Olá meus heróis e heroínas da TI. Wellington Agápto por aqui. Hoje eu trouxe para vocês o artigo “Passos para você integrar o Microsoft Sentinel com o SAP”. Não esqueça de me seguir no Instagram, conhecer meu Site, se inscrever no meu Canal, deixar o seu like e compartilhar esse artigo, para fortalecermos cada vez mais a nossa comunidade. Um grande abraço e boa leitura.
Por quê integrar o Microsoft Sentinel com o SAP?
Os sistemas SAP lidam com informações altamente confidenciais e por isso é um alvo constante dos atacantes. Normalmente, as equipes de operações de segurança têm muito pouca visibilidade desses sistemas e uma violação pode resultar em roubo de arquivos ou exposição de dados. Depois que um invasor entra no sistema, há poucos controles nativos para detectar a exfiltração ou outros atos mal-intencionados. Por isso a importância de você correlacionar os dados do SAP em um SIEM.
Quais as fontes de Log capturadas no SAP?
O conector de dados carrega os seguintes logs:
- Log de Auditoria de Segurança ABAP
- Log de Documentos de Alteração ABAP
- Log do Spool ABAP
- Log de Saída do Spool ABAP
- Log de Trabalho ABAP
- Log de Fluxo de Trabalho do ABAP
- Dados de Tabela do Banco de Dados ABAP
- Dados Mestre do Usuário SAP
- Log do ABAP CR
- Logs do ICM
- Logs do JAVA Webdispacher
- syslog
Cobertura de detecção de ameaças
As seguintes ameças podem ser detectadas:
- Operações de privilégios suspeitos – Criação de usuário com privilégios
- Uso de usuários para interrupções
- Desbloquear um usuário e fazer logon no mesmo IP
- Atribuição de funções confidenciais e privilégios de administrador
- O usuário desbloqueia e usa outros usuários
- Atribuição de Autorização Crítica
- Tentativas de ignorar os mecanismos de segurança do SAP –
- Desabilitar log de auditoria (HANA e SAP)
- Execução de módulos de função confidencial
- Desbloquear transações bloqueadas
- Depurar sistemas de produção
- Acesso direto a tabelas confidenciais por RFC
- Execução da Função Sanative por RFC
- Alteração de Configuração do Sistema, Programa Dinâmico ABAP.
- Criação de backdoor (persistência)
- Criação de novas ICFs (interfaces voltadas para a Internet)
- Acessar diretamente tabelas confidenciais por chamada de função remota
- Atribuir novos manipuladores de serviço ao ICF
- Execução de programas obsoletos
- O usuário desbloqueia e usa outros usuários.
- Exfiltração dos dados
- Vários downloads de arquivos
- Aquisições do Spool
- Permitir acesso a conexões & de servidores FTP desprotegidos em hosts não autorizados
- Destino Dinâmico RFC
- Banco de Dados HANA – Ações de Administração de Usuário no nível do banco de dados.
- Acesso Inicial – Força bruta
- Vários logons no mesmo IP
- Logons de usuário com privilégios em redes inesperadas
- Ataque de Reprodução SPNego
Passos para você integrar o Microsoft Sentinel com o SAP
Apesar de não ser complexa são muitas as etapas para essa integração, como os links são espalhados e muitas vezes confusos, eu resumi todos os links oficiais da Microsoft para auxiliá-los nesse processo de integração.
1. Pré-requisitos de implantação
2. Preparar o ambiente SAP
3. Implantar o agente do conector de dados
4. Implantar o conteúdo de segurança do SAP
5. Aplicativos da Solução do Microsoft Sentinel para SAP®
6. Etapas opcionais
- Configurar auditoria
- Configurar o Microsoft Sentinel para o conector de dados SAP para usar o SNC
- Configurar regras de monitoramento do log de auditoria
- Selecionar os perfis de ingestão do SAP
Curso gratuito com certificado?
Faça o curso de Fundamentos da computação em nuvem gratuitamente e garanta o seu certificado. Inscreva-se clicando AQUI.
Cursos por apenas R$ 9,90
A Comunidade Cloud Hero foi criada para profissionais que desejam estar entre um seleto grupo de especialistas. Tornando-se um membro da comunidade você terá acesso a cursos, grupo VIP no WhatsApp, E-books, e downloads dos produtos mais utilizados no mercado da tecnologia da informação. Tudo isso por apenas R$ 9,90 por mês.
Clique AQUI e saiba mais.
Certificação em 4 Semanas
Escolha umas das certificações a seguir e seja aprovado em até 4 semanas: SC-100 – Microsoft Cybersecurity Architect, CLF-C01: AWS Certified Cloud Practitioner, AZ-900: Fundamentos do Microsoft Azure, AZ-104: Administrador do Microsoft Azure, AZ-500: Engenheiro de Segurança do Microsoft Azure, AZ-800: Administrando uma infraestrutura híbrida do Windows Server, MS-900: Fundamentos do Microsoft 365, MS-100: Identidades e Serviços do Microsoft 365, MS-101: Mobilidade e Segurança do Microsoft 365, MS-203: Microsoft Messaging Administrator, MS-500: Administrador de Segurança do Microsoft 365, MS-700: Administrador do Microsoft Teams, SC-900: Segurança no Microsoft 365.
Clique AQUI e garanta R$ 200,00 de desconto!