Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Mentre la distribuzione di un agente di raccolta dati e di una soluzione Microsoft Sentinel per SAP consente di monitorare i sistemi SAP per le attività sospette e identificare le minacce, sono necessari passaggi di configurazione aggiuntivi per garantire che la soluzione sia ottimizzata per la distribuzione SAP. Questo articolo fornisce le procedure consigliate per iniziare a usare il contenuto di sicurezza fornito con la soluzione Microsoft Sentinel per le applicazioni SAP ed è l'ultimo passaggio per la distribuzione dell'integrazione SAP.
Importante
L'agente del connettore dati per SAP è deprecato e verrà disabilitato definitivamente entro il 14 settembre 2026. È consigliabile eseguire la migrazione al connettore dati senza agente. Altre informazioni sull'approccio senza agente sono disponibili nel post di blog.
Il contenuto di questo articolo è rilevante per il team di sicurezza .
Prerequisiti
Prima di configurare le impostazioni descritte in questo articolo, è necessario disporre di una soluzione SAP Microsoft Sentinel installata e di un connettore dati configurato.
Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub contenuto e Distribuire Microsoft Sentinel soluzione per le applicazioni SAP.
Consiglio
Usare la serie di blog "How to successfully evaluate the SAP for Sentinel solution and implement it in production" (Come valutare correttamente sap per Sentinel soluzione e implementarla nell'ambiente di produzione) per un'analisi dettagliata delle procedure consigliate.
Iniziare ad abilitare le regole di analisi
Per impostazione predefinita, tutte le regole di analisi nella soluzione Microsoft Sentinel per le applicazioni SAP vengono fornite come modelli di regole di avviso. È consigliabile usare un approccio a fasi, in cui si usano i modelli per creare alcune regole alla volta, consentendo di ottimizzare ogni scenario.
È consigliabile iniziare con le regole di analisi seguenti, considerate più semplici da testare:
- Modifica in Utente con privilegi sensibili
- Utente con privilegi sensibili connesso
- L'utente con privilegi sensibili apporta una modifica ad altri utenti
- Modifica della password e accesso degli utenti sensibili
- Modifica della configurazione client
- Modulo di funzione testato
Per altre informazioni, vedere Regole di analisi predefinite e Rilevamento delle minacce in Microsoft Sentinel.
Configurare gli elenchi di controllo
Configurare la soluzione Microsoft Sentinel per le applicazioni SAP fornendo informazioni specifiche del cliente negli elenchi di controllo seguenti:
| Nome watchlist | Dettagli di configurazione |
|---|---|
| SAP - Sistemi | L'elenco di controllo SAP - Systems definisce i sistemi SAP presenti nell'ambiente monitorato. Per ogni sistema specificare: - Sid - Che si tratti di un sistema di produzione o di un ambiente di sviluppo/test. La definizione di questa impostazione nell'elenco di controllo non influisce sulla fatturazione e influisce solo sulla regola di analisi. Ad esempio, è possibile usare un sistema di test come sistema di produzione durante il test. - Descrizione significativa I dati configurati vengono usati da alcune regole di analisi, che potrebbero reagire in modo diverso se gli eventi rilevanti vengono visualizzati in un sistema di sviluppo o di produzione. |
| SAP - Reti | L'elenco di controllo SAP - Networks descrive tutte le reti usate dall'organizzazione. Viene usato principalmente per identificare se gli accessi utente provengono o meno dall'interno di segmenti noti della rete o se l'origine dell'accesso di un utente cambia in modo imprevisto. Esistono molti approcci per documentare la topologia di rete. È possibile definire un ampio intervallo di indirizzi, ad esempio 172.16.0.0/16, e denominarlo Rete aziendale, che è sufficiente per tenere traccia degli accessi dall'esterno di tale intervallo. Tuttavia, un approccio più segmentato consente una migliore visibilità dell'attività potenzialmente atipica. Ad esempio, è possibile definire i segmenti e le posizioni geografiche seguenti: - 192.168.10.0/23: Europa occidentale - 10.15.0.0/16: Australia In questi casi, Microsoft Sentinel può distinguere un accesso da 192.168.10.15 nel primo segmento da un accesso da 10.15.2.1 nel secondo segmento. Microsoft Sentinel avvisa se tale comportamento è identificato come atipico. |
|
SAP - Moduli di funzione sensibili SAP - Tabelle sensibili SAP - Programmi ABAP sensibili SAP - Transazioni riservate |
Le watchlist di contenuti sensibili identificano azioni o dati sensibili che possono essere eseguiti o accessibili dagli utenti. Sebbene diverse operazioni, tabelle e autorizzazioni note siano preconfigurate negli elenchi di controllo, è consigliabile consultare il team di SAP BASIS per identificare le operazioni, le transazioni, le autorizzazioni e le tabelle considerate sensibili nell'ambiente SAP e aggiornare gli elenchi in base alle esigenze. |
|
SAP - Profili sensibili SAP - Ruoli sensibili SAP - Utenti con privilegi SAP - Autorizzazioni critiche |
La soluzione Microsoft Sentinel per le applicazioni SAP usa i dati utente raccolti in elenchi di controllo dei dati degli utenti dai sistemi SAP per identificare gli utenti, i profili e i ruoli da considerare sensibili. Anche se i dati di esempio sono inclusi negli elenchi di controllo per impostazione predefinita, è consigliabile consultare il team SAP BASIS per identificare gli utenti, i ruoli e i profili sensibili nell'organizzazione e aggiornare gli elenchi in base alle esigenze. |
Dopo la distribuzione iniziale della soluzione, potrebbe essere necessario del tempo prima che le watchlist vengano popolate con i dati. Se si apre una watchlist per la modifica e si scopre che è vuota, attendere alcuni minuti e riprovare.
Per altre informazioni, vedere Watchlist disponibili.
Usare una cartella di lavoro per verificare la conformità per i controlli di sicurezza SAP
La soluzione Microsoft Sentinel per le applicazioni SAP include la cartella di lavoro SAP - Security Audit Controls, che consente di verificare la conformità per i controlli di sicurezza SAP. La cartella di lavoro offre una visualizzazione completa dei controlli di sicurezza in atto e dello stato di conformità di ogni controllo.
Per altre informazioni, vedere Controllare la conformità per i controlli di sicurezza SAP con la cartella di lavoro SAP - Security Audit Controls.
Passaggio successivo
Sono disponibili molti più contenuti da individuare per SAP con Microsoft Sentinel, tra cui funzioni, playbook, cartelle di lavoro e altro ancora. Questo articolo evidenzia alcuni punti di partenza utili ed è consigliabile continuare a implementare altri contenuti per sfruttare al massimo il monitoraggio della sicurezza SAP.
Per altre informazioni, vedere:
- Microsoft Sentinel soluzione per applicazioni SAP - Informazioni di riferimento sulle funzioni
- Microsoft Sentinel soluzione per le applicazioni SAP: informazioni di riferimento sul contenuto di sicurezza.
Contenuto correlato
Per altre informazioni, vedere: