适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序概述

SAP 系统面临着独特的安全挑战。 SAP 系统处理极其敏感的信息，是攻击者的主要目标。

传统上，安全运营团队对 SAP 系统知之甚少。 SAP 系统漏洞可能导致文件被盗、数据泄露或供应链中断。 攻击者进入系统后，几乎无法使用任何控制措施来检测外泄或其他不良行为。 SAP 活动需要与整个组织中的其他数据相关联，以便进行有效的威胁检测。

为帮助缩小这一差距，Microsoft Sentinel 提供了适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序。 此全面的解决方案使用 Microsoft Sentinel 各个级别的组件来提供对 SAP 环境中的威胁的端到端检测、分析、调查和响应。

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的功能

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序持续监视 SAP 系统所有层（业务逻辑、应用程序、数据库和 OS）的威胁。 该功能允许：

• 将 SAP 监视与整个组织中的其他信号相关联，并使用解决方案提供的检测（或构建你自己的检测）来监视敏感事务和其他业务风险，例如特权提升、未经批准的更改和未经授权的访问。

• 构建自动化响应过程，与你的 SAP 系统交互以阻止活动的安全威胁。

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序还为 SAP Business Technology Platform 提供威胁监视和检测。

例如，下图显示了一个多 SID SAP 布局，其中在生产和非生产系统之间进行了划分，包括 SAP Business Technology Platform。 此映像中的所有系统都加入到适用于 SAP 解决方案的 Microsoft Sentinel。

解决方案详细信息

日志源

解决方案的数据连接器检索各种 SAP 日志源：

• ABAP 安全审核日志
• ABAP 更改文档日志
• ABAP Spool 日志
• ABAP Spool 输出日志
• ABAP 作业日志
• ABAP 工作流日志
• ABAP DB 表数据
• SAP 用户主数据
• ABAP CR 日志
• ICM 日志
• JAVA Webdispacher 日志
• Syslog

威胁检测覆盖度

• 可疑特权操作 - 特权用户创建

  • 无凭据紧急访问用户的使用情况
  • 解锁用户并从同一 IP 登录到该用户
  • 分配敏感角色和管理员权限
  • 用户解锁并使用其他用户
  • 关键授权分配

• 绕过 SAP 安全机制的尝试 -

  • 禁用审核日志记录（HANA 和 SAP）
  • 执行敏感功能模块
  • 解锁阻止的事务
  • 调试生产系统
  • 敏感表通过 RFC 直接访问
  • Sanative 函数的 RFC 执行
  • 系统配置更改，动态 ABAP 计划。

• 后门程序创建（持久性）

  • 新的面向 Internet 的界面 (ICF) 的创建
  • 通过远程函数调用直接访问敏感表
  • 将新服务处理程序分配给 ICF
  • 执行已过时的程序
  • 用户解锁和使用其他用户。  

• 数据透露

  • 多个文件下载
  • Spool 接管
  • 允许从未经授权的主机访问不安全的 FTP 服务器和连接
  • 动态 RFC 目标
  • HANA DB - DB 级别的用户管理操作。  

• 初始访问 - 暴力攻击

  • 从同一 IP 多次登录
  • 特权用户从非预期网络登录
  • SPNego 重播攻击

认证

适用于 SAP 的 Microsoft Sentinel 解决方案®应用程序已通过 SAP S/4HANA® 云、专用版 RISE with SAP 和本地版 SAP S/4 的认证。

• 集成方案包括 S/4-BC-XAL 1.0/S/4 外部警报和监视 1.0（针对 S/4）。
• 我们的认证包括在任何云和本地运行的 S/4 和 SAP Rise S/4 HANA® 私有云版。
• 我们支持可以覆盖整个客户资产的混合部署。

请查看 SAP 认证解决方案目录中的认证。

商标归属

SAP S/4HANA 和 SAP 是 SAP SE 或其子公司在德国和其他国家/地区的商标或注册商标。 

后续步骤

详细了解适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序：

• 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序
• 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的先决条件
• 部署 SAP 更改请求 (CR) 并配置授权
• 从内容中心部署解决方案内容
• 部署并配置托管 SAP 数据连接器代理的容器
• 监控 SAP 系统的运行状况
• 通过 SNC 部署适用于 SAP 的 Microsoft Sentinel 数据连接器
• 启用并配置 SAP 审核
• 收集 SAP HANA 审核日志

疑难解答：

• 适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案部署故障排除

参考文件：

• 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序数据参考
• 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序：安全内容参考
• Kickstart 脚本参考
• 更新脚本参考
• Systemconfig.ini 文件参考