SAP® uygulamaları için Microsoft Sentinel çözümünü yapılandırma
Not
Azure Sentinel artık Microsoft Sentinel olarak adlandırılıyor ve önümüzdeki haftalarda bu sayfaları güncelleştireceğiz. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi edinin.
Bu makalede SAP® uygulamaları için Microsoft Sentinel çözümünü yapılandırmaya yönelik en iyi yöntemler sağlanmaktadır. Tam dağıtım işlemi, Dağıtım kilometre taşları altında bağlantılı bir dizi makalenin tamamında ayrıntılı olarak anlatılır.
Önemli
SAP® uygulamaları için Microsoft Sentinel çözümünün bazı bileşenleri şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya başka bir şekilde genel kullanıma sunulmayan Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Microsoft Sentinel'de veri toplayıcı aracısının ve çözümünün dağıtımı, SAP sistemlerini şüpheli etkinlikler için izleme ve tehditleri belirleme olanağı sağlar. Ancak, en iyi sonuçlar için çözümü çalıştırmaya yönelik en iyi yöntemler SAP dağıtımına çok bağımlı olan birkaç ek yapılandırma adımının gerçekleştirilmesini kesinlikle önerir.
Dağıtım kilometre taşları
Bu makale serisi aracılığıyla SAP çözümü dağıtım yolculuğunuzu izleyin:
Birden çok çalışma alanında çözümle çalışma (ÖNİzLEME)
SAP uygulamaları® için Microsoft Sentinel çözümünü içerik hub'ından dağıtma
SAP® uygulamaları için Microsoft Sentinel çözümünü yapılandırma (Buradasınız)
İsteğe bağlı dağıtım adımları
İzleme listelerini yapılandırma
SAP® uygulamaları yapılandırması için Microsoft Sentinel çözümü, sağlanan izleme listelerinde müşteriye özgü bilgiler sağlayarak gerçekleştirilir.
Not
İlk çözüm dağıtımının ardından izleme listelerinin verilerle doldurulmaları biraz zaman alabilir. İzleme listesini düzenler ve boş olduğunu fark ederseniz, lütfen birkaç dakika bekleyin ve düzenleme için izleme listesini açmayı yeniden deneyin.
SAP - Sistemler izleme listesi
SAP - Sistemler izleme listesi, izlenen ortamda hangi SAP Sistemlerinin mevcut olduğunu tanımlar. Her sistem için SID değerini( üretim sistemi mi yoksa geliştirme/test ortamı mı) ve açıklama olarak belirtin. Bu bilgiler bazı analiz kuralları tarafından kullanılır ve ilgili olaylar bir Geliştirme veya Üretim sisteminde görünürse farklı tepki verebilir.
SAP - Ağlar izleme listesi
SAP - Ağlar izleme listesi, kuruluş tarafından kullanılan tüm ağları özetler. Birincil olarak, kullanıcı oturum açma kaynağının beklenmedik şekilde değiştiğinde, kullanıcı oturum açmalarının ağın bilinen kesimlerinden kaynaklanıp kaynaklanmadığını belirlemek için kullanılır.
Ağ topolojisini belgelemenin bir dizi yaklaşımı vardır. 172.16.0.0/16 gibi çok çeşitli adresler tanımlayabilir ve bu aralığın dışından oturum açmaları izlemek için yeterli olacak şekilde "Kurumsal Ağ" olarak adlandırabilirsiniz. Ancak daha segmentli bir yaklaşım, olası atipik etkinliklere daha iyi görünürlük sağlar.
Örneğin: Aşağıdaki iki segmenti ve bunların coğrafi konumlarını tanımlayın:
Segment | Konum |
---|---|
192.168.10.0/23 | Batı Avrupa |
10.15.0.0/16 | Avustralya |
Artık Microsoft Sentinel, 192.168.10.15 (ilk segmentte) olan oturum açma işlemini 10.15.2.1'den (ikinci segmentte) ayırt edebilir ve bu tür bir davranışın atipik olarak tanımlanması durumunda sizi uyarır.
Hassas veri izleme listeleri
- SAP - Hassas İşlev Modülleri
- SAP - Hassas Tablolar
- SAP - Hassas ABAP Programları
- SAP - Hassas İşlemler
Bu izleme listelerinin tümü, kullanıcılar tarafından gerçekleştirilebilecek veya erişilebilen hassas eylemleri veya verileri tanımlar. İzleme listelerinde birçok iyi bilinen işlem, tablo ve yetkilendirme önceden yapılandırılmıştır, ancak SAP ortamınızda hangi işlemlerin, işlemlerin, yetkilendirmelerin ve tabloların hassas olarak kabul edildiğini belirlemek için SAP BASIS ekibine danışmanızı öneririz.
Kullanıcı ana veri izleme listeleri
- SAP - Hassas Profiller
- SAP - Hassas Roller
- SAP - Ayrıcalıklı Kullanıcılar
- SAP - Kritik Yetkilendirmeler
SAP® uygulamaları için Microsoft Sentinel çözümü, hangi kullanıcıların, profillerin ve rollerin hassas olarak kabul edilmesi gerektiğini belirlemek için SAP sistemlerinden toplanan Kullanıcı Yöneticisi verilerini kullanır. bazı örnek veriler izleme listelerine dahil edilir, ancak hassas kullanıcıları, rolleri ve profilleri belirlemek ve izleme listelerini buna göre doldurmak için SAP BASIS ekibine danışmanızı öneririz.
Analiz kurallarını etkinleştirmeye başlama
Varsayılan olarak, SAP® uygulamaları için Microsoft Sentinel çözümünde sağlanan tüm analiz kuralları uyarı kuralı şablonları olarak sağlanır. Bir kerede şablonlardan birkaç kuralın oluşturulduğu ve her senaryoda ince ayarlamaya zaman tanıyacak şekilde hazırlanmış bir yaklaşım öneririz. Aşağıdaki kuralların uygulanması en kolay, bu nedenle en iyisi şunlarla başlamaktır:
- Hassas Ayrıcalıklı Kullanıcıda Değişiklik
- İstemci yapılandırma değişikliği
- Hassas ayrıcalıklı kullanıcı oturumu açma
- Hassas ayrıcalıklı kullanıcı diğer kullanıcılarda değişiklik yapar
- Hassas ayrıcalıklı kullanıcı parolası değiştirme ve oturum açma
- İşlev modülü test edildi
Belirli SAP günlüklerinin alımını etkinleştirme veya devre dışı bırakma
Belirli bir günlüğün alımını etkinleştirmek veya devre dışı bırakmak için:
- Bağlayıcının VM'sinde /opt/sapcon/SID/ altında bulunan systemconfig.json dosyasını düzenleyin.
- Yapılandırma dosyasının içinde ilgili günlüğü bulun ve aşağıdakilerden birini yapın:
- Günlüğü etkinleştirmek için değerini olarak
True
değiştirin. - Günlüğü devre dışı bırakmak için değerini olarak
False
değiştirin.
- Günlüğü etkinleştirmek için değerini olarak
Örneğin, için alımı durdurmak için ABAPJobLog
değerini False
olarak değiştirin:
"abapjoblog": "True",
Systemconfig.json dosya başvurusundaki kullanılabilir günlüklerin listesini gözden geçirin.
Ayrıca , kullanıcı ana veri tablolarını alma işlemini durdurabilirsiniz.
Not
Günlüklerden veya tablolardan birini durdurduğunızda, bu günlüğü kullanan çalışma kitapları ve analiz sorguları çalışmayabilir. Her çalışma kitabının hangi günlüğü kullandığını ve heranalitik kuralın hangi günlüğü kullandığını anlayın.
Günlük alımını durdurma ve bağlayıcıyı devre dışı bırakma
SAP günlüklerinin Microsoft Sentinel çalışma alanına alımını durdurmak ve Docker kapsayıcısından veri akışını durdurmak için şu komutu çalıştırın:
docker stop sapcon-[SID/agent-name]
Çoklu SID kapsayıcısı için belirli bir SID'nin alımını durdurmak için, Sentinel'deki bağlayıcı sayfası kullanıcı arabiriminden SID'yi silmeniz gerekir Docker kapsayıcısı durur ve Microsoft Sentinel çalışma alanına başka SAP günlüğü göndermez. Bu, bağlayıcıyla ilgili SAP sistemi için hem alımı hem de faturalamayı durdurur.
Docker kapsayıcısını yeniden etkinleştirmek istiyorsanız şu komutu çalıştırın:
docker start sapcon-[SID]
ABAP sisteminizde yüklü kullanıcı rolünü ve isteğe bağlı CR'yi kaldırın
Kullanıcı rolünü ve sisteminize aktarılan isteğe bağlı CR'yi kaldırmak için silme CR NPLK900259 ABAP sisteminize aktarın.
Sonraki adımlar
SAP® uygulamaları için Microsoft Sentinel çözümü hakkında daha fazla bilgi edinin:
- SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma
- SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları
- SAP Değişiklik İsteklerini (CR) dağıtma ve yetkilendirmeyi yapılandırma
- SAP veri bağlayıcısı aracısını barındıran kapsayıcıyı dağıtma ve yapılandırma
- SAP güvenlik içeriğini dağıtma
- SAP sisteminizin durumunu izleme
- SNC ile SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtma
- SAP denetimini etkinleştirme ve yapılandırma
- SAP HANA denetim günlüklerini toplama
Sorun Giderme:
Başvuru dosyaları:
- SAP® uygulamaları için Microsoft Sentinel çözümü veri başvurusu
- SAP® uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu
- Kickstart betik başvurusu
- Betik başvurusunu güncelleştirme
- dosya başvurusuSystemconfig.ini
Daha fazla bilgi için bkz. Microsoft Sentinel çözümleri.