Share via

Настройка решения Microsoft Sentinel для приложений SAP®

  • Статья

Примечание

Azure Sentinel теперь называется Microsoft Sentinel, и мы будем обновлять эти страницы в ближайшие недели. Узнайте подробнее о последних усовершенствованиях в системе безопасности Майкрософт.

В этой статье приведены рекомендации по настройке решения Microsoft Sentinel для приложений SAP®. Весь процесс развертывания подробно разобран в полном наборе статей, ссылки на которые приведены в разделе Вехи развертывания.

Важно!

Некоторые компоненты решения Microsoft Sentinel для приложений SAP® в настоящее время находятся в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Развертывание агента сборщика данных и решения в Microsoft Sentinel позволяет отслеживать подозрительные действия и выявлять угрозы в системах SAP. Однако для получения наилучших результатов настоятельно рекомендуется выполнить несколько дополнительных действий по настройке, которые существенно зависят от развертывания SAP.

Вехи развертывания

Развертывайте свое решение SAP поэтапно, используя следующую серию статей:

  1. Общие сведения о развертывании

  2. Предварительные условия для развертывания

  3. Работа с решением в нескольких рабочих областях (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ)

  4. Подготовка среды SAP

  5. Настройка аудита

  6. Развертывание решения Microsoft Sentinel для приложений® SAP из центра содержимого

  7. Развертывание агента соединителя данных

  8. Настройка решения Microsoft Sentinel для приложений SAP® (вы находитесь здесь)

  9. Дополнительные инструкции по развертыванию

Настройка списков отслеживания

Настройка решения Microsoft Sentinel для приложений SAP® достигается путем предоставления сведений о клиенте в подготовленных списках отслеживания.

Примечание

После первоначального развертывания решения списки отслеживания могут заполниться данными только спустя некоторое время. Если вы хотите отредактировать список отслеживания, но он пуст, подождите несколько минут и попробуйте еще раз открыть его для редактирования.

SAP — список отслеживания систем

SAP — список отслеживания систем определяет, какие системы SAP присутствуют в отслеживаемой среде. Для каждой системы, будь то рабочая система или среда разработки и тестирования, укажите идентификатор безопасности, а также описание. Эти сведения используются некоторыми правилами аналитики, которые могут реагировать по-разному, если соответствующие события отображаются в разрабатываемой или рабочей системе.

SAP— список отслеживания сетей

SAP — список отслеживания сетей описывает все сети, используемые организацией. В первую очередь помогает определить, происходят ли входы пользователей из известных сегментов сети, а также отслеживать неожиданное изменение источника входа пользователя.

Существует ряд подходов для документирования топологии сети. Вы можете задать широкий диапазон адресов, например 172.16.0.0/16, и присвоить ему имя "Корпоративная сеть". Этого будет достаточно для отслеживания входов извне этого диапазона. Однако использование более мелких сегментов позволяет лучше отслеживать потенциально нетипичное действие.

Например, определите следующие два сегмента и их географические расположения:

Segment Расположение
192.168.10.0/23 Западная Европа
10.15.0.0/16 Австралия

Теперь Microsoft Sentinel сможет отличить вход с IP-адреса 192.168.10.15 (в первом сегменте) от входа с IP-адреса 10.15.2.1 (во втором сегменте) и предупредить вас, если такое поведение определено как нетипичное.

Списки отслеживания конфиденциальных данных

  • SAP — модуль функций, связанных с конфиденциальностью
  • SAP — конфиденциальные таблицы
  • SAP — конфиденциальные программы ABAP
  • SAP — конфиденциальные транзакции

Все эти списки отслеживания определяют конфиденциальные действия, которые пользователи могут выполнить, или данные, которые им доступны. В списках отслеживания предварительно настроено несколько известных операций, таблиц и авторизаций, однако мы рекомендуем обратиться к группе SAP BASIS, чтобы определить, какие операции, транзакции, авторизации и таблицы считаются конфиденциальными в вашей среде SAP.

Списки отслеживания основных данных пользователей

  • SAP — конфиденциальные профили
  • SAP — конфиденциальные роли
  • SAP — привилегированные пользователи
  • SAP — критические авторизации

Решение Microsoft Sentinel для приложений SAP® использует основные данные пользователей, собранные из систем SAP, чтобы определить, какие пользователи, профили и роли должны считаться конфиденциальными. Некоторые примеры данных включены в списки отслеживания, однако мы рекомендуем обратиться к группе SAP BASIS, чтобы определить конфиденциальных пользователей, роли и профили и соответствующим образом заполнить списки отслеживания.

Первоначальное включение правил аналитики

По умолчанию все правила аналитики, предоставляемые в решении Microsoft Sentinel для приложений SAP®, предоставляются в виде шаблонов правил генерации оповещений. Мы рекомендуем поэтапный подход, при котором из шаблонов одновременно создается несколько правил, что дает время для точной настройки каждого сценария. Мы считаем, что следующие правила проще всего реализовать, поэтому лучше всего начать с них:

  1. Изменение в конфиденциальном привилегированном пользователе
  2. Изменение конфигурации клиента
  3. Вход конфиденциального привилегированного пользователя
  4. Конфиденциальный привилегированный пользователь изменяет других пользователей
  5. Изменение пароля привилегированного пользователя и вход
  6. Модуль функции протестирован

Включение или отключение приема определенных журналов SAP

Чтобы включить или отключить прием определенного журнала, выполните следующие действия.

  1. Измените файл systemconfig.json , расположенный в папке /opt/sapcon/SID/ на виртуальной машине соединителя.
  2. В файле конфигурации найдите соответствующий журнал и выполните одно из следующих действий:
    • Чтобы включить журнал, измените значение на True.
    • Чтобы отключить журнал, измените значение на False.

Например, чтобы остановить прием для , измените ABAPJobLogего значение на False:

"abapjoblog": "True",

Просмотрите список доступных журналов в справочнике по файлу Systemconfig.json.

Вы также можете прекратить прием данных пользователем master таблиц данных.

Примечание

После остановки одного из журналов или таблиц книги и аналитические запросы, использующие этот журнал, могут не работать. Узнайте, какой журнал использует каждая книга , и понять, какой журнал использует каждое аналитическое правило.

Остановка приема журналов и отключение соединителя

Чтобы остановить прием журналов SAP в рабочую область Microsoft Sentinel и остановить поток данных из контейнера Docker, выполните следующую команду:

docker stop sapcon-[SID/agent-name]

Чтобы остановить прием определенного идентификатора безопасности для контейнера с несколькими идентификаторами безопасности, необходимо удалить его из пользовательского интерфейса страницы соединителя в Sentinel. Контейнер Docker останавливается и больше не отправляет журналы SAP в рабочую область Microsoft Sentinel. Это остановит прием и выставление счетов для системы SAP, связанной с соединителем.

Если вам нужно повторно включить контейнер Docker, выполните следующую команду:

docker start sapcon-[SID]

Удаление роли пользователя и дополнительного CR, установленного в системе ABAP.

Чтобы удалить роль пользователя и дополнительный CR импортированный в систему, импортируйте удаление CR NPLK900259 в систему ABAP.

Дальнейшие действия

Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:

Устранение неполадок:

Справочные файлы:

Дополнительные сведения см. в статье Решения Microsoft Sentinel.