Översikt över Microsoft Sentinel-lösning för SAP-program®

SAP-system utgör en unik säkerhetsutmaning. SAP-system hanterar extremt känslig information och är främsta mål för angripare.

Säkerhetsteam har traditionellt haft mycket liten insyn i SAP-system. Ett SAP-systemintrång kan resultera i stulna filer, exponerade data eller en störd leveranskedja. När en angripare är i systemet finns det få kontroller för att identifiera exfiltrering eller andra felaktiga åtgärder. SAP-aktiviteten måste korreleras med andra data i organisationen för effektiv hotidentifiering.

För att minska den här klyftan erbjuder Microsoft Sentinel Microsoft Sentinel-lösningen för SAP-program®. Den här omfattande lösningen använder komponenter på alla nivåer i Microsoft Sentinel för att erbjuda identifiering, analys, undersökning och svar på hot från slutpunkt till slutpunkt i DIN SAP-miljö.

Vad Microsoft Sentinel-lösningen för SAP-program® gör

Microsoft Sentinel-lösningen för SAP-program® övervakar kontinuerligt SAP-system för hot i alla lager – affärslogik, program, databas och operativsystem. Det gör att du kan:

• Korrelera SAP-övervakning med andra signaler i organisationen och för att använda identifieringar som tillhandahålls av lösningen – eller skapa egna identifieringar – för att övervaka känsliga transaktioner och andra affärsrisker, till exempel eskalering av privilegier, icke godkända ändringar och obehörig åtkomst.

• Skapa automatiserade svarsprocesser för att interagera med dina SAP-system för att stoppa aktiva säkerhetshot.

Microsoft Sentinel-lösningen för SAP-program® erbjuder även hotövervakning och identifiering för SAP Business Technology Platform.

Följande bild visar till exempel ett SAP-landskap med flera SID med en uppdelning mellan produktiva och icke-produktiva system, inklusive SAP Business Technology Platform. Alla system i den här avbildningen registreras i Microsoft Sentinel för SAP-lösningen.

Lösningsdetaljer

Loggkällor

Lösningens dataanslutning hämtar en mängd olika SAP-loggkällor:

• Granskningslogg för ABAP-säkerhet
• Logg för ABAP-ändringsdokument
• ABAP Spool Log
• Utdatalogg för ABAP Spool
• ABAP-jobblogg
• ABAP-arbetsflödeslogg
• ABAP DB-tabelldata
• SAP-användarhuvuddata
• ABAP CR-logg
• ICM-loggar
• JAVA Webdispacher-loggar
• Syslog

Täckning för hotidentifiering

• Åtgärder för misstänkta privilegier – Skapa privilegierade användare

  • Användning av break-glass-användare
  • Låsa upp en användare och logga in på den från samma IP-adress
  • Tilldelning av känsliga roller och administratörsbehörigheter
  • Användaren låser upp och använder andra användare
  • Tilldelning av kritisk auktorisering

• Försök att kringgå SAP-säkerhetsmekanismer –

  • Inaktivera granskningsloggning (HANA och SAP)
  • Körning av känsliga funktionsmoduler
  • Låsa upp blockerade transaktioner
  • Felsöka produktionssystem
  • Känsliga tabeller Direktåtkomst från RFC
  • RFC-körning av sanativ funktion
  • Systemkonfigurationsändring, Dynamiskt ABAP-program.

• Skapande av bakdörr (beständighet)

  • Skapande av nya internetuppkopplade gränssnitt (ICF)
  • Direktåtkomst till känsliga tabeller via fjärrfunktionsanrop
  • Tilldela nya tjänsthanterare till ICF
  • Körning av föråldrade program
  • Användaren låser upp och använder andra användare.  

• Dataexfiltrering

  • Nedladdningar av flera filer
  • Spool-övertaganden
  • Tillåta åtkomst till osäkra FTP-servrar och anslutningar från obehöriga värdar
  • Dynamiskt RFC-mål
  • HANA DB – Användaradministratörsåtgärder från DB-nivå.  

• Initial åtkomst – Brute force

  • Flera inloggningar från samma IP-adress
  • Privilegierad användarinloggning från oväntade nätverk
  • SPNego Replay-attack

Certifiering

Microsoft Sentinel-lösningen för SAP-program® är certifierad för SAP S/4HANA® Cloud, Private Edition RISE med SAP och SAP S/4 lokalt.

• Integreringsscenarierna omfattar S/4-BC-XAL 1.0/S/4 EXTERN AVISERING OCH ÖVERVAKNING 1.0 (för S/4).
• Vår certifiering omfattar S/4 och SAP Rise S/4 HANA® Cloud Private Edition som körs i alla moln och lokalt.
• Vi stöder hybriddistributioner som kan täcka hela kundegendomen.

Se certifieringen i SAP Certified Solutions Directory.

Varumärkestillskrivning

SAP S/4HANA och SAP är varumärken eller registrerade varumärken som tillhör SAP SE eller dess dotterbolag i Tyskland och i andra länder/regioner. 

Nästa steg

Läs mer om Microsoft Sentinel-lösningen för SAP-program®:

• Distribuera Microsoft Sentinel-lösning för SAP-program®
• Förutsättningar för att distribuera Microsoft Sentinel-lösning för SAP-program®
• Distribuera SAP-ändringsbegäranden (CR) och konfigurera auktorisering
• Distribuera lösningsinnehållet från innehållshubben
• Distribuera och konfigurera containern som är värd för SAP-dataanslutningsagenten
• Övervaka hälsotillståndet för ditt SAP-system
• Distribuera Microsoft Sentinel för SAP-dataanslutningsappen med SNC
• Aktivera och konfigurera SAP-granskning
• Samla in SAP HANA-granskningsloggar
• Distribuera Microsoft Sentinel-lösning för SAP® BTP

Felsökning:

• Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program®

Referensfiler:

• Datareferens för Microsoft Sentinel-lösning för SAP-program®
• Microsoft Sentinel-lösning för SAP-program®: referens för säkerhetsinnehåll
• Referens för Kickstart-skript
• Referens för uppdateringsskript
• Systemconfig.ini filreferens