SAP® 애플리케이션용 Microsoft Sentinel 솔루션 구성

  • 아티클

참고 항목

Azure Sentinel은 이제 Microsoft Sentinel이라고 하며 앞으로 몇 주 안에 이 페이지를 업데이트할 예정입니다. 최근 Microsoft 보안 개선 사항에 대해 자세히 알아봅니다.

이 문서에서는 SAP® 애플리케이션용 Microsoft Sentinel 솔루션 구성에 대한 모범 사례를 제공합니다. 전체 배포 프로세스는 배포 마일스톤에 링크된 전체 문서에 자세히 설명되어 있습니다.

Important

SAP® 애플리케이션용 Microsoft Sentinel 솔루션의 일부 구성 요소는 현재 미리 보기에 있습니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

Microsoft Sentinel에서 데이터 수집기 에이전트 및 솔루션을 배포하면 SAP 시스템에서 의심스러운 활동을 모니터링하고 위협을 식별할 수 있습니다. 그러나 최상의 결과를 위해 솔루션 운영에 대한 모범 사례에서는 SAP 배포에 매우 의존하는 몇 가지 추가 구성 단계를 수행할 것을 권장합니다.

배포 마일스톤

다음과 같은 문서 시리즈를 통해 SAP 솔루션 배포 과정을 추적합니다.

  1. 배포 개요

  2. 배포 사전 요구 사항

  3. 여러 작업 영역에서 솔루션 작업(미리 보기)

  4. SAP 환경 준비

  5. 감사 구성

  6. 콘텐츠 허브에서 SAP 애플리케이션®용 Microsoft Sentinel 솔루션 배포

  7. 데이터 커넥터 에이전트 배포

  8. SAP® 애플리케이션용 Microsoft Sentinel 솔루션 구성(현재 위치)

  9. 선택적 배포 단계

관심 목록 구성

SAP® 애플리케이션용 Microsoft Sentinel 솔루션 구성은 프로비전된 관심 목록에 고객별 정보를 제공하는 방식으로 수행됩니다.

참고 항목

초기 솔루션 배포 후 관심 목록이 데이터로 채워질 때까지 다소 시간이 걸릴 수 있습니다. 관심 목록을 편집하고 비어 있는 경우 몇 분 정도 기다렸다가 편집을 위해 관심 목록을 다시 여세요.

SAP - 시스템 관심 목록

SAP - 시스템 관심 목록은 모니터링되는 환경에 있는 SAP 시스템을 정의합니다. 프로덕션 시스템이든 개발/테스트 환경이든 모든 시스템에 대해 SID와 설명을 지정합니다. 이 정보는 개발 또는 프로덕션 시스템에 관련 이벤트가 표시되는 경우 다르게 반응할 수 있는 일부 분석 규칙에서 사용됩니다.

SAP - 네트워크 관심 목록

SAP - 네트워크 관심 목록은 조직에서 사용하는 모든 네트워크를 간략하게 설명합니다. 사용자 로그온 원본이 예기치 않게 변경되는 경우에도 사용자 로그온이 네트워크의 알려진 세그먼트 내에서 시작되는지 여부를 식별하는 데 주로 사용됩니다.

네트워크 토폴로지 문서화를 위한 여러 가지 방법이 있습니다. 172.16.0.0/16과 같은 광범위한 주소를 정의하고 이름을 "회사 네트워크"로 지정하면 해당 범위 외부에서 수행되는 로그온을 추적하기에 충분합니다. 그러나 좀 더 세분화된 접근 방식을 사용하면 잠재적으로 비정상적인 활동에 대한 가시성을 높일 수 있습니다.

예를 들어 다음 두 세그먼트와 해당 지리적 위치를 정의합니다.

세그먼트 위치
192.168.10.0/23 서유럽
10.15.0.0/16 오스트레일리아

이제 Microsoft Sentinel은 192.168.10.15(첫 번째 세그먼트)의 로그온을 10.15.2.1(두 번째 세그먼트)의 로그온과 구분하고 이러한 동작이 비정상적인 것으로 식별되면 경고할 수 있습니다.

중요한 데이터 관심 목록

  • SAP - 중요한 함수 모듈
  • SAP - 중요한 표
  • SAP - 중요한 ABAP 프로그램
  • SAP - 중요한 트랜잭션

이러한 모든 관심 목록은 사용자가 수행하거나 액세스할 수 있는 중요한 작업 또는 데이터를 식별합니다. 잘 알려진 몇 가지 작업, 테이블 및 권한 부여는 관심 목록에 미리 구성되어 있지만 SAP BASIS 팀과 상의하여 SAP 환경에서 중요한 것으로 간주되는 작업, 트랜잭션, 권한 부여 및 테이블을 식별하는 것이 좋습니다.

사용자 마스터 데이터 관심 목록

  • SAP - 중요한 프로필
  • SAP - 중요한 역할
  • SAP - 권한 있는 사용자
  • SAP - 중요 권한 부여

SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 SAP 시스템에서 수집된 사용자 마스터 데이터를 사용하여 중요한 것으로 간주되는 사용자, 프로필 및 역할을 식별합니다. 일부 샘플 데이터는 관심 목록에 포함되어 있지만 SAP BASIS 팀과 상의하여 중요한 사용자, 역할 및 프로필을 식별하고 그에 따라 관심 목록을 채우는 것이 좋습니다.

분석 규칙 사용 시작

기본적으로 SAP® 애플리케이션용 Microsoft Sentinel 솔루션에서 제공되는 모든 분석 규칙은 경고 규칙 템플릿으로 제공됩니다. 각 시나리오를 미세 조정할 시간을 허용하여 템플릿에서 한 번에 몇 가지 규칙을 만드는 단계적 접근 방식을 사용하는 것이 좋습니다. 다음 규칙을 구현하기 가장 쉬운 것으로 간주하므로 이러한 규칙부터 시작하는 것이 좋습니다.

  1. 중요한 권한이 있는 사용자 변경
  2. 클라이언트 구성 변경
  3. 중요한 권한이 있는 사용자 로그온
  4. 중요한 권한이 있는 사용자가 다른 사용자 변경
  5. 중요한 권한이 있는 사용자 암호 변경 및 로그인
  6. 함수 모듈이 테스트됨

특정 SAP 로그 수집 사용 또는 사용 안 함

특정 로그 수집을 사용하도록 설정하거나 사용하지 않도록 설정하려면:

  1. 커넥터의 VM에서 /opt/sapcon/SID/ 아래에 있는 systemconfig.json 파일을 편집합니다.
  2. 구성 파일 내에서 관련 로그를 찾아 다음 중 하나를 수행합니다.
    • 로그를 사용하도록 설정하려면 값을 True로 변경합니다.
    • 로그를 사용하지 않도록 설정하려면 값을 False로 변경합니다.

예를 들어, ABAPJobLog에 대한 수집을 중지하려면 해당 값을 False로 변경합니다.

"abapjoblog": "True",

Systemconfig.json 파일 참조에서 사용 가능한 로그 목록을 검토합니다.

사용자 마스터 데이터 테이블 수집을 중지할 수도 있습니다.

참고 항목

로그 또는 테이블 중 하나를 중지하면 해당 로그를 사용하는 통합 문서 및 분석 쿼리가 작동하지 않을 수 있습니다. 각 통합 문서에서 사용하는 로그를 이해하고각 분석 규칙에서 사용하는 로그를 이해합니다.

로그 수집 중지 및 커넥터 사용 안 함

Microsoft Sentinel 작업 영역으로의 SAP 로그 수집을 중지하고 Docker 컨테이너에서 데이터 스트림을 중지하려면 다음 명령을 실행합니다.

docker stop sapcon-[SID/agent-name]

다중 SID 컨테이너에 대한 특정 SID 수집을 중지하려면 Sentinel의 커넥터 페이지 UI에서 SID를 삭제해야 합니다. Docker 컨테이너는 중지되고 더 이상 SAP 로그를 Microsoft Sentinel 작업 영역으로 보내지 않습니다. 이렇게 하면 커넥터와 관련된 SAP 시스템에 대한 수집 및 청구가 모두 중지됩니다.

Docker 컨테이너를 다시 사용하도록 설정해야 하는 경우 다음 명령을 실행합니다.

docker start sapcon-[SID]

ABAP 시스템에 설치된 사용자 역할 및 선택적 CR 제거

시스템에 가져온 사용자 역할 및 선택적 CR을 제거하려면 삭제 CR NPLK900259를 ABAP 시스템으로 가져옵니다.

다음 단계

SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대해 자세히 알아봅니다.

문제 해결:

참조 파일:

자세한 내용은 Microsoft Sentinel 솔루션을 참조하세요.