Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender kiszolgálókhoz
- Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz
Az SAP-rendszerek operációsrendszer-szintű parancsokat hajthatnak végre a használatával SAPXPG – Transaction Code SM49/SM69
. Ez a cikk azt ismerteti, hogyan használható a speciális veszélyforrás-keresés a Végponthoz készült Microsoft Defender az SAPXPG-mechanizmus védelmére a kihasználás elleni védelem érdekében. Az ebben a cikkben bemutatott példa a Linuxon futó SAP-t tartalmazza; A Windows Server futó SAP eljárása azonban hasonló.
Az első lépések
A kezdés előtt mindenképpen olvassa el a következő cikkeket:
Az SAP BASIS csapatának és a biztonsági csapatnak kódolja a megoldást. Az SAP BASIS csapata nem rendelkezik hozzáféréssel a Microsoft Defender portálhoz, és a biztonsági csapat nem ismeri az SAP Batch-feladatok és a külső parancsok sajátosságait. Mindkét csapatnak együtt kell működnie.
Ajánlott implementálási sorrend
Az SAP BASIS csapata azonosítja és kategorizálja az összes SAP-környezetben (dev, QA, PRD) futó külső parancsokat és szkripteket.
A biztonsági csapat és az SAP BASIS csapata biztosítja, hogy a Végponthoz készült Defender megfelelően legyen üzembe helyezve és konfigurálva legyen az összes SAP-kiszolgálón. Az üzembe helyezéssel kapcsolatos útmutatásért tekintse meg a következő cikkeket:
A biztonsági csapat azonosítja az összes SAP-kiszolgálót, és futtat egy lekérdezést a számára
"InitiatingProcessName" == "sapxpg"
, és megállapítja, hogy mely kiszolgálók indítják el az SAPXPG-t.Javasoljuk, hogy korlátozza az SAPXPG-t futtató kiszolgálók számát a minimálisra, és tiltsa le az SAPXPG használatát a legtöbb SAP-kiszolgálón. Az SAP BASIS csapatának és a biztonsági csapatnak korlátoznia kell az SAPXPG engedélyezési objektumaihoz és tranzakciókódjaihoz való hozzáférést.
Az SAP BASIS csapata minden "engedélyezett" segédprogramról tájékoztat a biztonsági csapat számára, például
BRTOOLS
(Oracle-ügyfelek számára), (ha használják)AzCopy
vagy más, nyomtatáshoz vagy archiváláshoz használható segédprogramokról.A biztonsági csapat az SAP BASIS csapatával együttműködve kérdezi le az SAPXPG-parancsokat és -paramétereket. A kártékony hasznos adatok letöltésére használható példalekérdezés az alábbiak szerint észlelhető
wget
:DeviceProcessEvents | where Timestamp >= ago (1d) | where (InitiatingProcessFileName == "sapxpg" or InitiatingProcessFileName =="sapxpg.exe") and FileName == "wget" // Query shows SAPXPG commands that execute "wget"
Ez a lekérdezés Linux () és Windows (
sapxpg
) rendszereken valósapxpg.exe
használatra lett tervezve.Egy másik lekérdezés-/szabálytervezési logika, amely megakadályozza, hogy az SAPXPG a megadott engedélyezett parancsoktól eltérő parancsokat hajthasson végre. A következő lekérdezésben a készleten nem szereplő parancsok ("cp", "ls", "mkdir") riasztást kaphatnak vagy blokkolhatók.
DeviceProcessEvents | where Timestamp >= ago (1d) | where (InitiatingProcessFileName == "sapxpg" or InitiatingProcessFileName =="sapxpg.exe") and FileName !in ("cp", "ls", "mkdir") //Query shows SAPXPG commands that execute any command other than "cp" or "mv" or mkdir
A biztonsági csapat létrehoz egy egyéni észlelési szabályt a gyanús parancsok észleléséhez. A gyanús parancsok a következők lehetnek:
ncat
netcat
socat
azcopy
wget
curl
echo
base64
/dev/tcp
pwd
whoami
chmod +x
A biztonsági csapat nem éles környezetekben helyezi üzembe a szabályt. A biztonsági csapat figyeli az észleléseket, az SAP BASIS csapat pedig a feladatokat/interfészeket a hibákért.
A biztonsági csapat üzembe helyezi a szabályt az éles környezetekben. Az SAP BASIS csapatának figyelnie kell a feladatokat és a felületeket, a biztonsági csapatnak pedig figyelnie kell a létrehozott riasztásokat.
További információk
Az SAPXPG
sapxpg_trace
nyomon követéséhez tekintse meg az SAP dokumentációját: Problémák elemzése külső parancsokkal és programokkal.A speciális veszélyforrás-kereséssel kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel Microsoft Defender.
További információ az egyéni szabályokról: Egyéni észlelési szabályok létrehozása.