SAP® 애플리케이션용 Microsoft Sentinel 솔루션 개요

SAP 시스템은 고유한 보안 문제를 일으킵니다. SAP 시스템은 매우 중요한 정보를 처리하며 공격자의 주요 대상입니다.

보안 운영 팀은 기존에 SAP 시스템에 대한 가시성이 거의 없었습니다. SAP 시스템 위반은 파일 도용, 데이터 노출, 공급망 중단을 야기할 수 있습니다. 공격자가 시스템에 침입할 경우 반출 또는 기타 잘못된 행위를 감지하는 컨트롤이 거의 없습니다. 효과적인 위협 탐지를 위해서는 조직 전체의 다른 데이터와 SAP 활동의 상관 관계를 지정해야 합니다.

이러한 격차를 해소하기 위해 Microsoft Sentinel은 SAP® 애플리케이션용 Microsoft Sentinel 솔루션을 제공합니다. 이 포괄적인 솔루션은 Microsoft Sentinel의 모든 수준에서 구성 요소를 사용하여 SAP 환경의 위협에 대한 엔드투엔드 탐지, 분석, 조사 및 대응을 제공합니다.

SAP® 애플리케이션용 Microsoft Sentinel 솔루션의 기능

SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 비즈니스 논리, 애플리케이션, 데이터베이스 및 OS와 같은 모든 레이어에서 SAP 시스템에 대한 위협을 지속적으로 모니터링합니다. 다음을 수행할 수 있습니다.

• SAP 모니터링을 조직 전체의 다른 신호와 상호 연결하고 솔루션에서 제공하는 검색을 사용하거나 자체 검색을 빌드하여 권한 상승, 승인되지 않은 변경 및 무단 액세스와 같은 중요한 트랜잭션 및 기타 비즈니스 위험을 모니터링합니다.

• SAP 시스템과 상호 작용하여 활성 보안 위협을 중지하는 자동화된 응답 프로세스를 빌드합니다.

SAP 애플리케이션용 Microsoft Sentinel 솔루션은 SAP® Business Technology Platform에 대한 위협 모니터링 및 검색도 제공합니다.

예를 들어 다음 이미지는 SAP Business Technology Platform을 포함하여 생산성과 비생계 시스템 간에 분할된 다중 SID SAP 환경을 보여줍니다. 이 이미지의 모든 시스템은 SAP 솔루션을 위해 Microsoft Sentinel에 온보딩됩니다.

솔루션 세부 정보

로그 원본

솔루션의 데이터 커넥터는 다양한 SAP 로그 원본을 검색합니다.

• ABAP 보안 감사 로그
• ABAP 변경 문서 로그
• ABAP 스풀 로그
• ABAP 스풀 출력 로그
• ABAP 작업 로그
• ABAP 워크플로 로그
• ABAP DB 테이블 데이터
• SAP 사용자 마스터 데이터
• ABAP CR 로그
• ICM 로그
• JAVA Webdispacher 로그
• syslog

위협 탐지 범위

• 의심스러운 권한 작업 - 권한 있는 사용자 만들기

  • 브레이크 글래스 사용자 사용
  • 동일한 IP에서 사용자 잠금 해제 및 로그인
  • 중요한 역할 및 관리자 권한 할당
  • 사용자가 다른 사용자를 잠금 해제하고 사용함
  • 중요 권한 부여 할당

• SAP 보안 메커니즘 우회 시도 –

  • 감사 로깅 비활성화(HANA 및 SAP)
  • 중요한 함수 모듈 실행
  • 차단된 트랜잭션 잠금 해제
  • 프로덕션 시스템 디버깅
  • RFC를 통해 중요한 테이블 직접 액세스
  • Sanative 함수의 RFC 실행
  • 시스템 구성 변경, 동적 ABAP 프로그램.

• 백도어 만들기(지속성)

  • 새 ICF(인터넷 연결 인터페이스) 만들기
  • 원격 함수 호출을 통해 중요한 테이블에 직접 액세스
  • ICF에 새 서비스 처리기 할당
  • 사용되지 않는 프로그램 실행
  • 사용자가 다른 사용자를 잠금 해제하고 사용함.  

• 데이터 반출

  • 여러 파일 다운로드
  • 스풀 인수
  • 안전하지 않은 FTP 서버에 대한 액세스 허용 및 권한 없는 호스트에서 들어오는 연결
  • 동적 RFC 대상
  • HANA DB - DB 수준의 사용자 관리 작업.  

• 초기 액세스 – 무차별 암호 대입

  • 동일한 IP에서 다중 로그온
  • 예기치 않은 네트워크에서 권한 있는 사용자 로그온
  • SPNego 재생 공격

자격증

SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 SAP® S/4HANA® Cloud, SAP를 사용하는 Private Edition RISE 및 SAP S/4 온-프레미스에 대해 인증되었습니다.

• 통합 시나리오에는 S/4-BC-XAL 1.0/S/4 외부 경고 및 모니터링 1.0(S/4용)이 포함됩니다.
• Microsoft 인증에는 모든 클라우드 및 온-프레미스에서 실행되는 S/4 및 SAP Rise S/4 HANA® Cloud Private Edition이 포함됩니다.
• 전체 고객 자산을 커버할 수 있는 하이브리드 배포를 지원합니다.

SAP 인증 솔루션 디렉터리의 인증을 참조하세요.

상표 특성

SAP S/4HANA 및 SAP는 SAP SE 또는 독일 및 기타 국가/지역의 계열사의 상표 또는 등록 상표입니다. 

다음 단계

SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대해 자세히 알아봅니다.

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포
• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포를 위한 필수 조건
• SAP CR(변경 요청) 배포 및 권한 부여 구성
• 콘텐츠 허브에서 솔루션 콘텐츠 배포
• SAP 데이터 커넥터 에이전트를 호스트하는 컨테이너 배포 및 구성
• SAP 시스템 상태 모니터링
• SNC를 사용하여 SAP용 Microsoft Sentinel 데이터 커넥터 배포
• SAP 감사 사용 및 구성
• SAP HANA 감사 로그 수집
• SAP® BTP용 Microsoft Sentinel 솔루션 배포

문제 해결:

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포 문제 해결

참조 파일:

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 데이터 참조
• SAP® 애플리케이션용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
• Kickstart 스크립트 참조
• 업데이트 스크립트 참조
• Systemconfig.ini 파일 참조