTOOLS (para clientes de Oracle), AzCopy (si se usan) u otras utilidades específicas para impresión o archivado.

5. El equipo de seguridad trabaja con el equipo de SAP BASIS para consultar los comandos y parámetros de SAPXPG. Una consulta de ejemplo para detectar wget (que se puede usar para descargar cargas malintencionadas) es la siguiente:

   
   DeviceProcessEvents
    | where Timestamp >= ago (1d)
    | where (InitiatingProcessFileName == "sapxpg" or  InitiatingProcessFileName =="sapxpg.exe")  and FileName == "wget"
   
   // Query shows SAPXPG commands that execute "wget"
   
   

   Esta consulta está diseñada para funcionar en Linux (sapxpg) y Windows (sapxpg.exe).

   Otra lógica de diseño de consultas o reglas consiste en impedir que SAPXPG ejecute ningún comando distinto de los comandos permitidos especificados. En la consulta siguiente, se puede alertar o bloquear cualquier comando que no esté en el conjunto ("cp", "ls", "mkdir").

   
   DeviceProcessEvents
    | where Timestamp >= ago (1d)
    | where (InitiatingProcessFileName == "sapxpg" or  InitiatingProcessFileName =="sapxpg.exe")  and FileName !in ("cp", "ls", "mkdir")
   
   //Query shows SAPXPG commands that execute any command other than "cp" or "mv" or mkdir
   
   

6. El equipo de seguridad crea una regla de detección personalizada para detectar comandos sospechosos. Los comandos sospechosos pueden incluir:

   • ncat
   • netcat
   • socat
   • azcopy
   • wget
   • curl
   • echo
   • base64
   • /dev/tcp
   • pwd
   • whoami
   • chmod +x

7. El equipo de seguridad implementa la regla en entornos que no son de producción. El equipo de seguridad supervisa las detecciones y el equipo de SAP BASIS supervisa los trabajos o las interfaces en busca de errores.

8. El equipo de seguridad implementa la regla en entornos de producción. El equipo de SAP BASIS debe supervisar los trabajos y las interfaces, y el equipo de seguridad debe supervisar las alertas que se generan.

Información adicional

• Para realizar un seguimiento de SAPXPG mediante sapxpg_trace, consulte la documentación de SAP: Análisis de problemas con comandos y programas externos.

• Para obtener más información sobre la búsqueda avanzada, consulte Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender.

• Para más información sobre las reglas personalizadas, consulte Creación de reglas de detección personalizadas.