Parâmetros de segurança SAP monitorados para detectar alterações de configuração suspeitas
Este artigo detalha os parâmetros de segurança no sistema SAP que a solução Microsoft Sentinel para aplicativos SAP® monitora como parte da regra de análise "SAP – (Versão Prévia) O Parâmetro Estático Confidencial foi Alterado".
A solução Microsoft Sentinel para aplicativos SAP® fornecerá atualizações para esse conteúdo de acordo com as alterações das melhores práticas do SAP. Você também pode adicionar parâmetros para observar, alterar valores de acordo com as necessidades da sua organização e desabilitar parâmetros específicos na watchlist SAPSystemParameters.
Observação
Para que a solução do Microsoft Sentinel para aplicativos SAP® monitore com êxito os parâmetros de segurança do SAP, a solução precisa monitorar com êxito a tabela DE PAHI do SAP em intervalos regulares. Verifique se a solução pode monitorar com êxito a tabela PAHI.
Parâmetros de segurança SAP estáticos monitorados
Essa lista inclui os parâmetros de segurança SAP estáticos que a solução Microsoft Sentinel para aplicativos SAP® monitora para proteger seu sistema SAP. A lista não é uma recomendação para configurar esses parâmetros. Para considerações de configuração, consulte seus administradores do SAP.
| Parâmetro | DESCRIÇÃO | Considerações/valor de segurança |
|---|---|---|
| gw/accept_remote_trace_level | Controla se os subsistemas CPI (Integração de Processo Central) e RFC (Chamada de Função Remota) adotam ou não o nível de rastreamento remoto. Quando esse parâmetro é definido como 1, os subsistemas CPI e RFC aceitam e adotam os níveis de rastreamento remoto. Quando definido como 0, os níveis de rastreamento remoto não são aceitos e o nível de rastreamento local é usado.O nível de rastreamento é uma configuração que determina o nível de detalhes registrado no log do sistema para um programa ou processo específico. Quando os subsistemas adotam os níveis de rastreamento, é possível definir o nível de rastreamento para um programa ou processo a partir de um sistema remoto e não apenas do sistema local. Essa configuração pode ser útil em situações em que a depuração remota ou a solução de problemas são necessárias. |
O parâmetro pode ser configurado para restringir o nível de rastreamento aceito de sistemas externos. Definir um nível de rastreamento mais baixo pode reduzir a quantidade de informações que os sistemas externos podem obter sobre o funcionamento interno do sistema SAP. |
| login/password_change_for_SSO | Controla como as alterações de senha são impostas em situações de logon único. | Alto, pois a imposição de alterações de senha pode ajudar a impedir o acesso não autorizado ao sistema por invasores que podem ter obtido credenciais válidas por meio de phishing ou outros meios. |
| icm/accept_remote_trace_level | Determina se o ICM (Gerenciador de Comunicação da Internet) aceita alterações de nível de rastreamento remoto de sistemas externos. | Médio, pois permitir alterações no nível de rastreamento remoto pode fornecer informações de diagnóstico valiosas para invasores e potencialmente comprometer a segurança do sistema. |
| rdisp/gui_auto_logout | Especifica o tempo ocioso máximo para conexões de GUI do SAP antes de fazer logoff automaticamente do usuário. | Alto, pois fazer logoff automático de usuários inativos pode ajudar a prevenir o acesso não autorizado ao sistema por possíveis invasores que tenham obtido acesso ao computador de um usuário. |
| rsau/enable | Controla se o log de Auditoria de Segurança está habilitado. | Alto, pois o log de Auditoria de Segurança pode fornecer informações valiosas para detectar e investigar incidentes de segurança. |
| login/min_password_diff | Especifica o número mínimo de caracteres que devem ser diferentes entre a senha antiga e a nova quando os usuários alteram suas senhas. | Alto, pois exigir um número mínimo de diferenças de caracteres pode ajudar a impedir que os usuários escolham senhas fracas que podem ser facilmente adivinhadas. |
| login/min_password_digits | Define o número mínimo de dígitos necessários em uma senha para um usuário. | Alto, pois o parâmetro aumenta a complexidade das senhas e as torna mais difíceis de adivinhar ou quebrar. |
| login/ticket_only_by_https | Esse parâmetro controla se os tíquetes de autenticação só são enviados via HTTPS ou podem ser enviados via HTTP também. | Alto, pois o uso de HTTPS para transmissão de tíquetes criptografa os dados em trânsito, tornando-os mais seguros. |
| auth/rfc_authority_check | Controla se as verificações de autoridade são executadas para RFCs. | Alto, pois habilitar esse parâmetro ajuda a impedir o acesso não autorizado a dados e funções confidenciais por meio de RFCs. |
| gw/acl_mode | Define o modo para o arquivo ACL (lista de controle de acesso) usado pelo gateway SAP. | Alto, pois o parâmetro controla o acesso ao gateway e ajuda a impedir o acesso não autorizado ao sistema SAP. |
| gw/logging | Controla as configurações de log para o gateway SAP. | Alto, pois esse parâmetro pode ser usado para monitorar e detectar atividades suspeitas ou possíveis violações de segurança. |
| login/fails_to_session_end | Define o número de tentativas de logon inválidas permitidas antes que a sessão do usuário seja encerrada. | Alto, pois o parâmetro ajuda a evitar ataques de força bruta em contas de usuário. |
| wdisp/ssl_encrypt | Define o modo de nova criptografia SSL de solicitações HTTP. | Alto, pois esse parâmetro garante que os dados transmitidos por HTTP sejam criptografados, o que ajuda a evitar interceptações e adulterações de dados. |
| login/no_automatic_user_sapstar | Controla o logon automático do usuário SAP*. | Alto, pois esse parâmetro ajuda a impedir o acesso não autorizado ao sistema SAP por meio da conta SAP* padrão. |
| rsau/max_diskspace/local | Define a quantidade máxima de espaço em disco que pode ser usada para o armazenamento local de logs de auditoria. Esse parâmetro de segurança ajuda a evitar o preenchimento de espaço em disco e garante que os logs de auditoria estejam disponíveis para investigação. | Definir um valor apropriado para esse parâmetro ajuda a impedir que os registros de auditoria locais consumam muito espaço em disco, o que pode levar a problemas de desempenho do sistema ou até mesmo a ataques de negação de serviço. Por outro lado, definir um valor muito baixo pode resultar na perda de dados de log de auditoria, o que pode ser necessário para conformidade e auditoria. |
| snc/extid_login_diag | Habilita ou desabilita o registro em log de ID externa em erros de logon SNC (Comunicação de Rede Segura). Esse parâmetro de segurança pode ajudar a identificar tentativas de acesso não autorizado ao sistema. | Habilitar esse parâmetro pode ser útil para solucionar problemas relacionados ao SNC, pois ele fornece informações de diagnóstico adicionais. No entanto, o parâmetro também pode expor informações confidenciais sobre os produtos de segurança externos usados pelo sistema, o que pode ser um risco potencial à segurança se essas informações caírem em mãos erradas. |
| login/password_change_waittime | Define o número de dias que um usuário deve aguardar antes de alterar a senha novamente. Esse parâmetro de segurança ajuda a impor políticas de senha e garantir que os usuários alterem suas senhas periodicamente. | Definir um valor apropriado para esse parâmetro pode ajudar a garantir que os usuários alterem suas senhas regularmente o suficiente para manter a segurança do sistema SAP. Ao mesmo tempo, definir o tempo de espera muito curto pode ser contraproducente, pois os usuários podem ser mais propensos a reutilizar senhas ou escolher senhas fracas que são mais fáceis de lembrar. |
| snc/accept_insecure_cpic | Determina se o sistema aceita ou não conexões SNC inseguras usando o protocolo CPIC. Esse parâmetro de segurança controla o nível de segurança para conexões SNC. | Habilitar esse parâmetro pode aumentar o risco de interceptação ou manipulação de dados, pois ele aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como 0, o que significa que apenas as conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| snc/accept_insecure_r3int_rfc | Determina se o sistema aceita ou não conexões SNC inseguras para os protocolos R/3 e RFC. Esse parâmetro de segurança controla o nível de segurança para conexões SNC. | Habilitar esse parâmetro pode aumentar o risco de interceptação ou manipulação de dados, pois ele aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como 0, o que significa que apenas as conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| snc/accept_insecure_rfc | Determina se o sistema aceita ou não conexões SNC inseguras usando protocolos RFC. Esse parâmetro de segurança controla o nível de segurança para conexões SNC. | Habilitar esse parâmetro pode aumentar o risco de interceptação ou manipulação de dados, pois ele aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como 0, o que significa que apenas as conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| snc/data_protection/max | Define o nível máximo de proteção de dados para conexões SNC. Esse parâmetro de segurança controla o nível de criptografia usado para conexões SNC. | Definir um valor alto para esse parâmetro pode aumentar o nível de proteção de dados e reduzir o risco de interceptação ou manipulação de dados. O valor de segurança recomendado para esse parâmetro depende dos requisitos de segurança e da estratégia de gerenciamento de riscos específicos da organização. |
| rspo/auth/pagelimit | Define o número máximo de solicitações de spool que um usuário pode exibir ou excluir ao mesmo tempo. Esse parâmetro de segurança ajuda a evitar ataques de negação de serviço no sistema de spool. | Esse parâmetro não afeta diretamente a segurança do sistema SAP, mas pode ajudar a impedir o acesso não autorizado a dados de autorização confidenciais. Ao limitar o número de entradas exibidas por página, é possível reduzir o risco de indivíduos não autorizados exibirem informações confidenciais de autorização. |
| snc/accept_insecure_gui | Determina se o sistema aceita ou não conexões SNC inseguras usando a GUI. Esse parâmetro de segurança controla o nível de segurança para conexões SNC. | É recomendável definir o valor desse parâmetro como 0 para garantir que as conexões SNC feitas por meio do SAP GUI sejam seguras e para reduzir o risco de acesso não autorizado ou interceptação de dados confidenciais. Permitir conexões SNC inseguras pode aumentar o risco de acesso não autorizado a informações confidenciais ou interceptação de dados. Isso só deve ser feito quando houver uma necessidade específica e os riscos forem devidamente avaliados. |
| login/accept_sso2_ticket | Habilita ou desabilita a aceitação de tíquetes SSO2 para logon. Esse parâmetro de segurança controla o nível de segurança para logon no sistema. | Habilitar o SSO2 pode fornecer uma experiência de usuário mais simplificada e conveniente, mas também apresenta riscos adicionais de segurança. Se um invasor obtiver acesso a um tíquete SSO2 válido, ele poderá se passar por um usuário legítimo e obter acesso não autorizado a dados confidenciais ou realizar ações mal-intencionadas. |
| login/multi_login_users | Define se várias sessões de logon são permitidas ou não para o mesmo usuário. Esse parâmetro de segurança controla o nível de segurança das sessões do usuário e ajuda a impedir o acesso não autorizado. | Habilitar esse parâmetro pode ajudar a impedir o acesso não autorizado aos sistemas SAP limitando o número de logons simultâneos para um único usuário. Quando esse parâmetro é definido como 0, apenas uma sessão de logon é permitida por usuário e tentativas de logon adicionais são rejeitadas. Isso pode ajudar a impedir o acesso não autorizado aos sistemas SAP caso as credenciais de logon de um usuário sejam comprometidas ou compartilhadas com outras pessoas. |
| login/password_expiration_time | Especifica o intervalo de tempo máximo em dias para o qual uma senha é válida. Quando esse tempo se passa, o usuário é solicitado a alterar sua senha. | Definir esse parâmetro como um valor mais baixo pode melhorar a segurança, garantindo que as senhas sejam alteradas com frequência. |
| login/password_max_idle_initial | Especifica o intervalo de tempo máximo em minutos para o qual um usuário pode permanecer conectado sem executar nenhuma atividade. Depois que esse tempo passar, o usuário será automaticamente desconectado. | Definir um valor mais baixo para esse parâmetro pode melhorar a segurança garantindo que as sessões ociosas não sejam deixadas abertas por longos períodos de tempo. |
| login/password_history_size | Especifica o número de senhas anteriores que um usuário não tem permissão para reutilizar. | Esse parâmetro impede que os usuários usem repetidamente as mesmas senhas, o que pode melhorar a segurança. |
| snc/data_protection/use | Habilita o uso da proteção de dados SNC. Quando habilitado, o SNC garante que todos os dados transmitidos entre sistemas SAP sejam criptografados e seguros. | |
| rsau/max_diskspace/per_day | Especifica a quantidade máxima de espaço em disco em MB que pode ser usada para logs de auditoria por dia. Definir um valor mais baixo para esse parâmetro pode ajudar a garantir que os logs de auditoria não consumam muito espaço em disco e possam ser gerenciados com eficiência. | |
| snc/enable | Habilita o SNC para comunicação entre sistemas SAP. | Quando habilitado, o SNC fornece uma camada extra de segurança criptografando dados transmitidos entre sistemas. |
| auth/no_check_in_some_cases | Desabilita verificações de autorização em determinados casos. | Embora esse parâmetro possa melhorar o desempenho, ele também pode representar um risco à segurança, permitindo que os usuários executem ações para as quais talvez não tenham permissão. |
| auth/object_disabling_active | Desabilita objetos de autorização específicos para contas de usuário inativas por um período de tempo especificado. | Pode ajudar a melhorar a segurança reduzindo o número de contas inativas com permissões desnecessárias. |
| login/disable_multi_gui_login | Impede que um usuário seja conectado a várias sessões de GUI simultaneamente. | Esse parâmetro pode ajudar a melhorar a segurança garantindo que os usuários só estejam conectados a uma sessão por vez. |
| login/min_password_lng | Especifica o comprimento mínimo que uma senha pode ter. | Definir um valor mais alto para esse parâmetro pode melhorar a segurança garantindo que as senhas não sejam facilmente adivinhadas. |
| rfc/reject_expired_passwd | Impede a execução de RFCs quando a senha do usuário expirou. | Habilitar esse parâmetro pode ser útil ao impor políticas de senha e impedir o acesso não autorizado aos sistemas SAP. Quando esse parâmetro é definido como 1, as conexões RFC são rejeitadas se a senha do usuário expirou e o usuário é solicitado a alterar sua senha antes que ele possa se conectar. Isso ajuda a garantir que somente usuários autorizados com senhas válidas possam acessar o sistema. |
| rsau/max_diskspace/per_file | Define o tamanho máximo de um arquivo de auditoria que a auditoria do sistema SAP pode criar. Definir um valor mais baixo ajuda a evitar o crescimento excessivo dos arquivos de auditoria e, portanto, ajuda a garantir o espaço adequado no disco. | Definir um valor apropriado ajuda a gerenciar o tamanho dos arquivos de auditoria e evitar problemas de armazenamento. |
| login/min_password_letters | Especifica o número mínimo de letras que devem ser incluídas na senha de um usuário. Definir um valor mais alto ajuda a aumentar a força e a segurança da senha. | Definir um valor apropriado ajuda a impor políticas de senha e melhorar a segurança de senha. |
| rsau/selection_slots | Define o número de slots de seleção que podem ser usados para arquivos de auditoria. Definir um valor mais alto pode ajudar a evitar a substituição de arquivos de auditoria mais antigos. | Ajuda a garantir que os arquivos de auditoria sejam retidos por um período mais longo, o que pode ser útil em uma violação de segurança. |
| gw/sim_mode | Esse parâmetro define o modo de simulação do gateway. Quando habilitado, o gateway apenas simula a comunicação com o sistema de destino e nenhuma comunicação real ocorre. | Habilitar esse parâmetro pode ser útil para fins de teste e pode ajudar a impedir alterações não intencionais no sistema de destino. |
| login/fails_to_user_lock | Define o número de tentativas de logon com falha após as quais a conta de usuário é bloqueada. Definir um valor mais baixo ajuda a evitar ataques de força bruta. | Ajuda a impedir o acesso não autorizado ao sistema e a proteger as contas de usuário de serem comprometidas. |
| login/password_compliance_to_current_policy | Impõe a conformidade de novas senhas com a política de senha atual do sistema. Seu valor deve ser definido como 1 para habilitar esse recurso. |
Alta: Ao habilitar esse parâmetro, é possível garantir que os usuários cumpram a política de senha atual ao alterarem suas senhas, o que reduz o risco de acesso não autorizado aos sistemas SAP. Quando esse parâmetro é definido como 1, os usuários são solicitados a cumprir a política de senha atual ao alterar suas senhas. |
| rfc/ext_debugging | Habilita o modo de depuração RFC para chamadas RFC externas. Seu valor deve ser definido como 0 para desabilitar esse recurso. |
|
| gw/monitor | Habilita o monitoramento de conexões de gateway. Seu valor deve ser definido como 1 para habilitar esse recurso. |
|
| login/create_sso2_ticket | Habilita a criação de tíquetes SSO2 para usuários. Seu valor deve ser definido como 1 para habilitar esse recurso. |
|
| login/failed_user_auto_unlock | Habilita o desbloqueio automático de contas de usuário após uma tentativa de logon com falha. Seu valor deve ser definido como 1 para habilitar esse recurso. |
|
| login/min_password_uppercase | Define o número mínimo de letras maiúsculas necessárias em novas senhas. Seu valor deve ser definido como um inteiro positivo. | |
| login/min_password_specials | Define o número mínimo de caracteres especiais necessários em novas senhas. Seu valor deve ser definido como um inteiro positivo. | |
| snc/extid_login_rfc | Habilita o uso de SNC para chamadas RFC externas. Seu valor deve ser definido como 1 para habilitar esse recurso. |
|
| login/min_password_lowercase | Define o número mínimo de letras minúsculas necessárias em novas senhas. Seu valor deve ser definido como um inteiro positivo. | |
| login/password_downwards_compatibility | Permite que senhas sejam definidas usando algoritmos de hash antigos para compatibilidade com versões anteriores em sistemas mais antigos. Seu valor deve ser definido como 0 para desabilitar esse recurso. |
|
| snc/data_protection/min | Define o nível mínimo de proteção de dados que deve ser usado para conexões protegidas por SNC. Seu valor deve ser definido como um inteiro positivo. | Definir um valor apropriado para esse parâmetro ajuda a garantir que as conexões protegidas por SNC forneçam um nível mínimo de proteção de dados. Essa configuração ajuda a impedir que informações confidenciais sejam interceptadas ou manipuladas por invasores. O valor desse parâmetro deve ser definido com base nos requisitos de segurança do sistema SAP e na confidencialidade dos dados transmitidos por conexões protegidas por SNC. |
Próximas etapas
Para obter mais informações, consulte:
- Implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®
- Conteúdo de segurança da solução SAP
- Referência dos logs dos aplicativos da solução do Microsoft Sentinel para SAP®
- Monitore a integridade do seu sistema SAP
- Implante o conector de dados dos aplicativos da Solução do Microsoft Sentinel para SAP® com o SNC
- Referência do arquivo de configuração
- Pré-requisitos para implantar os aplicativos da Solução do Microsoft Sentinel para SAP®
- Solução de problemas de implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®