Freigeben über


Microsoft Sentinel-Lösung für SAP-Anwendungen: Referenz zu Sicherheitsinhalten

In diesem Artikel werden die sicherheitsbezogenen Inhalte für die Microsoft Sentinel-Lösung für SAP detailliert beschrieben.

Wichtig

Während sich die Microsoft Sentinel-Lösung für SAP-Anwendungen in GA befindet, bleiben einige bestimmte Komponenten in der VORSCHAU. In diesem Artikel werden die Komponenten angegeben, die sich in den entsprechenden Abschnitten unten in der Vorschauversion befinden. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Zu verfügbaren Sicherheitsinhalten gehören integrierte Arbeitsmappen und Analyseregeln. Sie können auch SAP-bezogene Watchlists hinzufügen, um sie in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Playbooks für die Reaktion auf Bedrohungen zu verwenden.

Inhalte in diesem Artikel sind für Ihr Sicherheitsteam vorgesehen.

Integrierte Arbeitsmappen

Verwenden Sie die folgenden integrierten Arbeitsmappen zur Visualisierung und Überwachung von Daten, die über den SAP-Datenconnector erfasst wurden. Nachdem Sie die SAP-Lösung bereitgestellt haben, finden Sie SAP-Arbeitsmappen auf der Registerkarte "Vorlagen ".

Arbeitsmappenname Beschreibung Protokolle
SAP: Überwachungsprotokollbrowser Zeigt Daten an wie z. B.:

– Allgemeine Systemintegrität, einschließlich Benutzeranmeldungen im Laufe der Zeit, vom System aufgenommene Ereignisse, Nachrichtenklassen und IDs und USERS-Programme
-Schweregrade von Ereignissen, die in Ihrem System auftreten
– Authentifizierungs- und Autorisierungsereignisse in Ihrem System
Nutzt Daten aus dem folgenden Protokoll:

ABAPAuditLog_CL
SAP-Überwachungskontrollen Unterstützt Sie bei der Überprüfung der Sicherheitskontrollen Ihrer SAP-Umgebung auf die Einhaltung Des gewählten Steuerelementframeworks, indem Sie Tools verwenden, um Folgendes auszuführen:

– Zuweisen von Analyseregeln in Ihrer Umgebung zu bestimmten Sicherheitssteuerelementen und Steuerelementfamilien
- Überwachen und Kategorisieren der Vorfälle, die von den sap lösungsbasierten Analyseregeln generiert werden
– Bericht über Ihre Compliance
Verwendet Daten aus den folgenden Tabellen:

- SecurityAlert
- SecurityIncident

Weitere Informationen finden Sie im Lernprogramm: Visualisieren und Überwachen Ihrer Daten und Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen.

Integrierte Analyseregeln

In diesem Abschnitt wird eine Auswahl integrierter Analyseregeln beschrieben, die zusammen mit der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden. Überprüfen Sie für die neuesten Updates den Microsoft Sentinel-Inhaltshub auf neue und aktualisierte Regeln.

Überwachen der Konfiguration statischer SAP-Sicherheitsparameter (Vorschau)

Um das SAP-System zu sichern, hat SAP sicherheitsrelevante Parameter identifiziert, die auf Änderungen überwacht werden müssen. Mit der Regel "SAP - (Vorschau) Sensitive Static Parameter has Changed" verfolgt die Microsoft Sentinel-Lösung für SAP-Anwendungen mehr als 52 statische sicherheitsbezogene Parameter im SAP-System, die in Microsoft Sentinel integriert sind.

Hinweis

Damit die Microsoft Sentinel-Lösung für SAP-Anwendungen die SAP-Sicherheitsparameter erfolgreich überwachen kann, muss die Lösung die SAP PAHI-Tabelle in regelmäßigen Abständen erfolgreich überwachen. Weitere Informationen finden Sie unter Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird.

Um Parameteränderungen im System zu verstehen, verwendet die Microsoft Sentinel-Lösung für SAP-Anwendungen die Parameterverlaufstabelle, in der Änderungen an Systemparametern jede Stunde aufgezeichnet werden.

Die Parameter werden auch in der SAPSystemParameters-Watchlist angezeigt. Mit dieser Watchlist können Benutzer neue Parameter hinzufügen, vorhandene Parameter deaktivieren und die Werte und Schweregrade pro Parameter und Systemrolle in Produktions- oder Nichtproduktionsumgebungen ändern.

Bei der Änderung eines dieser Parameter prüft Microsoft Sentinel, ob die Änderung sicherheitsrelevant ist und ob der Wert entsprechend den empfohlenen Werten eingestellt ist. Falls der Verdacht besteht, dass die Änderung außerhalb der Sicherheitszone liegt, erstellt Microsoft Sentinel einen Vorfall, in dem die Änderung detailliert beschrieben wird, und ermittelt, wer die Änderung vorgenommen hat.

Überprüfen Sie die Liste der Parameter, die von dieser Regel überwacht werden.

Überwachen des SAP-Überwachungsprotokolls

Viele der Analyseregeln in der Microsoft Sentinel-Lösung für SAP-Anwendungen verwenden SAP-Überwachungsprotokolldaten. Einige Analyseregeln suchen nach bestimmten Ereignissen im Protokoll, während andere Indikationen aus mehreren Protokollen korrelieren, um Warnungen und Vorfälle mit hoher Genauigkeit zu erstellen.

Verwenden Sie die folgenden Analyseregeln, um entweder alle Überwachungsprotokollereignisse in Ihrem SAP-System zu überwachen oder Warnungen nur auszulösen, wenn Anomalien erkannt werden:

Regelname Beschreibung
SAP – Fehlende Konfiguration im Dynamic Security Audit Log Monitor Wird standardmäßig täglich ausgeführt, um Konfigurationsempfehlungen für das SAP-Überwachungsprotokollmodul bereitzustellen. Verwenden Sie die Regelvorlage, um eine Regel für Ihren Arbeitsbereich zu erstellen und anzupassen.
SAP - Dynamic Deterministic Audit Log Monitor (PREVIEW) Wird standardmäßig alle 10 Minuten ausgeführt und konzentriert sich auf die SAP-Überwachungsprotokollereignisse, die als deterministisch gekennzeichnet sind. Verwenden Sie die Regelvorlage, um eine Regel für Ihren Arbeitsbereich zu erstellen und anzupassen, z. B. für eine niedrigere falsch positive Rate.

Für diese Regel sind deterministische Warnungsschwellenwerte und Benutzerausschlüsse erforderlich.
SAP – Dynamische Anomaliebasierte Überwachungsprotokollüberwachungsbenachrichtigungen (VORSCHAU) Wird standardmäßig stündlich ausgeführt und konzentriert sich auf SAP-Ereignisse, die als AnomalienOnly gekennzeichnet sind, und benachrichtigt sie bei Erkennung von Anomalien bei SAP-Überwachungsprotokollereignissen.

Diese Regel wendet zusätzliche Machine Learning-Algorithmen an, um Hintergrundgeräusche auf nicht überwachte Weise herauszufiltern.

Standardmäßig werden die meisten Ereignistypen oder SAP-Nachrichten-IDs im SAP-Überwachungsprotokoll an die anomaliebasierte Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) -Analyseregel gesendet, während die einfacher zu definierenden Ereignistypen an die Analyseregel des deterministischen Dynamischen Deterministischen Überwachungsprotokollmonitors (PREVIEW) gesendet werden. Diese Einstellung kann zusammen mit anderen verwandten Einstellungen noch weiter so konfiguriert werden, dass alle Systembedingungen abgedeckt werden.

Die SAP-Überwachungsprotokollüberwachungsregeln werden als Teil des Sicherheitsinhalts von Microsoft Sentinel für SAP-Lösungen bereitgestellt und ermöglichen eine weitere Feinabstimmung mithilfe der SAP_Dynamic_Audit_Log_Monitor_Configuration und SAP_User_Config Watchlists.

In der folgenden Tabelle werden beispielsweise mehrere Beispiele aufgeführt, wie Sie die SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist verwenden können, um die Arten von Ereignissen zu konfigurieren, die Vorfälle erzeugen, wodurch die Anzahl der generierten Vorfälle reduziert wird.

Option BESCHREIBUNG
Festlegen von Schweregraden und Deaktivieren unerwünschter Ereignisse Standardmäßig erstellen sowohl die deterministischen Regeln als auch die anomaliebasierten Regeln Warnungen für Ereignisse, die mit einem mittleren und hohen Schweregrad gekennzeichnet sind.

Möglicherweise möchten Sie schweregrade separat produktions- und nichtproduktionsumgebungen konfigurieren. Sie können z. B. ein Debugaktivitätsereignis als hohen Schweregrad in Produktionssystemen festlegen und die gleichen Ereignisse vollständig in Nichtproduktionssystemen deaktivieren.
Ausschließen von Benutzern durch ihre SAP-Rollen oder SAP-Profile Microsoft Sentinel für SAP nimmt das Autorisierungsprofil des SAP-Benutzers ein, einschließlich direkter und indirekter Rollenzuweisungen, Gruppen und Profile, sodass Sie die SAP-Sprache in Ihrem SIEM sprechen können.

Möglicherweise möchten Sie ein SAP-Ereignis so konfigurieren, dass Benutzer basierend auf ihren SAP-Rollen und -Profilen ausgeschlossen werden. Fügen Sie in der Watchlist die Rollen oder Profile, die Ihre RFC-Schnittstellenbenutzer gruppieren, in der Spalte RolesTagsToExclude neben dem Ereignis Generic table access by RFC (Generische Tabellenzugriff durch RFC) hinzu. Diese Konfiguration löst Warnungen nur für Benutzer aus, die diese Rollen fehlen.
Ausschließen von Benutzern durch ihre SOC-Tags Verwenden Sie Tags, um eine eigene Gruppierung zu erstellen, ohne sich auf komplizierte SAP-Definitionen oder sogar ohne SAP-Autorisierung zu verlassen. Diese Methode ist nützlich für SOC-Teams, die ihre eigene Gruppierung für SAP-Benutzer erstellen möchten.

Wenn Sie beispielsweise nicht möchten, dass bestimmte Dienstkonten für den generischen Tabellenzugriff durch RFC-Ereignisse benachrichtigt werden, aber keine SAP-Rolle oder ein SAP-Profil finden können, das diese Benutzer gruppiert, verwenden Sie Tags wie folgt:
1. Fügen Sie das GenTableRFCReadOK-Tag neben dem relevanten Ereignis in der Watchlist hinzu.
2. Wechseln Sie zur SAP_User_Config Watchlist, und weisen Sie den Benutzer der Benutzeroberfläche dasselbe Tag zu.
Angeben eines Häufigkeitsschwellenwerts pro Ereignistyp und Systemrolle Dies funktioniert wie ein Geschwindigkeitslimit. Sie können beispielsweise Benutzermasterdatensatzänderungsereignisse so konfigurieren, dass nur Warnungen ausgelöst werden, wenn mehr als 12 Aktivitäten in einer Stunde von demselben Benutzer in einem Produktionssystem beobachtet werden. Wenn ein Benutzer den Grenzwert von 12 pro Stunde überschreitet (z. B. wenn zwei Ereignisse innerhalb von zehn Minuten auftreten), wird ein Incident ausgelöst.
Determinismus oder Anomalien Wenn Sie die Merkmale des Ereignisses kennen, verwenden Sie die deterministischen Funktionen. Wenn Sie nicht sicher sind, wie Sie das Ereignis ordnungsgemäß konfigurieren, lassen Sie die Machine Learning-Funktionen zu, zu starten, und nehmen Sie dann bei Bedarf nachfolgende Updates vor.
SOAR-Funktionen Verwenden Sie Microsoft Sentinel, um dynamische Warnungen im SAP-Überwachungsprotokoll weiter zu koordinieren, zu automatisieren und auf Vorfälle zu reagieren. Weitere Informationen zur Automatisierung in Microsoft Sentinel in Form von Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR) finden Sie hier.

Weitere Informationen finden Sie unter Verfügbare Watchlists und Microsoft Sentinel für SAP News – Dynamic SAP Security Audit Log Monitor Feature jetzt verfügbar! (Blog).

Erstzugriff

Regelname Beschreibung Quellaktion Taktik
SAP – Anmeldung über unerwartetes Netzwerk Identifiziert eine Anmeldung über ein unerwartetes Netzwerk.

Verwalten Sie Netzwerke in der Watchlist SAP – Netzwerke.
Melden Sie sich über eine IP-Adresse, die keinem der Netzwerke zugewiesen ist, beim Back-End-System an.

Datenquellen: SAPcon – Überwachungsprotokoll
Erstzugriff
SAP – SPNego-Angriff Identifiziert einen SPNego-Replay-Angriff. Datenquellen: SAPcon – Überwachungsprotokoll Auswirkung, Lateral Movement
SAP – Anmeldeversuch im Dialogfeld von einem privilegierten Benutzer Identifiziert Anmeldeversuche im Dialogfeld vom Typ AUM durch privilegierte Benutzer in einem SAP-System. Weitere Informationen finden Sie unter SAPUsersGetPrivileged. Versuchen Sie, sich innerhalb des geplanten Zeitintervalls mit derselben IP-Adresse bei mehreren Systemen bzw. Clients anzumelden.

Datenquellen: SAPcon – Überwachungsprotokoll
Auswirkung, Lateral Movement
SAP – Brute-Force-Angriffe Identifiziert Brute-Force-Angriffe auf das SAP-System durch RFC-Anmeldung. Versuchen Sie, sich innerhalb des geplanten Zeitintervalls mithilfe von RFC von derselben IP bei mehreren Systemen/Clients anzumelden.

Datenquellen: SAPcon – Überwachungsprotokoll
Zugriff auf Anmeldeinformationen
SAP – Mehrere Anmeldungen über dieselbe IP-Adresse Identifiziert die Anmeldung mehrerer Benutzer über dieselbe IP-Adresse innerhalb eines geplanten Zeitintervalls.

Untergeordneter Anwendungsfall: Persistenz
Melden Sie mehrere Benutzer über die gleiche IP-Adresse an.

Datenquellen: SAPcon – Überwachungsprotokoll
Erstzugriff
SAP – Mehrere Anmeldungen durch Benutzer Identifiziert Anmeldungen desselben Benutzers an mehreren Terminals innerhalb des geplanten Zeitintervalls.

Bei SAP-Versionen ab 7.5 nur über die Methode „SAL überwachen“ verfügbar.
Melden Sie sich mit demselben Benutzer und verschiedenen IP-Adressen an.

Datenquellen: SAPcon – Überwachungsprotokoll
Vorabangriff, Zugriff auf Anmeldeinformationen, Anfänglicher Zugriff, Sammlung

Untergeordneter Anwendungsfall: Persistenz
SAP – Information – Lebenszyklus – SAP-Hinweise wurden im System implementiert Identifiziert die Implementierungen von SAP-Hinweisen im System. Implementieren Sie einen SAP-Hinweis mithilfe von SNOTE/TCI.

Datenquellen: SAPcon - Change Requests
-
SAP - (Vorschau) AS JAVA – Vertraulicher privilegierter Benutzer angemeldet Identifiziert eine Anmeldung über ein unerwartetes Netzwerk.

Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer.
Melden Sie sich mit privilegierten Benutzern beim Back-End-System an.

Datenquellen: SAPJAVAFilesLog
Erstzugriff
SAP - (Vorschau) AS JAVA - Anmeldung aus unerwartetem Netzwerk Identifiziert Anmeldungen aus einem unerwarteten Netzwerk.

Verwalten Von privilegierten Benutzern in der SAP - Networks-Watchlist .
Melden Sie sich bei dem Back-End-System von einer IP-Adresse an, die keinem der Netzwerke in der SAP - Networks Watchlist zugewiesen ist

Datenquellen: SAPJAVAFilesLog
Anfänglicher Zugriff, Verteidigungshinterziehung

Datenexfiltration

Regelname Beschreibung Quellaktion Taktik
SAP – FTP für nicht autorisierte Server Identifiziert eine FTP-Verbindung für einen nicht authentifizierten Server. Erstellen Sie eine neue FTP-Verbindung, z. B. mithilfe des Funktionsmoduls FTP_CONNECT.

Datenquellen: SAPcon – Überwachungsprotokoll
Ermittlung, Erstzugriff, Command-and-Control
SAP – Konfiguration unsicherer FTP-Server Identifiziert unsichere FTP-Serverkonfigurationen, z. B. wenn eine FTP-Positivliste leer ist oder Platzhalter enthält. Verwalten oder verwalten Sie keine Werte, die Platzhalter in der SAPFTP_SERVERS Tabelle enthalten, mithilfe der SAPFTP_SERVERS_V Wartungsansicht. (SM30)

Datenquellen: SAPcon – Überwachungsprotokoll
Erstzugriff, Command-and-Control
SAP – Download mehrerer Dateien Identifiziert Downloads mehrerer Dateien für einen Benutzer innerhalb einer bestimmten Zeitspanne. Laden Sie mithilfe von SAPGui für Excel, Listen usw. mehrere Dateien herunter.

Datenquellen: SAPcon – Überwachungsprotokoll
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen
SAP – Mehrere Spoolausführungen Identifiziert mehrere Spools für einen Benutzer innerhalb einer bestimmten Zeitspanne. Erstellen und führen Sie mehrere Spoolaufträge eines beliebigen Typs durch einen Benutzer aus. (SP01)

Datenquellen: SAPcon – Spoolprotokoll, SAPcon – Überwachungsprotokoll
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen
SAP – Mehrere Spoolausgabeausführungen Identifiziert mehrere Spools für einen Benutzer innerhalb einer bestimmten Zeitspanne. Erstellen und führen Sie mehrere Spoolaufträge eines beliebigen Typs durch einen Benutzer aus. (SP01)

Datenquellen: SAPcon – Spoolprotokoll, SAPcon – Überwachungsprotokoll
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen
SAP – Vertrauliche Tabellen – Direktzugriff durch RFC-Anmeldung Identifiziert den Zugriff auf eine generische Tabelle per RFC-Anmeldung.

Verwalten Sie Tabellen in der Watchlist SAP – Sensible Tabellen.

Nur für Produktionssysteme relevant.
Öffnen Sie den Tabelleninhalt mit SE11/SE16/SE16N.

Datenquellen: SAPcon – Überwachungsprotokoll
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen
SAP – Spool-Übernahme Identifiziert einen Benutzer, der eine Spoolanforderung druckt, die von einer anderen Person erstellt wurde. Erstellen Sie eine Spoolanforderung mit einem Benutzer, und geben Sie sie dann in als ein anderer Benutzer aus.

Datenquellen: SAPcon - Spool Log, SAPcon - Spool Output Log, SAPcon - Audit Log
Sammlung, Exfiltration, Command-and-Control
SAP – Dynamisches RFC-Ziel Identifiziert die Ausführung von RFC mithilfe dynamischer Ziele.

Untergeordneter Anwendungsfall: Erstzugriff und Versuche zum Umgehen von SAP-Sicherheitsmechanismen
Führen Sie einen ABAP-Bericht aus, der dynamische Ziele (cl_dynamic_destination) verwendet. Beispiel: DEMO_RFC_DYNAMIC_DEST.

Datenquellen: SAPcon – Überwachungsprotokoll
Sammlung, Exfiltration
SAP – Vertrauliche Tabellen– Direktzugriff per Dialoganmeldung Identifiziert den Zugriff auf generische Tabellen per Dialoganmeldung. Öffnen Sie den Tabelleninhalt mit SE11/SE16/SE16N.

Datenquellen: SAPcon – Überwachungsprotokoll
Ermittlung
SAP: Datei, die von einer schädlichen IP-Adresse heruntergeladen wurde (Vorschau) Identifiziert das Herunterladen einer Datei aus einem SAP-System mithilfe einer IP-Adresse, die als schädlich bekannt ist. Schädliche IP-Adressen werden von Threat Intelligence-Diensten abgerufen. Herunterladen einer Datei von einer schädlichen IP-Adresse.

Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, Threat Intelligence
Exfiltration
SAP: Mithilfe eines Datentransports aus einem Produktionssystem exportierte Daten (Vorschau) Identifiziert den Datenexport aus einem Produktionssystem mithilfe eines Datentransports. Datentransporte werden in Entwicklungssystemen verwendet und ähneln Pull Requests. Diese Warnungsregel löst Vorfälle mit mittlerem Schweregrad aus, wenn ein Datentransport, der Daten aus einer beliebigen Tabelle enthält, aus einem Produktionssystem freigegeben wird. Die Regel erstellt einen Vorfall mit hohem Schweregrad, wenn der Export Daten aus einer vertraulichen Tabelle enthält. Freigeben eines Datentransports aus einem Produktionssystem.

Datenquellen: SAP CR-Protokoll, SAP: Vertrauliche Tabellen
Exfiltration
SAP: Vertrauliche Daten werden auf einem USB-Laufwerk gespeichert (Vorschau) Identifiziert den Export von SAP-Daten über Dateien. Die Regel überprüft, ob in der Umgebung einer Ausführung einer vertraulichen Transaktion, eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle Daten auf einem kürzlich eingebundenen USB-Laufwerk gespeichert wurden. Exportieren von SAP-Daten über Dateien und Speichern auf einem USB-Laufwerk.

Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, DeviceFileEvents (Microsoft Defender for Endpoint), SAP: Vertrauliche Tabellen, SAP: Vertrauliche Transaktionen, SAP: Vertrauliche Programme
Exfiltration
SAP: Drucken potenziell vertraulicher Daten (Vorschau) Identifiziert eine Anforderung zum Drucken oder den tatsächlichen Druck potenziell vertraulicher Daten. Daten gelten als vertraulich, wenn der Benutzer die Daten im Rahmen einer vertraulichen Transaktion, Ausführung eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle erhält. Drucken oder Anfordern des Druckens vertraulicher Daten.

Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP-Spoolprotokolle, SAP: Vertrauliche Tabellen, SAP: Vertrauliche Programme
Exfiltration
SAP: Export großer Mengen potenziell vertraulicher Daten (Vorschau) Identifiziert den Export einer großen Datenmenge über Dateien in der Umgebung einer Ausführung einer vertraulichen Transaktion, eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle. Exportieren einer großen Menge an Daten über Dateien.

Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP: Vertrauliche Tabellen, SAP: Vertrauliche Transaktionen, SAP: Vertrauliche Programme
Exfiltration

Persistenz

Regelname Beschreibung Quellaktion Taktik
SAP – Aktivierung oder Deaktivierung des ICF-Diensts Identifiziert die Aktivierung oder Deaktivierung des ICF-Diensts. Aktivieren Sie einen Dienst mithilfe von SICF.

Datenquellen: SAPcon – Tabellendatenprotokoll
Command-and-Control, Lateral Movement, Persistenz
SAP – Funktionsmodul getestet Identifiziert das Testen eines Funktionsmoduls. Testen Sie ein Funktionsmodul mit SE37 / SE80.

Datenquellen: SAPcon – Überwachungsprotokoll
Sammlung, Umgehen von Verteidigungsmaßnahmen, Lateral Movement
SAP – (VORSCHAU) HANA DB – Benutzeradministratoraktionen Identifiziert Benutzerverwaltungsaktionen. Erstellen, Aktualisieren oder Löschen Sie einen Datenbankbenutzer.

Datenquellen: Linux-Agent – Syslog*
Berechtigungsausweitung
SAP – Neue ICF-Diensthandler Identifiziert die Erstellung von ICF-Handlern. Weisen Sie einem Dienst mithilfe von SICF einen neuen Handler zu.

Datenquellen: SAPcon – Überwachungsprotokoll
Command-and-Control, Lateral Movement, Persistenz
SAP – Neue ICF-Dienste Identifiziert die Erstellung von ICF-Diensten. Erstellen Sie einen Dienst mithilfe von SICF.

Datenquellen: SAPcon – Tabellendatenprotokoll
Command-and-Control, Lateral Movement, Persistenz
SAP – Ausführung eines veralteten oder unsicheren Funktionsmoduls Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Funktionsmoduls.

Verwalten Sie veraltete Funktionen in der Watchlist SAP – Veraltete Funktionsmodule. Stellen Sie sicher, dass Sie im Back-End Änderungen an der Tabellenprotokollierung für die Tabelle EUFUNC aktivieren. (SE13)

Nur für Produktionssysteme relevant.
Führen Sie ein veraltetes oder unsicheres Funktionsmodul direkt mit SE37 aus.

Datenquellen: SAPcon – Tabellendatenprotokoll
Ermittlung, Command-and-Control
SAP – Ausführung eines veralteten/unsicheren Programms Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Programms.

Verwalten Sie veraltete Programme in der Watchlist SAP – Veraltete Programme.

Nur für Produktionssysteme relevant.
Führen Sie ein Programm direkt mithilfe von SE38/SA38/SE80 oder eines Hintergrundauftrags aus.

Datenquellen: SAPcon – Überwachungsprotokoll
Ermittlung, Command-and-Control
SAP – Mehrere Kennwortänderungen durch Benutzer Identifiziert mehrere Kennwortänderungen durch Benutzer. Benutzerkennwort ändern

Datenquellen: SAPcon – Überwachungsprotokoll
Zugriff auf Anmeldeinformationen
SAP - (Vorschau) AS JAVA - Benutzer erstellt und verwendet neuen Benutzer Identifiziert die Erstellung oder Manipulation von Benutzern durch Administratoren innerhalb der SAP AS Java-Umgebung. Melden Sie sich mit Benutzern, die Sie erstellt oder bearbeitet haben, beim Back-End-System an.

Datenquellen: SAPJAVAFilesLog
Persistenz

Versuche, die SAP-Sicherheitsmechanismen zu umgehen

Regelname Beschreibung Quellaktion Taktik
SAP – Ändern der Clientkonfiguration Identifiziert Änderungen an der Clientkonfiguration, z. B. Clientrolle oder Änderungsaufzeichnungsmodus. Führen Sie Clientkonfigurationsänderungen mithilfe des Transaktionscodes SCC4 aus.

Datenquellen: SAPcon – Überwachungsprotokoll
Umgehen von Verteidigungsmaßnahmen, Exfiltration, Persistenz
Ändern der ClientkonfigurationSAP – Daten haben sich während der Debugaktivität geändert Identifiziert Änderungen an Laufzeitdaten während einer Debugaktivität.

Untergeordneter Anwendungsfall: Persistenz
1. Aktivieren Sie das Debuggen (/h).
2. Wählen Sie ein zu änderndes Feld aus, und aktualisieren Sie dessen Wert.

Datenquellen: SAPcon – Überwachungsprotokoll
Ausführung/Lateral Movement
SAP – Deaktivierung des Sicherheitsüberwachungsprotokolls Identifiziert die Deaktivierung des Sicherheitsüberwachungsprotokolls. Deaktivieren Sie das Sicherheitsüberwachungsprotokoll mit SM19/RSAU_CONFIG.

Datenquellen: SAPcon – Überwachungsprotokoll
Exfiltration, Umgehen von Verteidigungsmaßnahmen, Persistenz
SAP – Ausführung eines vertraulichen ABAP-Programms Identifiziert die direkte Ausführung eines sensiblen ABAP-Programms.

Verwalten Sie ABAP-Programme in der Watchlist SAP – Sensible ABAP-Programme.
Führen Sie ein Programm direkt mithilfe von SE38/SA38/SE80 aus.

Datenquellen: SAPcon – Überwachungsprotokoll
Exfiltration, Lateral Movement, Ausführung
SAP – Ausführung eines vertraulichen Transaktionscodes Identifiziert die Ausführung eines sensiblen Transaktionscodes.

Verwalten Sie Transaktionscodes in der Watchlist SAP – Sensible Transaktionscodes.
Führen Sie einen sensiblen Transaktionscode aus.

Datenquellen: SAPcon – Überwachungsprotokoll
Ermittlung, Ausführung
SAP – Ausführung eines vertraulichen Funktionsmoduls Identifiziert die Ausführung eines sensiblen ABAP-Funktionsmoduls.

Untergeordneter Anwendungsfall: Persistenz

Nur für Produktionssysteme relevant.

Verwalten Sie sensible Funktionen in der Watchlist SAP – Sensible Funktionsmodule, und aktivieren Sie Tabellenprotokollierungsänderungen im Back-End für die Tabelle EUFUNC. (SE13)
Führen Sie ein sensibles Funktionsmodul direkt mit SE37 aus.

Datenquellen: SAPcon – Tabellendatenprotokoll
Ermittlung, Command-and-Control
SAP – (VORSCHAU) HANA DB – Änderungen an Überwachungsprotokollrichtlinien Identifiziert Änderungen an Überwachungsprotokollrichtlinien für HANA DB. Erstellen oder aktualisieren Sie die vorhandene Überwachungsrichtlinie in Sicherheitsdefinitionen.

Datenquellen: Linux-Agent – Syslog
Lateral Movement, Umgehen von Verteidigungsmaßnahmen, Persistenz
SAP – (VORSCHAU) HANA DB – Deaktivierung des Überwachungsprotokolls Identifiziert die Deaktivierung des HANA DB-Überwachungsprotokolls. Deaktivieren Sie das Überwachungsprotokoll in der HANA DB-Sicherheitsdefinition.

Datenquellen: Linux-Agent – Syslog
Persistenz, Lateral Movement, Umgehen von Verteidigungsmaßnahmen
SAP – Nicht autorisierte Remoteausführung eines vertraulichen Funktionsmoduls Erkennt nicht autorisierte Ausführungen vertraulicher Funktionsmodule, indem die Aktivität mit dem Autorisierungsprofil des Benutzers verglichen wird, während kürzlich geänderte Autorisierungen ignoriert werden.

Verwalten Sie Funktionsmodule in der Watchlist SAP – Sensible Funktionsmodelle.
Führen Sie ein Funktionsmodul mit RFC aus.

Datenquellen: SAPcon – Überwachungsprotokoll
Ausführung, Lateral Movement, Ermittlung
SAP – Ändern der Systemkonfiguration Identifiziert Änderungen der Systemkonfiguration. Passen Sie Systemänderungsoptionen oder Änderungen an Softwarekomponenten mithilfe des Transaktionscodes SE06 an.

Datenquellen: SAPcon – Überwachungsprotokoll
Exfiltration, Umgehen von Verteidigungsmaßnahmen, Persistenz
SAP – Debugaktivitäten Identifiziert alle auf das Debuggen bezogenen Aktivitäten.

Untergeordneter Anwendungsfall: Persistenz
Aktivieren Sie das Debuggen (/h) im System, debuggen Sie einen aktiven Prozess, fügen Sie dem Quellcode Haltepunkte hinzu usw.

Datenquellen: SAPcon – Überwachungsprotokoll
Ermittlung
SAP – Änderung der Konfiguration des Sicherheitsüberwachungsprotokolls Identifiziert Änderungen an der Konfiguration des Sicherheitsüberwachungsprotokolls. Ändern Sie mit SM19/RSAU_CONFIG beliebige Konfigurationseinstellungen des Überwachungsprotokolls, z. B. Filter, Status, Aufzeichnungsmodus usw.

Datenquellen: SAPcon – Überwachungsprotokoll
Persistenz, Exfiltration, Umgehen von Verteidigungsmaßnahmen
SAP – Transaktion ist entsperrt Identifiziert das Entsperren einer Transaktion. Entsperren Sie einen Transaktionscode mit SM01/SM01_DEV/SM01_CUS.

Datenquellen: SAPcon – Überwachungsprotokoll
Persistenz, Ausführung
SAP – Dynamisches ABAP-Programm Identifiziert die Ausführung dynamischer ABAP-Programmierung. Beispielsweise, wenn ABAP-Code dynamisch erstellt, geändert oder gelöscht wurde.

Verwalten Sie ausgeschlossene Transaktionscodes in der Watchlist SAP – Transaktionen für Generierungen von ABAP-Code.
Erstellen Sie einen ABAP-Bericht, der ABAP-Programmgenerierungsbefehle wie INSERT REPORT verwendet, und führen Sie den Bericht dann aus.

Datenquellen: SAPcon – Überwachungsprotokoll
Ermittlung, Command-and-Control, Auswirkung

Verdächtige Berechtigungsoperationen

Regelname Beschreibung Quellaktion Taktik
SAP – Ändern des vertraulichen privilegierten Benutzers Identifiziert Änderungen an sensiblen privilegierten Benutzern.

Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer.
Ändern Sie Benutzerdetails/Autorisierungen mithilfe von SU01.

Datenquellen: SAPcon – Überwachungsprotokoll
Rechteausweitung, Zugriff auf Anmeldeinformationen
SAP – (VORSCHAU) HANA DB – Zuweisen von Administratorautorisierungen Identifiziert Administratorrechte oder Rollenzuweisungen. Weisen Sie einen Benutzer mit Administratorrolle oder -berechtigungen zu.

Datenquellen: Linux-Agent – Syslog
Berechtigungsausweitung
SAP – Angemeldeter vertraulicher privilegierter Benutzer Identifiziert die Dialoganmeldung eines sensiblen privilegierten Benutzers.

Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer.
Melden Sie sich mit SAP* oder einem anderen privilegierten Benutzer am Back-End-System an.

Datenquellen: SAPcon – Überwachungsprotokoll
Erstzugriff, Zugriff auf Anmeldeinformationen
SAP – Vertraulicher privilegierter Benutzer nimmt eine Änderung bei anderem Benutzer vor Identifiziert Änderungen des sensiblen privilegierten Benutzers bei anderen Benutzern. Ändern Sie Benutzerdetails/Autorisierungen mithilfe von SU01.

Datenquellen: SAPcon - Audit Log
Rechteausweitung, Zugriff auf Anmeldeinformationen
SAP – Vertrauliche Benutzer– Kennwortänderung und Anmeldung Identifiziert Kennwortänderungen privilegierter Benutzer. Ändern Sie das Kennwort eines privilegierten Benutzers, und melden Sie sich beim System an.
Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer.

Datenquellen: SAPcon – Überwachungsprotokoll
Auswirkung, Command-and-Control, Rechteausweitung
SAP – Benutzer erstellt und verwendet neuen Benutzer Identifiziert einen Benutzer, der andere Benutzer erstellt und verwendet.

Untergeordneter Anwendungsfall: Persistenz
Erstellen Sie einen Benutzer mit SU01, und melden Sie sich dann mit dem neu erstellten Benutzer und derselben IP-Adresse an.

Datenquellen: SAPcon – Überwachungsprotokoll
Discovery, Pre-Attack, Initial Access
SAP – Benutzer entsperrt und verwendet andere Benutzer Identifiziert einen Benutzer, der entsperrt und von anderen Benutzern verwendet wird.

Untergeordneter Anwendungsfall: Persistenz
Entsperren Sie einen Benutzer mit SU01, und melden Sie sich dann mit dem entsperrten Benutzer und derselben IP-Adresse an.

Datenquellen: SAPcon - Audit Log, SAPcon - Change Documents Log
Discovery, Pre-Attack, Initial Access, Lateral Movement
SAP – Zuweisung eines vertraulichen Profils Identifiziert neue Zuweisungen eines sensiblen Profils zu einem Benutzer.

Verwalten Sie sensible Profile in der Watchlist SAP – Sensible Profile.
Weisen Sie mit SU01 einem Benutzer ein Profil zu.

Datenquellen: SAPcon – Dokumentänderungsprotokoll
Berechtigungsausweitung
SAP – Zuweisung einer vertraulichen Rolle Identifiziert neue Zuweisungen für eine sensible Rolle für einen Benutzer.

Verwalten Sie sensible Rollen in der Watchlist SAP – Sensible Rollen.
Weisen Sie mit SU01 / PFCG einem Benutzer eine Rolle zu.

Datenquellen: SAPcon – Dokumentänderungsprotokoll, Überwachungsprotokoll
Berechtigungsausweitung
SAP – (VORSCHAU) Kritische Autorisierungszuweisung – Neuer Autorisierungswert Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer.

Verwalten Sie kritische Autorisierungsobjekte in der Watchlist SAP – Kritische Autorisierungsobjekte.
Weisen Sie mithilfe von PFCG ein neues Autorisierungsobjekt zu, oder aktualisieren Sie ein vorhandenes in einer Rolle.

Datenquellen: SAPcon – Dokumentänderungsprotokoll
Berechtigungsausweitung
SAP – Kritische Autorisierungszuweisung – Neue Benutzerzuweisung Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer.

Verwalten Sie kritische Autorisierungsobjekte in der Watchlist SAP – Kritische Autorisierungsobjekte.
Weisen Sie mithilfe von SU01/PFCG einen neuen Benutzer einer Rolle zu, die kritische Autorisierungswerte enthält.

Datenquellen: SAPcon – Dokumentänderungsprotokoll
Berechtigungsausweitung
SAP – Änderungen an vertraulichen Rollen Identifiziert Änderungen an sensiblen Rollen.

Verwalten Sie sensible Rollen in der Watchlist SAP – Sensible Rollen.
Ändern Sie eine Rolle mithilfe von PFCG.

Datenquellen: SAPcon – Dokumentänderungsprotokoll, SAPcon – Überwachungsprotokoll
Auswirkung, Rechteausweitung, Persistenz

Verfügbare Watchlists

In der folgenden Tabelle sind die Watchlists aufgeführt, die für die Microsoft Sentinel-Lösung für SAP-Anwendungen und die Felder in jeder Watchlist verfügbar sind.

Diese Watchlists stellen die Konfiguration für die Microsoft Sentinel-Lösung für SAP-Anwendungen bereit. Die SAP-Watchlists sind im Microsoft Sentinel-GitHub verfügbar.

Name der Watchlist Beschreibung und Felder
SAP – Kritische Autorisierungsobjekte Kritisches Autorisierungsobjekt, für das Zuweisungen gesteuert werden sollen.

- AuthorizationObject: Ein SAP-Autorisierungsobjekt wie S_DEVELOP, S_TCODE oder Table TOBJ
- AuthorizationField: Ein SAP-Autorisierungsfeld wie OBJTYP oder TCD
- AuthorizationValue: Ein SAP-Autorisierungsfeldwert wie DEBUG
- ActivityField: SAP-Aktivitätsfeld. In den meisten Fällen lautet ACTVTdieser Wert . Für Autorisierungsobjekte ohne Aktivität oder mit nur einem Feld Aktivität, das mit NOT_IN_USE gefüllt ist.
- Aktivität: SAP-Aktivität gemäß dem Autorisierungsobjekt, z. B.: 01: Erstellen; 02: Ändern; 03: Anzeigen usw.
- Beschreibung: eine aussagekräftige Beschreibung des kritischen Autorisierungsobjekts.
SAP – Ausgeschlossene Netzwerke Für die interne Wartung ausgeschlossener Netzwerke, z. B. zum Ignorieren von Webdispatchern, Terminalservern usw.

-Netzwerk: eine Netzwerk-IP-Adresse oder ein IP-Adressbereich, z. B. 111.68.128.0/17.
-Beschreibung: eine aussagekräftige Netzwerkbeschreibung.
SAP – Ausgeschlossene Benutzer Systembenutzer, die am System angemeldet sind und ignoriert werden müssen. Beispielsweise Warnungen bei mehreren Anmeldungen durch denselben Benutzer.

- Benutzer: SAP-Benutzer
-Beschreibung: eine aussagekräftige Benutzerbeschreibung.
SAP – Netzwerke Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen.

- Netzwerk: Netzwerk-IP-Adresse oder IP-Adressbereich, z. B. 111.68.128.0/17
- Beschreibung: eine aussagekräftige Netzwerkbeschreibung.
SAP – Privilegierte-Benutzer Privilegierte Benutzer, für die zusätzliche Einschränkungen gelten.

- Benutzer: der ABAP-Benutzer, z. B. DDIC oder SAP
- Beschreibung: eine aussagekräftige Benutzerbeschreibung.
SAP – Sensible ABAP-Programme Sensible ABAP-Programme (Berichte), in denen die Ausführung gesteuert werden soll.

- ABAPProgram: ABAP-Programm oder -Bericht, z. B. RSPFLDOC
- Beschreibung: Eine aussagekräftige Programmbeschreibung.
SAP – Sensibles Funktionsmodul Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen.

- FunctionModule: Ein ABAP-Funktionsmodul, z. B. RSAU_CLEAR_AUDIT_LOG
- Beschreibung: eine aussagekräftige Modulbeschreibung.
SAP – Sensible Profile Sensible Profile, bei denen Zuweisungen gesteuert werden sollen.

- Profil: SAP-Autorisierungsprofil, z. B. SAP_ALL oder SAP_NEW
- Beschreibung: Eine aussagekräftige Profilbeschreibung.
SAP – Sensible Tabellen Sensible Tabellen, bei denen der Zugriff gesteuert werden soll.

- Tabelle: ABAP-Wörterbuchtabelle, z. B. USR02 oder PA008
- Beschreibung: eine aussagekräftige Tabellenbeschreibung.
SAP – Sensible Rollen Sensible Rollen, bei denen die Zuweisung gesteuert werden soll.

- Rolle: SAP-Autorisierungsrolle, z. B. SAP_BC_BASIS_ADMIN
- Beschreibung: eine aussagekräftige Rollenbeschreibung.
SAP – Sensible Transaktionen Sensible Transaktionen, bei denen die Ausführung gesteuert werden soll.

- TransactionCode: SAP-Transaktionscode, z. B. RZ11
- Beschreibung: eine aussagekräftige Codebeschreibung.
SAP – Systeme Beschreibt die Landschaft von SAP-Systemen je nach Rolle, Nutzung und Konfiguration.

- SystemID: die SAP-System-ID (SYSID)
- SystemRole: die SAP-Systemrolle, einer der folgenden Werte: Sandbox, Development, Quality Assurance, Training, Production
- SystemUsage: die SAP-Systemnutzung, einer der folgenden Werte: ERP, BW, Solman, Gateway, Enterprise Portal
- InterfaceAttributes: ein optionaler dynamischer Parameter für die Verwendung in Playbooks.
SAPSystemParameters Parameter, die auf verdächtige Konfigurationsänderungen überwacht werden sollen. Diese Watchlist ist mit empfohlenen Werten vorausgefüllt (gemäß den SAP bewährten Methoden), und Sie können die Watchlist erweitern, um weitere Parameter aufzunehmen. Wenn Sie keine Benachrichtigungen für einen Parameter erhalten möchten, setzen Sie EnableAlerts auf false.

- ParameterName: Der Name des Parameters.
- Kommentar: Die SAP-Standardparameterbeschreibung.
- EnableAlerts: Definiert, ob Warnungen für diesen Parameter aktiviert werden sollen. Gültige Werte sind true und false.
- Option: Definiert, in welchem Fall eine Warnung ausgelöst werden soll: Wenn der Parameterwert größer oder gleich (GE), kleiner oder gleich () ist oder gleich (LEEQ)
Wenn der login/fails_to_user_lock SAP-Parameter beispielsweise auf LE (kleiner oder gleich) und auf den Wert 5 festgelegt ist, sobald Microsoft Sentinel eine Änderung an diesem spezifischen Parameter erkennt, werden der neu gemeldete Wert und der erwartete Wert verglichen. Wenn der neue Wert 4 lautet, löst Microsoft Sentinel keine Warnung aus. Wenn der neue Wert 6 ist, löst Microsoft Sentinel eine Warnung aus.
- ProductionSeverity: Der Incidentschweregrad für Produktionssysteme.
- ProductionValues: Zulässige Werte für Produktionssysteme.
- NonProdSeverity: Der Schweregrad des Vorfalls für Nichtproduktionssysteme.
- NonProdValues: Zulässige Werte für Nichtproduktionssysteme.
SAP – Ausgeschlossene Benutzer Systembenutzer, die angemeldet sind und ignoriert werden müssen, z. B. für die Warnung „Mehrere Anmeldungen durch Benutzer“.

- Benutzer: SAP-Benutzer
- Beschreibung: eine aussagekräftige Benutzerbeschreibung
SAP – Ausgeschlossene Netzwerke Verwalten Sie interne, ausgeschlossene Netzwerke zum Ignorieren von Webdispatchern, Terminalservern usw.

- Netzwerk: Netzwerk-IP-Adresse oder IP-Adressbereich, z. B. 111.68.128.0/17
- Beschreibung: eine aussagekräftige Netzwerkbeschreibung
SAP – Veraltete Funktionsmodule Veraltete Funktionsmodule, deren Ausführung gesteuert werden soll.

- FunctionModule: ABAP-Funktionsmodul, z. B. TH_SAPREL
- Beschreibung: eine aussagekräftige Funktionsmodulbeschreibung
SAP – Veraltete Programme Sensible ABAP-Programme (Berichte), in denen die Ausführung gesteuert werden soll.

- ABAPProgram: ABAP-Programm, z. B. TH_ RSPFLDOC
- Beschreibung: eine aussagekräftige ABAP-Programmbeschreibung
SAP – Transaktionen für ABAP-Generierungen Transaktionen für ABAP-Generierungen, deren Ausführung gesteuert werden soll.

- TransactionCode: Transaktionscode, z. B. SE11.
- Beschreibung: eine aussagekräftige Transaktionscodebeschreibung
SAP – FTP-Server FTP-Server zur Identifizierung nicht autorisierter Verbindungen.

- Client: z. B. 100.
- FTP_Server_Name: FTP-Servername, z. B. http://contoso.com/
-FTP_Server_Port: FTP-Serverport, z. B. 22.
- Beschreibung: eine aussagekräftige FTP-Serverbeschreibung
SAP_Dynamic_Audit_Log_Monitor_Configuration Konfigurieren Sie die SAP-Überwachungsprotokollwarnungen, indem Sie jede Nachrichten-ID nach Bedarf pro Systemrolle (Produktion, Nichtproduktion) einen Schweregrad zuweisen. Diese Überwachungsliste enthält alle verfügbaren Standardüberwachungsprotokoll-IDs von SAP. Die Watchlist kann erweitert werden, um zusätzliche Nachrichten-IDs zu enthalten, die Sie selbst erstellen können, indem Sie SUPPORTS-Erweiterungen auf ihren SAP NetWeaver-Systemen verwenden. Diese Watchlist ermöglicht außerdem das Konfigurieren eines bestimmten Teams, das alle Ereignistypen verarbeitet, sowie das Ausschließen von Benutzer*innen nach SAP-Rollen, SAP-Profilen oder Tags aus der Watchlist SAP_User_Config. Diese Watchlist ist eine der Kernkomponenten, die zum Konfigurieren der integrierten SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls verwendet werden. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls.

- MessageID: Die SAP-MessageID oder der Ereignistyp wie z. B. AUD (Benutzermasterdatensatz-Änderungen) oder AUB (Autorisierungsänderungen)
- DetailedDescription: Eine Markdown-aktivierte Beschreibung, die im Incidentbereich angezeigt werden soll
- ProductionSeverity: Der gewünschte Schweregrad für den Vorfall, mit dem dieser für Produktionssysteme erstellt werden soll, High, Medium. Kann auf Disabled festgelegt werden
- NonProdSeverity: Der gewünschte Schweregrad für den Vorfall, der für Nichtproduktionssysteme Higherstellt werden soll , Medium. Kann auf Disabled festgelegt werden
- ProductionThreshold: Die Anzahl der Ereignisse „pro Stunde“, die als verdächtig für Produktionssysteme betrachtet werden sollen 60
- NonProdThreshold Die Anzahl der Ereignisse pro Stunde, die als verdächtig für Nichtproduktionssysteme 10betrachtet werden sollen.
- RolesTagsToExclude: Dieses Feld akzeptiert SAP-Rollennamen, SAP-Profilnamen oder Tags aus der SAP_User_Config-Watchlist. Diese werden dann verwendet, um die zugeordneten Benutzer*innen von bestimmten Ereignistypen auszuschließen. Sehen Sie sich auch die Optionen für Rollentags am Ende dieser Liste an.
- RuleType: Wird Deterministic verwendet, um den Ereignistyp an die SAP-Regel "Dynamic Deterministic Deterministic Audit Log Monitor " zu senden, oder AnomaliesOnly um dieses Ereignis von der SAP -Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW)-Regel abgedeckt zu lassen. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls.
- TeamsChannelID: ein optionaler dynamischer Parameter für die Verwendung in Playbooks.
- DestinationEmail: ein optionaler dynamischer Parameter für die Verwendung in Playbooks.

Für das Feld RolesTagsToExclude:
– Wenn Sie SAP-Rollen oder SAP-Profile auflisten, schließt dies alle Benutzer*innen mit den aufgelisteten Rollen oder Profilen von diesen Ereignistypen für das gleiche SAP-System aus. Wenn Sie z. B. die ABAP-Rolle BASIC_BO_USERS für RFC-bezogene Ereignistypen angeben, lösen Business Objects-Benutzer*innen keine Vorfälle aus, wenn sie umfangreiche RFC-Aufrufe ausführen.
- Das Kategorisieren eines Ereignistyps ähnelt der Angabe von SAP-Rollen oder -Profilen, aber Tags können im Arbeitsbereich erstellt werden, sodass SOC-Teams Benutzer nach Aktivitäten ausschließen können, ohne je nach SAP BASIS-Team. Beispielsweise werden den Überwachungsmeldungs-IDs „AUB“ (Autorisierungsänderungen) und „AUD“ (Benutzermasterdatensatz-Änderungen) das Tag MassiveAuthChanges zugewiesen. Benutzer*innen, denen dieses Tag zugewiesen ist, werden von den Prüfungen für diese Aktivitäten ausgeschlossen. Beim Ausführen der Arbeitsbereichsfunktion SAPAuditLogConfigRecommend wird eine Liste der empfohlenen Tags erstellt, die Benutzer*innen zugewiesen werden sollen, z. B. Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist.
SAP_User_Config Ermöglicht die Feinabstimmung von Warnungen, indem Benutzer in bestimmten Kontexten ausgeschlossen und auch zum Konfigurieren der integrierten SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls verwendet werden. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls.

- SAPUser: Der oder die SAP-Benutzer*in
- Tags: Tags werden verwendet, um Benutzer*innen im Zusammenhang mit bestimmten Aktivitäten zu identifizieren. Das Hinzufügen der Tags ["GenericTablebyRFCOK"] zum Benutzer SENTINEL_SRV verhindert beispielsweise, dass RFC-bezogene Vorfälle für diesen bestimmten Benutzer erstellt werden.
Andere Active Directory-Benutzer-IDs
- AD-Benutzer-ID
- Lokale SID des Benutzers
- Benutzerprinzipalname

Verfügbare Playbooks

Playbooks, die von der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden, helfen Ihnen bei der Automatisierung von SAP-Vorfallreaktionsworkloads, die Effizienz und Effektivität von Sicherheitsvorgängen zu verbessern.

In diesem Abschnitt werden integrierte Analyse-Playbooks beschrieben, die zusammen mit der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden.

Playbook-Name Parameter Verbindungen
SAP Incident Response: Sperren von Benutzern aus Teams – Basic - SAP-SOAP-User-Password
- SAP-SOAP-Username
– SOAPApiBasePath
- DefaultEmail
- TeamsChannel
– Microsoft Sentinel
– Microsoft Teams
SAP Incident Response: Sperren von Benutzern in Teams – Erweitert - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
– Microsoft Sentinel
- Azure Monitor-Protokolle
- Office 365 Outlook
– Microsoft Entra ID
– Azure Key Vault
– Microsoft Teams
SAP Incident Response: Erneutes Aktivieren der Überwachungsprotokollierung nach Deaktivierung - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
– Microsoft Sentinel
– Azure Key Vault
- Azure Monitor-Protokolle
– Microsoft Teams

In den folgenden Abschnitten werden Beispiele für jeden der bereitgestellten Playbooks verwendet, in einem Szenario, in dem ein Vorfall Sie vor verdächtiger Aktivität in einem der SAP-Systeme warnte, in dem ein Benutzer versucht, eine dieser streng vertraulichen Transaktionen auszuführen.

Während der Vorfall-Triage-Phase entscheiden Sie sich, gegen diesen Benutzer Maßnahmen zu ergreifen, es aus Ihren SAP ERP- oder BTP-Systemen oder sogar aus Microsoft Entra ID zu starten.

Weitere Informationen finden Sie unter Automatisieren der Bedrohungsreaktion mit Playbooks in Microsoft Sentinel

Der Prozess für die Bereitstellung von Standardlogik-Apps ist im Allgemeinen komplexer als für Verbrauchslogik-Apps. Wir haben eine Reihe von Verknüpfungen erstellt, mit denen Sie diese schnell aus dem GitHub-Repository von Microsoft Sentinel bereitstellen können. Weitere Informationen finden Sie in der Schrittweisen Installationsanleitung.

Tipp

Sehen Sie sich den SAP-Playbooks-Ordner im GitHub-Repository an, um weitere Playbooks zu erhalten, sobald sie verfügbar sind. Es gibt auch ein kurzes Einführungsvideo (externer Link), das Ihnen den Einstieg erleichtert.

Sperren eines Benutzers für ein einzelnes System

Erstellen Sie eine Automatisierungsregel, um den Sperrbenutzer aus Teams aufzurufen – einfaches Playbook, wenn eine vertrauliche Transaktionsausführung durch einen nicht autorisierten Benutzer erkannt wird. Dieses Playbook verwendet das Teams-Feature „Adaptive Karte“, um die Genehmigung anzufordern, bevor der Benutzer einseitig blockiert wird.

Weitere Informationen finden Sie unter "Von 0 bis zur Hero-Sicherheitsabdeckung" mit Microsoft Sentinel für Ihre kritischen SAP-Sicherheitssignale – Sie werden mich SOAR hören! Teil 1 (SAP-Blogbeitrag).

Der Sperrbenutzer von Teams – Einfaches Playbook ist ein Standard-Playbook, und Standard-Playbooks sind in der Regel komplexer bereitzustellen als Verbrauchs-Playbooks.

Wir haben eine Reihe von Verknüpfungen erstellt, mit denen Sie diese schnell aus dem GitHub-Repository von Microsoft Sentinel bereitstellen können. Weitere Informationen finden Sie in der Schrittweisen Installationsanleitung und unterstützten Logik-App-Typen.

Sperren eines Benutzers für mehrere Systemen

Das Playbook Sperren von Benutzern aus Teams – Erweitert erreicht das gleiche Ziel, ist aber für komplexere Szenarien konzipiert, in denen ein einzelnes Playbook für mehrere SAP-Systeme mit jeweils eigener SAP-SID verwendet werden kann.

Der Benutzer von Teams – Advanced Playbook verwaltet nahtlos die Verbindungen zu all diesen Systemen und deren Anmeldeinformationen unter Verwendung der Optionalen dynamischen Parameter InterfaceAttributes in der SAP - Systems Watchlist und Azure Key Vault.

Der Sperrbenutzer von Teams – Erweitertes Playbook ermöglicht ihnen auch die Kommunikation mit den Parteien im Genehmigungsprozess mithilfe von Nachrichten mit Aktionen in Outlook zusammen mit Teams, wobei die Parameter "TeamsChannelID " und "DestinationEmail " in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist verwendet werden.

Weitere Informationen finden Sie unter "Von null" bis "Hero Security Coverage" mit Microsoft Sentinel für Ihre kritischen SAP-Sicherheitssignale – Teil 2 (SAP-Blogbeitrag).

Verhindern der Deaktivierung der Überwachungsprotokollierung

Möglicherweise sind Sie auch besorgt über das SAP-Überwachungsprotokoll, das eine Ihrer Sicherheitsdatenquellen ist, die deaktiviert werden. Es wird empfohlen, eine Automatisierungsregel basierend auf der SAP -Deaktivierung der Analyseregel für Sicherheitsüberwachungsprotokolle zu erstellen, um die reaktivierbare Überwachungsprotokollierung nach dem Deaktivieren des Playbook aufzurufen, um sicherzustellen, dass das SAP-Überwachungsprotokoll nicht deaktiviert ist.

Das SAP - Deaktivierung des Sicherheitsüberwachungsprotokoll-Playbook verwendet auch Teams und informiert das Sicherheitspersonal nach der Tatsache. Der Schweregrad der Straftat und die Dringlichkeit ihrer Entschärfung deuten darauf hin, dass sofortige Maßnahmen ohne Genehmigung erfolgen können.

Da das Playbook SAP - Deaktivierung des Sicherheitsüberwachungsprotokolls auch Azure Key Vault zum Verwalten von Anmeldeinformationen verwendet, ähnelt die Konfiguration des Playbook dem des Sperrbenutzers von Teams – Erweitertes Playbook. Weitere Informationen finden Sie unter "Von null" bis "Hero Security Coverage" mit Microsoft Sentinel für Ihre kritischen SAP-Sicherheitssignale – Teil 3 (SAP-Blogbeitrag).

Weitere Informationen finden Sie unter Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen.