Configurar a solução do Microsoft Sentinel para aplicações SAP®

  • Artigo

Nota

O Azure Sentinel chama-se Agora Microsoft Sentinel e iremos atualizar estas páginas nas próximas semanas. Saiba mais sobre os recentes melhoramentos de segurança da Microsoft.

Este artigo fornece melhores práticas para configurar a solução do Microsoft Sentinel para aplicações SAP®. O processo de implementação completo é detalhado num conjunto completo de artigos ligados em Marcos de implementação.

Importante

Alguns componentes da solução do Microsoft Sentinel para aplicações SAP® estão atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

A implementação do agente e da solução do recoletor de dados no Microsoft Sentinel permite-lhe monitorizar os sistemas SAP para atividades suspeitas e identificar ameaças. No entanto, para obter os melhores resultados, as melhores práticas para operar a solução recomendam vivamente a execução de vários passos de configuração adicionais muito dependentes da implementação sap.

Marcos de implementação

Acompanhe o percurso de implementação da solução SAP através desta série de artigos:

  1. Descrição geral da implementação

  2. Pré-requisitos de implementação

  3. Trabalhar com a solução em várias áreas de trabalho (PRÉ-VISUALIZAÇÃO)

  4. Preparar o ambiente SAP

  5. Configurar auditoria

  6. Implementar o agente do conector de dados

  7. Implementar conteúdo de segurança SAP

  8. Configurar a solução do Microsoft Sentinel para aplicações SAP® (Está aqui)

  9. Passos de implementação opcionais

Configurar listas de observação

A solução do Microsoft Sentinel para a configuração de aplicações SAP® é obtida ao fornecer informações específicas do cliente nas listas de observação aprovisionadas.

Nota

Após a implementação inicial da solução, poderá demorar algum tempo até que as listas de observação sejam preenchidas com dados. Se editar uma lista de observação e descobrir que está vazia, aguarde alguns minutos e volte a abrir a lista de observação para edição.

SAP – Lista de observação de sistemas

SAP – a lista de observação de sistemas define que Sistemas SAP estão presentes no ambiente monitorizado. Para cada sistema, especifique o respetivo SID, seja um sistema de produção ou um ambiente de desenvolvimento/teste, bem como uma descrição. Estas informações são utilizadas por algumas regras de análise, que podem reagir de forma diferente se aparecerem eventos relevantes num sistema de Desenvolvimento ou de Produção.

SAP – Lista de observação de redes

SAP – Lista de observação de redes descreve todas as redes utilizadas pela organização. É utilizado principalmente para identificar se os inícios de sessão de utilizador são ou não provenientes de segmentos conhecidos da rede, também se a origem do início de sessão do utilizador mudar inesperadamente.

Existem várias abordagens para documentar a topologia de rede. Pode definir um vasto leque de endereços, como 172.16.0.0/16, e dar-lhe o nome "Rede Empresarial", o que será suficientemente bom para controlar inícios de sessão de fora desse intervalo. No entanto, uma abordagem mais segmentada permite-lhe ter uma melhor visibilidade sobre a atividade potencialmente atípica.

Por exemplo: defina os dois segmentos seguintes e as respetivas localizações geográficas:

Segment Localização
192.168.10.0/23 Europa Ocidental
10.15.0.0/16 Austrália

Agora, o Microsoft Sentinel poderá diferenciar um início de sessão da 192.168.10.15 (no primeiro segmento) a partir de um início de sessão de 10.15.2.1 (no segundo segmento) e alertá-lo se esse comportamento for identificado como atípico.

Listas de observação de dados confidenciais

  • SAP – Módulos de Funções Confidenciais
  • SAP - Tabelas Confidenciais
  • SAP – Programas ABAP Confidenciais
  • SAP – Transações Confidenciais

Todas estas listas de observação identificam ações ou dados confidenciais que podem ser realizados ou acedidos pelos utilizadores. Várias operações, tabelas e autorizações bem conhecidas foram pré-configuradas nas listas de observação, no entanto, recomendamos que consulte a equipa SAP BASIS para identificar que operações, transações, autorizações e tabelas são consideradas confidenciais no seu ambiente SAP.

Listas de observação de dados principais do utilizador

  • SAP – Perfis Confidenciais
  • SAP – Funções Confidenciais
  • SAP – Utilizadores Com Privilégios
  • SAP – Autorizações Críticas

A solução do Microsoft Sentinel para aplicações SAP® utiliza dados do User Master recolhidos a partir de sistemas SAP para identificar que utilizadores, perfis e funções devem ser considerados confidenciais. Alguns dados de exemplo estão incluídos nas listas de observação, embora recomendemos que consulte a equipa SAP BASIS para identificar utilizadores, funções e perfis confidenciais e preencher as listas de observação em conformidade.

Começar a ativar regras de análise

Por predefinição, todas as regras de análise fornecidas na solução do Microsoft Sentinel para aplicações SAP® são fornecidas como modelos de regras de alerta. Recomendamos uma abordagem faseada, em que algumas regras são criadas a partir de modelos de cada vez, permitindo tempo para otimizar cada cenário. Consideramos que as seguintes regras são mais fáceis de implementar, pelo que é melhor começar com estas:

  1. Alteração no Utilizador Com Privilégios Confidenciais
  2. Alteração da configuração do cliente
  3. Início de sessão de utilizador com privilégios confidenciais
  4. O utilizador com privilégios confidenciais efetua uma alteração noutra
  5. Alteração e início de sessão de palavra-passe de utilizador de privilégios confidenciais
  6. Módulo de função testado

Ativar ou desativar a ingestão de registos SAP específicos

Para ativar ou desativar a ingestão de um registo específico:

  1. Edite o ficheiro systemconfig.ini localizado em /opt/sapcon/SID/ na VM do conector.
  2. No ficheiro de configuração, localize o registo relevante e efetue um dos seguintes procedimentos:
    • Para ativar o registo, altere o valor para True.
    • Para desativar o registo, altere o valor para False.

Por exemplo, para parar a ingestão do , altere o ABAPJobLogrespetivo valor para False:

ABAPJobLog = False

Reveja a lista de registos disponíveis na referência de ficheiroSystemconfig.ini.

Também pode parar de ingerir as tabelas de dados mestras do utilizador.

Nota

Depois de parar um dos registos ou tabelas, os livros e as consultas de análise que utilizam esse registo poderão não funcionar. Compreenda que registo cada livro utiliza e compreenda que registo cada regra analítica utiliza.

Parar a ingestão de registos e desativar o conector

Para parar de ingerir registos SAP na área de trabalho do Microsoft Sentinel e parar o fluxo de dados a partir do contentor do Docker, execute este comando:

docker stop sapcon-[SID]

O contentor do Docker para e não envia mais registos SAP para a área de trabalho do Microsoft Sentinel. Isto impede a ingestão e a faturação do sistema SAP relacionados com o conector.

Se precisar de reativar o contentor do Docker, execute este comando:

docker start sapcon-[SID]

Remover a função de utilizador e o CR opcional instalado no seu sistema ABAP

Para remover a função de utilizador e a CR opcional importada para o seu sistema, importe o CR NPLK900259 de eliminação para o sistema ABAP.

Passos seguintes

Saiba mais sobre a solução do Microsoft Sentinel para aplicações SAP®:

Resolva os problemas:

Ficheiros de referência:

Para obter mais informações, veja Soluções do Microsoft Sentinel.