Обзор решения Microsoft Sentinel для приложений SAP®
Системы SAP представляют собой уникальную проблему безопасности. Они обрабатывают чрезвычайно конфиденциальную информацию и являются основными целями злоумышленников.
У команд безопасности обычно мало данных о системах SAP. Несанкционированный доступ к системе SAP может привести к краже файлов, раскрытию данных или нарушению цепочки поставок. Есть несколько элементов управления, позволяющих обнаружить кражу и другие нежелательные действия, которые может совершить злоумышленник после проникновения в систему. Для эффективного обнаружения угроз необходимо сопоставлять действия SAP с другими данными в организации.
Чтобы закрыть этот разрыв, Microsoft Sentinel предлагает решение Microsoft Sentinel для приложений SAP®. Это комплексное решение использует компоненты на каждом уровне Microsoft Sentinel, чтобы обеспечить сквозное обнаружение, анализ, изучение угроз и реагирование на них в среде SAP.
Что делает решение Microsoft Sentinel для приложений SAP®
Решение Microsoft Sentinel для приложений SAP постоянно отслеживает системы SAP® для угроз на всех уровнях — бизнес-логику, приложение, базу данных и ОС. Оно предоставляет следующие возможности.
Сопоставляйте мониторинг SAP с другими сигналами в организации и использовать обнаружения, предоставляемые решением, или создавать собственные обнаружения для отслеживания конфиденциальных транзакций и других бизнес-рисков, таких как эскалация привилегий, неутвержденные изменения и несанкционированный доступ.
Создайте автоматизированные процессы реагирования для взаимодействия с системами SAP, чтобы остановить активные угрозы безопасности.
Решение Microsoft Sentinel для приложений SAP также предлагает мониторинг угроз и обнаружение для платформы SAP® Business Technology Platform.
Например, на следующем рисунке показан ландшафт SAP с несколькими идентификаторами БЕЗОПАСНОСТИ с разделением между продуктивными и непродуктивными системами, включая платформу SAP Business Technology Platform. Все системы в этом образе подключены к Microsoft Sentinel для решения SAP.
Описание решения
Источники журналов
Соединитель данных решения связан с широким спектром источников журналов SAP:
- Журнал аудита безопасности ABAP
- Журнал изменений документов ABAP
- Журнал очереди печати ABAP
- Выходной журнал очереди печати APAB
- Журнал заданий ABAP
- Журнал ABAP Workflow
- Данные таблицы базы данных ABAP
- Основные данные пользователя SAP
- Журнал CR ABAP
- Журналы ICM
- Журналы Java Webdispacher
- Системный журнал
Охват обнаружения угроз
Подозрительные операции с привилегиями — создание привилегированного пользователя
- Использование аварийных пользователей
- Разблокировка пользователя и вход в его учетную запись с того же IP-адреса
- Назначение конфиденциальных ролей и прав администратора
- Разблокировки пользователей и использование других пользователей
- Критическое назначение авторизации
Попытки обойти механизмы защиты SAP —
- отключение ведения журнала аудита (HANA и SAP)
- Выполнение модулей конфиденциальных функций
- Разблокировка заблокированных транзакций
- Отладка производственных систем
- Прямой доступ к конфиденциальным таблицам через RFC
- Выполнение функции Sanative в RFC
- Изменение конфигурации системы, программа динамического ABAP
Создание backdoor (сохраняемость)
- Создание интернет-интерфейсов (ICF)
- Прямой доступ к конфиденциальным таблицам с помощью удаленного вызова функций
- Назначение новых обработчиков служб для ICF
- Выполнение устаревших программ
- Разблокировки пользователей и использование других пользователей
Утечка данных
- Скачивание нескольких файлов
- Перехваты очереди печати
- Разрешение доступа к небезопасным FTP-серверам и подключениям от несанкционированных узлов
- Динамическое назначение RFC
- База данных HANA — действия администратор на уровне базы данных
Начальный доступ — метод подбора
- Несколько входов с одного IP-адреса
- Входы привилегированных пользователей из непредусмотренных сетей
- Атака воспроизведения SPNego
Сертификация
Решение Microsoft Sentinel для приложений SAP сертифицировано для SAP S/4HANA® Cloud, Private Edition RISE с помощью SAP® и SAP S/4 в локальной среде.
- Сценарии интеграции включают S/4-BC-XAL 1.0/S/4 EXTERNAL ALERT AND MONITORING 1.0 (для S/4).
- Наша сертификация включает S/4 и SAP Rise S/4 HANA® Cloud Private Edition, работающих в любом облаке и локальной среде.
- Мы поддерживаем гибридные развертывания, которые могут охватывать все ресурсы клиентов.
См. сертификацию в каталоге сертифицированных решений SAP.
Присвоение товарных знаков
SAP S/4HANA и SAP — это товарные знаки или зарегистрированные товарные знаки SAP SE или ее филиалов в Германии и других странах или регионах.
Следующие шаги
Дополнительные сведения о решении Microsoft Sentinel для приложений SAP®:
- Развертывание решения Microsoft Sentinel для приложений SAP®
- Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
- Развертывание запросов на изменение (CR) SAP и настройка авторизации
- Развертывание содержимого решения из концентратора содержимого
- Развертывание и настройка контейнера для размещения агента соединителя данных SAP
- Мониторинг работоспособности системы SAP
- Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC
- Включение и настройка аудита SAP
- Сбор журналов аудита SAP HANA
- Развертывание решения Microsoft Sentinel для SAP® BTP
Устранение неполадок:
Справочные файлы: