Introducción a la solución Microsoft Sentinel para aplicaciones SAP®
Los sistemas SAP suponen un desafío de seguridad único. Los sistemas SAP controlan información extremadamente confidencial y son objetivos principales de los atacantes.
Los equipos de operaciones de seguridad tradicionalmente han tenido muy poca visibilidad en los sistemas SAP. Una infracción de seguridad del sistema SAP podría dar lugar a archivos robados, datos expuestos o a una cadena de suministro interrumpida. Una vez que un atacante está en el sistema, hay pocos controles para detectar la filtración u otras malas acciones. La actividad de SAP debe ponerse en correlación con otros datos de la organización para una detección de amenazas eficaz.
Para ayudar a acabar con este riesgo, Microsoft Sentinel ofrece la solución Microsoft Sentinel para aplicaciones SAP®. Esta completa solución usa componentes en todos los niveles de Microsoft Sentinel para ofrecer una detección, un análisis, una investigación y una respuesta a las amenazas integrales en el entorno de SAP.
Qué hace la solución de Microsoft Sentinel para aplicaciones SAP®
La solución Microsoft Sentinel para aplicaciones SAP® supervisa continuamente los sistemas SAP en busca de amenazas a todos los niveles: lógica de negocios, aplicación, base de datos y sistema operativo. Eso le permite lo siguiente:
Correlacionar la supervisión de SAP con otras señales en toda la organización y usar las detecciones proporcionadas por la solución (o crear sus propias detecciones) para supervisar transacciones confidenciales y otros riesgos empresariales, como la elevación de privilegios, los cambios no aprobados y el acceso no autorizado.
Cree procesos de respuesta automatizados para interactuar con los sistemas SAP para detener las amenazas de seguridad activas.
La solución Microsoft Sentinel para aplicaciones sap® también ofrece supervisión y detección de amenazas para la plataforma de tecnología empresarial de SAP.
Por ejemplo, en la imagen siguiente se muestra un panorama de SAP de varios SID con una división entre sistemas productivos y no productivos, incluida la plataforma de tecnología empresarial de SAP. Todos los sistemas de esta imagen se incorporan a Microsoft Sentinel para la solución de SAP.
Detalles de la solución
Orígenes de registros
El conector de datos de la solución recupera una amplia variedad de orígenes de registro de SAP:
- Registro de auditoría de seguridad de ABAP
- Registro de documentos de cambio de ABAP
- Registro de spool de ABAP
- Registro de salida de spool de ABAP
- Registro de trabajos de ABAP
- Registro de flujo de trabajo de ABAP
- Datos de tabla de base de datos de ABAP
- Datos maestros de usuario de SAP
- Registro de CR de ABAP
- Registros de ICM
- Registros de Webdispatcher de JAVA
- syslog
Cobertura de detección de amenazas
Operaciones con privilegios sospechosos: creación de usuarios con privilegios
- Uso de usuarios de emergencia
- Desbloqueo de un usuario e inicio de sesión en él desde la misma dirección IP
- Asignación de roles confidenciales y privilegios de administrador
- El usuario desbloquea y usa otros usuarios
- Asignación de autorización crítica
Intentos de omitir los mecanismos de seguridad de SAP:
- Deshabilitación del registro de auditoría (HANA y SAP)
- Ejecución de módulos de funciones confidenciales
- Desbloqueo de transacciones bloqueadas
- Depuración de sistemas de producción
- Acceso directo a tablas confidenciales mediante RFC
- Ejecución RFC de una función confidencial
- Cambio de configuración del sistema, Programa de ABAP dinámico.
Creación de la puerta trasera (persistencia)
- Creación de nuevas interfaces accesibles desde Internet (ICF)
- Acceso directo a tablas confidenciales mediante remote-function-call
- Asignación de nuevos controladores de servicio a ICF
- Ejecución de programas obsoletos
- El usuario desbloquea y usa otros usuarios.
Filtración de datos
- Varias descargas de archivos
- Adquisiciones de spool
- Permitir el acceso a servidores FTP no seguros y conexiones desde hosts no autorizados
- Destino RFC dinámico
- HANA DB - Acciones de administración de usuarios desde el nivel de base de datos.
Acceso inicial: fuerza bruta
- Varios inicios de sesión desde la misma dirección IP
- Inicios de sesión de usuario con privilegios desde redes inesperadas
- Ataque de reproducción de SPNego
Certificación
La solución Microsoft Sentinel para las aplicaciones SAP® está certificada para SAP S/4HANA® Cloud, RISE con SAP edición privada y SAP S/4 local.
- Los escenarios de integración incluyen S/4-BC-XAL 1.0/S/4 EXTERNAL ALERT AND MONITORING 1.0 (para S/4).
- Nuestra certificación incluye S/4 y SAP Rise S/4 HANA® Cloud edición privada que se ejecuta en cualquier nube y en el entorno local.
- Se admiten implementaciones híbridas que pueden cubrir todo el patrimonio del cliente.
Consulte la certificación en el directorio de Soluciones certificadas SAP.
Atribución de marcas comerciales
SAP S/4HANA y SAP son marcas comerciales o marcas registradas de SAP SE o sus filiales en Alemania y en otros países/regiones.
Pasos siguientes
Obtenga más información sobre la solución Microsoft Sentinel para aplicaciones SAP®:
- Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
- Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones de SAP®
- Implementación de solicitudes de cambio de SAP y configuración de la autorización
- Implementar el contenido de la solución desde el centro de contenido
- Implementación y configuración del contenedor del agente de conector de datos de SAP
- Supervisar el estado del sistema SAP
- Implementación del conector de datos de Microsoft Sentinel para SAP con SNC
- Habilitación y configuración de la auditoría para SAP para Microsoft Sentinel
- Recopilación de registros de auditoría de SAP HANA
- Implementación de soluciones de Microsoft Sentinel para SAP® BTP
Solución del problema:
Archivos de referencia: