Отслеживаемые параметры безопасности SAP для обнаружения подозрительных изменений конфигурации
В этой статье перечислены статические параметры безопасности в системе SAP, которые решение Microsoft Sentinel для приложений SAP отслеживает как часть правила аналитики SAP ( предварительная версия).
Решение Microsoft Sentinel для приложений SAP предоставляет обновления для этого содержимого в соответствии с рекомендациями SAP. Добавьте параметры для отслеживания путем изменения значений в соответствии с потребностями вашей организации и отключите определенные параметры в списке наблюдения SAPSystemParameters.
Эта статья не описывает параметры и не является рекомендацией по настройке параметров. Чтобы ознакомиться с рекомендациями по настройке, обратитесь к администраторам SAP. Описание параметров см. в документации по SAP.
Содержимое этой статьи предназначено для команд SAP BASIS .
Необходимые компоненты
Чтобы решение Microsoft Sentinel для приложений SAP успешно отслеживало параметры безопасности SAP, решение должно успешно отслеживать таблицу SAP PAHI через регулярные интервалы. Дополнительные сведения см. в статье "Проверка того, что таблица PAHI обновляется через регулярные интервалы".
Параметры проверки подлинности
| Параметр | Значение и рекомендации по безопасности |
|---|---|
| auth/no_check_in_some_cases | Хотя этот параметр может повысить производительность, он также может представлять угрозу безопасности, позволяя пользователям выполнять действия, для которых они могут не иметь разрешения. |
| auth/object_disabling_active | Может помочь повысить безопасность, уменьшая количество неактивных учетных записей с ненужными разрешениями. |
| auth/rfc_authority_check | Высокая. Включение этого параметра помогает предотвратить несанкционированный доступ к конфиденциальным данным и функциям через RFCs. |
Параметры шлюза
| Параметр | Значение и рекомендации по безопасности |
|---|---|
| gw/accept_remote_trace_level | Параметр можно настроить для ограничения уровня трассировки, принятого из внешних систем. Установка более низкого уровня трассировки может снизить объем информации, которую внешние системы могут получить о внутренней работе системы SAP. |
| gw/acl_mode | Высокая. Этот параметр управляет доступом к шлюзу и помогает предотвратить несанкционированный доступ к системе SAP. |
| gw/log | Высокая. Этот параметр можно использовать для мониторинга и обнаружения подозрительных действий или потенциальных нарушений безопасности. |
| gw/monitor | |
| gw/sim_mode | Включение этого параметра может быть полезным для тестирования и может помочь предотвратить любые непредвиденные изменения в целевой системе. |
Параметры Internet Communication Manager (ICM)
| Параметр | Значение и рекомендации по безопасности |
|---|---|
| icm/accept_remote_trace_level | Терпимая Разрешение изменений на уровне удаленной трассировки может предоставлять ценные диагностические сведения злоумышленникам и потенциально компрометировать системную безопасность. |
Параметры входа
| Параметр | Значение и рекомендации по безопасности |
|---|---|
| login/accept_sso2_ticket | Включение единого входа 2 может обеспечить более упрощенное и удобное взаимодействие с пользователем, но также представляет дополнительные риски безопасности. Если злоумышленник получает доступ к допустимому билету единого входа, он может иметь возможность олицетворить законного пользователя и получить несанкционированный доступ к конфиденциальным данным или выполнить вредоносные действия. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Этот параметр может помочь повысить безопасность, гарантируя, что пользователи вошли только в один сеанс за раз. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Высокая. Этот параметр помогает предотвратить атаки методом подбора на учетные записи пользователей. |
| login/fails_to_user_lock | Помогает предотвратить несанкционированный доступ к системе и помогает защитить учетные записи пользователей от компрометации. |
| login/min_password_diff | Высокая. Требование минимального количества различий между символами может помочь предотвратить выбор пользователей слабых паролей, которые можно легко угадать. |
| login/min_password_digits | Высокая. Этот параметр повышает сложность паролей и затрудняет их угадывать или взломать. |
| login/min_password_letters | Указывает минимальное количество букв, которые должны быть включены в пароль пользователя. Установка более высокого значения помогает повысить уровень надежности и безопасности паролей. |
| login/min_password_lng | Указывает минимальную длину, которую может быть пароль. Установка более высокого значения для этого параметра может повысить безопасность, гарантируя, что пароли не легко угадываются. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | Включение этого параметра может помочь предотвратить несанкционированный доступ к системам SAP, ограничив число одновременных имен входа для одного пользователя. Если для этого параметра задано 0значение, для каждого пользователя разрешен только один сеанс входа, а другие попытки входа отклоняются. Это может помочь предотвратить несанкционированный доступ к системам SAP, если учетные данные входа пользователя скомпрометируются или предоставляются другим пользователям. |
| login/no_automatic_user_sapstar | Высокая. Этот параметр помогает предотвратить несанкционированный доступ к системе SAP с помощью учетной записи SAP* по умолчанию. |
| login/password_change_for_SSO | Высокая. Применение изменений паролей может помочь предотвратить несанкционированный доступ к системе злоумышленниками, которые могли получить действительные учетные данные с помощью фишинга или других средств. |
| login/password_change_waittime | Задание подходящего значения для этого параметра может помочь пользователям регулярно изменять пароли, чтобы обеспечить безопасность системы SAP. В то же время установка слишком короткого времени ожидания может быть контрпродуктивной, так как пользователи могут быть более склонны повторно использовать пароли или выбирать слабые пароли, которые проще запоминать. |
| login/password_compliance_to_current_policy | Высокая. Включение этого параметра может помочь гарантировать, что пользователи соответствуют текущей политике паролей при изменении паролей, что снижает риск несанкционированного доступа к системам SAP. Если для этого параметра задано 1значение, пользователи получают запрос на соблюдение текущей политики паролей при изменении паролей. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | Установка этого параметра на более низкое значение может повысить безопасность, гарантируя частое изменение паролей. |
| login/password_history_size | Этот параметр запрещает пользователям многократно использовать одни и те же пароли, что может повысить безопасность. |
| login/password_max_idle_initial | Установка меньшего значения для этого параметра может повысить безопасность, гарантируя, что сеансы простоя не остаются открытыми в течение длительного периода времени. |
| login/ticket_only_by_https | Высокая. Использование HTTPS для передачи билетов шифрует передаваемые данные, что делает его более безопасным. |
Параметры удаленного диспетчера
| Параметр | Значение и рекомендации по безопасности |
|---|---|
| rdisp/gui_auto_logout | Высокая. Автоматическое выход из неактивных пользователей может помочь предотвратить несанкционированный доступ к системе злоумышленниками, которые могут иметь доступ к рабочей станции пользователя. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Включение этого параметра может оказаться полезным при применении политик паролей и предотвращении несанкционированного доступа к системам SAP. Если для этого параметра задано 1значение, подключения RFC отклоняются, если срок действия пароля пользователя истек, и пользователю будет предложено изменить пароль, прежде чем он сможет подключиться. Это помогает гарантировать, что доступ к системе может получить только авторизованные пользователи с допустимыми паролями. |
| rsau/enable | Высокая. Этот журнал аудита безопасности может предоставить ценную информацию для обнаружения и расследования инцидентов безопасности. |
| rsau/max_diskspace/local | Задание соответствующего значения для этого параметра помогает предотвратить слишком много места на диске, что может привести к проблемам с производительностью системы или даже атаками типа "отказ в обслуживании". С другой стороны, установка слишком низкого значения может привести к потере данных журнала аудита, которые могут потребоваться для соответствия требованиям и аудита. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Задание соответствующего значения помогает управлять размером файлов аудита и избежать проблем с хранилищем. |
| rsau/selection_slots | Помогает убедиться, что файлы аудита хранятся в течение длительного периода времени, что может оказаться полезным в нарушении безопасности. |
| rspo/auth/pagelimit | Этот параметр не влияет непосредственно на безопасность системы SAP, но может помочь предотвратить несанкционированный доступ к конфиденциальным данным авторизации. Ограничение количества записей, отображаемых на каждой странице, может снизить риск неавторизованных лиц, просматривающих конфиденциальную информацию авторизации. |
Параметры безопасной сетевой связи (SNC)
| Параметр | Значение и рекомендации по безопасности |
|---|---|
| snc/accept_insecure_cpic | Включение этого параметра может увеличить риск перехвата или манипуляции с данными, так как он принимает подключения, защищенные SNC, которые не соответствуют минимальным стандартам безопасности. Поэтому рекомендуемое значение безопасности для этого параметра заключается в том, чтобы задать его 0значение, что означает, что принимаются только подключения SNC, соответствующие минимальным требованиям безопасности. |
| snc/accept_insecure_gui | Рекомендуется задать значение этого параметра 0 , чтобы убедиться, что подключения SNC, сделанные с помощью ГРАФИЧЕСКОго интерфейса SAP, защищены, и чтобы снизить риск несанкционированного доступа или перехвата конфиденциальных данных. Разрешение небезопасных подключений SNC может увеличить риск несанкционированного доступа к конфиденциальной информации или перехвату данных и выполняться только при наличии определенной потребности и правильной оценке рисков. |
| snc/accept_insecure_r3int_rfc | Включение этого параметра может увеличить риск перехвата или манипуляции с данными, так как он принимает подключения, защищенные SNC, которые не соответствуют минимальным стандартам безопасности. Поэтому рекомендуемое значение безопасности для этого параметра заключается в том, чтобы задать его 0значение, что означает, что принимаются только подключения SNC, соответствующие минимальным требованиям безопасности. |
| snc/accept_insecure_rfc | Включение этого параметра может увеличить риск перехвата или манипуляции с данными, так как он принимает подключения, защищенные SNC, которые не соответствуют минимальным стандартам безопасности. Поэтому рекомендуемое значение безопасности для этого параметра заключается в том, чтобы задать его 0значение, что означает, что принимаются только подключения SNC, соответствующие минимальным требованиям безопасности. |
| snc/data_protection/max | Установка большого значения для этого параметра может увеличить уровень защиты данных и снизить риск перехвата или манипуляции данными. Рекомендуемое значение безопасности для этого параметра зависит от конкретных требований безопасности организации и стратегии управления рисками. |
| snc/data_protection/min | Задание соответствующего значения для этого параметра помогает гарантировать, что подключения, защищенные SNC, обеспечивают минимальный уровень защиты данных. Этот параметр помогает предотвратить перехват или обработку конфиденциальных данных злоумышленниками. Значение этого параметра должно быть задано на основе требований безопасности системы SAP и конфиденциальности данных, передаваемых через подключения, защищенные SNC. |
| snc/data_protection/use | |
| snc/enable | При включении SNC обеспечивает дополнительный уровень безопасности путем шифрования данных, передаваемых между системами. |
| snc/extid_login_diag | Включение этого параметра может быть полезно для устранения неполадок, связанных с SNC, так как оно предоставляет дополнительные диагностические сведения. Однако параметр может также предоставлять конфиденциальную информацию о продуктах внешней безопасности, используемых системой, что может быть потенциальным риском безопасности, если эта информация попадает в неправильные руки. |
| snc/extid_login_rfc |
Параметры веб-диспетчера
| Параметр | Значение и рекомендации по безопасности |
|---|---|
| wdisp/ssl_encrypt | Высокая. Этот параметр гарантирует, что данные, передаваемые по протоколу HTTP, шифруются, что помогает предотвратить перехват и изменение данных. |
Связанный контент
Дополнительные сведения см. в разделе: