Konfigurera Microsoft Sentinel-lösning för SAP-program®
Anteckning
Azure Sentinel kallas nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna i Microsoft.
Den här artikeln innehåller metodtips för att konfigurera Microsoft Sentinel-lösningen för SAP-program®. Den fullständiga distributionsprocessen beskrivs i en hel uppsättning artiklar som är länkade under Milstolpar för distribution.
Viktigt
Vissa komponenter i Microsoft Sentinel-lösningen för SAP-program® finns för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Distribution av datainsamlaragenten och lösningen i Microsoft Sentinel ger dig möjlighet att övervaka SAP-system för misstänkta aktiviteter och identifiera hot. För bästa resultat rekommenderar dock metodtips för att använda lösningen starkt att utföra flera ytterligare konfigurationssteg som är mycket beroende av SAP-distributionen.
Milstolpar för distribution
Spåra distributionsresan för SAP-lösningen genom den här serien med artiklar:
Arbeta med lösningen på flera arbetsytor (FÖRHANDSVERSION)
Distribuera Microsoft Sentinel-lösningen för SAP-program® från innehållshubben
Konfigurera Microsoft Sentinel-lösning för SAP-program® (du är här)
Valfria distributionssteg
Konfigurera visningslistor
Microsoft Sentinel-lösningen för KONFIGURATION av SAP-program® utförs genom att tillhandahålla kundspecifik information i de etablerade visningslistan.
Anteckning
Efter den första lösningsdistributionen kan det ta lite tid innan visningslistor fylls i med data. Om du redigerar en visningslista och upptäcker att den är tom väntar du några minuter och försöker öppna visningslistan igen för redigering.
SAP – systembevakningslista
SAP – Övervakningslistan för system definierar vilka SAP-system som finns i den övervakade miljön. För varje system anger du dess SID, oavsett om det är ett produktionssystem eller en utvecklings-/testmiljö, samt en beskrivning. Den här informationen används av vissa analysregler, som kan reagera annorlunda om relevanta händelser förekommer i ett utvecklingssystem eller ett produktionssystem.
SAP – lista över nätverksbevakning
SAP – Listan över nätverksövervakare beskriver alla nätverk som används av organisationen. Den används främst för att identifiera om användarinloggningar kommer från kända segment i nätverket eller inte, även om användarens inloggnings ursprung ändras oväntat.
Det finns ett antal metoder för att dokumentera nätverkstopologi. Du kan definiera ett brett adressintervall, till exempel 172.16.0.0/16, och ge det namnet "Företagsnätverk", vilket är tillräckligt bra för att spåra inloggningar utanför intervallet. En mer segmenterad metod ger dig dock bättre insyn i potentiellt atypisk aktivitet.
Till exempel: definiera följande två segment och deras geografiska platser:
| Segment | Location |
|---|---|
| 192.168.10.0/23 | Västeuropa |
| 10.15.0.0/16 | Australien |
Nu kan Microsoft Sentinel skilja en inloggning från 192.168.10.15 (i det första segmentet) från en inloggning från 10.15.2.1 (i det andra segmentet) och varna dig om ett sådant beteende identifieras som atypiskt.
Visningslistor för känsliga data
- SAP – Moduler för känsliga funktioner
- SAP – känsliga tabeller
- SAP – Känsliga ABAP-program
- SAP – känsliga transaktioner
Alla dessa visningslistor identifierar känsliga åtgärder eller data som kan utföras eller användas av användare. Flera välkända åtgärder, tabeller och auktoriseringar har förkonfigurerats i bevakningslistan, men vi rekommenderar att du kontaktar SAP BASIS-teamet för att identifiera vilka åtgärder, transaktioner, auktoriseringar och tabeller som anses vara känsliga i DIN SAP-miljö.
Visningslistor för användarbakgrundsdata
- SAP – känsliga profiler
- SAP – känsliga roller
- SAP – Privilegierade användare
- SAP – kritiska auktoriseringar
Microsoft Sentinel-lösningen för SAP-program® använder användarhuvuddata som samlats in från SAP-system för att identifiera vilka användare, profiler och roller som ska betraktas som känsliga. Vissa exempeldata ingår i visningslistan, men vi rekommenderar att du kontaktar SAP BASIS-teamet för att identifiera känsliga användare, roller och profiler och fylla i bevakningslistan i enlighet med detta.
Börja aktivera analysregler
Som standard tillhandahålls alla analysregler i Microsoft Sentinel-lösningen för SAP-program® som mallar för aviseringsregler. Vi rekommenderar en stegvis metod, där några regler skapas från mallar i taget, vilket ger tid för finjustering av varje scenario. Vi anser att följande regler är enklast att implementera, så det är bäst att börja med följande:
- Ändring i känslig privilegierad användare
- Ändring av klientkonfiguration
- Känslig privilegierad användarinloggning
- Känslig privilegierad användare gör en ändring i andra
- Lösenordsändring och inloggning för användare med känslig behörighet
- Funktionsmodul testad
Aktivera eller inaktivera inmatning av specifika SAP-loggar
Så här aktiverar eller inaktiverar du inmatning av en specifik logg:
- Redigera filen systemconfig.json som finns under /opt/sapcon/SID/ på anslutningsappens virtuella dator.
- Leta upp den relevanta loggen i konfigurationsfilen och gör något av följande:
- Om du vill aktivera loggen ändrar du värdet till
True. - Om du vill inaktivera loggen ändrar du värdet till
False.
- Om du vill aktivera loggen ändrar du värdet till
Om du till exempel vill stoppa inmatningen ABAPJobLogför ändrar du värdet till False:
"abapjoblog": "True",
Granska listan över tillgängliga loggar i filreferensen Systemconfig.json.
Du kan också sluta mata in användarens huvuddatatabeller.
Anteckning
När du har stoppat en av loggarna eller tabellerna kanske arbetsböckerna och analysfrågorna som använder loggen inte fungerar. Förstå vilken logg som varje arbetsbok använder och förstå vilken logg som varje analysregel använder.
Stoppa logginmatningen och inaktivera anslutningsappen
Om du vill sluta mata in SAP-loggar på Microsoft Sentinel-arbetsytan och stoppa dataströmmen från Docker-containern kör du det här kommandot:
docker stop sapcon-[SID/agent-name]
Om du vill sluta mata in ett specifikt SID för en container med flera SID måste du ta bort SID från anslutningssidans användargränssnitt i Sentinel Docker-containern stoppas och skickar inte fler SAP-loggar till Microsoft Sentinel-arbetsytan. Detta stoppar både inmatning och fakturering för SAP-systemet som är relaterat till anslutningsappen.
Om du behöver återaktivera Docker-containern kör du det här kommandot:
docker start sapcon-[SID]
Ta bort användarrollen och den valfria CR som är installerad i ABAP-systemet
Om du vill ta bort användarrollen och den valfria CR som importerats till systemet importerar du cr-NPLK900259 för borttagning till ditt ABAP-system.
Nästa steg
Läs mer om Microsoft Sentinel-lösningen för SAP-program®:
- Distribuera Microsoft Sentinel-lösning för SAP-program®
- Förutsättningar för att distribuera Microsoft Sentinel-lösning för SAP-program®
- Distribuera SAP Change Requests (CRs) och konfigurera auktorisering
- Distribuera och konfigurera en container som är värd för SAP-dataanslutningsagenten
- Distribuera SAP-säkerhetsinnehåll
- Övervaka hälsotillståndet för ditt SAP-system
- Distribuera Microsoft Sentinel för SAP-dataanslutningsappen med SNC
- Aktivera och konfigurera SAP-granskning
- Samla in SAP HANA-granskningsloggar
Felsökning:
Referensfiler:
- Datareferens för Microsoft Sentinel-lösning för SAP-program®
- Microsoft Sentinel-lösning för SAP-program®: referens för säkerhetsinnehåll
- Referens för Kickstart-skript
- Uppdatera skriptreferens
- Systemconfig.ini filreferens
Mer information finns i Microsoft Sentinel-lösningar.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för