Delen via

SAP-opnameprofiel selecteren

  • Artikel

In dit artikel wordt uitgelegd hoe u het profiel voor uw SAP-oplossing selecteert. We raden u aan een opnameprofiel te selecteren dat uw beveiligingsdekking maximaliseert terwijl aan uw budgetvereisten wordt voldaan.

Omdat SAP een zakelijke toepassing is en bedrijfsprocessen vaak seizoensgebonden zijn, kan het lastig zijn om het totale volume van logboeken in de loop van de tijd te voorspellen. Om dit probleem op te lossen, raden we u aan om alle logboeken twee weken ingeschakeld te houden en te leren van de waargenomen activiteit. Deze kennis kan later worden herzien tijdens pieken in bedrijfsactiviteiten of tijdens belangrijke landschapstransformaties.

In de volgende secties ziet u typische klantconfiguratieprofielen voor SAP-logboekopname.

Dit profiel bevat volledige dekking voor:

  • Ingebouwde analyse
  • De hoofdgegevenstabellen voor SAP-gebruikersautorisatie, met informatie over gebruikers en bevoegdheden
  • De mogelijkheid om wijzigingen en activiteiten in het SAP-landschap bij te houden. Dit profiel biedt meer informatie over logboekregistratie om onderzoek na inbreuk en uitgebreide opsporingsmogelijkheden mogelijk te maken.

systemconfig.ini-bestand

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

Profiel gericht op detectie

Dit profiel bevat de belangrijkste beveiligingslogboeken van het SAP-landschap die nodig zijn om de meeste analyseregels goed te laten presteren. Onderzoek na inbreuk en opsporingsmogelijkheden zijn beperkt.

systemconfig.ini-bestand

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False

Minimaal profiel

Het SAP-beveiligingscontrolelogboek is de belangrijkste bron van gegevens die de Microsoft Sentinel-oplossing voor SAP-toepassingen® gebruikt om activiteiten in het SAP-landschap te analyseren. Het inschakelen van dit logboek is de minimale vereiste om eventuele beveiligingsdekking te bieden.

systemconfig.ini-bestand

[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False

Volgende stappen

Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen®:

Problemen oplossen:

Referentiebestanden:

Zie Microsoft Sentinel-oplossingen voor meer informatie.