通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

启用 SAP 检测和威胁防护。

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

通过部署适用于 SAP 的 Microsoft Sentinel 数据收集器和解决方案,你可以监视 SAP 系统是否有可疑活动并发现威胁,但你还需要执行额外的配置步骤来确保相应解决方案针对 SAP 部署进行了优化。 本文提供了有关开始使用适用于 SAP 的 Microsoft Sentinel 解决方案应用程序提供的安全内容的最佳做法,这是部署 SAP 集成的最后一步。

重要

SAP 的数据连接器代理即将 弃用 ,将于 2026 年 9 月 14 日永久禁用。 我们建议您 迁移到无代理数据连接器。 想了解更多关于无代理方法的信息,请参阅我们的 博客文章

SAP 解决方案部署流的示意图,其中突出显示了“配置解决方案设置”步骤。

SAP 解决方案部署流的示意图,其中突出显示了“配置解决方案设置”步骤。

本文的内容与安全团队相关。

必备条件

在按照本文所述进行设置配置之前,必须安装 Microsoft Sentinel SAP 解决方案,并配置好数据连接器。

有关详细信息,请参阅从内容中心部署适用于 SAP 的 Microsoft Sentinel 解决方案应用程序部署适用于 SAP 的 Microsoft Sentinel 解决方案应用程序

小窍门

使用博客系列“如何成功评估 SAP for Sentinel 解决方案并在生产中实施”,详细了解最佳做法。

开始启用分析规则

默认情况下,适用于 SAP 的 Microsoft Sentinel 解决方案应用程序中的所有分析规则都以警报规则模板的形式提供。 我们建议采用分阶段的方法,即使用模板一次性创建多个规则,以便有时间针对每个应用场景进行优化。

我们建议先采用以下这些分析规则,因为它们相对来说更容易进行测试:

有关详细信息,请参阅内置分析规则Microsoft Sentinel 中的威胁检测

配置监视列表

通过在以下监视列表中提供特定于客户的信息,配置适用于 SAP 的 Microsoft Sentinel 解决方案应用程序:

播放列表名称 配置详细信息
SAP - 系统 SAP - 系统监视列表定义监视环境中存在的 SAP 系统。

对于每个系统,请指定:
- SID
- 无论是生产系统还是开发/测试环境。 在监视列表中定义此项不会影响计费,而只会影响分析规则。 例如,在测试阶段,你可能会希望将测试系统用作生产系统。
- 有意义的说明

配置的数据会被某些分析规则所使用,而这些规则在面对相关事件出现在开发系统还是生产系统时可能会产生不同的反应。
SAP - 网络 SAP - 网络监视列表概述了组织使用的所有网络。 其主要用途在于判断用户登录是否来自已知的网络区域之内,或者用户的登录来源是否出现了意外的变化。

记录网络拓扑的方法有很多。 可以定义一系列较为宽泛的地址范围,例如 172.16.0.0/16,并将其命名为企业网络,这样对于追踪该范围之外的登录操作就足够了。 然而,采用更细分的策略可以更清晰地了解那些可能不寻常的活动情况。

例如,可以定义以下网段和地理位置:
- 192.168.10.0/23:西欧
- 10.15.0.0/16:澳大利亚

在这种情况下,Microsoft Sentinel 可以区分来自第一个网段中的 192.168.10.15 的登录与来自第二个网段中的 10.15.2.1 的登录。 如果检测到此类行为不符合常规,Microsoft Sentinel 会向你发出警报。
SAP - 敏感函数模块

SAP - 敏感表

SAP - 敏感 ABAP 程序

SAP - 敏感事务		 Sensitive 内容监视列表识别用户可执行或访问的敏感操作或数据。

虽然监视列表中已预配置了多个已知的操作、表和授权,但我们建议你咨询 SAP BASIS 团队,以确定在你的 SAP 环境中被视为敏感的操作、事务、授权和表,并根据需要更新相应列表。
SAP - 敏感配置文件

SAP - 敏感角色

SAP - 特权用户

SAP - 关键授权		 适用于 SAP 的 Microsoft Sentinel 解决方案应用程序使用从 SAP 系统的用户数据监视列表收集的用户数据来识别哪些用户、配置文件和角色应被视为敏感。 虽然默认情况下监视列表中包含示例数据,但我们建议你咨询 SAP BASIS 团队,以确定组织中的敏感用户、角色和配置文件,并根据需要更新相应列表。

在初始解决方案部署完成后,可能需要一段时间才能使监视列表中填入相关数据。 如果打开监视列表进行编辑,发现它是空的,请等待几分钟,然后重试。

有关详细信息,请参阅可用监视列表

使用工作簿检查 SAP 安全控制措施的合规性

适用于 SAP 的 Microsoft Sentinel 解决方案应用程序包括 SAP - 安全审核控制措施工作簿,这有助于检查 SAP 安全控制措施的合规性。 该工作簿全面展示了已实施的安全控制措施以及每项控制措施的合规性状态。

有关详细信息,请参阅 使用 SAP - 安全审核控件工作簿检查 SAP 安全控件的符合性

后续步骤

使用 Microsoft Sentinel 可以发现 SAP 的更多内容,包括函数、playbook、工作簿等。 本文列举了一些有用的切入点,你应当继续推进其他相关工作,以充分发挥 SAP 安全监视系统的效能。

有关详细信息,请参阅:

相关内容

有关详细信息,请参阅:

  • Last updated on