Supervisión y seguimiento de la actividad de auditoría de usuarios en todos los sistemas SAP
En este artículo se describe el libro SAP - Security Audit log (Registro de auditoría de seguridad) y Initial Access (Acceso inicial), que se usa para supervisar y realizar un seguimiento de la actividad de auditoría de usuario en los sistemas SAP. Use el libro para obtener una visión general de la actividad de auditoría de usuario, proteger mejor los sistemas SAP y obtener una visibilidad rápida de las acciones sospechosas. Explore en profundidad los eventos sospechosos según sea necesario.
Use el libro para la supervisión continua de los sistemas SAP o para revisar los sistemas después de un incidente de seguridad u otra actividad sospechosa.
Por ejemplo:
El contenido de este artículo está pensado para su equipo de seguridad.
Requisitos previos
Antes de que pueda comenzar a usar el libro de trabajo SAP: registro de Auditoría de Seguridad y Acceso Inicial, necesita tener:
Una solución de Microsoft Sentinel para SAP instalada y un conector de datos configurado. Para obtener más información, consulte Implementación de una solución de Microsoft Sentinel para aplicaciones de SAP.
El registro de auditoría de seguridad de SAP y el libro acceso inicial instalados en el área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Para más información, consulte Visualización y supervisión de sus datos mediante libros en Microsoft Sentinel.
Importante
El registro de auditoría de seguridad de SAP y el libro de acceso inicial se hospedan en el área de trabajo donde se instaló la solución Microsoft Sentinel para aplicaciones SAP. De manera predeterminada, se da por supuesto que los datos de SAP y SOC están en el área de trabajo que hospeda el libro.
Si los datos de SOC están en un área de trabajo diferente a la del área de trabajo que hospeda el libro, asegúrese de incluir la suscripción correspondiente a esa área de trabajo y seleccione el área de trabajo de SOC en el área de trabajo de auditoría y actividad de Azure.
Al menos un incidente en el área de trabajo de Microsoft Sentinel, con al menos una entrada disponible en la
SecurityIncident
tabla. Esto no necesita ser un incidente de SAP y puede generar un incidente de demostración mediante una regla de análisis básica si no tiene otra.Si los datos de Microsoft Entra están en un área de trabajo de Log Analytics diferente, asegúrese de seleccionar las suscripciones y áreas de trabajo pertinentes en la parte superior del libro, en Auditoría y actividades de Azure.
Se recomienda configurar la auditoría para todos los mensajes del registro de auditoría, en lugar de solo registros específicos. Las diferencias de costos de ingesta suelen ser mínimas y los datos son útiles para las detecciones de Microsoft Sentinel y en las investigaciones y la búsqueda posteriores al compromiso. Para más información, vea Configuración de la auditoría de SAP.
Filtros admitidos
El libro SAP - Security Audit log and Initial Access admite los siguientes filtros para ayudarle a centrarse en los datos que necesita:
- Intervalo de tiempo. De cuatro horas a 90 días.
- Roles de sistema. Roles del sistema SAP, por ejemplo: Desarrollo.
- Uso del sistema. Por ejemplo, SAP GTS.
- Sistemas SAP. Puede seleccionar todos los sistemas, un sistema específico o seleccionar varios sistemas.
Si selecciona sistemas que no están configurados en la lista de seguimiento de sistemas SAP, el libro muestra un error, especificando los sistemas con problemas. En este caso, configure la lista de seguimiento para incluir correctamente estos sistemas.
Datos del informe de análisis de inicio de sesión
La pestaña Informe de análisis de inicio de sesión en el registro de auditoría de seguridad de SAP y el libro Acceso inicial muestran datos sobre errores de inicio de sesión, como datos anómalos, datos de Microsoft Entra, etc.
Los datos se basan en la lista de seguimiento de sistemas SAP.
La pestaña Informe de análisis de inicio de sesión incluye las siguientes áreas:
- Análisis de inicio de sesión
- Errores de inicio de sesión: detección de anomalías
- Errores de inicio de sesión: tendencias
Análisis de inicio de sesión
El área Análisis de inicio de sesión se muestra con respecto a los inicios de sesión del usuario. Por ejemplo:
En la tabla siguiente se describe cada métrica del área de análisis de inicio de sesión:
Área | Descripción |
---|---|
Inicios de sesión de usuario únicos por sistema | Muestra el número de inicios de sesión únicos para cada sistema SAP y un gráfico con las tendencias de inicio de sesión durante el tiempo seleccionado para cada sistema. Por ejemplo: el sistema 012 tiene 1400 intentos de inicio de sesión únicos en los últimos 14 días y, en estos 14 días, el gráfico muestra una tendencia de inicio de sesión relativamente creciente. |
Tendencia de tipos de inicio de sesión | Muestra una tendencia del número de inicios de sesión según el tipo, por ejemplo, inicio de sesión mediante cuadro de diálogo. Mantenga el puntero sobre el gráfico para mostrar el número de inicios de sesión de fechas diferentes. |
Errores de inicio de sesión frente correctos de usuarios únicos: tendencia | Muestra una tendencia de inicios de sesión correctos y con errores en el período seleccionado. Mantenga el puntero sobre el gráfico para mostrar la cantidad de inicios de sesión correctos y erróneos para fechas diferentes. |
Errores de inicio de sesión: detección de anomalías
Las áreas situadas en Detección de anomalías: filtrado de intentos de inicio de sesión ruidosos con errores muestran los datos de errores de inicio de sesión de los sistemas SAP y los usuarios. Para ver solo los datos marcados por, seleccione Anómalo solo junto a Inicios de sesión erróneos a la derecha.
Para más información, consulte Supervisión del registro de auditoría de SAP.
Por ejemplo:
En la tabla siguiente se describe cada métrica del área detección de anomalías:
Área | Descripción |
---|---|
Tasa de errores de inicio de sesión>Anomalías de errores de inicio de sesión>Inicios de sesión de usuario únicos con errores por sistema SAP | Muestra el número de inicios de sesión únicos con errores para cada sistema SAP. |
SAP y Active Directory son mejores juntos | La tabla Errores de inicio de sesión anómalos muestra una combinación de datos de Microsoft Sentinel y Microsoft Entra, enumerando a los usuarios según el riesgo, con los usuarios más arriesgados en la parte superior. Para cada usuario, la tabla muestra: - Una escala de tiempo de los intentos de inicio de sesión erróneos : una escala de tiempo que muestra en qué momento se produjo un intento anómalo. - El tipo de anomalía - Dirección de correo electrónico del usuario - El indicador de riesgo de Microsoft Entra - El número de incidentes y alertas en Microsoft Sentinel Seleccione la fila de un usuario para ver una lista de alertas e incidentes relacionados. Los eventos de riesgo de Microsoft Entra se enumeran en Auditoría de Azure y riesgos de inicio de sesión para el usuario. |
Tasa de errores de inicio de sesión por sistema | Muestra los sistemas SAP seleccionados, agrupados por tipo, con el número de errores en el período seleccionado. El color del sistema indica el número de intentos erróneos: verde para algunos intentos de inicio de sesión sospechosos y rojo para más. Seleccione un sistema para ver una lista de inicios de sesión con errores, con detalles sobre los errores. |
En la captura de pantalla siguiente, observe los datos que se muestran cuando se selecciona la primera línea en la tabla Errores de inicio de sesión anómalos. Las alertas específicas y las direcciones URL de los incidentes se muestran en la tabla Información general sobre incidentes y alertas del usuario.
En la captura de pantalla siguiente, los riesgos de auditoría e inicio de sesión de Azure para la tabla de usuarios muestran los datos del riesgo de inicio de sesión relacionado con este usuario.
En la captura de pantalla siguiente, observe la tasa de errores de inicio de sesión por área del sistema , donde se selecciona el sistema 84e en el grupo Prueba . El área Inicios de sesión con errores del sistema de la derecha muestra los eventos de error de este sistema.
Errores de inicio de sesión: tendencias
El área Tendencias de errores de inicio de sesión muestra las tendencias y el número de inicios de sesión con errores, agrupados por diferentes tipos de datos. Por ejemplo:
En la tabla siguiente se describe cada métrica del área Tendencias de errores de inicio de sesión:
Área | Descripción |
---|---|
Errores de inicio de sesión por causa | Muestra la tendencia del número de errores de inicio de sesión según la causa del error, como los datos de inicio de sesión incorrectos. |
Errores de inicio de sesión por tipo | Muestra la tendencia del número de errores de inicio de sesión según el tipo, como el inicio de sesión desencadenó un trabajo en segundo plano o el inicio de sesión se realizó a través de HTTP. |
Errores de inicio de sesión por método | Muestra la tendencia del número de errores de inicio de sesión según el método , como SNC o un vale de inicio de sesión. |
Pestaña Informe de alertas del registro de auditoría
En la pestaña Alertas del registro de auditoría se muestran datos sobre los eventos del registro de auditoría de SAP que supervisa la solución de Microsoft Sentinel para aplicaciones de SAP. Los datos se basan en la lista de reproducción de SAP_Dynamic_Audit_Log_Monitor_Configuration.
En la pestaña Alertas del registro de auditoría se muestran las tendencias de gravedad y auditoría de cada sistema SAP y usuario. Todas las áreas de esta pestaña muestran solo los datos marcados por la detección de anomalías. Para todos los eventos, seleccione All junto a Failed logons a la derecha.
Para más información, consulte Supervisión del registro de auditoría de SAP.
Por ejemplo:
En la tabla siguiente se describe cada métrica de la pestaña Alertas del registro de auditoría:
Área | Descripción |
---|---|
Tendencias de gravedad de alerta por identificador del sistema | Muestra una lista de sistemas, con un gráfico de tendencias de eventos de gravedad media y alta por sistema. Por ejemplo, el sistema 012 tenía muchos eventos de gravedad alta durante todo el período y algunos eventos de gravedad medio , con un pico que muestra más eventos de gravedad media en medio del período. |
Tendencia de auditoría por usuario | Muestra una combinación de datos de Microsoft Sentinel y Microsoft Entra, enumerando a los usuarios según el riesgo, con los usuarios más arriesgados en la parte superior. Para cada usuario, el libro muestra los datos siguientes: - Escala de tiempo de eventos de gravedad alta y media - Dirección de correo electrónico del usuario - El indicador de riesgo de Microsoft Entra - El número de incidentes y alertas en Microsoft Sentinel Seleccione una fila para ver una lista de alertas e incidentes para ese usuario en Información general sobre incidentes y alertas para el usuario. Vea los eventos de riesgo de Microsoft Entra en Auditoría y riesgo de inicio de sesión de Azure para el usuario. |
Puntuación de riesgo por sistema | Representa visualmente cada sistema en una forma de celda, mostrando la puntuación de riesgo para cada sistema y los sistemas de agrupación por tipo. El color del sistema indica la puntuación de riesgo del sistema: verde para obtener una puntuación de riesgo menor y rojo para obtener una puntuación de riesgo más alta. Seleccione un sistema para ver una lista de eventos de SAP por sistema. |
Eventos de tácticas de MITRE ATT&CK | Muestra una lista de eventos de SAP agrupados por tácticas de MITRE ATT&CK, como el acceso inicial o la evasión de defensa. Mantenga el puntero sobre el gráfico para mostrar el número de inicios de sesión para fechas diferentes. |
Eventos por categoría | Muestra una lista de tendencias de eventos de SAP agrupadas por categoría, como inicio de RFC o Inicio de sesión. Mantenga el puntero sobre el gráfico para mostrar el número de inicio de sesión para fechas diferentes. |
Eventos por grupo de autorización | Muestra una lista de tendencias de eventos de SAP agrupadas por el grupo de autorización de SAP, como USER o SUPER. Mantenga el puntero sobre el gráfico para mostrar el número de inicios de sesión para fechas diferentes. |
Eventos por tipo de usuario | Muestra una lista de tendencias de eventos de SAP agrupadas por el tipo de usuario de SAP, como Dialog o System. Mantenga el puntero sobre el gráfico para mostrar el número de inicios de sesión para fechas diferentes. |
En la captura de pantalla siguiente, anote los datos que se muestran cuando se selecciona la primera línea en la tabla Tendencias de auditoría por usuario . Las alertas específicas y las direcciones URL de los incidentes se muestran en la tabla Información general sobre incidentes y alertas del usuario.
En la captura de pantalla siguiente, observe la puntuación de riesgo por área del sistema , donde se selecciona el sistema cb7 en el grupo UAT . El área Eventos de SAP del sistema situada debajo de la visualización del sistema muestra el evento de SAP de este sistema.
En la captura de pantalla siguiente, anote las áreas con eventos y tendencias de eventos agrupadas por diferentes tipos de datos: tácticas de MITRE ATT&CK, grupo de autorización de SAP y tipo de usuario.
Contenido relacionado
Para obtener más información, consulte Implementación de la solución de Microsoft Sentinel para aplicaciones SAP desde el centro de contenido y Solución de Microsoft Sentinel para aplicaciones SAP: referencia de contenido de seguridad.