監視的 SAP 安全性參數,用於偵測可疑的組態變更
本文詳細說明 SAP 系統中適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案在 「SAP - (Preview) 敏感性靜態參數已變更」分析規則中監視的安全性參數。
適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案會根據 SAP 最佳做法變更來提供此內容的更新。 您也可以將參數新增至watch、根據組織的需求變更值,以及停用SAPSystemParameters 關注清單中的特定參數。
注意
若要讓適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案成功監視 SAP 安全性參數,解決方案必須定期成功監視 SAP PAHI 資料表。 確認解決方案可以成功監視 PAHI 資料表。
受監視的靜態 SAP 安全性參數
此清單包含適用于 SAP® 應用程式監視的 Microsoft Sentinel 解決方案用來保護您的 SAP 系統的靜態 SAP 安全性參數。 此清單不是設定這些參數的建議。 如需設定考慮,請參閱 SAP 系統管理員。
| 參數 | Description | 安全性值/考慮 |
|---|---|---|
| gw/accept_remote_trace_level | 控制中央進程整合 (CPI) 和遠端函式呼叫 (RFC) 子系統是否採用遠端追蹤層級。 當此參數設定為 1 時,CPI 和 RFC 子系統會接受並採用遠端追蹤層級。 當設定為 0 時,不接受遠端追蹤層級,並改用本機追蹤層級。追蹤層級是一項設定,可決定特定程式或進程之系統記錄檔中所記錄的詳細資料層級。 當子系統採用追蹤層級時,您可以從遠端系統設定程式或進程的追蹤層級,而不只是從本機系統進行。 此設定在需要遠端偵錯或疑難排解的情況下很有用。 |
參數可以設定為限制從外部系統接受的追蹤層級。 設定較低的追蹤層級可能會減少外部系統可以取得 SAP 系統內部工作的相關資訊量。 |
| login/password_change_for_SSO | 控制在單一登入情況下如何強制執行密碼變更。 | 高,因為強制執行密碼變更有助於防止可能透過網路釣魚或其他方式取得有效認證的攻擊者未經授權存取系統。 |
| icm/accept_remote_trace_level | 判斷網際網路通訊管理員 (ICM) 是否接受來自外部系統的遠端追蹤層級變更。 | 中,因為允許遠端追蹤層級變更可為攻擊者提供寶貴的診斷資訊,並可能危害系統安全性。 |
| rdisp/gui_auto_logout | 指定 SAP GUI 連線在自動登出使用者之前的最大閒置時間。 | 高,因為自動登出非作用中使用者有助於防止可能已取得使用者工作站存取權的攻擊者未經授權存取系統。 |
| rsau/enable | 控制是否啟用安全性稽核記錄。 | 高,因為安全性稽核記錄可以提供重要資訊來偵測和調查安全性事件。 |
| login/min_password_diff | 指定使用者變更密碼時,舊密碼與新密碼之間必須有差異的最小字元數。 | 高,因為需要最少的字元差異有助於防止使用者選擇容易猜測的弱式密碼。 |
| login/min_password_digits | 設定使用者密碼中所需的最小位數。 | 高,因為 參數會增加密碼的複雜度,並使其難以猜測或破解。 |
| login/ticket_only_by_HTTPs | 此參數控制驗證票證是否只透過 HTTPS 傳送,也可以透過 HTTP 傳送。 | 高,因為使用 HTTPS 進行票證傳輸會加密傳輸中的資料,使其更安全。 |
| 驗證/rfc_authority_check | 控制是否執行 RFC 的授權單位檢查。 | 高,因為啟用此參數有助於防止未經授權的透過 RFC 存取敏感性資料和函式。 |
| gw/acl_mode | 設定 SAP 閘道所使用之存取控制清單 (ACL) 檔案的模式。 | 高,因為 參數會控制閘道的存取權,並協助防止未經授權的 SAP 系統存取。 |
| gw/logging | 控制 SAP 閘道的記錄設定。 | 高,因為此參數可用來監視和偵測可疑的活動或潛在的安全性缺口。 |
| login/fails_to_session_end | 設定使用者會話終止之前允許的無效登入嘗試次數。 | 高,因為 參數有助於防止使用者帳戶上的暴力密碼破解攻擊。 |
| wdisp/ssl_encrypt | 設定 HTTP 要求的 SSL 重新加密模式。 | 高,因為此參數可確保透過 HTTP 傳輸的資料已加密,這有助於防止竊聽和資料竄改。 |
| login/no_automatic_user_sapstar | 控制 SAP* 使用者的自動登入。 | 高,因為此參數有助於防止未經授權的透過預設 SAP* 帳戶存取 SAP 系統。 |
| rsau/max_diskspace/local | 定義可用於本機儲存體稽核記錄的最大磁碟空間量。 此安全性參數有助於防止填滿磁碟空間,並確保稽核記錄可供調查。 | 為此參數設定適當的值有助於防止本機稽核記錄耗用太多磁碟空間,這可能會導致系統效能問題,甚至拒絕服務攻擊。 另一方面,設定太低的值可能會導致稽核記錄資料遺失,這可能需要合規性和稽核。 |
| snc/extid_login_diag | 啟用或停用安全網路通訊 (SNC) 登入錯誤中的外部識別碼記錄。 此安全性參數可協助識別未經授權存取系統的嘗試。 | 啟用此參數有助於針對 SNC 相關問題進行疑難排解,因為它會提供其他診斷資訊。 不過,參數也可能公開系統所使用之外部安全性產品的敏感性資訊,如果該資訊落在錯誤的手上,可能是潛在的安全性風險。 |
| login/password_change_waittime | 定義使用者必須等候的天數,才能再次變更其密碼。 此安全性參數可協助強制執行密碼原則,並確保使用者定期變更其密碼。 | 為此參數設定適當的值,有助於確保使用者定期變更其密碼,以維護 SAP 系統的安全性。 同時,設定等候時間太短可能會產生反效果,因為使用者可能更可能重複使用密碼,或選擇較容易記住的弱式密碼。 |
| snc/accept_insecure_cpic | 判斷系統是否接受使用 CPIC 通訊協定的不安全 SNC 連線。 此安全性參數可控制 SNC 連線的安全性層級。 | 啟用此參數可能會增加資料攔截或操作的風險,因為它會接受不符合最低安全性標準的受 SNC 保護連線。 因此,此參數的建議安全性值是將其設定為 0 ,這表示只接受符合最低安全性需求的 SNC 連線。 |
| snc/accept_insecure_r3int_rfc | 判斷系統是否接受 R/3 和 RFC 通訊協定的不安全 SNC 連線。 此安全性參數可控制 SNC 連線的安全性層級。 | 啟用此參數可能會增加資料攔截或操作的風險,因為它會接受不符合最低安全性標準的受 SNC 保護連線。 因此,此參數的建議安全性值是將其設定為 0 ,這表示只接受符合最低安全性需求的 SNC 連線。 |
| snc/accept_insecure_rfc | 判斷系統是否接受使用 RFC 通訊協定的不安全 SNC 連線。 此安全性參數可控制 SNC 連線的安全性層級。 | 啟用此參數可能會增加資料攔截或操作的風險,因為它會接受不符合最低安全性標準的受 SNC 保護連線。 因此,此參數的建議安全性值是將其設定為 0 ,這表示只接受符合最低安全性需求的 SNC 連線。 |
| snc/data_protection/max | 定義 SNC 連線的最大資料保護層級。 此安全性參數會控制用於 SNC 連線的加密層級。 | 設定此參數的高值可能會增加資料保護層級,並降低資料攔截或操作的風險。 此參數的建議安全性值取決於組織的特定安全性需求和風險管理策略。 |
| rspo/auth/pagelimit | 定義使用者可以一次顯示或刪除的多工緩衝處理要求數目上限。 此安全性參數有助於防止多工緩衝處理系統上的拒絕服務攻擊。 | 此參數不會直接影響 SAP 系統的安全性,但有助於防止未經授權存取敏感性授權資料。 藉由限制每個頁面顯示的專案數目,可以降低未經授權的個人檢視敏感性授權資訊的風險。 |
| snc/accept_insecure_gui | 判斷系統是否使用 GUI 接受不安全的 SNC 連線。 此安全性參數可控制 SNC 連線的安全性層級。 | 建議將此參數的值設定為 0 ,以確保透過 SAP GUI 建立的 SNC 連線安全,並降低未經授權存取或攔截敏感性資料的風險。 允許不安全的 SNC 連線可能會增加未經授權存取敏感性資訊或資料攔截的風險,而且只有在有特定需求且風險已正確評估時,才應該完成。 |
| login/accept_sso2_ticket | 啟用或停用登入的 SSO2 票證接受。 此安全性參數可控制登入系統的安全性層級。 | 啟用 SSO2 可提供更簡化且方便的使用者體驗,但也帶來額外的安全性風險。 如果攻擊者取得有效 SSO2 票證的存取權,他們可能會模擬合法的使用者,並取得未經授權的敏感性資料存取權或執行惡意動作。 |
| login/multi_login_users | 定義是否允許相同使用者的多個登入會話。 此安全性參數可控制使用者會話的安全性層級,並協助防止未經授權的存取。 | 啟用此參數可藉由限制單一使用者的並行登入數目,協助防止未經授權的 SAP 系統存取。 當此參數設定為 0 時,每位使用者只允許一個登入會話,而且會拒絕其他登入嘗試。 這可協助防止未經授權的 SAP 系統存取,以防使用者登入認證遭到入侵或與他人共用。 |
| login/password_expiration_time | 指定密碼有效天數的最大時間間隔。 這次經過時,系統會提示使用者變更其密碼。 | 將此參數設定為較低的值可藉由確保密碼經常變更來改善安全性。 |
| login/password_max_idle_initial | 指定使用者可在不執行任何活動的情況下,保持登入的分鐘數上限。 經過此時間之後,使用者會自動登出。 | 為此參數設定較低的值可藉由確保閒置會話不會長時間保持開啟,以改善安全性。 |
| login/password_history_size | 指定使用者不允許重複使用的先前密碼數目。 | 此參數可防止使用者重複使用可改善安全性的相同密碼。 |
| snc/data_protection/use | 啟用 SNC 資料保護的使用。 啟用時,SNC 可確保 SAP 系統之間傳輸的所有資料都會加密且安全。 | |
| rsau/max_diskspace/per_day | 指定每天可用於稽核記錄的 MB 磁碟空間數量上限。 為此參數設定較低的值有助於確保稽核記錄不會耗用太多磁碟空間,而且可以有效地管理。 | |
| snc/enable | 啟用 SNC 以在 SAP 系統之間進行通訊。 | 啟用時,SNC 藉由加密系統之間傳輸的資料,提供額外的安全性層。 |
| auth/no_check_in_some_cases | 在特定情況下停用授權檢查。 | 雖然此參數可能會改善效能,但也可以讓使用者執行他們可能沒有許可權的動作,進而造成安全性風險。 |
| auth/object_disabling_active | 停用指定時段內未使用之使用者帳戶的特定授權物件。 | 藉由減少具有不必要的許可權的非使用中帳戶數目,有助於改善安全性。 |
| login/disable_multi_gui_login | 防止使用者同時登入多個 GUI 會話。 | 此參數可協助改善安全性,方法是確保使用者一次只能登入一個會話。 |
| login/min_password_lng | 指定密碼可以是的最小長度。 | 為此參數設定較高的值可藉由確保不會輕易猜測密碼來改善安全性。 |
| rfc/reject_expired_passwd | 防止在使用者的密碼過期時執行 RFC。 | 強制執行密碼原則並防止未經授權的 SAP 系統存取時,啟用此參數會很有説明。 當此參數設定 1 為 時,如果使用者的密碼已過期,則會拒絕 RFC 連線,而且系統會提示使用者在連線之前變更其密碼。 這有助於確保只有具有有效密碼的授權使用者才能存取系統。 |
| rsau/max_diskspace/per_file | 設定 SAP 系統稽核可以建立的稽核檔案大小上限。 設定較低的值有助於防止過度成長稽核檔案,因此有助於確保足夠的磁碟空間。 | 設定適當的值有助於管理稽核檔案的大小,並避免儲存體問題。 |
| login/min_password_letters | 指定使用者密碼中必須包含的最小字母數目。 設定較高的值有助於增加密碼強度和安全性。 | 設定適當的值有助於強制執行密碼原則並改善密碼安全性。 |
| rsau/selection_slots | 設定可用於稽核檔案的選取位置數目。 設定較高的值有助於避免覆寫較舊的稽核檔案。 | 協助確保稽核檔案會保留較長的時間,這在安全性缺口中很有用。 |
| gw/sim_mode | 此參數會設定閘道的模擬模式。 啟用時,閘道只會模擬與目標系統的通訊,而且不會進行實際通訊。 | 啟用此參數對於測試用途很有用,有助於防止對目標系統進行任何非預期的變更。 |
| login/fails_to_user_lock | 設定失敗的登入嘗試次數,之後使用者帳戶就會遭到鎖定。 設定較低的值有助於防止暴力密碼破解攻擊。 | 協助防止未經授權的系統存取,並協助保護使用者帳戶免于遭到入侵。 |
| login/password_compliance_to_current_policy | 強制執行新密碼與系統目前密碼原則的合規性。 其值應該設定為 1 ,以啟用此功能。 |
高。 啟用此參數有助於確保使用者在變更密碼時遵守目前的密碼原則,這可降低未經授權存取 SAP 系統的風險。 當此參數設定為 1 時,系統會提示使用者在變更密碼時遵守目前的密碼原則。 |
| rfc/ext_debugging | 啟用外部 RFC 呼叫的 RFC 偵錯模式。 其值應該設定為 , 0 以停用此功能。 |
|
| gw/monitor | 啟用閘道連線的監視。 其值應該設定為 1 ,以啟用此功能。 |
|
| login/create_sso2_ticket | 為使用者啟用 SSO2 票證的建立。 其值應該設定為 1 ,以啟用此功能。 |
|
| login/failed_user_auto_unlock | 啟用在登入嘗試失敗之後自動解除鎖定使用者帳戶。 其值應該設定為 1 ,以啟用此功能。 |
|
| login/min_password_uppercase | 設定新密碼所需的最小大寫字母數。 其值應該設定為正整數。 | |
| login/min_password_specials | 設定新密碼所需的特殊字元數目下限。 其值應該設定為正整數。 | |
| snc/extid_login_rfc | 允許針對外部 RFC 呼叫使用 SNC。 其值應該設定為 1 以啟用此功能。 |
|
| login/min_password_lowercase | 設定新密碼所需的小寫字母數目下限。 其值應該設定為正整數。 | |
| login/password_downwards_compatibility | 允許使用舊的雜湊演算法來設定密碼,以便與舊系統回溯相容性。 其值應該設定為 0 ,以停用此功能。 |
|
| snc/data_protection/min | 設定必須用於受 SNC 保護之連線的最小資料保護層級。 其值應該設定為正整數。 | 為此參數設定適當的值,有助於確保 SNC 保護的連線提供最低層級的資料保護。 此設定有助於防止攻擊者攔截或操作敏感性資訊。 此參數的值應該根據 SAP 系統的安全性需求,以及透過 SNC 保護連線傳輸的資料敏感度來設定。 |
下一步
如需詳細資訊,請參閱