Sdílet prostřednictvím

Monitorování a sledování aktivit auditu uživatelů napříč systémy SAP

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tento článek popisuje protokol auditu zabezpečení a sešit počátečního přístupu , který se používá k monitorování a sledování aktivit auditu uživatelů v systémech SAP. Pomocí sešitu můžete získat pohled na aktivitu auditu uživatelů, lépe zabezpečit systémy SAP a získat rychlý přehled o podezřelých akcích. Podle potřeby přejděte k podrobnostem o podezřelých událostech.

Sešit použijte buď k průběžnému monitorování systémů SAP, nebo ke kontrole systémů po incidentu zabezpečení nebo jiné podezřelé aktivitě.

Příklad:

Snímek obrazovky s horní částí protokolu auditu zabezpečení SAP a sešitu počátečního přístupu

Obsah v tomto článku je určený pro váš bezpečnostní tým.

Požadavky

Než začnete používat sešit SAP – Protokol auditu zabezpečení a počáteční přístup , musíte mít:

  • Řešení Microsoft Sentinel pro SAP nainstalované a nakonfigurovaný datový konektor Další informace najdete v tématu Nasazení řešení Microsoft Sentinel pro aplikace SAP.

  • Sap – Protokol auditu zabezpečení a sešit počátečního přístupu nainstalovaný v pracovním prostoru služby Log Analytics povolený pro Microsoft Sentinel Další informace najdete v tématu Vizualizace a monitorování dat pomocí sešitů v Microsoft Sentinelu.

    Důležité

    Sešit SAP – Protokol auditu zabezpečení a počáteční přístup je hostovaný pracovním prostorem, kde se nainstalovalo řešení Microsoft Sentinel pro aplikace SAP. Ve výchozím nastavení se předpokládá, že data SAP i SOC jsou v pracovním prostoru, který je hostitelem sešitu.

    Pokud jsou data SOC v jiném pracovním prostoru než pracovní prostor, který je hostitelem sešitu, nezapomeňte zahrnout předplatné pro tento pracovní prostor a vybrat pracovní prostor SOC z pracovního prostoru auditu a aktivity Azure.

  • Alespoň jeden incident v pracovním prostoru Microsoft Sentinelu s alespoň jednou položkou dostupnou SecurityIncident v tabulce. Nemusí to být incident SAP a pokud ho nemáte, můžete vygenerovat ukázkový incident pomocí základního analytického pravidla.

  • Pokud jsou vaše data Microsoft Entra v jiném pracovním prostoru služby Log Analytics, ujistěte se, že v části Audit a aktivity Azure vyberete příslušná předplatná a pracovní prostory v horní části sešitu.

Doporučujeme nakonfigurovat auditování pro všechny zprávy z protokolu auditu, ne jenom pro konkrétní protokoly. Rozdíly v nákladech na příjem dat jsou obecně minimální a data jsou užitečná pro detekce Microsoft Sentinelu a při vyšetřování a proaktivního vyhledávání po ohrožení. Další informace najdete v tématu Konfigurace auditování SAP.

Podporované filtry

Sešit SAP – Protokol auditu zabezpečení a počáteční přístup podporují následující filtry, které vám pomůžou soustředit se na potřebná data:

  • Časový rozsah. Od čtyř hodin do 90 dnů.
  • Systémové role. Systémové role SAP, například: Vývoj.
  • Využití systému. Příklad: SAP GTS.
  • Systémy SAP. Můžete vybrat všechny systémy, konkrétní systém nebo vybrat více systémů.

Pokud vyberete systémy, které nejsou nakonfigurované v seznamu ke zhlédnutí systémů SAP, zobrazí se v sešitu chyba, která určuje systémy s problémy. V takovém případě nakonfigurujte seznam ke zhlédnutí tak, aby tyto systémy správně zahrnoval.

Data sestavy analýzy přihlášení

Karta Sestava analýzy přihlášení v protokolu AUDITU zabezpečení a v sešitu Počáteční přístup zobrazuje data o chybách přihlášení, jako jsou neobvyklá data, data Microsoft Entra a další.

Data jsou založená na seznamu ke zhlédnutí systémů SAP.

Karta Sestava analýzy přihlášení obsahuje následující oblasti:

Analýza přihlášení

Oblast analýzy přihlášení se zobrazuje v souvislosti s přihlašováním uživatelů. Například:

Snímek obrazovky s oblastí Analýza přihlášení sešitu AUDIT SAP

Následující tabulka popisuje každou metriku v oblasti analýzy přihlášení:

Oblast Popis
Jedinečná přihlášení uživatelů na systém Zobrazuje počet jedinečných přihlášení pro každý systém SAP a graf s trendy přihlašování v průběhu vybraného času pro každý systém.

Příklad: Systém 012 má v posledních 14 dnech 1,4 K jedinečných pokusů o přihlášení a v těchto 14 dnech graf zobrazuje relativně rostoucí trend přihlašování.
Trend typů přihlášení Zobrazuje trend počtu přihlášení podle typu, například přihlášení prostřednictvím dialogového okna.

Najeďte myší na graf, aby se zobrazil počet přihlášení pro různá kalendářní data.
Selhání přihlášení Vs. úspěch jedinečných uživatelů – trend Zobrazuje trend úspěšných a neúspěšných přihlášení ve vybraném období.

Najeďte myší na graf, aby se zobrazilo množství úspěšných a neúspěšných přihlášení pro různá data.

Selhání přihlášení – detekce anomálií

Oblasti detekce anomálií – vyfiltrováním neúspěšných pokusů o přihlášení se zobrazují data o selhání přihlášení pro systémy a uživatele SAP. Pokud chcete zobrazit pouze data označená příznakem, vyberte na pravé straně pouze neobvyklé přihlášení .

Další informace najdete v tématu Monitorování protokolu auditu SAP.

Příklad:

Snímek obrazovky s oddíly v oblasti Selhání přihlášení sešitu SAP Audit, který můžete filtrovat podle neobvyklých dat

Následující tabulka popisuje jednotlivé metriky v oblasti detekce anomálií:

Oblast Popis
Anomálie selhání přihlášení kvůli selhání>přihlášení jedinečným uživatelům selhal přihlášení na systém SAP> Zobrazuje počet jedinečných neúspěšných přihlášení pro každý systém SAP.
SAP a Active Directory jsou společně lepší Tabulka neobvyklých neúspěšných přihlášení zobrazuje kombinaci dat Microsoft Sentinelu a Microsoft Entra, která uvádí uživatele podle rizika s nejvíce rizikovými uživateli v horní části.

Pro každého uživatele se v tabulce zobrazí:
– Časová osa neúspěšných pokusů o přihlášení
– Časová osa zobrazující, v jakém okamžiku došlo k neobvyklému neúspěšném pokusu
- Typ anomálie
- E-mailová adresa uživatele
– Ukazatel rizika Microsoft Entra
– Počet incidentů a upozornění v Microsoft Sentinelu

Výběrem řádku uživatele zobrazíte seznam souvisejících výstrah a incidentů. Rizikové události Microsoft Entra jsou uvedené v rámci auditu Azure a rizika přihlašování pro uživatele.
Míra selhání přihlášení na systém Zobrazuje vybrané systémy SAP seskupené podle typu s počtem selhání ve vybraném období.

Barva systému označuje počet neúspěšných pokusů: Zelená pro několik podezřelých pokusů o přihlášení a červená pro další akce.

Výběrem systému zobrazíte seznam neúspěšných přihlášení s podrobnostmi o chybách.

Na následujícím snímku obrazovky si všimněte dat zobrazených při výběru prvního řádku v tabulce Selhání neobvyklého přihlášení. Konkrétní výstrahy a adresy URL incidentů se zobrazují v přehledu incidentů a výstrah pro tabulku uživatelů .

Snímek obrazovky s daty zobrazenými při výběru řádku v tabulce Neobvyklých selhání přihlášení

Na následujícím snímku obrazovky zobrazuje rizika auditu a přihlašování Azure pro tabulku uživatelů data rizik přihlašování souvisejících s tímto uživatelem.

Snímek obrazovky s daty o riziku auditu a přihlášení, která se zobrazí, když je řádek vybraný v tabulce Neobvyklých selhání přihlášení

Na následujícím snímku obrazovky si poznamenejte míru selhání přihlášení na systémovou oblast, kde je vybraný systém 84e pod testovací skupinou. Neúspěšná přihlášení k systémové oblasti vpravo zobrazují události selhání pro tento systém.

Snímek obrazovky se selháním přihlášení v systémové oblasti sešitu SAP Audit

Selhání přihlášení – trendy

Oblast trendů selhání přihlášení zobrazuje trendy a počet neúspěšných přihlášení seskupených podle různých typů dat. Příklad:

Snímekobrazovkyho

Následující tabulka popisuje jednotlivé metriky v oblasti trendů selhání přihlášení:

Oblast Popis
Selhání přihlášení podle příčiny Zobrazuje trend počtu neúspěšných přihlášení v závislosti na příčině selhání, například nesprávných přihlašovacích dat.
Selhání přihlášení podle typu Zobrazuje trend počtu neúspěšných přihlášení podle typu, například přihlášení aktivované úlohy na pozadí, nebo přihlášení bylo prostřednictvím protokolu HTTP.
Selhání přihlášení podle metody Zobrazuje trend počtu neúspěšných přihlášení podle metody, jako je SNC nebo lístek přihlášení.

Karta Sestava upozornění protokolu auditu

Na kartě Upozornění protokolu auditu se zobrazují data o událostech protokolu auditu SAP, které sleduje řešení Microsoft Sentinel pro aplikace SAP. Data jsou založená na seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration.

Na kartě Upozornění protokolu auditu se zobrazují trendy závažnosti a auditu pro každý systém a uživatele SAP. Všechny oblasti na této kartě zobrazují jenom data označená detekcí anomálií. U všech událostí vyberte na pravé straně možnost Vše vedle neúspěšných přihlášení.

Další informace najdete v tématu Monitorování protokolu auditu SAP.

Příklad:

Snímek obrazovky s oblastí Upozornění protokolu auditování sešitu SAP Audit

Následující tabulka popisuje jednotlivé metriky na kartě Upozornění protokolu auditu:

Oblast Popis
Trendy závažnosti upozornění na ID systému Zobrazuje seznam systémů s grafem trendů událostí střední a vysoké závažnosti na systém.

Například systém 012 měl v průběhu celého období mnoho událostí s vysokou závažností a několik událostí střední závažnosti se špičkou, která zobrazuje více událostí střední závažnosti uprostřed období.
Trend auditu na uživatele Zobrazuje kombinaci dat Microsoft Sentinelu a Microsoft Entra s uvedením uživatelů podle rizika s nejrizivějšími uživateli v horní části.

Pro každého uživatele se v sešitu zobrazují následující data:
– Časová osa událostí s vysokou a střední závažností
- E-mailová adresa uživatele
– Ukazatel rizika Microsoft Entra
– Počet incidentů a upozornění v Microsoft Sentinelu

Výběrem řádku zobrazíte seznam výstrah a incidentů pro daného uživatele v části Incidenty nebo výstrahy s přehledem pro uživatele.

Prohlédněte si rizikové události Microsoft Entra v rámci auditu Azure a rizika přihlášení pro uživatele.
Skóre rizika na systém Vizuálně představuje každý systém v obrazci buňky, který zobrazuje skóre rizika pro každý systém a seskupování systémů podle typu.

Barva systému označuje skóre rizika systému: Zelená pro nižší skóre rizika a červená pro vyšší rizikové skóre.

Výběrem systému zobrazíte seznam událostí SAP na systém.
Události podle taktiky MITRE ATT&CK Zobrazuje seznam událostí SAP seskupených podle taktiky MITRE ATT&CK, jako je počáteční přístup nebo úniky od obrany.

Najeďte myší na graf a zobrazte počet přihlášení pro různá data.
Události podle kategorie Zobrazuje seznam trendů událostí SAP seskupených podle kategorie, jako je zahájení nebo přihlášení RFC.

Najeďte myší na graf, aby se zobrazilo přihlašovací číslo pro různá kalendářní data.
Události podle skupiny autorizace Zobrazuje seznam trendů událostí SAP seskupených podle skupiny autorizace SAP, jako je UŽIVATEL nebo SUPER.

Najeďte myší na graf a zobrazte počet přihlášení pro různá data.
Události podle typu uživatele Zobrazuje seznam trendů událostí SAP seskupených podle typu uživatele SAP, jako je dialogové okno nebo systém.

Najeďte myší na graf a zobrazte počet přihlášení pro různá data.

Na následujícím snímku obrazovky si všimněte dat zobrazených při výběru prvního řádku v tabulce Auditování na uživatele . Konkrétní výstrahy a adresy URL incidentů se zobrazují v přehledu incidentů a výstrah pro tabulku uživatelů .

Snímek obrazovky s daty zobrazenými při výběru řádku v tabulce Trendů auditu na uživatele

Na následujícím snímku obrazovky si všimněte skóre rizika na oblast systému , kde je vybrán systém cb7 ve skupině UAT . Události SAP pro oblast systému pod vizualizací systému zobrazují událost SAP pro tento systém.

Snímek obrazovky se skóre rizika pro každou oblast systému sešitu SAP Audit

Na následujícím snímku obrazovky si všimněte oblastí s událostmi a trendy událostí seskupenými podle různých typů dat: taktika MITRE ATT&CK, skupina autorizace SAP a typ uživatele.

Snímek obrazovky s různými daty událostí v sešitu SAP Audit

Související obsah

Další informace najdete v tématu Nasazení řešení Microsoft Sentinel pro aplikace SAP z centra obsahu a řešení Microsoft Sentinel pro aplikace SAP: referenční informace k obsahu zabezpečení.