Selezionare profilo di inserimento SAP
Questo articolo illustra come selezionare il profilo per la soluzione SAP. È consigliabile selezionare un profilo di inserimento che ottimizza la copertura della sicurezza in base ai requisiti di budget.
Poiché SAP è un'applicazione aziendale e i processi aziendali tendono a essere stagionali, potrebbe essere difficile stimare il volume complessivo dei log nel tempo. Per risolvere questo problema, è consigliabile mantenere tutti i log per due settimane e apprendere dall'attività osservata. Questo apprendimento può essere modificato in seguito durante i picchi di attività aziendali o trasformazioni principali del panorama.
Le sezioni seguenti mostrano i profili di configurazione dei clienti tipici per l'inserimento di log SAP.
Profilo predefinito (consigliato)
Questo profilo include copertura completa per:
- Analisi incorporata
- Tabelle dei dati master di autorizzazione utente SAP, con informazioni sugli utenti e sui privilegi
- Possibilità di tenere traccia delle modifiche e delle attività nel panorama SAP. Questo profilo offre maggiori informazioni di registrazione per consentire indagini post-violazione e capacità di ricerca estese.
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = True
ABAPSpoolLog = True
ABAPSpoolOutputLog = True
ABAPChangeDocsLog = True
ABAPAppLog = True
ABAPWorkflowLog = True
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = True
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
Profilo incentrato sul rilevamento
Questo profilo include i log di sicurezza principali del panorama SAP richiesto per la maggior parte delle regole di analisi da eseguire correttamente. Le indagini e le funzionalità di ricerca post-violazione sono limitate.
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = True
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = True
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = True
USR01_FULL = True
USR02_FULL = True
USR02_INCREMENTAL = True
AGR_1251_FULL = True
AGR_USERS_FULL = True
AGR_USERS_INCREMENTAL = True
AGR_PROF_FULL = True
UST04_FULL = True
USR21_FULL = True
ADR6_FULL = True
ADCP_FULL = True
USR05_FULL = True
USGRP_USER_FULL = True
USER_ADDR_FULL = True
DEVACCESS_FULL = True
AGR_DEFINE_FULL = True
AGR_DEFINE_INCREMENTAL = True
PAHI_FULL = False
AGR_AGRS_FULL = True
USRSTAMP_FULL = True
USRSTAMP_INCREMENTAL = True
AGR_FLAGS_FULL = True
AGR_FLAGS_INCREMENTAL = True
SNCSYSACL_FULL = False
USRACL_FULL = False
Profilo minimo
Il log di controllo della sicurezza SAP è l'origine più importante dei dati usata dalla soluzione Microsoft Sentinel per le applicazioni SAP® per analizzare le attività nel panorama SAP. L'abilitazione di questo log è il requisito minimo per fornire qualsiasi copertura di sicurezza.
systemconfig.ini file
[Logs Activation Status]
# ABAP RFC Logs - Retrieved by using RFC interface
ABAPAuditLog = True
ABAPJobLog = False
ABAPSpoolLog = False
ABAPSpoolOutputLog = False
ABAPChangeDocsLog = False
ABAPAppLog = False
ABAPWorkflowLog = False
ABAPCRLog = False
ABAPTableDataLog = False
# ABAP SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
ABAPFilesLogs = False
SysLog = False
ICM = False
WP = False
GW = False
# Java SAP Control Logs - Retrieved by using SAP Conntrol interface and OS Login
JAVAFilesLogs = False
[ABAP Table Selector]
AGR_TCODES_FULL = False
USR01_FULL = False
USR02_FULL = False
USR02_INCREMENTAL = False
AGR_1251_FULL = False
AGR_USERS_FULL = False
AGR_USERS_INCREMENTAL = False
AGR_PROF_FULL = False
UST04_FULL = False
USR21_FULL = False
ADR6_FULL = False
ADCP_FULL = False
USR05_FULL = False
USGRP_USER_FULL = False
USER_ADDR_FULL = False
DEVACCESS_FULL = False
AGR_DEFINE_FULL = False
AGR_DEFINE_INCREMENTAL = False
PAHI_FULL = False
AGR_AGRS_FULL = False
USRSTAMP_FULL = False
USRSTAMP_INCREMENTAL = False
AGR_FLAGS_FULL = False
AGR_FLAGS_INCREMENTAL = False
SNCSYSACL_FULL = False
USRACL_FULL = False
Passaggi successivi
Altre informazioni sulla soluzione Microsoft Sentinel per le applicazioni SAP®:
- Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP®
- Prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®
- Distribuire richieste di modifica SAP e configurare l'autorizzazione
- Distribuire il contenuto della soluzione dall'hub di contenuto
- Distribuire e configurare il contenitore che ospita l'agente del connettore dati SAP
- Distribuire il connettore dati Microsoft Sentinel per SAP con SNC
- Abilitare e configurare il controllo SAP
- Monitorare l'integrità del sistema SAP
- Raccogliere i log di controllo SAP HANA
Risoluzione dei problemi:
File di riferimento:
- Soluzione Microsoft Sentinel per i dati delle applicazioni SAP®
- Soluzione Microsoft Sentinel per applicazioni SAP®: informazioni di riferimento sul contenuto di sicurezza
- Informazioni di riferimento sullo script di aggiornamento
- informazioni di riferimento sul fileSystemconfig.ini
Per altre informazioni, vedere Soluzioni Microsoft Sentinel.