适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序概述
SAP 系统面临着独特的安全挑战。 SAP 系统处理极其敏感的信息,是攻击者的主要目标。
传统上,安全运营团队对 SAP 系统知之甚少。 SAP 系统漏洞可能导致文件被盗、数据泄露或供应链中断。 攻击者进入系统后,几乎无法使用任何控制措施来检测外泄或其他不良行为。 SAP 活动需要与整个组织中的其他数据相关联,以便进行有效的威胁检测。
为帮助缩小这一差距,Microsoft Sentinel 提供了适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序。 此全面的解决方案使用 Microsoft Sentinel 各个级别的组件来提供对 SAP 环境中的威胁的端到端检测、分析、调查和响应。
适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的功能
适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序持续监视 SAP 系统所有层(业务逻辑、应用程序、数据库和 OS)的威胁。 该功能允许:
将 SAP 监视与整个组织中的其他信号相关联,并使用解决方案提供的检测(或构建你自己的检测)来监视敏感事务和其他业务风险,例如特权提升、未经批准的更改和未经授权的访问。
构建自动化响应过程,与你的 SAP 系统交互以阻止活动的安全威胁。
适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序还为 SAP Business Technology Platform 提供威胁监视和检测。
例如,下图显示了一个多 SID SAP 布局,其中在生产和非生产系统之间进行了划分,包括 SAP Business Technology Platform。 此映像中的所有系统都加入到适用于 SAP 解决方案的 Microsoft Sentinel。
解决方案详细信息
日志源
解决方案的数据连接器检索各种 SAP 日志源:
- ABAP 安全审核日志
- ABAP 更改文档日志
- ABAP Spool 日志
- ABAP Spool 输出日志
- ABAP 作业日志
- ABAP 工作流日志
- ABAP DB 表数据
- SAP 用户主数据
- ABAP CR 日志
- ICM 日志
- JAVA Webdispacher 日志
- Syslog
威胁检测覆盖度
可疑特权操作 - 特权用户创建
- 无凭据紧急访问用户的使用情况
- 解锁用户并从同一 IP 登录到该用户
- 分配敏感角色和管理员权限
- 用户解锁并使用其他用户
- 关键授权分配
绕过 SAP 安全机制的尝试 -
- 禁用审核日志记录(HANA 和 SAP)
- 执行敏感功能模块
- 解锁阻止的事务
- 调试生产系统
- 敏感表通过 RFC 直接访问
- Sanative 函数的 RFC 执行
- 系统配置更改,动态 ABAP 计划。
后门程序创建(持久性)
- 新的面向 Internet 的界面 (ICF) 的创建
- 通过远程函数调用直接访问敏感表
- 将新服务处理程序分配给 ICF
- 执行已过时的程序
- 用户解锁和使用其他用户。
数据透露
- 多个文件下载
- Spool 接管
- 允许从未经授权的主机访问不安全的 FTP 服务器和连接
- 动态 RFC 目标
- HANA DB - DB 级别的用户管理操作。
初始访问 - 暴力攻击
- 从同一 IP 多次登录
- 特权用户从非预期网络登录
- SPNego 重播攻击
认证
适用于 SAP 的 Microsoft Sentinel 解决方案®应用程序已通过 SAP S/4HANA® 云、专用版 RISE with SAP 和本地版 SAP S/4 的认证。
- 集成方案包括 S/4-BC-XAL 1.0/S/4 外部警报和监视 1.0(针对 S/4)。
- 我们的认证包括在任何云和本地运行的 S/4 和 SAP Rise S/4 HANA® 私有云版。
- 我们支持可以覆盖整个客户资产的混合部署。
请查看 SAP 认证解决方案目录中的认证。
商标归属
SAP S/4HANA 和 SAP 是 SAP SE 或其子公司在德国和其他国家/地区的商标或注册商标。
后续步骤
详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件
- 部署 SAP 更改请求 (CR) 并配置授权
- 从内容中心部署解决方案内容
- 部署并配置托管 SAP 数据连接器代理的容器
- 监控 SAP 系统的运行状况
- 通过 SNC 部署适用于 SAP 的 Microsoft Sentinel 数据连接器
- 启用并配置 SAP 审核
- 收集 SAP HANA 审核日志
疑难解答:
参考文件: