Solución de Microsoft Sentinel para SAP BTP: referencia de contenido de seguridad
En este artículo se detalla el contenido de seguridad disponible para la solución microsoft Sentinel para SAP BTP.
Por el momento, el contenido de seguridad disponible incluye un libro de trabajo integrado y reglas de análisis. También puede agregar listas de seguimiento relacionadas con SAP para usarlas en búsquedas, reglas de detección, búsqueda de amenazas y cuadernos de estrategias de respuesta.
Más información sobre la solución.
Libro de SAP BTP
El libro de actividad BTP proporciona información general sobre el panel de la actividad BTP.
La pestaña Información general muestra:
- Información general de las subcuentas de BTP, que ayuda a los analistas a identificar las cuentas más activas y el tipo de datos ingeridos.
- Actividad de inicio de sesión de subcuenta, lo que ayuda a los analistas a identificar picos y tendencias que podrían estar asociados a errores de inicio de sesión en SAP Business Application Studio (BAS).
- Escala de tiempo de la actividad BTP y el número de alertas de seguridad de BTP, lo que ayuda a los analistas a buscar cualquier correlación entre los dos.
La pestaña Administración de identidades muestra una cuadrícula de eventos de administración de identidades, como cambios de usuario y de rol de seguridad, en un formato legible. La barra de búsqueda le permite encontrar rápidamente cambios específicos.
Para obtener más información, consulte Tutorial: Visualización y supervisión de los datos e Implementación de soluciones de Microsoft Sentinel para SAP BTP.
Reglas de análisis integradas
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP - Intentos de acceso erróneos en varias subcuentas BAS | Identifica los intentos de acceso de Business Application Studio (BAS) con errores en un número predefinido de subcuentas. Umbral predeterminado: 3 |
Ejecute intentos de inicio de sesión erróneos en BAS a través del número de umbral definido de subcuentas. Orígenes de datos: SAPBTPAuditLog_CL |
Detección, reconocimiento |
| BTP - Malware detectado en el espacio de desarrollo BAS | Identifica las instancias de malware detectadas por el agente de malware interno de SAP en los espacios para desarrolladores de BAS. | Copie o cree un archivo de malware en un espacio para desarrolladores de BAS. Orígenes de datos: SAPBTPAuditLog_CL |
Ejecución, persistencia, desarrollo de recursos |
| BTP - Usuario agregado a la colección de roles privilegiados sensibles | Identifica las acciones de administración de identidades en las que se agrega un usuario a un conjunto de colecciones de funciones. | Asigne una de las siguientes colecciones de roles a un usuario: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Orígenes de datos: SAPBTPAuditLog_CL |
Movimiento lateral, elevación de privilegios |
| BTP - Supervisión del proveedor de identidades de confianza y autorización | Identifica las operaciones de creación, lectura, actualización y eliminación (CRUD) en la configuración del proveedor de identidades dentro de una subcuenta. | Cambie, lea, actualice o elimine cualquiera de las opciones de configuración del proveedor de identidades dentro de una subcuenta. Orígenes de datos: SAPBTPAuditLog_CL |
Acceso a credenciales, elevación de privilegios |
| BTP: eliminación masiva de usuarios en una subcuenta | Identifica la actividad de eliminación de cuentas de usuario en las que el número de usuarios eliminados supera un umbral predefinido. Umbral predeterminado: 10 |
Elimine el recuento de cuentas de usuario por encima del umbral definido. Orígenes de datos: SAPBTPAuditLog_CL |
Impacto |
Pasos siguientes
En este artículo, ha obtenido información sobre el contenido de seguridad proporcionado con la solución microsoft Sentinel para SAP BTP.