你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

启用 SAP 检测和威胁防护

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

虽然为 SAP 部署Microsoft Sentinel数据收集器和解决方案使你能够监视 SAP 系统是否有可疑活动并识别威胁,但需要执行额外的配置步骤来确保针对 SAP 部署优化解决方案。 本文提供用于 SAP 应用程序的 Microsoft Sentinel 解决方案提供的安全内容的最佳做法,是部署 SAP 集成的最后一步。

重要

SAP 的数据连接器代理已 弃用 ,将在 2026 年 9 月 14 日前永久禁用。 建议 迁移到无代理数据连接器。 从 我们的博客文章中详细了解无代理方法。

SAP 解决方案部署流的示意图,其中突出显示了“配置解决方案设置”步骤。

SAP 解决方案部署流的示意图,其中突出显示了“配置解决方案设置”步骤。

本文中的内容与 安全 团队相关。

先决条件

在配置本文中所述的设置之前,必须安装 Microsoft Sentinel SAP 解决方案并配置数据连接器。

有关详细信息,请参阅从内容中心为 SAP 应用程序部署Microsoft Sentinel解决方案为 SAP 应用程序部署Microsoft Sentinel解决方案

提示

使用博客系列“如何成功评估 SAP for Sentinel 解决方案并在生产中实现”,详细了解最佳做法。

开始启用分析规则

默认情况下,SAP 应用程序的 Microsoft Sentinel 解决方案中的所有分析规则都作为警报规则模板提供。 建议采用分阶段方法,使用模板一次创建一些规则,以便有时间微调每个方案。

建议从以下分析规则开始,这些规则被认为更易于测试:

有关详细信息,请参阅 Microsoft Sentinel 中的内置分析规则威胁检测

配置监视列表

通过在以下监视列表中提供特定于客户的信息,为 SAP 应用程序配置Microsoft Sentinel解决方案:

监视列表名称 配置详细信息
SAP - 系统 SAP - 系统监视列表定义受监视环境中存在的 SAP 系统。

对于每个系统,请指定:
- SID
- 无论是生产系统还是开发/测试环境。 在监视列表中定义此功能不会影响计费,并且仅影响分析规则。 例如,你可能希望在测试时将测试系统用作生产系统。
- 有意义的说明

配置的数据由某些分析规则使用,如果开发或生产系统中出现相关事件,这些规则的反应可能会有所不同。
SAP - 网络 SAP - Networks 监视列表概述了组织使用的所有网络。 它主要用于标识用户登录是否源自网络的已知段内,或者用户的登录源是否发生了意外更改。

记录网络拓扑的方法有多种。 可以定义范围广泛的地址(如 172.16.0.0/16),并将其命名为 “企业网络”,这足以跟踪来自该范围之外的登录。 但是,通过更细分的方法,可以更好地了解潜在的非典型活动。

例如,可以定义以下段和地理位置:
- 192.168.10.0/23:西欧
- 10.15.0.0/16:澳大利亚

在这种情况下,Microsoft Sentinel可以将第一个段中的登录从 192.168.10.15 与第二个段中的 10.15.2.1 区分开来。 如果此类行为被标识为非典型,Microsoft Sentinel会发出警报。
SAP - 敏感函数模块

SAP - 敏感表

SAP - 敏感 ABAP 程序

SAP - 敏感事务		 敏感内容监视列表 标识可由用户执行或访问的敏感操作或数据。

虽然监视列表中预配置了多个已知操作、表和授权,但我们建议你咨询 SAP BASIS 团队,以确定在 SAP 环境中被视为敏感的操作、事务、授权和表,并根据需要更新列表。
SAP - 敏感配置文件

SAP - 敏感角色

SAP - 特权用户

SAP - 关键授权		 SAP 应用程序的Microsoft Sentinel解决方案使用从 SAP 系统的用户数据监视列表中收集的用户数据来确定应将哪些用户、配置文件和角色视为敏感用户。 虽然示例数据默认包含在监视列表中,但我们建议你咨询 SAP BASIS 团队,以确定组织中的敏感用户、角色和配置文件,并根据需要更新列表。

初始解决方案部署后,可能需要一些时间才能使用数据填充监视列表。 如果打开监视列表进行编辑,发现它为空,请等待几分钟,然后重试。

有关详细信息,请参阅 可用监视列表

使用工作簿检查 SAP 安全控制措施的合规性

SAP 应用程序的Microsoft Sentinel解决方案包括 SAP - 安全审核控件工作簿,该工作簿可帮助你检查 SAP 安全控制措施的合规性。 工作簿提供已到位的安全控制措施以及每个控件的符合性状态的综合视图。

有关详细信息,请参阅 使用 SAP - 安全审核控件工作簿检查 SAP 安全控制措施的合规性

后续步骤

使用Microsoft Sentinel为 SAP 发现更多内容,包括函数、playbook、工作簿等。 本文重点介绍一些有用的起点,应继续实施其他内容,以充分利用 SAP 安全监视。

有关更多信息,请参阅:

相关内容

有关更多信息,请参阅:

  • Last updated on