Panoramica della soluzione Microsoft Sentinel per le applicazioni SAP®
I sistemi SAP rappresentano una sfida di sicurezza univoca. I sistemi SAP gestiscono informazioni estremamente sensibili e sono obiettivi principali per gli utenti malintenzionati.
I team delle operazioni di sicurezza hanno tradizionalmente poca visibilità nei sistemi SAP. Una violazione del sistema SAP potrebbe causare file rubati, dati esposti o interruzioni della supply chain. Una volta che un utente malintenzionato si trova nel sistema, ci sono pochi controlli per rilevare l'esfiltrazione o altri atti negativi. L'attività SAP deve essere correlata ad altri dati nell'organizzazione per un rilevamento efficace delle minacce.
Per risolvere questo divario, Microsoft Sentinel offre la soluzione Microsoft Sentinel per le applicazioni SAP®. Questa soluzione completa usa componenti a ogni livello di Microsoft Sentinel per offrire il rilevamento end-to-end, l'analisi, l'analisi, l'analisi e la risposta alle minacce nell'ambiente SAP.
Che cosa fa la soluzione Microsoft Sentinel per le applicazioni SAP®
La soluzione Microsoft Sentinel per le applicazioni SAP monitora continuamente i sistemi SAP® per individuare le minacce a tutti i livelli: logica di business, applicazione, database e sistema operativo. Consente di:
Correlare il monitoraggio SAP con altri segnali all'interno dell'organizzazione e usare i rilevamenti forniti dalla soluzione, o creare rilevamenti personalizzati, per monitorare transazioni sensibili e altri rischi aziendali, ad esempio l'escalation dei privilegi, le modifiche non autorizzate e l'accesso non autorizzato.
Creare processi di risposta automatizzati per interagire con i sistemi SAP per arrestare le minacce di sicurezza attive.
La soluzione Microsoft Sentinel per le applicazioni SAP® offre anche il monitoraggio e il rilevamento delle minacce per SAP Business Technology Platform.
Ad esempio, l'immagine seguente mostra un panorama SAP multi-SID con una suddivisione tra sistemi produttivi e non produttivi, inclusa SAP Business Technology Platform. Tutti i sistemi in questa immagine vengono distribuiti in Microsoft Sentinel per la soluzione SAP.
Dettagli della soluzione
Origini log
Il connettore dati della soluzione recupera un'ampia gamma di origini di log SAP:
- Log di controllo della sicurezza ABAP
- Log dei documenti di modifica ABAP
- ABAP Spool Log
- ABAP Spool Output Log
- Log processo ABAP
- Log del flusso di lavoro ABAP
- Dati della tabella di database ABAP
- Dati master utente SAP
- ABAP CR Log
- Log ICM
- Log webdispacher JAVA
- syslog
Copertura del rilevamento delle minacce
Operazioni con privilegi sospetti : creazione di utenti con privilegi
- Utilizzo di utenti break-glass
- Sbloccare un utente e accedervi dallo stesso IP
- Assegnazione di ruoli sensibili e privilegi di amministratore
- L'utente sblocca e usa altri utenti
- Assegnazione di autorizzazione critica
Tentativi di ignorare i meccanismi di sicurezza SAP:
- Disabilitazione della registrazione di controllo (HANA e SAP)
- Esecuzione di moduli di funzione sensibili
- Sblocco delle transazioni bloccate
- Debug dei sistemi di produzione
- Accesso diretto alle tabelle sensibili da parte di RFC
- Esecuzione RFC della funzione sanative
- Modifica della configurazione del sistema, programma ABAP dinamico.
Creazione backdoor (persistenza)
- Creazione di nuove interfacce con connessione Internet (ICF)
- Accesso diretto alle tabelle sensibili tramite chiamata a funzione remota
- Assegnazione di nuovi gestori del servizio a ICF
- Esecuzione di programmi obsoleti
- L'utente sblocca e usa altri utenti.
Esfiltrazione dei dati
- Download di più file
- Acquisizioni di Spool
- Consentire l'accesso a server FTP non sicuri e connessioni da host non autorizzati
- Destinazione RFC dinamica
- DATABASE HANA: azioni di Amministrazione utente a livello di database.
Accesso iniziale - Forza bruta
- Più accessi dallo stesso IP
- Accessi utente con privilegi da reti impreviste
- Attacco SPNego Replay
Certificazione
La soluzione Microsoft Sentinel per le applicazioni SAP® è certificata per SAP S/4HANA® Cloud, PRIVATE Edition RI edizione Standard con SAP e SAP S/4 in locale.
- Gli scenari di integrazione includono S/4-BC-XAL 1.0/S/4 EXTERNAL ALERT AND MONITORING 1.0 (per S/4).
- La certificazione include S/4 e SAP Rise S/4 HANA® Cloud Private Edition in esecuzione in qualsiasi cloud e locale.
- Sono supportate distribuzioni ibride che possono coprire l'intero patrimonio dei clienti.
Vedere la certificazione nella directory sap Certified Solutions.See the certification on the SAP Certified Solutions Directory.
Attribuzione di marchi
SAP S/4HANA e SAP sono marchi o marchi registrati di SAP edizione Standard o delle sue consociate in Germania e in altri paesi/aree geografiche.
Passaggi successivi
Altre informazioni sulla soluzione Microsoft Sentinel per le applicazioni SAP®:
- Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP®
- Prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®
- Distribuire richieste di modifica SAP (CR) e configurare l'autorizzazione
- Distribuire il contenuto della soluzione dall'hub del contenuto
- Distribuire e configurare il contenitore che ospita l'agente del connettore dati SAP
- Monitorare l'integrità del sistema SAP
- Distribuire microsoft Sentinel per il connettore dati SAP con SNC
- Abilitare e configurare il controllo SAP
- Raccogliere i log di controllo di SAP HANA
- Distribuire la soluzione Microsoft Sentinel per SAP® BTP
Risoluzione dei problemi:
File di riferimento:
- Informazioni di riferimento sulla soluzione Microsoft Sentinel per i dati delle applicazioni SAP®
- Soluzione Microsoft Sentinel per le applicazioni SAP®: informazioni di riferimento sul contenuto di sicurezza
- Informazioni di riferimento sullo script Kickstart
- Informazioni di riferimento sullo script di aggiornamento
- Informazioni di riferimento sul file Systemconfig.ini