Включение и настройка аудита SAP для Microsoft Sentinel
В этой статье показано, как включить и настроить аудит для решения Microsoft Sentinel для приложений SAP, чтобы получить полную видимость решения SAP®.
Внимание
Мы настоятельно рекомендуем, чтобы управление системой SAP осуществлялось опытным системным администратором SAP.
Действия, описанные в этой статье, могут отличаться в зависимости от версии системы SAP и должны рассматриваться только как пример.
Некоторые установки систем SAP могут не включать журнал аудита по умолчанию. Чтобы лучше всего оценить производительность и эффективность решения Microsoft Sentinel для приложений SAP, включите аудит системы SAP® и настройте параметры аудита.
Вехи развертывания
Развертывайте свое решение SAP поэтапно, используя следующую серию статей:
Работа с решением в нескольких рабочих областях (предварительная версия)
Настройка аудита (здесь)
Дополнительные этапы развертывания
Проверка того, включен ли аудит
Войдите в графический интерфейс SAP и выполните транзакцию RSAU_CONFIG.
В окне Журнал аудита безопасности — Отображение текущей конфигурации найдите раздел Параметр в разделе Конфигурация. В разделе Общие параметры вы увидите, что флажок Статический аудит безопасности активен установлен.
Включение аудита
Внимание
Политика аудита должна быть разработана в тесном сотрудничестве с администраторами SAP и вашим отделом безопасности.
Войдите в графический интерфейс SAP и выполните транзакцию RSAU_CONFIG.
На экране Журнал аудита безопасности выберите Параметр в разделе Конфигурация журнала аудита безопасности в дереве Конфигурация.
Если установлен флажок Статический аудит безопасности активен, аудит на уровне системы включен. Если это не так, выберите Отобразить <-> Изменить и установите флажок Статический аудит безопасности активен.
По умолчанию система SAP регистрирует имя клиента (идентификатор терминала), а не IP-адрес клиента. Если вы хотите, чтобы система регистрировала IP-адрес клиента, установите флажок Записывать адрес однорангового узла журнала, а не идентификатор терминала в разделе Общие параметры.
Если вы изменили какие-либо параметры в разделе Конфигурация журнала аудита безопасности — Параметр, нажмите кнопку Сохранить, чтобы сохранить изменения. Аудит будет активирован только после перезагрузки сервера.
Внимание
Приложения SAP, работающие в ОС Windows, должны учитывать рекомендации в sap Note 2360334, если журнал аудита не считывается правильно после установки.
Щелкните правой кнопкой мыши Статическая конфигурация и выберите Создать профиль.
Укажите имя профиля в поле Профиль или номер фильтра.
Примечание.
Для установки Vanilla SAP требуется этот дополнительный шаг: щелкните правой кнопкой мыши созданный профиль и создайте новый фильтр.
Установите флажок Фильтр для записи активен.
В поле Клиент введите
*
.В поле Пользователь введите
*
.В разделе Выбор событий выберите Выбор классических событий и выберите все типы событий в списке.
Выберите Сохранить.
Вы увидите, что в разделе Статическая конфигурация отображается только что созданный профиль. Щелкните профиль правой кнопкой мыши и выберите Активировать.
В окне подтверждения выберите Да, чтобы активировать только что созданный профиль.
Примечание.
Статическую конфигурацию действует только после перезагрузки системы. Для немедленной настройки создайте дополнительный динамический фильтр с теми же свойствами, щелкнув правой кнопкой мыши созданный статический профиль и выбрав "Применить к динамической конфигурации".
Следующие шаги
В этой статье вы узнали, как включить и настроить аудит SAP для Microsoft Sentinel.