Parâmetros de segurança SAP monitorados para detectar alterações de configuração suspeitas
Este artigo lista os parâmetros de segurança estáticos no sistema SAP que a solução do Microsoft Sentinel para aplicativos SAP monitora como parte da regra de análise SAP – (versão prévia) Parâmetro estático confidencial foi alterado.
A solução do Microsoft Sentinel para aplicativos SAP fornece atualizações para esse conteúdo de acordo com as alterações de práticas recomendadas do SAP. Adicione parâmetros a serem observados alterando os valores de acordo com as necessidades da sua organização e desative parâmetros específicos na lista de controle SAPSystemParameters.
Este artigo não descreve os parâmetros e não é uma recomendação para configurar os parâmetros. Para considerações de configuração, consulte seus administradores do SAP. Para obter descrições de parâmetros, consulte a documentação do SAP.
O conteúdo deste artigo é destinado às suas equipes de SAP BASIS.
Pré-requisitos
Para que a solução do Microsoft Sentinel para aplicativos SAP monitore com êxito os parâmetros de segurança do SAP, a solução precisa monitorar com êxito a tabela SAP PAHI em intervalos regulares. Para mais informações, confira a seção Verifique se a tabela PAHI está sendo atualizada a intervalos regulares.
Parâmetros de autenticação
| Parâmetro | Considerações/valor de segurança |
|---|---|
| auth/no_check_in_some_cases | Embora esse parâmetro possa melhorar o desempenho, ele também pode representar um risco de segurança, permitindo que os usuários executem ações para as quais talvez não tenham permissão. |
| auth/object_disabling_active | Pode ajudar a melhorar a segurança reduzindo o número de contas inativas com permissões desnecessárias. |
| auth/rfc_authority_check | Alto. Habilitar esse parâmetro ajuda a impedir o acesso não autorizado a dados e funções confidenciais por meio de RFCs. |
Parâmetros do gateway
| Parâmetro | Considerações/valor de segurança |
|---|---|
| gw/accept_remote_trace_level | O parâmetro pode ser configurado para restringir o nível de rastreamento aceito de sistemas externos. Definir um nível de rastreio mais baixo pode reduzir a quantidade de informações que os sistemas externos podem obter sobre o funcionamento interno do sistema SAP. |
| gw/acl_mode | Alto. Esse parâmetro controla o acesso ao gateway e ajuda a impedir o acesso não autorizado ao sistema SAP. |
| gw/logging | Alto. Esse parâmetro pode ser usado para monitorar e detectar atividades suspeitas ou possíveis violações de segurança. |
| gw/monitor | |
| gw/sim_mode | Habilitar esse parâmetro pode ser útil para fins de teste e pode ajudar a impedir alterações não intencionais no sistema de destino. |
Parâmetros do Internet Communication Manager (ICM)
| Parâmetro | Considerações/valor de segurança |
|---|---|
| icm/accept_remote_trace_level | Médio Permitir alterações remotas no nível de rastreamento pode fornecer informações de diagnóstico valiosas aos invasores e potencialmente comprometer a segurança do sistema. |
Parâmetros de entrada
| Parâmetro | Considerações/valor de segurança |
|---|---|
| login/accept_sso2_ticket | A ativação do SSO2 pode fornecer uma experiência de usuário mais simplificada e conveniente, mas também apresenta riscos extras de segurança. Se um invasor obtiver acesso a um tíquete SSO2 válido, ele poderá se passar por um usuário legítimo e obter acesso não autorizado a dados confidenciais ou executar ações maliciosas. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Esse parâmetro pode ajudar a melhorar a segurança garantindo que os usuários só estejam conectados a uma sessão por vez. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Alto. Esse parâmetro ajuda a evitar ataques de força bruta em contas de usuário. |
| login/fails_to_user_lock | Ajuda a impedir o acesso não autorizado ao sistema e a proteger as contas de usuário de serem comprometidas. |
| login/min_password_diff | Alto. Exigir um número mínimo de diferenças de caracteres pode ajudar a impedir que os usuários escolham senhas fracas que podem ser facilmente adivinhadas. |
| login/min_password_digits | Alto. Esse parâmetro aumenta a complexidade das senhas e as torna mais difíceis de adivinhar ou decifrar. |
| login/min_password_letters | Especifica o número mínimo de letras que devem ser incluídas na senha de um usuário. Definir um valor mais alto ajuda a aumentar a força e a segurança da senha. |
| login/min_password_lng | Especifica o comprimento mínimo que uma senha pode ter. Definir um valor mais alto para esse parâmetro pode melhorar a segurança garantindo que as senhas não sejam facilmente adivinhadas. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | Habilitar esse parâmetro pode ajudar a impedir o acesso não autorizado aos sistemas SAP limitando o número de logons simultâneos para um único usuário. Quando esse parâmetro é definido como 0, apenas uma sessão de login é permitida por usuário e outras tentativas de login são rejeitadas. Isso pode ajudar a impedir o acesso não autorizado aos sistemas SAP caso as credenciais de logon de um usuário sejam comprometidas ou compartilhadas com outras pessoas. |
| login/no_automatic_user_sapstar | Alto. Esse parâmetro ajuda a impedir o acesso não autorizado ao sistema SAP por meio da conta SAP* padrão. |
| login/password_change_for_SSO | Alto. A imposição de alterações de senha pode ajudar a impedir o acesso não autorizado ao sistema por invasores que possam ter obtido credenciais válidas por meio de phishing ou outros meios. |
| login/password_change_waittime | Definir um valor apropriado para esse parâmetro pode ajudar a garantir que os usuários alterem suas senhas regularmente o suficiente para manter a segurança do sistema SAP. Ao mesmo tempo, definir o tempo de espera muito curto pode ser contraproducente porque os usuários podem estar mais propensos a reutilizar senhas ou escolher senhas fracas que são mais fáceis de lembrar. |
| login/password_compliance_to_current_policy | Alta: Ao habilitar esse parâmetro, é possível garantir que os usuários cumpram a política de senha atual ao alterarem suas senhas, o que reduz o risco de acesso não autorizado aos sistemas SAP. Quando esse parâmetro é definido como 1, os usuários são solicitados a cumprir a política de senha atual ao alterar suas senhas. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | Definir esse parâmetro como um valor mais baixo pode melhorar a segurança, garantindo que as senhas sejam alteradas com frequência. |
| login/password_history_size | Esse parâmetro impede que os usuários usem repetidamente as mesmas senhas, o que pode melhorar a segurança. |
| login/password_max_idle_initial | Definir um valor mais baixo para esse parâmetro pode melhorar a segurança garantindo que as sessões ociosas não sejam deixadas abertas por longos períodos de tempo. |
| login/ticket_only_by_https | Alto. O uso de HTTPS para transmissão de tíquetes criptografa os dados em trânsito, tornando-os mais seguros. |
Parâmetros do dispatcher remoto
| Parâmetro | Considerações/valor de segurança |
|---|---|
| rdisp/gui_auto_logout | Alto. O deslogon automático de usuários inativos pode ajudar a impedir o acesso não autorizado ao sistema por invasores que possam ter acesso à estação de trabalho de um usuário. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Habilitar esse parâmetro pode ser útil ao impor políticas de senha e impedir o acesso não autorizado aos sistemas SAP. Quando esse parâmetro é definido como 1, as conexões RFC são rejeitadas se a senha do usuário expirar e o usuário é solicitado a alterar sua senha antes de se conectar. Isso ajuda a garantir que somente usuários autorizados com senhas válidas possam acessar o sistema. |
| rsau/enable | Alto. Esse log de auditoria de segurança pode fornecer informações valiosas para detectar e investigar incidentes de segurança. |
| rsau/max_diskspace/local | Definir um valor apropriado para esse parâmetro ajuda a impedir que os registros de auditoria locais consumam muito espaço em disco, o que pode levar a problemas de desempenho do sistema ou até mesmo a ataques de negação de serviço. Por outro lado, definir um valor muito baixo pode resultar na perda de dados de log de auditoria, o que pode ser necessário para conformidade e auditoria. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Definir um valor apropriado ajuda a gerenciar o tamanho dos arquivos de auditoria e evitar problemas de armazenamento. |
| rsau/selection_slots | Ajuda a garantir que os arquivos de auditoria sejam retidos por um período mais longo, o que pode ser útil em uma violação de segurança. |
| rspo/auth/pagelimit | Esse parâmetro não afeta diretamente a segurança do sistema SAP, mas pode ajudar a impedir o acesso não autorizado a dados de autorização confidenciais. Ao limitar o número de entradas exibidas por página, é possível reduzir o risco de indivíduos não autorizados exibirem informações confidenciais de autorização. |
Parâmetros de comunicações de rede segura (SNC)
| Parâmetro | Considerações/valor de segurança |
|---|---|
| snc/accept_insecure_cpic | Habilitar esse parâmetro pode aumentar o risco de interceptação ou manipulação de dados, pois ele aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como 0, o que significa que apenas as conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| snc/accept_insecure_gui | É recomendável definir o valor desse parâmetro como 0 para garantir que as conexões SNC feitas por meio do SAP GUI sejam seguras e para reduzir o risco de acesso não autorizado ou interceptação de dados confidenciais. Permitir conexões SNC inseguras pode aumentar o risco de acesso não autorizado a informações confidenciais ou interceptação de dados, e só deve ser feito quando houver uma necessidade específica e os riscos forem avaliados adequadamente. |
| snc/accept_insecure_r3int_rfc | Habilitar esse parâmetro pode aumentar o risco de interceptação ou manipulação de dados, pois ele aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como 0, o que significa que apenas as conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| snc/accept_insecure_rfc | Habilitar esse parâmetro pode aumentar o risco de interceptação ou manipulação de dados, pois ele aceita conexões protegidas por SNC que não atendem aos padrões mínimos de segurança. Portanto, o valor de segurança recomendado para esse parâmetro é defini-lo como 0, o que significa que apenas as conexões SNC que atendem aos requisitos mínimos de segurança são aceitas. |
| snc/data_protection/max | Definir um valor alto para esse parâmetro pode aumentar o nível de proteção de dados e reduzir o risco de interceptação ou manipulação de dados. O valor de segurança recomendado para esse parâmetro depende dos requisitos de segurança e da estratégia de gerenciamento de riscos específicos da organização. |
| snc/data_protection/min | Definir um valor apropriado para esse parâmetro ajuda a garantir que as conexões protegidas por SNC forneçam um nível mínimo de proteção de dados. Essa configuração ajuda a impedir que informações confidenciais sejam interceptadas ou manipuladas por invasores. O valor desse parâmetro deve ser definido com base nos requisitos de segurança do sistema SAP e na confidencialidade dos dados transmitidos por conexões protegidas por SNC. |
| snc/data_protection/use | |
| snc/enable | Quando habilitado, o SNC fornece uma camada extra de segurança criptografando dados transmitidos entre sistemas. |
| snc/extid_login_diag | Habilitar esse parâmetro pode ser útil para solucionar problemas relacionados ao SNC, pois ele fornece informações extras de diagnóstico. No entanto, o parâmetro também pode expor informações confidenciais sobre os produtos de segurança externos usados pelo sistema, o que pode ser um risco potencial de segurança se essas informações caírem em mãos erradas. |
| snc/extid_login_rfc |
Parâmetros do Web Dispatcher
| Parâmetro | Considerações/valor de segurança |
|---|---|
| wdisp/ssl_encrypt | Alto. Esse parâmetro garante que os dados transmitidos por HTTP sejam criptografados, o que ajuda a evitar espionagem e adulteração de dados. |
Conteúdo relacionado
Para saber mais, veja: