Övervakade SAP-säkerhetsparametrar för att identifiera misstänkta konfigurationsändringar
I den här artikeln visas de statiska säkerhetsparametrarna i SAP-systemet som Microsoft Sentinel-lösningen för SAP-program övervakar som en del av regeln för känslig statisk parameter för SAP – (förhandsversion) har ändrat analysregeln.
Microsoft Sentinel-lösningen för SAP-program innehåller uppdateringar för det här innehållet enligt ändringar i SAP:s metodtips. Lägg till parametrar att hålla utkik efter genom att ändra värden enligt organisationens behov och inaktivera specifika parametrar i bevakningslistan för SAPSystemParameters.
Den här artikeln beskriver inte parametrarna och är inte en rekommendation för att konfigurera parametrarna. Om du vill ha konfigurationsöverväganden bör du kontakta SAP-administratörerna. Parameterbeskrivningar finns i SAP-dokumentationen.
Innehållet i den här artikeln är avsett för dina SAP BASIS-team .
Förutsättningar
För att Microsoft Sentinel-lösningen för SAP-program ska kunna övervaka SAP-säkerhetsparametrarna måste lösningen övervaka SAP PAHI-tabellen med jämna mellanrum. Mer information finns i Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum.
Autentiseringsparametrar
| Parameter | Säkerhetsvärde/överväganden |
|---|---|
| auth/no_check_in_some_cases | Även om den här parametern kan förbättra prestandan kan den också utgöra en säkerhetsrisk genom att tillåta användare att utföra åtgärder som de kanske inte har behörighet för. |
| auth/object_disabling_active | Kan förbättra säkerheten genom att minska antalet inaktiva konton med onödiga behörigheter. |
| auth/rfc_authority_check | Hög. Om du aktiverar den här parametern kan du förhindra obehörig åtkomst till känsliga data och funktioner via RFC:er. |
Gatewayparametrar
| Parameter | Säkerhetsvärde/överväganden |
|---|---|
| gw/accept_remote_trace_level | Parametern kan konfigureras för att begränsa den spårningsnivå som accepteras från externa system. Om du anger en lägre spårningsnivå kan du minska mängden information som externa system kan få om SAP-systemets interna funktioner. |
| gw/acl_mode | Hög. Den här parametern styr åtkomsten till gatewayen och hjälper till att förhindra obehörig åtkomst till SAP-systemet. |
| gw/loggning | Hög. Den här parametern kan användas för att övervaka och identifiera misstänkt aktivitet eller potentiella säkerhetsöverträdelser. |
| gw/monitor | |
| gw/sim_mode | Att aktivera den här parametern kan vara användbart i testsyfte och kan bidra till att förhindra oavsiktliga ändringar i målsystemet. |
ICM-parametrar (Internet Communication Manager)
| Parameter | Säkerhetsvärde/överväganden |
|---|---|
| icm/accept_remote_trace_level | Medium Att tillåta ändringar på fjärrspårningsnivå kan ge värdefull diagnostisk information till angripare och potentiellt äventyra systemsäkerheten. |
Inloggningsparametrar
| Parameter | Säkerhetsvärde/överväganden |
|---|---|
| login/accept_sso2_ticket | Aktivering av enkel inloggning2 kan ge en mer effektiv och bekväm användarupplevelse, men medför även extra säkerhetsrisker. Om en angripare får åtkomst till en giltig SSO2-biljett kan de kanske personifiera en legitim användare och få obehörig åtkomst till känsliga data eller utföra skadliga åtgärder. |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | Den här parametern kan förbättra säkerheten genom att se till att användarna bara är inloggade på en session i taget. |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | Hög. Den här parametern hjälper till att förhindra råstyrkeattacker på användarkonton. |
| login/fails_to_user_lock | Hjälper till att förhindra obehörig åtkomst till systemet och hjälper till att skydda användarkonton från att komprometteras. |
| login/min_password_diff | Hög. Att kräva ett minsta antal teckenskillnader kan hjälpa till att hindra användare från att välja svaga lösenord som lätt kan gissas. |
| login/min_password_digits | Hög. Den här parametern ökar komplexiteten för lösenord och gör dem svårare att gissa eller knäcka. |
| login/min_password_letters | Anger det minsta antal bokstäver som måste ingå i en användares lösenord. Genom att ange ett högre värde kan du öka lösenordsstyrkan och säkerheten. |
| login/min_password_lng | Anger den minsta längd som ett lösenord kan vara. Att ange ett högre värde för den här parametern kan förbättra säkerheten genom att säkerställa att lösenord inte är lätta att gissa. |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | Om du aktiverar den här parametern kan du förhindra obehörig åtkomst till SAP-system genom att begränsa antalet samtidiga inloggningar för en enskild användare. När den här parametern är inställd 0på tillåts endast en inloggningssession per användare och andra inloggningsförsök avvisas. Detta kan hjälpa till att förhindra obehörig åtkomst till SAP-system om en användares inloggningsuppgifter komprometteras eller delas med andra. |
| login/no_automatic_user_sapstar | Hög. Den här parametern hjälper till att förhindra obehörig åtkomst till SAP-systemet via sap*-standardkontot. |
| login/password_change_for_SSO | Hög. Att framtvinga lösenordsändringar kan hjälpa till att förhindra obehörig åtkomst till systemet av angripare som kan ha fått giltiga autentiseringsuppgifter via nätfiske eller på annat sätt. |
| login/password_change_waittime | Om du anger ett lämpligt värde för den här parametern kan du se till att användarna ändrar sina lösenord tillräckligt regelbundet för att upprätthålla säkerheten i SAP-systemet. Samtidigt kan det vara kontraproduktivt att ställa in väntetiden för kort eftersom användarna kan vara mer benägna att återanvända lösenord eller välja svaga lösenord som är lättare att komma ihåg. |
| login/password_compliance_to_current_policy | Hög. Om du aktiverar den här parametern kan du se till att användarna följer den aktuella lösenordsprincipen när de ändrar lösenord, vilket minskar risken för obehörig åtkomst till SAP-system. När den här parametern är inställd 1på uppmanas användarna att följa den aktuella lösenordsprincipen när de ändrar sina lösenord. |
| login/password_downwards_compatibility | |
| login/password_expiration_time | Om du ställer in den här parametern på ett lägre värde kan du förbättra säkerheten genom att se till att lösenord ändras ofta. |
| login/password_history_size | Den här parametern hindrar användare från att upprepade gånger använda samma lösenord, vilket kan förbättra säkerheten. |
| login/password_max_idle_initial | Att ange ett lägre värde för den här parametern kan förbättra säkerheten genom att se till att inaktiva sessioner inte lämnas öppna under längre tidsperioder. |
| login/ticket_only_by_https | Hög. Genom att använda HTTPS för biljettöverföring krypteras data under överföring, vilket gör det säkrare. |
Parametrar för fjärrsändning
| Parameter | Säkerhetsvärde/överväganden |
|---|---|
| rdisp/gui_auto_logout | Hög. automatiskt logga ut inaktiva användare kan hjälpa till att förhindra obehörig åtkomst till systemet av angripare som kan ha åtkomst till en användares arbetsstation. |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | Att aktivera den här parametern kan vara användbart när du tillämpar lösenordsprinciper och förhindrar obehörig åtkomst till SAP-system. När den här parametern är inställd 1på avvisas RFC-anslutningar om användarens lösenord har upphört att gälla och användaren uppmanas att ändra sitt lösenord innan de kan ansluta. Detta säkerställer att endast behöriga användare med giltiga lösenord kan komma åt systemet. |
| rsau/enable | Hög. Den här säkerhetsgranskningsloggen kan ge värdefull information för att identifiera och undersöka säkerhetsincidenter. |
| rsau/max_diskspace/local | Genom att ange ett lämpligt värde för den här parametern kan du förhindra att de lokala granskningsloggarna förbrukar för mycket diskutrymme, vilket kan leda till systemprestandaproblem eller till och med överbelastningsattacker. Å andra sidan kan inställningen av ett värde som är för lågt leda till förlust av granskningsloggdata, vilket kan krävas för efterlevnad och granskning. |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | Genom att ange ett lämpligt värde kan du hantera storleken på granskningsfilerna och undvika lagringsproblem. |
| rsau/selection_slots | Hjälper till att säkerställa att granskningsfiler behålls under en längre tidsperiod, vilket kan vara användbart vid en säkerhetsöverträdelse. |
| rspo/auth/pagelimit | Den här parametern påverkar inte säkerheten i SAP-systemet direkt, men kan bidra till att förhindra obehörig åtkomst till känsliga auktoriseringsdata. Genom att begränsa antalet poster som visas per sida kan det minska risken för att obehöriga personer visar känslig auktoriseringsinformation. |
SNC-parametrar (Secure Network Communications)
| Parameter | Säkerhetsvärde/överväganden |
|---|---|
| snc/accept_insecure_cpic | Om du aktiverar den här parametern kan risken för dataavlyssning eller manipulering öka eftersom den accepterar SNC-skyddade anslutningar som inte uppfyller minimikraven för säkerhet. Därför är det rekommenderade säkerhetsvärdet för den här parametern att ange det till 0, vilket innebär att endast SNC-anslutningar som uppfyller minimikraven accepteras. |
| snc/accept_insecure_gui | Vi rekommenderar att du anger värdet för den här parametern för 0 att säkerställa att SNC-anslutningar som görs via SAP GUI är säkra och för att minska risken för obehörig åtkomst eller avlyssning av känsliga data. Att tillåta osäkra SNC-anslutningar kan öka risken för obehörig åtkomst till känslig information eller dataavlyssning, och bör endast göras när det finns ett specifikt behov och riskerna utvärderas korrekt. |
| snc/accept_insecure_r3int_rfc | Om du aktiverar den här parametern kan risken för dataavlyssning eller manipulering öka eftersom den accepterar SNC-skyddade anslutningar som inte uppfyller minimikraven för säkerhet. Därför är det rekommenderade säkerhetsvärdet för den här parametern att ange det till 0, vilket innebär att endast SNC-anslutningar som uppfyller minimikraven accepteras. |
| snc/accept_insecure_rfc | Om du aktiverar den här parametern kan risken för dataavlyssning eller manipulering öka eftersom den accepterar SNC-skyddade anslutningar som inte uppfyller minimikraven för säkerhet. Därför är det rekommenderade säkerhetsvärdet för den här parametern att ange det till 0, vilket innebär att endast SNC-anslutningar som uppfyller minimikraven accepteras. |
| snc/data_protection/max | Om du anger ett högt värde för den här parametern kan du öka dataskyddsnivån och minska risken för dataavlyssning eller manipulering. Det rekommenderade säkerhetsvärdet för den här parametern beror på organisationens specifika säkerhetskrav och riskhanteringsstrategi. |
| snc/data_protection/min | Genom att ange ett lämpligt värde för den här parametern ser du till att SNC-skyddade anslutningar ger en lägsta nivå av dataskydd. Den här inställningen hjälper till att förhindra att känslig information fångas upp eller manipuleras av angripare. Värdet för den här parametern ska anges baserat på säkerhetskrav för SAP-systemet och känsligheten för de data som överförs via SNC-skyddade anslutningar. |
| snc/data_protection/use | |
| snc/enable | När det är aktiverat ger SNC ett extra säkerhetslager genom att kryptera data som överförs mellan system. |
| snc/extid_login_diag | Det kan vara bra att aktivera den här parametern för att felsöka SNC-relaterade problem, eftersom den ger extra diagnostikinformation. Parametern kan dock också exponera känslig information om de externa säkerhetsprodukter som används av systemet, vilket kan vara en potentiell säkerhetsrisk om den informationen hamnar i fel händer. |
| snc/extid_login_rfc |
Parametrar för webbutskick
| Parameter | Säkerhetsvärde/överväganden |
|---|---|
| wdisp/ssl_encrypt | Hög. Den här parametern säkerställer att data som överförs via HTTP krypteras, vilket förhindrar avlyssning och datamanipulering. |
Relaterat innehåll
Mer information finns i: