この記事では、SAP アプリケーションのMicrosoft Sentinel ソリューションが SAP - (プレビュー) 機密静的パラメーターに変更された分析ルールの一部として監視する SAP システムの静的セキュリティ パラメーターの一覧を示します。
SAP アプリケーションのMicrosoft Sentinel ソリューションでは、SAP のベスト プラクティスの変更に従って、このコンテンツの更新プログラムが提供されます。 organizationのニーズに応じて値を変更して監視するパラメーターを追加し、SAPSystemParameters ウォッチリストで特定のパラメーターをオフにします。
この記事では、パラメーターについて説明しません。また、パラメーターを構成するための推奨事項ではありません。 構成に関する考慮事項については、SAP 管理者に問い合わせてください。 パラメーターの説明については、SAP ドキュメントを参照してください。
この記事のコンテンツは、 SAP BASIS チームを対象としています。
前提条件
SAP アプリケーションのMicrosoft Sentinel ソリューションが SAP セキュリティ パラメーターを正常に監視するには、ソリューションで SAP PAHI テーブルを定期的に正常に監視する必要があります。 詳細については、「 PAHI テーブルが定期的に更新されることを確認する」を参照してください。
認証パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| 認証/no_check_in_some_cases | このパラメーターはパフォーマンスを向上させる可能性があります。また、ユーザーがアクセス許可を持っていない可能性のあるアクションを実行できるようにすることで、セキュリティ 上のリスクが発生する可能性があります。 |
| auth/object_disabling_active | 不要なアクセス許可を持つ非アクティブなアカウントの数を減らすことで、セキュリティの向上に役立ちます。 |
| 認証/rfc_authority_check | 高。 このパラメーターを有効にすると、RFC を介した機密データと関数への未承認のアクセスを防ぐことができます。 |
ゲートウェイ パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| gw/accept_remote_trace_level | パラメーターは、外部システムから受け入れられるトレース・レベルを制限するように構成できます。 トレース レベルを低く設定すると、外部システムが SAP システムの内部作業に関して取得できる情報の量が減る可能性があります。 |
| gw/acl_mode | 高。 このパラメーターは、ゲートウェイへのアクセスを制御し、SAP システムへの未承認のアクセスを防ぐのに役立ちます。 |
| gw/logging | 高。 このパラメーターは、疑わしいアクティビティや潜在的なセキュリティ侵害を監視および検出するために使用できます。 |
| gw/monitor | |
| gw/sim_mode | このパラメーターを有効にすると、テスト目的で役立ち、ターゲット システムに意図しない変更が加えられるのを防ぐことができます。 |
インターネット通信マネージャー (ICM) パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| icm/accept_remote_trace_level | 中 リモート トレース レベルの変更を許可すると、攻撃者に貴重な診断情報が提供され、システムのセキュリティが侵害される可能性があります。 |
サインイン パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| login/accept_sso2_ticket | SSO2 を有効にすると、より効率的で便利なユーザー エクスペリエンスが提供されますが、セキュリティ リスクも増えます。 攻撃者が有効な SSO2 チケットにアクセスすると、正当なユーザーになりすまし、機密データへの未承認のアクセス権を取得したり、悪意のあるアクションを実行したりする可能性があります。 |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | このパラメーターは、ユーザーが一度に 1 つのセッションにのみログインするようにすることで、セキュリティを向上させるのに役立ちます。 |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | 高。 このパラメーターは、ユーザー アカウントに対するブルート フォース攻撃を防ぐのに役立ちます。 |
| login/fails_to_user_lock | システムへの不正アクセスを防ぎ、ユーザー アカウントが侵害されないように保護するのに役立ちます。 |
| login/min_password_diff | 高。 文字の違いを最小限に抑える必要があると、ユーザーが簡単に推測できる脆弱なパスワードを選択できなくなる可能性があります。 |
| login/min_password_digits | 高。 このパラメーターを使用すると、パスワードの複雑さが増し、推測や解読が困難になります。 |
| login/min_password_letters | ユーザーのパスワードに含める必要がある最小文字数を指定します。 値を大きく設定すると、パスワードの強度とセキュリティが向上します。 |
| login/min_password_lng | パスワードに使用できる最小長を指定します。 このパラメーターの値を大きく設定すると、パスワードが簡単に推測されないようにすることで、セキュリティが向上します。 |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | このパラメーターを有効にすると、1 人のユーザーの同時ログイン数を制限することで、SAP システムへの不正アクセスを防ぐことができます。 このパラメーターを 0 に設定すると、ユーザーごとに 1 つのログイン セッションのみが許可され、他のログイン試行は拒否されます。 これにより、ユーザーのログイン資格情報が侵害されたり、他のユーザーと共有されたりした場合に、SAP システムへの不正アクセスを防ぐことができます。 |
| login/no_automatic_user_sapstar | 高。 このパラメーターは、既定の SAP* アカウントを介して SAP システムへの未承認のアクセスを防ぐのに役立ちます。 |
| login/password_change_for_SSO | 高。 パスワードの変更を強制すると、フィッシングやその他の方法で有効な資格情報を取得した可能性がある攻撃者によるシステムへの不正アクセスを防ぐことができます。 |
| login/password_change_waittime | このパラメーターに適切な値を設定すると、ユーザーがパスワードを定期的に変更して SAP システムのセキュリティを維持するのに役立ちます。 同時に、待機時間を短く設定すると、ユーザーがパスワードを再利用したり、覚えやすい脆弱なパスワードを選択したりする可能性が高くなるため、逆効果になる可能性があります。 |
| login/password_compliance_to_current_policy | 高。 このパラメーターを有効にすると、ユーザーがパスワードを変更するときに現在のパスワード ポリシーに準拠することが保証され、SAP システムへの不正アクセスのリスクが軽減されます。 このパラメーターを 1 に設定すると、ユーザーはパスワードを変更するときに、現在のパスワード ポリシーに準拠するように求められます。 |
| login/password_downwards_compatibility | |
| login/password_expiration_time | このパラメーターを小さい値に設定すると、パスワードが頻繁に変更されることが保証され、セキュリティが向上します。 |
| login/password_history_size | このパラメーターを使用すると、ユーザーが同じパスワードを繰り返し使用できなくなります。これにより、セキュリティが向上します。 |
| login/password_max_idle_initial | このパラメーターの値を小さく設定すると、アイドル 状態のセッションが長時間開いたままでいないことを確認することで、セキュリティを向上させることができます。 |
| login/ticket_only_by_https | 高。 チケット転送に HTTPS を使用すると、転送中のデータが暗号化され、セキュリティが強化されます。 |
リモート ディスパッチャー パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| rdisp/gui_auto_logout | 高。 非アクティブなユーザーを自動的にログアウトすると、ユーザーのワークステーションにアクセスできる可能性がある攻撃者によるシステムへの不正アクセスを防ぐことができます。 |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | このパラメーターを有効にすると、パスワード ポリシーを適用し、SAP システムへの不正アクセスを防止するときに役立ちます。 このパラメーターを 1 に設定すると、ユーザーのパスワードの有効期限が切れた場合、RFC 接続は拒否され、ユーザーは接続する前にパスワードの変更を求められます。 これにより、有効なパスワードを持つ承認されたユーザーのみがシステムにアクセスできるようになります。 |
| rsau/enable | 高。 このセキュリティ監査ログは、セキュリティ インシデントを検出して調査するための貴重な情報を提供できます。 |
| rsau/max_diskspace/local | このパラメーターに適切な値を設定すると、ローカル監査ログがディスク領域を消費しすぎるのを防ぐのに役立ち、システム パフォーマンスの問題やサービス拒否攻撃につながる可能性があります。 一方、値が低すぎる場合は、監査ログ データが失われ、コンプライアンスと監査に必要な場合があります。 |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | 適切な値を設定すると、監査ファイルのサイズを管理し、ストレージの問題を回避できます。 |
| rsau/selection_slots | 監査ファイルが長期間保持されることを保証するのに役立ちます。これは、セキュリティ侵害に役立つ可能性があります。 |
| rspo/auth/pagelimit | このパラメーターは、SAP システムのセキュリティに直接影響を与えるわけではありませんが、機密性の高い承認データへの不正アクセスを防ぐのに役立ちます。 ページごとに表示されるエントリの数を制限することで、承認されていない個人が機密情報を表示するリスクを軽減できます。 |
セキュリティで保護されたネットワーク通信 (SNC) パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| snc/accept_insecure_cpic | このパラメーターを有効にすると、最小限のセキュリティ標準を満たしていない SNC で保護された接続を受け入れるため、データの傍受や操作のリスクが高まる可能性があります。 したがって、このパラメーターの推奨されるセキュリティ値は、 0に設定することです。つまり、最小セキュリティ要件を満たす SNC 接続のみが受け入れられます。 |
| snc/accept_insecure_gui | このパラメーターの値を 0 に設定することは、SAP GUI を介して行われた SNC 接続が安全であることを確認し、機密データへの不正アクセスや傍受のリスクを軽減するために推奨されます。 安全でない SNC 接続を許可すると、機密情報やデータ傍受への不正アクセスのリスクが高まる可能性があり、特定のニーズがあり、リスクが適切に評価されている場合にのみ実行する必要があります。 |
| snc/accept_insecure_r3int_rfc | このパラメーターを有効にすると、最小限のセキュリティ標準を満たしていない SNC で保護された接続を受け入れるため、データの傍受や操作のリスクが高まる可能性があります。 したがって、このパラメーターの推奨されるセキュリティ値は、 0に設定することです。つまり、最小セキュリティ要件を満たす SNC 接続のみが受け入れられます。 |
| snc/accept_insecure_rfc | このパラメーターを有効にすると、最小限のセキュリティ標準を満たしていない SNC で保護された接続を受け入れるため、データの傍受や操作のリスクが高まる可能性があります。 したがって、このパラメーターの推奨されるセキュリティ値は、 0に設定することです。つまり、最小セキュリティ要件を満たす SNC 接続のみが受け入れられます。 |
| snc/data_protection/max | このパラメーターに高い値を設定すると、データ保護のレベルが高くなり、データの傍受や操作のリスクが軽減されます。 このパラメーターに推奨されるセキュリティ値は、organizationの特定のセキュリティ要件とリスク管理戦略によって異なります。 |
| snc/data_protection/分 | このパラメーターに適切な値を設定すると、SNC で保護された接続が最小限のレベルのデータ保護を提供するのに役立ちます。 この設定は、機密情報が攻撃者によって傍受または操作されるのを防ぐのに役立ちます。 このパラメーターの値は、SAP システムのセキュリティ要件と、SNC で保護された接続経由で送信されるデータの機密性に基づいて設定する必要があります。 |
| snc/data_protection/use | |
| snc/enable | 有効にすると、SNC はシステム間で送信されるデータを暗号化することで、セキュリティの追加レイヤーを提供します。 |
| snc/extid_login_diag | このパラメーターを有効にすると、追加の診断情報が提供されるため、SNC 関連の問題のトラブルシューティングに役立ちます。 ただし、パラメーターは、システムで使用される外部セキュリティ製品に関する機密情報も公開する可能性があります。これは、その情報が間違った手に渡った場合の潜在的なセキュリティ リスクになる可能性があります。 |
| snc/extid_login_rfc |
Web ディスパッチャー パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| wdisp/ssl_encrypt | 高。 このパラメーターを使用すると、HTTP 経由で送信されるデータが暗号化され、盗聴やデータ改ざんを防ぐことができます。 |
関連コンテンツ
詳細については、以下を参照してください: