Compartir vía


Autorizaciones de ABAP necesarias

En este artículo, se enumeran las autorizaciones de ABAP necesarias para garantizar que la cuenta de usuario SAP utilizada por el conector de datos de SAP de Microsoft Sentinel pueda recuperar correctamente los registros de los sistemas SAP y ejecutar acciones de respuesta a la interrupción por ataques.

Las autorizaciones requeridas se enumeran aquí por su finalidad. Solo necesita las autorizaciones que se enumeran para los tipos de registros que desea introducir en Microsoft Sentinel y las acciones de respuesta a la interrupción de ataques que desea aplicar.

Sugerencia

Para crear una función con todas las autorizaciones necesarias, cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_RESPONDER.

Alternativamente, para habilitar solo la recuperación de registros, sin acciones de respuesta a la interrupción del ataque, implemente SAP NPLK900271 CR en el sistema SAP para crear la función /MSFTSEN/SENTINEL_CONNECTOR, o cargue las autorizaciones de la función desde el archivo /MSFTSEN/SENTINEL_CONNECTOR.

Si es necesario, puede quitar el rol de usuario y cualquier CR opcional instalado en el sistema ABAP.

Registro de aplicaciones de ABAP

Objeto de autorización Campo Value
S_RFC RFC_NAME BAPI_XBP_APPL_LOG_CONTENT_GET
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE BALHDR
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP
S_APPL_LOG ALG_OBJECT *
S_APPL_LOG ALG_SUBOBJ *
S_APPL_LOG ACTVT Mostrar

Registro de documentos de cambio de ABAP

Objeto de autorización Campo Value
S_TABU_NAM TABLE CDHDR
S_TABU_NAM TABLE CDPOS

Registro de CR de ABAP

Objeto de autorización Campo Value
S_RFC RFC_NAME CTS_API_READ_CHANGE_REQUEST
S_TABU_NAM TABLE E070
S_TRANSPRT TTYPE *
S_TRANSPRT ACTVT Mostrar

Registro de datos de tabla de base de datos de ABAP

Objeto de autorización Campo Value
S_TABU_NAM TABLE DBTABLOG
S_TABU_NAM TABLE SACF_ALERT
S_TABU_NAM TABLE SOUD
S_TABU_NAM TABLE USR41
S_TABU_NAM TABLE TMSQAFILTER

Registro de trabajos de ABAP

Objeto de autorización Campo Value
S_RFC RFC_NAME BAPI_XBP_JOB_JOBLOG_READ
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_TABU_NAM TABLE TBTCO
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XBP

Registro de auditoría de seguridad de ABAP

Objeto de autorización Campo Value
S_RFC RFC_NAME BAPI_USER_GET_DETAIL
S_RFC RFC_NAME BAPI_XMI_LOGOFF
S_RFC RFC_NAME BAPI_XMI_LOGON
S_RFC RFC_NAME BAPI_XMI_SET_AUDITLEVEL
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETMLHIS
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETTIDBYNAME
S_RFC RFC_NAME BAPI_SYSTEM_MS_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETLIST
S_RFC RFC_NAME BAPI_SYSTEM_MON_GETTREE
S_RFC RFC_NAME BAPI_SYSTEM_MTE_GETPERFCURVAL
S_RFC RFC_NAME BAPI_SYSTEM_MT_GETALERTDATA
S_RFC RFC_NAME BAPI_SYSTEM_ALERT_ACKNOWLEDGE
S_ADMI_FCD S_ADMI_FCD AUDD (autenticación de visualización de auditoría de base).
S_SAL SAL_ACTVT SHOW_LOG (evaluar el registro basado en archivos)
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Mostrar
S_USER_GRP CLASS SUPER
S_USER_GRP ACTVT Lock
S_XMI_PROD EXTCOMPANY Microsoft
S_XMI_PROD EXTPRODUCT Azure Sentinel
S_XMI_PROD INTERFACE XAL

Registros de spool de ABAP

Objeto de autorización Campo Value
S_TABU_NAM TABLE TSP01
S_ADMI_FCD S_ADMI_FCD SPOS (uso de la transacción SP01 (todos los sistemas))

Registro de flujo de trabajo de ABAP

Objeto de autorización Campo Value
S_TABU_NAM TABLE SWWLOGHIST
S_TABU_NAM TABLE SWWWIHEAD

Todos los registros

Objeto de autorización Campo Value
S_RFC RFC_TYPE Módulo de función
S_RFC RFC_NAME /OSP/SYSTEM_TIMEZONE
S_RFC RFC_NAME DDIF_FIELDINFO_GET
S_RFC RFC_NAME RFCPING
S_RFC RFC_NAME RFC_GET_FUNCTION_INTERFACE
S_RFC RFC_NAME RFC_READ_TABLE
S_RFC RFC_NAME RFC_SYSTEM_INFO
S_RFC RFC_NAME SUSR_USER_AUTH_FOR_OBJ_GET
S_RFC RFC_NAME TH_SERVER_LIST
S_RFC ACTVT Execute
S_TCODE TCD SM51
S_TABU_NAM ACTVT Mostrar
S_TABU_NAM TABLE T000

Acciones de respuesta a la interrupción del ataque

Objeto de autorización Campo Value
S_RFC RFC_TYPE Módulo de función
S_RFC RFC_NAME BAPI_USER_LOCK
S_RFC RFC_NAME BAPI_USER_UNLOCK
S_RFC RFC_NAME TH_DELETE_USER
A diferencia de su nombre, esta función no elimina usuarios, sino que finaliza la sesión de usuario activa.
S_USER_GRP CLASS *
Recomendamos sustituir S_USER_GRP CLASS por las clases relevantes de su organización que representen a los usuarios de diálogo.
S_USER_GRP ACTVT 03
S_USER_GRP ACTVT 05

Historial de configuraciones

Objeto de autorización Campo Value
S_TABU_NAM TABLE PAHI

Registros opcionales, si se ha implementado el CR de la solución Microsoft Sentinel

Objeto de autorización Campo Value
S_RFC RFC_NAME /MSFTSEN/*

Datos de SNC

Objeto de autorización Campo Value
S_TABU_NAM TABLE SNCSYSACL
S_TABU_NAM TABLE USRACL

Datos de usuario

Objeto de autorización Campo Value
S_TABU_NAM TABLE ADCP
S_TABU_NAM TABLE ADR6
S_TABU_NAM TABLE AGR_1251
S_TABU_NAM TABLE AGR_AGRS
S_TABU_NAM TABLE AGR_DEFINE
S_TABU_NAM TABLE AGR_FLAGS
S_TABU_NAM TABLE AGR_PROF
S_TABU_NAM TABLE AGR_TCODES
S_TABU_NAM TABLE AGR_USERS
S_TABU_NAM TABLE DEVACCESS
S_TABU_NAM TABLE USER_ADDR
S_TABU_NAM TABLE USGRP_USER
S_TABU_NAM TABLE USR01
S_TABU_NAM TABLE USR02
S_TABU_NAM TABLE USR05
S_TABU_NAM TABLE USR21
S_TABU_NAM TABLE USRSTAMP
S_TABU_NAM TABLE UST04

Para obtener más información, consulte Configuración del sistema SAP para la solución Microsoft Sentinel.