設定 SAP® 應用程式的 Microsoft Sentinel 解決方案
注意
Azure Sentinel 已改名為 Microsoft Sentinel,我們將在未來幾週更新這些分頁。 深入了解最新的 Microsoft 安全性增強功能。
本文提供為 SAP® 應用程式設定 Microsoft Sentinel 解決方案的最佳做法。 部署里程碑下所連結的一整組文章詳述完整部署程序。
重要
適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案部分元件目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
在 Microsoft Sentinel 中部署資料收集器代理程式和解決方案,可讓您監視 SAP 系統是否有可疑的活動並識別威脅。 不過,為了獲得最佳結果,操作解決方案的最佳做法強烈建議執行數個極為與 SAP 部署相依的其他設定步驟。
部署里程碑
透過此系列文章追蹤 SAP 解決方案部署旅程:
跨多個工作區使用解決方案 , (PREVIEW)
設定 SAP® 應用程式的 Microsoft Sentinel 解決方案, (您在這裡)
選用部署步驟
設定關注清單
SAP 應用程式設定的® Microsoft Sentinel 解決方案是藉由在布建的關注清單中提供客戶特定資訊來完成。
注意
初始解決方案部署之後,可能需要一些時間,才會將資料填入關注清單中。 如果您編輯關注清單並發現它是空的,則請稍候幾分鐘,然後重試開啟關注清單以進行編輯。
SAP - 系統關注清單
SAP - 系統關注清單定義哪些 SAP 系統存在於受監視的環境中。 針對每個系統,指定其 SID (不論是生產系統還是開發/測試環境) 和描述。 這項資訊是供某些分析規則所使用,如果相關事件出現在開發或生產系統中,則這些規則可能會有不同的反應。
SAP - 網路關注清單
SAP - 網路關注清單概述組織所使用的所有網路。 其主要用來識別使用者登入是否源自網路的已知區段,以及使用者登入原點意外變更時。
有數種方法可用來記載網路拓撲。 您可以定義各種不同的位址 (例如 172.16.0.0/16),並將其命名為「公司網路」,這足以追蹤來自該範圍的登入。 不過,更分割的方法可讓您更清楚地瞭解潛在的非典型活動。
例如:定義下列兩個區段和其地理位置:
區段 | 位置 |
---|---|
192.168.10.0/23 | 西歐 |
10.15.0.0/16 | 澳洲 |
Microsoft Sentinel 現在將能夠區分來自 192.168.10.15 (在第一個區段中) 的登入與來自 10.15.2.1 (在第二個區段中) 的登入,並在這類行為識別為非典型行為時向您發出警示。
敏感性資料關注清單
- SAP - 敏感性函數模組
- SAP - 敏感性資料表
- SAP - 敏感性 ABAP 程式
- SAP - 敏感性交易
上述所有的關注清單都會識別使用者可執行或存取的敏感性動作或資料。 在關注清單中已預先設定數個已知的作業、資料表和授權,不過,建議您洽詢 SAP BASIS 小組,以識別要將哪些作業、交易、授權和資料表在 SAP 環境中視為敏感性。
使用者主要資料關注清單
- SAP - 敏感性設定檔
- SAP - 敏感性角色
- SAP - 特殊權限使用者
- SAP - 重大授權
適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案會使用從 SAP 系統收集的使用者主要資料,來識別哪些使用者、設定檔和角色應該視為敏感性。 雖然建議您洽詢 SAP BASIS 小組以識別敏感性使用者、角色和設定檔,並據以填入關注清單,但有些範例資料包含在關注清單中。
開始啟用分析規則
根據預設,針對 SAP® 應用程式的 Microsoft Sentinel 解決方案中提供的所有分析規則都會以 警示規則範本的形式提供。 我們建議使用分段方法,逐一從範本建立一些規則,以便有時間對每個案例進行微調。 我們將下列規則視為最容易實作,因此最好從這些規則開始:
- 敏感性特殊權限使用者中的變更
- 用戶端設定變更
- 敏感性特殊權限使用者登入
- 敏感性特殊權限使用者在其他項目中進行變更
- 敏感性權限使用者密碼變更和登入
- 已測試函數模組
啟用或停用特定 SAP 記錄的擷取
啟用或停用特定記錄的擷取:
- 編輯位於連接器 VM 上/opt/sapcon/SID/下的systemconfig.json檔案。
- 在設定檔中找出相關記錄,然後執行下列其中一個動作:
- 若要啟用記錄,將值變更為
True
。 - 若要停用記錄,將值變更為
False
。
- 若要啟用記錄,將值變更為
例如,若要停止擷取 ABAPJobLog
,請將其值變更為 False
:
"abapjoblog": "True",
檢閱 Systemconfig.json 檔案參考中的可用記錄清單。
您也可以停止擷取使用者主要資料的資料表。
注意
一旦您停止其中一個記錄或資料表之後,使用該記錄的活頁簿和分析查詢可能就無法運作。 了解每個活頁簿所使用的記錄,以及了解每個分析規則所使用的記錄。
停止記錄擷取並停用連接器
若要停止將 SAP 記錄擷取至 Microsoft Sentinel 工作區,以及停止來自 Docker 容器的資料流,請執行下列命令:
docker stop sapcon-[SID/agent-name]
若要停止擷取多 SID 容器的特定 SID,您必須從 Sentinel 連接器頁面 UI 中刪除 SID。Docker 容器會停止,而且不會將任何其他 SAP 記錄傳送至 Microsoft Sentinel 工作區。 這會停止與連接器相關的 SAP 系統擷取和計費。
如果您需要重新啟用 Docker 容器,請執行下列命令:
docker start sapcon-[SID]
移除安裝在 ABAP 系統上的使用者角色與選擇性 CR
若要移除匯入至您系統的使用者角色與選擇性 CR,請將刪除 CR NPLK900259 匯入 ABAP 系統中。
後續步驟
深入瞭解適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案:
- 部署適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案
- 為 SAP® 應用程式部署 Microsoft Sentinel 解決方案的必要條件
- 部署 SAP 變更要求 (CR) 並設定授權
- 部署和設定裝載 SAP 資料連接器代理程式的容器
- 部署 SAP 安全性內容
- 監視 SAP 系統的健康情況
- 使用 SNC 部署適用於 SAP 的 Microsoft Sentinel 資料連接器
- 啟用和設定 SAP 稽核
- 收集 SAP Hana 稽核記錄
疑難排解:
參考檔案:
- 適用于 SAP® 應用程式資料的 Microsoft Sentinel 解決方案參考
- 適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考
- 快速啟動指令碼參考
- 更新指令碼參考
- Systemconfig.ini 檔案參考
如需詳細資訊,請參閱 Microsoft Sentinel 解決方案。