Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz®
Megjegyzés
Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.
Ez a cikk ajánlott eljárásokat tartalmaz a Microsoft Sentinel megoldás SAP-alkalmazásokhoz® való konfigurálásához. A teljes üzembehelyezési folyamat részletes ismertetését az Üzembehelyezési mérföldkövek szakaszban található cikkek egész sorában találja.
Fontos
Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás egyes összetevői jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az adatgyűjtő ügynök és megoldás Microsoft Sentinelben való üzembe helyezése lehetővé teszi az SAP-rendszerek gyanús tevékenységek figyelését és a fenyegetések azonosítását. A legjobb eredmények érdekében azonban a megoldás működtetésére vonatkozó ajánlott eljárások határozottan azt javasolják, hogy végezzenek el néhány további konfigurációs lépést, amelyek nagyon függenek az SAP üzembe helyezésétől.
Üzembehelyezési mérföldkövek
Kövesse nyomon az SAP-megoldás üzembe helyezésének menetét ebben a cikksorozatban:
A megoldás használata több munkaterületen (ELŐZETES VERZIÓ)
A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz® a tartalomközpontból
Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz® (Ön itt áll)
Nem kötelező üzembe helyezési lépések
Figyelőlisták konfigurálása
Az SAP-alkalmazások® konfigurálásával kapcsolatos Microsoft Sentinel-megoldás ügyfélspecifikus információkat nyújt a kiépített figyelőlistákban.
Megjegyzés
A kezdeti megoldás üzembe helyezése után eltarthat egy ideig, amíg a figyelőlisták fel vannak töltve adatokkal. Ha szerkeszt egy figyelőlistát, és üresnek találja, várjon néhány percet, és próbálja meg újra megnyitni a figyelőlistát szerkesztésre.
SAP – Rendszerek figyelőlistája
SAP – A rendszerek figyelőlistája meghatározza, hogy mely SAP-rendszerek vannak jelen a figyelt környezetben. Minden rendszernél adja meg a biztonsági azonosítóját, legyen szó éles vagy fejlesztői/tesztelési környezetről, valamint egy leírásról. Ezeket az információkat egyes elemzési szabályok használják, amelyek eltérően reagálhatnak, ha releváns események jelennek meg egy fejlesztési vagy éles rendszerben.
SAP – Hálózatok figyelőlistája
SAP – A hálózatok figyelőlistája a szervezet által használt összes hálózatot ismerteti. Elsősorban annak azonosítására szolgál, hogy a felhasználói bejelentkezések a hálózat ismert szegmenseiből származnak-e, illetve hogy a felhasználó bejelentkezési eredete váratlanul megváltozik-e.
A hálózati topológia dokumentálására számos módszer létezik. Definiálhat egy széles címtartományt, például a 172.16.0.0/16 címet, és elnevezheti "Vállalati hálózatnak", ami elég lesz a tartományon kívüli bejelentkezések nyomon követéséhez. A szegmentáltabb megközelítés azonban jobb betekintést nyújt az esetleg atipikus tevékenységekbe.
Például: határozza meg a következő két szegmenst és földrajzi helyüket:
Segment | Hely |
---|---|
192.168.10.0/23 | Nyugat-Európa |
10.15.0.0/16 | Ausztrália |
Most a Microsoft Sentinel képes lesz megkülönböztetni a bejelentkezést a 192.168.10.15-ös verziótól (az első szegmensben) a 10.15.2.1-től (a második szegmensben), és figyelmeztetni fogja, ha az ilyen viselkedés atipikusnak minősül.
Bizalmas adatfigyelőlisták
- SAP – Bizalmas függvénymodulok
- SAP – Bizalmas táblák
- SAP – Bizalmas ABAP-programok
- SAP – Bizalmas tranzakciók
Ezen figyelőlisták mindegyike azonosítja azokat a bizalmas műveleteket vagy adatokat, amelyeket a felhasználók végrehajthatnak vagy elérhetnek. Számos jól ismert művelet, tábla és engedélyezés lett előre konfigurálva a figyelőlistákban, de javasoljuk, hogy konzultáljon az SAP BASIS csapatával annak megállapításához, hogy mely műveletek, tranzakciók, engedélyek és táblák tekinthetők bizalmasnak az SAP-környezetben.
Felhasználói főadat-figyelőlisták
- SAP – Bizalmas profilok
- SAP – Bizalmas szerepkörök
- SAP – Kiemelt felhasználók
- SAP – Kritikus engedélyek
Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás az SAP-rendszerekből gyűjtött felhasználói főadatok alapján azonosítja, hogy mely felhasználókat, profilokat és szerepköröket kell bizalmasnak tekinteni. Néhány mintaadat szerepel a figyelőlistákban, de javasoljuk, hogy konzultáljon az SAP BASIS csapatával a bizalmas felhasználók, szerepkörök és profilok azonosításához és a figyelőlisták megfelelő feltöltéséhez.
Elemzési szabályok engedélyezésének megkezdése
Alapértelmezés szerint az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásban megadott összes elemzési szabály riasztási szabálysablonként van megadva. Azt javasoljuk, hogy egy szakaszos megközelítést használjon, amelyben egyszerre néhány szabály jön létre sablonokból, így minden forgatókönyv finomhangolható. A következő szabályokat tekintjük a legegyszerűbben implementálni, ezért érdemes azokkal kezdeni:
- Változás a bizalmas jogosultságú felhasználóban
- Ügyfélkonfiguráció módosítása
- Bizalmas jogosultságú felhasználó bejelentkezése
- A bizalmas jogosultsággal rendelkező felhasználó más
- Bizalmas jogosultságú felhasználói jelszó módosítása és bejelentkezés
- Tesztelt függvénymodul
Adott SAP-naplók betöltésének engedélyezése vagy letiltása
Egy adott napló betöltésének engedélyezése vagy letiltása:
- Szerkessze az összekötő virtuális gépén az /opt/sapcon/SID/ alatt található systemconfig.json fájlt.
- A konfigurációs fájlban keresse meg a megfelelő naplót, és tegye a következők egyikét:
- A napló engedélyezéséhez módosítsa az értéket értékre
True
. - A napló letiltásához módosítsa az értéket értékre
False
.
- A napló engedélyezéséhez módosítsa az értéket értékre
Ha például le szeretné állítani a betöltését a ABAPJobLog
számára, módosítsa az értékét a értékre False
:
"abapjoblog": "True",
Tekintse át az elérhető naplók listáját a Systemconfig.json fájlhivatkozásban.
A felhasználói főadattáblák betöltését is leállíthatja.
Megjegyzés
Ha leállítja az egyik naplót vagy táblát, előfordulhat, hogy a naplót használó munkafüzetek és elemzési lekérdezések nem működnek. Ismerje meg, hogy az egyes munkafüzetek melyik naplót használják , és hogy az egyes elemzési szabályok melyik naplót használják.
Naplóbetöltés leállítása és az összekötő letiltása
Ha le szeretné állítani az SAP-naplók Microsoft Sentinel-munkaterületre való betöltését, és le szeretné állítani az adatfolyamot a Docker-tárolóból, futtassa az alábbi parancsot:
docker stop sapcon-[SID/agent-name]
Egy több SID-tároló adott SID-jének betöltésének leállításához törölnie kell az SID-t a Sentinel összekötőoldalának felhasználói felületéről A Docker-tároló leáll, és nem küld több SAP-naplót a Microsoft Sentinel-munkaterületre. Ez az összekötőhöz kapcsolódó SAP-rendszer betöltését és számlázását is leállítja.
Ha újra szeretné futtatni a Docker-tárolót, futtassa a következő parancsot:
docker start sapcon-[SID]
Távolítsa el a felhasználói szerepkört és az ABAP-rendszerre telepített opcionális CR-t
Ha el szeretné távolítani a felhasználói szerepkört és a rendszerbe importált cr-t, importálja a törlési CR-NPLK900259 az ABAP-rendszerbe.
Következő lépések
További információ az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásról:
- Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
- SAP-változáskérések (CRS-ek) üzembe helyezése és engedélyezés konfigurálása
- Az SAP-adatösszekötő-ügynököt üzemeltető tároló üzembe helyezése és konfigurálása
- SAP biztonsági tartalom üzembe helyezése
- Az SAP-rendszer állapotának monitorozása
- A Microsoft Sentinel for SAP adatösszekötő üzembe helyezése az SNC-vel
- SAP-naplózás engedélyezése és konfigurálása
- SAP HANA-auditnaplók gyűjtése
Hibaelhárítás:
Referenciafájlok:
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® – referenciák
- Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalom referenciája
- Kickstart-szkript referenciája
- Szkripthivatkozás frissítése
- Systemconfig.ini fájlhivatkozás
További információ: Microsoft Sentinel-megoldások.