Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao implementar um Microsoft Sentinel recoletor de dados e solução para o SAP, fornece-lhe a capacidade de monitorizar os sistemas SAP para atividades suspeitas e identificar ameaças, são necessários passos de configuração adicionais para garantir que a solução está otimizada para a sua implementação SAP. Este artigo fornece as melhores práticas para começar a utilizar o conteúdo de segurança fornecido com a solução Microsoft Sentinel para aplicações SAP e é o último passo na implementação da integração sap.
Importante
O agente do conector de dados para SAP está a ser preterido e estará permanentemente desativado até 14 de setembro de 2026. Recomendamos que migre para o conector de dados sem agente. Saiba mais sobre a abordagem sem agente na nossa mensagem de blogue.
Os conteúdos neste artigo são relevantes para a sua equipa de segurança .
Pré-requisitos
Antes de configurar as definições descritas neste artigo, tem de ter uma solução SAP Microsoft Sentinel instalada e um conector de dados configurado.
Para obter mais informações, veja Implementar a solução de Microsoft Sentinel para aplicações SAP a partir do hub de conteúdos e Implementar Microsoft Sentinel solução para aplicações SAP.
Dica
Utilize a série de blogues "How to successfully evaluate the SAP for Sentinel solution and implement it in production" (Como avaliar com êxito o SAP para Sentinel solução e implementá-lo em produção) para obter instruções detalhadas sobre as melhores práticas.
Começar a ativar regras de análise
Por predefinição, todas as regras de análise na solução Microsoft Sentinel para aplicações SAP são fornecidas como modelos de regras de alerta. Recomendamos uma abordagem faseada, em que utilize os modelos para criar algumas regras de cada vez, permitindo tempo para otimizar cada cenário.
Recomendamos que comece com as seguintes regras de análise, que são consideradas mais simples de testar:
- Alteração no utilizador com privilégios confidenciais
- Utilizador com privilégios confidenciais com sessão iniciada
- Utilizador com privilégios confidenciais efetua uma alteração noutros utilizadores
- Alteração e Início de Sessão de Palavra-passe de Utilizadores Confidenciais
- Alteração da Configuração do Cliente
- Módulo de Função testado
Para obter mais informações, veja Regras de análise incorporadas e Deteção de ameaças no Microsoft Sentinel.
Configurar listas de observação
Configure a sua solução de Microsoft Sentinel para aplicações SAP ao fornecer informações específicas do cliente nas seguintes listas de observação:
| Nome da lista de observação | Detalhes da configuração |
|---|---|
| SAP - Sistemas | A lista de observação SAP - Sistemas define os sistemas SAP que estão presentes no ambiente monitorizado. Para cada sistema, especifique: - O SID - Seja um sistema de produção ou um ambiente de desenvolvimento/teste. Definir isto na sua lista de observação não afeta a faturação e só influencia a regra de análise. Por exemplo, poderá querer utilizar um sistema de teste como um sistema de produção durante os testes. - Uma descrição significativa Os dados configurados são utilizados por algumas regras de análise, que podem reagir de forma diferente se aparecerem eventos relevantes num sistema de desenvolvimento ou de produção. |
| SAP - Redes | A lista de observação SAP - Redes descreve todas as redes utilizadas pela organização. É utilizado principalmente para identificar se os inícios de sessão do utilizador têm ou não origem em segmentos conhecidos da rede ou se a origem de início de sessão de um utilizador muda inesperadamente. Existem muitas abordagens para documentar a topologia de rede. Pode definir um vasto leque de endereços, como 172.16.0.0/16, e dar-lhe o nome Rede Empresarial, o que é bom o suficiente para controlar inícios de sessão de fora desse intervalo. No entanto, uma abordagem mais segmentada permite-lhe uma melhor visibilidade da atividade potencialmente atípica. Por exemplo, pode definir os seguintes segmentos e localizações geográficas: - 192.168.10.0/23: Europa Ocidental - 10.15.0.0/16: Austrália Nestes casos, Microsoft Sentinel pode diferenciar um início de sessão de 192.168.10.15 no primeiro segmento de um início de sessão de 10.15.2.1 no segundo segmento. Microsoft Sentinel alerta-o se esse comportamento for identificado como atípico. |
|
SAP – Módulos de Função Confidenciais SAP - Tabelas Confidenciais SAP – Programas ABAP Confidenciais SAP – Transações Confidenciais |
As listas de observação de conteúdo confidencial identificam ações ou dados confidenciais que podem ser realizados ou acedidos pelos utilizadores. Embora várias operações, tabelas e autorizações bem conhecidas estejam pré-configuradas nas listas de observação, recomendamos que consulte a equipa SAP BASIS para identificar as operações, transações, autorizações e tabelas que são consideradas confidenciais no seu ambiente SAP e atualize as listas conforme necessário. |
|
SAP - Perfis Confidenciais SAP – Funções Confidenciais SAP – Utilizadores Com Privilégios SAP – Autorizações Críticas |
A solução Microsoft Sentinel para aplicações SAP utiliza dados de utilizador recolhidos em listas de observação de dados de utilizadores a partir de sistemas SAP para identificar que utilizadores, perfis e funções devem ser considerados confidenciais. Embora os dados de exemplo estejam incluídos nas listas de observação por predefinição, recomendamos que consulte a sua equipa sap basis para identificar os utilizadores, funções e perfis confidenciais na sua organização e atualizar as listas conforme necessário. |
Após a implementação da solução inicial, poderá demorar algum tempo até que as listas de observação sejam preenchidas com dados. Se abrir uma lista de observação para edição e descobrir que está vazia, aguarde alguns minutos e tente novamente.
Para obter mais informações, veja Listas de observação disponíveis.
Utilizar um livro para marcar conformidade para os controlos de segurança SAP
A solução Microsoft Sentinel para aplicações SAP inclui o livro SAP – Controlos de Auditoria de Segurança, que o ajuda a marcar conformidade para os controlos de segurança SAP. O livro fornece uma vista abrangente dos controlos de segurança implementados e do status de conformidade de cada controlo.
Para obter mais informações, veja Verificar a conformidade dos controlos de segurança SAP com o livro SAP – Controlos de Auditoria de Segurança.
Próxima etapa
Existem muito mais conteúdos para descobrir para o SAP com Microsoft Sentinel, incluindo funções, manuais de procedimentos, livros e muito mais. Este artigo destaca alguns pontos de partida úteis e deve continuar a implementar outros conteúdos para tirar o máximo partido da monitorização de segurança sap.
Para saber mais, confira:
- Microsoft Sentinel solução para aplicações SAP – referência de funções
- Microsoft Sentinel solução para aplicações SAP: referência de conteúdo de segurança.
Conteúdo relacionado
Para saber mais, confira: