Bewaakte SAP-beveiligingsparameters voor het detecteren van verdachte configuratiewijzigingen
In dit artikel worden de statische beveiligingsparameters in het SAP-systeem vermeld die door de Microsoft Sentinel-oplossing voor SAP-toepassingen worden bewaakt als onderdeel van de gevoelige statische parameter SAP - (preview) is de analyseregel gewijzigd.
De Microsoft Sentinel-oplossing voor SAP-toepassingen biedt updates voor deze inhoud op basis van wijzigingen in sap best practice. Voeg parameters toe waarop u moet letten door waarden te wijzigen volgens de behoeften van uw organisatie en schakel specifieke parameters uit in de sapSystemParameters-watchlist.
In dit artikel worden de parameters niet beschreven en is geen aanbeveling om de parameters te configureren. Raadpleeg uw SAP-beheerders voor configuratieoverwegingen. Zie de SAP-documentatie voor parameterbeschrijvingen.
Inhoud in dit artikel is bedoeld voor uw SAP BASIS-teams .
Vereisten
De Microsoft Sentinel-oplossing voor SAP-toepassingen om de SAP-beveiligingsparameters te bewaken, moet de oplossing de SAP PAHI-tabel regelmatig bewaken. Zie Controleren of de PAHI-tabel regelmatig wordt bijgewerkt voor meer informatie.
Verificatieparameters
| Parameter | Beveiligingswaarde/overwegingen |
|---|---|
| auth/no_check_in_some_cases | Hoewel deze parameter de prestaties kan verbeteren, kan deze ook een beveiligingsrisico vormen door gebruikers toe te staan acties uit te voeren waarvoor ze mogelijk geen toestemming hebben. |
| verificatie/object_disabling_active | Kan de beveiliging verbeteren door het aantal inactieve accounts met onnodige machtigingen te verminderen. |
| verificatie/rfc_authority_check | Hoog. Als u deze parameter inschakelt, voorkomt u onbevoegde toegang tot gevoelige gegevens en functies via RFC's. |
Gatewayparameters
| Parameter | Beveiligingswaarde/overwegingen |
|---|---|
| gw/accept_remote_trace_level | De parameter kan worden geconfigureerd om het traceringsniveau te beperken dat door externe systemen wordt geaccepteerd. Als u een lager traceringsniveau instelt, kan de hoeveelheid informatie die externe systemen kunnen verkrijgen over de interne werking van het SAP-systeem verminderen. |
| gw/acl_mode | Hoog. Met deze parameter wordt de toegang tot de gateway beheerd en wordt onbevoegde toegang tot het SAP-systeem voorkomen. |
| gw/logging | Hoog. Deze parameter kan worden gebruikt voor het bewaken en detecteren van verdachte activiteiten of mogelijke beveiligingsschendingen. |
| gw/monitor | |
| gw/sim_mode | Het inschakelen van deze parameter kan handig zijn voor testdoeleinden en kan helpen onbedoelde wijzigingen in het doelsysteem te voorkomen. |
ICM-parameters (Internet Communication Manager)
| Parameter | Beveiligingswaarde/overwegingen |
|---|---|
| icm/accept_remote_trace_level | Gemiddeld Het toestaan van wijzigingen op het niveau van externe tracering kan waardevolle diagnostische informatie bieden aan aanvallers en mogelijk systeembeveiliging in gevaar brengen. |
Aanmeldingsparameters
| Parameter | Beveiligingswaarde/overwegingen |
|---|---|
| login/accept_sso2_ticket | Het inschakelen van SSO2 kan een meer gestroomlijnde en handige gebruikerservaring bieden, maar brengt ook extra beveiligingsrisico's met zich mee. Als een aanvaller toegang krijgt tot een geldig SSO2-ticket, kan deze mogelijk een legitieme gebruiker imiteren en onbevoegde toegang krijgen tot gevoelige gegevens of schadelijke acties uitvoeren. |
| aanmelden/create_sso2_ticket | |
| aanmelden/disable_multi_gui_login | Met deze parameter kunt u de beveiliging verbeteren door ervoor te zorgen dat gebruikers slechts bij één sessie tegelijk zijn aangemeld. |
| aanmelden/failed_user_auto_unlock | |
| aanmelden/fails_to_session_end | Hoog. Deze parameter helpt beveiligingsaanvallen op gebruikersaccounts te voorkomen. |
| login/fails_to_user_lock | Helpt onbevoegde toegang tot het systeem te voorkomen en helpt gebruikersaccounts te beschermen tegen inbreuk. |
| login/min_password_diff | Hoog. Het vereisen van een minimum aantal tekenverschillen kan helpen voorkomen dat gebruikers zwakke wachtwoorden kiezen die gemakkelijk kunnen worden geraden. |
| aanmelden/min_password_digits | Hoog. Deze parameter verhoogt de complexiteit van wachtwoorden en maakt ze moeilijker te raden of te kraken. |
| aanmelden/min_password_letters | Hiermee geeft u het minimum aantal letters op dat moet worden opgenomen in het wachtwoord van een gebruiker. Het instellen van een hogere waarde helpt de wachtwoordsterkte en -beveiliging te verhogen. |
| aanmelden/min_password_lng | Hiermee geeft u de minimale lengte op die een wachtwoord kan zijn. Het instellen van een hogere waarde voor deze parameter kan de beveiliging verbeteren door ervoor te zorgen dat wachtwoorden niet gemakkelijk worden geraden. |
| aanmelden/min_password_lowercase | |
| aanmelden/min_password_specials | |
| login/min_password_uppercase | |
| aanmelden/multi_login_users | Als u deze parameter inschakelt, kan onbevoegde toegang tot SAP-systemen worden voorkomen door het aantal gelijktijdige aanmeldingen voor één gebruiker te beperken. Wanneer deze parameter is ingesteld op 0, is slechts één aanmeldingssessie per gebruiker toegestaan en worden andere aanmeldingspogingen geweigerd. Dit kan helpen onbevoegde toegang tot SAP-systemen te voorkomen als de aanmeldingsreferenties van een gebruiker worden aangetast of gedeeld met anderen. |
| aanmelden/no_automatic_user_sapstar | Hoog. Deze parameter helpt onbevoegde toegang tot het SAP-systeem te voorkomen via het standaard SAP*-account. |
| aanmelden/password_change_for_SSO | Hoog. Het afdwingen van wachtwoordwijzigingen kan helpen onbevoegde toegang tot het systeem te voorkomen door aanvallers die mogelijk geldige referenties hebben verkregen via phishing of andere middelen. |
| aanmelden/password_change_waittime | Het instellen van een geschikte waarde voor deze parameter kan ervoor zorgen dat gebruikers hun wachtwoorden regelmatig genoeg wijzigen om de beveiliging van het SAP-systeem te behouden. Tegelijkertijd kan het instellen van de te korte wachttijd contraproductief zijn, omdat gebruikers mogelijk vaker wachtwoorden opnieuw gebruiken of zwakke wachtwoorden kiezen die gemakkelijker te onthouden zijn. |
| login/password_compliance_to_current_policy | Hoog. Als u deze parameter inschakelt, kan ervoor worden gezorgd dat gebruikers voldoen aan het huidige wachtwoordbeleid bij het wijzigen van wachtwoorden, waardoor het risico op onbevoegde toegang tot SAP-systemen wordt beperkt. Wanneer deze parameter is ingesteld 1op, wordt gebruikers gevraagd om te voldoen aan het huidige wachtwoordbeleid wanneer ze hun wachtwoorden wijzigen. |
| login/password_downwards_compatibility | |
| aanmelden/password_expiration_time | Als u deze parameter instelt op een lagere waarde, kunt u de beveiliging verbeteren door ervoor te zorgen dat wachtwoorden regelmatig worden gewijzigd. |
| aanmelden/password_history_size | Deze parameter voorkomt dat gebruikers herhaaldelijk dezelfde wachtwoorden gebruiken, waardoor de beveiliging kan worden verbeterd. |
| aanmelden/password_max_idle_initial | Het instellen van een lagere waarde voor deze parameter kan de beveiliging verbeteren door ervoor te zorgen dat niet-actieve sessies gedurende langere tijd niet open blijven. |
| aanmelden/ticket_only_by_https | Hoog. Het gebruik van HTTPS voor tickettransmissie versleutelt de gegevens die onderweg zijn, waardoor deze veiliger zijn. |
Parameters voor externe dispatcher
| Parameter | Beveiligingswaarde/overwegingen |
|---|---|
| rdisp/gui_auto_logout | Hoog. automatisch afmelden bij inactieve gebruikers kan helpen onbevoegde toegang tot het systeem te voorkomen door aanvallers die mogelijk toegang hebben tot het werkstation van een gebruiker. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Het inschakelen van deze parameter kan handig zijn bij het afdwingen van wachtwoordbeleid en het voorkomen van onbevoegde toegang tot SAP-systemen. Wanneer deze parameter is ingesteld op 1, worden RFC-verbindingen geweigerd als het wachtwoord van de gebruiker is verlopen en wordt de gebruiker gevraagd om het wachtwoord te wijzigen voordat deze verbinding kan maken. Dit zorgt ervoor dat alleen geautoriseerde gebruikers met geldige wachtwoorden toegang hebben tot het systeem. |
| rsau/enable | Hoog. Dit beveiligingscontrolelogboek kan waardevolle informatie bieden voor het detecteren en onderzoeken van beveiligingsincidenten. |
| rsau/max_diskspace/local | Het instellen van een geschikte waarde voor deze parameter helpt voorkomen dat de lokale auditlogboeken te veel schijfruimte verbruiken, wat kan leiden tot systeemprestatieproblemen of zelfs Denial of Service-aanvallen. Aan de andere kant kan het instellen van een waarde die te laag is, leiden tot verlies van auditlogboekgegevens, wat mogelijk vereist is voor naleving en controle. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Door een geschikte waarde in te stellen, kunt u de grootte van auditbestanden beheren en opslagproblemen voorkomen. |
| rsau/selection_slots | Helpt ervoor te zorgen dat auditbestanden gedurende langere tijd worden bewaard, wat nuttig kan zijn in een beveiligingsschending. |
| rspo/auth/pagelimit | Deze parameter is niet rechtstreeks van invloed op de beveiliging van het SAP-systeem, maar kan helpen om onbevoegde toegang tot gevoelige autorisatiegegevens te voorkomen. Door het aantal vermeldingen dat per pagina wordt weergegeven, te beperken, kan het risico worden beperkt dat onbevoegde personen gevoelige autorisatiegegevens bekijken. |
SNC-parameters (Secure Network Communications)
| Parameter | Beveiligingswaarde/overwegingen |
|---|---|
| snc/accept_insecure_cpic | Als u deze parameter inschakelt, kan het risico op gegevensonderschepping of -manipulatie toenemen, omdat hiermee beveiligde SNC-verbindingen worden geaccepteerd die niet voldoen aan de minimale beveiligingsstandaarden. Daarom moet de aanbevolen beveiligingswaarde voor deze parameter worden ingesteld 0op, wat betekent dat alleen SNC-verbindingen die voldoen aan de minimale beveiligingsvereisten worden geaccepteerd. |
| snc/accept_insecure_gui | Het instellen van de waarde van deze parameter 0 wordt aanbevolen om ervoor te zorgen dat SNC-verbindingen die via de SAP-GUI zijn gemaakt, veilig zijn en om het risico op onbevoegde toegang of onderschepping van gevoelige gegevens te verminderen. Het toestaan van onveilige SNC-verbindingen kan het risico op onbevoegde toegang tot gevoelige informatie of gegevensonderschepping verhogen en mag alleen worden uitgevoerd wanneer er een specifieke behoefte is en de risico's correct worden beoordeeld. |
| snc/accept_insecure_r3int_rfc | Als u deze parameter inschakelt, kan het risico op gegevensonderschepping of -manipulatie toenemen, omdat hiermee beveiligde SNC-verbindingen worden geaccepteerd die niet voldoen aan de minimale beveiligingsstandaarden. Daarom moet de aanbevolen beveiligingswaarde voor deze parameter worden ingesteld 0op, wat betekent dat alleen SNC-verbindingen die voldoen aan de minimale beveiligingsvereisten worden geaccepteerd. |
| snc/accept_insecure_rfc | Als u deze parameter inschakelt, kan het risico op gegevensonderschepping of -manipulatie toenemen, omdat hiermee beveiligde SNC-verbindingen worden geaccepteerd die niet voldoen aan de minimale beveiligingsstandaarden. Daarom moet de aanbevolen beveiligingswaarde voor deze parameter worden ingesteld 0op, wat betekent dat alleen SNC-verbindingen die voldoen aan de minimale beveiligingsvereisten worden geaccepteerd. |
| snc/data_protection/max | Het instellen van een hoge waarde voor deze parameter kan het niveau van gegevensbescherming verhogen en het risico op gegevensonderschepping of manipulatie verminderen. De aanbevolen beveiligingswaarde voor deze parameter is afhankelijk van de specifieke beveiligingsvereisten en de strategie voor risicobeheer van de organisatie. |
| snc/data_protection/min | Door een geschikte waarde voor deze parameter in te stellen, zorgt u ervoor dat met SNC beveiligde verbindingen een minimumniveau voor gegevensbeveiliging bieden. Met deze instelling voorkomt u dat gevoelige informatie wordt onderschept of gemanipuleerd door aanvallers. De waarde van deze parameter moet worden ingesteld op basis van de beveiligingsvereisten van het SAP-systeem en de gevoeligheid van de gegevens die worden verzonden via met SNC beveiligde verbindingen. |
| snc/data_protection/use | |
| snc/enable | Indien ingeschakeld, biedt SNC een extra beveiligingslaag door gegevens te versleutelen die tussen systemen worden verzonden. |
| snc/extid_login_diag | Het inschakelen van deze parameter kan handig zijn voor het oplossen van SNC-gerelateerde problemen, omdat deze extra diagnostische informatie biedt. De parameter kan echter ook gevoelige informatie weergeven over de externe beveiligingsproducten die door het systeem worden gebruikt. Dit kan een mogelijk beveiligingsrisico zijn als die informatie in verkeerde handen valt. |
| snc/extid_login_rfc |
Parameters voor web-dispatcher
| Parameter | Beveiligingswaarde/overwegingen |
|---|---|
| wdisp/ssl_encrypt | Hoog. Deze parameter zorgt ervoor dat gegevens die via HTTP worden verzonden, worden versleuteld, wat helpt bij het afluisteren en knoeien van gegevens. |
Gerelateerde inhoud
Zie voor meer informatie: