Microsoft Sentinel에 대한 SAP 감사 사용 및 구성

  • 아티클

이 문서에서는 SAP 솔루션에 대한 완전한 표시 유형을 확보할 수 있도록 SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대한 감사를 사용하도록 설정하고 구성하는 방법을 보여 줍니다.

Important

SAP 시스템 관리는 숙련된 SAP 시스템 관리자가 수행하는 것이 좋습니다.

이 문서의 단계는 SAP 시스템의 버전에 따라 다를 수 있으며 샘플로만 고려해야 합니다.

SAP 시스템의 일부 설치에는 기본적으로 감사 로그가 사용하도록 설정되지 않을 수 있습니다. SAP® 애플리케이션용 Microsoft Sentinel 솔루션의 성능과 효율성을 평가할 때 최상의 결과를 가져오려면 SAP 시스템 감사를 사용하도록 설정하고 감사 매개 변수를 구성합니다.

배포 마일스톤

다음과 같은 문서 시리즈를 통해 SAP 솔루션 배포 과정을 추적합니다.

  1. 배포 개요

  2. 배포 사전 요구 사항

  3. 여러 작업 영역에서 솔루션 작업(미리 보기)

  4. SAP 환경 준비

  5. 감사 구성(여기에 있음)

  6. 데이터 커넥터 에이전트 배포

  7. SAP 보안 콘텐츠 배포

  8. SAP® 애플리케이션용 Microsoft Sentinel 솔루션 구성

  9. 선택적 배포 단계

감사가 사용하도록 설정되어 있는지 확인

  1. SAP GUI에 로그인하고, RSAU_CONFIG 트랜잭션을 실행합니다.

    RS A U CONFIG 트랜잭션을 실행하는 방법을 보여 주는 스크린샷

  2. Security Audit Log - Display of Current Configuration(보안 감사 로그 - 현재 구성 표시) 창에서 Configuration(구성) 섹션 내의 Parameter(매개 변수) 섹션을 찾습니다. General Parameters(일반 매개 변수) 아래에서 Static security audit active(정적 보안 감사 활성) 확인란이 선택되어 있는지 확인합니다.

감사 사용

Important

감사 정책은 SAP 관리자 및 보안 부서와 긴밀히 협력하여 결정해야 합니다.

  1. SAP GUI에 로그인하고, RSAU_CONFIG 트랜잭션을 실행합니다.

  2. 보안 감사 로그 화면에서 구성 트리의 보안 감사 로그 구성 섹션에서 매개 변수를 선택합니다.

  3. Static security audit active 확인란이 선택되어 있으면 시스템 수준 감사가 켜집니다. 그렇지 않으면 Display(디스플레이) <-> Change(변경)를 선택하고, Static security audit active 확인란을 선택합니다.

  4. 기본적으로 SAP 시스템은 클라이언트 IP 주소가 아니라 클라이언트 이름(터미널 ID)을 로그합니다. 시스템에서 클라이언트 IP 주소로 로그하도록 하려면 General Parameters 섹션에서 Log peer address not terminal ID(터미널 ID 대신 피어 주소 로그) 확인란을 선택합니다.

  5. Security Audit Log Configuration - Parameter(보안 감사 로그 구성 - 매개 변수) 섹션에서 설정을 변경한 경우 Save(저장)를 선택하여 변경 내용을 저장합니다. 감사는 서버가 다시 부팅된 후에만 활성화됩니다.

    Important

    Windows OS에서 실행되는 SAP 애플리케이션은 설정 후 감사 로그가 올바르게 읽혀지지 않는 경우 SAP Note 2360334의 권장 사항을 고려해야 합니다.

    RS A U CONFIG 매개 변수를 보여 주는 스크린샷

  6. 마우스 오른쪽 단추로 Static Configuration(정적 구성)을 클릭하고, Create Profile(프로필 만들기)을 선택합니다.

    RS A U CONFIG 프로필 만들기 화면을 보여 주는 스크린샷

  7. Profile/Filter Number(프로필/필터 번호) 필드에서 프로필 이름을 지정합니다.

    참고 항목

    Vanilla SAP를 설치하려면 만든 프로필을 마우스 오른쪽 단추로 클릭하고 새 필터를 만드는 추가 단계가 필요합니다.

  8. Filter for recording active(활성 기록에 대한 필터) 확인란을 선택합니다.

  9. Client(클라이언트) 필드에서 *를 입력합니다.

  10. User(사용자) 필드에서 *를 입력합니다.

  11. Event Selection(이벤트 선택) 아래에서 Classic event selection(클래식 이벤트 선택)을 선택하고, 목록에서 모든 이벤트 유형을 선택합니다.

  12. 저장을 선택합니다.

    정적 프로필 설정을 보여 주는 스크린샷

  13. Static Configuration 섹션에 새로 만든 프로필이 표시됩니다. 마우스 오른쪽 단추로 프로필을 클릭하고, Activate(활성화)를 선택합니다.

  14. 확인 창에서 Yes(예)를 선택하여 새로 만든 프로필을 활성화합니다.

    참고 항목

    정적 구성은 시스템을 다시 시작한 후에만 적용됩니다. 즉시 설정하려면 새로 만든 정적 프로필을 마우스 오른쪽 단추로 클릭하고 "동적 구성에 적용"을 선택하여 동일한 속성을 가진 추가 동적 필터를 만듭니다.

다음 단계

이 문서에서는 Microsoft Sentinel에 대한 SAP 감사를 사용하도록 설정하고 구성하는 방법을 알아보았습니다.

데이터 커넥터 에이전트를 호스트하는 컨테이너 배포 및 구성