Parametri di sicurezza SAP monitorati per rilevare modifiche di configurazione sospette
Questo articolo elenca i parametri di sicurezza statici nel sistema SAP monitorato dalla soluzione Microsoft Sentinel per le applicazioni SAP come parte della regola di analisi modificata del parametro statico sensibile SAP (anteprima).
La soluzione Microsoft Sentinel per le applicazioni SAP fornisce aggiornamenti per questo contenuto in base alle modifiche alle procedure consigliate sap. Aggiungere parametri da controllare modificando i valori in base alle esigenze dell'organizzazione e disattivando i parametri specifici nell'elenco di controllo SAPSystemParameters.
Questo articolo non descrive i parametri e non è consigliabile configurare i parametri. Per considerazioni sulla configurazione, consultare gli amministratori SAP. Per le descrizioni dei parametri, vedere la documentazione di SAP.
Il contenuto di questo articolo è destinato ai team SAP BASIS .
Prerequisiti
Per consentire alle applicazioni SAP di monitorare correttamente i parametri di sicurezza SAP, la soluzione deve monitorare correttamente la tabella SAP PAHI a intervalli regolari. Per altre informazioni, vedere Verificare che la tabella PAHI venga aggiornata a intervalli regolari.
Parametri di autenticazione
| Parametro | Valore/considerazioni sulla sicurezza |
|---|---|
| autenticazione/no_check_in_some_cases | Anche se questo parametro potrebbe migliorare le prestazioni, può anche rappresentare un rischio per la sicurezza consentendo agli utenti di eseguire azioni per cui potrebbero non avere l'autorizzazione. |
| autenticazione/object_disabling_active | Consente di migliorare la sicurezza riducendo il numero di account inattivi con autorizzazioni non necessarie. |
| autenticazione/rfc_authority_check | Elevato. L'abilitazione di questo parametro consente di impedire l'accesso non autorizzato a dati e funzioni sensibili tramite RFC. |
Parametri del gateway
| Parametro | Valore/considerazioni sulla sicurezza |
|---|---|
| gw/accept_remote_trace_level | Il parametro può essere configurato per limitare il livello di traccia accettato da sistemi esterni. L'impostazione di un livello di traccia inferiore potrebbe ridurre la quantità di informazioni che i sistemi esterni possono ottenere sui lavori interni del sistema SAP. |
| gw/acl_mode | Elevato. Questo parametro controlla l'accesso al gateway e impedisce l'accesso non autorizzato al sistema SAP. |
| gw/logging | Elevato. Questo parametro può essere usato per monitorare e rilevare attività sospette o potenziali violazioni della sicurezza. |
| gw/monitor | |
| gw/sim_mode | L'abilitazione di questo parametro può essere utile a scopo di test e può aiutare a evitare eventuali modifiche impreviste al sistema di destinazione. |
Parametri di Internet Communication Manager (ICM)
| Parametro | Valore/considerazioni sulla sicurezza |
|---|---|
| icm/accept_remote_trace_level | Medio Consentire modifiche al livello di traccia remota può fornire informazioni diagnostiche preziose agli utenti malintenzionati e potenzialmente compromettere la sicurezza del sistema. |
Parametri di accesso
| Parametro | Valore/considerazioni sulla sicurezza |
|---|---|
| login/accept_sso2_ticket | L'abilitazione dell'accesso SSO2 può offrire un'esperienza utente più semplice e conveniente, ma introduce anche rischi aggiuntivi per la sicurezza. Se un utente malintenzionato ottiene l'accesso a un ticket SSO2 valido, potrebbe essere in grado di rappresentare un utente legittimo e ottenere l'accesso non autorizzato ai dati sensibili o eseguire azioni dannose. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Questo parametro consente di migliorare la sicurezza assicurandosi che gli utenti siano connessi solo a una sessione alla volta. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Elevato. Questo parametro consente di evitare attacchi di forza bruta sugli account utente. |
| login/fails_to_user_lock | Consente di impedire l'accesso non autorizzato al sistema e di proteggere gli account utente dalla compromissione. |
| login/min_password_diff | Elevato. La richiesta di un numero minimo di differenze di caratteri può aiutare gli utenti a scegliere password deboli che possono essere facilmente ipotizzate. |
| login/min_password_digits | Elevato. Questo parametro aumenta la complessità delle password e li rende più difficili da indovinare o rompere. |
| login/min_password_letters | Specifica il numero minimo di lettere che devono essere incluse nella password di un utente. L'impostazione di un valore superiore consente di aumentare la complessità e la sicurezza delle password. |
| login/min_password_lng | Specifica la lunghezza minima che una password può essere. L'impostazione di un valore superiore per questo parametro può migliorare la sicurezza assicurandosi che le password non vengano facilmente indovinate. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | L'abilitazione di questo parametro consente di impedire l'accesso non autorizzato ai sistemi SAP limitando il numero di account di accesso simultanei per un singolo utente. Quando questo parametro è impostato su 0, è consentita una sola sessione di accesso per utente e altri tentativi di accesso vengono rifiutati. Ciò consente di impedire l'accesso non autorizzato ai sistemi SAP nel caso in cui le credenziali di accesso di un utente siano compromesse o condivise con altri utenti. |
| login/no_automatic_user_sapstar | Elevato. Questo parametro consente di impedire l'accesso non autorizzato al sistema SAP tramite l'account SAP* predefinito. |
| login/password_change_for_SSO | Elevato. L'applicazione delle modifiche alle password può aiutare a impedire l'accesso non autorizzato al sistema da parte di utenti malintenzionati che potrebbero aver ottenuto credenziali valide tramite phishing o altri mezzi. |
| login/password_change_waittime | L'impostazione di un valore appropriato per questo parametro consente di garantire che gli utenti modifichino regolarmente le password per mantenere la sicurezza del sistema SAP. Allo stesso tempo, l'impostazione del tempo di attesa troppo breve può essere controproducente perché gli utenti potrebbero essere più propensi a riutilizzare le password o scegliere password deboli che sono più facili da ricordare. |
| login/password_compliance_to_current_policy | Elevato. L'abilitazione di questo parametro consente di garantire che gli utenti siano conformi ai criteri password correnti durante la modifica delle password, riducendo così il rischio di accesso non autorizzato ai sistemi SAP. Quando questo parametro è impostato su 1, agli utenti viene richiesto di rispettare i criteri password correnti quando si modificano le password. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | L'impostazione di questo parametro su un valore inferiore può migliorare la sicurezza assicurandosi che le password vengano modificate di frequente. |
| login/password_history_size | Questo parametro impedisce agli utenti di usare ripetutamente le stesse password, che possono migliorare la sicurezza. |
| login/password_max_idle_initial | L'impostazione di un valore inferiore per questo parametro può migliorare la sicurezza assicurandosi che le sessioni inattive non siano aperte per periodi di tempo prolungati. |
| login/ticket_only_by_https | Elevato. L'uso di HTTPS per la trasmissione di ticket crittografa i dati in transito, rendendoli più sicuri. |
Parametri del dispatcher remoto
| Parametro | Valore/considerazioni sulla sicurezza |
|---|---|
| rdisp/gui_auto_logout | Elevato. la disconnessione automatica degli utenti inattivi può aiutare a impedire l'accesso non autorizzato al sistema da parte di utenti malintenzionati che potrebbero avere accesso alla workstation di un utente. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | L'abilitazione di questo parametro può essere utile quando si applicano criteri password e si impedisce l'accesso non autorizzato ai sistemi SAP. Quando questo parametro è impostato su 1, le connessioni RFC vengono rifiutate se la password dell'utente è scaduta e all'utente viene richiesto di modificare la password prima di potersi connettere. Ciò consente di garantire che solo gli utenti autorizzati con password valide possano accedere al sistema. |
| rsau/enable | Elevato. Questo log di controllo di sicurezza può fornire informazioni preziose per rilevare e analizzare gli eventi imprevisti di sicurezza. |
| rsau/max_diskspace/local | L'impostazione di un valore appropriato per questo parametro consente di evitare che i log di controllo locali consumino troppo spazio su disco, il che potrebbe causare problemi di prestazioni del sistema o persino attacchi Denial of Service. D'altra parte, l'impostazione di un valore troppo basso potrebbe comportare la perdita di dati del log di controllo, che potrebbero essere necessari per la conformità e il controllo. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | L'impostazione di un valore appropriato consente di gestire le dimensioni dei file di controllo ed evitare problemi di archiviazione. |
| rsau/selection_slots | Consente di garantire che i file di controllo vengano conservati per un periodo di tempo più lungo, che può essere utile in una violazione della sicurezza. |
| rspo/auth/pagelimit | Questo parametro non influisce direttamente sulla sicurezza del sistema SAP, ma può contribuire a impedire l'accesso non autorizzato ai dati di autorizzazione sensibili. Limitando il numero di voci visualizzate per pagina, può ridurre il rischio di utenti non autorizzati che visualizzano informazioni riservate sull'autorizzazione. |
Parametri snc (Secure Network Communications)
| Parametro | Valore/considerazioni sulla sicurezza |
|---|---|
| snc/accept_insecure_cpic | L'abilitazione di questo parametro può aumentare il rischio di intercettazione o manipolazione dei dati, perché accetta connessioni protette da SNC che non soddisfano gli standard di sicurezza minimi. Pertanto, il valore di sicurezza consigliato per questo parametro consiste nell'impostarlo su 0, il che significa che vengono accettate solo le connessioni SNC che soddisfano i requisiti minimi di sicurezza. |
| snc/accept_insecure_gui | È consigliabile impostare il valore di questo parametro su 0 per assicurarsi che le connessioni SNC effettuate tramite l'interfaccia utente grafica SAP siano sicure e ridurre il rischio di accesso non autorizzato o intercettazione di dati sensibili. Consentire connessioni SNC non sicure potrebbe aumentare il rischio di accesso non autorizzato alle informazioni riservate o all'intercettazione dei dati e deve essere eseguito solo quando è presente una necessità specifica e i rischi vengono valutati correttamente. |
| snc/accept_insecure_r3int_rfc | L'abilitazione di questo parametro può aumentare il rischio di intercettazione o manipolazione dei dati, perché accetta connessioni protette da SNC che non soddisfano gli standard di sicurezza minimi. Pertanto, il valore di sicurezza consigliato per questo parametro consiste nell'impostarlo su 0, il che significa che vengono accettate solo le connessioni SNC che soddisfano i requisiti minimi di sicurezza. |
| snc/accept_insecure_rfc | L'abilitazione di questo parametro può aumentare il rischio di intercettazione o manipolazione dei dati, perché accetta connessioni protette da SNC che non soddisfano gli standard di sicurezza minimi. Pertanto, il valore di sicurezza consigliato per questo parametro consiste nell'impostarlo su 0, il che significa che vengono accettate solo le connessioni SNC che soddisfano i requisiti minimi di sicurezza. |
| snc/data_protection/max | L'impostazione di un valore elevato per questo parametro può aumentare il livello di protezione dei dati e ridurre il rischio di intercettazione o manipolazione dei dati. Il valore di sicurezza consigliato per questo parametro dipende dai requisiti di sicurezza e dalla strategia di gestione dei rischi specifici dell'organizzazione. |
| snc/data_protection/min | L'impostazione di un valore appropriato per questo parametro consente di garantire che le connessioni protette da SNC forniscano un livello minimo di protezione dei dati. Questa impostazione consente di evitare che le informazioni riservate vengano intercettate o manipolate da utenti malintenzionati. Il valore di questo parametro deve essere impostato in base ai requisiti di sicurezza del sistema SAP e alla riservatezza dei dati trasmessi tramite connessioni protette da SNC. |
| snc/data_protection/use | |
| snc/enable | Se abilitata, SNC offre un ulteriore livello di sicurezza crittografando i dati trasmessi tra sistemi. |
| snc/extid_login_diag | L'abilitazione di questo parametro può essere utile per la risoluzione dei problemi correlati a SNC, perché fornisce informazioni di diagnostica aggiuntive. Tuttavia, il parametro potrebbe anche esporre informazioni riservate sui prodotti di sicurezza esterni usati dal sistema, che potrebbe essere un potenziale rischio di sicurezza se tali informazioni rientrano nelle mani sbagliate. |
| snc/extid_login_rfc |
Parametri del dispatcher Web
| Parametro | Valore/considerazioni sulla sicurezza |
|---|---|
| wdisp/ssl_encrypt | Elevato. Questo parametro garantisce che i dati trasmessi tramite HTTP siano crittografati, che consentono di evitare intercettazioni e manomissioni dei dati. |
Contenuto correlato
Per altre informazioni, vedi: