Aktivera och konfigurera SAP-granskning för Microsoft Sentinel
Den här artikeln visar hur du aktiverar och konfigurerar granskning för Microsoft Sentinel-lösningen för SAP-program®, så att du kan få fullständig insyn i din SAP-lösning.
Viktigt!
Vi rekommenderar starkt att all hantering av DITT SAP-system utförs av en erfaren SAP-systemadministratör.
Stegen i den här artikeln kan variera beroende på SAP-systemets version och bör endast betraktas som ett exempel.
Vissa installationer av SAP-system kanske inte har granskningsloggen aktiverad som standard. För bästa resultat vid utvärdering av prestanda och effekt för Microsoft Sentinel-lösningen för SAP-program® kan du aktivera granskning av SAP-systemet och konfigurera granskningsparametrarna.
Milstolpar för distribution
Spåra distributionsresan för SAP-lösningen genom den här serien med artiklar:
Arbeta med lösningen på flera arbetsytor (FÖRHANDSVERSION)
Konfigurera granskning (du är här)
Valfria distributionssteg
Kontrollera om granskning är aktiverat
Logga in på SAP-gränssnittet och kör RSAU_CONFIG transaktionen.
I fönstret Säkerhetsgranskningslogg – Visning av aktuell konfiguration hittar du avsnittet Parameter i avsnittet Konfiguration . Under Allmänna parametrar ser du att kryssrutan Statisk säkerhetsgranskning är markerad.
Aktivera granskning
Viktigt!
Din granskningsprincip bör fastställas i nära samarbete med SAP-administratörer och din säkerhetsavdelning.
Logga in på SAP-gränssnittet och kör RSAU_CONFIG transaktionen.
På skärmen Säkerhetsgranskningslogg väljer du Parameter under avsnittet Konfiguration av säkerhetsgranskningslogg i konfigurationsträdet.
Om kryssrutan Statisk säkerhetsgranskning är markerad aktiveras granskning på systemnivå. Om den inte är det väljer du Visa <–> Ändra och markerar kryssrutan Statisk säkerhetsgranskning aktiv .
Som standard loggar SAP-systemet klientnamnet (terminal-ID) i stället för klientens IP-adress. Om du vill att systemet ska logga efter klientens IP-adress i stället markerar du kryssrutan Logg peer-adress, inte terminal-ID i avsnittet Allmänna parametrar .
Om du har ändrat några inställningar i avsnittet Konfiguration av säkerhetsgranskningslogg – parameter väljer du Spara för att spara ändringarna. Granskning aktiveras först när servern har startats om.
Viktigt!
SAP-program som körs i Windows OS bör överväga rekommendationer i SAP Note 2360334 om granskningsloggen inte läss korrekt efter installationen.
Högerklicka på Statisk konfiguration och välj Skapa profil.
Ange ett namn för profilen i fältet Profil/Filternummer .
Kommentar
Vanilla SAP-installationen kräver det här ytterligare steget: högerklicka på profilen som du har skapat och skapa ett nytt filter.
Markera kryssrutan Filtrera för att spela in aktiv .
I fältet Klient anger du
*
.I fältet Användare anger du
*
.Under Händelseval väljer du Klassisk händelseval och markerar alla händelsetyper i listan.
Välj Spara.
Du ser att avsnittet Statisk konfiguration visar den nyligen skapade profilen. Högerklicka på profilen och välj Aktivera.
I bekräftelsefönstret väljer du Ja för att aktivera den nyligen skapade profilen.
Kommentar
Statisk konfiguration börjar gälla först efter en omstart av systemet. För en omedelbar konfiguration skapar du ytterligare ett dynamiskt filter med samma egenskaper genom att högerklicka på den nyligen skapade statiska profilen och välja "tillämpa på dynamisk konfiguration".
Nästa steg
I den här artikeln har du lärt dig hur du aktiverar och konfigurerar SAP-granskning för Microsoft Sentinel.