Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Terwijl het implementeren van een Microsoft Sentinel-gegevensverzamelaar en -oplossing voor SAP u de mogelijkheid biedt OM SAP-systemen te bewaken op verdachte activiteiten en bedreigingen te identificeren, zijn extra configuratiestappen vereist om ervoor te zorgen dat de oplossing is geoptimaliseerd voor uw SAP-implementatie. Dit artikel bevat aanbevolen procedures om aan de slag te gaan met de beveiligingsinhoud die wordt geleverd met de Microsoft Sentinel-oplossing voor SAP-toepassingen. Dit is de laatste stap in het implementeren van de SAP-integratie.
Belangrijk
De gegevensconnectoragent voor SAP wordt afgeschaft en wordt definitief uitgeschakeld op 14 september 2026. U wordt aangeraden te migreren naar de gegevensconnector zonder agent. Meer informatie over de aanpak zonder agent vindt u in ons blogbericht.
Inhoud in dit artikel is relevant voor uw beveiligingsteam .
Vereisten
Voordat u de instellingen configureert die in dit artikel worden beschreven, moet u een Microsoft Sentinel SAP-oplossing hebben geïnstalleerd en een gegevensconnector geconfigureerd.
Zie De Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen vanuit de inhoudshub en Microsoft Sentinel oplossing implementeren voor SAP-toepassingen voor meer informatie.
Tip
Gebruik de blogreeks 'How to successfully evaluate the SAP for Sentinel solution and implement it in production' (De SAP for Sentinel-oplossing evalueren en implementeren in productie) voor een gedetailleerd overzicht van best practices.
Analyseregels inschakelen
Standaard worden alle analyseregels in de Microsoft Sentinel-oplossing voor SAP-toepassingen geleverd als waarschuwingsregelsjablonen. We raden een gefaseerde aanpak aan, waarbij u de sjablonen gebruikt om een paar regels tegelijk te maken, zodat u tijd hebt om elk scenario af te stemmen.
We raden u aan te beginnen met de volgende analyseregels, die als eenvoudiger te testen worden beschouwd:
- Wijziging in gevoelige bevoegde gebruiker
- Gevoelige bevoegde gebruiker die is aangemeld
- Gevoelige bevoegde gebruiker brengt een wijziging aan in een andere gebruiker
- Wachtwoord wijzigen en aanmelden voor gevoelige gebruikers
- Wijziging van clientconfiguratie
- Functiemodule getest
Zie Ingebouwde analyseregels en Detectie van bedreigingen in Microsoft Sentinel voor meer informatie.
Volglijsten configureren
Configureer uw Microsoft Sentinel-oplossing voor SAP-toepassingen door klantspecifieke informatie op te geven in de volgende volglijsten:
| Volglijstnaam | Configuratiedetails |
|---|---|
| SAP - Systemen | De volglijst sap - systemen definieert de SAP-systemen die aanwezig zijn in de bewaakte omgeving. Geef voor elk systeem het volgende op: - De SID - Of het nu gaat om een productiesysteem of een ontwikkel-/testomgeving. Het definiëren hiervan in uw volglijst heeft geen invloed op de facturering en heeft alleen invloed op uw analyseregel. U kunt bijvoorbeeld een testsysteem gebruiken als productiesysteem tijdens het testen. - Een zinvolle beschrijving Geconfigureerde gegevens worden gebruikt door sommige analyseregels, die mogelijk anders reageren als relevante gebeurtenissen worden weergegeven in een ontwikkel- of productiesysteem. |
| SAP - Netwerken | De volglijst sap - netwerken bevat een overzicht van alle netwerken die door de organisatie worden gebruikt. Het wordt voornamelijk gebruikt om te bepalen of aanmeldingen van gebruikers afkomstig zijn uit bekende segmenten van het netwerk, of dat de oorsprong van de aanmelding van een gebruiker onverwacht wordt gewijzigd. Er zijn veel benaderingen voor het documenteren van netwerktopologie. U kunt een breed scala aan adressen definiëren, zoals 172.16.0.0/16, en de naam Bedrijfsnetwerk geven, wat goed genoeg is voor het bijhouden van aanmeldingen van buiten dat bereik. Met een meer gesegmenteerde benadering kunt u echter beter inzicht krijgen in mogelijk atypische activiteiten. U kunt bijvoorbeeld de volgende segmenten en geografische locaties definiëren: - 192.168.10.0/23: West-Europa - 10.15.0.0/16: Australië In dergelijke gevallen kunt Microsoft Sentinel een aanmelding onderscheiden van 192.168.10.15 in het eerste segment van een aanmelding van 10.15.2.1 in het tweede segment. Microsoft Sentinel waarschuwt u als dergelijk gedrag als atypisch wordt geïdentificeerd. |
|
SAP - Gevoelige functiemodules SAP - Gevoelige tabellen SAP - Gevoelige ABAP-programma's SAP - Gevoelige transacties |
Volglijsten voor gevoelige inhoud identificeren gevoelige acties of gegevens die kunnen worden uitgevoerd of geopend door gebruikers. Hoewel verschillende bekende bewerkingen, tabellen en autorisaties vooraf zijn geconfigureerd in de volglijsten, raden we u aan om contact op te vragen met uw SAP BASIS-team om te bepalen welke bewerkingen, transacties, autorisaties en tabellen als gevoelig worden beschouwd in uw SAP-omgeving en om de lijsten zo nodig bij te werken. |
|
SAP - Gevoelige profielen SAP - Gevoelige rollen SAP - bevoegde gebruikers SAP - Kritieke autorisaties |
De Microsoft Sentinel-oplossing voor SAP-toepassingen maakt gebruik van gebruikersgegevens die zijn verzameld in volglijsten voor gebruikersgegevens van SAP-systemen om te bepalen welke gebruikers, profielen en rollen als gevoelig moeten worden beschouwd. Hoewel voorbeeldgegevens standaard zijn opgenomen in de volglijsten, raden we u aan contact op te nemen met uw SAP BASIS-team om de gevoelige gebruikers, rollen en profielen in uw organisatie te identificeren en de lijsten zo nodig bij te werken. |
Na de eerste implementatie van de oplossing kan het enige tijd duren voordat de volglijsten zijn gevuld met gegevens. Als u een volglijst opent om te bewerken en merkt dat deze leeg is, wacht u een paar minuten en probeert u het opnieuw.
Zie Beschikbare volglijsten voor meer informatie.
Een werkmap gebruiken om de naleving van uw SAP-beveiligingscontroles te controleren
De Microsoft Sentinel oplossing voor SAP-toepassingen bevat de werkmap SAP - Security Audit Controls, waarmee u de naleving van uw SAP-beveiligingscontroles kunt controleren. De werkmap biedt een uitgebreide weergave van de beveiligingscontroles die aanwezig zijn en de nalevingsstatus van elk besturingselement.
Zie Naleving controleren voor uw SAP-beveiligingscontroles met de werkmap SAP - Beveiligingscontrolecontroles voor meer informatie.
Volgende stap
Er is veel meer inhoud te ontdekken voor SAP met Microsoft Sentinel, waaronder functies, playbooks, werkmappen en meer. In dit artikel worden enkele nuttige uitgangspunten beschreven en moet u doorgaan met het implementeren van andere inhoud om optimaal gebruik te maken van uw SAP-beveiligingsbewaking.
Zie voor meer informatie:
- Microsoft Sentinel oplossing voor SAP-toepassingen - functieverwijzing
- Microsoft Sentinel oplossing voor SAP-toepassingen: naslaginformatie over beveiligingsinhoud.
Verwante onderwerpen
Zie voor meer informatie: