Configurar os aplicativos da Solução do Microsoft Sentinel para SAP®

  • Artigo

Observação

O Azure Sentinel agora é chamado de Microsoft Sentinel, e atualizaremos essas páginas nas próximas semanas. Saiba mais sobre os recentes aprimoramentos de segurança da Microsoft.

Este artigo fornece as melhores práticas para configurar os aplicativos da Solução do Microsoft Sentinel para SAP®. O processo completo de implantação é detalhado em um conjunto inteiro de artigos associados em Marcos de implantação.

Importante

Alguns componentes dos aplicativos da Solução do Microsoft Sentinel para SAP® estão atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

A implantação da solução e do agente de coletor de dados no Microsoft Sentinel oferece a capacidade de monitorar sistemas SAP quanto a atividades suspeitas e identificar ameaças. No entanto, para obter resultados superiores, as melhores práticas para operar a solução recomendam enfaticamente executar várias etapas de configuração adicionais, que dependem muito da implantação do SAP.

Marcos de implantação

Acompanhe o percurso de implantação da solução do SAP por esta série de artigos:

  1. Visão geral da implantação

  2. Pré-requisitos de implantação

  3. Trabalhar com a solução em vários workspaces (VERSÃO PRÉVIA)

  4. Preparar o ambiente SAP

  5. Configurar a auditoria

  6. Implantar a solução do Microsoft Sentinel para aplicativos SAP® do hub de conteúdo

  7. Implantar o agente do conector de dados

  8. Configurar os aplicativos da Solução do Microsoft Sentinel para SAP® (Você está aqui)

  9. Etapas de implantação opcionais

Configurar watchlists

A configuração dos aplicativos da Solução do Microsoft Sentinel para SAP® é realizada fornecendo informações específicas do cliente nas watchlists provisionadas.

Observação

Após a implantação inicial da solução, pode demorar um pouco até que as watchlists sejam preenchidas com os dados. Se você editar uma watchlist e constatar que ela está vazia, aguarde alguns minutos e abra a watchlist novamente para edição.

SAP – Watchlist de sistemas

SAP – A watchlist de sistemas define quais Sistemas SAP estão presentes no ambiente monitorado. Para cada sistema, especifique o SID, seja um sistema de produção ou um ambiente de desenvolvimento/teste, bem como uma descrição. Essas informações são usadas por algumas regras de análise, que podem reagir de forma diferente caso ocorram eventos relevantes em um sistema de Desenvolvimento ou Produção.

SAP novamente Watchlist de redes

SAP – A watchlist de redes descreve todas as redes usadas pela organização. Ela é usada principalmente para identificar se os logons de usuário são provenientes de segmentos conhecidos da rede, bem como se a origem do logon de usuário muda inesperadamente.

Há várias abordagens para documentar a topologia de rede. Você pode definir uma ampla gama de endereços, como 172.16.0.0/16, e nomeá-la como "Rede Corporativa", o que será ideal para rastrear logons de fora desse intervalo. No entanto, uma abordagem mais segmentada permite melhor visibilidade da atividade possivelmente atípica.

Por exemplo: defina os dois segmentos a seguir e as respectivas localizações geográficas:

Segment Localização
192.168.10.0/23 Europa Ocidental
10.15.0.0/16 Austrália

Agora, o Microsoft Sentinel poderá diferenciar um logon em 192.168.10.15 (no primeiro segmento) de um logon em 10.15.2.1 (no segundo segmento) e alertar você caso esse comportamento seja identificado como atípico.

Watchlists de dados confidenciais

  • SAP – Módulos de Função Confidencial
  • SAP – Tabelas confidenciais
  • SAP – Programas ABAP confidenciais
  • SAP – Transações confidenciais

Todas essas watchlists identificam ações ou dados confidenciais que podem ser levados ou acessados pelos usuários. Várias operações, tabelas e autorizações bem conhecidas foram pré-configuradas nas watchlists. No entanto, é recomendável que você consulte a equipe do SAP BASIS para identificar quais operações, transações, autorizações e tabelas são consideradas confidenciais no ambiente SAP.

Watchlists de dados mestres do usuário

  • SAP – Perfis Confidenciais
  • SAP – Funções confidenciais
  • SAP - Usuários privilegiados
  • SAP – Autorizações Críticas

Os aplicativos da Solução do Microsoft Sentinel para SAP® usa os dados mestre do usuário coletados de sistemas SAP para identificar quais usuários, perfis e funções devem ser considerados confidenciais. Alguns dados de exemplo estão incluídos nas watchlists, embora seja recomendável consultar a equipe do SAP BASIS para identificar usuários, funções e perfis confidenciais, bem como para preencher as watchlists adequadamente.

Comece a habilitar as regras de análise

Por padrão, todas as regras de análise fornecidas nos aplicativos da Solução do Microsoft Sentinel para SAP® são fornecidas como modelos de regra de alerta. Recomendamos uma abordagem em fases, em que algumas regras são criadas de um modelo por vez, sobrando tempo para ajustes em cada cenário. Consideramos que as seguintes regras são mais fáceis de implementar, portanto, é melhor começar com elas:

  1. Alteração no Usuário com Privilégios Confidenciais
  2. Alteração de configuração do cliente
  3. Logon de usuário com privilégios confidenciais
  4. O usuário com privilégios confidenciais faz uma alteração em outro
  5. Alteração de senha e logon de usuário com privilégios confidenciais
  6. Teste do módulo de função

Habilitar ou desabilitar a ingestão de logs de SAP específicos

Para habilitar ou desabilitar a ingestão de um log específico:

  1. Edite o arquivo systemconfig.json localizado em /opt/sapcon/SID/ na VM do conector.
  2. No arquivo de configuração, localize o log relevante e siga um destes procedimentos:
    • Para habilitar o log, altere o valor para True.
    • Para desabilitar o log, altere o valor para False.

Por exemplo, para interromper a ingestão do ABAPJobLog, altere seu valor para False:

"abapjoblog": "True",

Examine a lista de logs disponíveis na referência do arquivo Systemconfig.json.

Você também pode interromper a ingestão de tabelas de dados mestre do usuário.

Observação

Após você interromper um dos logs ou tabelas, as pastas de trabalho e as consultas de análise que usam esse log poderão deixar de funcionar. Saiba qual log cada pasta de trabalho usa e saiba qual log cada regra analítica usa.

Interromper a ingestão de log e desabilitar o conector

Para interromper a ingestão de logs do SAP no espaço de trabalho do Microsoft Sentinel e interromper o fluxo de dados do contêiner do Docker, execute este comando:

docker stop sapcon-[SID/agent-name]

Para parar de ingerir um SID específico para um contêiner de vários SID, exclua o SID da interface do usuário da página do conector no Sentinel O contêiner do Docker é interrompido e não envia mais logs do SAP para o workspace do Microsoft Sentinel. Isso interrompe tanto a ingestão quanto a cobrança para o sistema SAP relacionado ao conector.

Se precisar reabilitar o contêiner do Docker, execute este comando:

docker start sapcon-[SID]

Remover a função de usuário e a CR opcional instalada em seu sistema ABAP

Para remover a função de usuário e a CR opcional importada para o sistema, importe a CR de exclusão NPLK900259 para seu sistema ABAP.

Próximas etapas

Saiba mais sobre as aplicações da Solução do Microsoft Sentinel para SAP®:

Solucionar problemas:

Arquivos de referência:

Para obter mais informações, confira Soluções do Microsoft Sentinel.