配置适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序

注意

Azure Sentinel 现在称为 Microsoft Sentinel,我们将在几周内更新相关页面。 详细了解最近的 Microsoft 安全性增强

本文提供配置适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的最佳做法。 完整部署过程在部署里程碑下链接的一组文章中详细介绍。

重要

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的某些组件目前处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

在 Microsoft Sentinel 中部署数据收集器代理和解决方案,这使你能够监视 SAP 系统中的可疑活动并识别威胁。 但为了获得最佳效果,运行解决方案的最佳做法强烈建议执行其他几个非常依赖于 SAP 部署的配置步骤。

部署里程碑

通过以下系列文章跟踪 SAP 解决方案部署过程:

  1. 部署概述

  2. 部署先决条件

  3. 跨多个工作区使用解决方案(预览版)

  4. 准备 SAP 环境

  5. 配置审核

  6. 从内容中心部署适用于 SAP 应用程序®的 Microsoft Sentinel 解决方案

  7. 部署数据连接器代理

  8. 配置适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序(你在这里

  9. 可选部署步骤

配置监视列表

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序配置是通过在预配的监视列表中提供特定于客户的信息来实现的。

注意

在初始解决方案部署之后,可能需要一些时间才能在监视列表中填充数据。 如果编辑监视列表发现其为空,请等待几分钟,然后重新尝试打开监视列表进行编辑。

SAP - 系统监视列表

SAP - 系统监视列表定义监视环境中存在的 SAP 系统。 对于每个系统,无论是生产系统还是开发/测试环境,请指定其 SID 和说明。 某些分析规则使用此信息,如果相关事件出现在开发或生产系统中,这些规则的反应可能不同。

SAP - 网络监视列表

SAP - 网络监视列表概述由组织使用的所有网络。 它主要用于标识用户登录是否来自网络的已知网段,以及用户登录源是否意外更改。

可通过多种方法记录网络拓扑。 可以定义范围广泛的地址,例如 172.16.0.0/16,并将其命名为“公司网络”,这对于跟踪来自该范围以外的登录来说已经足够了。 但是,使用更加细分的方法可以更好地了解可能的非典型活动。

例如:定义以下两个网段及其地理位置:

Segment 位置
192.168.10.0/23 欧洲西部
10.15.0.0/16 澳大利亚

现在,Microsoft Sentinel 能够区分来自 192.168.10.15(第一个网段)的登录和来自 10.15.2.1(第二个网段)的登录,并在此类行为被标识为非典型时发出警报。

敏感数据监视列表

  • SAP - 敏感函数模块
  • SAP - 敏感表
  • SAP - 敏感 ABAP 程序
  • SAP - 敏感事务

所有这些监视列表都会识别用户可执行或访问的敏感操作或数据。 已在监视列表中预配置几个已知的操作、表和授权,但建议与 SAP BASIS 团队协商以识别哪些操作、事务、授权和表在 SAP 环境中被视为敏感。

用户主数据监视列表

  • SAP - 敏感配置文件
  • SAP - 敏感角色
  • SAP - 特权用户
  • SAP - 关键授权

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序使用从 SAP 系统收集的用户主数据来识别哪些用户、配置文件和角色应被视为敏感。 一些示例数据包含在监视列表中,但建议与 SAP BASIS 团队协商,以识别敏感用户、角色和配置文件并相应地填充监视列表。

开始启用分析规则

默认情况下,适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序中提供的所有分析规则都作为警报规则模板提供。 建议采用分阶段的方法,一次从模板创建一些规则,以便有时间对每个方案进行优化。 我们认为以下规则应最容易实现,因此最好从这些规则开始:

  1. 敏感特权用户更改
  2. 客户端配置更改
  3. 敏感特权用户登录
  4. 敏感特权用户对其他用户进行更改
  5. 敏感特权用户密码更改和登录
  6. 函数模块已测试

启用或禁用特定 SAP 日志的引入

要启用或禁用特定 SAP 日志的引入,请执行以下操作:

  1. 在连接器的 VM 上编辑 /opt/sapcon/SID/ 下的 systemconfig.json 文件。
  2. 在配置文件中,找到相关日志并执行以下操作之一:
    • 若要启用日志,请将值更改为 True
    • 若要禁用日志,请将值更改为 False

例如,若要停止引入 ABAPJobLog,请将其值更改为 False

"abapjoblog": "True",

查看 Systemconfig.json 文件参考中的可用日志的列表。

你还可以停止引入用户主数据表

注意

停止某个日志或表后,使用该日志的工作簿和分析查询可能无法正常工作。 请了解每个工作簿使用哪个日志了解每个分析规则使用哪个日志

停止日志引入并禁用连接器

若要停止将 SAP 日志引入到 Microsoft Sentinel 工作区中,并停止来自 Docker 容器的数据流,请运行以下命令:

docker stop sapcon-[SID/agent-name]

若要停止为多 SID 容器引入特定 SID,必须从 Sentinel 中的连接器页 UI 中删除 SID。Docker 容器会停止,并且不再将 SAP 日志发送到 Microsoft Sentinel 工作区。 这会停止与连接器相关的 SAP 系统的引入和计费。

如果你需要重新启用 Docker 容器,请运行以下命令:

docker start sapcon-[SID]

删除用户角色和 ABAP 系统上安装的可选 CR

要删除用户角色和导入系统的可选 CR,请将删除 CR NPLK900259 导入 ABAP 系统中。

后续步骤

详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:

疑难解答:

参考文件:

要了解详情,请参阅 Microsoft Sentinel 解决方案