SAP-detecties en bedreigingsbeveiliging inschakelen
Tijdens het implementeren van de Microsoft Sentinel-gegevensverzamelaaragent en -oplossing voor SAP-toepassingen hebt u de mogelijkheid om SAP-systemen te bewaken voor verdachte activiteiten en bedreigingen te identificeren, zijn er extra configuratiestappen vereist om ervoor te zorgen dat de oplossing is geoptimaliseerd voor uw SAP-implementatie. Dit artikel bevat aanbevolen procedures voor het aan de slag gaan met de beveiligingsinhoud die wordt geleverd met de Microsoft Sentinel-oplossing voor SAP-toepassingen en is de laatste stap bij het implementeren van de SAP-integratie.
Inhoud in dit artikel is relevant voor uw beveiligingsteam .
Belangrijk
Sommige onderdelen van de Microsoft Sentinel-oplossing voor SAP-toepassingen bevinden zich momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Vereisten
Voordat u de instellingen configureert die in dit artikel worden beschreven, moet uw gegevensconnectoragent en oplossingsinhoud zijn geïnstalleerd.
Zie De Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen vanuit de inhoudshub en Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen voor meer informatie.
Analyseregels inschakelen
Standaard worden alle analyseregels in de Microsoft Sentinel-oplossing voor SAP-toepassingen geleverd als waarschuwingsregelsjablonen. We raden u aan een gefaseerde benadering te gebruiken, waarbij u de sjablonen gebruikt om een paar regels tegelijk te maken, zodat u elk scenario kunt verfijnen.
We raden u aan om te beginnen met de volgende analyseregels, die als eenvoudiger te testen worden beschouwd:
- Wijzigen in gevoelige bevoegde gebruiker
- Gevoelige bevoegde gebruiker aangemeld
- Gevoelige bevoegde gebruiker brengt een wijziging aan in een andere gebruiker
- Wachtwoordwijziging en aanmelding voor gevoelige gebruikers
- Wijziging van clientconfiguratie
- Functiemodule getest
Zie ingebouwde analyseregels en detectie van bedreigingen in Microsoft Sentinel voor meer informatie.
Volglijsten configureren
Configureer uw Microsoft Sentinel-oplossing voor SAP-toepassingen door klantspecifieke informatie op te geven in de volgende volglijsten:
| Naam van volglijst | Configuratiedetails |
|---|---|
| SAP - Systemen | De watchlist sap- systemen definieert de SAP-systemen die aanwezig zijn in de bewaakte omgeving. Geef voor elk systeem het volgende op: - De SID - Of het nu gaat om een productiesysteem of een ontwikkel-/testomgeving. Het definiëren hiervan in uw volglijst heeft geen invloed op facturering en heeft alleen invloed op uw analyseregel. U kunt bijvoorbeeld een testsysteem gebruiken als een productiesysteem tijdens het testen. - Een zinvolle beschrijving Geconfigureerde gegevens worden gebruikt door sommige analyseregels, die anders kunnen reageren als relevante gebeurtenissen worden weergegeven in een ontwikkel- of productiesysteem. |
| SAP - Netwerken | In de volglijst SAP - Networks worden alle netwerken beschreven die door de organisatie worden gebruikt. Het wordt voornamelijk gebruikt om te bepalen of aanmeldingen van gebruikers afkomstig zijn uit bekende segmenten van het netwerk of dat de aanmeldingsoorzaak van een gebruiker onverwacht verandert. Er zijn veel benaderingen voor het documenteren van netwerktopologie. U kunt een breed scala aan adressen definiëren, zoals 172.16.0.0/16, en het bedrijfsnetwerk een naam geven, wat goed genoeg is voor het bijhouden van aanmeldingen buiten dat bereik. Met een meer gesegmenteerde benadering kunt u echter beter inzicht krijgen in mogelijk atypische activiteiten. U kunt bijvoorbeeld de volgende segmenten en geografische locaties definiëren: - 192.168.10.0/23: West-Europa - 10.15.0.0/16: Australië In dergelijke gevallen kan Microsoft Sentinel een aanmelding onderscheiden van 192.168.10.15 in het eerste segment van een aanmelding van 10.15.2.1 in het tweede segment. Microsoft Sentinel waarschuwt u als dergelijk gedrag wordt geïdentificeerd als atypisch. |
| SAP - Gevoelige functiemodules SAP - Gevoelige tabellen SAP - Gevoelige ABAP-programma's SAP - Gevoelige transacties |
Volglijsten voor gevoelige inhoud identificeren gevoelige acties of gegevens die kunnen worden uitgevoerd of geopend door gebruikers. Hoewel verschillende bekende bewerkingen, tabellen en autorisaties vooraf zijn geconfigureerd in de volglijsten, raden we u aan om uw SAP BASIS-team te raadplegen om de bewerkingen, transacties, autorisaties en tabellen te identificeren die gevoelig zijn in uw SAP-omgeving en de lijsten indien nodig bij te werken. |
| SAP - Gevoelige profielen SAP - Gevoelige rollen SAP - Bevoegde gebruikers SAP - Kritieke autorisaties |
De Microsoft Sentinel-oplossing voor SAP-toepassingen maakt gebruik van gebruikersgegevens die zijn verzameld in volglijsten voor gebruikersgegevens van SAP-systemen om te bepalen welke gebruikers, profielen en rollen als gevoelig moeten worden beschouwd. Hoewel voorbeeldgegevens standaard zijn opgenomen in de volglijsten, raden we u aan contact op te nemen met uw SAP BASIS-team om de gevoelige gebruikers, rollen en profielen in uw organisatie te identificeren en de lijsten indien nodig bij te werken. |
Na de eerste implementatie van de oplossing kan het enige tijd duren voordat de volglijsten zijn gevuld met gegevens. Als u een volglijst opent om te bewerken en merkt dat deze leeg is, wacht u enkele minuten en probeert u het opnieuw.
Zie Beschikbare volglijsten voor meer informatie.
Een werkmap gebruiken om de naleving van uw SAP-beveiligingscontroles te controleren
De Microsoft Sentinel-oplossing voor SAP-toepassingen bevat de werkmap SAP - Beveiligingscontrolecontroles , waarmee u de naleving van uw SAP-beveiligingscontroles kunt controleren. De werkmap biedt een uitgebreid overzicht van de beveiligingscontroles die aanwezig zijn en de nalevingsstatus van elk besturingselement.
Zie Naleving controleren voor uw SAP-beveiligingsbesturingselementen met de werkmap SAP - Beveiligingscontrolebesturingselementen (preview) voor meer informatie.
Volgende stap
Er is veel meer inhoud om te ontdekken voor SAP met Microsoft Sentinel, waaronder functies, playbooks, werkmappen en meer. In dit artikel vindt u enkele nuttige uitgangspunten en u moet andere inhoud blijven implementeren om optimaal gebruik te maken van uw SAP-beveiligingsbewaking.
Zie voor meer informatie:
- Microsoft Sentinel-oplossing voor SAP-toepassingen - naslaginformatie over functies
- Microsoft Sentinel-oplossing voor SAP-toepassingen: naslaginformatie over beveiligingsinhoud.
Gerelateerde inhoud
Zie voor meer informatie: