適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案概觀
SAP 系統會帶來獨特的安全性挑戰。 SAP 系統會處理極其敏感的資訊,而且是攻擊者的主要目標。
安全性作業小組傳統上對SAP系統幾乎沒有可見度。 SAP 系統外洩可能會導致遭竊的檔案、公開的數據或中斷的供應鏈。 攻擊者進入系統後,很少有控件可以偵測外洩或其他不良行為。 SAP 活動必須與整個組織的其他數據相互關聯,才能進行有效的威脅偵測。
為了協助縮小這個差距,Microsoft Sentinel 提供適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案。 這個完整的解決方案會使用 Microsoft Sentinel 各個層級的元件,提供端對端偵測、分析、調查,以及回應 SAP 環境中的威脅。
適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案有何用途
適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案會持續監視 SAP 系統,以取得所有層級的威脅 - 商業規則、應用程式、資料庫和 OS。 這可讓您:
將 SAP 監視與整個組織的其他訊號相互關聯,以及使用解決方案所提供的偵測,或建置您自己的偵測,以監視敏感性交易和其他商務風險,例如許可權提升、未經核准的變更和未經授權的存取。
建置自動化回應程式,以與您的 SAP 系統互動,以停止作用中的安全性威脅。
適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案也提供 SAP Business Technology Platform 的威脅監視和偵測。
例如,下圖顯示多 SID SAP 環境,其中包含生產力和非生產力系統之間的分割,包括 SAP Business Technology Platform。 此映像中的所有系統都會上線至 SAP 解決方案的 Microsoft Sentinel。
解決方案詳細資料
記錄來源
解決方案的數據連接器會擷取各種不同的 SAP 記錄來源:
- ABAP 安全性稽核記錄
- ABAP 變更文件記錄檔
- ABAP 多任務緩衝處理記錄
- ABAP 多任務緩衝處理輸出記錄檔
- ABAP 作業記錄檔
- ABAP 工作流程記錄檔
- ABAP DB 數據表數據
- SAP 使用者主要數據
- ABAP CR 記錄
- ICM 記錄
- JAVA Webdispacher 記錄
- Syslog
威脅偵測涵蓋範圍
可疑的許可權作業 – 特殊許可權使用者建立
- 使用打破玻璃使用者
- 解除鎖定使用者並從相同的IP登入
- 指派敏感性角色和系統管理員許可權
- 使用者解除鎖定並使用其他使用者
- 重大授權指派
嘗試略過 SAP 安全性機制 –
- 停用稽核記錄 (HANA 和 SAP)
- 敏感性函式模組的執行
- 解除鎖定封鎖的交易
- 偵錯生產系統
- 敏感性數據表由 RFC 直接存取
- Sanative 函式的 RFC 執行
- 系統設定變更、動態 ABAP 程式。
後門建立 (持續性)
- 建立新的因特網面向介面 (ICF)
- 透過 remote-function-call 直接存取敏感性數據表
- 將新的服務處理程式指派給ICF
- 執行過時的程式
- 使用者解除鎖定並使用其他使用者。
數據外流
- 多個檔案下載
- 多任務緩衝處理接管
- 允許從未經授權的主機存取不安全的 FTP 伺服器和連線
- 動態 RFC 目的地
- HANA DB - 使用者從資料庫層級 管理員 動作。
初始存取 – 暴力密碼破解
- 來自相同IP的多個登入
- 從非預期的網路登入特殊許可權使用者
- SPNego 重新執行攻擊
認證
適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案已通過 SAP S/4HANA® Cloud、Private Edition RISE 與 SAP 和 SAP S/4 內部部署的認證。
- 整合案例包括 S/4-BC-XAL 1.0/S/4 外部警示和監視 1.0(適用於 S/4)。
- 我們的認證包括任何雲端和內部部署中執行的 S/4 和 SAP Rise S/4 HANA® Cloud Private Edition。
- 我們支援可涵蓋整個客戶資產的混合式部署。
請參閱 SAP 認證解決方案目錄上的認證。
商標屬性
SAP S/4HANA 和 SAP 是 SAP SE 或其在德國和其他國家/地區的分支機構的商標或註冊商標。
下一步
深入瞭解適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案:
- 部署適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案
- 為 SAP® 應用程式部署 Microsoft Sentinel 解決方案的必要條件
- 部署 SAP 變更要求 (CRS) 並設定授權
- 從內容中樞部署解決方案內容
- 部署和設定裝載SAP數據連接器代理程式的容器
- 監視 SAP 系統的健康情況
- 使用 SNC 部署 Microsoft Sentinel for SAP 數據連接器
- 啟用和設定 SAP 稽核
- 收集 SAP HANA 稽核記錄
- 部署適用於 SAP® BTP 的 Microsoft Sentinel 解決方案
疑難排解:
參考檔案: