Habilitar e configurar a auditoria do SAP para o Microsoft Sentinel

Este artigo mostra como habilitar e configurar a auditoria na solução Microsoft Sentinel para SAP, para que você possa ter visibilidade completa da sua solução do SAP.

Importante

É altamente recomendável que qualquer gerenciamento do sistema SAP seja realizado por um administrador experiente do sistema SAP.

As etapas deste artigo podem variar, dependendo da versão do sistema SAP, e devem ser consideradas apenas como uma amostra.

Algumas instalações de sistemas SAP podem não ter o log de auditoria habilitado por padrão. Para obter melhores resultados na avaliação do desempenho e da eficácia da solução Microsoft Sentinel para SAP, habilite a auditoria do seu sistema SAP e configure os parâmetros de auditoria.

Verificar se a auditoria está habilitada

  1. Entre na GUI do SAP e execute a transação RSAU_CONFIG.

    Captura de tela mostrando como executar a transação RSAU CONFIG.

  2. Na janela Log de Auditoria de Segurança – Exibição Configuração Atual, localize a seção Parâmetro na seção Configuração. Em Parâmetros Gerais, veja se a caixa de seleção Auditoria de segurança estática ativa está marcada.

Habilitar a auditoria

Importante

Sua política de auditoria deve ser determinada em estreita colaboração com os administradores do SAP e seu departamento de segurança.

  1. Entre na GUI do SAP e execute a transação RSAU_CONFIG.

  2. Na tela Log de Auditoria de Segurança, selecione Parâmetro na seção Configuração do Log de Auditoria de Segurança na árvore de Configuração.

  3. Se a caixa de seleção Auditoria de segurança estática ativa estiver marcada, a auditoria no nível do sistema estará ativada. Se não estiver, selecione Exibir <-> Alterar e marque a caixa de seleção Auditoria de segurança estática ativa.

  4. Por padrão, o sistema SAP registra o nome do cliente (ID do terminal) em vez do endereço IP do cliente. Se você quiser que o sistema registre por endereço IP do cliente, marque a caixa de seleção Registrar endereço do par e não a ID do terminal na seção Parâmetros Gerais.

  5. Se você alterou as configurações na seção Configuração do Log de Auditoria de Segurança – Parâmetro, selecione Salvar para salvar as alterações. A auditoria será ativada somente depois que o servidor for reinicializado.

    Captura de tela mostrando os parâmetros do RSAU CONFIG.

  6. Clique com o botão direito do mouse em Configuração Estática e selecione Criar Perfil.

    Captura de tela mostrando a tela Criar perfil do RSAU CONFIG.

  7. Especifique um nome para o perfil no campo Perfil/Número de Filtro.

  8. Marque a caixa de seleção Filtro para gravação ativo.

  9. No campo Cliente, insira *.

  10. No campo Usuário, insira *.

  11. Em Seleção de Eventos, escolha a Seleção de eventos clássica e selecione todos os tipos de evento na lista.

    Como alternativa, escolha Detalhar seleção de eventos, examine a lista de IDs de mensagem listadas na seção Categorias de auditoria recomendadas deste artigo e configure-as em Detalhar seleção de eventos.

  12. Clique em Salvar.

    Captura de tela mostrando as configurações do perfil estáticas.

  13. Você verá que a seção Configuração Estática exibe o perfil recém-criado. Clique com o botão direito do mouse no perfil e selecione Ativar.

  14. Na janela de confirmação, selecione Sim para ativar o perfil recém-criado.

A tabela a seguir lista as IDs de mensagem usadas pela solução Microsoft Sentinel para SAP. Para que as regras de análise detectem eventos corretamente, é altamente recomendável configurar uma política de auditoria que inclua, no mínimo, as IDs das mensagens listadas abaixo.

ID da mensagem Texto da mensagem Nome da categoria Ponderação de eventos Classe usada em regras
AU1 Logon bem-sucedido (type=&A, method=&C) Logon Severo Usado
AU2 Falha no logon (reason=&B, type=&A, method=&C) Logon Crítico Usado
AU3 Transação &A iniciada. Início da Transação Não Crítico Usado
AU5 Logon RFC/CPIC bem-sucedido (type=&A, method=&C) Logon RFC Não Crítico Usado
AU6 Falha no logon RFC/CPIC, reason=&B, type=&A, method=&C Logon RFC Crítico Usado
AU7 Usuário &A criado. Alteração do registro mestre do usuário Crítico Usado
AU8 Usuário &A excluído. Alteração do registro mestre do usuário Severo Usado
AU9 Usuário &A bloqueado. Alteração do registro mestre do usuário Severo Usado
AUA Usuário &A desbloqueado. Alteração do registro mestre do usuário Severo Usado
AUB As autorizações para o usuário &A foram alteradas. Alteração do registro mestre do usuário Severo Usado
AUD Registro mestre do usuário &A alterado. Alteração do registro mestre do usuário Severo Usado
AUE Configuração de auditoria alterada Sistema Crítico Usado
AUF Auditoria: Slot &A: Classe &B, Severidade &C, Usuário &D, Cliente &E, &F Sistema Crítico Usado
AUI Auditoria: Slot &A Inativo Sistema Crítico Usado
AUJ Auditoria: status ativo definido como &1 Sistema Crítico com o Alerta do Monitor Usado
AUK Chamada de RFC &C bem-sucedida (grupo de funções = &A) Início do RFC Não Crítico Usado
AUM Usuário &B bloqueado no cliente &A após erros em verificações de senha Logon Crítico com o Alerta do Monitor Usado
AUO Falha no logon (motivo = &B, tipo = &A) Logon Severo Usado
AUP Transação &A bloqueada Início da Transação Severo Usado
AUQ Transação &A desbloqueada Início da Transação Severo Usado
AUR &Um &B criado Alteração do registro mestre do usuário Severo Usado
AUT &Um &B alterado Alteração do registro mestre do usuário Severo Usado
AUW Relatório &A iniciado Início do relatório Não Crítico Usado
AUY Baixar &A bytes para o arquivo &C Outro Severo Usado
BU1 Falha na verificação de senha do usuário &B no cliente &A Outro Crítico com o Alerta do Monitor Usado
BU2 Senha alterada para o usuário &B no cliente &A Alteração do registro mestre do usuário Não Crítico Usado
BU4 Código ABAP dinâmico: evento &A, tipo de evento &B, verificar o total de &C Outro Não Crítico Usado
BUG O Gerenciamento de sessão de segurança HTTP foi desativado no cliente &A. Outro Crítico com o Alerta do Monitor Usado
BUI Ataque de reprodução SPNego detectado (UPN=&A) Logon Crítico Usado
BUV Valor de hash &A inválido. O contexto contém &B. Alteração do registro mestre do usuário Crítico Usado
BUW Um token de atualização emitido para o cliente &A foi usado pelo cliente &B. Alteração do registro mestre do usuário Crítico Usado
CUK Depuração C ativada Outro Crítico Usado
CUL Conteúdo do campo no depurador alterado pelo usuário &A: &B (&C) Outro Crítico Usado
CUM Salto para o depurador do ABAP pelo usuário &A: &B (&C) Outro Crítico Usado
CUN Um processo foi interrompido do depurador pelo usuário &A (&C) Outro Crítico Usado
CUO Operação explícita de banco de dados no depurador pelo usuário &A: &B (&C) Outro Crítico Usado
CUP Sessão de depuração não exclusiva iniciada pelo usuário &A (&C) Outro Crítico Usado
CUS O nome do arquivo lógico &B não é um alias válido para o nome de arquivo lógico &A Outro Severo Usado
CUZ Acesso genérico à tabela pelo RFC para &A com a atividade &B Início do RFC Crítico Usado
DU1 A lista de permitidos do servidor FTP está vazia Início do RFC Severo Usado
DU2 A lista de permitidos do servidor FTP não é segura devido ao uso de espaços reservados Início do RFC Severo Usado
DU8 Solicitação de conexão FTP para o servidor &A com êxito Início do RFC Não Crítico Usado
DU9 Chamada de acesso de tabela genérica para &A com a atividade &B (verificação de autenticação: &C) Início da Transação Não Crítico Usado
DUH OAuth 2.0: token declarado inválido (OAuth client=&A, user=&B, token type=&C) Alteração do registro mestre do usuário Grave com o Alerta do Monitor Usado
EU1 Opções de alteração do sistema alteradas (&A para &B) Sistema Crítico Usado
EU2 Configurações do cliente &A alteradas (&B) Sistema Crítico Usado
EUF Não foi possível chamar o módulo de função do RFC &A Início do RFC Não Crítico Usado
FU0 Mídia exclusiva do log de auditoria de segurança alterada (novo status &A) Sistema Crítico Usado
FU1 A função &B do RFC com destino dinâmico &C foi chamada no programa &A Início do RFC Não Crítico Usado

Próximas etapas

Saiba mais sobre a Solução Microsoft Sentinel para SAP:

Solucionar problemas:

Arquivos de referência:

Para obter mais informações, confira Soluções do Microsoft Sentinel.