启用 SAP 检测和威胁防护

通过部署适用于 SAP 应用程序的 Microsoft Sentinel 数据收集器代理和解决方案,你可以监视 SAP 系统是否有可疑活动并发现威胁,但你需要执行额外的配置步骤来确保相应解决方案针对 SAP 部署进行了优化。 本文提供了有关开始使用适用于 SAP 应用程序的 Microsoft Sentinel 解决方案提供的安全内容(也是部署 SAP 集成的最后一步)的最佳做法。

SAP 解决方案部署流的示意图,其中突出显示了“配置解决方案设置”步骤。

本文的内容与安全团队相关

重要

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的某些组件目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

先决条件

在配置本文中所述的设置之前,必须安装数据连接器代理和解决方案内容。

有关详细信息,请参阅从内容中心部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案

开始启用分析规则

默认情况下,适用于 SAP 应用程序的 Microsoft Sentinel 解决方案中的所有分析规则都作为警报规则模板提供。 我们建议采用分阶段的方法,即使用模板一次性创建多个规则,以便有时间针对每个应用场景进行微调。

建议从以下分析规则开始,因为这些规则更易于测试:

有关详细信息,请参阅内置分析规则Microsoft Sentinel 中的威胁检测

配置监视列表

通过在以下监视列表中提供特定于客户的信息,配置适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:

播放列表名称 配置详细信息
SAP - 系统 “SAP - 系统”监视列表用于指定受监视环境中存在的 SAP 系统。

对于每个系统,请指定:
- SID
- 是属于生产系统还是开发/测试环境。 在监视列表中定义此项不会影响计费,而只会影响分析规则。 例如,你可能希望在测试时将测试系统用作生产系统。
- 有意义的说明

配置的数据由一些分析规则使用,针对相关事件出现在开发系统中与出现在生产系统中这两种情况,这些规则可能会做出不同的反应。
SAP - 网络 “SAP - 网络”监视列表包含了组织使用的所有网络。 它主要用于确定用户登录是否源自网络中的已知网段,或者用户的登录源是否意外更改。

记录网络拓扑的方法有很多。 你可以定义一系列地址,例如 172.16.0.0/16,并将其命名为“公司网络”。这对于跟踪来自该范围以外的登录来说已经足够了。 但是,使用更加细分的方法可以更好地了解可能的非典型活动。

例如,可以定义以下网段和地理位置:
- 192.168.10.0/23:欧洲西部
- 10.15.0.0/16:澳大利亚

在这种情况下,Microsoft Sentinel 可以区分来自第一个网段中的 192.168.10.15 的登录与来自第二个网段中的 10.15.2.1 的登录。 如果将此类行为识别为非典型行为,Microsoft Sentinel 会发出警报。
SAP - 敏感函数模块

SAP - 敏感表

SAP - 敏感 ABAP 程序

SAP - 敏感事务
敏感内容监视列表将标识可由用户执行或访问的敏感操作或数据。

虽然监视列表中已预配置了多个大家所熟知的操作、表和授权,但我们建议你咨询与 SAP BASIS 团队,以确定在你的 SAP 环境中被视为敏感的操作、事务、授权和表,并根据需要更新相应列表。
SAP - 敏感配置文件

SAP - 敏感角色

SAP - 特权用户

SAP - 关键授权
适用于 SAP 应用程序的 Microsoft Sentinel 解决方案将使用从 SAP 系统的用户数据监视列表中收集的用户数据,以确定哪些用户、配置文件和角色应被视为敏感。 虽然默认情况下监视列表中包含示例数据,但我们建议你咨询 SAP BASIS 团队,以确定组织中的敏感用户、角色和配置文件,并根据需要更新相应列表。

完成初始解决方案部署后,可能需要等待一些时间,直到监视列表中填充数据。 如果你打开了一个监视列表来进行编辑,但发现其为空,请等待几分钟,然后重试。

有关详细信息,请参阅可用监视列表

使用工作簿检查 SAP 安全控制措施的合规性

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案包括“SAP - 安全审核控制措施”工作簿,这有助于检查 SAP 安全控制措施的合规性。 该工作簿提供了显示已实施的安全控制措施以及每个控制措施的合规性状态的全面视图。

有关详细信息,请参阅使用“SAP - 安全审核控制措施”工作簿检查 SAP 安全控制措施的合规性(预览版)

下一步

Microsoft Sentinel 还有更多 SAP 相关的内容等你来探索,包括函数、playbook、工作簿等。 本文重点介绍了一些有用的起始功能,你可以继续实现其他内容,以充分利用 SAP 安全监视。

有关详细信息,请参阅:

有关详细信息,请参阅: