SAP-észlelések és veszélyforrások elleni védelem engedélyezése

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel adatgyűjtő ügynök és az SAP-alkalmazásokhoz készült megoldás üzembe helyezése lehetővé teszi az SAP-rendszerek gyanús tevékenységek figyelését és a fenyegetések azonosítását, további konfigurációs lépések szükségesek annak biztosításához, hogy a megoldás optimalizálva legyen az SAP-telepítéshez. Ez a cikk az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldással biztosított biztonsági tartalom használatának első lépéseit ismerteti, és az SAP-integráció üzembe helyezésének utolsó lépése.

A cikkben szereplő tartalom fontos a biztonsági csapat számára.

Fontos

Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás egyes összetevői jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Előfeltételek

A cikkben ismertetett beállítások konfigurálása előtt telepítenie kell az adatösszekötő-ügynököt és a megoldás tartalmát.

További információ: A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz a tartalomközpontból és a Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz.

Elemzési szabályok engedélyezésének megkezdése

Alapértelmezés szerint az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás összes elemzési szabálya riasztási szabálysablonként van megadva. Javasoljuk, hogy egy szakaszos megközelítést használjon, amelyben a sablonok használatával egyszerre hozhat létre néhány szabályt, így időt hagyhat az egyes forgatókönyvek finomhangolására.

Javasoljuk, hogy kezdje a következő elemzési szabályokkal, amelyeket egyszerűbbnek tartanak tesztelni:

• Változás a bizalmas jogosultságú felhasználóban
• Bizalmas jogosultsággal rendelkező felhasználó bejelentkezett
• A bizalmas jogosultsággal rendelkező felhasználó módosítja a többi felhasználót
• Bizalmas felhasználók jelszómódosítása és bejelentkezése
• Ügyfélkonfiguráció módosítása
• Tesztelt függvénymodul

További információ: Beépített elemzési szabályok és fenyegetésészlelés a Microsoft Sentinelben.

Figyelőlisták konfigurálása

Konfigurálja a Microsoft Sentinel-megoldást SAP-alkalmazásokhoz az ügyfélspecifikus információk megadásával az alábbi figyelőlistákon:

Figyelőlista neve	Konfiguráció részletei
SAP – Rendszerek	Az SAP - Systems figyelőlista határozza meg a figyelt környezetben található SAP-rendszereket. Minden rendszernél adja meg a következőket: - A SID - Legyen szó éles rendszerről vagy fejlesztői/tesztelési környezetről. Ennek a figyelőlistán való definiálása nem befolyásolja a számlázást, és csak az elemzési szabályt befolyásolja. Előfordulhat például, hogy tesztrendszert szeretne éles rendszerként használni a tesztelés során. - Egy érthető leírás A konfigurált adatokat egyes elemzési szabályok használják, amelyek eltérően reagálhatnak, ha releváns események jelennek meg egy fejlesztési vagy egy éles rendszerben.
SAP – Hálózatok	Az SAP – Networks figyelőlista a szervezet által használt összes hálózatot ismerteti. Elsősorban annak azonosítására szolgál, hogy a felhasználói bejelentkezések a hálózat ismert szegmenseiből származnak-e, vagy ha a felhasználó bejelentkezési eredete váratlanul megváltozik. A hálózati topológia dokumentálásának számos módszere van. A címtartományok széles skáláját definiálhatja, például a 172.16.0.0/16-ot, és vállalati hálózatnak nevezheti el, ami elég jó ahhoz, hogy a tartományon kívülről érkező bejelentkezéseket nyomon tudja követni. A szegmentáltabb megközelítés azonban jobb betekintést biztosít az atipikus tevékenységekbe. Például a következő szegmenseket és földrajzi helyeket határozhatja meg: - 192.168.10.0/23: Nyugat-Európa - 10.15.0.0/16: Ausztrália Ilyen esetekben a Microsoft Sentinel megkülönbözteti a bejelentkezést a 192.168.10.15-től az első szegmensben a 10.15.2.1-től a második szegmensben. A Microsoft Sentinel riasztást küld, ha az ilyen viselkedés atipikusként van azonosítva.
SAP – Bizalmas függvénymodulok SAP – Bizalmas táblák SAP – Bizalmas ABAP-programok SAP – Bizalmas tranzakciók	A bizalmas tartalomfigyelőlisták olyan bizalmas műveleteket vagy adatokat azonosítanak, amelyeket a felhasználók végezhetnek el vagy érhetnek el. Bár számos jól ismert művelet, tábla és engedélyezés van előre konfigurálva a figyelőlistákban, javasoljuk, hogy forduljon az SAP BASIS csapatához, hogy azonosítsa a műveleteket, a tranzakciókat, az engedélyezéseket és a táblákat bizalmasnak tekinti az SAP-környezetben, és szükség szerint frissítse a listákat.
SAP – Bizalmas profilok SAP – Bizalmas szerepkörök SAP – Kiemelt felhasználók SAP – Kritikus engedélyek	Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás az SAP-rendszerek felhasználói adatfigyelőlistáiban gyűjtött felhasználói adatokat használja annak azonosítására, hogy mely felhasználókat, profilokat és szerepköröket kell bizalmasnak tekinteni. Bár a mintaadatok alapértelmezés szerint szerepelnek a figyelőlistákban, javasoljuk, hogy forduljon az SAP BASIS csapatához, hogy azonosítsa a szervezet bizalmas felhasználóit, szerepköreit és profiljait, és szükség szerint frissítse a listákat.

A kezdeti megoldás üzembe helyezése után eltarthat egy ideig, amíg az figyelőlistákat adatokkal töltik fel. Ha megnyit egy figyelőlistát szerkesztésre, és üresnek találja, várjon néhány percet, és próbálkozzon újra.

További információ: Elérhető figyelőlisták.

Munkafüzet használata az SAP biztonsági vezérlőinek megfelelőségének ellenőrzéséhez

Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás tartalmazza az SAP – Security Audit Controls munkafüzetet, amely segít ellenőrizni az SAP biztonsági vezérlőinek megfelelőségét. A munkafüzet átfogó áttekintést nyújt a érvényben lévő biztonsági vezérlőkről és az egyes vezérlők megfelelőségi állapotáról.

További információ: Az SAP biztonsági vezérlőinek megfelelőségének ellenőrzése az SAP – Biztonsági naplózási vezérlők munkafüzettel (előzetes verzió).

Következő lépés

Az SAP és a Microsoft Sentinel esetében sokkal több tartalmat fedezhet fel, többek között függvényeket, forgatókönyveket, munkafüzeteket és egyebeket. Ez a cikk néhány hasznos kiindulási pontot emel ki, és további tartalmakat kell implementálnia, hogy a lehető legtöbbet hozhassa ki az SAP biztonsági monitorozásából.

További információk:

• Microsoft Sentinel-megoldás SAP-alkalmazásokhoz – függvények referenciája
• Microsoft Sentinel-megoldás SAP-alkalmazásokhoz: biztonsági tartalomra vonatkozó referencia.

Kapcsolódó tartalom

További információk:

• Automatikus támadási fennakadás az SAP-ban (előzetes verzió)
• Az SAP-rendszer állapotának monitorozása
• A Microsoft Sentinel SAP-adatösszekötő-ügynökének frissítése