Şüpheli yapılandırma değişikliklerini algılamak için izlenen SAP güvenlik parametreleri
Bu makalede SAP uygulamaları için Microsoft Sentinel çözümünün SAP - (Önizleme) Hassas Statik Parametresinin Analiz kuralını değiştirdiği bir parçası olarak izlediği SAP sistemindeki statik güvenlik parametreleri listelenmektedir.
SAP uygulamaları için Microsoft Sentinel çözümü, SAP en iyi uygulama değişikliklerine göre bu içerik için güncelleştirmeler sağlar. Değerleri kuruluşunuzun gereksinimlerine göre değiştirerek ve SAPSystemParameters izleme listesinde belirli parametreleri kapatarak izleyebileceğiniz parametreler ekleyin.
Bu makale parametreleri açıklamaz ve parametreleri yapılandırma önerisi değildir. Yapılandırma konusunda dikkat edilmesi gerekenler için SAP yöneticilerinize başvurun. Parametre açıklamaları için SAP belgelerine bakın.
Bu makaledeki içerik SAP BASIS ekiplerinize yöneliktir.
Önkoşullar
SAP uygulamalarına yönelik Microsoft Sentinel çözümünün SAP güvenlik parametrelerini başarıyla izlemesi için, çözümün SAP PAHI tablosunu düzenli aralıklarla başarıyla izlemesi gerekir. Daha fazla bilgi için bkz . PAHI tablosunun düzenli aralıklarla güncelleştirildiğini doğrulama.
Kimlik doğrulama parametreleri
| Parametre | Güvenlik değeri/dikkat edilmesi gerekenler |
|---|---|
| kimlik doğrulaması/no_check_in_some_cases | Bu parametre performansı geliştirebileceğinden, kullanıcıların izinleri olmayabilir eylemleri gerçekleştirmesine izin vererek de bir güvenlik riski oluşturabilir. |
| kimlik doğrulaması/object_disabling_active | Gereksiz izinlere sahip etkin olmayan hesapların sayısını azaltarak güvenliği artırmaya yardımcı olabilir. |
| kimlik doğrulaması/rfc_authority_check | Yüksek. Bu parametrenin etkinleştirilmesi, RFC'ler aracılığıyla hassas verilere ve işlevlere yetkisiz erişimi önlemeye yardımcı olur. |
Ağ geçidi parametreleri
| Parametre | Güvenlik değeri/dikkat edilmesi gerekenler |
|---|---|
| gw/accept_remote_trace_level | parametresi, dış sistemlerden kabul edilen izleme düzeyini kısıtlanacak şekilde yapılandırılabilir. Daha düşük bir izleme düzeyi ayarlamak, dış sistemlerin SAP sisteminin iç çalışmalarıyla ilgili edinebileceği bilgi miktarını azaltabilir. |
| gw/acl_mode | Yüksek. Bu parametre ağ geçidine erişimi denetler ve SAP sistemine yetkisiz erişimi önlemeye yardımcı olur. |
| gw/günlüğe kaydetme | Yüksek. Bu parametre şüpheli etkinlikleri veya olası güvenlik ihlallerini izlemek ve algılamak için kullanılabilir. |
| gw/monitör | |
| gw/sim_mode | Bu parametrenin etkinleştirilmesi test amacıyla yararlı olabilir ve hedef sistemde istenmeyen değişikliklerin önlenmesine yardımcı olabilir. |
Internet Communication Manager (ICM) parametreleri
| Parametre | Güvenlik değeri/dikkat edilmesi gerekenler |
|---|---|
| icm/accept_remote_trace_level | Orta Uzaktan izleme düzeyinde değişikliklere izin vermek, saldırganlara değerli tanılama bilgileri sağlayabilir ve sistem güvenliğini tehlikeye atabilir. |
Oturum açma parametreleri
| Parametre | Güvenlik değeri/dikkat edilmesi gerekenler |
|---|---|
| oturum açma/accept_sso2_ticket | SSO2'nin etkinleştirilmesi daha kolay ve kullanışlı bir kullanıcı deneyimi sağlayabilir, ancak ek güvenlik riskleri de getirir. Bir saldırgan geçerli bir SSO2 biletine erişim kazanırsa, meşru bir kullanıcının kimliğine bürünebilir ve hassas verilere yetkisiz erişim elde edebilir veya kötü amaçlı eylemler gerçekleştirebilir. |
| oturum açma/create_sso2_ticket | |
| oturum açma/disable_multi_gui_login | Bu parametre, kullanıcıların aynı anda yalnızca bir oturumda oturum açtıklarından emin olarak güvenliği artırmaya yardımcı olabilir. |
| oturum açma/failed_user_auto_unlock | |
| oturum açma/fails_to_session_end | Yüksek. Bu parametre, kullanıcı hesaplarında deneme yanılma saldırılarını önlemeye yardımcı olur. |
| oturum açma/fails_to_user_lock | Sisteme yetkisiz erişimi önlemeye ve kullanıcı hesaplarının gizliliğinin tehlikeye girmesini önlemeye yardımcı olur. |
| oturum açma/min_password_diff | Yüksek. En az sayıda karakter farkı gerektirmek, kullanıcıların kolayca tahmin edilebilen zayıf parolalar seçmesini önlemeye yardımcı olabilir. |
| oturum açma/min_password_digits | Yüksek. Bu parametre parolaların karmaşıklığını artırır ve tahmin etmelerini veya kırmalarını zorlaştırır. |
| oturum açma/min_password_letters | Kullanıcının parolasına eklenmesi gereken en az harf sayısını belirtir. Daha yüksek bir değer ayarlamak, parola gücünü ve güvenliğini artırmaya yardımcı olur. |
| oturum açma/min_password_lng | Parolanın en düşük uzunluğunu belirtir. Bu parametre için daha yüksek bir değer ayarlamak, parolaların kolayca tahmin edilmesini sağlayarak güvenliği artırabilir. |
| oturum açma/min_password_lowercase | |
| oturum açma/min_password_specials | |
| oturum açma/min_password_uppercase | |
| oturum açma/multi_login_users | Bu parametrenin etkinleştirilmesi, tek bir kullanıcının eşzamanlı oturum açma sayısını sınırlayarak SAP sistemlerine yetkisiz erişimi önlemeye yardımcı olabilir. Bu parametre olarak 0ayarlandığında, kullanıcı başına yalnızca bir oturum açma oturumuna izin verilir ve diğer oturum açma girişimleri reddedilir. Bu, kullanıcının oturum açma kimlik bilgilerinin gizliliğinin tehlikeye düşmesi veya başkalarıyla paylaşılma ihtimaline karşı SAP sistemlerine yetkisiz erişimi önlemeye yardımcı olabilir. |
| oturum açma/no_automatic_user_sapstar | Yüksek. Bu parametre, varsayılan SAP* hesabı aracılığıyla SAP sistemine yetkisiz erişimi önlemeye yardımcı olur. |
| oturum açma/password_change_for_SSO | Yüksek. Parola değişikliklerini zorunlu tutma, kimlik avı veya başka yollarla geçerli kimlik bilgileri edinmiş olabilecek saldırganların sisteme yetkisiz erişimini önlemeye yardımcı olabilir. |
| oturum açma/password_change_waittime | Bu parametre için uygun bir değer ayarlamak, kullanıcıların parolalarını SAP sisteminin güvenliğini korumak için yeterince düzenli olarak değiştirmelerine yardımcı olabilir. Aynı zamanda, kullanıcıların parolaları yeniden kullanma veya hatırlaması daha kolay olan zayıf parolaları seçme olasılığı daha yüksek olabileceğinden, bekleme süresini çok kısa ayarlamak ters etkilenebilir. |
| oturum açma/password_compliance_to_current_policy | Yüksek. Bu parametrenin etkinleştirilmesi, kullanıcıların parolaları değiştirirken geçerli parola ilkesine uymasını sağlamaya yardımcı olabilir ve bu da SAP sistemlerine yetkisiz erişim riskini azaltır. Bu parametre olarak 1ayarlandığında, kullanıcılardan parolalarını değiştirirken geçerli parola ilkesine uymaları istenir. |
| oturum açma/password_downwards_compatibility | |
| oturum açma/password_expiration_time | Bu parametrenin daha düşük bir değere ayarlanması, parolaların sık sık değiştirilmesini sağlayarak güvenliği artırabilir. |
| oturum açma/password_history_size | Bu parametre, kullanıcıların aynı parolaları tekrar tekrar kullanmasını engeller ve bu da güvenliği artırabilir. |
| oturum açma/password_max_idle_initial | Bu parametre için daha düşük bir değer ayarlamak, boşta kalan oturumların uzun süre açık bırakılmamasını sağlayarak güvenliği artırabilir. |
| oturum açma/ticket_only_by_https | Yüksek. Bilet iletimi için HTTPS kullanılması, aktarımdaki verileri şifreleyerek daha güvenli hale getirir. |
Uzak dağıtıcı parametreleri
| Parametre | Güvenlik değeri/dikkat edilmesi gerekenler |
|---|---|
| rdisp/gui_auto_logout | Yüksek. etkin olmayan kullanıcıların otomatik olarak oturumunu kapatma, kullanıcının iş istasyonuna erişimi olabilecek saldırganlar tarafından sisteme yetkisiz erişimin engellenmesine yardımcı olabilir. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Bu parametrenin etkinleştirilmesi, parola ilkelerini zorunlu kılarken ve SAP sistemlerine yetkisiz erişimi engellerken yararlı olabilir. Bu parametre olarak 1ayarlandığında, kullanıcının parolasının süresi dolduysa RFC bağlantıları reddedilir ve kullanıcıdan bağlanabilmesi için önce parolasını değiştirmesi istenir. Bu, sisteme yalnızca geçerli parolaları olan yetkili kullanıcıların erişebilmesini sağlamaya yardımcı olur. |
| rsau/enable | Yüksek. Bu Güvenlik Denetimi günlüğü, güvenlik olaylarını algılamak ve araştırmak için değerli bilgiler sağlayabilir. |
| rsau/max_diskspace/local | Bu parametre için uygun bir değer ayarlamak, yerel denetim günlüklerinin çok fazla disk alanı tüketmesini önlemeye yardımcı olur ve bu da sistem performansı sorunlarına ve hatta hizmet reddi saldırılarına yol açabilir. Öte yandan, çok düşük bir değer ayarlamak, uyumluluk ve denetim için gerekli olabilecek denetim günlüğü verilerinin kaybolmasına neden olabilir. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Uygun bir değer ayarlamak, denetim dosyalarının boyutunu yönetmeye ve depolama sorunlarını önlemeye yardımcı olur. |
| rsau/selection_slots | Güvenlik ihlalinde yararlı olabilecek denetim dosyalarının daha uzun bir süre saklanmasını sağlamaya yardımcı olur. |
| rspo/auth/pagelimit | Bu parametre SAP sisteminin güvenliğini doğrudan etkilemez, ancak hassas yetkilendirme verilerine yetkisiz erişimi önlemeye yardımcı olabilir. Sayfa başına görüntülenen girdi sayısını sınırlayarak, yetkisiz kişilerin hassas yetkilendirme bilgilerini görüntüleme riskini azaltabilir. |
Güvenli ağ iletişimi (SNC) parametreleri
| Parametre | Güvenlik değeri/dikkat edilmesi gerekenler |
|---|---|
| snc/accept_insecure_cpic | Bu parametrenin etkinleştirilmesi, en düşük güvenlik standartlarına uymayen SNC korumalı bağlantıları kabul ettiğinden veri kesme veya işleme riskini artırabilir. Bu nedenle, bu parametre için önerilen güvenlik değeri olarak ayarlamaktır 0. Bu, yalnızca en düşük güvenlik gereksinimlerini karşılayan SNC bağlantılarının kabul edildiği anlamına gelir. |
| snc/accept_insecure_gui | SAP GUI aracılığıyla yapılan SNC bağlantılarının güvenli olduğundan emin olmak ve hassas verilere yetkisiz erişim veya kesme riskini azaltmak için bu parametrenin 0 değerini olarak ayarlanması önerilir. Güvenli olmayan SNC bağlantılarına izin vermek, hassas bilgilere yetkisiz erişim veya veri kesme riskini artırabilir ve yalnızca belirli bir ihtiyaç olduğunda ve riskler düzgün değerlendirildiğinde yapılmalıdır. |
| snc/accept_insecure_r3int_rfc | Bu parametrenin etkinleştirilmesi, en düşük güvenlik standartlarına uymayen SNC korumalı bağlantıları kabul ettiğinden veri kesme veya işleme riskini artırabilir. Bu nedenle, bu parametre için önerilen güvenlik değeri olarak ayarlamaktır 0. Bu, yalnızca en düşük güvenlik gereksinimlerini karşılayan SNC bağlantılarının kabul edildiği anlamına gelir. |
| snc/accept_insecure_rfc | Bu parametrenin etkinleştirilmesi, en düşük güvenlik standartlarına uymayen SNC korumalı bağlantıları kabul ettiğinden veri kesme veya işleme riskini artırabilir. Bu nedenle, bu parametre için önerilen güvenlik değeri olarak ayarlamaktır 0. Bu, yalnızca en düşük güvenlik gereksinimlerini karşılayan SNC bağlantılarının kabul edildiği anlamına gelir. |
| snc/data_protection/max | Bu parametre için yüksek bir değer ayarlamak, veri koruma düzeyini artırabilir ve veri kesme veya işleme riskini azaltabilir. Bu parametre için önerilen güvenlik değeri, kuruluşun belirli güvenlik gereksinimlerine ve risk yönetimi stratejisine bağlıdır. |
| snc/data_protection/dk | Bu parametre için uygun bir değer ayarlamak, SNC korumalı bağlantıların en düşük düzeyde veri koruması sağlamasına yardımcı olur. Bu ayar, hassas bilgilerin saldırganlar tarafından kesilmesini veya manipüle edilmesini önlemeye yardımcı olur. Bu parametrenin değeri SAP sisteminin güvenlik gereksinimlerine ve SNC korumalı bağlantılar üzerinden iletilen verilerin duyarlılığına göre ayarlanmalıdır. |
| snc/data_protection/use | |
| snc/enable | Etkinleştirildiğinde, SNC sistemler arasında iletilen verileri şifreleyerek ek bir güvenlik katmanı sağlar. |
| snc/extid_login_diag | Bu parametrenin etkinleştirilmesi, ek tanılama bilgileri sağladığından SNC ile ilgili sorunları gidermek için yararlı olabilir. Ancak parametresi, sistem tarafından kullanılan dış güvenlik ürünleriyle ilgili hassas bilgileri de kullanıma sunabilir ve bu bilgiler yanlış ellere geçerse olası bir güvenlik riski olabilir. |
| snc/extid_login_rfc |
Web dağıtıcısı parametreleri
| Parametre | Güvenlik değeri/dikkat edilmesi gerekenler |
|---|---|
| wdisp/ssl_encrypt | Yüksek. Bu parametre, HTTP üzerinden iletilen verilerin şifrelenmesini sağlar ve bu da gizlice dinlemeyi ve veri üzerinde oynanmasını önlemeye yardımcı olur. |
İlgili içerik
Daha fazla bilgi için bkz.