Analyse des paramètres de sécurité SAP pour détecter des modifications de configuration suspectes
Cet article répertorie les paramètres de sécurité statiques dans le système SAP que la solution Microsoft Sentinel pour les applications SAP surveille dans le cadre du paramètre statique sensible SAP ( préversion) a modifié la règle d’analyse.
La solution Microsoft Sentinel pour les applications SAP fournit des mises à jour pour ce contenu en fonction des modifications des meilleures pratiques SAP. Ajoutez des paramètres à surveiller en modifiant les valeurs en fonction des besoins de votre organisation et désactivez des paramètres spécifiques dans la liste de surveillance SAPSystemParameters.
Cet article ne décrit pas les paramètres et n’est pas une recommandation pour configurer les paramètres. Pour plus d’informations sur la configuration, consultez vos administrateurs SAP. Pour obtenir des descriptions de paramètres, consultez la documentation SAP.
Le contenu de cet article est destiné à vos équipes SAP BASIS .
Prérequis
Pour que la solution Microsoft Sentinel pour les applications SAP surveille correctement les paramètres de sécurité SAP, la solution doit surveiller correctement la table SAP PAHI à intervalles réguliers. Pour plus d’informations, consultez Vérifier que la table PAHI est mise à jour à intervalles réguliers.
Paramètres d’authentification
| Paramètre | Valeur de sécurité/considérations |
|---|---|
| auth/no_check_in_some_cases | Bien que ce paramètre puisse améliorer les performances, il peut également présenter un risque de sécurité en permettant aux utilisateurs d’effectuer des actions pour lesquelles ils n’ont pas l’autorisation. |
| auth/object_disabling_active | Permet d’améliorer la sécurité en réduisant le nombre de comptes inactifs disposant d’autorisations inutiles. |
| auth/rfc_authority_check | Élevé. L’activation de ce paramètre permet d’empêcher l’accès non autorisé aux données sensibles et aux fonctions via les RFC. |
Paramètres de passerelle
| Paramètre | Valeur de sécurité/considérations |
|---|---|
| gw/accept_remote_trace_level | Le paramètre peut être configuré pour restreindre le niveau de trace accepté des systèmes externes. La définition d’un niveau de trace inférieur peut réduire la quantité d’informations que les systèmes externes peuvent obtenir sur les fonctionnements internes du système SAP. |
| gw/acl_mode | Élevé. Ce paramètre contrôle l’accès à la passerelle et empêche l’accès non autorisé au système SAP. |
| gw/logging | Élevé. Ce paramètre peut être utilisé pour surveiller et détecter les activités suspectes ou les violations de sécurité potentielles. |
| gw/monitor | |
| gw/sim_mode | L’activation de ce paramètre peut être utile à des fins de test et permet d’empêcher toute modification involontaire du système cible. |
Paramètres ICM (Internet Communication Manager)
| Paramètre | Valeur de sécurité/considérations |
|---|---|
| icm/accept_remote_trace_level | Moyen L’autorisation des modifications de niveau de suivi à distance peut fournir des informations de diagnostic précieuses aux attaquants et compromettre potentiellement la sécurité du système. |
Paramètres de connexion
| Paramètre | Valeur de sécurité/considérations |
|---|---|
| login/accept_sso2_ticket | L’activation de l’authentification unique2 peut offrir une expérience utilisateur plus rationalisée et pratique, mais présente également des risques de sécurité supplémentaires. Si un attaquant accède à un ticket SSO2 valide, il peut emprunter l’identité d’un utilisateur légitime et obtenir un accès non autorisé aux données sensibles ou effectuer des actions malveillantes. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Ce paramètre permet d’améliorer la sécurité en garantissant que les utilisateurs ne sont connectés qu’à une session à la fois. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Élevé. Ce paramètre permet d’empêcher les attaques par force brute sur les comptes d’utilisateur. |
| login/fails_to_user_lock | Permet d’empêcher un accès non autorisé au système et de protéger les comptes d’utilisateur de toute compromission. |
| login/min_password_diff | Élevé. Exiger un nombre minimal de différences de caractères peut aider les utilisateurs à choisir des mots de passe faibles qui peuvent facilement être deviner. |
| login/min_password_digits | Élevé. Ce paramètre augmente la complexité des mots de passe et les rend plus difficiles à deviner ou à craquer. |
| login/min_password_letters | Indique le nombre minimal de lettres qui doivent être incluses dans le mot de passe d’un utilisateur. La définition d’une valeur plus élevée permet d’augmenter la force et la sécurité du mot de passe. |
| login/min_password_lng | Spécifie la longueur minimale d’un mot de passe. La définition de ce paramètre à une valeur plus élevée peut améliorer la sécurité en garantissant que les mots de passe ne soient pas facilement devinés. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | L’activation de ce paramètre permet d’empêcher un accès non autorisé aux systèmes SAP en limitant le nombre de connexions simultanées d’un seul utilisateur. Lorsque ce paramètre est défini 0sur , une seule session de connexion est autorisée par utilisateur et d’autres tentatives de connexion sont rejetées. Cela permet d’empêcher un accès non autorisé aux systèmes SAP au cas où les informations d’identification de connexion d’un utilisateur sont compromises ou partagées avec d’autres personnes. |
| login/no_automatic_user_sapstar | Élevé. Ce paramètre permet d’empêcher l’accès non autorisé au système SAP via le compte SAP* par défaut. |
| login/password_change_for_SSO | Élevé. L’application des modifications de mot de passe peut aider à empêcher l’accès non autorisé au système par des attaquants susceptibles d’avoir obtenu des informations d’identification valides via le hameçonnage ou d’autres moyens. |
| login/password_change_waittime | La définition d’une valeur appropriée pour ce paramètre permet de garantir que les utilisateurs modifient leurs mots de passe suffisamment régulièrement pour maintenir la sécurité du système SAP. En même temps, la définition du délai d’attente trop court peut être contre-productive, car les utilisateurs peuvent être plus susceptibles de réutiliser des mots de passe ou de choisir des mots de passe faibles qui sont plus faciles à mémoriser. |
| login/password_compliance_to_current_policy | Élevée. L’activation de ce paramètre permet de garantir que les utilisateurs se conforment à la stratégie de mot de passe actuelle lors de la modification des mots de passe, ce qui réduit le risque d’un accès non autorisé aux systèmes SAP. Lorsque ce paramètre est défini sur 1, les utilisateurs sont invités à se conformer à la stratégie de mot de passe actuelle lors de la modification de leurs mots de passe. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | La définition de ce paramètre à une valeur plus faible peut améliorer la sécurité en garantissant que les mots de passe sont fréquemment modifiés. |
| login/password_history_size | Ce paramètre empêche les utilisateurs d’utiliser à plusieurs reprises les mêmes mots de passe, ce qui peut améliorer la sécurité. |
| login/password_max_idle_initial | La définition de ce paramètre à une valeur plus faible peut améliorer la sécurité en garantissant que des sessions inactives ne sont pas laissées ouvertes pendant de longues périodes. |
| login/ticket_only_by_https | Élevé. L’utilisation du protocole HTTPS pour la transmission de tickets chiffre les données en transit, ce qui le rend plus sécurisé. |
Paramètres du répartiteur distant
| Paramètre | Valeur de sécurité/considérations |
|---|---|
| rdisp/gui_auto_logout | Élevé. la déconnexion automatique des utilisateurs inactifs peut aider à empêcher l’accès non autorisé au système par des attaquants susceptibles d’avoir accès à la station de travail d’un utilisateur. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | L’activation de ce paramètre peut être utile pour appliquer des stratégies de mot de passe et empêcher un accès non autorisé aux systèmes SAP. Lorsque ce paramètre est défini 1sur , les connexions RFC sont rejetées si le mot de passe de l’utilisateur a expiré et que l’utilisateur est invité à modifier son mot de passe avant de pouvoir se connecter. Cela permet de garantir que seuls des utilisateurs autorisés disposant de mots de passe valides peuvent accéder au système. |
| rsau/enable | Élevé. Ce journal d’audit de sécurité peut fournir des informations précieuses pour détecter et examiner les incidents de sécurité. |
| rsau/max_diskspace/local | La définition d’une valeur appropriée pour ce paramètre permet d’empêcher les journaux d’audit locaux de consommer trop d’espace disque, ce qui pourrait entraîner des problèmes de performances du système ou des attaques par déni de service. En revanche, la définition d’une valeur trop faible peut entraîner la perte de données du journal d’audit, qui peuvent être requises pour la conformité et l’audit. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | La définition d’une valeur appropriée permet de gérer la taille des fichiers d’audit et d’éviter des problèmes de stockage. |
| rsau/selection_slots | Permet de s’assurer que les fichiers d’audit sont conservés pendant une période plus longue, ce qui peut être utile en cas de violation de la sécurité. |
| rspo/auth/pagelimit | Ce paramètre n’affecte pas directement la sécurité du système SAP, mais permet d’empêcher un accès non autorisé à des données d’autorisation sensibles. La limitation du nombre d’entrées affichées par page peut réduire le risque que des personnes non autorisées affichent des informations d’autorisation sensibles. |
Paramètres SNC (Secure Network Communications)
| Paramètre | Valeur de sécurité/considérations |
|---|---|
| snc/accept_insecure_cpic | L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées. |
| snc/accept_insecure_gui | Il est recommandé de définir la valeur de ce paramètre sur 0 pour garantir que les connexions SNC effectuées via l’interface graphique utilisateur SAP sont sécurisées et pour réduire le risque d’un accès non autorisé à des données sensibles ou leur interception. L’autorisation de connexions SNC non sécurisées peut augmenter le risque d’accès non autorisé aux informations sensibles ou à l’interception des données, et ne doit être effectuée que lorsqu’il existe un besoin spécifique et que les risques sont correctement évalués. |
| snc/accept_insecure_r3int_rfc | L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées. |
| snc/accept_insecure_rfc | L’activation de ce paramètre peut augmenter le risque d’interception ou de manipulation des données, car il accepte des connexions protégées par SNC qui ne répondent pas aux normes de sécurité minimales. Par conséquent, il est recommandé de définir la valeur de sécurité de ce paramètre sur 0, ce qui signifie que seules des connexions SNC qui répondent aux exigences minimales de sécurité sont acceptées. |
| snc/data_protection/max | La définition d’une valeur élevée pour ce paramètre peut augmenter le niveau de protection des données et réduire le risque d’interception ou de manipulation des données. La valeur de sécurité recommandée pour ce paramètre dépend des exigences de sécurité et de la stratégie de gestion des risques spécifiques à l’organisation. |
| snc/data_protection/min | La définition de ce paramètre à une valeur appropriée permet de garantir que les connexions protégées par SNC fournissent un niveau minimal de protection des données. Ce paramètre permet d’empêcher l’interception ou la manipulation d’informations sensibles par des attaquants. La valeur de ce paramètre doit être définie en fonction des exigences de sécurité du système SAP et de la sensibilité des données transmises via des connexions protégées par SNC. |
| snc/data_protection/use | |
| snc/enable | Lorsque cette option est activée, SNC fournit une couche de sécurité supplémentaire en chiffrant les données transmises entre des systèmes. |
| snc/extid_login_diag | L’activation de ce paramètre peut être utile pour résoudre les problèmes liés à SNC, car il fournit des informations de diagnostic supplémentaires. Toutefois, le paramètre peut également exposer des informations sensibles sur les produits de sécurité externes utilisés par le système, ce qui peut constituer un risque de sécurité potentiel si ces informations tombent entre les mauvaises mains. |
| snc/extid_login_rfc |
Paramètres du répartiteur web
| Paramètre | Valeur de sécurité/considérations |
|---|---|
| wdisp/ssl_encrypt | Élevé. Ce paramètre garantit que les données transmises via HTTP sont chiffrées, ce qui permet d’empêcher l’écoute et la falsification des données. |
Contenu connexe
Pour plus d’informations, consultez l’article suivant :