Autorizaciones de ABAP necesarias

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo, se enumeran las autorizaciones de ABAP necesarias para garantizar que la cuenta de usuario SAP utilizada por el conector de datos de SAP de Microsoft Sentinel pueda recuperar correctamente los registros de los sistemas SAP y ejecutar acciones de respuesta a la interrupción por ataques.

Las autorizaciones requeridas se enumeran aquí por su finalidad. Solo necesita las autorizaciones que se enumeran para los tipos de registros que desea introducir en Microsoft Sentinel y las acciones de respuesta a la interrupción de ataques que desea aplicar.

Sugerencia

Para crear una función con todas las autorizaciones necesarias, cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_RESPONDER.

Alternativamente, para habilitar solo la recuperación de registros, sin acciones de respuesta a la interrupción del ataque, implemente SAP NPLK900271 CR en el sistema SAP para crear la función /MSFTSEN/SENTINEL_CONNECTOR, o cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_CONNECTOR.

Si es necesario, puede quitar el rol de usuario y cualquier CR opcional instalado en el sistema ABAP.

Registro de aplicaciones de ABAP

Objeto de autorización	Campo	Value
S_RFC	RFC_NAME	BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM	TABLE	BALHDR
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	INTERFACE	XBP
S_APPL_LOG	ALG_OBJECT	*
S_APPL_LOG	ALG_SUBOBJ	*
S_APPL_LOG	ACTVT	Mostrar

Registro de documentos de cambio de ABAP

Objeto de autorización	Campo	Value
S_TABU_NAM	TABLE	CDHDR
S_TABU_NAM	TABLE	CDPOS

Registro de CR de ABAP

Objeto de autorización	Campo	Value
S_RFC	RFC_NAME	CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM	TABLE	E070
S_TRANSPRT	TTYPE	*
S_TRANSPRT	ACTVT	Mostrar

Registro de datos de tabla de base de datos de ABAP

Objeto de autorización	Campo	Value
S_TABU_NAM	TABLE	DBTABLOG
S_TABU_NAM	TABLE	SACF_ALERT
S_TABU_NAM	TABLE	SOUD
S_TABU_NAM	TABLE	USR41
S_TABU_NAM	TABLE	TMSQAFILTER

Registro de trabajos de ABAP

Objeto de autorización	Campo	Value
S_RFC	RFC_NAME	BAPI_XBP_JOB_JOBLOG_READ
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM	TABLE	TBTCO
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	INTERFACE	XBP

Registro de auditoría de seguridad de ABAP

Objeto de autorización	Campo	Value
S_RFC	RFC_NAME	BAPI_USER_GET_DETAIL
S_RFC	RFC_NAME	BAPI_XMI_LOGOFF
S_RFC	RFC_NAME	BAPI_XMI_LOGON
S_RFC	RFC_NAME	BAPI_XMI_SET_AUDITLEVEL
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETMLHIS
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETTREE
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC	RFC_NAME	BAPI_SYSTEM_MS_GETLIST
S_RFC	RFC_NAME	BAPI_SYSTEM_MON_GETLIST
S_RFC	RFC_NAME	BAPI_SYSTEM_MON_GETTREE
S_RFC	RFC_NAME	BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC	RFC_NAME	BAPI_SYSTEM_MT_GETALERTDATA
S_RFC	RFC_NAME	BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD	S_ADMI_FCD	AUDD (autenticación de visualización de auditoría de base).
S_SAL	SAL_ACTVT	SHOW_LOG (evaluar el registro basado en archivos)
S_USER_GRP	CLASS	SUPER
S_USER_GRP	ACTVT	Mostrar
S_USER_GRP	CLASS	SUPER
S_USER_GRP	ACTVT	Lock
S_XMI_PROD	EXTCOMPANY	Microsoft
S_XMI_PROD	EXTPRODUCT	Azure Sentinel
S_XMI_PROD	INTERFACE	XAL

Registros de spool de ABAP

Objeto de autorización	Campo	Value
S_TABU_NAM	TABLE	TSP01
S_ADMI_FCD	S_ADMI_FCD	SPOS (uso de la transacción SP01 (todos los sistemas))

Registro de flujo de trabajo de ABAP

Objeto de autorización	Campo	Value
S_TABU_NAM	TABLE	SWWLOGHIST
S_TABU_NAM	TABLE	SWWWIHEAD

Todos los registros

Objeto de autorización	Campo	Value
S_RFC	RFC_TYPE	Módulo de función
S_RFC	RFC_NAME	/OSP/SYSTEM_TIMEZONE
S_RFC	RFC_NAME	DDIF_FIELDINFO_GET
S_RFC	RFC_NAME	RFCPING
S_RFC	RFC_NAME	RFC_GET_FUNCTION_INTERFACE
S_RFC	RFC_NAME	RFC_READ_TABLE
S_RFC	RFC_NAME	RFC_SYSTEM_INFO
S_RFC	RFC_NAME	SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC	RFC_NAME	TH_SERVER_LIST
S_RFC	ACTVT	Execute
S_TCODE	TCD	SM51
S_TABU_NAM	ACTVT	Mostrar
S_TABU_NAM	TABLE	T000

Acciones de respuesta a la interrupción del ataque

Objeto de autorización	Campo	Value
S_RFC	RFC_TYPE	Módulo de función
S_RFC	RFC_NAME	BAPI_USER_LOCK
S_RFC	RFC_NAME	BAPI_USER_UNLOCK
S_RFC	RFC_NAME	TH_DELETE_USER A diferencia de su nombre, esta función no elimina usuarios, sino que finaliza la sesión de usuario activa.
S_USER_GRP	CLASS	* Recomendamos sustituir S_USER_GRP CLASS por las clases relevantes de su organización que representen a los usuarios de diálogo.
S_USER_GRP	ACTVT	03
S_USER_GRP	ACTVT	05

Historial de configuraciones

Objeto de autorización	Campo	Value
S_TABU_NAM	TABLE	PAHI

Registros opcionales, si se ha implementado el CR de la solución Microsoft Sentinel

Objeto de autorización	Campo	Value
S_RFC	RFC_NAME	/MSFTSEN/*

Datos de SNC

Objeto de autorización	Campo	Value
S_TABU_NAM	TABLE	SNCSYSACL
S_TABU_NAM	TABLE	USRACL

Datos de usuario

Objeto de autorización	Campo	Value
S_TABU_NAM	TABLE	ADCP
S_TABU_NAM	TABLE	ADR6
S_TABU_NAM	TABLE	AGR_1251
S_TABU_NAM	TABLE	AGR_AGRS
S_TABU_NAM	TABLE	AGR_DEFINE
S_TABU_NAM	TABLE	AGR_FLAGS
S_TABU_NAM	TABLE	AGR_PROF
S_TABU_NAM	TABLE	AGR_TCODES
S_TABU_NAM	TABLE	AGR_USERS
S_TABU_NAM	TABLE	DEVACCESS
S_TABU_NAM	TABLE	USER_ADDR
S_TABU_NAM	TABLE	USGRP_USER
S_TABU_NAM	TABLE	USR01
S_TABU_NAM	TABLE	USR02
S_TABU_NAM	TABLE	USR05
S_TABU_NAM	TABLE	USR21
S_TABU_NAM	TABLE	USRSTAMP
S_TABU_NAM	TABLE	UST04

Contenido relacionado

Para obtener más información, consulte Configuración del sistema SAP para la solución Microsoft Sentinel.