SAP 수집 프로필 선택

이 문서에서는 SAP 솔루션의 프로필을 선택하는 방법을 설명합니다. 예산 요구 사항을 충족하는 동안 보안 범위를 최대화하는 수집 프로필을 선택하는 것이 좋습니다.

SAP는 비즈니스 애플리케이션이며 비즈니스 프로세스는 계절적이기 때문에 시간이 지남에 따라 전체 로그 볼륨을 예측하기 어려울 수 있습니다. 이 문제를 해결하려면 모든 로그를 2주 동안 유지하고 관찰된 활동에서 학습하는 것이 좋습니다. 이 학습은 나중에 비즈니스 활동 피크 또는 주요 가로 변환 중에 수정할 수 있습니다.

다음 섹션에서는 SAP 로그 수집에 대한 일반적인 고객 구성 프로필을 보여 줍니다.

기본 프로필(권장)

이 프로필에는 다음에 대한 전체 적용 범위가 포함됩니다.

• 기본 제공 분석
• 사용자 및 권한 정보가 포함된 SAP 사용자 권한 부여 마스터 데이터 테이블
• SAP 환경에서 변경 내용 및 활동을 추적하는 기능입니다. 이 프로필은 위반 후 조사 및 확장된 헌팅 기능을 허용하는 더 많은 로깅 정보를 제공합니다.

systemconfig.ini 파일

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

검색 중심 프로필

이 프로필에는 대부분의 분석 규칙이 잘 수행되는 데 필요한 SAP 환경의 핵심 보안 로그가 포함되어 있습니다. 위반 후 조사 및 헌팅 기능은 제한됩니다.

systemconfig.ini file

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

최소 프로필

SAP 보안 감사 로그는 SAP 애플리케이션용 Microsoft Sentinel 솔루션이 SAP® 환경에서 활동을 분석하는 데 사용하는 데이터의 가장 중요한 원본입니다. 이 로그를 사용하도록 설정하는 것은 보안 범위를 제공하기 위한 최소한의 요구 사항입니다.

systemconfig.ini file

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False

다음 단계

SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대해 자세히 알아봅니다.

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포
• SAP® 애플리케이션용 Microsoft Sentinel 솔루션을 배포하기 위한 필수 구성 요소
• SAP CR(변경 요청) 배포 및 권한 부여 구성
• SAP 데이터 커넥터 에이전트를 호스트하는 컨테이너 배포 및 구성
• SAP 보안 콘텐츠 배포
• SNC를 사용하여 SAP용 Microsoft Sentinel 데이터 커넥터 배포
• SAP 감사 사용 및 구성
• SAP HANA 감사 로그 수집

문제 해결:

• SAP® 애플리케이션 솔루션 배포를 위한 Microsoft Sentinel 솔루션 문제 해결
• SAP 전송 관리 시스템 구성

참조 파일:

• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 데이터 참조
• SAP® 애플리케이션용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
• 업데이트 스크립트 참조
• systemconfig.ini 파일 참조

자세한 내용은 Microsoft Sentinel 솔루션을 참조하세요.