Visão geral da solução Microsoft Sentinel para aplicativos SAP®

Os sistemas SAP representam um desafio de segurança único. Os sistemas SAP lidam com informações extremamente confidenciais e são alvos privilegiados para os atacantes.

As equipes de operações de segurança tradicionalmente têm tido muito pouca visibilidade nos sistemas SAP. Uma violação do sistema SAP pode resultar em arquivos roubados, dados expostos ou interrupção da cadeia de suprimentos. Uma vez que um invasor está no sistema, há poucos controles para detetar exfiltração ou outros atos ruins. A atividade SAP precisa ser correlacionada com outros dados em toda a organização para uma deteção eficaz de ameaças.

Para ajudar a fechar essa lacuna, o Microsoft Sentinel oferece a solução Microsoft Sentinel para aplicativos SAP®. Essa solução abrangente usa componentes em todos os níveis do Microsoft Sentinel para oferecer deteção, análise, investigação e resposta completas a ameaças em seu ambiente SAP.

O que faz a solução Microsoft Sentinel para aplicativos SAP®

A solução Microsoft Sentinel para aplicativos SAP monitora continuamente os sistemas SAP® em busca de ameaças em todas as camadas - lógica de negócios, aplicativo, banco de dados e sistema operacional. Permite-lhe:

• Correlacione o monitoramento SAP com outros sinais em toda a sua organização e use as deteções fornecidas pela solução — ou crie suas próprias deteções — para monitorar transações confidenciais e outros riscos de negócios, como escalonamento de privilégios, alterações não aprovadas e acesso não autorizado.

• Crie processos de resposta automatizados para interagir com seus sistemas SAP para impedir ameaças ativas à segurança.

A solução Microsoft Sentinel para aplicativos SAP também oferece monitoramento e deteção de ameaças para a SAP® Business Technology Platform.

Por exemplo, a imagem a seguir mostra um cenário SAP multi-SID com uma divisão entre sistemas produtivos e não produtivos, incluindo a SAP Business Technology Platform. Todos os sistemas nesta imagem estão integrados ao Microsoft Sentinel para a solução SAP.

Detalhes da solução

Fontes de log

O conector de dados da solução recupera uma ampla variedade de fontes de log SAP:

• Log de auditoria de segurança ABAP
• Registro de documentos de alteração ABAP
• ABAP Spool Log
• Log de saída do spool ABAP
• Registro de trabalhos ABAP
• Log de fluxo de trabalho ABAP
• Dados da tabela ABAP DB
• Dados mestre do usuário SAP
• ABAP CR Log
• ICM Logs
• JAVA Webdispacher Logs
• Syslog

Cobertura de deteção de ameaças

• Operações de privilégios suspeitos – Criação de usuários privilegiados

  • Utilização de utilizadores de quebra-vidros
  • Desbloqueando um usuário e fazendo login nele a partir do mesmo IP
  • Atribuição de funções confidenciais e privilégios de administrador
  • Usuário desbloqueia e usa outros usuários
  • Atribuição de autorização crítica

• Tentativas de contornar os mecanismos de segurança SAP –

  • Desativando o log de auditoria (HANA e SAP)
  • Execução de módulos de função sensíveis
  • Desbloqueando transações bloqueadas
  • Depurando sistemas de produção
  • Tabelas sensíveis Acesso direto por RFC
  • Execução RFC da função Sanative
  • Alteração de Configuração do Sistema, Programa ABAP Dinâmico.

• Criação de backdoor (persistência)

  • Criação de novas interfaces voltadas para a Internet (ICF)
  • Acesso direto a tabelas confidenciais por chamada de função remota
  • Atribuindo novos manipuladores de serviço ao ICF
  • Execução de programas obsoletos
  • Usuário desbloqueia e usa outros usuários.  

• Exfiltração de dados

  • Downloads de vários arquivos
  • Aquisições de carretel
  • Permitindo o acesso a servidores FTP inseguros & conexões de hosts não autorizados
  • Destino RFC dinâmico
  • HANA DB - Ações de administração de usuários a partir do nível de banco de dados.  

• Acesso Inicial – Força Bruta

  • Vários logons do mesmo IP
  • Logons de usuário privilegiados de redes inesperadas
  • SPNego Replay Ataque

Certificação

A solução Microsoft Sentinel para aplicações SAP é certificada para SAP S/4HANA® Cloud, Private Edition RISE com SAP e SAP® S/4 no local.

• Os cenários de integração incluem S/4-BC-XAL 1.0/S/4 ALERTA EXTERNO E MONITORAMENTO 1.0 (para S/4).
• Nossa certificação inclui S/4 e SAP Rise S/4 HANA® Cloud Private Edition em execução em qualquer nuvem e localmente.
• Suportamos implantações híbridas que podem cobrir todo o espólio do cliente.

Consulte a certificação no SAP Certified Solutions Directory.

Atribuição de marca

SAP S/4HANA e SAP são marcas comerciais ou marcas comerciais registadas da SAP SE ou das suas filiais na Alemanha e noutros países/regiões. 

Próximos passos

Saiba mais sobre a solução Microsoft Sentinel para aplicativos SAP®:

• Implantar a solução Microsoft Sentinel para aplicativos SAP®
• Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
• Implantar solicitações de alteração (CRs) SAP e configurar a autorização
• Implantar o conteúdo da solução a partir do hub de conteúdo
• Implantar e configurar o contêiner que hospeda o agente do conector de dados SAP
• Monitore a integridade do seu sistema SAP
• Implantar o conector de dados do Microsoft Sentinel for SAP com SNC
• Habilitar e configurar a auditoria SAP
• Coletar logs de auditoria do SAP HANA
• Implantar a solução Microsoft Sentinel para SAP® BTP

Resolva os problemas:

• Solucionar problemas de implantação da solução Microsoft Sentinel para aplicativos SAP®

Ficheiros de referência:

• Referência de dados da solução Microsoft Sentinel para aplicativos SAP®
• Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança
• Referência de script do Kickstart
• Referência de script de atualização
• Referência do arquivo Systemconfig.ini