選取 SAP 擷取設定檔
本文說明如何選取 SAP 解決方案的設定檔。 建議您選取擷取設定檔,以最大化安全性涵蓋範圍,同時符合預算需求。
因為 SAP 是商務應用程式,而商務程式通常會是季節性的,所以可能很難預測一段時間的整體記錄量。 若要解決此問題,我們建議您將所有記錄保留兩周,並從觀察到的活動中學習。 這項學習稍後可以在商務活動尖峰期間或主要環境轉換期間進行修訂。
下列各節顯示 SAP 記錄擷取的一般客戶組態設定檔。
建議使用預設設定檔 ()
此設定檔包含下列專案的完整涵蓋範圍:
- 內建分析
- 具有使用者和許可權資訊的 SAP 使用者授權主要資料表
- 能夠追蹤 SAP 環境上的變更和活動。 此設定檔提供更多記錄資訊,以允許入侵後調查和擴充搜捕能力。
systemconfig.ini檔案
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
偵測焦點設定檔
此設定檔包含大部分分析規則執行良好所需的 SAP 環境核心安全性記錄。 外泄後調查和搜捕功能有限。
systemconfig.ini檔案
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
最小設定檔
SAP 安全性稽核記錄是適用于 SAP 應用程式的 Microsoft Sentinel 解決方案用來分析 SAP® 環境活動最重要的資料來源。 啟用此記錄是提供任何安全性涵蓋範圍的最低需求。
systemconfig.ini檔案
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False
下一步
深入瞭解適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案:
- 為 SAP® 應用程式部署 Microsoft Sentinel 解決方案
- 部署適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案的必要條件
- 部署 SAP 變更要求 (CR) 並設定授權
- 從內容中樞部署解決方案內容
- 部署和設定裝載 SAP 資料連接器代理程式的容器
- 使用 SNC 部署適用於 SAP 的 Microsoft Sentinel 資料連接器
- 啟用和設定 SAP 稽核
- 監視 SAP 系統的健康情況
- 收集 SAP Hana 稽核記錄
疑難排解:
參考檔案:
- 適用于 SAP® 應用程式資料參考的 Microsoft Sentinel 解決方案
- 適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考
- 更新指令碼參考
- Systemconfig.ini 檔案參考
如需詳細資訊,請參閱 Microsoft Sentinel 解決方案。