Partager via

Règles de détection personnalisées avec repérage avancé : protection des commandes de système d’exploitation externes SAP (SAPXPG)

S’applique à :

  • Microsoft Defender pour point de terminaison pour les serveurs
  • Microsoft Defender pour serveurs Plan 1 ou Plan 2

Les systèmes SAP peuvent exécuter des commandes au niveau du système d’exploitation à l’aide de SAPXPG – Transaction Code SM49/SM69. Cet article explique comment utiliser la chasse avancée avec Microsoft Defender pour point de terminaison pour protéger le mécanisme SAPXPG afin de le protéger contre toute exploitation. L’exemple illustré dans cet article présente SAP s’exécutant sur Linux ; Toutefois, la procédure pour SAP s’exécutant sur Windows Server est similaire.

Avant de commencer

Veillez à lire les articles suivants avant de commencer :

L’équipe SAP BASIS et l’équipe de sécurité doivent co-développer la solution. L’équipe SAP BASIS n’a pas accès au portail Microsoft Defender, et l’équipe de sécurité ne connaît pas les spécificités des tâches sap Batch et des commandes externes. Les deux équipes doivent travailler ensemble.

  1. L’équipe SAP BASIS identifie et catégorise les commandes et scripts externes en cours d’exécution sur tous les environnements SAP (Dev, QA, PRD).

  2. L’équipe de sécurité et l’équipe SAP BASIS s’assurent que Defender pour point de terminaison est correctement déployé et configuré sur tous les serveurs SAP. Pour obtenir des conseils sur le déploiement, consultez les articles suivants :

  3. L’équipe de sécurité identifie tous les serveurs SAP et exécute une requête pour "InitiatingProcessName" == "sapxpg", en indiquant quels serveurs démarrent SAPXPG.

    Nous vous recommandons de limiter au minimum le nombre de serveurs exécutant SAPXPG et d’interdire SAPXPG sur la plupart des serveurs SAP. De plus, l’équipe SAP BASIS et l’équipe de sécurité doivent limiter l’accès aux objets d’autorisation et aux codes de transaction pour SAPXPG.

  4. L’équipe SAP BASIS présente à l’équipe de sécurité tous les utilitaires « autorisés », tels que BRTOOLS (pour les clients Oracle) AzCopy (s’ils sont utilisés) ou d’autres utilitaires spécifiques pour l’impression ou l’archivage.

  5. L’équipe de sécurité travaille avec l’équipe SAP BASIS pour interroger les commandes et les paramètres SAPXPG. Voici un exemple de requête à détecter wget (qui peut être utilisée pour télécharger des charges utiles malveillantes) :

    
DeviceProcessEvents
 | where Timestamp >= ago (1d)
 | where (InitiatingProcessFileName == "sapxpg" or  InitiatingProcessFileName =="sapxpg.exe")  and FileName == "wget"

// Query shows SAPXPG commands that execute "wget"

    Cette requête est conçue pour fonctionner sur Linux (sapxpg) et Windows (sapxpg.exe).

    Une autre logique de conception de requête/règle consiste à empêcher SAPXPG d’exécuter une commande autre que les commandes autorisées spécifiées. Dans la requête suivante, toute commande qui ne se trouve pas dans l’ensemble (« cp », « ls », « mkdir ») peut être alertée ou bloquée.

    
DeviceProcessEvents
 | where Timestamp >= ago (1d)
 | where (InitiatingProcessFileName == "sapxpg" or  InitiatingProcessFileName =="sapxpg.exe")  and FileName !in ("cp", "ls", "mkdir")

//Query shows SAPXPG commands that execute any command other than "cp" or "mv" or mkdir

  6. L’équipe de sécurité crée une règle de détection personnalisée pour détecter les commandes suspectes. Les commandes suspectes peuvent inclure :

    • ncat
    • netcat
    • socat
    • azcopy
    • wget
    • curl
    • echo
    • base64
    • /dev/tcp
    • pwd
    • whoami
    • chmod +x

  7. L’équipe de sécurité déploie la règle dans des environnements hors production. L’équipe de sécurité surveille les détections, et l’équipe SAP BASIS surveille les travaux/interfaces à la recherche d’erreurs.

  8. L’équipe de sécurité déploie la règle dans les environnements de production. L’équipe SAP BASIS doit surveiller les travaux et les interfaces, et l’équipe de sécurité doit surveiller toutes les alertes générées.

Informations supplémentaires