Selecionar perfil de ingestão do SAP
Este artigo explica como selecionar o perfil para sua solução do SAP. Recomendamos que você selecione um perfil de ingestão que maximize sua cobertura de segurança enquanto atende aos seus requisitos de orçamento.
Como o SAP é um aplicativo de negócios e os processos de negócios tendem a ser sazonais, pode ser difícil prever o volume geral de logs ao longo do tempo. Para resolver esse problema, recomendamos que você mantenha todos os logs ativados por duas semanas e aprenda com a atividade observada. Esse aprendizado pode ser revisado posteriormente durante picos de atividade de negócios ou grandes transformações de cenário.
As seções a seguir mostram perfis típicos de configuração do cliente para ingestão de log do SAP.
Perfil padrão (recomendado)
Esse perfil inclui cobertura completa para:
- Análise integrada
- As tabelas de dados mestre de autorização do usuário do SAP, com usuários e informações de privilégio
- A capacidade de controlar alterações e atividades no cenário do SAP. Esse perfil fornece mais informações de registro em log para permitir investigações pós-violação e habilidades de busca estendidas.
arquivo systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
Perfil focado na detecção
Esse perfil inclui os principais logs de segurança do cenário do SAP necessários para que a maioria das regras de análise seja bem executada. As investigações pós-violação e as funcionalidades de busca são limitadas.
arquivo systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
Perfil mínimo
O Log de Auditoria de Segurança do SAP é a fonte de dados mais importante que os aplicativos da Solução do Microsoft Sentinel® para o SAP usa para analisar atividades no cenário do SAP. Habilitar esse log é o requisito mínimo para fornecer qualquer cobertura de segurança.
arquivo systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False
Próximas etapas
Saiba mais sobre os aplicativos da Solução do Microsoft Sentinel para SAP®:
- Implante aplicativos da Solução do Microsoft Sentinel para SAP®
- Pré-requisitos para implantar os aplicativos da Solução do Microsoft Sentinel para SAP®
- Implantar as CRs (solicitações de alteração) do SAP e configurar a autorização
- Implantar e configurar a hospedagem de contêiner do agente do conector de dados do SAP
- Implantar o conteúdo de segurança do SAP
- Implantar o conector de dados Microsoft Sentinel para SAP com SNC
- Habilitar e configurar a auditoria do SAP
- Coletar logs de auditoria do SAP HANA
Solucionar problemas:
- Solucionar problemas de implantação de solução de aplicativos com a Solução do Microsoft Sentinel para SAP®
- Configurar o sistema Transport Management do SAP
Arquivos de referência:
- Referência de dados de aplicativos da Solução do Microsoft Sentinel para SAP®
- Aplicativos da Solução do Microsoft Sentinel para SAP®: referência de conteúdo de segurança
- Atualizar referência de script
- Referência do arquivo Systemconfig.ini
Para obter mais informações, confira Soluções do Microsoft Sentinel.