Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kun otat käyttöön Microsoft Sentinel tiedonkeruutyökalun ja SAP-ratkaisun, voit valvoa SAP-järjestelmiä epäilyttävien toimien varalta ja tunnistaa uhkia. Lisäksi tarvitaan ylimääräisiä määritystoimia sen varmistamiseksi, että ratkaisu on optimoitu SAP-käyttöönottoasi varten. Tässä artikkelissa on parhaita käytäntöjä sap Microsoft Sentinel sovellusten suojaussisällön käytön aloittamiseen. Se on viimeinen vaihe SAP-integroinnin käyttöönotossa.
Tärkeää
SAP:n tietoyhdistinagenttia ollaan poistamassa käytöstä pysyvästi 14.9.2026 mennessä. Suosittelemme, että siirryt agenttittomaan tietoyhdistintä. Lue lisää agentless-lähestymistavasta blogikirjoituksesta.
Tämän artikkelin sisältö liittyy tietoturvatiimiin .
Ennakkovaatimukset
Ennen kuin määrität tässä artikkelissa kuvatut asetukset, sinulla on oltava asennettuna Microsoft Sentinel SAP-ratkaisu ja määritetty tietoyhdistin.
Lisätietoja on kohdissa SAP Microsoft Sentinel sovellusten Microsoft Sentinel käyttöönotto sisältökeskuksesta ja Ota käyttöön Microsoft Sentinel -ratkaisu SAP-sovelluksille.
Vihje
Yksityiskohtaiset ohjeet parhaisiin käytäntöihin saat käyttämällä blogisarjaa "SAP for Sentinel solution and implement it in production".
Aloita analytiikkasääntöjen käyttöönotto
Oletusarvoisesti kaikki sap Microsoft Sentinel sovellusten analyysiratkaisun analytiikkasäännöt annetaan ilmoitussääntömalleina. Suosittelemme vaiheittaista lähestymistapaa, jossa voit mallien avulla luoda samalla muutamia sääntöjä, jolloin voit hienosäätää jokaista skenaariota.
Suosittelemme aloittamaan seuraavista analytiikkasäännöistä, joita on helpompi testata:
- Muutos luottamuksellisessa etuoikeutetussa käyttäjässä
- Arkaluonteinen etuoikeutettu käyttäjä kirjautui sisään
- Arkaluontoinen etuoikeutettu käyttäjä tekee muutoksen toiseen käyttäjään
- Luottamuksellisten käyttäjien salasanan vaihtaminen ja kirjautuminen
- Asiakaskokoonpanon muutos
- Testattava funktiomoduuli
Lisätietoja on artikkelissa Sisäiset analytiikkasäännöt ja uhkien tunnistaminen Microsoft Sentinel.
Katseluluetteloiden määrittäminen
Määritä Microsoft Sentinel ratkaisu SAP-sovelluksille antamalla asiakaskohtaisia tietoja seuraavissa katseluluetteloissa:
| Katseluluettelon nimi | Määritystiedot |
|---|---|
| SAP – järjestelmät |
SAP – Järjestelmien katseluluettelo määrittää SAP-järjestelmät, jotka ovat olemassa valvotussa ympäristössä. Määritä jokaiselle järjestelmälle: - SID – onko kyseessä tuotantojärjestelmä vai kehitys-/testiympäristö. Tämän määrittäminen katseluluetteloon ei vaikuta laskutukseen, ja se vaikuttaa vain analytiikkasääntöön. Saatat esimerkiksi haluta käyttää testijärjestelmää tuotantojärjestelmänä testauksen aikana. - merkityksellinen kuvaus Määritetyt tiedot ovat käytössä joissakin analytiikkasäännöissä, jotka saattavat reagoida eri tavalla, jos olennaiset tapahtumat näkyvät kehitys- tai tuotantojärjestelmässä. |
| SAP – verkot |
SAP – Verkkojen katseluluettelossa esitellään kaikki organisaation käyttämät verkot. Sitä käytetään ensisijaisesti tunnistamaan, ovatko käyttäjän kirjautumiset peräisin verkon tunnetuista segmenteistä vai muuttuvatko käyttäjän kirjautumiset odottamatta. Verkkotopologian dokumentoinnissa on monia lähestymistapoja. Voit määrittää laajan osoitevalikoiman, kuten 172.16.0.0/16, ja nimetä sen Corporate Network -verkoksi, mikä riittää kirjautumisten seurantaan kyseisen alueen ulkopuolelta. Segmentoitu lähestymistapa tarjoaa kuitenkin paremman näkyvyyden mahdollisesti epätyypillisiin toimintoihin. Voit esimerkiksi määrittää seuraavat segmentit ja maantieteelliset sijainnit: - 192.168.10.0/23: Länsi-Eurooppa - 10.15.0.0/16: Australia Tällaisissa tapauksissa Microsoft Sentinel voi erottaa kirjautumisen ensimmäisen segmentin 192.168.10.15:stä kirjautumisesta toisen segmentin 10.15.2.1:stä. Microsoft Sentinel ilmoittaa, jos tällainen toiminta on tunnistettu epätyypilliseksi. |
|
SAP – luottamukselliset funktiomoduulit SAP – luottamukselliset taulukot SAP – luottamukselliset ABAP-ohjelmat SAP – luottamukselliset tapahtumat |
Luottamuksellisten sisältöjen katseluluettelot tunnistavat luottamuksellisia toimintoja tai tietoja, joita käyttäjät voivat suorittaa tai käyttää. Vaikka katseluluetteloissa on ennalta määritetty useita tunnettuja toimintoja, taulukoita ja valtuutuksia, suosittelemme, että neuvottelet SAP BASIS -tiimisi kanssa ja tunnistat toiminnot, tapahtumat, valtuutukset ja taulukot, joita pidetään luottamuksellisina SAP-ympäristössäsi, ja päivitä luettelot tarvittaessa. |
|
SAP – luottamukselliset profiilit SAP – luottamukselliset roolit SAP – etuoikeutetut käyttäjät SAP – kriittiset valtuutukset |
SAP-sovellusten Microsoft Sentinel ratkaisu käyttää SAP-järjestelmien käyttäjätietojen katseluluetteloihin kerättyjä käyttäjätietoja tunnistaakseen, ketkä käyttäjät, profiilit ja roolit tulisi pitää luottamuksellisina. Vaikka esimerkkitiedot sisältyvät oletusarvoisesti katseluluetteloihin, suosittelemme, että konsultoit SAP BASIS -tiimiäsi ja tunnistat luottamukselliset käyttäjät, roolit ja profiilit organisaatiossasi ja päivität luettelot tarvittaessa. |
Ensimmäisen ratkaisun käyttöönoton jälkeen saattaa kestää jonkin aikaa, ennen kuin katseluluettelot täytetään tiedoilla. Jos avaat katseluluettelon muokkaamista varten ja huomaat, että se on tyhjä, odota muutama minuutti ja yritä uudelleen.
Lisätietoja on kohdassa Käytettävissä olevat katseluluettelot.
Tarkista SAP-suojausasetusten yhteensopivuus työkirjan avulla
SAP-sovellusten Microsoft Sentinel ratkaisu sisältää SAP – suojauksen valvonta -työkirjan, jonka avulla voit tarkistaa SAP-suojaustoimintojen yhteensopivuuden. Työkirja sisältää kattavan näkymän käytössä olevista suojauksen ohjausobjekteista ja kunkin ohjausobjektin yhteensopivuustilan.
Lisätietoja on ohjeaiheessa SAP-suojauksen hallinnan yhteensopivuuden tarkistaminen SAP – Suojauksen valvonta -työkirjan avulla.
Seuraavat vaiheet
SAP:ssä on paljon muutakin löydettävää ja Microsoft Sentinel sisältöä, kuten funktioita, pelikirjoja, työkirjoja ja paljon muuta. Tässä artikkelissa esitellään joitakin hyödyllisiä aloituskohtia, ja sinun tulee jatkaa muun sisällön käyttöönottoa, jotta saat kaiken hyödyn irti SAP-suojauksen valvonnasta.
Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Sentinel ratkaisu SAP-sovelluksille – funktioviittaus
- Microsoft Sentinel ratkaisu SAP-sovelluksille: suojaussisältöviittaus.
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: