Freigeben über

Benutzerdefinierte Erkennungsregeln mit erweiterter Suche: Schützen von Befehlen des externen SAP-Betriebssystems (SAPXPG)

  • Gilt für:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

SAP-Systeme können Befehle auf Betriebssystemebene mit SAPXPG – Transaction Code SM49/SM69ausführen. In diesem Artikel wird beschrieben, wie Sie die erweiterte Suche mit Microsoft Defender for Endpoint verwenden, um den SAPXPG-Mechanismus zu schützen, um ihn vor Exploits zu schützen. Das in diesem Artikel veranschaulichte Beispiel enthält SAP, das auf Linux ausgeführt wird. Das Verfahren für SAP unter Windows Server ist jedoch ähnlich.

Bevor Sie beginnen

Lesen Sie unbedingt die folgenden Artikel, bevor Sie beginnen:

Das SAP BASIS-Team und das Sicherheitsteam sollten die Lösung mit entwickeln. Das SAP BASIS-Team hat keinen Zugriff auf das Microsoft Defender-Portal, und das Sicherheitsteam kennt die Besonderheiten der SAP Batch-Aufträge und externen Befehle nicht. Beide Teams sollten zusammenarbeiten.

  1. Das SAP BASIS-Team identifiziert und kategorisiert die externen Befehle und Skripts, die in allen SAP-Umgebungen (Dev, QA, PRD) ausgeführt werden.

  2. Das Sicherheitsteam und das SAP BASIS-Team stellen sicher, dass Defender für Endpunkt auf allen SAP-Servern ordnungsgemäß bereitgestellt und konfiguriert ist. Anleitungen zur Bereitstellung finden Sie in den folgenden Artikeln:

  3. Das Sicherheitsteam identifiziert alle SAP-Server und führt eine Abfrage für "InitiatingProcessName" == "sapxpg"aus, wobei angegeben wird, welche Server SAPXPG starten.

    Es wird empfohlen, die Anzahl der Server, auf denen SAPXPG ausgeführt wird, auf ein Minimum zu beschränken und SAPXPG auf den meisten SAP-Servern zu verbieten. Außerdem sollten das SAP BASIS-Team und das Sicherheitsteam den Zugriff auf die Autorisierungsobjekte und Transaktionscodes für SAPXPG einschränken.

  4. Das SAP BASIS-Team informiert das Sicherheitsteam über alle "zulässigen" Hilfsprogramme, z BRTOOLS . B. (für Oracle-Kunden), AzCopy (falls verwendet) oder andere spezifische Hilfsprogramme zum Drucken oder Archivieren.

  5. Das Sicherheitsteam arbeitet mit dem SAP BASIS-Team zusammen, um SAPXPG-Befehle und -Parameter abzufragen. Eine Beispielabfrage zum Erkennen wget (die zum Herunterladen schädlicher Nutzlasten verwendet werden kann) lautet wie folgt:

    
DeviceProcessEvents
 | where Timestamp >= ago (1d)
 | where (InitiatingProcessFileName == "sapxpg" or  InitiatingProcessFileName =="sapxpg.exe")  and FileName == "wget"

// Query shows SAPXPG commands that execute "wget"

    Diese Abfrage ist für die Arbeit unter Linux (sapxpg) und Windows (sapxpg.exe) konzipiert.

    Eine weitere Abfrage-/Regelentwurfslogik besteht darin, SAPXPG an der Ausführung von Befehlen zu hindern, die nicht die angegebenen zulässigen Befehle sind. In der folgenden Abfrage kann jeder Befehl, der nicht im Satz ("cp", "ls", "mkdir") enthalten ist, benachrichtigt oder blockiert werden.

    
DeviceProcessEvents
 | where Timestamp >= ago (1d)
 | where (InitiatingProcessFileName == "sapxpg" or  InitiatingProcessFileName =="sapxpg.exe")  and FileName !in ("cp", "ls", "mkdir")

//Query shows SAPXPG commands that execute any command other than "cp" or "mv" or mkdir

  6. Das Sicherheitsteam erstellt eine benutzerdefinierte Erkennungsregel , um verdächtige Befehle zu erkennen. Verdächtige Befehle können Folgendes umfassen:

    • ncat
    • netcat
    • socat
    • azcopy
    • wget
    • curl
    • echo
    • base64
    • /dev/tcp
    • pwd
    • whoami
    • chmod +x

  7. Das Sicherheitsteam stellt die Regel in Nicht-Produktionsumgebungen bereit. Das Sicherheitsteam überwacht Erkennungen, und das SAP BASIS-Team überwacht Aufträge/Schnittstellen auf Fehler.

  8. Das Sicherheitsteam stellt die Regel in Produktionsumgebungen bereit. Das SAP BASIS-Team sollte Aufträge und Schnittstellen überwachen, und das Sicherheitsteam sollte alle generierten Warnungen überwachen.

Weitere Informationen

  • Last updated on