監視的 SAP 安全性參數,用於偵測可疑的組態變更
本文列出 SAP 系統中Microsoft Sentinel 解決方案在 SAP - (預覽) 敏感性靜態參數中監視 的靜態安全性參數已變更 分析規則。
適用於 SAP 應用程式的 Microsoft Sentinel 解決方案會根據 SAP 最佳做法變更提供此內容的更新。 根據組織的需求變更值,並關閉 SAPSystemParameters 監看清單中的特定參數,以新增要監看的參數。
本文不會描述參數,也不是設定參數的建議。 如需設定考慮,請參閱您的 SAP 系統管理員。 如需參數描述,請參閱 SAP 檔。
本文中的內容適用於您的 SAP BASIS 小組。
必要條件
若要讓 SAP 應用程式的Microsoft Sentinel 解決方案成功監視 SAP 安全性參數,解決方案必須定期成功監視 SAP PAHI 數據表。 如需詳細資訊,請參閱 確認PAHI資料表會定期更新。
Authentication parameters
| 參數 | 安全性值/考慮 |
|---|---|
| auth/no_check_in_some_cases | 雖然此參數可能會改善效能,但也可能會造成安全性風險,方法是允許使用者執行他們可能沒有許可權的動作。 |
| auth/object_disabling_active | 可藉由減少具有不必要許可權的非使用中帳戶數目來協助改善安全性。 |
| auth/rfc_authority_check | 高。 啟用此參數有助於防止未經授權的透過 RFC 存取敏感數據和函式。 |
閘道參數
| 參數 | 安全性值/考慮 |
|---|---|
| gw/accept_remote_trace_level | 您可以設定 參數來限制從外部系統接受的追蹤層級。 設定較低的追蹤層級可能會減少外部系統可以取得 SAP 系統內部工作的相關信息量。 |
| gw/acl_mode | 高。 此參數可控制閘道的存取權,並協助防止未經授權的 SAP 系統存取。 |
| gw/logging | 高。 此參數可用來監視和偵測可疑的活動或潛在的安全性缺口。 |
| gw/monitor | |
| gw/sim_mode | 啟用此參數對於測試目的很有用,而且有助於防止對目標系統進行任何非預期的變更。 |
因特網通訊管理員 (ICM) 參數
| 參數 | 安全性值/考慮 |
|---|---|
| icm/accept_remote_trace_level | 中等 允許遠端追蹤層級變更可為攻擊者提供寶貴的診斷資訊,並可能危害系統安全性。 |
登入參數
| 參數 | 安全性值/考慮 |
|---|---|
| login/accept_sso2_ticket | 啟用 SSO2 可以提供更簡化且方便的用戶體驗,但也會帶來額外的安全性風險。 如果攻擊者取得有效 SSO2 票證的存取權,他們或許能夠模擬合法的使用者,並取得未經授權的敏感數據存取權,或執行惡意動作。 |
| login/create_sso2_ticket | |
| login/disable_multi_gui_login | 此參數可協助改善安全性,方法是確保使用者一次只登入一個會話。 |
| login/failed_user_auto_unlock | |
| login/fails_to_session_end | 高。 此參數有助於防止用戶帳戶遭到暴力密碼破解攻擊。 |
| login/fails_to_user_lock | 協助防止未經授權的系統存取,並協助保護用戶帳戶免於遭到入侵。 |
| login/min_password_diff | 高。 需要最少的字元差異有助於防止用戶選擇容易猜到的弱式密碼。 |
| login/min_password_digits | 高。 此參數會增加密碼的複雜度,並使其難以猜測或破解。 |
| login/min_password_letters | 指定使用者密碼中必須包含的最小字母數目。 設定較高的值有助於增加密碼強度和安全性。 |
| login/min_password_lng | 指定密碼可以是的最小長度。 為此參數設定較高的值可藉由確保無法輕易猜測密碼來改善安全性。 |
| login/min_password_lowercase | |
| login/min_password_specials | |
| login/min_password_uppercase | |
| login/multi_login_users | 啟用此參數可藉由限制單一使用者的並行登入數目,協助防止未經授權的 SAP 系統存取。 當此參數設定為 0時,每位使用者只允許一個登入會話,而拒絕其他登入嘗試。 這有助於防止未經授權的 SAP 系統存取,以防使用者登入認證遭到入侵或與他人共用。 |
| login/no_automatic_user_sapstar | 高。 此參數可協助防止透過預設 SAP* 帳戶未經授權存取 SAP 系統。 |
| login/password_change_for_SSO | 高。 強制執行密碼變更有助於防止可能透過網路釣魚或其他方式取得有效認證的攻擊者未經授權存取系統。 |
| login/password_change_waittime | 設定此參數的適當值有助於確保使用者定期變更其密碼,以維護 SAP 系統的安全性。 同時,設定等候時間太短可能會適得其反,因為使用者可能更有可能重複使用密碼,或選擇更容易記住的弱式密碼。 |
| login/password_compliance_to_current_policy | 高。 啟用此參數有助於確保使用者在變更密碼時遵守目前的密碼原則,進而降低未經授權存取 SAP 系統的風險。 當此參數設定為 1時,系統會提示用戶在變更密碼時遵守目前的密碼原則。 |
| login/password_downwards_compatibility | |
| login/password_expiration_time | 將此參數設定為較低的值可以藉由確保密碼經常變更來改善安全性。 |
| login/password_history_size | 此參數可防止使用者重複使用相同的密碼,以改善安全性。 |
| login/password_max_idle_initial | 為此參數設定較低的值可藉由確保閑置會話不會長時間保持開啟,以改善安全性。 |
| login/ticket_only_by_https | 高。 使用 HTTPS 進行票證傳輸會加密傳輸中的數據,使其更安全。 |
遠端發送器參數
| 參數 | 安全性值/考慮 |
|---|---|
| rdisp/gui_auto_logout | 高。 自動註銷非使用中使用者,可協助防止可能具有使用者工作站存取權的攻擊者未經授權存取系統。 |
| rfc/ext_debugging | |
| rfc/reject_expired_passwd | 強制執行密碼原則並防止未經授權的 SAP 系統存取時,啟用此參數會很有説明。 當此參數設定為 1時,如果用戶的密碼過期,RFC 連線就會遭到拒絕,並提示使用者在連線之前變更其密碼。 這有助於確保只有具有有效密碼的授權使用者才能存取系統。 |
| rsau/enable | 高。 此安全性稽核記錄可以提供偵測和調查安全性事件的重要資訊。 |
| rsau/max_diskspace/local | 為此參數設定適當的值有助於防止本機稽核記錄耗用太多磁碟空間,這可能會導致系統效能問題,甚至阻斷服務攻擊。 另一方面,設定太低的值可能會導致稽核記錄數據遺失,這可能需要進行合規性和稽核。 |
| rsau/max_diskspace/per_day | |
| rsau/max_diskspace/per_file | 設定適當的值有助於管理稽核檔案的大小,並避免記憶體問題。 |
| rsau/selection_slots | 協助確保稽核檔案會保留較長的時間,這在安全性缺口中很有用。 |
| rspo/auth/pagelimit | 此參數不會直接影響 SAP 系統的安全性,但有助於防止未經授權的機密授權數據存取。 藉由限制每個頁面顯示的項目數目,可以降低未經授權的個人檢視敏感性授權信息的風險。 |
保護網路通訊 (SNC) 參數
| 參數 | 安全性值/考慮 |
|---|---|
| snc/accept_insecure_cpic | 啟用此參數可能會增加數據攔截或操作的風險,因為它接受不符合最低安全性標準的SNC保護連線。 因此,此參數的建議安全性值是將它設定為 0,這表示只接受符合最低安全性需求的SNC連線。 |
| snc/accept_insecure_gui | 建議將此參數的值設定為 0 ,以確保透過 SAP GUI 建立的 SNC 連線是安全的,並降低未經授權存取或攔截敏感數據的風險。 允許不安全的 SNC 連線可能會增加未經授權存取敏感性資訊或數據攔截的風險,而且只有在有特定需求且風險得到適當評估時才應該完成。 |
| snc/accept_insecure_r3int_rfc | 啟用此參數可能會增加數據攔截或操作的風險,因為它接受不符合最低安全性標準的SNC保護連線。 因此,此參數的建議安全性值是將它設定為 0,這表示只接受符合最低安全性需求的SNC連線。 |
| snc/accept_insecure_rfc | 啟用此參數可能會增加數據攔截或操作的風險,因為它接受不符合最低安全性標準的SNC保護連線。 因此,此參數的建議安全性值是將它設定為 0,這表示只接受符合最低安全性需求的SNC連線。 |
| snc/data_protection/max | 設定此參數的高值可以增加數據保護層級,並減少數據攔截或操作的風險。 此參數的建議安全性值取決於組織的特定安全性需求和風險管理策略。 |
| snc/data_protection/min | 為此參數設定適當的值有助於確保受SNC保護的連線提供最低層級的數據保護。 此設定有助於防止攻擊者攔截或操作敏感性資訊。 此參數的值應該根據 SAP 系統的安全性需求,以及透過 SNC 保護連線傳輸的數據敏感度來設定。 |
| snc/data_protection/use | |
| snc/enable | 啟用時,SNC 藉由加密系統之間傳輸的數據,提供額外的安全性層。 |
| snc/extid_login_diag | 啟用此參數有助於針對SNC相關問題進行疑難解答,因為它提供額外的診斷資訊。 不過,參數可能也會公開系統所用外部安全性產品的敏感性資訊,如果該資訊落入錯誤之手,可能會有潛在的安全性風險。 |
| snc/extid_login_rfc |
Web 發送器參數
| 參數 | 安全性值/考慮 |
|---|---|
| wdisp/ssl_encrypt | 高。 此參數可確保透過 HTTP 傳輸的數據已加密,這有助於防止竊聽和數據竄改。 |
相關內容
如需詳細資訊,請參閱