Выбор профиля приема SAP
В этой статье объясняется, как выбрать профиль для решения SAP. Рекомендуется выбрать профиль приема, который максимально повышает уровень покрытия безопасности при выполнении бюджетных требований.
Так как SAP — это бизнес-приложение, а бизнес-процессы, как правило, сезонные, с течением времени может быть трудно спрогнозировать общий объем журналов. Чтобы устранить эту проблему, рекомендуется хранить все журналы в течение двух недель и учиться на наблюдаемых действиях. Позже это обучение можно будет пересмотреть во время пиковых бизнес-активностей или крупных преобразований в ландшафте.
В следующих разделах показаны типичные профили конфигурации клиентов для приема журналов SAP.
Профиль по умолчанию (рекомендуется)
Этот профиль включает полный охват для:
- Встроенная аналитика
- Авторизация пользователей SAP master таблиц данных с пользователями и сведениями о привилегиях
- Возможность отслеживания изменений и действий в ландшафте SAP. Этот профиль предоставляет дополнительные сведения о ведении журнала, позволяющие проводить расследования после нарушения безопасности и расширенные возможности охоты.
файл systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
Профиль с фокусом на обнаружении
Этот профиль включает основные журналы безопасности ландшафта SAP, необходимые для эффективной работы большинства правил аналитики. Возможности после расследования нарушений и охоты ограничены.
файл systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
Минимальный профиль
Журнал аудита безопасности SAP — это наиболее важный источник данных, который решение Microsoft Sentinel для приложений SAP® использует для анализа действий в ландшафте SAP. Включение этого журнала является минимальным требованием для обеспечения какого-либо покрытия безопасности.
файл systemconfig.ini
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False
Дальнейшие действия
Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:
- Развертывание решения Microsoft Sentinel для приложений SAP®
- Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
- Развертывание запросов на изменение (CR) SAP и настройка авторизации
- Развертывание содержимого решения из центра содержимого
- Развертывание и настройка контейнера для размещения агента соединителя данных SAP
- Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
- Включение и настройка аудита SAP
- Мониторинг работоспособности системы SAP
- Получение журналов аудита SAP HANA
Устранение неполадок:
Справочные файлы:
- Справочник по данным решения Microsoft Sentinel для приложений SAP®
- Решение Microsoft Sentinel для приложений SAP®: справочник по содержимому системы безопасности
- Справочные материалы по обновлению скриптов
- Справочные материалы по файлу systemconfig.ini
Дополнительные сведения см. в статье Решения Microsoft Sentinel.