Compartir vía


Parámetros de seguridad de SAP supervisados para detectar cambios de configuración sospechosos

En este artículo se enumeran los parámetros de seguridad estáticos en el sistema SAP que supervisa la solución microsoft Sentinel para aplicaciones de SAP como parte del parámetro estático confidencial de SAP (versión preliminar) ha cambiado la regla de análisis.

La solución Microsoft Sentinel para aplicaciones de SAP proporciona actualizaciones para este contenido según los cambios de procedimientos recomendados de SAP. Agregue parámetros para ver cambiando los valores según las necesidades de su organización y desactive parámetros específicos en la lista de seguimiento de SAPSystemParameters.

En este artículo no se describen los parámetros y no se recomienda configurar los parámetros. Para conocer las consideraciones de configuración, consulte a los administradores de SAP. Para obtener descripciones de parámetros, consulte la documentación de SAP.

El contenido de este artículo está destinado a los equipos de SAP BASIS.

Requisitos previos

Para que la solución Microsoft Sentinel para aplicaciones sap supervise correctamente los parámetros de seguridad de SAP, la solución debe supervisar correctamente la tabla PAHI de SAP a intervalos regulares. Para obtener más información, consulte Comprobar que la tabla PAHI se actualiza a intervalos regulares.

Parámetros de autenticación

Parámetro Valor o consideraciones de seguridad
auth/no_check_in_some_cases Aunque este parámetro puede mejorar el rendimiento, también puede suponer un riesgo de seguridad al permitir que los usuarios realicen acciones para las que podrían no tener permiso.
auth/object_disabling_active Puede ayudar a mejorar la seguridad al reducir el número de cuentas inactivas con permisos innecesarios.
auth/rfc_authority_check Alto. La habilitación de este parámetro ayuda a evitar el acceso no autorizado a datos confidenciales y funciones a través de RFC.

Parámetros de la puerta de enlace

Parámetro Valor o consideraciones de seguridad
gw/accept_remote_trace_level El parámetro se puede configurar para restringir el nivel de seguimiento aceptado desde sistemas externos. Establecer un nivel de seguimiento inferior podría reducir la cantidad de información que los sistemas externos pueden obtener sobre los trabajos internos del sistema SAP.
gw/acl_mode Alto. Este parámetro controla el acceso a la puerta de enlace y ayuda a evitar el acceso no autorizado al sistema SAP.
gw/logging Alto. Este parámetro se puede usar para supervisar y detectar actividades sospechosas o posibles infracciones de seguridad.
gw/monitor
gw/sim_mode Habilitar este parámetro puede ser útil con fines de prueba y puede ayudar a evitar cualquier cambio no deseado en el sistema de destino.

Parámetros de Internet Communication Manager (ICM)

Parámetro Valor o consideraciones de seguridad
icm/accept_remote_trace_level media

Permitir cambios en el nivel de seguimiento remoto puede proporcionar información de diagnóstico valiosa a los atacantes y poner en peligro la seguridad del sistema.

Parámetros de inicio de sesión

Parámetro Valor o consideraciones de seguridad
login/accept_sso2_ticket La habilitación del inicio de sesión único (SSO2) puede proporcionar una experiencia de usuario más simplificada y cómoda, pero también presenta riesgos de seguridad adicionales. Si un atacante obtiene acceso a un vale de SSO2 válido, es posible que pueda suplantar a un usuario legítimo y obtener acceso no autorizado a datos confidenciales o realizar acciones malintencionadas.
login/create_sso2_ticket
login/disable_multi_gui_login Este parámetro puede ayudar a mejorar la seguridad al garantizar que los usuarios solo inicien una sesión a la vez.
login/failed_user_auto_unlock
login/fails_to_session_end Alto. Este parámetro ayuda a evitar ataques por fuerza bruta en cuentas de usuario.
login/fails_to_user_lock Ayuda a evitar el acceso no autorizado al sistema y ayuda a proteger las cuentas de usuario para que no se vean comprometidos.
login/min_password_diff Alto. Requerir un número mínimo de diferencias de caracteres puede ayudar a evitar que los usuarios elijan contraseñas débiles que se puedan adivinar fácilmente.
login/min_password_digits Alto. Este parámetro aumenta la complejidad de las contraseñas y hace que sean más difíciles de adivinar o descifrar.
login/min_password_letters Indica la cantidad mínima de letras que se deben incluir en la contraseña de un usuario. Establecer un valor mayor ayuda a aumentar la seguridad de la contraseña.
login/min_password_lng Especifica la longitud mínima que puede tener una contraseña. Establecer un valor mayor para este parámetro puede mejorar la seguridad, lo que garantiza que las contraseñas no se adivinan fácilmente.
login/min_password_lowercase
login/min_password_specials
login/min_password_uppercase
login/multi_login_users Habilitar este parámetro puede ayudar a evitar el acceso no autorizado a los sistemas SAP al limitar el número de inicios de sesión simultáneos de un único usuario. Cuando este parámetro se establece 0en , solo se permite una sesión de inicio de sesión por usuario y se rechazan otros intentos de inicio de sesión. Esto puede ayudar a evitar el acceso no autorizado a los sistemas SAP en caso de que las credenciales de inicio de sesión de un usuario estén en peligro o se compartan con otros usuarios.
login/no_automatic_user_sapstar Alto. Este parámetro ayuda a evitar el acceso no autorizado al sistema SAP a través de la cuenta predeterminada de SAP*.
login/password_change_for_SSO Alto. La aplicación de cambios de contraseña puede ayudar a evitar el acceso no autorizado al sistema por parte de los atacantes que podrían haber obtenido credenciales válidas a través de suplantación de identidad u otros medios.
login/password_change_waittime Establecer un valor adecuado para este parámetro puede ayudar a garantizar que los usuarios cambien sus contraseñas con regularidad para mantener la seguridad del sistema SAP. Al mismo tiempo, establecer el tiempo de espera demasiado corto puede ser productivo, ya que los usuarios pueden ser más propensos a reutilizar contraseñas o elegir contraseñas débiles que son más fáciles de recordar.
login/password_compliance_to_current_policy Alta. Habilitar este parámetro puede ayudar a garantizar que los usuarios cumplan la directiva de contraseñas actual al cambiar las contraseñas, lo que reduce el riesgo de acceso no autorizado a los sistemas SAP. Cuando este parámetro se establece en 1, se pide a los usuarios que cumplan la directiva de contraseñas actual al cambiar sus contraseñas.
login/password_downwards_compatibility
login/password_expiration_time Establecer este parámetro en un valor inferior puede mejorar la seguridad, lo que garantiza que las contraseñas se cambian con frecuencia.
login/password_history_size Este parámetro impide que los usuarios repitan el uso de las mismas contraseñas, lo que puede mejorar la seguridad.
login/password_max_idle_initial Establecer un valor inferior para este parámetro puede mejorar la seguridad, lo que garantiza que las sesiones inactivas no se dejan abiertas durante largos períodos de tiempo.
login/ticket_only_by_https Alto. El uso de HTTPS para la transmisión de vales cifra los datos en tránsito, lo que hace que sea más seguro.

Parámetros del distribuidor remoto

Parámetro Valor o consideraciones de seguridad
rdisp/gui_auto_logout Alto. el cierre de sesión automático de los usuarios inactivos puede ayudar a evitar el acceso no autorizado al sistema por parte de los atacantes que puedan tener acceso a la estación de trabajo de un usuario.
rfc/ext_debugging
rfc/reject_expired_passwd Habilitar este parámetro puede resultar útil al aplicar directivas de contraseña y evitar el acceso no autorizado a los sistemas SAP. Cuando este parámetro se establece 1en , se rechazan las conexiones RFC si la contraseña del usuario ha expirado y se pide al usuario que cambie su contraseña antes de poder conectarse. Esto ayuda a garantizar que solo los usuarios autorizados con contraseñas válidas puedan acceder al sistema.
rsau/enable Alto. Este registro de auditoría de seguridad puede proporcionar información valiosa para detectar e investigar incidentes de seguridad.
rsau/max_diskspace/local Establecer un valor adecuado para este parámetro ayuda a evitar que los registros de auditoría locales consuman demasiado espacio en disco, lo que podría provocar problemas de rendimiento del sistema o incluso ataques por denegación de servicio. Por otro lado, establecer un valor demasiado bajo podría dar lugar a la pérdida de datos del registro de auditoría, lo que podría ser necesario para el cumplimiento y la auditoría.
rsau/max_diskspace/per_day
rsau/max_diskspace/per_file Establecer un valor adecuado ayuda a administrar el tamaño de los archivos de auditoría y a evitar problemas de almacenamiento.
rsau/selection_slots Ayuda a garantizar que los archivos de auditoría se conserven durante un período de tiempo más largo, lo que puede ser útil en una vulneración a la seguridad.
rspo/auth/pagelimit Este parámetro no afecta directamente a la seguridad del sistema SAP, pero puede ayudar a evitar el acceso no autorizado a los datos de autorización confidenciales. Al limitar la cantidad de entradas que se muestran por página, puede reducir el riesgo de personas no autorizadas que vean información de autorización confidencial.

Parámetros de comunicaciones de red seguras (SNC)

Parámetro Valor o consideraciones de seguridad
snc/accept_insecure_cpic La habilitación de este parámetro puede aumentar el riesgo de interceptación o manipulación de datos, ya que acepta conexiones protegidas con SNC que no cumplen los estándares de seguridad mínimos. Por lo tanto, el valor de seguridad recomendado para este parámetro es establecerlo en 0, lo que significa que solo se aceptan conexiones de SNC que cumplen los requisitos de seguridad mínimos.
snc/accept_insecure_gui Se recomienda establecer el valor de este parámetro en 0 para asegurarse de que las conexiones de SNC hechas mediante la GUI de SAP son seguras y reducir el riesgo de acceso o interceptación no autorizados de datos confidenciales. Permitir conexiones SNC no seguras podría aumentar el riesgo de acceso no autorizado a información confidencial o interceptación de datos, y solo debe realizarse cuando haya una necesidad específica y se evalúen correctamente los riesgos.
snc/accept_insecure_r3int_rfc La habilitación de este parámetro puede aumentar el riesgo de interceptación o manipulación de datos, ya que acepta conexiones protegidas con SNC que no cumplen los estándares de seguridad mínimos. Por lo tanto, el valor de seguridad recomendado para este parámetro es establecerlo en 0, lo que significa que solo se aceptan conexiones de SNC que cumplen los requisitos de seguridad mínimos.
snc/accept_insecure_rfc La habilitación de este parámetro puede aumentar el riesgo de interceptación o manipulación de datos, ya que acepta conexiones protegidas con SNC que no cumplen los estándares de seguridad mínimos. Por lo tanto, el valor de seguridad recomendado para este parámetro es establecerlo en 0, lo que significa que solo se aceptan conexiones de SNC que cumplen los requisitos de seguridad mínimos.
snc/data_protection/max Establecer un valor alto para este parámetro puede aumentar el nivel de protección de datos y reducir el riesgo de interceptación o manipulación de datos. El valor de seguridad recomendado para este parámetro depende de los requisitos de seguridad específicos de la organización y de la estrategia de administración de riesgos.
snc/data_protection/min Establecer un valor adecuado para este parámetro ayuda a garantizar que las conexiones protegidas por SNC proporcionen un nivel mínimo de protección de datos. Esta configuración ayuda a evitar que los atacantes intercepten o manipulen información confidencial. El valor de este parámetro debe establecerse en función de los requisitos de seguridad del sistema SAP y de la confidencialidad de los datos transmitidos a través de conexiones protegidas por SNC.
snc/data_protection/use
snc/enable Cuando se habilita, SNC proporciona una capa adicional de seguridad mediante el cifrado de datos transmitidos entre sistemas.
snc/extid_login_diag Habilitar este parámetro puede resultar útil para solucionar problemas relacionados con SNC, ya que proporciona información de diagnóstico adicional. Sin embargo, el parámetro también podría exponer información confidencial sobre los productos de seguridad externos utilizados por el sistema, lo que podría ser un riesgo de seguridad potencial si esa información entra en manos equivocadas.
snc/extid_login_rfc

Parámetros de Web Dispatcher

Parámetro Valor o consideraciones de seguridad
wdisp/ssl_encrypt Alto. Este parámetro garantiza que los datos transmitidos a través de HTTP se cifren, lo que ayuda a evitar la interceptación y la manipulación de datos.

Para más información, vea: