Megosztás a következőn keresztül:

Egyéni észlelési szabályok speciális veszélyforrás-kereséssel: SAP külső operációsrendszer-parancsok (SAPXPG) védelme

Érintett szolgáltatás:

  • Végponthoz készült Microsoft Defender kiszolgálókhoz
  • Microsoft Defender 1. vagy 2. csomag kiszolgálókhoz

Az SAP-rendszerek operációsrendszer-szintű parancsokat hajthatnak végre a használatával SAPXPG – Transaction Code SM49/SM69. Ez a cikk azt ismerteti, hogyan használható a speciális veszélyforrás-keresés a Végponthoz készült Microsoft Defender az SAPXPG-mechanizmus védelmére a kihasználás elleni védelem érdekében. Az ebben a cikkben bemutatott példa a Linuxon futó SAP-t tartalmazza; A Windows Server futó SAP eljárása azonban hasonló.

Az első lépések

A kezdés előtt mindenképpen olvassa el a következő cikkeket:

Az SAP BASIS csapatának és a biztonsági csapatnak kódolja a megoldást. Az SAP BASIS csapata nem rendelkezik hozzáféréssel a Microsoft Defender portálhoz, és a biztonsági csapat nem ismeri az SAP Batch-feladatok és a külső parancsok sajátosságait. Mindkét csapatnak együtt kell működnie.

  1. Az SAP BASIS csapata azonosítja és kategorizálja az összes SAP-környezetben (dev, QA, PRD) futó külső parancsokat és szkripteket.

  2. A biztonsági csapat és az SAP BASIS csapata biztosítja, hogy a Végponthoz készült Defender megfelelően legyen üzembe helyezve és konfigurálva legyen az összes SAP-kiszolgálón. Az üzembe helyezéssel kapcsolatos útmutatásért tekintse meg a következő cikkeket:

  3. A biztonsági csapat azonosítja az összes SAP-kiszolgálót, és futtat egy lekérdezést a számára "InitiatingProcessName" == "sapxpg", és megállapítja, hogy mely kiszolgálók indítják el az SAPXPG-t.

    Javasoljuk, hogy korlátozza az SAPXPG-t futtató kiszolgálók számát a minimálisra, és tiltsa le az SAPXPG használatát a legtöbb SAP-kiszolgálón. Az SAP BASIS csapatának és a biztonsági csapatnak korlátoznia kell az SAPXPG engedélyezési objektumaihoz és tranzakciókódjaihoz való hozzáférést.

  4. Az SAP BASIS csapata minden "engedélyezett" segédprogramról tájékoztat a biztonsági csapat számára, például BRTOOLS (Oracle-ügyfelek számára), (ha használják) AzCopy vagy más, nyomtatáshoz vagy archiváláshoz használható segédprogramokról.

  5. A biztonsági csapat az SAP BASIS csapatával együttműködve kérdezi le az SAPXPG-parancsokat és -paramétereket. A kártékony hasznos adatok letöltésére használható példalekérdezés az alábbiak szerint észlelhető wget :

    
DeviceProcessEvents
 | where Timestamp >= ago (1d)
 | where (InitiatingProcessFileName == "sapxpg" or  InitiatingProcessFileName =="sapxpg.exe")  and FileName == "wget"

// Query shows SAPXPG commands that execute "wget"

    Ez a lekérdezés Linux () és Windows (sapxpg) rendszereken valósapxpg.exe használatra lett tervezve.

    Egy másik lekérdezés-/szabálytervezési logika, amely megakadályozza, hogy az SAPXPG a megadott engedélyezett parancsoktól eltérő parancsokat hajthasson végre. A következő lekérdezésben a készleten nem szereplő parancsok ("cp", "ls", "mkdir") riasztást kaphatnak vagy blokkolhatók.

    
DeviceProcessEvents
 | where Timestamp >= ago (1d)
 | where (InitiatingProcessFileName == "sapxpg" or  InitiatingProcessFileName =="sapxpg.exe")  and FileName !in ("cp", "ls", "mkdir")

//Query shows SAPXPG commands that execute any command other than "cp" or "mv" or mkdir

  6. A biztonsági csapat létrehoz egy egyéni észlelési szabályt a gyanús parancsok észleléséhez. A gyanús parancsok a következők lehetnek:

    • ncat
    • netcat
    • socat
    • azcopy
    • wget
    • curl
    • echo
    • base64
    • /dev/tcp
    • pwd
    • whoami
    • chmod +x

  7. A biztonsági csapat nem éles környezetekben helyezi üzembe a szabályt. A biztonsági csapat figyeli az észleléseket, az SAP BASIS csapat pedig a feladatokat/interfészeket a hibákért.

  8. A biztonsági csapat üzembe helyezi a szabályt az éles környezetekben. Az SAP BASIS csapatának figyelnie kell a feladatokat és a felületeket, a biztonsági csapatnak pedig figyelnie kell a létrehozott riasztásokat.

További információk