Overzicht van Microsoft Sentinel-oplossing voor SAP-toepassingen®

SAP-systemen vormen een unieke beveiligingsvraag. SAP-systemen verwerken uiterst gevoelige informatie en zijn belangrijke doelen voor aanvallers.

Beveiligingsteams hebben traditioneel weinig inzicht in SAP-systemen. Een SCHENDING van het SAP-systeem kan leiden tot gestolen bestanden, blootgestelde gegevens of verstoorde toeleveringsketen. Zodra een aanvaller zich in het systeem bevindt, zijn er weinig besturingselementen om exfiltratie of andere slechte handelingen te detecteren. SAP-activiteit moet worden gecorreleerd met andere gegevens in de hele organisatie voor effectieve detectie van bedreigingen.

Om dit gat te dichten, biedt Microsoft Sentinel de Microsoft Sentinel-oplossing voor SAP-toepassingen®. Deze uitgebreide oplossing maakt gebruik van onderdelen op elk niveau van Microsoft Sentinel om end-to-end detectie, analyse, onderzoek en reactie te bieden op bedreigingen in uw SAP-omgeving.

Wat de Microsoft Sentinel-oplossing voor SAP-toepassingen® doet

De Microsoft Sentinel-oplossing voor SAP-toepassingen® bewaakt voortdurend SAP-systemen op bedreigingen op alle lagen: bedrijfslogica, toepassing, database en besturingssysteem. Hiermee kunt u het volgende doen:

• Correleer SAP-bewaking met andere signalen binnen uw organisatie en om detecties te gebruiken die worden geleverd door de oplossing, of uw eigen detecties te bouwen, om gevoelige transacties en andere bedrijfsrisico's te bewaken, zoals escalatie van bevoegdheden, niet-goedgekeurde wijzigingen en onbevoegde toegang.

• Bouw geautomatiseerde reactieprocessen om te communiceren met uw SAP-systemen om actieve beveiligingsrisico's te stoppen.

De Microsoft Sentinel-oplossing voor SAP-toepassingen® biedt ook bedreigingsbewaking en -detectie voor SAP Business Technology Platform.

In de volgende afbeelding ziet u bijvoorbeeld een SAP-landschap met meerdere SID's met een splitsing tussen productieve en niet-productieve systemen, waaronder het SAP Business Technology Platform. Alle systemen in deze installatiekopieën worden toegevoegd aan Microsoft Sentinel voor de SAP-oplossing.

Details oplossing

Logboekbronnen

De gegevensconnector van de oplossing haalt een groot aantal SAP-logboekbronnen op:

• ABAP-beveiligingscontrolelogboek
• ABAP-documentenlogboek wijzigen
• ABAP-spoollogboek
• ABAP-uitvoerlogboek voor Spool
• ABAP-taaklogboek
• ABAP-werkstroomlogboek
• ABAP DB-tabelgegevens
• SAP-gebruikershoofdgegevens
• ABAP CR-logboek
• ICM-logboeken
• Java Webdispacher-logboeken
• Syslog

Dekking voor detectie van bedreigingen

• Verdachte bewerkingen voor bevoegdheden : geprivilegieerde gebruikers maken

  • Gebruik van break-glass-gebruikers
  • Een gebruiker ontgrendelen en zich aanmelden vanaf hetzelfde IP-adres
  • Toewijzing van gevoelige rollen en beheerdersbevoegdheden
  • Gebruiker ontgrendelt en gebruikt andere gebruikers
  • Kritieke autorisatietoewijzing

• Pogingen om SAP-beveiligingsmechanismen te omzeilen –

  • Auditlogboekregistratie uitschakelen (HANA en SAP)
  • Uitvoering van gevoelige functiemodules
  • Geblokkeerde transacties ontgrendelen
  • Foutopsporing in productiesystemen
  • Directe toegang tot gevoelige tabellen via RFC
  • RFC-uitvoering van sanatieve functie
  • Systeemconfiguratiewijziging, dynamisch ABAP-programma.

• Backdoor maken (persistentie)

  • Nieuwe internetgerichte interfaces (ICF) maken
  • Rechtstreeks toegang tot gevoelige tabellen via externe functie-aanroep
  • Nieuwe service-handlers toewijzen aan ICF
  • Uitvoering van verouderde programma's
  • Gebruiker ontgrendelt en gebruikt andere gebruikers.  

• Gegevensexfiltratie

  • Meerdere bestanden worden gedownload
  • Overname van spools
  • Toegang tot onveilige FTP-servers en -verbindingen van niet-geautoriseerde hosts toestaan
  • Dynamische RFC-bestemming
  • HANA DB - Gebruikers Beheer Acties op DB-niveau.  

• Eerste toegang : beveiligingsaanval

  • Meerdere aanmeldingen van hetzelfde IP-adres
  • Bevoegde gebruikersaanmeldingen van onverwachte netwerken
  • SPNego-replay-aanval

Certificering

Microsoft Sentinel-oplossing voor SAP-toepassingen® is gecertificeerd voor SAP S/4HANA® Cloud, Private Edition RISE met SAP en SAP S/4 on-premises.

• De integratiescenario's omvatten S/4-BC-XAL 1.0/S/4 EXTERNAL ALERT AND MONITORING 1.0 (voor S/4).
• Onze certificering omvat S/4 en SAP Rise S/4 HANA® Cloud Private Edition die wordt uitgevoerd in elke cloud en on-premises.
• We ondersteunen hybride implementaties die de volledige klantomgeving kunnen dekken.

Bekijk de certificering in de SAP Certified Solutions Directory.

Merkvermelding

SAP S/4HANA en SAP zijn handelsmerken of geregistreerde handelsmerken van SAP SE of haar filialen in Duitsland en in andere landen/regio's. 

Volgende stappen

Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen®:

• Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
• Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
• SAP-wijzigingsaanvragen (CA's) implementeren en autorisatie configureren
• De inhoud van de oplossing implementeren vanuit de inhoudshub
• De container implementeren en configureren die als host fungeert voor de SAP-gegevensconnectoragent
• De status van uw SAP-systeem bewaken
• De Microsoft Sentinel voor SAP-gegevensconnector implementeren met SNC
• SAP-controle inschakelen en configureren
• SAP HANA-auditlogboeken verzamelen
• Microsoft Sentinel-oplossing implementeren voor SAP® BTP

Problemen oplossen:

• Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen®

Referentiebestanden:

• Microsoft Sentinel-oplossing voor gegevensreferenties voor SAP-toepassingen®
• Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
• Naslaginformatie over Kickstart-scripts
• Scriptreferentie bijwerken
• Systemconfig.ini bestandsreferentie