Parámetros de seguridad de SAP supervisados para detectar cambios de configuración sospechosos
En este artículo se detallan los parámetros de seguridad del sistema SAP que supervisa la Solución Microsoft Sentinel para aplicaciones de SAP® como parte de la regla de análisis "SAP: (versión preliminar) El parámetro estático confidencial ha cambiado".
La Solución Microsoft Sentinel para aplicaciones de SAP® proporcionará actualizaciones para este contenido según los cambios de procedimientos recomendados de SAP. También puede agregar parámetros que observar, cambiar los valores según las necesidades de su organización y deshabilitar parámetros específicos en la lista de seguimiento sapSystemParameters.
Nota
Para que la solución Microsoft Sentinel para aplicaciones SAP® supervise correctamente los parámetros de seguridad de SAP, la solución deberá supervisar correctamente la tabla PAHI de SAP a intervalos regulares. Compruebe que la solución pueda supervisar correctamente la tabla PAHI.
Parámetros de seguridad de SAP estáticos supervisados
Esta lista incluye los parámetros de seguridad estáticos de SAP que supervisa la Solución Microsoft Sentinel para aplicaciones de SAP para proteger el sistema SAP. La lista no es una recomendación para configurar estos parámetros. Para conocer las consideraciones de configuración, consulte a los administradores de SAP.
| Parámetro | Descripción | Valor o consideraciones de seguridad |
|---|---|---|
| gw/accept_remote_trace_level | Controla si los subsistemas de Integración de proceso central (CPI) y Llamada a función remota (RFC) adoptan o no el nivel de seguimiento remoto. Cuando este parámetro se establece en 1, los subsistemas CPI y RFC aceptan y adoptan los niveles de seguimiento remoto. Cuando se establece en 0, no se aceptan los niveles de seguimiento remoto y se usa el nivel de seguimiento local en su lugar.El nivel de seguimiento es una configuración que determina el nivel de detalle registrado en el registro del sistema para un programa o proceso específico. Cuando los subsistemas adoptan los niveles de seguimiento, se puede establecer el nivel de seguimiento de un programa o proceso desde un sistema remoto y no solo desde el sistema local. Esta configuración puede ser útil en situaciones en las que se requiere la depuración remota o la solución de problemas. |
El parámetro se puede configurar para restringir el nivel de seguimiento aceptado desde sistemas externos. Establecer un nivel de seguimiento inferior puede reducir la cantidad de información que los sistemas externos pueden obtener acerca los trabajos internos del sistema SAP. |
| login/password_change_for_SSO | Controla cómo se aplican los cambios de contraseña en situaciones de inicio de sesión único. | Alto, ya que la aplicación de cambios de contraseña puede ayudar a evitar el acceso no autorizado al sistema por parte de los atacantes que pueden haber obtenido credenciales válidas mediante de suplantación de identidad (phishing) u otros medios. |
| icm/accept_remote_trace_level | Determina si el administrador de comunicaciones de Internet (ICM) acepta cambios en el nivel de seguimiento remoto de sistemas externos. | Medio, ya que permitir cambios en el nivel de seguimiento remoto puede proporcionar información de diagnóstico valiosa a los atacantes y potencialmente poner en peligro la seguridad del sistema. |
| rdisp/gui_auto_logout | Especifica el tiempo de inactividad máximo para las conexiones de la GUI de SAP antes del cierre automático de la sesión del usuario. | Alto, ya que el cierre automático de sesión de usuarios inactivos puede ayudar a evitar el acceso no autorizado al sistema por parte de los atacantes que pueden haber obtenido acceso a la estación de trabajo de un usuario. |
| rsau/enable | Controla si el registro de auditoría de seguridad está habilitado. | Alto, ya que el registro de auditoría de seguridad puede proporcionar información valiosa para detectar e investigar incidentes de seguridad. |
| login/min_password_diff | Especifica la cantidad mínima de caracteres que deben diferir entre la contraseña antigua y la nueva cuando los usuarios cambian sus contraseñas. | Alto, ya que requerir una cantidad mínima de diferencias de caracteres puede ayudar a evitar que los usuarios elijan contraseñas no seguras que se puedan adivinar fácilmente. |
| login/min_password_digits | Establece la cantidad mínima de dígitos necesarios en una contraseña para un usuario. | Alto, ya que el parámetro aumenta la complejidad de las contraseñas y hace que sean más difíciles de adivinar o descifrar. |
| login/ticket_only_by_https | Este parámetro controla si los vales de autenticación solo se envían a través de HTTPS o también se pueden enviar a través de HTTP. | Alto, ya que el uso de HTTPS para la transmisión de vales cifra los datos en tránsito, lo que hace que sea más segura. |
| auth/rfc_authority_check | Controla si se hacen comprobaciones de autoridad para los RFC. | Alto, ya que habilitar este parámetro ayuda a evitar el acceso no autorizado a datos confidenciales y funciones a través de RFC. |
| gw/acl_mode | Establece el modo para el archivo de lista de control de acceso (ACL) usado por la puerta de enlace de SAP. | Alto, ya que el parámetro controla el acceso a la puerta de enlace y ayuda a evitar el acceso no autorizado al sistema SAP. |
| gw/logging | Controla la configuración de registro de la puerta de enlace de SAP. | Alto, ya que este parámetro se puede usar para supervisar y detectar actividades sospechosas o posibles vulneraciones a la seguridad. |
| login/fails_to_session_end | Establece la cantidad de intentos de inicio de sesión no válidos permitidos antes de que finalice la sesión del usuario. | Alto, ya que el parámetro ayuda a evitar ataques por fuerza bruta en cuentas de usuario. |
| wdisp/ssl_encrypt | Establece el modo para volver a hacer el cifrado SSL de las solicitudes HTTP. | Alto, ya que este parámetro garantiza que los datos transmitidos a través de HTTP están cifrados, lo que ayuda a evitar la interceptación y la manipulación de datos. |
| login/no_automatic_user_sapstar | Controla el inicio de sesión automático del usuario de SAP*. | Alto, ya que este parámetro ayuda a evitar el acceso no autorizado al sistema SAP a través de la cuenta predeterminada de SAP*. |
| rsau/max_diskspace/local | Define la cantidad máxima de espacio en disco que se puede usar para el almacenamiento local de los registros de auditoría. Este parámetro de seguridad ayuda a evitar el llenado del espacio en disco y garantiza que los registros de auditoría estén disponibles para su investigación. | Establecer un valor adecuado para este parámetro ayuda a evitar que los registros de auditoría locales consuman demasiado espacio en disco, lo que podría provocar problemas de rendimiento del sistema o incluso ataques por denegación de servicio. Por otro lado, establecer un valor demasiado bajo puede provocar la pérdida de datos del registro de auditoría, lo que puede ser necesario para el cumplimiento y la auditoría. |
| snc/extid_login_diag | Habilita o deshabilita el registro de identificadores externos en errores de inicio de sesión de Comunicación de red segura (SNC). Este parámetro de seguridad puede ayudar a identificar intentos de acceso no autorizado al sistema. | Habilitar este parámetro puede ser útil para solucionar problemas relacionados con SNC, ya que proporciona información de diagnóstico adicional. Sin embargo, el parámetro también puede exponer información confidencial sobre los productos de seguridad externos que usa el sistema, lo que podría ser un posible riesgo de seguridad si esa información llega a manos equivocadas. |
| login/password_change_waittime | Define la cantidad de días que un usuario debe esperar antes de cambiar su contraseña de nuevo. Este parámetro de seguridad ayuda a aplicar directivas de contraseña y garantizar que los usuarios cambien sus contraseñas periódicamente. | Establecer un valor adecuado para este parámetro puede ayudar a garantizar que los usuarios cambien sus contraseñas con regularidad para mantener la seguridad del sistema SAP. Al mismo tiempo, establecer el tiempo de espera demasiado corto puede ser contraproducente, ya que es más probable que los usuarios vuelvan a usar o elegir contraseñas no seguras que sean más fáciles de recordar. |
| snc/accept_insecure_cpic | Determina si el sistema acepta conexiones de SNC no seguras mediante el protocolo CPIC. Este parámetro de seguridad controla el nivel de seguridad de las conexiones de SNC. | La habilitación de este parámetro puede aumentar el riesgo de interceptación o manipulación de datos, ya que acepta conexiones protegidas con SNC que no cumplen los estándares de seguridad mínimos. Por lo tanto, el valor de seguridad recomendado para este parámetro es establecerlo en 0, lo que significa que solo se aceptan conexiones de SNC que cumplen los requisitos de seguridad mínimos. |
| snc/accept_insecure_r3int_rfc | Determina si el sistema acepta o no conexiones de SNC no seguras para los protocolos R/3 y RFC. Este parámetro de seguridad controla el nivel de seguridad de las conexiones de SNC. | La habilitación de este parámetro puede aumentar el riesgo de interceptación o manipulación de datos, ya que acepta conexiones protegidas con SNC que no cumplen los estándares de seguridad mínimos. Por lo tanto, el valor de seguridad recomendado para este parámetro es establecerlo en 0, lo que significa que solo se aceptan conexiones de SNC que cumplen los requisitos de seguridad mínimos. |
| snc/accept_insecure_rfc | Determina si el sistema acepta o no conexiones de SNC no seguras mediante protocolos RFC. Este parámetro de seguridad controla el nivel de seguridad de las conexiones de SNC. | La habilitación de este parámetro puede aumentar el riesgo de interceptación o manipulación de datos, ya que acepta conexiones protegidas con SNC que no cumplen los estándares de seguridad mínimos. Por lo tanto, el valor de seguridad recomendado para este parámetro es establecerlo en 0, lo que significa que solo se aceptan conexiones de SNC que cumplen los requisitos de seguridad mínimos. |
| snc/data_protection/max | Define el nivel máximo de protección de datos para las conexiones de SNC. Este parámetro de seguridad controla el nivel de cifrado usado para las conexiones de SNC. | Establecer un valor alto para este parámetro puede aumentar el nivel de protección de datos y reducir el riesgo de interceptación o manipulación de datos. El valor de seguridad recomendado para este parámetro depende de los requisitos de seguridad específicos de la organización y de la estrategia de administración de riesgos. |
| rspo/auth/pagelimit | Define la cantidad máxima de solicitudes de cola que un usuario puede mostrar o eliminar a la vez. Este parámetro de seguridad ayuda a evitar ataques por denegación de servicio en el sistema de cola. | Este parámetro no afecta directamente a la seguridad del sistema SAP, pero puede ayudar a evitar el acceso no autorizado a los datos de autorización confidenciales. Al limitar la cantidad de entradas que se muestran por página, puede reducir el riesgo de personas no autorizadas que vean información de autorización confidencial. |
| snc/accept_insecure_gui | Determina si el sistema acepta o no conexiones de SNC no seguras mediante la GUI. Este parámetro de seguridad controla el nivel de seguridad de las conexiones de SNC. | Se recomienda establecer el valor de este parámetro en 0 para asegurarse de que las conexiones de SNC hechas mediante la GUI de SAP son seguras y reducir el riesgo de acceso o interceptación no autorizados de datos confidenciales. Permitir conexiones de SNC no seguras puede aumentar el riesgo de acceso no autorizado a información confidencial o interceptación de datos, y solo debe realizarse cuando haya una necesidad específica y se hayan evaluado correctamente los riesgos. |
| login/accept_sso2_ticket | Habilita o deshabilita la aceptación de vales de SSO2 para el inicio de sesión. Este parámetro de seguridad controla el nivel de seguridad para el inicio de sesión en el sistema. | La habilitación de SSO2 puede proporcionar una experiencia de usuario más simplificada y cómoda, pero también presenta riesgos de seguridad adicionales. Si un atacante obtiene acceso a un vale de SSO2 válido, puede suplantar a un usuario legítimo y obtener acceso no autorizado a datos confidenciales o realizar acciones malintencionadas. |
| login/multi_login_users | Define si se permiten o no varias sesiones de inicio de sesión del mismo usuario. Este parámetro de seguridad controla el nivel de seguridad de las sesiones de usuario y ayuda a evitar el acceso no autorizado. | Habilitar este parámetro puede ayudar a evitar el acceso no autorizado a los sistemas SAP al limitar el número de inicios de sesión simultáneos de un único usuario. Cuando este parámetro se establece en 0, solo se permite una sesión por usuario y se rechazan los intentos de inicio de sesión adicionales. Esto puede ayudar a evitar el acceso no autorizado a los sistemas SAP en caso de que las credenciales de inicio de sesión de un usuario estén en peligro o se compartan con otros usuarios. |
| login/password_expiration_time | Especifica el intervalo de tiempo máximo en días durante el que una contraseña es válida. Cuando transcurre este tiempo, se solicita al usuario que cambie su contraseña. | Establecer este parámetro en un valor inferior puede mejorar la seguridad, lo que garantiza que las contraseñas se cambian con frecuencia. |
| login/password_max_idle_initial | Especifica el intervalo de tiempo máximo en minutos durante el que un usuario puede permanecer conectado sin realizar ninguna actividad. Una vez transcurrido este tiempo, el usuario se desconecta automáticamente. | Establecer un valor inferior para este parámetro puede mejorar la seguridad, lo que garantiza que las sesiones inactivas no se dejan abiertas durante largos períodos de tiempo. |
| login/password_history_size | Especifica la cantidad de contraseñas anteriores que un usuario no puede reutilizar. | Este parámetro impide que los usuarios repitan el uso de las mismas contraseñas, lo que puede mejorar la seguridad. |
| snc/data_protection/use | Habilita el uso de la protección de datos de SNC. Cuando se habilita, SNC garantiza que todos los datos transmitidos entre los sistemas SAP estén cifrados y seguros. | |
| rsau/max_diskspace/per_day | Especifica la cantidad máxima de espacio en disco en MB que se puede usar para los registros de auditoría al día. Establecer un valor inferior para este parámetro puede ayudar a garantizar que los registros de auditoría no consuman demasiado espacio en disco y se puedan administrar de forma eficaz. | |
| snc/enable | Habilita SNC para la comunicación entre los sistemas SAP. | Cuando se habilita, SNC proporciona una capa adicional de seguridad mediante el cifrado de datos transmitidos entre sistemas. |
| auth/no_check_in_some_cases | Deshabilita las comprobaciones de autorización en casos determinados. | Aunque este parámetro puede mejorar el rendimiento, también puede suponer un riesgo de seguridad al permitir a los usuarios realizar acciones para las que quizás no tengan permiso. |
| auth/object_disabling_active | Deshabilita objetos de autorización específicos de las cuentas de usuario que han estado inactivas durante un período de tiempo especificado. | Puede ayudar a mejorar la seguridad al reducir el número de cuentas inactivas con permisos innecesarios. |
| login/disable_multi_gui_login | Impide que un usuario inicie sesión en varias sesiones de GUI de manera simultánea. | Este parámetro puede ayudar a mejorar la seguridad al garantizar que los usuarios solo inicien una sesión a la vez. |
| login/min_password_lng | Especifica la longitud mínima que puede tener una contraseña. | Establecer un valor mayor para este parámetro puede mejorar la seguridad, lo que garantiza que las contraseñas no se adivinan fácilmente. |
| rfc/reject_expired_passwd | Impide la ejecución de los RFC cuando la contraseña del usuario ha expirado. | Habilitar este parámetro puede resultar útil al aplicar directivas de contraseña y evitar el acceso no autorizado a los sistemas SAP. Cuando este parámetro se establece en 1, se rechazan las conexiones de RFC si la contraseña del usuario ha expirado y se solicita al usuario que cambie su contraseña para poder conectarse. Esto ayuda a garantizar que solo los usuarios autorizados con contraseñas válidas puedan acceder al sistema. |
| rsau/max_diskspace/per_file | Establece el tamaño máximo de un archivo de auditoría que puede crear la auditoría del sistema SAP. Establecer un valor inferior ayuda a evitar el aumento excesivo de los archivos de auditoría y, por tanto, ayuda a garantizar un espacio adecuado en el disco. | Establecer un valor adecuado ayuda a administrar el tamaño de los archivos de auditoría y a evitar problemas de almacenamiento. |
| login/min_password_letters | Indica la cantidad mínima de letras que se deben incluir en la contraseña de un usuario. Establecer un valor mayor ayuda a aumentar la seguridad de la contraseña. | Establecer un valor adecuado ayuda a aplicar directivas de contraseña y a mejorar la seguridad de las contraseñas. |
| rsau/selection_slots | Establece el número de ranuras de selección que se pueden usar en los archivos de auditoría. Establecer un valor mayor puede ayudar a evitar la sobrescritura de archivos de auditoría más antiguos. | Ayuda a garantizar que los archivos de auditoría se conserven durante un período de tiempo más largo, lo que puede ser útil en una vulneración a la seguridad. |
| gw/sim_mode | Este parámetro establece el modo de simulación de la puerta de enlace. Cuando se habilita, la puerta de enlace solo simula la comunicación con el sistema de destino y no se lleva a cabo ninguna comunicación real. | Habilitar este parámetro puede ser útil con fines de prueba y puede ayudar a evitar cualquier cambio no deseado en el sistema de destino. |
| login/fails_to_user_lock | Establece la cantidad de intentos de inicio de sesión erróneos después de los cuales la cuenta del usuario se bloquea. Establecer un valor inferior ayuda a evitar ataques por fuerza bruta. | Ayuda a evitar el acceso no autorizado al sistema y ayuda a proteger las cuentas de usuario para que no se vean comprometidos. |
| login/password_compliance_to_current_policy | Aplica el cumplimiento de nuevas contraseñas con la directiva de contraseñas actual del sistema. Su valor debe establecerse en 1 para habilitar esta característica. |
Alta. Habilitar este parámetro puede ayudar a garantizar que los usuarios cumplan la directiva de contraseñas actual al cambiar las contraseñas, lo que reduce el riesgo de acceso no autorizado a los sistemas SAP. Cuando este parámetro se establece en 1, se pide a los usuarios que cumplan la directiva de contraseñas actual al cambiar sus contraseñas. |
| rfc/ext_debugging | Habilita el modo de depuración de RFC para las llamadas a RFC externas. Su valor debe establecerse en 0 para deshabilitar esta característica. |
|
| gw/monitor | Habilita la supervisión de las conexiones de puerta de enlace. Su valor debe establecerse en 1 para habilitar esta característica. |
|
| login/create_sso2_ticket | Habilita la creación de vales de SSO2 para los usuarios. Su valor debe establecerse en 1 para habilitar esta característica. |
|
| login/failed_user_auto_unlock | Habilita el desbloqueo automático de las cuentas de usuario después de un intento de inicio de sesión erróneo. Su valor debe establecerse en 1 para habilitar esta característica. |
|
| login/min_password_uppercase | Establece la cantidad mínima de letras mayúsculas necesarias en las contraseñas nuevas. Su valor debe establecerse en un entero positivo. | |
| login/min_password_specials | Establece la cantidad mínima de caracteres especiales necesarios en las contraseñas nuevas. Su valor debe establecerse en un entero positivo. | |
| snc/extid_login_rfc | Habilita el uso de SNC para llamadas a RFC externas. Su valor debe establecerse en 1 para habilitar esta característica. |
|
| login/min_password_lowercase | Establece la cantidad mínima de letras minúsculas necesarias en las nuevas contraseñas. Su valor debe establecerse en un entero positivo. | |
| login/password_downwards_compatibility | Permite establecer las contraseñas mediante algoritmos hash antiguos para ofrecer compatibilidad con versiones anteriores de sistemas antiguos. Su valor debe establecerse en 0 para deshabilitar esta característica. |
|
| snc/data_protection/min | Establece el nivel mínimo de protección de datos que se debe usar para las conexiones protegidas por SNC. Su valor debe establecerse en un entero positivo. | Establecer un valor adecuado para este parámetro ayuda a garantizar que las conexiones protegidas por SNC proporcionen un nivel mínimo de protección de datos. Esta configuración ayuda a evitar que los atacantes intercepten o manipulen información confidencial. El valor de este parámetro debe establecerse en función de los requisitos de seguridad del sistema SAP y de la confidencialidad de los datos transmitidos a través de conexiones protegidas por SNC. |
Pasos siguientes
Para más información, consulte:
- Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
- Contenido de seguridad de la solución de SAP
- Referencia de registros de la solución Microsoft Sentinel para aplicaciones SAP®
- Supervisar el estado del sistema SAP
- Implementación del conector de datos de la solución Microsoft Sentinel para aplicaciones SAP® con SNC
- Referencia del archivo de configuración
- Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP®
- Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones SAP®