适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序概述

SAP 系统面临着独特的安全挑战。 SAP 系统处理极其敏感的信息,是攻击者的主要目标。

传统上,安全运营团队对 SAP 系统知之甚少。 SAP 系统漏洞可能导致文件被盗、数据泄露或供应链中断。 攻击者进入系统后,几乎无法使用任何控制措施来检测外泄或其他不良行为。 SAP 活动需要与整个组织中的其他数据相关联,以便进行有效的威胁检测。

为帮助缩小这一差距,Microsoft Sentinel 提供了适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序。 此全面的解决方案使用 Microsoft Sentinel 各个级别的组件来提供对 SAP 环境中的威胁的端到端检测、分析、调查和响应。

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的功能

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序持续监视 SAP 系统所有层(业务逻辑、应用程序、数据库和 OS)的威胁。 该功能允许:

  • 将 SAP 监视与整个组织中的其他信号相关联,并使用解决方案提供的检测(或构建你自己的检测)来监视敏感事务和其他业务风险,例如特权提升、未经批准的更改和未经授权的访问。

  • 构建自动化响应过程,与你的 SAP 系统交互以阻止活动的安全威胁。

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序还为 SAP Business Technology Platform 提供威胁监视和检测。

例如,下图显示了一个多 SID SAP 布局,其中在生产和非生产系统之间进行了划分,包括 SAP Business Technology Platform。 此映像中的所有系统都加入到适用于 SAP 解决方案的 Microsoft Sentinel。

显示了一个使用 Microsoft Sentinel 的多 SID SAP 布局的关系图。

解决方案详细信息

日志源

解决方案的数据连接器检索各种 SAP 日志源:

  • ABAP 安全审核日志
  • ABAP 更改文档日志
  • ABAP Spool 日志
  • ABAP Spool 输出日志
  • ABAP 作业日志
  • ABAP 工作流日志
  • ABAP DB 表数据
  • SAP 用户主数据
  • ABAP CR 日志
  • ICM 日志
  • JAVA Webdispacher 日志
  • Syslog

威胁检测覆盖度

  • 可疑特权操作 - 特权用户创建

    • 无凭据紧急访问用户的使用情况
    • 解锁用户并从同一 IP 登录到该用户
    • 分配敏感角色和管理员权限
    • 用户解锁并使用其他用户
    • 关键授权分配
  • 绕过 SAP 安全机制的尝试 -

    • 禁用审核日志记录(HANA 和 SAP)
    • 执行敏感功能模块
    • 解锁阻止的事务
    • 调试生产系统
    • 敏感表通过 RFC 直接访问
    • Sanative 函数的 RFC 执行
    • 系统配置更改,动态 ABAP 计划。
  • 后门程序创建(持久性)

    • 新的面向 Internet 的界面 (ICF) 的创建
    • 通过远程函数调用直接访问敏感表
    • 将新服务处理程序分配给 ICF
    • 执行已过时的程序
    • 用户解锁和使用其他用户。  
  • 数据透露

    • 多个文件下载
    • Spool 接管
    • 允许从未经授权的主机访问不安全的 FTP 服务器和连接
    • 动态 RFC 目标
    • HANA DB - DB 级别的用户管理操作。  
  • 初始访问 - 暴力攻击

    • 从同一 IP 多次登录
    • 特权用户从非预期网络登录
    • SPNego 重播攻击

认证

适用于 SAP 的 Microsoft Sentinel 解决方案®应用程序已通过 SAP S/4HANA® 云、专用版 RISE with SAP 和本地版 SAP S/4 的认证。

  • 集成方案包括 S/4-BC-XAL 1.0/S/4 外部警报和监视 1.0(针对 S/4)。
  • 我们的认证包括在任何云和本地运行的 S/4 和 SAP Rise S/4 HANA® 私有云版。
  • 我们支持可以覆盖整个客户资产的混合部署。

请查看 SAP 认证解决方案目录中的认证。

商标归属

SAP S/4HANA 和 SAP 是 SAP SE 或其子公司在德国和其他国家/地区的商标或注册商标。 

后续步骤

详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:

疑难解答:

参考文件: