选择 SAP 引入配置文件
本文介绍如何为 SAP 解决方案选择配置文件。 建议选择一个既可满足预算要求,又能最大化安全覆盖范围的引入配置文件。
由于 SAP 是一个商业应用程序,并且业务流程往往是季节性的,因此可能很难预测一段时间内的日志总量。 若要解决此问题,建议将所有日志保留两周,并从观察到的活动中获知信息。 以后可以在业务活动高峰期或在发生重大环境转型期间修改这种学习方式。
以下部分介绍用于 SAP 日志引入的典型客户配置文件。
默认配置文件(建议)
此配置文件全面涵盖以下各项:
- 内置分析
- SAP 用户授权主数据表,其中包含用户和特权信息
- 能够跟踪 SAP 环境中的更改和活动。 此配置文件提供更多日志记录信息,让用户可以进行入侵后调查并获得更大的搜寻能力。
systemconfig.ini 文件
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
专注于检测的配置文件
此配置文件包括 SAP 环境的核心安全日志,这些日志对于正常运行大多数分析规则是必需的。 入侵后调查和搜寻功能有限。
systemconfig.ini 文件
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
极简配置文件
SAP 安全审核日志是供适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序用来分析 SAP 环境活动的最重要数据源。 启用此日志是提供任何安全覆盖范围的最低要求。
systemconfig.ini 文件
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False
后续步骤
详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件
- 部署 SAP 更改请求 (CR) 并配置授权
- 从内容中心部署解决方案内容
- 部署并配置托管 SAP 数据连接器代理的容器
- 通过 SNC 部署适用于 SAP 的 Microsoft Sentinel 数据连接器
- 启用并配置 SAP 审核
- 监控 SAP 系统的运行状况
- 收集 SAP HANA 审核日志
疑难解答:
参考文件:
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序数据参考
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:安全内容参考
- 更新脚本参考
- Systemconfig.ini 文件参考
要了解详情,请参阅 Microsoft Sentinel 解决方案。