Habilitación y configuración de la auditoría de SAP para Microsoft Sentinel
En este artículo se muestra cómo habilitar y configurar la auditoría de la solución Microsoft Sentinel para aplicaciones de SAP®, de modo que pueda tener una visibilidad completa de la solución de SAP.
Importante
Se recomienda encarecidamente que un administrador experimentado del sistema SAP lleve a cabo toda la administración del sistema SAP.
Los pasos de este artículo pueden variar, en función de la versión del sistema SAP y se deben considerar solo como ejemplo.
Es posible que algunas instalaciones de sistemas SAP no tengan habilitado el registro de auditoría de forma predeterminada. Para los mejores resultados en la evaluación del rendimiento y la eficacia de la solución Microsoft Sentinel para aplicaciones de SAP®, habilite la auditoría del sistema SAP y configure los parámetros de auditoría.
Hitos de la implementación
Realice un seguimiento del recorrido de implementación de la solución de SAP mediante esta serie de artículos:
Trabajar con la solución en varias áreas de trabajo (VERSIÓN PRELIMINAR)
Configurar la auditoría (está aquí)
Configuración de la solución Microsoft Sentinel para aplicaciones SAP®
Pasos de implementación opcionales
Compruebe si está habilitada la auditoría.
Inicie sesión en la GUI de SAP y ejecute la transacción RSAU_CONFIG.
En la ventana Security Audit Log - Display of Current Configuration, busque la sección Parameter en la sección Configuration. En General Parameters, compruebe que la casilla Static security audit active esté marcada.
Habilitar auditoría
Importante
La directiva de auditoría debe determinarse en estrecha colaboración con los administradores de SAP y el departamento de seguridad.
Inicie sesión en la GUI de SAP y ejecute la transacción RSAU_CONFIG.
En la pantalla Security Audit Log, seleccione Parameter en la sección Security Audit Log Configuration del árbol Configuration.
Si la casilla Static security audit active está marcada, la auditoría de nivel de sistema está activada. Si no es así, seleccione Display <-> Change y marque la casilla Static security audit active.
De forma predeterminada, el sistema SAP registra el nombre de cliente (identificador de terminal) en lugar de la dirección IP del cliente. Si quiere que el sistema registre por dirección IP del cliente en su lugar, marque la casilla Log peer address not terminal ID de la sección General Parameters.
Si ha cambiado cualquier configuración en la sección Security Audit Log Configuration - Parameter, seleccione Save para guardar los cambios. La auditoría solo se activará después de reiniciar el servidor.
Importante
Las aplicaciones SAP que se ejecutan en el sistema operativo Windows deben tener en cuenta las recomendaciones de la nota SAP 2360334 en caso de que el registro de auditoría no se lea correctamente tras la configuración.
Haga clic con el botón derecho en Static Configuration y seleccione Create Profile.
Especifique un nombre para el perfil en el campo Profile/Filter Number.
Nota
La instalación de Vanilla SAP requiere este paso adicional: haga clic con el botón derecho en el perfil que ha creado y cree un nuevo filtro.
Marque la casilla Filter for recording active.
En el campo Value, escriba
*.En el campo User, escriba
*.En Event Selection, elija Classic event selection y seleccione todos los tipos de eventos de la lista.
Seleccione Guardar.
Verá que la sección Static Configuration muestra el perfil recién creado. Haga clic con el botón derecho en el perfil y seleccione Activate.
En la ventana de confirmación, seleccione Yes para activar el perfil recién creado.
Nota:
La configuración estática solo surte efecto después de reiniciar el sistema. Para una configuración inmediata, cree un filtro dinámico adicional con las mismas propiedades; para ello, haga clic con el botón derecho en el perfil estático recién creado y seleccione "Aplicar a la configuración dinámica".
Pasos siguientes
En este artículo, ha aprendido a habilitar y configurar la auditoría de SAP para Microsoft Sentinel.