Figyelt SAP biztonsági paraméterek a gyanús konfigurációs módosítások észleléséhez
Ez a cikk azOKAT a biztonsági paramétereket ismerteti az SAP-rendszerben, amelyeket az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás az "SAP – (előzetes verzió) Bizalmas statikus paraméter módosult" elemzési szabály részeként figyel.
Az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás az SAP ajánlott eljárásainak változásainak megfelelően biztosít frissítéseket ehhez a tartalomhoz. Paramétereket is hozzáadhat a watch, módosíthatja az értékeket a szervezet igényei szerint, és letilthat bizonyos paramétereket az SAPSystemParameters figyelőlistában.
Megjegyzés
Ahhoz, hogy az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás sikeresen monitorozza az SAP biztonsági paramétereit, a megoldásnak rendszeres időközönként sikeresen monitoroznia kell az SAP PAHI-táblát. Ellenőrizze, hogy a megoldás képes-e a PAHI-tábla figyelésére.
Monitorozott statikus SAP biztonsági paraméterek
Ez a lista tartalmazza azOKAT a statikus SAP-biztonsági paramétereket, amelyeket az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás figyel az SAP-rendszer védelme érdekében. A lista nem a paraméterek konfigurálására vonatkozó javaslat. Konfigurációs szempontokért forduljon az SAP rendszergazdáihoz.
| Paraméter | Leírás | Biztonsági érték/szempontok |
|---|---|---|
| gw/accept_remote_trace_level | Azt szabályozza, hogy a központi folyamatintegráció (CPI) és a távoli függvényhívási (RFC) alrendszerek elfogadják-e a távoli nyomkövetési szintet. Ha ezt a paramétert a értékre 1állítja, a CPI- és RFC-alrendszerek elfogadják és elfogadják a távoli nyomkövetési szinteket. Ha a értékre van 0állítva, a rendszer nem fogadja el a távoli nyomkövetési szinteket, hanem a helyi nyomkövetési szintet.A nyomkövetési szint egy olyan beállítás, amely meghatározza egy adott program vagy folyamat rendszernaplójában rögzített részletességi szintet. Amikor az alrendszerek bevezetik a nyomkövetési szinteket, beállíthatja egy program vagy folyamat nyomkövetési szintjét egy távoli rendszerből, és nem csak a helyi rendszerből. Ez a beállítás akkor lehet hasznos, ha távoli hibakeresésre vagy hibaelhárításra van szükség. |
A paraméter konfigurálható úgy, hogy korlátozza a külső rendszerekből elfogadott nyomkövetési szintet. Alacsonyabb nyomkövetési szint beállítása csökkentheti a külső rendszerek által az SAP-rendszer belső működéséről szerezhető információk mennyiségét. |
| bejelentkezés/password_change_for_SSO | Szabályozza, hogy a jelszómódosítások hogyan legyenek kényszerítve egyszeri bejelentkezési helyzetekben. | Magas, mert a jelszómódosítások kényszerítése segíthet megakadályozni a rendszerhez való jogosulatlan hozzáférést azoknak a támadóknak, akik adathalászattal vagy más módon szereztek be érvényes hitelesítő adatokat. |
| icm/accept_remote_trace_level | Meghatározza, hogy az Internet Communication Manager (ICM) elfogadja-e a külső rendszerek távoli nyomkövetési szintű módosításait. | Közepes, mert a távoli nyomkövetési szintű módosítások engedélyezése értékes diagnosztikai információkat biztosíthat a támadóknak, és potenciálisan veszélyeztetheti a rendszer biztonságát. |
| rdisp/gui_auto_logout | Megadja az SAP GUI-kapcsolatok maximális tétlenségi idejét, mielőtt automatikusan kijelentkezteti a felhasználót. | Magas, mert az inaktív felhasználók automatikus kijelentkeztetése segíthet megakadályozni a rendszerhez való jogosulatlan hozzáférést azoknak a támadóknak, akik esetleg hozzáfértek egy felhasználó munkaállomásához. |
| rsau/enable | Azt szabályozza, hogy a biztonsági naplózási napló engedélyezve van-e. | Magas, mert a biztonsági auditnapló értékes információkat nyújthat a biztonsági incidensek észleléséhez és vizsgálatához. |
| bejelentkezés/min_password_diff | Megadja azoknak a karaktereknek a minimális számát, amelyeknek különbözniük kell a régi és az új jelszó között, amikor a felhasználók módosítják a jelszavukat. | Magas, mivel a minimális karakterkülönbségek megkövetelése megakadályozhatja, hogy a felhasználók olyan gyenge jelszavakat válasszanak, amelyek könnyen kitalálhatók. |
| bejelentkezés/min_password_digits | Beállítja a felhasználó jelszavában szükséges számjegyek minimális számát. | Magas, mert a paraméter növeli a jelszavak összetettségét, és megnehezíti a találgatást vagy a feltörést. |
| bejelentkezés/ticket_only_by_https | Ez a paraméter azt szabályozza, hogy a hitelesítési jegyek csak HTTPS-en keresztül legyenek elküldve, vagy HTTP-en keresztül is elküldhetők. | Magas, mert a HTTPS használata a jegyátvitelhez titkosítja az átvitt adatokat, így biztonságosabb. |
| hitelesítés/rfc_authority_check | Azt szabályozza, hogy a rendszer elvégez-e a szolgáltatói ellenőrzéseket az RFC-k esetében. | Magas, mert ennek a paraméternek az engedélyezése segít megakadályozni a bizalmas adatokhoz és függvényekhez való jogosulatlan hozzáférést az RFC-ken keresztül. |
| gw/acl_mode | Beállítja az SAP-átjáró által használt hozzáférés-vezérlési listafájl (ACL) módját. | Magas, mert a paraméter szabályozza az átjáróhoz való hozzáférést, és segít megakadályozni az SAP-rendszerhez való jogosulatlan hozzáférést. |
| gw/naplózás | Szabályozza az SAP-átjáró naplózási beállításait. | Magas, mert ez a paraméter gyanús tevékenységek vagy potenciális biztonsági incidensek monitorozására és észlelésére használható. |
| bejelentkezés/fails_to_session_end | Beállítja a felhasználói munkamenet leállása előtt engedélyezett érvénytelen bejelentkezési kísérletek számát. | Magas, mert a paraméter segít megelőzni a felhasználói fiókokra irányuló találgatásos támadásokat. |
| wdisp/ssl_encrypt | Beállítja a HTTP-kérések SSL-újratitkosításának módját. | Magas, mert ez a paraméter biztosítja a HTTP-en keresztül továbbított adatok titkosítását, ami segít megelőzni a lehallgatást és az adatok illetéktelen illetéktelen használatát. |
| bejelentkezés/no_automatic_user_sapstar | Szabályozza az SAP* felhasználó automatikus bejelentkezését. | Magas, mert ez a paraméter segít megakadályozni az SAP-rendszerhez való jogosulatlan hozzáférést az alapértelmezett SAP* fiókon keresztül. |
| rsau/max_diskspace/local | Meghatározza az auditnaplók helyi tárolásához használható lemezterület maximális mennyiségét. Ez a biztonsági paraméter segít megakadályozni a lemezterület feltöltését, és biztosítja, hogy az auditnaplók elérhetők legyenek a vizsgálathoz. | A paraméter megfelelő értékének beállítása segít megakadályozni, hogy a helyi naplók túl sok lemezterületet használjanak fel, ami rendszerteljesítmény-problémákhoz vagy akár szolgáltatásmegtagadási támadásokhoz vezethet. A túl alacsony érték beállítása viszont az auditnapló adatainak elvesztését eredményezheti, ami a megfelelőséghez és a naplózáshoz szükséges lehet. |
| snc/extid_login_diag | Engedélyezi vagy letiltja a külső azonosító naplózását a Biztonságos hálózati kommunikáció (SNC) bejelentkezési hibáiban. Ez a biztonsági paraméter segít azonosítani a rendszerhez való jogosulatlan hozzáférésre tett kísérleteket. | A paraméter engedélyezése hasznos lehet az SNC-sel kapcsolatos problémák elhárításához, mivel további diagnosztikai információkat nyújt. A paraméter azonban bizalmas információkat is közzétehet a rendszer által használt külső biztonsági termékekről, ami potenciális biztonsági kockázatot jelenthet, ha ezek az információk rossz kezekbe kerülnek. |
| bejelentkezés/password_change_waittime | Meghatározza, hogy a felhasználónak hány napig kell várnia a jelszó ismételt módosítása előtt. Ez a biztonsági paraméter segít a jelszószabályzatok kikényszerítésében, és biztosítja, hogy a felhasználók rendszeresen módosítsák a jelszavukat. | A paraméter megfelelő értékének beállításával biztosítható, hogy a felhasználók elég rendszeresen módosítsák a jelszavukat az SAP-rendszer biztonságának fenntartásához. Ugyanakkor a túl rövid várakozási idő beállítása kontraproduktív lehet, mivel a felhasználók nagyobb valószínűséggel használják újra a jelszavakat, vagy olyan gyenge jelszavakat választanak, amelyeket könnyebb megjegyezni. |
| snc/accept_insecure_cpic | Meghatározza, hogy a rendszer elfogadja-e a nem biztonságos SNC-kapcsolatokat a CPIC protokoll használatával. Ez a biztonsági paraméter szabályozza az SNC-kapcsolatok biztonsági szintjét. | Ennek a paraméternek az engedélyezése növelheti az adatok elfogásának vagy manipulálásának kockázatát, mivel olyan SNC-védelem alatt álló kapcsolatokat fogad el, amelyek nem felelnek meg a minimális biztonsági szabványoknak. Ezért a paraméter ajánlott biztonsági értéke a értékre van állítva 0, ami azt jelenti, hogy csak a minimális biztonsági követelményeknek megfelelő SNC-kapcsolatok lesznek elfogadva. |
| snc/accept_insecure_r3int_rfc | Meghatározza, hogy a rendszer elfogadja-e az R/3 és az RFC protokollok nem biztonságos SNC-kapcsolatait. Ez a biztonsági paraméter szabályozza az SNC-kapcsolatok biztonsági szintjét. | Ennek a paraméternek az engedélyezése növelheti az adatok elfogásának vagy manipulálásának kockázatát, mivel olyan SNC-védelem alatt álló kapcsolatokat fogad el, amelyek nem felelnek meg a minimális biztonsági szabványoknak. Ezért a paraméter ajánlott biztonsági értéke a értékre van állítva 0, ami azt jelenti, hogy csak a minimális biztonsági követelményeknek megfelelő SNC-kapcsolatok lesznek elfogadva. |
| snc/accept_insecure_rfc | Meghatározza, hogy a rendszer elfogadja-e a nem biztonságos SNC-kapcsolatokat RFC-protokollokkal. Ez a biztonsági paraméter szabályozza az SNC-kapcsolatok biztonsági szintjét. | Ennek a paraméternek az engedélyezése növelheti az adatok elfogásának vagy manipulálásának kockázatát, mivel olyan SNC-védelem alatt álló kapcsolatokat fogad el, amelyek nem felelnek meg a minimális biztonsági szabványoknak. Ezért a paraméter ajánlott biztonsági értéke a értékre van állítva 0, ami azt jelenti, hogy csak a minimális biztonsági követelményeknek megfelelő SNC-kapcsolatok lesznek elfogadva. |
| snc/data_protection/max | Meghatározza az SNC-kapcsolatok maximális adatvédelmi szintjét. Ez a biztonsági paraméter szabályozza az SNC-kapcsolatokhoz használt titkosítás szintjét. | A paraméter magas értékének beállítása növelheti az adatvédelem szintjét, és csökkentheti az adatelfogás vagy -manipuláció kockázatát. A paraméter ajánlott biztonsági értéke a szervezet konkrét biztonsági követelményeitől és kockázatkezelési stratégiájától függ. |
| rspo/auth/pagelimit | Meghatározza, hogy a felhasználó egyszerre legfeljebb hány készletkérelmet jeleníthet meg vagy törölhet. Ez a biztonsági paraméter segít megelőzni a szolgáltatásmegtagadásos támadásokat a készletrendszeren. | Ez a paraméter közvetlenül nem befolyásolja az SAP-rendszer biztonságát, de segíthet megelőzni a bizalmas engedélyezési adatokhoz való jogosulatlan hozzáférést. Az oldalanként megjelenített bejegyzések számának korlátozásával csökkenthető annak a kockázata, hogy illetéktelen személyek bizalmas engedélyezési adatokat tekintenek meg. |
| snc/accept_insecure_gui | Meghatározza, hogy a rendszer elfogadja-e a nem biztonságos SNC-kapcsolatokat a grafikus felhasználói felület használatával. Ez a biztonsági paraméter szabályozza az SNC-kapcsolatok biztonsági szintjét. | Ennek a paraméternek az értékét ajánlott értékre 0 állítani, hogy az SAP GUI-n keresztül létesített SNC-kapcsolatok biztonságosak legyenek, és hogy csökkentse a bizalmas adatok jogosulatlan hozzáférésének vagy elfogásának kockázatát. A nem biztonságos SNC-kapcsolatok engedélyezése növelheti a bizalmas információkhoz vagy az adatok elfogásához való jogosulatlan hozzáférés kockázatát, és csak akkor szabad elvégezni, ha adott szükség van rá, és a kockázatokat megfelelően értékelték. |
| bejelentkezés/accept_sso2_ticket | Engedélyezi vagy letiltja az SSO2-jegyek elfogadását a bejelentkezéshez. Ez a biztonsági paraméter szabályozza a rendszerbe való bejelentkezés biztonsági szintjét. | Az SSO2 engedélyezése zökkenőmentesebb és kényelmesebb felhasználói élményt biztosít, de további biztonsági kockázatokat is jelent. Ha egy támadó hozzáfér egy érvényes SSO2-jegyhez, előfordulhat, hogy megszemélyesíthet egy megbízható felhasználót, és jogosulatlanul hozzáférhet a bizalmas adatokhoz, vagy rosszindulatú műveleteket hajthat végre. |
| bejelentkezés/multi_login_users | Meghatározza, hogy több bejelentkezési munkamenet engedélyezve van-e ugyanahhoz a felhasználóhoz. Ez a biztonsági paraméter szabályozza a felhasználói munkamenetek biztonsági szintjét, és segít megelőzni a jogosulatlan hozzáférést. | A paraméter engedélyezésével megakadályozhatja az SAP-rendszerekhez való jogosulatlan hozzáférést azáltal, hogy egyetlen felhasználó egyidejű bejelentkezéseinek számát korlátozza. Ha ez a paraméter értékre 0van állítva, felhasználónként csak egy bejelentkezési munkamenet engedélyezett, és a rendszer elutasítja a további bejelentkezési kísérleteket. Ez segíthet megakadályozni az SAP-rendszerekhez való jogosulatlan hozzáférést abban az esetben, ha a felhasználó bejelentkezési hitelesítő adatait feltörik vagy megosztják másokkal. |
| bejelentkezés/password_expiration_time | A jelszó érvényességének maximális időtartamát adja meg napokban. Amikor ez az idő lejár, a rendszer felkéri a felhasználót a jelszavának módosítására. | Ha ezt a paramétert alacsonyabb értékre állítja, azzal javíthatja a biztonságot, ha biztosítja a jelszavak gyakori módosítását. |
| bejelentkezés/password_max_idle_initial | Meghatározza azt a percekben megadott maximális időintervallumot, amely alatt a felhasználó tevékenység végrehajtása nélkül is bejelentkezhet. Az idő leteltét követően a rendszer automatikusan kijelentkezteti a felhasználót. | Ha ennél a paraméternél alacsonyabb értéket ad meg, azzal javíthatja a biztonságot, ha biztosítja, hogy a tétlen munkamenetek hosszabb ideig ne legyenek nyitva. |
| login/password_history_size | Azoknak a jelszavaknak a számát adja meg, amelyeket a felhasználó nem használhat újra. | Ez a paraméter megakadályozza, hogy a felhasználók ismételten ugyanazokat a jelszavakat használják, ami javíthatja a biztonságot. |
| snc/data_protection/use | Engedélyezi az SNC-adatvédelem használatát. Ha engedélyezve van, az SNC biztosítja, hogy az SAP-rendszerek között továbbított összes adat titkosított és biztonságos legyen. | |
| rsau/max_diskspace/per_day | Megadja a naponta naplókhoz használható maximális lemezterületet MB-ban. A paraméter alacsonyabb értékének beállításával biztosítható, hogy az auditnaplók ne használjanak túl sok lemezterületet, és hatékonyan kezelhetők legyenek. | |
| snc/enable | Engedélyezi az SNC-t az SAP-rendszerek közötti kommunikációhoz. | Ha engedélyezve van, az SNC további biztonsági réteget biztosít a rendszerek között továbbított adatok titkosításával. |
| hitelesítés/no_check_in_some_cases | Letiltja az engedélyezési ellenőrzéseket bizonyos esetekben. | Bár ez a paraméter javíthatja a teljesítményt, biztonsági kockázatot is jelenthet, mivel lehetővé teszi, hogy a felhasználók olyan műveleteket hajtsanak végre, amelyekhez nem rendelkeznek engedéllyel. |
| hitelesítés/object_disabling_active | Letiltja a megadott ideig inaktív felhasználói fiókok adott engedélyezési objektumait. | A szükségtelen engedélyekkel rendelkező inaktív fiókok számának csökkentésével javíthatja a biztonságot. |
| login/disable_multi_gui_login | Megakadályozza, hogy egy felhasználó egyszerre több grafikus felhasználói felületi munkamenetbe jelentkezzen be. | Ez a paraméter segíthet a biztonság javításában, mivel biztosítja, hogy a felhasználók egyszerre csak egy munkamenetbe legyenek bejelentkezve. |
| bejelentkezés/min_password_lng | Megadja a jelszó minimális hosszát. | Ha magasabb értéket állít be ehhez a paraméterhez, azzal javíthatja a biztonságot, ha biztosítja, hogy a jelszavak ne legyenek könnyen kitalálva. |
| rfc/reject_expired_passwd | Megakadályozza az RFC-k végrehajtását, ha a felhasználó jelszava lejárt. | Ennek a paraméternek az engedélyezése hasznos lehet a jelszószabályzatok kikényszerítése és az SAP-rendszerekhez való jogosulatlan hozzáférés megakadályozása során. Ha ez a paraméter értékre 1van állítva, a rendszer elutasítja az RFC-kapcsolatokat, ha a felhasználó jelszava lejárt, és a rendszer felkéri a felhasználót, hogy módosítsa a jelszavát, mielőtt csatlakozni tud. Ez segít biztosítani, hogy csak érvényes jelszóval rendelkező jogosult felhasználók férhessenek hozzá a rendszerhez. |
| rsau/max_diskspace/per_file | Beállítja egy olyan auditfájl maximális méretét, amelyet az SAP-rendszer naplózása létrehozhat. Az alacsonyabb érték beállításával megelőzhető a naplózási fájlok túlzott növekedése, és így biztosítható a megfelelő lemezterület. | A megfelelő érték beállítása segít kezelni a naplófájlok méretét, és elkerülni a tárolási problémákat. |
| bejelentkezés/min_password_letters | Megadja, hogy a felhasználó jelszavában legalább hány betűnek kell szerepelnie. A magasabb érték beállítása segít növelni a jelszó erősségét és biztonságát. | A megfelelő érték beállítása segít a jelszószabályzatok kikényszerítésében és a jelszóbiztonság javításában. |
| rsau/selection_slots | Beállítja a naplózási fájlokhoz használható kijelölési pontok számát. A magasabb érték beállítása segíthet elkerülni a régebbi auditfájlok felülírását. | Segít biztosítani, hogy a naplózási fájlok hosszabb ideig legyenek megőrizve, ami biztonsági incidensek esetén hasznos lehet. |
| gw/sim_mode | Ez a paraméter beállítja az átjáró szimulációs módját. Ha engedélyezve van, az átjáró csak a célrendszerrel való kommunikációt szimulálja, és nem történik tényleges kommunikáció. | A paraméter engedélyezése tesztelési célokra hasznos lehet, és segíthet megelőzni a célrendszer nem kívánt módosításait. |
| bejelentkezés/fails_to_user_lock | Azon sikertelen bejelentkezési kísérletek számát adja meg, amelyek után a felhasználói fiók zárolva lesz. Alacsonyabb érték beállítása segít megelőzni a találgatásos támadásokat. | Segít megakadályozni a rendszerhez való jogosulatlan hozzáférést, és segít megvédeni a felhasználói fiókokat a illetéktelen hozzáféréstől. |
| bejelentkezés/password_compliance_to_current_policy | Kikényszeríti, hogy az új jelszavak megfeleljenek a rendszer aktuális jelszószabályzatának. Ennek értékét úgy kell beállítani, hogy 1 engedélyezze ezt a funkciót. |
Magas. A paraméter engedélyezésével biztosítható, hogy a felhasználók megfeleljenek az aktuális jelszóházirendnek a jelszavak módosításakor, ami csökkenti az SAP-rendszerekhez való jogosulatlan hozzáférés kockázatát. Ha ez a paraméter értékre 1van állítva, a rendszer arra kéri a felhasználókat, hogy tartsák be az aktuális jelszóházirendet a jelszavuk módosításakor. |
| rfc/ext_debugging | Engedélyezi az RFC hibakeresési módját külső RFC-hívásokhoz. Az értékét úgy kell beállítani, hogy 0 letiltsa ezt a funkciót. |
|
| gw/monitor | Engedélyezi az átjárókapcsolatok figyelését. Ennek értékét úgy kell beállítani, hogy 1 engedélyezze ezt a funkciót. |
|
| login/create_sso2_ticket | Engedélyezi az SSO2-jegyek létrehozását a felhasználók számára. Ennek értékét úgy kell beállítani, hogy 1 engedélyezze ezt a funkciót. |
|
| bejelentkezés/failed_user_auto_unlock | Lehetővé teszi a felhasználói fiókok automatikus feloldását sikertelen bejelentkezési kísérlet után. Ennek értékét úgy kell beállítani, hogy 1 engedélyezze ezt a funkciót. |
|
| bejelentkezés/min_password_uppercase | Beállítja az új jelszavakhoz szükséges kisbetűk minimális számát. Értékét pozitív egész számra kell állítani. | |
| bejelentkezés/min_password_specials | Beállítja az új jelszavakhoz szükséges speciális karakterek minimális számát. Értékét pozitív egész számra kell állítani. | |
| snc/extid_login_rfc | Engedélyezi az SNC használatát külső RFC-hívásokhoz. Ennek értékét úgy kell beállítani, hogy 1 engedélyezze ezt a funkciót. |
|
| bejelentkezés/min_password_lowercase | Beállítja az új jelszavakhoz szükséges kisbetűk minimális számát. Értékét pozitív egész számra kell állítani. | |
| bejelentkezés/password_downwards_compatibility | Lehetővé teszi a jelszavak beállítását régi kivonatoló algoritmusokkal a régebbi rendszerekkel való visszamenőleges kompatibilitás érdekében. Az értékét úgy kell beállítani, hogy 0 letiltsa ezt a funkciót. |
|
| snc/data_protection/min | Beállítja az SNC-védelemmel ellátott kapcsolatokhoz használandó minimális adatvédelmi szintet. Értékét pozitív egész számra kell állítani. | A paraméter megfelelő értékének beállításával biztosítható, hogy az SNC által védett kapcsolatok minimális szintű adatvédelmet biztosítsanak. Ezzel a beállítással megakadályozhatja, hogy a támadók elfogják vagy manipulálják a bizalmas információkat. Ennek a paraméternek az értékét az SAP-rendszer biztonsági követelményei és az SNC által védett kapcsolatokon keresztül továbbított adatok bizalmassága alapján kell beállítani. |
Következő lépések
További információkért lásd:
- A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- SAP-megoldás biztonsági tartalma
- Microsoft Sentinel-megoldás SAP-alkalmazások® naplóihoz – referencia
- Az SAP-rendszer állapotának monitorozása
- A Microsoft Sentinel megoldás üzembe helyezése SAP-alkalmazások® adatösszekötőjéhez az SNC-vel
- Konfigurációs fájl referenciája
- A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
- A Microsoft Sentinel-megoldás hibaelhárítása SAP-alkalmazások® üzembe helyezéséhez