Mengonfigurasi solusi Microsoft Azure Sentinel untuk aplikasi SAP®
Catatan
Azure Sentinel sekarang disebut Microsoft Sentinel, dan kami akan memperbarui halaman ini dalam beberapa minggu mendatang. Pelajari selengkapnyatentang peningkatan keamanan Microsoft terbaru.
Artikel ini menyediakan praktik terbaik untuk mengonfigurasi solusi Microsoft Sentinel untuk aplikasi SAP®. Proses selengkapnya dirinci dalam keseluruhan set artikel yang ditautkan di bagian Milestone penyebaran.
Penting
Beberapa komponen solusi Microsoft Azure Sentinel untuk aplikasi SAP® saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Penyebaran agen dan solusi pengumpul data di Microsoft Azure Sentinel memberi Anda kemampuan guna memantau sistem SAP untuk aktivitas mencurigakan dan mengidentifikasi ancaman. Namun, untuk hasil terbaik, praktik terbaik mengoperasikan solusi sangat menyarankan untuk melakukan beberapa langkah konfigurasi tambahan yang sangat bergantung pada penerapan SAP.
Milestone penyebaran
Lacak perjalanan penyebaran solusi SAP Anda melalui serangkaian artikel ini:
Bekerja dengan solusi di beberapa ruang kerja (PRATINJAU)
Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi® SAP dari hub konten
Mengonfigurasi solusi Microsoft Azure Sentinel untuk aplikasi SAP® (Anda ada di sini)
Langkah-langkah penyebaran opsional
Mengonfigurasi daftar pengawasan
Solusi Microsoft Azure Sentinel untuk konfigurasi aplikasi SAP® dicapai dengan memberikan informasi khusus pelanggan dalam daftar pengawasan yang disediakan.
Catatan
Setelah penyebaran solusi awal, mungkin perlu beberapa waktu sebelum daftar pengawasan diisi dengan data. Jika Anda mengedit daftar pengawasan dan melihatnya kosong, tunggu beberapa menit dan coba lagi membuka daftar pengawasan untuk pengeditan.
SAP - Daftar pengawasan sistem
SAP - Daftar pengawasan sistem menentukan Sistem SAP mana yang ada di lingkungan yang dipantau. Untuk setiap sistem, tentukan SID-nya, apakah merupakan sistem produksi, lingkungan dev/test, atau deskripsi. Informasi ini digunakan oleh beberapa aturan analitik, yang mungkin bereaksi secara berbeda jika peristiwa yang relevan muncul dalam sistem Pengembangan atau Produksi.
SAP - Daftar pengawasan jaringan
SAP - Daftar pengawasan jaringan menguraikan semua jaringan yang digunakan oleh organisasi. Daftar ini utamanya digunakan untuk mengidentifikasi apakah upaya masuk pengguna berasal dari dalam segmen jaringan yang diketahui atau tidak, termasuk apakah asal masuk pengguna berubah secara tiba-tiba.
Ada sejumlah pendekatan untuk mendokumentasikan topologi jaringan. Anda dapat menentukan berbagai alamat, seperti 172.16.0.0/16, dan menamainya sebagai "Jaringan Perusahaan", yang akan cukup baik untuk melacak proses masuk dari luar rentang itu. Namun, pendekatan yang lebih tersegmentasi memungkinkan Anda memiliki visibilitas yang lebih baik ke aktivitas yang berpotensi atipikal.
Misalnya: tentukan dua segmen berikut dan lokasi geografisnya:
| Segmen | Lokasi |
|---|---|
| 192.168.10.0/23 | Eropa Barat |
| 10.15.0.0/16 | Australia |
Sekarang Microsoft Sentinel akan dapat membedakan proses masuk dari 192.168.10.15 (di segmen pertama) dengan proses masuk dari 10.15.2.1 (di segmen kedua) dan memperingatkan Anda jika perilaku tersebut teridentifikasi sebagai atipikal.
Daftar pengawasan data sensitif
- SAP - Modul Fungsi Sensitif
- SAP - Tabel Sensitif
- SAP - Program ABAP Sensitif
- SAP - Transaksi Sensitif
Semua daftar pantauan ini mengidentifikasi tindakan atau data sensitif yang dapat dilakukan atau diakses oleh pengguna. Beberapa operasi, tabel, dan otorisasi terkenal telah dikonfigurasi sebelumnya dalam daftar pengawasan, namun kami sarankan Anda berkonsultasi dengan tim SAP DASAR untuk mengidentifikasi operasi, transaksi, otorisasi, dan tabel mana yang dianggap sensitif di lingkungan SAP Anda.
Daftar pengawasan data master pengguna
- SAP - Profil Sensitif
- SAP - Peran Sensitif
- SAP - Pengguna Hak Istimewa
- SAP - Otorisasi Kritis
Solusi Microsoft Azure Sentinel untuk aplikasi SAP® menggunakan data Master Pengguna yang dikumpulkan dari sistem SAP untuk mengidentifikasi pengguna, profil, dan peran mana yang harus dianggap sensitif. Beberapa data sampel disertakan dalam daftar pengawasan, meskipun kami sarankan Anda berkonsultasi dengan tim SAP DASAR untuk mengidentifikasi pengguna, peran, dan profil sensitif dan mengisi daftar pengawasan yang sesuai.
Mulai mengaktifkan aturan analitik
Secara default, semua aturan analitik yang disediakan dalam solusi Microsoft Azure Sentinel untuk aplikasi SAP® disediakan sebagai templat aturan pemberitahuan. Kami merekomendasikan pendekatan bertahap, di mana beberapa aturan dibuat dari template pada satu waktu, memungkinkan waktu untuk menyempurnakan setiap skenario. Kami menganggap aturan berikut ini paling mudah diterapkan, jadi sangat baik untuk memulainya:
- Perubahan bagi Pengguna dengan hak Istimewa Sensitif
- Perubahan konfigurasi klien
- Proses masuk pengguna dengan hak istimewa sensitif
- Pengguna dengan hak istimewa sensitif membuat perubahan pada pengguna lain
- Proses masuk dan mengubahan kata sandi pengguna dengan hak istimewa sensitif
- Modul Fungsi telah teruji
Mengaktifkan atau menonaktifkan penyerapan log SAP tertentu
Untuk mengaktifkan atau menonaktifkan penyerapan log tertentu:
- Edit file systemconfig.json yang terletak di bawah /opt/sapcon/SID/ pada VM konektor.
- Di dalam file konfigurasi, temukan log yang relevan dan lakukan salah satu hal berikut:
- Untuk mengaktifkan log, ubah nilai
Truemenjadi . - Untuk menonaktifkan log, ubah nilai menjadi
False.
- Untuk mengaktifkan log, ubah nilai
Misalnya, untuk menghentikan penyerapan untuk ABAPJobLog, ubah nilainya menjadi False:
"abapjoblog": "True",
Tinjau daftar log yang tersedia di referensi file Systemconfig.json.
Anda juga dapat berhenti menyerap tabel data master pengguna.
Catatan
Setelah Anda menghentikan salah satu log atau tabel, buku kerja dan kueri analitik yang menggunakan log tersebut mungkin tidak berfungsi. Pahami log mana yang digunakan setiap buku kerja dan pahami log mana yang digunakan setiap aturan analitik.
Hentikan penyerapan log dan nonaktifkan konektor
Untuk berhenti menyerap log SAP ke ruang kerja Microsoft Azure Sentinel, dan menghentikan aliran data dari kontainer Docker, jalankan perintah ini:
docker stop sapcon-[SID/agent-name]
Untuk berhenti menyerap SID tertentu untuk kontainer multi-SID, Anda harus menghapus SID dari UI halaman konektor di Sentinel Kontainer Docker berhenti dan tidak mengirim log SAP lagi ke ruang kerja Microsoft Azure Sentinel. Ini menghentikan penyerapan dan penagihan untuk sistem SAP yang terkait dengan konektor.
Jika Anda perlu mengaktifkan kembali kontainer Docker, jalankan perintah ini:
docker start sapcon-[SID]
Hapus peran pengguna dan CR opsional yang diinstal pada sistem ABAP Anda
Untuk menghapus peran pengguna dan CR opsional yang diimpor ke sistem Anda, impor penghapusan CR NPLK900259 ke dalam sistem ABAP Anda.
Langkah berikutnya
Pelajari selengkapnya tentang solusi Microsoft Azure Sentinel untuk aplikasi SAP®:
- Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Prasyarat untuk menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Menyebarkan Permintaan Perubahan (CR) SAP dan mengonfigurasi otorisasi
- Menyebarkan dan mengonfigurasi kontainer yang menghosting agen konektor data SAP
- Menyebarkan konten keamanan SAP
- Memantau kesehatan sistem SAP Anda
- Menyebarkan konektor data Microsoft Sentinel untuk SAP dengan SNC
- Mengaktifkan dan mengonfigurasi audit SAP
- Mengumpulkan jejak audit SAP Hana
Pemecahan Masalah:
File referensi:
- Solusi Microsoft Azure Sentinel untuk referensi data aplikasi SAP®
- Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: referensi konten keamanan
- Referensi skrip Kickstart
- Referensi skrip pembaruan
- Systemconfig.ini referensi file
Untuk mengetahui informasi selengkapnya, lihat Solusi Microsoft Sentinel.