疑わしい構成変更を検出するための監視対象 SAP セキュリティ パラメーター
この記事では、SAP アプリケーション用の Microsoft Sentinel ソリューションが SAP の一部として監視する SAP システムの静的セキュリティ パラメーターの一覧を示します 。
SAP アプリケーション用の Microsoft Sentinel ソリューションは、SAP のベスト プラクティスの変更に従って、このコンテンツの更新プログラムを提供します。 組織のニーズに応じて値を変更して監視するパラメーターを追加し、SAPSystemParameters ウォッチリストの特定のパラメーターをオフにします。
この記事では、パラメーターについて説明しません。また、パラメーターを構成するための推奨事項ではありません。 構成に関する考慮事項については、SAP 管理者に問い合わせてください。 パラメーターの説明については、SAP ドキュメントを参照してください。
この記事の内容は、SAP BASIS チームを対象としています。
前提条件
SAP アプリケーション用の Microsoft Sentinel ソリューションで SAP セキュリティ パラメーターを正常に監視するには、ソリューションで SAP PAHI テーブルを定期的に正常に監視する必要があります。 詳細については、「PAHI テーブルが定期的に更新されることを確認する」を参照してください。
認証パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| auth/no_check_in_some_cases | このパラメーターはパフォーマンスを向上させる可能性もありますが、ユーザーがアクセス許可を持っていない可能性のあるアクションを実行できるようにすることで、セキュリティ リスクを引き起こす可能性もあります。 |
| auth/object_disabling_active | 不要なアクセス許可を持つ非アクティブなアカウントの数が削減されて、セキュリティの向上に役立ちます。 |
| auth/rfc_authority_check | 高。 このパラメーターを有効にすると、RFC を介した機密データと関数への不正アクセスを防ぐことができます。 |
ゲートウェイ パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| gw/accept_remote_trace_level | パラメーターは、外部システムから受け入れられるトレース レベルを制限するように構成できます。 トレース レベルを低く設定すると、外部システムが SAP システムの内部作業に関して取得できる情報の量が減る可能性があります。 |
| gw/acl_mode | 高。 このパラメーターは、ゲートウェイへのアクセスを制御し、SAP システムへの未承認のアクセスを防ぐのに役立ちます。 |
| gw/logging | 高。 このパラメーターを使用して、疑わしいアクティビティや潜在的なセキュリティ侵害を監視および検出できます。 |
| gw/monitor | |
| gw/sim_mode | このパラメーターを有効にすると、テスト目的に役立つ場合があり、ターゲット システムに意図しない変更が加えられるのを防ぐのに役立ちます。 |
Internet Communication Manager (ICM) パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| icm/accept_remote_trace_level | Medium リモート トレース レベルの変更を許可すると、攻撃者に貴重な診断情報が提供され、システムのセキュリティが侵害される可能性があります。 |
サインイン パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| login/accept_sso2_ticket | SSO2 を有効にすると、より合理化された便利なユーザー エクスペリエンスが提供されるだけでなく、追加のセキュリティ リスクも発生します。 攻撃者が有効な SSO2 チケットにアクセスすると、正当なユーザーを偽装し、機密データへの不正アクセスを取得したり、悪意のあるアクションを実行したりする可能性があります。 |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | このパラメーターは、ユーザーが一度に 1 つのセッションにのみログインするようになるため、セキュリティの向上に役立ちます。 |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | 高。 このパラメーターは、ユーザー アカウントに対するブルート フォース攻撃を防ぐのに役立ちます。 |
| login/fails_to_user_lock | システムへの不正アクセスを防ぎ、ユーザー アカウントが侵害されないように保護するのに役立ちます。 |
| login/min_password_diff | 高。 文字の違いを最小限に抑える必要があると、ユーザーが簡単に推測できる脆弱なパスワードを選択できなくなる可能性があります。 |
| login/min_password_digits | 高。 このパラメーターにより、パスワードの複雑さが増し、推測や解読が困難になります。 |
| login/min_password_letters | ユーザーのパスワードに含める必要がある最小文字数を指定します。 値を大きく設定すると、パスワードの強度とセキュリティの向上に役立ちます。 |
| login/min_password_lng | パスワードに使用できる最小長を指定します。 このパラメーターの値を大きく設定すると、パスワードが簡単に推測されないようなるため、セキュリティが向上します。 |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | このパラメーターを有効にすると、1 人のユーザーの同時ログイン数を制限して、SAP システムへの不正アクセスを防ぐのに役立ちます。 このパラメーターを 0設定すると、ユーザーごとに 1 つのログイン セッションのみが許可され、他のログイン試行は拒否されます。 これは、ユーザーのログイン資格情報が侵害されたり、他のユーザーと共有されたりした場合の SAP システムへの不正アクセスを防ぐのに役立ちます。 |
| login/no_automatic_user_sapstar | 高。 このパラメーターは、既定の SAP* アカウントを使用して SAP システムへの未承認のアクセスを防ぐのに役立ちます。 |
| login/password_change_for_SSO | 高。 パスワードの変更を適用すると、フィッシングやその他の方法で有効な資格情報を取得した可能性がある攻撃者によるシステムへの不正アクセスを防ぐことができます。 |
| login/password_change_waittime | このパラメーターに適切な値を設定すると、SAP システムのセキュリティを維持するのに十分な頻度でパスワードをユーザーに変更させるのに役立ちます。 同時に、待機時間を短く設定すると、ユーザーがパスワードを再利用したり、覚えやすい脆弱なパスワードを選択したりする可能性が高くなるため、逆効果になる可能性があります。 |
| login/password_compliance_to_current_policy | 高。 このパラメーターを有効にすると、パスワードを変更するときにユーザーが現在のパスワード ポリシーに準拠していることを確認するのに役立つため、SAP システムへの不正アクセスのリスクが削減されます。 このパラメーターを 1 に設定すると、ユーザーはパスワードを変更するときに、現在のパスワード ポリシーに準拠するように求められます。 |
| login/password_downwards_compatibility | |
| login/password_expiration_time | このパラメーターを小さい値に設定すると、パスワードが頻繁に変更されるようになるため、セキュリティが向上します。 |
| login/password_history_size | このパラメーターは、ユーザーが同じパスワードを繰り返し使用するのを防ぐため、セキュリティが向上する可能性があります。 |
| login/password_max_idle_initial | このパラメーターの値を小さく設定すると、アイドル状態のセッションが長期間開いたままにならないようになるため、セキュリティが向上する可能性があります。 |
| login/ticket_only_by_https | 高。 チケット転送に HTTPS を使用すると、転送中のデータが暗号化され、セキュリティが強化されます。 |
リモート ディスパッチャー パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| rdisp/gui_auto_logout | 高。 非アクティブなユーザーを自動的にログアウトすると、ユーザーのワークステーションにアクセスできる可能性がある攻撃者によるシステムへの不正アクセスを防ぐことができます。 |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | パスワード ポリシーを適用し、SAP システムへの不正アクセスを防ぐときには、このパラメーターの有効化が役立ちます。 このパラメーターが 1設定されている場合、ユーザーのパスワードの有効期限が切れた場合、RFC 接続は拒否され、ユーザーは接続する前にパスワードの変更を求められます。 このため、有効なパスワードを持つ認可済みのユーザーのみがシステムにアクセスできるようになります。 |
| rsau/enable | 高。 このセキュリティ監査ログは、セキュリティ インシデントを検出して調査するための貴重な情報を提供できます。 |
| rsau/max_diskspace/local | このパラメーターに適切な値を設定すると、システム パフォーマンスの問題やサービス拒否攻撃ももたらす可能性がある、ローカル監査ログでのディスク領域の過剰消費を防ぐのに役立ちます。 一方、値が低すぎると、監査ログ データが失われる可能性があります。これは、コンプライアンスと監査に必要になる可能性があります。 |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | 適切な値を設定すると、監査ファイルのサイズを管理し、ストレージの問題を回避するのに役立ちます。 |
| rsau/selection_slots | セキュリティ侵害の場合に役立つ可能性がある監査ファイルが長期間保持されるようにするのに役立ちます。 |
| rspo/auth/pagelimit | このパラメーターは、SAP システムのセキュリティに直接影響を与えるわけではありませんが、機密性の高い認証データへの不正アクセスを防ぐのに役立ちます。 ページごとに表示されるエントリの数を制限すると、未承認の個人が機密性の高い認証情報を表示するリスクを削減できます。 |
セキュリティで保護されたネットワーク通信 (SNC) パラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| snc/accept_insecure_cpic | このパラメーターを有効にすると、最小限のセキュリティ標準を満たさない SNC で保護された接続を受け入れるため、データのインターセプトや操作のリスクが高くなる可能性があります。 このため、このパラメーターの推奨されるセキュリティ値は、0 に設定することです。これは、最小セキュリティ要件を満たす SNC 接続のみが受け入れられることを意味します。 |
| snc/accept_insecure_gui | SAP GUI 経由で確立された SNC 接続のセキュリティを確保し、機密データへの不正アクセスやインターセプトのリスクを削減するため、このパラメーターの値は 0 に設定することをお勧めします。 安全でない SNC 接続を許可すると、機密情報への不正アクセスやデータ傍受のリスクが高まる可能性があり、特定のニーズがあり、リスクが適切に評価されている場合にのみ行う必要があります。 |
| snc/accept_insecure_r3int_rfc | このパラメーターを有効にすると、最小限のセキュリティ標準を満たさない SNC で保護された接続を受け入れるため、データのインターセプトや操作のリスクが高くなる可能性があります。 このため、このパラメーターの推奨されるセキュリティ値は、0 に設定することです。これは、最小セキュリティ要件を満たす SNC 接続のみが受け入れられることを意味します。 |
| snc/accept_insecure_rfc | このパラメーターを有効にすると、最小限のセキュリティ標準を満たさない SNC で保護された接続を受け入れるため、データのインターセプトや操作のリスクが高くなる可能性があります。 このため、このパラメーターの推奨されるセキュリティ値は、0 に設定することです。これは、最小セキュリティ要件を満たす SNC 接続のみが受け入れられることを意味します。 |
| snc/data_protection/max | このパラメーターに高い値を設定すると、データ保護のレベルが上がり、データのインターセプトや操作のリスクが削減されます。 このパラメーターに推奨されるセキュリティ値は、組織の固有のセキュリティ要件とリスク管理戦略によって異なります。 |
| snc/data_protection/min | このパラメーターに適切な値を設定すると、SNC で保護された接続が最小限のレベルのデータ保護を提供します。 この設定は、機密情報が攻撃者によってインターセプトまたは操作されるのを防ぐのに役立ちます。 このパラメーターの値は、SAP システムのセキュリティ要件と、SNC で保護された接続経由で送信されるデータの機密度に基づいて設定する必要があります。 |
| snc/data_protection/use | |
| snc/enable | 有効にすると、SNC はシステム間で送信されるデータを暗号化して、追加のセキュリティ層を提供します。 |
| snc/extid_login_diag | このパラメーターを有効にすると、追加の診断情報が提供されるため、SNC 関連の問題のトラブルシューティングに役立ちます。 ただし、このパラメーターは、システムによって使用される外部セキュリティ製品に関する機密情報を公開する可能性もあります。これは、その情報が間違った手に渡った場合に潜在的なセキュリティ リスクになる可能性があります。 |
| snc/extid_login_rfc |
Web ディスパッチャーのパラメーター
| パラメーター | セキュリティ値/考慮事項 |
|---|---|
| wdisp/ssl_encrypt | 高。 このパラメーターにより、HTTP 経由で送信されるデータが暗号化され、傍受やデータの改ざんを防ぐことができます。 |
関連するコンテンツ
詳細については、以下を参照してください: