Aktivera SAP-identifieringar och skydd mot hot

Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

När du distribuerar en Microsoft Sentinel datainsamlare och lösning för SAP kan du övervaka SAP-system för misstänkta aktiviteter och identifiera hot, men det krävs extra konfigurationssteg för att säkerställa att lösningen är optimerad för din SAP-distribution. Den här artikeln innehåller metodtips för att komma igång med det säkerhetsinnehåll som levereras med den Microsoft Sentinel lösningen för SAP-program och är det sista steget i distributionen av SAP-integreringen.

Viktigt

Dataanslutningsagenten för SAP är inaktuell och inaktiveras permanent senast den 14 september 2026. Vi rekommenderar att du migrerar till den agentlösa dataanslutningen. Läs mer om den agentlösa metoden i vårt blogginlägg.

Diagram över distributionsflödet för SAP-lösningen, med steget Konfigurera lösningsinställningar markerat.

Innehållet i den här artikeln är relevant för ditt säkerhetsteam .

Förhandskrav

Innan du konfigurerar inställningarna som beskrivs i den här artikeln måste du ha en Microsoft Sentinel SAP-lösning installerad och en konfigurerad dataanslutning.

Mer information finns i Distribuera Microsoft Sentinel lösning för SAP-program från innehållshubben och Distribuera Microsoft Sentinel lösning för SAP-program.

Tips

Använd bloggserien "Så här utvärderar du SAP för Sentinel lösning och implementerar den i produktion" för en detaljerad genomgång med metodtips.

Börja aktivera analysregler

Som standard tillhandahålls alla analysregler i Microsoft Sentinel lösning för SAP-program som aviseringsregelmallar. Vi rekommenderar en stegvis metod där du använder mallarna för att skapa några regler i taget, vilket ger tid för finjustering av varje scenario.

Vi rekommenderar att du börjar med följande analysregler, som anses vara enklare att testa:

Mer information finns i Inbyggda analysregler och Hotidentifiering i Microsoft Sentinel.

Konfigurera visningslistor

Konfigurera din Microsoft Sentinel lösning för SAP-program genom att tillhandahålla kundspecifik information i följande visningslistor:

Namn på visningslista	Konfigurationsinformation
SAP – System	SAP - Systems-visningslistan definierar de SAP-system som finns i den övervakade miljön. För varje system anger du: - SID – Oavsett om det är ett produktionssystem eller en utvecklings-/testmiljö. Att definiera detta i visningslistan påverkar inte faktureringen och påverkar bara din analysregel. Du kanske till exempel vill använda ett testsystem som ett produktionssystem vid testning. – En beskrivande beskrivning Konfigurerade data används av vissa analysregler, som kan reagera annorlunda om relevanta händelser visas i ett utvecklingssystem eller ett produktionssystem.
SAP – Nätverk	I bevakningslistan SAP – Networks beskrivs alla nätverk som används av organisationen. Den används främst för att identifiera om användarinloggningar kommer från kända segment i nätverket eller om en användares inloggnings ursprung ändras oväntat. Det finns många metoder för att dokumentera nätverkstopologi. Du kan definiera ett brett adressintervall, till exempel 172.16.0.0/16, och ge det namnet Företagsnätverk, vilket är tillräckligt bra för att spåra inloggningar utanför det intervallet. En mer segmenterad metod ger dig dock bättre insyn i potentiellt atypisk aktivitet. Du kan till exempel definiera följande segment och geografiska platser: - 192.168.10.0/23: Västeuropa - 10.15.0.0/16: Australien I sådana fall kan Microsoft Sentinel skilja en inloggning från 192.168.10.15 i det första segmentet från en inloggning från 10.15.2.1 i det andra segmentet. Microsoft Sentinel varnar dig om ett sådant beteende identifieras som atypiskt.
SAP – moduler för känsliga funktioner SAP – känsliga tabeller SAP – Känsliga ABAP-program SAP – känsliga transaktioner	Visningslistor för känsligt innehåll identifierar känsliga åtgärder eller data som kan utföras eller användas av användare. Även om flera välkända åtgärder, tabeller och auktoriseringar är förkonfigurerade i bevakningslistorna rekommenderar vi att du kontaktar SAP BASIS-teamet för att identifiera åtgärder, transaktioner, auktoriseringar och tabeller som anses vara känsliga i SAP-miljön och uppdatera listorna efter behov.
SAP – känsliga profiler SAP – känsliga roller SAP – Privilegierade användare SAP – Kritiska auktoriseringar	Den Microsoft Sentinel lösningen för SAP-program använder användardata som samlats in i visningslistor för användardata från SAP-system för att identifiera vilka användare, profiler och roller som ska betraktas som känsliga. Även om exempeldata ingår i visningslistorna som standard rekommenderar vi att du kontaktar SAP BASIS-teamet för att identifiera känsliga användare, roller och profiler i din organisation och uppdatera listorna efter behov.

Efter den första lösningsdistributionen kan det ta en stund innan visningslistan fylls i med data. Om du öppnar en visningslista för redigering och upptäcker att den är tom väntar du några minuter och försöker igen.

Mer information finns i Tillgängliga visningslistor.

Använda en arbetsbok för att kontrollera efterlevnaden för dina SAP-säkerhetskontroller

Den Microsoft Sentinel lösningen för SAP-program innehåller arbetsboken SAP – Security Audit Controls, som hjälper dig att kontrollera efterlevnaden för dina SAP-säkerhetskontroller. Arbetsboken innehåller en omfattande vy över de säkerhetskontroller som finns på plats och efterlevnadsstatusen för varje kontroll.

Mer information finns i Kontrollera efterlevnad för dina SAP-säkerhetskontroller med arbetsboken SAP – Säkerhetsgranskningskontroller.

Nästa steg

Det finns mycket mer innehåll att upptäcka för SAP med Microsoft Sentinel, inklusive funktioner, spelböcker, arbetsböcker med mera. Den här artikeln beskriver några användbara utgångspunkter och du bör fortsätta att implementera annat innehåll för att få ut mesta möjliga av din SAP-säkerhetsövervakning.

Mer information finns i:

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-23