適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案概觀

  • 發行項

SAP 系統會帶來獨特的安全性挑戰。 SAP 系統會處理極其敏感的資訊,而且是攻擊者的主要目標。

安全性作業小組傳統上對SAP系統幾乎沒有可見度。 SAP 系統外洩可能會導致遭竊的檔案、公開的數據或中斷的供應鏈。 攻擊者進入系統後,很少有控件可以偵測外洩或其他不良行為。 SAP 活動必須與整個組織的其他數據相互關聯,才能進行有效的威脅偵測。

為了協助縮小這個差距,Microsoft Sentinel 提供適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案。 這個完整的解決方案會使用 Microsoft Sentinel 各個層級的元件,提供端對端偵測、分析、調查,以及回應 SAP 環境中的威脅。

適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案有何用途

適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案會持續監視 SAP 系統,以取得所有層級的威脅 - 商業規則、應用程式、資料庫和 OS。 這可讓您:

  • 將 SAP 監視與整個組織的其他訊號相互關聯,以及使用解決方案所提供的偵測,或建置您自己的偵測,以監視敏感性交易和其他商務風險,例如許可權提升、未經核准的變更和未經授權的存取。

  • 建置自動化回應程式,以與您的 SAP 系統互動,以停止作用中的安全性威脅。

適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案也提供 SAP Business Technology Platform 的威脅監視和偵測。

例如,下圖顯示多 SID SAP 環境,其中包含生產力和非生產力系統之間的分割,包括 SAP Business Technology Platform。 此映像中的所有系統都會上線至 SAP 解決方案的 Microsoft Sentinel。

Diagram of a multi-SID SAP landscape with Microsoft Sentinel.

解決方案詳細資料

記錄來源

解決方案的數據連接器會擷取各種不同的 SAP 記錄來源:

  • ABAP 安全性稽核記錄
  • ABAP 變更文件記錄檔
  • ABAP 多任務緩衝處理記錄
  • ABAP 多任務緩衝處理輸出記錄檔
  • ABAP 作業記錄檔
  • ABAP 工作流程記錄檔
  • ABAP DB 數據表數據
  • SAP 使用者主要數據
  • ABAP CR 記錄
  • ICM 記錄
  • JAVA Webdispacher 記錄
  • Syslog

威脅偵測涵蓋範圍

  • 可疑的許可權作業 – 特殊許可權使用者建立

    • 使用打破玻璃使用者
    • 解除鎖定使用者並從相同的IP登入
    • 指派敏感性角色和系統管理員許可權
    • 使用者解除鎖定並使用其他使用者
    • 重大授權指派

  • 嘗試略過 SAP 安全性機制 –

    • 停用稽核記錄 (HANA 和 SAP)
    • 敏感性函式模組的執行
    • 解除鎖定封鎖的交易
    • 偵錯生產系統
    • 敏感性數據表由 RFC 直接存取
    • Sanative 函式的 RFC 執行
    • 系統設定變更、動態 ABAP 程式。

  • 後門建立 (持續性)

    • 建立新的因特網面向介面 (ICF)
    • 透過 remote-function-call 直接存取敏感性數據表
    • 將新的服務處理程式指派給ICF
    • 執行過時的程式
    • 使用者解除鎖定並使用其他使用者。  

  • 數據外流

    • 多個檔案下載
    • 多任務緩衝處理接管
    • 允許從未經授權的主機存取不安全的 FTP 伺服器和連線
    • 動態 RFC 目的地
    • HANA DB - 使用者從資料庫層級 管理員 動作。  

  • 初始存取 – 暴力密碼破解

    • 來自相同IP的多個登入
    • 從非預期的網路登入特殊許可權使用者
    • SPNego 重新執行攻擊

認證

適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案已通過 SAP S/4HANA® Cloud、Private Edition RISE 與 SAP 和 SAP S/4 內部部署的認證。

  • 整合案例包括 S/4-BC-XAL 1.0/S/4 外部警示和監視 1.0(適用於 S/4)。
  • 我們的認證包括任何雲端和內部部署中執行的 S/4 和 SAP Rise S/4 HANA® Cloud Private Edition。
  • 我們支援可涵蓋整個客戶資產的混合式部署。

請參閱 SAP 認證解決方案目錄上的認證。

商標屬性

SAP S/4HANA 和 SAP 是 SAP SE 或其在德國和其他國家/地區的分支機構的商標或註冊商標。 

下一步

深入瞭解適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案:

疑難排解:

參考檔案: