Présentation des applications Solution Microsoft Sentinel pour SAP®

  • Article

Les systèmes SAP constituent un défi de sécurité unique. Ils gèrent des informations extrêmement sensibles et sont des cibles privilégiées pour les attaquants.

Les équipes chargées des opérations de sécurité ont traditionnellement eu très peu de visibilité sur les systèmes SAP. Une violation du système SAP peut entraîner le vol de fichiers, l’exposition des données ou la perturbation d’une chaîne d’approvisionnement. Une fois qu’un attaquant est entré dans le système, il existe peu de contrôles pour détecter l’exfiltration ou d’autres mauvaises actions. L’activité SAP doit être corrélée avec d’autres données au sein de l’organisation pour une détection efficace des menaces.

Pour résoudre cette lacune, Microsoft Sentinel offre les applications Solution Microsoft Sentinel pour SAP®. Cette solution complète utilise des composants à chaque niveau de Microsoft Sentinel pour offrir une détection, une analyse, une analyse, une investigation et une réponse aux menaces de bout en bout dans votre environnement SAP.

Que fait la solution Microsoft Sentinel pour les applications SAP®

Les applications Solution Microsoft Sentinel pour SAP® analysent en permanence les systèmes SAP pour repérer les menaces dans toutes les couches : logique métier, application, base de données et système d’exploitation. Vous pouvez ainsi :

  • Mettre en corrélation la surveillance SAP avec d’autres signaux au sein de votre organisation et utiliser des détections fournies par la solution ou créer vos propres détections pour surveiller les transactions sensibles et d’autres risques métier tels que l’escalade de privilèges, les modifications non approuvées et l’accès non autorisé.

  • Créez des processus de réponse automatisés pour interagir avec vos systèmes SAP afin d’arrêter les menaces de sécurité actives.

La solution Microsoft Sentinel pour les applications SAP® offre également une surveillance et une détection des menaces pour SAP Business Technology Platform.

Par exemple, l’image suivante montre un paysage SAP multi-SID avec un fractionnement entre systèmes productifs et non productifs, y compris la plateforme de technologie métier SAP. Tous les systèmes de cette image sont intégrés à Microsoft Sentinel pour la solution SAP.

Diagram of a multi-SID SAP landscape with Microsoft Sentinel.

Détails de la solution

Sources de journaux

Le connecteur de données de la solution récupère un large éventail de sources de journaux SAP :

  • Journal d’audit de sécurité ABAP
  • Journal des documents de modification ABAP
  • Journal ABAP Spool
  • Journal de sortie Spool APAB
  • Journal des tâches ABAP
  • Journal de flux de travail ABAP
  • Données de table ABAP DB
  • Données de référence des utilisateurs SAP
  • Journal ABAP CR
  • Journaux ICM
  • Journaux Java Webdispacher
  • syslog

Couverture de détection des menaces

  • Opérations avec des privilèges suspects – Création d’utilisateurs privilégiés

    • Utilisation des utilisateurs d’urgence
    • Déverrouillage d’un utilisateur et connexion à celui-ci à partir de la même adresse IP
    • Attribution de rôles sensibles et de privilèges d’administrateur
    • Déverrouillage et utilisation utilisateur d’autres utilisateurs
    • Affectation d’autorisation critique

  • Tentatives de contournement des mécanismes de sécurité SAP

    • Désactivation de la journalisation d’audit (HANA et SAP)
    • Exécution d’un module de fonction sensible
    • Déverrouillage des transactions bloquées
    • Débogage des systèmes de production
    • Accès direct aux tables sensibles par RFC
    • Exécution RFC de la fonction Sanative
    • Changement de configuration système, programme ABAP dynamique.

  • Création de porte dérobée (persistance)

    • Création de nouvelles interfaces accessibles à Internet (ICF)
    • Accès direct aux tables sensibles par appel à fonction distante
    • Affectation de nouveaux gestionnaires de service à ICF
    • Exécution de programmes obsolètes
    • Déverrouillage et utilisation utilisateur d’autres utilisateurs.  

  • Exfiltration des données

    • Téléchargements de plusieurs fichiers
    • Prises de contrôle de spool
    • Autoriser l’accès aux serveurs FTP non sécurisés et aux connexions à partir d’hôtes non autorisés
    • Destination RFC dynamique
    • Base de données HANA – Actions Administration utilisateur du niveau de base de données.  

  • Accès initial – Force brute

    • Plusieurs ouvertures de session à partir de la même adresse IP
    • Connexions utilisateur privilégiées à partir de réseaux inattendus
    • Attaque de relecture SPNego

Certification

La solution Microsoft Sentinel pour les applications SAP® est certifiée pour SAP S/4HANA® Cloud, RISE with SAP édition privée et SAP S/4 local.

  • Les scénarios d’intégration comptent S/4-BC-XAL 1.0/S/4 EXTERNAL ALERT AND MONITORING 1.0 (pour S/4).
  • Notre certification comprend S/4 et SAP Rise S/4 HANA® Cloud édition privée qui s’exécutent dans n’importe quel cloud et localement.
  • Nous prenons en charge les déploiements hybrides pouvant couvrir l’ensemble du patrimoine client.

Consultez la certification dans le répertoire de Solutions Certifiées SAP.

Attribution de marques

SAP S/4HANA et SAP sont des marques ou des marques déposées de SAP SE ou de ses filiales en Allemagne et dans d’autres pays/régions. 

Étapes suivantes

En savoir plus sur les applications Solution Microsoft Sentinel pour SAP® :

Résolution des problèmes :

Fichiers de référence :