为 Microsoft Sentinel 启用和配置 SAP 审核
本文介绍如何为适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序启用和配置审核,使你可以全面了解 SAP 解决方案。
重要
强烈建议由经验丰富的 SAP 系统管理员执行对 SAP 系统的所有管理。
本文中的步骤可能会有所不同,具体取决于 SAP 系统的版本,应仅将其视为一个示例。
默认情况下,SAP 系统的某些安装可能未启用审核日志。 在评估适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的性能和效果时,为获得最佳结果,请对 SAP 系统启用审核并配置审核参数。
部署里程碑
通过以下系列文章跟踪 SAP 解决方案部署过程:
跨多个工作区使用解决方案(预览版)
配置审核(你在此处)
可选部署步骤
检查是否启用审核
登录到 SAP GUI 并运行 RSAU_CONFIG 事务。
在“安全审核日志 - 当前配置显示”窗口的“配置”部分中,找到“参数”部分。 在“常规参数”下,显示“静态安全审核活动”复选框已标记。
启用审核
重要
审核策略应与 SAP 管理员和安全部门密切协作后确定。
登录到 SAP GUI 并运行 RSAU_CONFIG 事务。
在“安全审核日志”屏幕中,在“配置”树的“安全审核日志配置”部分下选择“参数”。
如果标记了“静态安全审核活动”复选框,则会打开系统级审核。 如果没有标记,请选择“显示 <-> 更改”并标记“静态安全审核活动”复选框。
默认情况下,SAP 系统会记录客户端名称(终端 ID),而不是客户端 IP 地址。 如果需要系统改为按客户端 IP 地址进行记录,请标记“常规参数”部分中的“日志对等地址,而不是终端 ID”复选框。
如果更改了“安全审核日志配置 - 参数”部分中的任何设置,请选择“保存”以保存更改。 审核只有在重新启动服务器后才会激活。
重要
在 Windows OS 上运行的 SAP 应用程序应考虑 SAP 说明 2360334 中的建议,以防设置后无法正确读取审核日志。
右键单击“静态配置”,然后选择“创建配置文件”。
在“配置文件/筛选器编号”字段中为配置文件指定名称。
注意
Vanilla SAP 安装需要执行此附加步骤:右键单击已创建的配置文件并创建新筛选器。
标记“用于记录活动的筛选器”复选框。
在“客户端”字段中,输入
*
。在“用户”字段中,输入
*
。在“事件选择”下,选择“经典事件选择”,然后选择列表中的所有事件类型。
选择“保存”。
你将看到“静态配置”部分显示新创建的配置文件。 右键单击配置文件,然后选择“激活”。
在确认窗口中,选择“是”,激活新创建的配置文件。
注意
静态配置仅在系统重启后生效。 若要立即设置,请通过右键单击新创建的静态配置文件并选择“应用于动态配置”,创建具有相同属性的其他动态筛选器。
后续步骤
本文介绍了如何为 Microsoft Sentinel 启用和配置 SAP 审核。