Övervakade SAP-säkerhetsparametrar för att identifiera misstänkta konfigurationsändringar
Den här artikeln beskriver säkerhetsparametrarna i SAP-systemet som Microsoft Sentinel-lösningen för SAP-program® övervakar som en del av analysregeln "SAP - (förhandsversion) Känslig statisk parameter har ändrats".
Microsoft Sentinel-lösningen för SAP-program® tillhandahåller uppdateringar för det här innehållet enligt ändringar i SAP:s bästa praxis. Du kan också lägga till parametrar som watch för, ändra värden enligt organisationens behov och inaktivera specifika parametrar i bevakningslistan för SAPSystemParameters.
Anteckning
För att Microsoft Sentinel-lösningen för SAP-program® ska kunna övervaka SAP-säkerhetsparametrarna måste lösningen övervaka SAP PAHI-tabellen regelbundet. Kontrollera att lösningen kan övervaka PAHI-tabellen.
Övervakade statiska SAP-säkerhetsparametrar
Den här listan innehåller de statiska SAP-säkerhetsparametrar som Microsoft Sentinel-lösningen för SAP-program® övervakar för att skydda ditt SAP-system. Listan är inte en rekommendation för att konfigurera dessa parametrar. Information om konfigurationsöverväganden finns i SAP-administratörerna.
Parameter | Beskrivning | Säkerhetsvärde/överväganden |
---|---|---|
gw/accept_remote_trace_level | Styr om undersystemen För central processintegrering (CPI) och RFC (Remote Function Call) använder fjärrspårningsnivån. När den här parametern är inställd på 1 accepterar och implementerar undersystemen CPI och RFC fjärrspårningen. När värdet 0 är accepteras inte fjärrspårningsnivåer och den lokala spårningsnivån används i stället.Spårningsnivån är en inställning som avgör vilken detaljnivå som registreras i systemloggen för ett visst program eller en viss process. När undersystemen använder spårningsnivåerna kan du ange spårningsnivån för ett program eller en process från ett fjärrsystem och inte bara från det lokala systemet. Den här inställningen kan vara användbar i situationer där fjärrfelsökning eller felsökning krävs. |
Parametern kan konfigureras för att begränsa spårningsnivån som accepteras från externa system. Om du anger en lägre spårningsnivå kan du minska mängden information som externa system kan få om SAP-systemets interna funktioner. |
login/password_change_for_SSO | Styr hur lösenordsändringar tillämpas i situationer med enkel inloggning. | Hög, eftersom framtvingande av lösenordsändringar kan bidra till att förhindra obehörig åtkomst till systemet av angripare som kan ha fått giltiga autentiseringsuppgifter via nätfiske eller på annat sätt. |
icm/accept_remote_trace_level | Avgör om ICM (Internet Communication Manager) accepterar ändringar på fjärrspårningsnivå från externa system. | Medel, eftersom att tillåta ändringar på fjärrspårningsnivå kan ge värdefull diagnostisk information till angripare och potentiellt äventyra systemsäkerheten. |
rdisp/gui_auto_logout | Anger den maximala inaktivitetstiden för SAP GUI-anslutningar innan användaren loggas ut automatiskt. | Hög, eftersom automatisk utloggning av inaktiva användare kan hjälpa till att förhindra obehörig åtkomst till systemet av angripare som kan ha fått åtkomst till en användares arbetsstation. |
rsau/enable | Styr om säkerhetsgranskningsloggen är aktiverad. | Hög eftersom säkerhetsgranskningsloggen kan ge värdefull information för att identifiera och undersöka säkerhetsincidenter. |
inloggning/min_password_diff | Anger det minsta antalet tecken som måste skilja sig åt mellan det gamla och det nya lösenordet när användarna ändrar sina lösenord. | Hög, eftersom det kan hjälpa att förhindra att användare väljer svaga lösenord som lätt kan gissas om det krävs ett minsta antal teckenskillnader. |
inloggning/min_password_digits | Anger det minsta antalet siffror som krävs i ett lösenord för en användare. | Hög eftersom parametern ökar komplexiteten för lösenord och gör dem svårare att gissa eller knäcka. |
login/ticket_only_by_https | Den här parametern styr om autentiseringsbegäranden endast skickas via HTTPS eller också kan skickas via HTTP. | Hög, eftersom användning av HTTPS för biljettöverföring krypterar data under överföring, vilket gör det säkrare. |
auth/rfc_authority_check | Styr om behörighetskontroller utförs för RFC:er. | Hög, eftersom aktivering av den här parametern hjälper till att förhindra obehörig åtkomst till känsliga data och funktioner via RFC: er. |
gw/acl_mode | Anger läget för den åtkomstkontrollistafil (ACL) som används av SAP-gatewayen. | Hög, eftersom parametern styr åtkomsten till gatewayen och hjälper till att förhindra obehörig åtkomst till SAP-systemet. |
gw/loggning | Styr loggningsinställningarna för SAP-gatewayen. | Hög eftersom den här parametern kan användas för att övervaka och identifiera misstänkt aktivitet eller potentiella säkerhetsöverträdelser. |
inloggning/fails_to_session_end | Anger antalet ogiltiga inloggningsförsök som tillåts innan användarens session avslutas. | Hög eftersom parametern hjälper till att förhindra råstyrkeattacker på användarkonton. |
wdisp/ssl_encrypt | Anger läget för SSL-omkryptering av HTTP-begäranden. | Hög eftersom den här parametern säkerställer att data som överförs via HTTP krypteras, vilket förhindrar avlyssning och manipulering av data. |
login/no_automatic_user_sapstar | Styr den automatiska inloggningen för SAP*-användaren. | Hög eftersom den här parametern hjälper till att förhindra obehörig åtkomst till SAP-systemet via SAP*-standardkontot. |
rsau/max_diskspace/lokal | Definierar den maximala mängden diskutrymme som kan användas för lokal lagring av granskningsloggar. Den här säkerhetsparametern hjälper till att förhindra att diskutrymme fylls på och säkerställer att granskningsloggar är tillgängliga för undersökning. | Genom att ange ett lämpligt värde för den här parametern kan du förhindra att de lokala granskningsloggarna förbrukar för mycket diskutrymme, vilket kan leda till problem med systemets prestanda eller till och med överbelastningsattacker. Å andra sidan kan en inställning av ett värde som är för lågt leda till förlust av granskningsloggdata, vilket kan krävas för efterlevnad och granskning. |
snc/extid_login_diag | Aktiverar eller inaktiverar loggning av externt ID i SNC-inloggningsfel (Secure Network Communication). Den här säkerhetsparametern kan hjälpa dig att identifiera försök till obehörig åtkomst till systemet. | Det kan vara praktiskt att aktivera den här parametern för att felsöka SNC-relaterade problem, eftersom den innehåller ytterligare diagnostikinformation. Parametern kan dock också exponera känslig information om de externa säkerhetsprodukter som används av systemet, vilket kan vara en potentiell säkerhetsrisk om informationen hamnar i fel händer. |
login/password_change_waittime | Definierar hur många dagar en användare måste vänta innan han/hon ändrar sitt lösenord igen. Den här säkerhetsparametern hjälper till att framtvinga lösenordsprinciper och se till att användarna ändrar sina lösenord med jämna mellanrum. | Genom att ange ett lämpligt värde för den här parametern kan du se till att användarna ändrar sina lösenord tillräckligt regelbundet för att upprätthålla säkerheten i SAP-systemet. Samtidigt kan det vara kontraproduktivt att ställa in väntetiden för kort eftersom användarna kan vara mer benägna att återanvända lösenord eller välja svaga lösenord som är lättare att komma ihåg. |
snc/accept_insecure_cpic | Avgör om systemet accepterar osäkra SNC-anslutningar med hjälp av CPIC-protokollet. Den här säkerhetsparametern styr säkerhetsnivån för SNC-anslutningar. | Aktivering av den här parametern kan öka risken för dataavlyssning eller manipulering, eftersom den accepterar SNC-skyddade anslutningar som inte uppfyller minimikraven för säkerhet. Därför är det rekommenderade säkerhetsvärdet för den här parametern att ställa in det på 0 , vilket innebär att endast SNC-anslutningar som uppfyller minimikraven accepteras. |
snc/accept_insecure_r3int_rfc | Avgör om systemet accepterar osäkra SNC-anslutningar för R/3- och RFC-protokoll. Den här säkerhetsparametern styr säkerhetsnivån för SNC-anslutningar. | Aktivering av den här parametern kan öka risken för dataavlyssning eller manipulering, eftersom den accepterar SNC-skyddade anslutningar som inte uppfyller minimikraven för säkerhet. Därför är det rekommenderade säkerhetsvärdet för den här parametern att ställa in det på 0 , vilket innebär att endast SNC-anslutningar som uppfyller minimikraven accepteras. |
snc/accept_insecure_rfc | Avgör om systemet accepterar osäkra SNC-anslutningar med hjälp av RFC-protokoll. Den här säkerhetsparametern styr säkerhetsnivån för SNC-anslutningar. | Aktivering av den här parametern kan öka risken för dataavlyssning eller manipulering, eftersom den accepterar SNC-skyddade anslutningar som inte uppfyller minimikraven för säkerhet. Därför är det rekommenderade säkerhetsvärdet för den här parametern att ställa in det på 0 , vilket innebär att endast SNC-anslutningar som uppfyller minimikraven accepteras. |
snc/data_protection/max | Definierar den maximala dataskyddsnivån för SNC-anslutningar. Den här säkerhetsparametern styr krypteringsnivån som används för SNC-anslutningar. | Att ange ett högt värde för den här parametern kan öka dataskyddsnivån och minska risken för dataavlyssning eller manipulering. Det rekommenderade säkerhetsvärdet för den här parametern beror på organisationens specifika säkerhetskrav och riskhanteringsstrategi. |
rspo/auth/pagelimit | Definierar det maximala antalet buffertbegäranden som en användare kan visa eller ta bort samtidigt. Den här säkerhetsparametern hjälper till att förhindra överbelastningsattacker på buffertsystemet. | Den här parametern påverkar inte säkerheten i SAP-systemet direkt, men kan bidra till att förhindra obehörig åtkomst till känsliga auktoriseringsdata. Genom att begränsa antalet poster som visas per sida kan det minska risken för att obehöriga personer visar känslig auktoriseringsinformation. |
snc/accept_insecure_gui | Avgör om systemet accepterar osäkra SNC-anslutningar med hjälp av användargränssnittet. Den här säkerhetsparametern styr säkerhetsnivån för SNC-anslutningar. | Vi rekommenderar att du anger värdet för den här parametern till 0 för att säkerställa att SNC-anslutningar som görs via SAP-gränssnittet är säkra och för att minska risken för obehörig åtkomst eller avlyssning av känsliga data. Att tillåta osäkra SNC-anslutningar kan öka risken för obehörig åtkomst till känslig information eller dataavlyssning, och bör endast göras när det finns ett specifikt behov och riskerna har utvärderats korrekt. |
login/accept_sso2_ticket | Aktiverar eller inaktiverar godkännande av SSO2-biljetter för inloggning. Den här säkerhetsparametern styr säkerhetsnivån för inloggning till systemet. | Aktivering av enkel inloggning2 kan ge en smidigare och smidigare användarupplevelse, men medför även ytterligare säkerhetsrisker. Om en angripare får åtkomst till en giltig SSO2-biljett kan angriparen personifiera en legitim användare och få obehörig åtkomst till känsliga data eller utföra skadliga åtgärder. |
inloggning/multi_login_users | Definierar om flera inloggningssessioner tillåts för samma användare eller inte. Den här säkerhetsparametern styr säkerhetsnivån för användarsessioner och hjälper till att förhindra obehörig åtkomst. | Om du aktiverar den här parametern kan du förhindra obehörig åtkomst till SAP-system genom att begränsa antalet samtidiga inloggningar för en enskild användare. När den här parametern är inställd 0 på tillåts endast en inloggningssession per användare och ytterligare inloggningsförsök avvisas. Detta kan bidra till att förhindra obehörig åtkomst till SAP-system om en användares inloggningsuppgifter komprometteras eller delas med andra. |
login/password_expiration_time | Anger det maximala tidsintervallet i dagar för vilket ett lösenord är giltigt. När den här tiden förflutit uppmanas användaren att ändra sitt lösenord. | Om du ställer in den här parametern på ett lägre värde kan du förbättra säkerheten genom att se till att lösenord ändras ofta. |
inloggning/password_max_idle_initial | Anger det maximala tidsintervallet i minuter för vilket en användare kan vara inloggad utan att utföra någon aktivitet. Efter den här tiden loggas användaren ut automatiskt. | Om du anger ett lägre värde för den här parametern kan du förbättra säkerheten genom att se till att inaktiva sessioner inte lämnas öppna under längre tidsperioder. |
login/password_history_size | Anger antalet tidigare lösenord som en användare inte får återanvända. | Den här parametern hindrar användare från att upprepade gånger använda samma lösenord, vilket kan förbättra säkerheten. |
snc/data_protection/use | Aktiverar användning av SNC-dataskydd. När detta är aktiverat ser SNC till att alla data som överförs mellan SAP-system krypteras och skyddas. | |
rsau/max_diskspace/per_day | Anger den maximala mängden diskutrymme i MB som kan användas för granskningsloggar per dag. Om du anger ett lägre värde för den här parametern kan du se till att granskningsloggarna inte förbrukar för mycket diskutrymme och kan hanteras effektivt. | |
snc/enable | Aktiverar SNC för kommunikation mellan SAP-system. | När SNC är aktiverat ger det ett extra säkerhetslager genom att kryptera data som överförs mellan system. |
auth/no_check_in_some_cases | Inaktiverar auktoriseringskontroller i vissa fall. | Även om den här parametern kan förbättra prestanda kan den också utgöra en säkerhetsrisk genom att tillåta användare att utföra åtgärder som de kanske inte har behörighet för. |
auth/object_disabling_active | Inaktiverar specifika auktoriseringsobjekt för användarkonton som har varit inaktiva under en angiven tidsperiod. | Kan hjälpa till att förbättra säkerheten genom att minska antalet inaktiva konton med onödiga behörigheter. |
login/disable_multi_gui_login | Förhindrar att en användare loggas in på flera GUI-sessioner samtidigt. | Den här parametern kan förbättra säkerheten genom att se till att användarna bara är inloggade i en session i taget. |
login/min_password_lng | Anger den minsta längd som ett lösenord kan vara. | Att ange ett högre värde för den här parametern kan förbättra säkerheten genom att säkerställa att lösenord inte är lätta att gissa sig till. |
rfc/reject_expired_passwd | Förhindrar körning av RFC när användarens lösenord har upphört att gälla. | Att aktivera den här parametern kan vara användbart när du framtvingar lösenordsprinciper och förhindrar obehörig åtkomst till SAP-system. När den här parametern är inställd 1 på avvisas RFC-anslutningar om användarens lösenord har upphört att gälla och användaren uppmanas att ändra sitt lösenord innan de kan ansluta. Detta säkerställer att endast behöriga användare med giltiga lösenord kan komma åt systemet. |
rsau/max_diskspace/per_file | Anger den maximala storleken för en granskningsfil som SAP-systemgranskning kan skapa. Genom att ange ett lägre värde kan du förhindra överdriven tillväxt av granskningsfiler och på så sätt säkerställa tillräckligt diskutrymme. | Genom att ange ett lämpligt värde kan du hantera storleken på granskningsfiler och undvika lagringsproblem. |
inloggning/min_password_letters | Anger det minsta antal bokstäver som måste ingå i en användares lösenord. Om du anger ett högre värde ökar du lösenordsstyrkan och säkerheten. | Genom att ange ett lämpligt värde kan du framtvinga lösenordsprinciper och förbättra lösenordssäkerheten. |
rsau/selection_slots | Anger antalet urvalsplatser som kan användas för granskningsfiler. Om du anger ett högre värde kan du undvika att skriva över äldre granskningsfiler. | Hjälper till att se till att granskningsfiler bevaras under en längre tidsperiod, vilket kan vara användbart vid en säkerhetsöverträdelse. |
gw/sim_mode | Den här parametern anger gatewayens simuleringsläge. När den är aktiverad simulerar gatewayen endast kommunikation med målsystemet och ingen faktisk kommunikation sker. | Det kan vara användbart att aktivera den här parametern i testsyfte och förhindra oavsiktliga ändringar i målsystemet. |
login/fails_to_user_lock | Anger antalet misslyckade inloggningsförsök varefter användarkontot låses. Genom att ange ett lägre värde kan du förhindra råstyrkeattacker. | Hjälper till att förhindra obehörig åtkomst till systemet och hjälper till att skydda användarkonton från att komprometteras. |
inloggning/password_compliance_to_current_policy | Framtvingar efterlevnad av nya lösenord med systemets aktuella lösenordsprincip. Dess värde ska anges till 1 för att aktivera den här funktionen. |
Hög. Genom att aktivera den här parametern kan du se till att användarna följer den aktuella lösenordsprincipen när de ändrar lösenord, vilket minskar risken för obehörig åtkomst till SAP-system. När den här parametern är inställd 1 på uppmanas användarna att följa den aktuella lösenordsprincipen när de ändrar sina lösenord. |
rfc/ext_debugging | Aktiverar RFC-felsökningsläget för externa RFC-anrop. Dess värde ska anges till 0 för att inaktivera den här funktionen. |
|
gw/monitor | Aktiverar övervakning av gatewayanslutningar. Dess värde ska anges till 1 för att aktivera den här funktionen. |
|
inloggning/create_sso2_ticket | Gör det möjligt att skapa SSO2-biljetter för användare. Dess värde ska anges till 1 för att aktivera den här funktionen. |
|
login/failed_user_auto_unlock | Aktiverar automatisk upplåsning av användarkonton efter ett misslyckat inloggningsförsök. Dess värde ska anges till 1 för att aktivera den här funktionen. |
|
inloggning/min_password_uppercase | Anger det minsta antalet versaler som krävs i nya lösenord. Värdet ska anges till ett positivt heltal. | |
login/min_password_specials | Anger det minsta antal specialtecken som krävs i nya lösenord. Värdet ska anges till ett positivt heltal. | |
snc/extid_login_rfc | Aktiverar användning av SNC för externa RFC-anrop. Dess värde ska anges till 1 för att aktivera den här funktionen. |
|
inloggning/min_password_lowercase | Anger det minsta antalet gemener som krävs i nya lösenord. Värdet ska anges till ett positivt heltal. | |
login/password_downwards_compatibility | Tillåter att lösenord anges med hjälp av gamla hash-algoritmer för bakåtkompatibilitet med äldre system. Dess värde ska anges till 0 för att inaktivera den här funktionen. |
|
snc/data_protection/min | Anger den lägsta nivå av dataskydd som måste användas för SNC-skyddade anslutningar. Värdet ska anges till ett positivt heltal. | Genom att ange ett lämpligt värde för den här parametern ser du till att SNC-skyddade anslutningar ger en miniminivå av dataskydd. Den här inställningen hjälper till att förhindra att känslig information fångas upp eller manipuleras av angripare. Värdet för den här parametern ska anges baserat på säkerhetskrav för SAP-systemet och känsligheten för de data som överförs via SNC-skyddade anslutningar. |
Nästa steg
Mer information finns i:
- Distribuera Microsoft Sentinel-lösning för SAP-program®
- Säkerhetsinnehåll för SAP-lösningen
- Loggreferens för Microsoft Sentinel-lösning för SAP-program®
- Övervaka hälsotillståndet för ditt SAP-system
- Distribuera Microsoft Sentinel-lösningen för SAP-programdataanslutningsappen® med SNC
- Referens för konfigurationsfil
- Krav för att distribuera Microsoft Sentinel-lösningen för SAP-program®
- Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program®