Monitorowane parametry zabezpieczeń sap na potrzeby wykrywania podejrzanych zmian konfiguracji
W tym artykule wymieniono parametry zabezpieczeń statycznych w systemie SAP, które jest monitorowane przez rozwiązanie Microsoft Sentinel dla aplikacji SAP w ramach reguły analizy SAP — (wersja zapoznawcza) Poufny parametr statyczny.
Rozwiązanie Microsoft Sentinel dla aplikacji SAP udostępnia aktualizacje tej zawartości zgodnie ze zmianami najlepszych rozwiązań sap. Dodaj parametry, które mają być obserwowane, zmieniając wartości zgodnie z potrzebami organizacji i wyłączając określone parametry na liście kontrolnej SAPSystemParameters.
W tym artykule nie opisano parametrów i nie jest to zalecenie dotyczące konfigurowania parametrów. Aby zapoznać się z zagadnieniami dotyczącymi konfiguracji, zapoznaj się z administratorami systemu SAP. Opisy parametrów można znaleźć w dokumentacji systemu SAP.
Zawartość w tym artykule jest przeznaczona dla zespołów SAP BASIS .
Wymagania wstępne
Aby rozwiązanie Microsoft Sentinel dla aplikacji SAP pomyślnie monitorowało parametry zabezpieczeń SAP, rozwiązanie musi pomyślnie monitorować tabelę SAP PAHI w regularnych odstępach czasu. Aby uzyskać więcej informacji, zobacz Sprawdzanie, czy tabela PAHI jest aktualizowana w regularnych odstępach czasu.
Parametry uwierzytelniania
| Parametr | Wartość/zagadnienia dotyczące zabezpieczeń |
|---|---|
| uwierzytelnianie/no_check_in_some_cases | Chociaż ten parametr może poprawić wydajność, może również stanowić zagrożenie bezpieczeństwa, umożliwiając użytkownikom wykonywanie akcji, dla których mogą nie mieć uprawnień. |
| uwierzytelnianie/object_disabling_active | Może pomóc zwiększyć bezpieczeństwo, zmniejszając liczbę nieaktywnych kont z niepotrzebnymi uprawnieniami. |
| uwierzytelnianie/rfc_authority_check | Wysoka. Włączenie tego parametru pomaga zapobiec nieautoryzowanemu dostępowi do poufnych danych i funkcji za pośrednictwem rfCs. |
Parametry bramy
| Parametr | Wartość/zagadnienia dotyczące zabezpieczeń |
|---|---|
| gw/accept_remote_trace_level | Parametr można skonfigurować tak, aby ograniczyć poziom śledzenia akceptowany z systemów zewnętrznych. Ustawienie niższego poziomu śledzenia może zmniejszyć ilość informacji, które systemy zewnętrzne mogą uzyskać o wewnętrznych działaniach systemu SAP. |
| gw/acl_mode | Wysoka. Ten parametr kontroluje dostęp do bramy i pomaga zapobiegać nieautoryzowanemu dostępowi do systemu SAP. |
| gw/rejestrowanie | Wysoka. Ten parametr może służyć do monitorowania i wykrywania podejrzanych działań lub potencjalnych naruszeń zabezpieczeń. |
| gw/monitor | |
| gw/sim_mode | Włączenie tego parametru może być przydatne w celach testowych i może pomóc w zapobieganiu niezamierzonym zmianom w systemie docelowym. |
Parametry programu Internet Communication Manager (ICM)
| Parametr | Wartość/zagadnienia dotyczące zabezpieczeń |
|---|---|
| icm/accept_remote_trace_level | Średnia Zezwolenie na zmiany na poziomie śledzenia zdalnego może zapewnić osobom atakującym cenne informacje diagnostyczne i potencjalnie naruszyć bezpieczeństwo systemu. |
Parametry logowania
| Parametr | Wartość/zagadnienia dotyczące zabezpieczeń |
|---|---|
| logowanie/accept_sso2_ticket | Włączenie logowania jednokrotnego 2 może zapewnić bardziej usprawnione i wygodne środowisko użytkownika, ale także wprowadza dodatkowe zagrożenia bezpieczeństwa. Jeśli osoba atakująca uzyska dostęp do prawidłowego biletu logowania jednokrotnego 2, może być w stanie personifikować uprawnionego użytkownika i uzyskać nieautoryzowany dostęp do poufnych danych lub wykonać złośliwe działania. |
| logowanie/create_sso2_ticket | |
| logowanie/disable_multi_gui_login | Ten parametr może pomóc zwiększyć bezpieczeństwo, zapewniając, że użytkownicy są zalogowani tylko do jednej sesji naraz. |
| logowanie/failed_user_auto_unlock | |
| logowanie/fails_to_session_end | Wysoka. Ten parametr pomaga zapobiegać atakom siłowym na kontach użytkowników. |
| logowanie/fails_to_user_lock | Pomaga zapobiegać nieautoryzowanemu dostępowi do systemu i chronić konta użytkowników przed naruszeniem zabezpieczeń. |
| logowanie/min_password_diff | Wysoka. Wymaganie minimalnej liczby różnic znaków może pomóc uniemożliwić użytkownikom wybieranie słabych haseł, które można łatwo odgadnąć. |
| logowanie/min_password_digits | Wysoka. Ten parametr zwiększa złożoność haseł i utrudnia ich odgadnięcie lub pęknięcie. |
| logowanie/min_password_letters | Określa minimalną liczbę liter, które muszą być uwzględnione w haśle użytkownika. Ustawienie wyższej wartości pomaga zwiększyć siłę hasła i bezpieczeństwo. |
| logowanie/min_password_lng | Określa minimalną długość hasła. Ustawienie wyższej wartości dla tego parametru może poprawić bezpieczeństwo, zapewniając, że hasła nie są łatwo zgadywane. |
| logowanie/min_password_lowercase | |
| logowanie/min_password_specials | |
| logowanie/min_password_uppercase | |
| logowanie/multi_login_users | Włączenie tego parametru może pomóc zapobiec nieautoryzowanemu dostępowi do systemów SAP, ograniczając liczbę jednoczesnych logowań dla jednego użytkownika. Jeśli ten parametr jest ustawiony na 0wartość , tylko jedna sesja logowania jest dozwolona dla użytkownika, a inne próby logowania są odrzucane. Może to pomóc w zapobieganiu nieautoryzowanemu dostępowi do systemów SAP, jeśli poświadczenia logowania użytkownika zostaną naruszone lub udostępnione innym osobom. |
| logowanie/no_automatic_user_sapstar | Wysoka. Ten parametr pomaga zapobiec nieautoryzowanemu dostępowi do systemu SAP za pośrednictwem domyślnego konta SAP*. |
| logowanie/password_change_for_SSO | Wysoka. Wymuszanie zmian haseł może pomóc zapobiec nieautoryzowanemu dostępowi do systemu przez osoby atakujące, które mogły uzyskać prawidłowe poświadczenia za pośrednictwem wyłudzania informacji lub innych sposobów. |
| logowanie/password_change_waittime | Ustawienie odpowiedniej wartości dla tego parametru może pomóc w zapewnieniu, że użytkownicy regularnie zmieniają swoje hasła, aby zachować bezpieczeństwo systemu SAP. Jednocześnie ustawienie zbyt krótkiego czasu oczekiwania może być sprzeczne z produktem, ponieważ użytkownicy mogą częściej używać haseł lub wybierać słabe hasła, które są łatwiejsze do zapamiętania. |
| logowanie/password_compliance_to_current_policy | Wysoka. Włączenie tego parametru może pomóc zapewnić, że użytkownicy są zgodni z bieżącymi zasadami haseł podczas zmieniania haseł, co zmniejsza ryzyko nieautoryzowanego dostępu do systemów SAP. Po ustawieniu tego parametru na 1wartość użytkownicy są monitowani o zgodność z bieżącymi zasadami haseł podczas zmieniania haseł. |
| logowanie/password_downwards_compatibility | |
| logowanie/password_expiration_time | Ustawienie tego parametru na niższą wartość może zwiększyć bezpieczeństwo, upewniając się, że hasła są często zmieniane. |
| logowanie/password_history_size | Ten parametr uniemożliwia użytkownikom wielokrotne używanie tych samych haseł, co może poprawić bezpieczeństwo. |
| logowanie/password_max_idle_initial | Ustawienie niższej wartości dla tego parametru może zwiększyć bezpieczeństwo, zapewniając, że bezczynne sesje nie są otwarte przez dłuższy czas. |
| logowanie/ticket_only_by_https | Wysoka. Użycie protokołu HTTPS do transmisji biletów szyfruje dane przesyłane, co zwiększa bezpieczeństwo. |
Parametry dyspozytora zdalnego
| Parametr | Wartość/zagadnienia dotyczące zabezpieczeń |
|---|---|
| rdisp/gui_auto_logout | Wysoka. Automatyczne wylogowywanie nieaktywnych użytkowników może pomóc zapobiec nieautoryzowanemu dostępowi do systemu przez osoby atakujące, które mogą mieć dostęp do stacji roboczej użytkownika. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Włączenie tego parametru może być przydatne podczas wymuszania zasad haseł i zapobiegania nieautoryzowanemu dostępowi do systemów SAP. Po ustawieniu tego parametru na 1wartość połączenia RFC zostaną odrzucone, jeśli hasło użytkownika wygasło, a użytkownik zostanie poproszony o zmianę hasła przed nawiązaniem połączenia. Dzięki temu tylko autoryzowani użytkownicy z prawidłowymi hasłami mogą uzyskiwać dostęp do systemu. |
| rsau/enable | Wysoka. Ten dziennik inspekcji zabezpieczeń może dostarczyć cennych informacji na temat wykrywania i badania zdarzeń zabezpieczeń. |
| rsau/max_diskspace/local | Ustawienie odpowiedniej wartości dla tego parametru pomaga zapobiec używaniu zbyt dużej ilości miejsca na dysku w lokalnych dziennikach inspekcji, co może prowadzić do problemów z wydajnością systemu, a nawet ataków typu "odmowa usługi". Z drugiej strony ustawienie wartości, która jest zbyt niska, może spowodować utratę danych dziennika inspekcji, co może być wymagane do zapewnienia zgodności i inspekcji. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Ustawienie odpowiedniej wartości ułatwia zarządzanie rozmiarem plików inspekcji i unikanie problemów z magazynem. |
| rsau/selection_slots | Pomaga zapewnić, że pliki inspekcji są przechowywane przez dłuższy czas, co może być przydatne w przypadku naruszenia zabezpieczeń. |
| rspo/auth/pagelimit | Ten parametr nie ma bezpośredniego wpływu na bezpieczeństwo systemu SAP, ale może pomóc w zapobieganiu nieautoryzowanemu dostępowi do poufnych danych autoryzacji. Ograniczając liczbę wpisów wyświetlanych na stronie, może to zmniejszyć ryzyko nieautoryzowanych osób wyświetlających poufne informacje o autoryzacji. |
Parametry bezpiecznej komunikacji sieciowej (SNC)
| Parametr | Wartość/zagadnienia dotyczące zabezpieczeń |
|---|---|
| snc/accept_insecure_cpic | Włączenie tego parametru może zwiększyć ryzyko przechwycenia lub manipulowania danymi, ponieważ akceptuje połączenia chronione przez SNC, które nie spełniają minimalnych standardów zabezpieczeń. W związku z tym zalecaną wartością zabezpieczeń dla tego parametru jest ustawienie go na 0wartość , co oznacza, że akceptowane są tylko połączenia SNC spełniające minimalne wymagania dotyczące zabezpieczeń. |
| snc/accept_insecure_gui | Ustawienie wartości tego parametru na 0 wartość jest zalecane, aby upewnić się, że połączenia SNC wykonywane za pośrednictwem graficznego interfejsu użytkownika SAP są bezpieczne, oraz zmniejszyć ryzyko nieautoryzowanego dostępu lub przechwycenia poufnych danych. Zezwolenie na niezabezpieczone połączenia SNC może zwiększyć ryzyko nieautoryzowanego dostępu do poufnych informacji lub przechwytywania danych i powinno odbywać się tylko wtedy, gdy istnieje określona potrzeba, a zagrożenia są prawidłowo oceniane. |
| snc/accept_insecure_r3int_rfc | Włączenie tego parametru może zwiększyć ryzyko przechwycenia lub manipulowania danymi, ponieważ akceptuje połączenia chronione przez SNC, które nie spełniają minimalnych standardów zabezpieczeń. W związku z tym zalecaną wartością zabezpieczeń dla tego parametru jest ustawienie go na 0wartość , co oznacza, że akceptowane są tylko połączenia SNC spełniające minimalne wymagania dotyczące zabezpieczeń. |
| snc/accept_insecure_rfc | Włączenie tego parametru może zwiększyć ryzyko przechwycenia lub manipulowania danymi, ponieważ akceptuje połączenia chronione przez SNC, które nie spełniają minimalnych standardów zabezpieczeń. W związku z tym zalecaną wartością zabezpieczeń dla tego parametru jest ustawienie go na 0wartość , co oznacza, że akceptowane są tylko połączenia SNC spełniające minimalne wymagania dotyczące zabezpieczeń. |
| snc/data_protection/max | Ustawienie wysokiej wartości dla tego parametru może zwiększyć poziom ochrony danych i zmniejszyć ryzyko przechwycenia lub manipulowania danymi. Zalecana wartość zabezpieczeń dla tego parametru zależy od specyficznych wymagań dotyczących zabezpieczeń organizacji i strategii zarządzania ryzykiem. |
| snc/data_protection/min | Ustawienie odpowiedniej wartości dla tego parametru pomaga zapewnić, że połączenia chronione przez SNC zapewniają minimalny poziom ochrony danych. To ustawienie pomaga zapobiec przechwyceniu lub manipulowaniu poufnymi informacjami przez osoby atakujące. Wartość tego parametru powinna być ustawiana na podstawie wymagań dotyczących zabezpieczeń systemu SAP i poufności danych przesyłanych za pośrednictwem połączeń chronionych przez SNC. |
| snc/data_protection/use | |
| snc/enable | Po włączeniu SNC zapewnia dodatkową warstwę zabezpieczeń przez szyfrowanie danych przesyłanych między systemami. |
| snc/extid_login_diag | Włączenie tego parametru może być przydatne w przypadku rozwiązywania problemów związanych z protokołem SNC, ponieważ udostępnia dodatkowe informacje diagnostyczne. Jednak parametr może również uwidaczniać poufne informacje o produktach zabezpieczeń zewnętrznych używanych przez system, co może stanowić potencjalne zagrożenie bezpieczeństwa, jeśli te informacje wpadną w niewłaściwe ręce. |
| snc/extid_login_rfc |
Parametry dyspozytora internetowego
| Parametr | Wartość/zagadnienia dotyczące zabezpieczeń |
|---|---|
| wdisp/ssl_encrypt | Wysoka. Ten parametr gwarantuje, że dane przesyłane za pośrednictwem protokołu HTTP są szyfrowane, co pomaga zapobiegać podsłuchiwaniu i manipulowaniu danymi. |
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz: