Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al implementar un recopilador de datos Microsoft Sentinel y una solución para SAP, proporciona la capacidad de supervisar los sistemas SAP para detectar actividades sospechosas e identificar amenazas, se requieren pasos de configuración adicionales para asegurarse de que la solución está optimizada para la implementación de SAP. En este artículo se proporcionan procedimientos recomendados para empezar a trabajar con el contenido de seguridad entregado con la solución de Microsoft Sentinel para aplicaciones SAP y es el último paso para implementar la integración de SAP.
Importante
El agente del conector de datos para SAP está en desuso y se deshabilitará permanentemente el 14 de septiembre de 2026. Se recomienda migrar al conector de datos sin agente. Obtenga más información sobre el enfoque sin agente en nuestra entrada de blog.
El contenido de este artículo es relevante para el equipo de seguridad .
Requisitos previos
Antes de configurar los valores descritos en este artículo, debe tener una solución de SAP Microsoft Sentinel instalada y un conector de datos configurado.
Para obtener más información, consulte Implementación de la solución Microsoft Sentinel para aplicaciones SAP desde el centro de contenido e Implementación de Microsoft Sentinel solución para aplicaciones de SAP.
Sugerencia
Use la serie de blogs "How to successfully evaluate the SAP for Sentinel solution and implement it in production" (Cómo evaluar correctamente SAP para Sentinel solución e implementarla en producción) para obtener un tutorial detallado con los procedimientos recomendados.
Inicio de la habilitación de reglas de análisis
De forma predeterminada, todas las reglas de análisis de la solución Microsoft Sentinel para aplicaciones SAP se proporcionan como plantillas de regla de alerta. Se recomienda un enfoque preconfigurado, donde se usan las plantillas para crear unas cuantas reglas a la vez, lo que permite ajustar cada escenario.
Se recomienda comenzar con las siguientes reglas de análisis, que se consideran más sencillas de probar:
- Cambio en el usuario con privilegios confidenciales
- Usuario con privilegios confidenciales que ha iniciado sesión
- El usuario con privilegios confidenciales realiza un cambio en otro usuario
- Cambio de contraseña e inicio de sesión de usuarios confidenciales
- Cambio de configuración de cliente
- Módulo de funciones probado
Para obtener más información, consulte Reglas de análisis integradas y Detección de amenazas en Microsoft Sentinel.
Configuración de listas de reproducción
Configure la solución de Microsoft Sentinel para las aplicaciones SAP proporcionando información específica del cliente en las siguientes listas de seguimiento:
| Nombre de la lista de reproducción | Detalles de configuración |
|---|---|
| SAP: sistemas | La lista de reproducción SAP - Sistemas define los sistemas SAP que están presentes en el entorno supervisado. Para cada sistema, especifique: - El SID - Ya sea un sistema de producción o un entorno de desarrollo y pruebas. La definición de esto en la lista de reproducción no afecta a la facturación y solo influye en la regla de análisis. Por ejemplo, es posible que desee usar un sistema de prueba como sistema de producción durante las pruebas. - Una descripción significativa Algunas reglas de análisis usan los datos configurados, que pueden reaccionar de forma diferente si aparecen eventos relevantes en un sistema de desarrollo o de producción. |
| SAP: redes | En la lista de seguimiento SAP - Networks se describen todas las redes que usa la organización. Se usa principalmente para identificar si los inicios de sesión de usuario se originan dentro de segmentos conocidos de la red o si el origen de inicio de sesión de un usuario cambia inesperadamente. Hay muchos enfoques para documentar la topología de red. Puede definir una amplia gama de direcciones, como 172.16.0.0/16, y asignarle el nombre Red corporativa, lo que es lo suficientemente bueno para realizar el seguimiento de inicios de sesión desde fuera de ese intervalo. Sin embargo, un enfoque más segmentado permite una mejor visibilidad de la actividad potencialmente atípica. Por ejemplo, puede definir los siguientes segmentos y ubicaciones geográficas: - 192.168.10.0/23: Europa occidental - 10.15.0.0/16: Australia En tales casos, Microsoft Sentinel puede diferenciar un inicio de sesión de 192.168.10.15 en el primer segmento de un inicio de sesión de 10.15.2.1 en el segundo segmento. Microsoft Sentinel le avisa si este comportamiento se identifica como atípico. |
|
SAP: módulos de funciones confidenciales SAP: tablas confidenciales SAP: programas ABAP confidenciales SAP: transacciones confidenciales |
Las listas de reproducción de contenido confidencial identifican acciones o datos confidenciales que los usuarios pueden llevar a cabo o acceder a ellos. Aunque varias operaciones, tablas y autorizaciones conocidas están preconfiguradas en las listas de seguimiento, se recomienda consultar con el equipo de SAP BASIS para identificar las operaciones, transacciones, autorizaciones y tablas que se consideran confidenciales en el entorno de SAP y actualizar las listas según sea necesario. |
|
SAP: perfiles confidenciales SAP: roles confidenciales SAP: usuarios con privilegios SAP: autorizaciones críticas |
La solución Microsoft Sentinel para aplicaciones SAP usa datos de usuario recopilados en listas de seguimiento de datos de usuario de sistemas SAP para identificar qué usuarios, perfiles y roles deben considerarse confidenciales. Aunque los datos de ejemplo se incluyen de forma predeterminada en las listas de reproducción, se recomienda que consulte con el equipo de SAP BASIS para identificar los usuarios, roles y perfiles confidenciales de su organización y actualizar las listas según sea necesario. |
Después de la implementación inicial de la solución, puede tardar algún tiempo hasta que las listas de seguimiento se rellenen con datos. Si abre una lista de reproducción para editarla y detecta que está vacía, espere unos minutos e inténtelo de nuevo.
Para obtener más información, consulte Listas de reproducción disponibles.
Uso de un libro para comprobar el cumplimiento de los controles de seguridad de SAP
La solución Microsoft Sentinel para aplicaciones SAP incluye el libro SAP - Controles de auditoría de seguridad, que le ayuda a comprobar el cumplimiento de los controles de seguridad de SAP. El libro proporciona una vista completa de los controles de seguridad que están en vigor y el estado de cumplimiento de cada control.
Para obtener más información, consulte Comprobación del cumplimiento de los controles de seguridad de SAP con el libro SAP - Controles de auditoría de seguridad.
Paso siguiente
Hay mucho más contenido que descubrir para SAP con Microsoft Sentinel, incluidas funciones, cuadernos de estrategias, libros y mucho más. En este artículo se resaltan algunos puntos de partida útiles y debe seguir implementando otro contenido para sacar el máximo partido a la supervisión de seguridad de SAP.
Para más información, vea:
- Microsoft Sentinel solución para aplicaciones SAP: referencia de funciones
- Microsoft Sentinel solución para aplicaciones SAP: referencia de contenido de seguridad.
Contenido relacionado
Para más información, vea: