适用于 SAP 应用程序的 Microsoft Sentinel 解决方案

SAP 系统带来了独特的安全挑战，因为它们需要处理敏感信息，是攻击者的主要目标，并且在传统上只会为安全运营团队提供很低的可见性。

SAP 系统漏洞可能导致文件被盗、数据泄露或供应链中断。 攻击者进入系统后，几乎无法使用任何控制措施来检测外泄或其他不良行为。 SAP 活动需要与整个组织中的其他数据相关联，以便进行有效的威胁检测。

为了帮助弥补这一差距，Microsoft Sentinel 提供了适用于 SAP 应用程序的 Microsoft Sentinel 解决方案，这些解决方案使用 Microsoft Sentinel 各个级别的组件来提供对 SAP 环境中的威胁的端到端检测、分析、调查和响应。

SIEM 和 SOAR 功能和示例体系结构

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案持续监视 SAP 系统所有层（业务逻辑、应用程序、数据库和 OS）的威胁。 该功能允许：

• 安全信息和事件管理 (SIEM)：将 SAP 监视功能与整个组织中的其他信号相关联。 使用现成和自定义的检测来监视敏感事务和其他业务风险，例如特权提升、未经批准的更改和未经授权的访问。

• 安全业务流程、自动化和响应 (SOAR)：生成与 SAP 系统交互的自动响应流程，以阻止活动安全威胁。

例如，下图显示了一个部署了适用于 SAP 应用程序的 Microsoft Sentinel 解决方案的示例环境。 此示例体系结构使用多 SID SAP 环境，其中划分了生产系统和非生产系统。 此映像中的所有系统都加入到适用于 SAP 解决方案的 Microsoft Sentinel。

威胁检测覆盖度

适用于 SAP 应用程序的 Microsoft Sentinel 解决方案支持以下威胁检测及其他检测：

• 可疑特权操作，例如创建特权用户或使用紧急状况用户
• 尝试绕过 SAP 安全机制，例如禁用审核日志记录或执行敏感功能模块
• 后门创建（持久性），例如新建面向 Internet 的接口 (ICF)，或通过远程函数调用直接访问敏感表
• 数据外泄，例如多个文件下载或后台处理程序接管
• 初始访问，例如暴力破解或从同一 IP 多次登录

有关详细信息，请参阅内置分析规则。

调查支持

可以像调查 Microsoft Sentinel 中的任何其他事件一样调查 SAP 事件。 有关详细信息，请参阅：

• 在 Microsoft Sentinel 中浏览和调查事件

认证

适用于 SAP 的 Microsoft Sentinel 解决方案应用程序已通过 SAP S/4HANA 云、专用版 RISE with SAP 和本地版 SAP S/4 的认证。

• 集成方案包括 S/4-BC-XAL 1.0/S/4 外部警报和监视 1.0（针对 S/4）。
• 我们的认证包括在任何云和本地运行的 S/4 和 SAP Rise S/4 HANA 私有云版。
• 我们支持可以覆盖整个客户资产的混合部署。

有关详细信息，请参阅 SAP 认证解决方案目录中的认证。

解决方案定价

适用于 SAP 的 Microsoft Sentinel 解决方案可免费安装，但在生产系统上激活和使用该解决方案将产生附加费用（按小时计）。

• 附加费用（按小时计）仅适用于连接的活动生产系统。 非活动系统不收取费用。 如果 Microsoft Sentinel 不知道系统的状态（例如由于权限问题），则会将其视为生产系统。
• Microsoft Sentinel 通过查看 SAP 系统上的配置来识别生产系统。

Microsoft Sentinel 引入成本可能有所不同，受引入的 SAP 日志量的影响。 有关详细信息，请参阅：

• 规划成本并了解 Microsoft Sentinel 定价和计费
• Microsoft Sentinel 的成本
• 适用于 SAP 应用程序的 Microsoft Sentinel 解决方案。

相关内容

有关详细信息，请参阅：

• 部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案
• 启用 SAP 检测和威胁防护
• 适用于 SAP 应用程序的 Microsoft Sentinel 解决方案：安全内容参考