Habilite deteções SAP e proteção contra ameaças
Embora a implantação de um coletor de dados e solução Microsoft Sentinel para SAP forneça a capacidade de monitorar sistemas SAP em busca de atividades suspeitas e identificar ameaças, etapas de configuração adicionais são necessárias para garantir que a solução seja otimizada para sua implantação SAP. Este artigo fornece práticas recomendadas para começar a usar o conteúdo de segurança fornecido com a solução Microsoft Sentinel para aplicativos SAP e é a última etapa na implantação da integração SAP.
O conteúdo deste artigo é relevante para sua equipe de segurança .
Importante
Alguns componentes da solução Microsoft Sentinel para aplicativos SAP estão atualmente em visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Pré-requisitos
Antes de definir as configurações descritas neste artigo, você deve ter uma solução Microsoft Sentinel SAP instalada e um conector de dados configurado.
Para obter mais informações, consulte Implantar a solução Microsoft Sentinel para aplicativos SAP a partir do hub de conteúdo e Implantar a solução Microsoft Sentinel para aplicativos SAP.
Comece a ativar regras de análise
Por padrão, todas as regras de análise na solução Microsoft Sentinel para aplicativos SAP são fornecidas como modelos de regra de alerta. Recomendamos uma abordagem em estágios, onde você usa os modelos para criar algumas regras de cada vez, dando tempo para ajustar cada cenário.
Recomendamos começar com as seguintes regras de análise, que são consideradas mais simples de testar:
- Alteração no usuário privilegiado sensível
- Usuário privilegiado sensível conectado
- Usuário privilegiado sensível faz uma alteração em outro usuário
- Alteração de senha e login de usuários sensíveis
- Alteração na configuração do cliente
- Módulo de função testado
Para obter mais informações, consulte Regras de análise internas e Deteção de ameaças no Microsoft Sentinel.
Configurar listas de observação
Configure sua solução Microsoft Sentinel para aplicativos SAP fornecendo informações específicas do cliente nas seguintes listas de observação:
| Nome da lista de observação | Detalhes da configuração |
|---|---|
| SAP - Sistemas | A lista de observação SAP - Systems define os sistemas SAP que estão presentes no ambiente monitorado. Para cada sistema, especifique: - O SID - Seja um sistema de produção ou um ambiente de desenvolvimento/teste. Definir isso na sua lista de observação não afeta o faturamento e influencia apenas sua regra de análise. Por exemplo, talvez você queira usar um sistema de teste como um sistema de produção durante o teste. - Uma descrição significativa Os dados configurados são usados por algumas regras de análise, que podem reagir de forma diferente se eventos relevantes aparecerem em um desenvolvimento ou sistema de produção. |
| SAP - Redes | A lista de observação SAP - Networks descreve todas as redes utilizadas pela organização. Ele é usado principalmente para identificar se os logins do usuário se originam ou não de segmentos conhecidos da rede ou se a origem de entrada de um usuário muda inesperadamente. Há muitas abordagens para documentar a topologia de rede. Você pode definir uma ampla gama de endereços, como 172.16.0.0/16, e nomeá-la como Rede Corporativa, o que é bom o suficiente para rastrear entradas de fora desse intervalo. No entanto, uma abordagem mais segmentada permite uma melhor visibilidade de atividades potencialmente atípicas. Por exemplo, você pode definir os seguintes segmentos e localizações geográficas: - 192.168.10.0/23: Europa Ocidental - 10.15.0.0/16: Austrália Nesses casos, o Microsoft Sentinel pode diferenciar uma entrada de 192.168.10.15 no primeiro segmento de uma entrada de 10.15.2.1 no segundo segmento. O Microsoft Sentinel alerta se esse comportamento for identificado como atípico. |
| SAP - Módulos de função sensíveis SAP - Tabelas sensíveis SAP - Programas ABAP Sensíveis SAP - Transações Sensíveis |
As listas de observação de conteúdo confidencial identificam ações ou dados confidenciais que podem ser realizados ou acessados pelos usuários. Embora várias operações, tabelas e autorizações conhecidas estejam pré-configuradas nas listas de observação, recomendamos que você consulte sua equipe do SAP BASIS para identificar as operações, transações, autorizações e tabelas consideradas confidenciais em seu ambiente SAP e atualize as listas conforme necessário. |
| SAP - Perfis Sensíveis SAP - Funções sensíveis SAP - Utilizadores Privilegiados SAP - Autorizações Críticas |
A solução Microsoft Sentinel para aplicativos SAP usa dados de usuários coletados em listas de observação de dados de usuários de sistemas SAP para identificar quais usuários, perfis e funções devem ser considerados confidenciais. Embora os dados de exemplo sejam incluídos nas listas de observação por padrão, recomendamos que você consulte sua equipe do SAP BASIS para identificar os usuários, funções e perfis confidenciais em sua organização e atualizar as listas conforme necessário. |
Após a implantação inicial da solução, pode levar algum tempo até que as listas de observação sejam preenchidas com dados. Se você abrir uma lista de observação para edição e achar que ela está vazia, aguarde alguns minutos e tente novamente.
Para obter mais informações, consulte Listas de observação disponíveis.
Usar uma pasta de trabalho para verificar a conformidade para seus controles de segurança SAP
A solução Microsoft Sentinel para aplicativos SAP inclui a pasta de trabalho SAP - Security Audit Controls , que ajuda você a verificar a conformidade para seus controles de segurança SAP. A pasta de trabalho fornece uma visão abrangente dos controles de segurança que estão em vigor e o status de conformidade de cada controle.
Para obter mais informações, consulte Verificar a conformidade de seus controles de segurança SAP com a pasta de trabalho SAP - Security Audit Controls (Preview).
Próximo passo
Há muito mais conteúdo para descobrir para SAP com o Microsoft Sentinel, incluindo funções, playbooks, pastas de trabalho e muito mais. Este artigo destaca alguns pontos de partida úteis, e você deve continuar a implementar outros conteúdos para aproveitar ao máximo seu monitoramento de segurança SAP.
Para obter mais informações, consulte:
- Solução Microsoft Sentinel para aplicativos SAP - referência de funções
- Solução Microsoft Sentinel para aplicações SAP: referência de conteúdo de segurança.
Conteúdos relacionados
Para obter mais informações, consulte: