Översikt över Microsoft Sentinel-lösning för SAP-program®
SAP-system utgör en unik säkerhetsutmaning. SAP-system hanterar extremt känslig information och är främsta mål för angripare.
Säkerhetsteam har traditionellt haft mycket liten insyn i SAP-system. Ett SAP-systemintrång kan resultera i stulna filer, exponerade data eller en störd leveranskedja. När en angripare är i systemet finns det få kontroller för att identifiera exfiltrering eller andra felaktiga åtgärder. SAP-aktiviteten måste korreleras med andra data i organisationen för effektiv hotidentifiering.
För att minska den här klyftan erbjuder Microsoft Sentinel Microsoft Sentinel-lösningen för SAP-program®. Den här omfattande lösningen använder komponenter på alla nivåer i Microsoft Sentinel för att erbjuda identifiering, analys, undersökning och svar på hot från slutpunkt till slutpunkt i DIN SAP-miljö.
Vad Microsoft Sentinel-lösningen för SAP-program® gör
Microsoft Sentinel-lösningen för SAP-program® övervakar kontinuerligt SAP-system för hot i alla lager – affärslogik, program, databas och operativsystem. Det gör att du kan:
Korrelera SAP-övervakning med andra signaler i organisationen och för att använda identifieringar som tillhandahålls av lösningen – eller skapa egna identifieringar – för att övervaka känsliga transaktioner och andra affärsrisker, till exempel eskalering av privilegier, icke godkända ändringar och obehörig åtkomst.
Skapa automatiserade svarsprocesser för att interagera med dina SAP-system för att stoppa aktiva säkerhetshot.
Microsoft Sentinel-lösningen för SAP-program® erbjuder även hotövervakning och identifiering för SAP Business Technology Platform.
Följande bild visar till exempel ett SAP-landskap med flera SID med en uppdelning mellan produktiva och icke-produktiva system, inklusive SAP Business Technology Platform. Alla system i den här avbildningen registreras i Microsoft Sentinel för SAP-lösningen.
Lösningsdetaljer
Loggkällor
Lösningens dataanslutning hämtar en mängd olika SAP-loggkällor:
- Granskningslogg för ABAP-säkerhet
- Logg för ABAP-ändringsdokument
- ABAP Spool Log
- Utdatalogg för ABAP Spool
- ABAP-jobblogg
- ABAP-arbetsflödeslogg
- ABAP DB-tabelldata
- SAP-användarhuvuddata
- ABAP CR-logg
- ICM-loggar
- JAVA Webdispacher-loggar
- Syslog
Täckning för hotidentifiering
Åtgärder för misstänkta privilegier – Skapa privilegierade användare
- Användning av break-glass-användare
- Låsa upp en användare och logga in på den från samma IP-adress
- Tilldelning av känsliga roller och administratörsbehörigheter
- Användaren låser upp och använder andra användare
- Tilldelning av kritisk auktorisering
Försök att kringgå SAP-säkerhetsmekanismer –
- Inaktivera granskningsloggning (HANA och SAP)
- Körning av känsliga funktionsmoduler
- Låsa upp blockerade transaktioner
- Felsöka produktionssystem
- Känsliga tabeller Direktåtkomst från RFC
- RFC-körning av sanativ funktion
- Systemkonfigurationsändring, Dynamiskt ABAP-program.
Skapande av bakdörr (beständighet)
- Skapande av nya internetuppkopplade gränssnitt (ICF)
- Direktåtkomst till känsliga tabeller via fjärrfunktionsanrop
- Tilldela nya tjänsthanterare till ICF
- Körning av föråldrade program
- Användaren låser upp och använder andra användare.
Dataexfiltrering
- Nedladdningar av flera filer
- Spool-övertaganden
- Tillåta åtkomst till osäkra FTP-servrar och anslutningar från obehöriga värdar
- Dynamiskt RFC-mål
- HANA DB – Användaradministratörsåtgärder från DB-nivå.
Initial åtkomst – Brute force
- Flera inloggningar från samma IP-adress
- Privilegierad användarinloggning från oväntade nätverk
- SPNego Replay-attack
Certifiering
Microsoft Sentinel-lösningen för SAP-program® är certifierad för SAP S/4HANA® Cloud, Private Edition RISE med SAP och SAP S/4 lokalt.
- Integreringsscenarierna omfattar S/4-BC-XAL 1.0/S/4 EXTERN AVISERING OCH ÖVERVAKNING 1.0 (för S/4).
- Vår certifiering omfattar S/4 och SAP Rise S/4 HANA® Cloud Private Edition som körs i alla moln och lokalt.
- Vi stöder hybriddistributioner som kan täcka hela kundegendomen.
Se certifieringen i SAP Certified Solutions Directory.
Varumärkestillskrivning
SAP S/4HANA och SAP är varumärken eller registrerade varumärken som tillhör SAP SE eller dess dotterbolag i Tyskland och i andra länder/regioner.
Nästa steg
Läs mer om Microsoft Sentinel-lösningen för SAP-program®:
- Distribuera Microsoft Sentinel-lösning för SAP-program®
- Förutsättningar för att distribuera Microsoft Sentinel-lösning för SAP-program®
- Distribuera SAP-ändringsbegäranden (CR) och konfigurera auktorisering
- Distribuera lösningsinnehållet från innehållshubben
- Distribuera och konfigurera containern som är värd för SAP-dataanslutningsagenten
- Övervaka hälsotillståndet för ditt SAP-system
- Distribuera Microsoft Sentinel för SAP-dataanslutningsappen med SNC
- Aktivera och konfigurera SAP-granskning
- Samla in SAP HANA-granskningsloggar
- Distribuera Microsoft Sentinel-lösning för SAP® BTP
Felsökning:
Referensfiler: