Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz®

  • Cikk

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és a következő hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.

Ez a cikk ajánlott eljárásokat tartalmaz a Microsoft Sentinel megoldás SAP-alkalmazásokhoz® való konfigurálásához. A teljes üzembehelyezési folyamat részletes ismertetését az Üzembehelyezési mérföldkövek szakaszban található cikkek egész sorában találja.

Fontos

Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás egyes összetevői jelenleg előzetes verzióban érhetők el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Az adatgyűjtő ügynök és megoldás Microsoft Sentinelben való üzembe helyezése lehetővé teszi az SAP-rendszerek gyanús tevékenységek figyelését és a fenyegetések azonosítását. A legjobb eredmények érdekében azonban a megoldás működtetésére vonatkozó ajánlott eljárások határozottan azt javasolják, hogy végezzenek el néhány további konfigurációs lépést, amelyek nagyon függenek az SAP üzembe helyezésétől.

Üzembehelyezési mérföldkövek

Kövesse nyomon az SAP-megoldás üzembe helyezésének menetét ebben a cikksorozatban:

  1. Az üzembe helyezés áttekintése

  2. Üzembe helyezési előfeltételek

  3. A megoldás használata több munkaterületen (ELŐZETES VERZIÓ)

  4. SAP-környezet előkészítése

  5. Naplózás konfigurálása

  6. A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz® a tartalomközpontból

  7. Adatösszekötő-ügynök üzembe helyezése

  8. Microsoft Sentinel-megoldás konfigurálása SAP-alkalmazásokhoz® (Ön itt áll)

  9. Nem kötelező üzembe helyezési lépések

Figyelőlisták konfigurálása

Az SAP-alkalmazások® konfigurálásával kapcsolatos Microsoft Sentinel-megoldás ügyfélspecifikus információkat nyújt a kiépített figyelőlistákban.

Megjegyzés

A kezdeti megoldás üzembe helyezése után eltarthat egy ideig, amíg a figyelőlisták fel vannak töltve adatokkal. Ha szerkeszt egy figyelőlistát, és üresnek találja, várjon néhány percet, és próbálja meg újra megnyitni a figyelőlistát szerkesztésre.

SAP – Rendszerek figyelőlistája

SAP – A rendszerek figyelőlistája meghatározza, hogy mely SAP-rendszerek vannak jelen a figyelt környezetben. Minden rendszernél adja meg a biztonsági azonosítóját, legyen szó éles vagy fejlesztői/tesztelési környezetről, valamint egy leírásról. Ezeket az információkat egyes elemzési szabályok használják, amelyek eltérően reagálhatnak, ha releváns események jelennek meg egy fejlesztési vagy éles rendszerben.

SAP – Hálózatok figyelőlistája

SAP – A hálózatok figyelőlistája a szervezet által használt összes hálózatot ismerteti. Elsősorban annak azonosítására szolgál, hogy a felhasználói bejelentkezések a hálózat ismert szegmenseiből származnak-e, illetve hogy a felhasználó bejelentkezési eredete váratlanul megváltozik-e.

A hálózati topológia dokumentálására számos módszer létezik. Definiálhat egy széles címtartományt, például a 172.16.0.0/16 címet, és elnevezheti "Vállalati hálózatnak", ami elég lesz a tartományon kívüli bejelentkezések nyomon követéséhez. A szegmentáltabb megközelítés azonban jobb betekintést nyújt az esetleg atipikus tevékenységekbe.

Például: határozza meg a következő két szegmenst és földrajzi helyüket:

Segment Hely
192.168.10.0/23 Nyugat-Európa
10.15.0.0/16 Ausztrália

Most a Microsoft Sentinel képes lesz megkülönböztetni a bejelentkezést a 192.168.10.15-ös verziótól (az első szegmensben) a 10.15.2.1-től (a második szegmensben), és figyelmeztetni fogja, ha az ilyen viselkedés atipikusnak minősül.

Bizalmas adatfigyelőlisták

  • SAP – Bizalmas függvénymodulok
  • SAP – Bizalmas táblák
  • SAP – Bizalmas ABAP-programok
  • SAP – Bizalmas tranzakciók

Ezen figyelőlisták mindegyike azonosítja azokat a bizalmas műveleteket vagy adatokat, amelyeket a felhasználók végrehajthatnak vagy elérhetnek. Számos jól ismert művelet, tábla és engedélyezés lett előre konfigurálva a figyelőlistákban, de javasoljuk, hogy konzultáljon az SAP BASIS csapatával annak megállapításához, hogy mely műveletek, tranzakciók, engedélyek és táblák tekinthetők bizalmasnak az SAP-környezetben.

Felhasználói főadat-figyelőlisták

  • SAP – Bizalmas profilok
  • SAP – Bizalmas szerepkörök
  • SAP – Kiemelt felhasználók
  • SAP – Kritikus engedélyek

Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás az SAP-rendszerekből gyűjtött felhasználói főadatok alapján azonosítja, hogy mely felhasználókat, profilokat és szerepköröket kell bizalmasnak tekinteni. Néhány mintaadat szerepel a figyelőlistákban, de javasoljuk, hogy konzultáljon az SAP BASIS csapatával a bizalmas felhasználók, szerepkörök és profilok azonosításához és a figyelőlisták megfelelő feltöltéséhez.

Elemzési szabályok engedélyezésének megkezdése

Alapértelmezés szerint az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásban megadott összes elemzési szabály riasztási szabálysablonként van megadva. Azt javasoljuk, hogy egy szakaszos megközelítést használjon, amelyben egyszerre néhány szabály jön létre sablonokból, így minden forgatókönyv finomhangolható. A következő szabályokat tekintjük a legegyszerűbben implementálni, ezért érdemes azokkal kezdeni:

  1. Változás a bizalmas jogosultságú felhasználóban
  2. Ügyfélkonfiguráció módosítása
  3. Bizalmas jogosultságú felhasználó bejelentkezése
  4. A bizalmas jogosultsággal rendelkező felhasználó más
  5. Bizalmas jogosultságú felhasználói jelszó módosítása és bejelentkezés
  6. Tesztelt függvénymodul

Adott SAP-naplók betöltésének engedélyezése vagy letiltása

Egy adott napló betöltésének engedélyezése vagy letiltása:

  1. Szerkessze az összekötő virtuális gépén az /opt/sapcon/SID/ alatt található systemconfig.json fájlt.
  2. A konfigurációs fájlban keresse meg a megfelelő naplót, és tegye a következők egyikét:
    • A napló engedélyezéséhez módosítsa az értéket értékre True.
    • A napló letiltásához módosítsa az értéket értékre False.

Ha például le szeretné állítani a betöltését a ABAPJobLogszámára, módosítsa az értékét a értékre False:

"abapjoblog": "True",

Tekintse át az elérhető naplók listáját a Systemconfig.json fájlhivatkozásban.

A felhasználói főadattáblák betöltését is leállíthatja.

Megjegyzés

Ha leállítja az egyik naplót vagy táblát, előfordulhat, hogy a naplót használó munkafüzetek és elemzési lekérdezések nem működnek. Ismerje meg, hogy az egyes munkafüzetek melyik naplót használják , és hogy az egyes elemzési szabályok melyik naplót használják.

Naplóbetöltés leállítása és az összekötő letiltása

Ha le szeretné állítani az SAP-naplók Microsoft Sentinel-munkaterületre való betöltését, és le szeretné állítani az adatfolyamot a Docker-tárolóból, futtassa az alábbi parancsot:

docker stop sapcon-[SID/agent-name]

Egy több SID-tároló adott SID-jének betöltésének leállításához törölnie kell az SID-t a Sentinel összekötőoldalának felhasználói felületéről A Docker-tároló leáll, és nem küld több SAP-naplót a Microsoft Sentinel-munkaterületre. Ez az összekötőhöz kapcsolódó SAP-rendszer betöltését és számlázását is leállítja.

Ha újra szeretné futtatni a Docker-tárolót, futtassa a következő parancsot:

docker start sapcon-[SID]

Távolítsa el a felhasználói szerepkört és az ABAP-rendszerre telepített opcionális CR-t

Ha el szeretné távolítani a felhasználói szerepkört és a rendszerbe importált cr-t, importálja a törlési CR-NPLK900259 az ABAP-rendszerbe.

Következő lépések

További információ az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldásról:

Hibaelhárítás:

Referenciafájlok:

További információ: Microsoft Sentinel-megoldások.