SAP 수집 프로필 선택
이 문서에서는 SAP 솔루션에 대한 프로필을 선택하는 방법을 설명합니다. 예산 요구 사항을 충족하면서 보안 범위를 최대화하는 수집 프로필을 선택하는 것이 좋습니다.
SAP는 비즈니스 애플리케이션이며 비즈니스 프로세스는 계절에 따라 달라지는 경향이 있으므로 시간 경과에 따른 전체 로그 볼륨을 예측하기 어려울 수 있습니다. 이 문제를 해결하려면 모든 로그를 2주 동안 유지하고 관찰된 활동에서 학습하는 것이 좋습니다. 이 학습은 나중에 비즈니스 활동이 정점에 이르거나 주요 환경 변화가 일어나는 동안 수정할 수 있습니다.
다음 섹션에서는 SAP 로그 수집에 대한 일반적인 고객 구성 프로필을 보여 줍니다.
기본 프로필(권장)
이 프로필에는 다음에 대한 전체 적용 범위가 포함됩니다.
- 기본 제공 분석
- 사용자 및 권한 정보가 포함된 SAP 사용자 권한 부여 마스터 데이터 테이블
- SAP 환경에서 변경 내용 및 활동을 추적하는 기능입니다. 이 프로필은 위반 후 조사 및 확장된 헌팅 기능을 허용하는 추가 로깅 정보를 제공합니다.
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
검색 중심 프로필
이 프로필에는 대부분의 분석 규칙이 잘 수행되는 데 필요한 SAP 환경의 핵심 보안 로그가 포함됩니다. 위반 후 조사 및 헌팅 기능은 제한됩니다.
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
최소 프로필
SAP 보안 감사 로그는 SAP® 애플리케이션용 Microsoft Sentinel 솔루션이 SAP 환경에서 활동을 분석하는 데 사용하는 가장 중요한 데이터 원본입니다. 이 로그를 사용하도록 설정하는 것은 보안 범위를 제공하기 위한 최소한의 요구 사항입니다.
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False
다음 단계
SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대해 자세히 알아봅니다.
- SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포
- SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포를 위한 필수 조건
- SAP CR(변경 요청) 배포 및 권한 부여 구성
- 콘텐츠 허브에서 솔루션 콘텐츠 배포
- SAP 데이터 커넥터 에이전트를 호스트하는 컨테이너 배포 및 구성
- SNC를 사용하여 SAP용 Microsoft Sentinel 데이터 커넥터 배포
- SAP 감사 사용 및 구성
- SAP 시스템 상태 모니터링
- SAP HANA 감사 로그 수집
문제 해결:
참조 파일:
- SAP® 애플리케이션용 Microsoft Sentinel 솔루션 데이터 참조
- SAP® 애플리케이션용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
- 업데이트 스크립트 참조
- Systemconfig.ini 파일 참조
자세한 내용은 Microsoft Sentinel 솔루션을 참조하세요.