Monitorowane parametry zabezpieczeń sap do wykrywania podejrzanych zmian konfiguracji
Ten artykuł zawiera szczegółowe informacje o parametrach zabezpieczeń w systemie SAP, które rozwiązanie Microsoft Sentinel dla aplikacji SAP® monitoruje w ramach reguły analizy "SAP — (wersja zapoznawcza) Zmieniono poufny statyczny parametr.
Rozwiązanie Microsoft Sentinel dla aplikacji SAP® zapewni aktualizacje tej zawartości zgodnie ze zmianami najlepszych rozwiązań SAP. Możesz również dodać parametry do watch, zmienić wartości zgodnie z potrzebami organizacji i wyłączyć określone parametry na liście kontrolnej SAPSystemParameters.
Uwaga
Aby rozwiązanie Microsoft Sentinel dla aplikacji SAP pomyślnie monitorowało parametry zabezpieczeń SAP®, rozwiązanie musi pomyślnie monitorować tabelę SAP PAHI w regularnych odstępach czasu. Sprawdź, czy rozwiązanie może pomyślnie monitorować tabelę PAHI.
Monitorowane statyczne parametry zabezpieczeń SAP
Ta lista zawiera statyczne parametry zabezpieczeń SAP, które rozwiązanie Microsoft Sentinel dla aplikacji SAP® monitoruje w celu ochrony systemu SAP. Lista nie jest rekomendacją dotyczącą konfigurowania tych parametrów. Aby zapoznać się z zagadnieniami dotyczącymi konfiguracji, zapoznaj się z administratorami oprogramowania SAP.
| Parametr | Opis | Wartość/zagadnienia dotyczące zabezpieczeń |
|---|---|---|
| gw/accept_remote_trace_level | Określa, czy podsystemy Central Process Integration (CPI) i Remote Function Call (RFC) przyjmują poziom śledzenia zdalnego. Gdy ten parametr jest ustawiony na 1, podsystemy CPI i RFC akceptują i przyjmują poziomy śledzenia zdalnego. W przypadku ustawienia na 0wartość poziomy śledzenia zdalnego nie są akceptowane, a zamiast tego jest używany lokalny poziom śledzenia.Poziom śledzenia to ustawienie, które określa poziom szczegółów zarejestrowanych w dzienniku systemowym dla określonego programu lub procesu. Gdy podsystemy przyjmują poziomy śledzenia, można ustawić poziom śledzenia dla programu lub procesu z systemu zdalnego, a nie tylko z systemu lokalnego. To ustawienie może być przydatne w sytuacjach, w których wymagane jest zdalne debugowanie lub rozwiązywanie problemów. |
Parametr można skonfigurować tak, aby ograniczyć poziom śledzenia akceptowany z systemów zewnętrznych. Ustawienie niższego poziomu śledzenia może zmniejszyć ilość informacji, które systemy zewnętrzne mogą uzyskać o wewnętrznych działaniach systemu SAP. |
| logowanie/password_change_for_SSO | Określa sposób wymuszania zmian haseł w sytuacjach logowania jednokrotnego. | Wysoki, ponieważ wymuszanie zmian haseł może pomóc zapobiec nieautoryzowanemu dostępowi do systemu przez osoby atakujące, które mogły uzyskać prawidłowe poświadczenia za pośrednictwem wyłudzania informacji lub innych środków. |
| icm/accept_remote_trace_level | Określa, czy menedżer komunikacji internetowej (ICM) akceptuje zmiany na poziomie śledzenia zdalnego z systemów zewnętrznych. | Średni, ponieważ zezwolenie na zmiany na poziomie śledzenia zdalnego może zapewnić cenne informacje diagnostyczne osobom atakującym i potencjalnie naruszyć bezpieczeństwo systemu. |
| rdisp/gui_auto_logout | Określa maksymalny czas bezczynności dla połączeń z graficznym interfejsem użytkownika SAP przed automatycznym wylogowaniem użytkownika. | Wysoki, ponieważ automatyczne wylogowanie nieaktywnych użytkowników może pomóc zapobiec nieautoryzowanemu dostępowi do systemu przez osoby atakujące, które mogły uzyskać dostęp do stacji roboczej użytkownika. |
| rsau/enable | Określa, czy dziennik inspekcji zabezpieczeń jest włączony. | Wysoki, ponieważ dziennik inspekcji zabezpieczeń może dostarczyć cennych informacji na temat wykrywania i badania zdarzeń zabezpieczeń. |
| logowanie/min_password_diff | Określa minimalną liczbę znaków, które muszą się różnić między starym i nowym hasłem, gdy użytkownicy zmieniają swoje hasła. | Wysoka, ponieważ wymaganie minimalnej liczby różnic znaków może pomóc użytkownikom w wyborze słabych haseł, które można łatwo odgadnąć. |
| logowanie/min_password_digits | Ustawia minimalną liczbę cyfr wymaganych w haśle dla użytkownika. | Wysoki, ponieważ parametr zwiększa złożoność haseł i utrudnia ich odgadnięcie lub złamanie. |
| logowanie/ticket_only_by_https | Ten parametr określa, czy bilety uwierzytelniania są wysyłane tylko za pośrednictwem protokołu HTTPS, czy też mogą być wysyłane za pośrednictwem protokołu HTTP. | Wysoki, ponieważ użycie protokołu HTTPS do transmisji biletów szyfruje dane przesyłane, co zwiększa bezpieczeństwo. |
| auth/rfc_authority_check | Określa, czy kontrole urzędu są wykonywane dla kontrolerów RFC. | Wysoki, ponieważ włączenie tego parametru pomaga zapobiec nieautoryzowanemu dostępowi do poufnych danych i funkcji za pośrednictwem rfCs. |
| gw/acl_mode | Ustawia tryb dla pliku listy kontroli dostępu (ACL) używanego przez bramę SAP. | Wysoki, ponieważ parametr kontroluje dostęp do bramy i pomaga zapobiec nieautoryzowanemu dostępowi do systemu SAP. |
| gw/rejestrowanie | Steruje ustawieniami rejestrowania bramy SAP. | Wysoki, ponieważ ten parametr może służyć do monitorowania i wykrywania podejrzanych działań lub potencjalnych naruszeń zabezpieczeń. |
| logowanie/fails_to_session_end | Ustawia liczbę dozwolonych nieprawidłowych prób logowania przed zakończeniem sesji użytkownika. | Wysoki, ponieważ parametr pomaga zapobiegać atakom siłowym na kontach użytkowników. |
| wdisp/ssl_encrypt | Ustawia tryb ponownego szyfrowania SSL żądań HTTP. | Wysoki, ponieważ ten parametr gwarantuje, że dane przesyłane za pośrednictwem protokołu HTTP są szyfrowane, co pomaga zapobiegać podsłuchom i manipulowaniu danymi. |
| logowanie/no_automatic_user_sapstar | Steruje automatycznym logowaniem użytkownika SAP*. | Wysoki, ponieważ ten parametr pomaga zapobiec nieautoryzowanemu dostępowi do systemu SAP za pośrednictwem domyślnego konta SAP*. |
| rsau/max_diskspace/local | Definiuje maksymalną ilość miejsca na dysku, która może być używana do lokalnego magazynu dzienników inspekcji. Ten parametr zabezpieczeń pomaga zapobiec wypełnianiu miejsca na dysku i zapewnia dostępność dzienników inspekcji do badania. | Ustawienie odpowiedniej wartości dla tego parametru pomaga zapobiec używaniu zbyt dużej ilości miejsca w lokalnych dziennikach inspekcji, co może prowadzić do problemów z wydajnością systemu, a nawet ataków typu "odmowa usługi". Z drugiej strony ustawienie wartości, która jest zbyt niska, może spowodować utratę danych dziennika inspekcji, które mogą być wymagane do zapewnienia zgodności i inspekcji. |
| snc/extid_login_diag | Włącza lub wyłącza rejestrowanie identyfikatora zewnętrznego w błędach logowania secure network communication (SNC). Ten parametr zabezpieczeń może pomóc zidentyfikować próby nieautoryzowanego dostępu do systemu. | Włączenie tego parametru może być przydatne w przypadku rozwiązywania problemów związanych z usługą SNC, ponieważ udostępnia dodatkowe informacje diagnostyczne. Jednak parametr może również uwidocznić poufne informacje o zewnętrznych produktach zabezpieczających używanych przez system, co może być potencjalnym zagrożeniem bezpieczeństwa, jeśli te informacje wpadną w złe ręce. |
| logowanie/password_change_waittime | Definiuje liczbę dni, przez które użytkownik musi czekać przed ponownym zmianą hasła. Ten parametr zabezpieczeń pomaga wymusić zasady haseł i upewnić się, że użytkownicy okresowo zmieniają swoje hasła. | Ustawienie odpowiedniej wartości dla tego parametru może pomóc zapewnić, że użytkownicy regularnie zmieniają swoje hasła, aby zachować bezpieczeństwo systemu SAP. Jednocześnie ustawienie zbyt krótkiego czasu oczekiwania może być sprzeczne z produktem, ponieważ użytkownicy mogą częściej używać haseł lub wybierać słabe hasła, które są łatwiejsze do zapamiętania. |
| snc/accept_insecure_cpic | Określa, czy system akceptuje niezabezpieczone połączenia SNC przy użyciu protokołu CPIC. Ten parametr zabezpieczeń kontroluje poziom zabezpieczeń połączeń SNC. | Włączenie tego parametru może zwiększyć ryzyko przechwytywania lub manipulowania danymi, ponieważ akceptuje połączenia chronione przez SNC, które nie spełniają minimalnych standardów zabezpieczeń. W związku z tym zalecaną wartością zabezpieczeń dla tego parametru jest ustawienie wartości 0, co oznacza, że akceptowane są tylko połączenia SNC spełniające minimalne wymagania dotyczące zabezpieczeń. |
| snc/accept_insecure_r3int_rfc | Określa, czy system akceptuje niezabezpieczone połączenia SNC dla protokołów R/3 i RFC. Ten parametr zabezpieczeń kontroluje poziom zabezpieczeń połączeń SNC. | Włączenie tego parametru może zwiększyć ryzyko przechwytywania lub manipulowania danymi, ponieważ akceptuje połączenia chronione przez SNC, które nie spełniają minimalnych standardów zabezpieczeń. W związku z tym zalecaną wartością zabezpieczeń dla tego parametru jest ustawienie wartości 0, co oznacza, że akceptowane są tylko połączenia SNC spełniające minimalne wymagania dotyczące zabezpieczeń. |
| snc/accept_insecure_rfc | Określa, czy system akceptuje niezabezpieczone połączenia SNC przy użyciu protokołów RFC. Ten parametr zabezpieczeń kontroluje poziom zabezpieczeń połączeń SNC. | Włączenie tego parametru może zwiększyć ryzyko przechwytywania lub manipulowania danymi, ponieważ akceptuje połączenia chronione przez SNC, które nie spełniają minimalnych standardów zabezpieczeń. W związku z tym zalecaną wartością zabezpieczeń dla tego parametru jest ustawienie wartości 0, co oznacza, że akceptowane są tylko połączenia SNC spełniające minimalne wymagania dotyczące zabezpieczeń. |
| snc/data_protection/max | Definiuje maksymalny poziom ochrony danych dla połączeń SNC. Ten parametr zabezpieczeń kontroluje poziom szyfrowania używany dla połączeń SNC. | Ustawienie wysokiej wartości dla tego parametru może zwiększyć poziom ochrony danych i zmniejszyć ryzyko przechwytywania lub manipulowania danymi. Zalecana wartość zabezpieczeń dla tego parametru zależy od konkretnych wymagań organizacji dotyczących zabezpieczeń i strategii zarządzania ryzykiem. |
| rspo/auth/pagelimit | Definiuje maksymalną liczbę żądań buforu, które użytkownik może wyświetlać lub usuwać jednocześnie. Ten parametr zabezpieczeń pomaga zapobiegać atakom typu "odmowa usługi" w systemie buforowania. | Ten parametr nie ma bezpośredniego wpływu na bezpieczeństwo systemu SAP, ale może pomóc zapobiec nieautoryzowanemu dostępowi do poufnych danych autoryzacji. Ograniczając liczbę wpisów wyświetlanych na stronie, może zmniejszyć ryzyko nieautoryzowanych osób wyświetlających poufne informacje o autoryzacji. |
| snc/accept_insecure_gui | Określa, czy system akceptuje niezabezpieczone połączenia SNC przy użyciu graficznego interfejsu użytkownika. Ten parametr zabezpieczeń kontroluje poziom zabezpieczeń połączeń SNC. | Ustawienie wartości tego parametru na wartość jest zalecane w celu zapewnienia bezpieczeństwa połączeń SNC wykonanych za pośrednictwem graficznego interfejsu 0 użytkownika SAP oraz zmniejszenia ryzyka nieautoryzowanego dostępu lub przechwytywania poufnych danych. Zezwolenie na niezabezpieczone połączenia SNC może zwiększyć ryzyko nieautoryzowanego dostępu do poufnych informacji lub przechwytywania danych i należy wykonać tylko wtedy, gdy istnieje konkretna potrzeba, a ryzyko zostało prawidłowo ocenione. |
| logowanie/accept_sso2_ticket | Włącza lub wyłącza akceptację biletów logowania jednokrotnego SSO2 na potrzeby logowania. Ten parametr zabezpieczeń kontroluje poziom zabezpieczeń logowania do systemu. | Włączenie logowania jednokrotnego 2 może zapewnić bardziej usprawnione i wygodne środowisko użytkownika, ale także wprowadza dodatkowe zagrożenia bezpieczeństwa. Jeśli osoba atakująca uzyska dostęp do prawidłowego biletu SSO2, może być w stanie personifikować uprawnionego użytkownika i uzyskać nieautoryzowany dostęp do poufnych danych lub wykonać złośliwe działania. |
| logowanie/multi_login_users | Określa, czy dla tego samego użytkownika jest dozwolonych wiele sesji logowania. Ten parametr zabezpieczeń kontroluje poziom zabezpieczeń sesji użytkowników i pomaga zapobiegać nieautoryzowanemu dostępowi. | Włączenie tego parametru może pomóc zapobiec nieautoryzowanemu dostępowi do systemów SAP, ograniczając liczbę równoczesnych logowań dla jednego użytkownika. Jeśli ten parametr jest ustawiony na 0wartość , dozwolona jest tylko jedna sesja logowania dla użytkownika, a dodatkowe próby logowania są odrzucane. Może to pomóc zapobiec nieautoryzowanemu dostępowi do systemów SAP, jeśli poświadczenia logowania użytkownika zostaną naruszone lub udostępnione innym osobom. |
| logowanie/password_expiration_time | Określa maksymalny interwał czasu w dniach, dla którego hasło jest prawidłowe. Po upływie tego czasu użytkownik zostanie poproszony o zmianę hasła. | Ustawienie tego parametru na niższą wartość może zwiększyć bezpieczeństwo, zapewniając, że hasła są często zmieniane. |
| logowanie/password_max_idle_initial | Określa maksymalny interwał czasu w minutach, dla którego użytkownik może pozostać zalogowany bez wykonywania żadnych działań. Po upływie tego czasu użytkownik zostanie automatycznie wylogowany. | Ustawienie niższej wartości dla tego parametru może poprawić bezpieczeństwo, zapewniając, że bezczynne sesje nie są otwarte przez dłuższy czas. |
| logowanie/password_history_size | Określa liczbę poprzednich haseł, których użytkownik nie może ponownie użyć. | Ten parametr uniemożliwia użytkownikom wielokrotne używanie tych samych haseł, co może poprawić bezpieczeństwo. |
| snc/data_protection/use | Umożliwia korzystanie z ochrony danych SNC. Po włączeniu SNC gwarantuje, że wszystkie dane przesyłane między systemami SAP są szyfrowane i bezpieczne. | |
| rsau/max_diskspace/per_day | Określa maksymalną ilość miejsca na dysku w MB, która może być używana do dzienników inspekcji dziennie. Ustawienie niższej wartości tego parametru może pomóc zapewnić, że dzienniki inspekcji nie zużywają zbyt dużej ilości miejsca na dysku i mogą być efektywnie zarządzane. | |
| snc/enable | Umożliwia komunikację SNC między systemami SAP. | Po włączeniu SNC zapewnia dodatkową warstwę zabezpieczeń przez szyfrowanie danych przesyłanych między systemami. |
| auth/no_check_in_some_cases | Wyłącza kontrole autoryzacji w niektórych przypadkach. | Chociaż ten parametr może poprawić wydajność, może również stanowić zagrożenie bezpieczeństwa, umożliwiając użytkownikom wykonywanie akcji, dla których mogą nie mieć uprawnień. |
| auth/object_disabling_active | Wyłącza określone obiekty autoryzacji dla kont użytkowników, które były nieaktywne przez określony okres czasu. | Może pomóc zwiększyć bezpieczeństwo, zmniejszając liczbę nieaktywnych kont z niepotrzebnymi uprawnieniami. |
| logowanie/disable_multi_gui_login | Uniemożliwia użytkownikowi logowanie się do wielu sesji graficznego interfejsu użytkownika jednocześnie. | Ten parametr może pomóc zwiększyć bezpieczeństwo, zapewniając, że użytkownicy są zalogowani tylko do jednej sesji naraz. |
| logowanie/min_password_lng | Określa minimalną długość hasła. | Ustawienie wyższej wartości dla tego parametru może zwiększyć bezpieczeństwo, zapewniając, że hasła nie są łatwo odgadane. |
| rfc/reject_expired_passwd | Uniemożliwia wykonywanie rfcs po wygaśnięciu hasła użytkownika. | Włączenie tego parametru może być przydatne podczas wymuszania zasad haseł i zapobiegania nieautoryzowanemu dostępowi do systemów SAP. Po ustawieniu tego parametru na 1wartość połączenia RFC zostaną odrzucone, jeśli hasło użytkownika wygasło, a użytkownik zostanie poproszony o zmianę hasła przed nawiązaniem połączenia. Dzięki temu tylko autoryzowani użytkownicy z prawidłowymi hasłami mogą uzyskiwać dostęp do systemu. |
| rsau/max_diskspace/per_file | Ustawia maksymalny rozmiar pliku inspekcji, który może utworzyć inspekcja systemu SAP. Ustawienie niższej wartości pomaga zapobiec nadmiernemu wzrostowi plików inspekcji, a tym samym pomaga zapewnić odpowiednie miejsce na dysku. | Ustawienie odpowiedniej wartości pomaga zarządzać rozmiarem plików inspekcji i unikać problemów z magazynem. |
| logowanie/min_password_letters | Określa minimalną liczbę liter, które muszą być uwzględnione w haśle użytkownika. Ustawienie wyższej wartości pomaga zwiększyć siłę i bezpieczeństwo haseł. | Ustawienie odpowiedniej wartości pomaga wymusić zasady haseł i poprawić bezpieczeństwo haseł. |
| rsau/selection_slots | Ustawia liczbę miejsc wyboru, które mogą być używane dla plików inspekcji. Ustawienie wyższej wartości może pomóc uniknąć zastępowania starszych plików inspekcji. | Pomaga zapewnić, że pliki inspekcji są przechowywane przez dłuższy czas, co może być przydatne w przypadku naruszenia zabezpieczeń. |
| gw/sim_mode | Ten parametr ustawia tryb symulacji bramy. Po włączeniu brama symuluje tylko komunikację z systemem docelowym i nie ma rzeczywistej komunikacji. | Włączenie tego parametru może być przydatne do celów testowych i może pomóc w zapobieganiu niezamierzonym zmianom systemu docelowego. |
| logowanie/fails_to_user_lock | Ustawia liczbę nieudanych prób logowania, po których konto użytkownika zostanie zablokowane. Ustawienie niższej wartości pomaga zapobiegać atakom siłowym. | Pomaga zapobiegać nieautoryzowanemu dostępowi do systemu i chronić konta użytkowników przed naruszeniem zabezpieczeń. |
| logowanie/password_compliance_to_current_policy | Wymusza zgodność nowych haseł z bieżącymi zasadami haseł systemu. Jego wartość powinna być ustawiona tak, aby 1 włączyć tę funkcję. |
Wysoka. Włączenie tego parametru może pomóc zapewnić, że użytkownicy są zgodni z bieżącymi zasadami haseł podczas zmieniania haseł, co zmniejsza ryzyko nieautoryzowanego dostępu do systemów SAP. Po ustawieniu tego parametru na 1wartość użytkownicy są monitowani o zgodność z bieżącymi zasadami haseł podczas zmieniania haseł. |
| rfc/ext_debugging | Włącza tryb debugowania RFC dla zewnętrznych wywołań RFC. Jego wartość powinna być ustawiona na wartość , aby 0 wyłączyć tę funkcję. |
|
| gw/monitor | Umożliwia monitorowanie połączeń bramy. Jego wartość powinna być ustawiona tak, aby 1 włączyć tę funkcję. |
|
| logowanie/create_sso2_ticket | Umożliwia tworzenie biletów SSO2 dla użytkowników. Jego wartość powinna być ustawiona tak, aby 1 włączyć tę funkcję. |
|
| logowanie/failed_user_auto_unlock | Włącza automatyczne odblokowywanie kont użytkowników po nieudanej próbie logowania. Jego wartość powinna być ustawiona tak, aby 1 włączyć tę funkcję. |
|
| logowanie/min_password_uppercase | Ustawia minimalną liczbę wielkich liter wymaganych w nowych hasłach. Jego wartość powinna być ustawiona na dodatnią liczbę całkowitą. | |
| logowanie/min_password_specials | Ustawia minimalną liczbę znaków specjalnych wymaganych w nowych hasłach. Jego wartość powinna być ustawiona na dodatnią liczbę całkowitą. | |
| snc/extid_login_rfc | Umożliwia korzystanie z SNC na potrzeby zewnętrznych wywołań RFC. Jego wartość powinna być ustawiona tak, aby 1 włączyć tę funkcję. |
|
| logowanie/min_password_lowercase | Ustawia minimalną liczbę małych liter wymaganych w nowych hasłach. Jego wartość powinna być ustawiona na dodatnią liczbę całkowitą. | |
| logowanie/password_downwards_compatibility | Umożliwia ustawienie haseł przy użyciu starych algorytmów tworzenia skrótów w celu zapewnienia zgodności z poprzednimi wersjami systemów. Jego wartość powinna być ustawiona na wartość , aby 0 wyłączyć tę funkcję. |
|
| snc/data_protection/min | Określa minimalny poziom ochrony danych, który musi być używany dla połączeń chronionych przez SNC. Jego wartość powinna być ustawiona na dodatnią liczbę całkowitą. | Ustawienie odpowiedniej wartości dla tego parametru pomaga zapewnić, że połączenia chronione przez SNC zapewniają minimalny poziom ochrony danych. To ustawienie pomaga zapobiec przechwyceniu lub manipulowaniu poufnymi informacjami przez osoby atakujące. Wartość tego parametru powinna być ustawiana na podstawie wymagań dotyczących zabezpieczeń systemu SAP oraz poufności danych przesyłanych za pośrednictwem połączeń chronionych przez SNC. |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Zawartość zabezpieczeń rozwiązania SAP
- Dokumentacja dzienników dzienników aplikacji SAP® dla rozwiązania Microsoft Sentinel
- Monitorowanie kondycji systemu SAP
- Wdrażanie rozwiązania Microsoft Sentinel dla łącznika danych aplikacji SAP® przy użyciu protokołu SNC
- Dokumentacja pliku konfiguracji
- Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania aplikacji SAP®