啟用 SAP 偵測和威脅防護

• 適用於:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

雖然為 SAP 應用程式部署Microsoft Sentinel 數據收集器代理程式和解決方案，但可讓您監視 SAP 系統是否有可疑活動並識別威脅，但需要額外的設定步驟，以確保解決方案已針對 SAP 部署優化。 本文提供針對 SAP 應用程式的 Microsoft Sentinel 解決方案所提供的安全性內容入門的最佳做法，也是部署 SAP 整合的最後一個步驟。

本文中的內容與您的 安全性 小組相關。

重要

適用於 SAP 應用程式的Microsoft Sentinel 解決方案的某些元件目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未發行的版本) 的其他法律條款。

必要條件

設定本文所述的設定之前，您必須先安裝資料連接器代理程式和解決方案內容。

如需詳細資訊，請參閱 從內容中樞 部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案和 部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案。

開始啟用分析規則

根據預設，SAP 應用程式Microsoft Sentinel 解決方案中的所有分析規則都會以警示規則範本的形式提供。 建議您使用分段方法，使用範本一次建立一些規則，以允許時間微調每個案例。

我們建議從下列分析規則開始，這些規則被視為比較容易測試：

• 敏感性特殊許可權使用者中的變更
• 已登入的敏感性特殊許可權使用者
• 敏感性特殊許可權使用者對其他用戶進行變更
• 敏感性用戶密碼變更和登入
• 用戶端設定變更
• 已測試函式模組

如需詳細資訊，請參閱 Microsoft Sentinel 中的內建分析規則和威脅偵測。

設定關注清單

藉由在下列關注清單中提供客戶特定資訊，為 SAP 應用程式設定Microsoft Sentinel 解決方案：

關注清單名稱	設定詳細資料
SAP - 系統	SAP - Systems 監看列表會定義存在於受監視環境中的 SAP 系統。 針對每個系統，指定： - SID - 無論是生產系統還是開發/測試環境。 在您的關注清單中定義此專案不會影響計費，而且只會影響您的分析規則。 例如，您可能想要在測試時使用測試系統作為生產系統。 - 有意義的描述 某些分析規則會使用已設定的數據，如果相關事件出現在開發或生產系統中，可能會有不同的反應。
SAP - 網路	SAP - 網路監看列表會概述組織所使用的所有網路。 它主要用來識別使用者登入是否源自網路已知區段，或使用者登入來源是否意外變更。 記錄網路拓撲的方法有很多種。 您可以定義廣泛的位址範圍，例如 172.16.0.0/16，並將它命名為公司網路，這足以追蹤來自該範圍的登入。 不過，更分段的方法可讓您更清楚了解潛在的非典型活動。 例如，您可以定義下列區段和地理位置： - 192.168.10.0/23：西歐 - 10.15.0.0/16：澳大利亞 在這種情況下，Microsoft Sentinel 可以從第一個區段中的 192.168.10.15 與第二個區段中的 10.15.2.1 的登入區別。 Microsoft Sentinel 會在這類行為識別為非典型時發出警示。
SAP - 敏感性函式模組 SAP - 敏感性數據表 SAP - 敏感性 ABAP 程式 SAP - 敏感易	敏感性內容監看清單會 識別用戶可執行或存取的敏感性動作或數據。 雖然監視清單中預先設定了數個已知的作業、數據表和授權，但建議您洽詢您的 SAP BASIS 小組，以識別 SAP 環境中的作業、交易、授權和數據表會被視為敏感性，並視需要更新清單。
SAP - 敏感性配置檔 SAP - 敏感性角色 SAP - 具特殊許可權的使用者 SAP - 重大授權	適用於 SAP 應用程式的 Microsoft Sentinel 解決方案會使用從 SAP 系統收集的使用者資料監看清單中收集的用戶數據，以識別哪些使用者、配置檔和角色應該視為敏感性。 雖然範例數據預設包含在關注清單中，但建議您洽詢 SAP BASIS 小組，以識別組織中的敏感性使用者、角色和配置檔，並視需要更新清單。

初始解決方案部署之後，可能需要一些時間才能填入數據監看清單。 如果您開啟監看清單進行編輯，並發現它是空的，請稍候幾分鐘再試一次。

如需詳細資訊，請參閱 可用的關注清單。

使用活頁簿來檢查 SAP 安全性控制件的合規性

適用於 SAP 應用程式的Microsoft Sentinel 解決方案包含 SAP - 安全性稽核控件 活頁簿，可協助您檢查 SAP 安全性控制件的合規性。 活頁簿提供就地的安全性控件和每個控件的合規性狀態的完整檢視。

如需詳細資訊，請參閱使用 SAP - 安全性稽核控件活頁簿檢查 SAP 安全性控制件的合規性（預覽版）。

後續步驟

使用 Microsoft Sentinel 探索 SAP 的內容更多，包括函式、劇本、活頁簿等等。 本文強調一些有用的起點，您應該繼續實作其他內容，以充分利用 SAP 安全性監視。

如需詳細資訊，請參閱

• 適用於 SAP 應用程式的 Microsoft Sentinel 解決方案 - 函式參考
• Microsoft適用於 SAP 應用程式的 Sentinel 解決方案：安全性內容參考。

相關內容

如需詳細資訊，請參閱

• SAP 的自動攻擊中斷 （預覽）
• 監視 SAP 系統的健康情況
• 更新 Sentinel 的 SAP 資料連接器代理程式Microsoft