Compartir vía


Solución Microsoft Sentinel para aplicaciones de SAP: referencia de contenido de seguridad

En este artículo se detalla el contenido de seguridad disponible para las soluciones de Microsoft Sentinel para SAP.

Importante

Aunque la solución microsoft Sentinel para aplicaciones de SAP está en disponibilidad general, algunos componentes específicos permanecen en versión preliminar. En este artículo se indican los componentes que se encuentran en versión preliminar en las secciones pertinentes siguientes. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

El contenido de seguridad disponible incluye un libro integrado y reglas de análisis integradas. También puede agregar listas de seguimiento relacionadas con SAP para usarlas en búsquedas, reglas de detección, búsqueda de amenazas y cuadernos de estrategias de respuesta.

El contenido de este artículo está pensado para su equipo de seguridad.

Libros integrados

Use los siguientes libros integrados para visualizar y supervisar los datos ingeridos por medio del conector de datos de SAP. Después de implementar la solución SAP, puede encontrar libros de SAP en la pestaña Plantillas .

Nombre del libro Description Registros
SAP - Audit Log Browser (SAP: explorador de registros de auditoría) Muestra datos como:

- Estado general del sistema, incluidos los inicios de sesión de usuario a lo largo del tiempo, los eventos ingeridos por el sistema, las clases de mensajes y los identificadores, y los programas de ABAP se ejecutan
-Severities of events occurring in your system (Gravedad de los eventos que se producen en el sistema)
- Eventos de autenticación y autorización que se producen en el sistema
Usa datos del registro siguiente:

ABAPAuditLog_CL
Controles de auditoría de SAP Le ayuda a comprobar los controles de seguridad del entorno de SAP para que cumplan el marco de control elegido, con herramientas para que haga lo siguiente:

- Asignación de reglas de análisis en su entorno a controles de seguridad específicos y familias de control
- Supervisión y categorización de los incidentes generados por las reglas de análisis basadas en soluciones de SAP
- Informar sobre su cumplimiento
Usa datos de las tablas siguientes:

- SecurityAlert
- SecurityIncident

Para obtener más información, consulte Tutorial: Visualización y supervisión de los datos e Implementación de soluciones de Microsoft Sentinel para aplicaciones de SAP.

Reglas de análisis integradas

En esta sección se describe una selección de reglas de análisis integradas proporcionadas junto con la solución Microsoft Sentinel para aplicaciones SAP. Para obtener las actualizaciones más recientes, compruebe el centro de contenido de Microsoft Sentinel para ver las reglas nuevas y actualizadas.

Supervisión de la configuración de parámetros de seguridad estáticos de SAP (versión preliminar)

Para proteger el sistema SAP, SAP ha identificado los parámetros relacionados con la seguridad que deben supervisarse en busca de cambios. Con la regla "Parámetro estático confidencial de SAP - (versión preliminar) ha cambiado", la solución microsoft Sentinel para aplicaciones SAP realiza un seguimiento de más de 52 parámetros estáticos relacionados con la seguridad en el sistema SAP, que están integrados en Microsoft Sentinel.

Nota:

Para que la solución Microsoft Sentinel para aplicaciones sap supervise correctamente los parámetros de seguridad de SAP, la solución debe supervisar correctamente la tabla PAHI de SAP a intervalos regulares. Para obtener más información, consulte Comprobar que la tabla PAHI se actualiza a intervalos regulares.

Para comprender los cambios de parámetros en el sistema, la solución Microsoft Sentinel para aplicaciones SAP usa la tabla de historial de parámetros, que registra los cambios realizados en los parámetros del sistema cada hora.

Los parámetros también se reflejan en la lista de reproducción SAPSystemParameters. Esta lista de reproducción permite a los usuarios agregar nuevos parámetros, deshabilitar los parámetros existentes y modificar los valores y gravedades por parámetro y rol del sistema en entornos de producción o no producción.

Cuando se realiza un cambio en uno de estos parámetros, Microsoft Sentinel comprueba si el cambio está relacionado con la seguridad y si el valor se establece según los valores recomendados. Si se sospecha que el cambio está fuera de la zona segura, Microsoft Sentinel crea un incidente que detalla el cambio e identifica quién realizó el cambio.

Revise la lista de parámetros que supervisa esta regla.

Supervisión del registro de auditoría de SAP

Muchas de las reglas de análisis de la solución Microsoft Sentinel para aplicaciones sap usan datos de registro de auditoría de SAP. Algunas reglas de análisis buscan eventos específicos en el registro, mientras que otras correlacionan indicaciones de varios registros para crear alertas e incidentes de alta fidelidad.

Use las siguientes reglas de análisis para supervisar todos los eventos de registro de auditoría en el sistema SAP o desencadenar alertas solo cuando se detectan anomalías:

Nombre de la regla Descripción
SAP: falta la configuración en el Monitor de registro de auditoría de seguridad dinámica De forma predeterminada, se ejecuta diariamente para proporcionar recomendaciones de configuración para el módulo de registro de auditoría de SAP. Use la plantilla de regla para crear y personalizar una regla para el área de trabajo.
SAP: Monitor de registro de auditoría determinista dinámico (VERSIÓN PRELIMINAR) De forma predeterminada, se ejecuta cada 10 minutos y se centra en los eventos de registro de auditoría de SAP marcados como deterministas. Use la plantilla de regla para crear y personalizar una regla para el área de trabajo, como para una tasa de falsos positivos más baja.

Esta regla requiere umbrales de alertas deterministas y reglas de exclusión de usuarios.
SAP: alertas de Monitor de registro de auditoría basadas en anomalías dinámicas (VERSIÓN PRELIMINAR) De forma predeterminada, se ejecuta cada hora y se centra en los eventos de SAP marcados como AnomalíasOnly, alertando sobre eventos de registro de auditoría de SAP cuando se detectan anomalías.

Esta regla aplica algoritmos de aprendizaje automático adicionales para filtrar el ruido de fondo de forma no supervisada.

De forma predeterminada, la mayoría de los tipos de eventos o los identificadores de mensaje de SAP en el registro de auditoría de SAP se envían a la regla de análisis de alertas del Monitor de registro de auditoría (VERSIÓN PRELIMINAR) basada en anomalías dinámicas basadas en anomalías, mientras que los tipos de eventos más fáciles de definir se envían a la regla de análisis Determinista dynamic Deterministic Audit Log Monitor (PREVIEW). Esta configuración, junto con otras opciones relacionadas, se puede ajustar aún más para responder a cualquier condición del sistema.

Las reglas de supervisión del registro de auditoría de SAP se entregan como parte del contenido de seguridad de soluciones de Microsoft Sentinel para SAP y permiten un ajuste más preciso mediante las listas de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration y SAP_User_Config.

Por ejemplo, en la tabla siguiente se enumeran varios ejemplos de cómo puede usar la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration para configurar los tipos de eventos que producen incidentes, lo que reduce el número de incidentes generados.

Opción Descripción
Establecimiento de gravedades y deshabilitación de eventos no deseados De forma predeterminada, las reglas deterministas y las reglas basadas en anomalías crean alertas para eventos marcados con gravedad media y alta.

Es posible que quiera configurar las gravedades por separado en entornos de producción y no producción. Por ejemplo, puede establecer un evento de actividad de depuración como alta gravedad en los sistemas de producción y desactivar los mismos eventos completamente en sistemas que no son de producción.
Exclusión de usuarios por sus roles de SAP o perfiles de SAP Microsoft Sentinel para SAP ingiere el perfil de autorización del usuario de SAP, incluidas las asignaciones de roles directas e indirectas, los grupos y los perfiles, para que pueda hablar el lenguaje SAP en su SIEM.

Es posible que desee configurar un evento de SAP para excluir a los usuarios en función de sus roles y perfiles de SAP. En la lista de reproducción, agregue los roles o perfiles que agrupan los usuarios de la interfaz RFC en la columna RolesTagsToExclude, junto al evento Acceso a tablas genéricas por RFC. Esta configuración desencadena alertas solo para los usuarios que faltan estos roles.
Exclusión de usuarios por sus etiquetas SOC Use etiquetas para crear su propia agrupación, sin depender de definiciones de SAP complicadas o incluso sin autorización de SAP. Este método es útil para los equipos de SOC que quieren crear su propia agrupación para usuarios de SAP.

Por ejemplo, si no desea que se avise a cuentas de servicio específicas para el acceso a tablas genéricas por eventos RFC , pero no puede encontrar un rol de SAP o un perfil de SAP que agrupa a estos usuarios, use etiquetas como se indica a continuación:
1. Agregue la etiqueta GenTableRFCReadOK junto al evento correspondiente en la lista de reproducción.
2. Vaya a la SAP_User_Config lista de reproducción y asigne a los usuarios de la interfaz la misma etiqueta.
Especificación de un umbral de frecuencia por tipo de evento y rol del sistema Funciona como un límite de velocidad. Por ejemplo, puede configurar eventos de cambio de registro maestro de usuario para desencadenar solo alertas si se observan más de 12 actividades en una hora, por el mismo usuario de un sistema de producción. Si un usuario supera el límite de 12 por hora (por ejemplo, 2 eventos en una ventana de 10 minutos), se desencadena un incidente.
Determinismo o anomalías Si conoce las características del evento, use las funcionalidades deterministas. Si no está seguro de cómo configurar correctamente el evento, permita que las funcionalidades de aprendizaje automático decidan iniciarse y, a continuación, realice las actualizaciones posteriores según sea necesario.
Funcionalidades soar Use Microsoft Sentinel para organizar, automatizar y responder a incidentes creados por alertas dinámicas del registro de auditoría de SAP. Para obtener más información, consulte Automatización en Microsoft Sentinel: orquestación de seguridad, automatización y respuesta (SOAR).

Para obtener más información, consulte Listas de reproducción disponibles y La característica Supervisión dinámica del registro de auditoría de seguridad de SAP disponible ahora. (blog).

Acceso inicial

Nombre de la regla Descripción Acción de origen Tácticas
SAP - Login from unexpected network Identifica un inicio de sesión desde una red inesperada.

Mantener las redes en la lista de control SAP: redes.
Inicie sesión en el sistema back-end desde una dirección IP que no esté asignada a una de las redes.

Orígenes de datos: SAPcon: registro de auditoría
Acceso inicial
SAP - SPNego Attack Identifica un ataque de reproducción de SPNego. Orígenes de datos: SAPcon: registro de auditoría Impacto, desplazamiento lateral
SAP - Dialog logon attempt from a privileged user Identifica los intentos de inicio de sesión del cuadro de diálogo, con el tipo AUM, realizados por usuarios con privilegios en un sistema SAP. Para obtener más información, consulte SAPUsersGetPrivileged. Intente iniciar sesión desde la misma dirección IP en varios sistemas o clientes dentro del intervalo de tiempo programado.

Orígenes de datos: SAPcon: registro de auditoría
Impacto, desplazamiento lateral
SAP - Brute force attacks Identifica ataques por fuerza bruta en el sistema SAP mediante inicios de sesión RFC Intentar iniciar sesión desde la misma dirección IP a varios sistemas o clientes dentro del intervalo de tiempo programado mediante RFC

Orígenes de datos: SAPcon: registro de auditoría
Acceso con credenciales
SAP: varios inicios de sesión por IP Identifica el inicio de sesión de varios usuarios desde la misma dirección IP en un intervalo de tiempo programado.

Subcaso de uso: Persistencia
Iniciar sesión con varios usuarios desde la misma dirección IP.

Orígenes de datos: SAPcon: registro de auditoría
Acceso inicial
SAP - Multiple Logons by User
Solo se admite para el agente del conector de datos. No está disponible con la solución sin agente de SAP (versión preliminar limitada).
Identifica los inicios de sesión del mismo usuario desde varios terminales en un intervalo de tiempo programado.

Solo está disponible a través del método Audit SAL, para las versiones 7.5 y posteriores de SAP.
Iniciar sesión con el mismo usuario con diferentes direcciones IP.

Orígenes de datos: SAPcon: registro de auditoría
Ataque previo, acceso a credenciales, acceso inicial, recopilación

Subcaso de uso: Persistencia
SAP - Informational - Lifecycle - SAP Notes were implemented in system (SAP - Informativa - Ciclo de vida - Se implementaron notas de SAP en el sistema) Identifica la implementación de una nota de SAP en el sistema. Implemente una nota de SAP con SNOTE/TCI.

Orígenes de datos: SAPcon: solicitudes de cambio
-
SAP - (versión preliminar) AS JAVA: usuario con privilegios confidenciales que inició sesión Identifica un inicio de sesión desde una red inesperada.

Mantener a los usuarios con privilegios en la lista de reproducción SAP: usuarios con privilegios.
Inicie sesión en el sistema back-end con usuarios con privilegios.

Orígenes de datos: SAPJAVAFilesLog
Acceso inicial
SAP - (versión preliminar) AS JAVA: inicio de sesión desde una red inesperada Identifica los inicios de sesión de una red inesperada.

Mantenga los usuarios con privilegios en la lista de reproducción SAP - Networks .
Inicie sesión en el sistema back-end desde una dirección IP que no esté asignada a una de las redes de la lista de reproducción SAP - Networks

Orígenes de datos: SAPJAVAFilesLog
Acceso inicial, evasión de defensa

Filtración de datos

Nombre de la regla Descripción Acción de origen Tácticas
SAP - FTP for non authorized servers Identifica una conexión FTP para un servidor nonauthorized. Crear una nueva conexión FTP; por ejemplo, mediante el módulo de funciones FTP_CONNECT.

Orígenes de datos: SAPcon: registro de auditoría
Detección, acceso inicial, comando y control
SAP - Insecure FTP servers configuration Identifica configuraciones de servidor FTP no seguras, como cuando una lista de permitidos FTP está vacía o contiene marcadores de posición. No mantenga ni mantenga valores que contengan marcadores de posición en la SAPFTP_SERVERS tabla mediante la SAPFTP_SERVERS_V vista de mantenimiento. (SM30)

Orígenes de datos: SAPcon: registro de auditoría
Acceso inicial, comando y control
SAP - Multiple Files Download Identifica varias descargas de archivos para un usuario dentro de un intervalo de tiempo específico. Descargar varios archivos mediante SAPGui para Excel, listas, etcétera.

Orígenes de datos: SAPcon: registro de auditoría
Recopilación, filtración, acceso a credenciales
SAP - Multiple Spool Executions Identifica varias colas para un usuario dentro de un intervalo de tiempo específico. Crear y ejecutar varios trabajos de cola de cualquier tipo por parte de un usuario. (SP01)

Orígenes de datos: SAPcon: registro de cola, SAPcon: registro de auditoría
Recopilación, filtración, acceso a credenciales
SAP - Multiple Spool Output Executions Identifica varias colas para un usuario dentro de un intervalo de tiempo específico. Crear y ejecutar varios trabajos de cola de cualquier tipo por parte de un usuario. (SP01)

Orígenes de datos: SAPcon: registro de salida de cola, SAPcon: registro de auditoría
Recopilación, filtración, acceso a credenciales
SAP - Sensitive Tables Direct Access By RFC Logon Identifica el acceso a una tabla genérica mediante el inicio de sesión RFC.

Mantenga las tablas en la lista de control SAP - Sensitive Tables (SAP - Tablas confidenciales).

Solo es relevante para los sistemas de producción.
Abrir el contenido de la tabla mediante SE11/SE16/SE16N.

Orígenes de datos: SAPcon: registro de auditoría
Recopilación, filtración, acceso a credenciales
SAP - Spool Takeover Identifica a un usuario que imprime una solicitud de cola creada por otra persona. Crear una solicitud de cola con un usuario y, a continuación, obtener su salida con otro usuario.

Orígenes de datos: SAPcon: registro de cola, SAPcon: registro de salida de cola, SAPcon: registro de auditoría
Recopilación, filtración, comando y control
SAP - Dynamic RFC Destination Identifica la ejecución de RFC mediante destinos dinámicos.

Subcaso de uso: Intentos de omitir los mecanismos de seguridad de SAP
Ejecutar un informe de ABAP que usa destinos dinámicos (cl_dynamic_destination). Por ejemplo, DEMO_RFC_DYNAMIC_DEST.

Orígenes de datos: SAPcon: registro de auditoría
Recopilación, filtración
SAP - Sensitive Tables Direct Access By Dialog Logon Identifica el acceso a tablas genéricas a través del inicio de sesión mediante cuadro de diálogo. Abrir el contenido de las tablas mediante SE11/SE16/SE16N.

Orígenes de datos: SAPcon: registro de auditoría
Detección
SAP: (versión preliminar) archivo descargado desde una dirección IP malintencionada Identifica la descarga de un archivo de un sistema SAP mediante una dirección IP que se sabe que es malintencionada. Las direcciones IP malintencionadas se obtienen de los servicios de inteligencia sobre amenazas. Descargar un archivo de una IP malintencionada.

Orígenes de datos: registro de auditoría de seguridad de SAP, inteligencia sobre amenazas
Exfiltración
SAP: (versión preliminar) datos exportados desde un sistema de producción mediante un transporte Identifica la exportación de datos desde un sistema de producción mediante un transporte. Los transportes se usan en los sistemas de desarrollo y son similares a las solicitudes de incorporación de cambios. Esta regla de alerta desencadena incidentes de gravedad media cuando se libera de un sistema de producción algún transporte que incluye datos de cualquier tabla. La regla crea un incidente de gravedad alta cuando en la exportación se incluyen datos de una tabla confidencial. Liberar un transporte de un sistema de producción.

Orígenes de datos: registro de CR de SAP, SAP: tablas confidenciales
Exfiltración
SAP: (versión preliminar) datos confidenciales guardados en una unidad USB Identifica la exportación de datos de SAP mediante archivos. La regla comprueba si hay datos guardados en una unidad USB montada recientemente en un momento cercano a la ejecución de una transacción confidencial, un programa confidencial o el acceso directo a una tabla confidencial. Exportar los datos de SAP a través de archivos y guardarlos en una unidad USB.

Orígenes de datos: registro de auditoría de seguridad de SAP, DeviceFileEvents (Microsoft Defender para punto de conexión), SAP: tablas confidenciales, SAP: transacciones confidenciales, SAP: programas confidenciales
Exfiltración
SAP: (versión preliminar) impresión de datos potencialmente confidenciales Identifica una solicitud de impresión, o una impresión real, de datos potencialmente confidenciales. Los datos se consideran confidenciales si el usuario los obtiene como parte de una transacción confidencial, la ejecución de un programa confidencial o el acceso directo a una tabla confidencial. Imprimir o solicitar imprimir datos confidenciales.

Orígenes de datos: registro de auditoría de seguridad de SAP, registros de cola de impresión de SAP, SAP: tablas confidenciales, SAP: programas confidenciales
Exfiltración
SAP: (versión preliminar) gran volumen de datos potencialmente confidenciales exportados Identifica la exportación de un gran volumen de datos mediante archivos cerca de la ejecución de una transacción confidencial, un programa confidencial o el acceso directo a la tabla confidencial. Exportar un gran volumen de datos mediante archivos.

Orígenes de datos: registro de auditoría de seguridad de SAP, SAP: tablas confidenciales, SAP: transacciones confidenciales, SAP: programas confidenciales
Exfiltración

Persistencia

Nombre de la regla Descripción Acción de origen Tácticas
SAP - Activation or Deactivation of ICF Service Identifica la activación o desactivación de servicios de ICF. Activar un servicio mediante SICF.

Orígenes de datos: SAPcon: registro de datos de tabla
Comando y control, movimiento lateral, persistencia
SAP - Function Module tested Identifica las pruebas de un módulo de función. Probar un módulo de funciones mediante SE37 / SE80.

Orígenes de datos: SAPcon: registro de auditoría
Colección, evasión de defensa, desplazamiento lateral
SAP - (VERSIÓN PRELIMINAR) HANA DB: acciones de administrador de usuarios Identifica las acciones de administración de usuarios. Crear, actualizar o eliminar un usuario de base de datos.

Orígenes de datos: agente de Linux: Syslog*
Elevación de privilegios
SAP - New ICF Service Handlers Identifica la creación de controladores de ICF. Asignar un nuevo controlador a un servicio mediante SICF.

Orígenes de datos: SAPcon: registro de auditoría
Comando y control, movimiento lateral, persistencia
SAP - New ICF Services Identifica la creación de servicios de ICF. Crear un servicio mediante SICF.

Orígenes de datos: SAPcon: registro de datos de tabla
Comando y control, movimiento lateral, persistencia
SAP: ejecución de un módulo de función obsoleto o no seguro Identifica la ejecución de un módulo de funciones de ABAP obsoletas o no seguras.

Mantenga las funciones obsoletas en la lista de control SAP - Obsolete Function Modules (SAP - Módulos de funciones obsoletas). Asegúrese de activar los cambios de registro de tabla para la tabla EUFUNC en el back-end. (SE13)

Solo es relevante para los sistemas de producción.
Ejecutar un módulo de funciones obsoletas o no seguras directamente mediante SE37.

Orígenes de datos: SAPcon: registro de datos de tabla
Detección, comando y control
SAP - Execution of Obsolete/Insecure Program
Solo se admite para el agente del conector de datos. No está disponible con la solución sin agente de SAP (versión preliminar limitada).
Identifica la ejecución de un programa de ABAP obsoleto o no seguro.

Mantenga los programas obsoletos en la lista de control SAP - Obsolete Programs (SAP - Programas obsoletos).

Solo es relevante para los sistemas de producción.
Ejecutar un programa directamente mediante SE38/SA38/SE80 o mediante un trabajo en segundo plano.

Orígenes de datos: SAPcon: registro de auditoría
Detección, comando y control
SAP: varios cambios de contraseña Identifica varios cambios de contraseña por usuario. Cambiar la contraseña de usuario

Orígenes de datos: SAPcon: registro de auditoría
Acceso con credenciales
SAP - (versión preliminar) AS JAVA: el usuario crea y usa un nuevo usuario Identifica la creación o manipulación de usuarios por parte de los administradores en el entorno de JAVA de AS de SAP. Inicie sesión en el sistema back-end con los usuarios que ha creado o manipulado.

Orígenes de datos: SAPJAVAFilesLog
Persistencia

Intentos de omitir los mecanismos de seguridad de SAP

Nombre de la regla Descripción Acción de origen Tácticas
SAP - Client Configuration Change Identifica los cambios en la configuración del cliente, como el rol de cliente o el modo de grabación de cambios. Realizar cambios de configuración del cliente mediante el código de transacción SCC4.

Orígenes de datos: SAPcon: registro de auditoría
Evasión de defensa, filtración, persistencia
SAP - Data has Changed during Debugging Activity Identifica los cambios que se han producido en los datos del runtime durante una actividad de depuración.

Subcaso de uso: Persistencia
1. Activar la depuración ("/h").
2. Seleccionar el campo que se va a cambiar y actualizar su valor.

Orígenes de datos: SAPcon: registro de auditoría
Ejecución, desplazamiento lateral
SAP - Deactivation of Security Audit Log Identifica la desactivación del registro de auditoría de seguridad. Deshabilitar el registro de auditoría de seguridad mediante SM19/RSAU_CONFIG.

Orígenes de datos: SAPcon: registro de auditoría
Filtración, evasión de defensa, persistencia
SAP - Execution of a Sensitive ABAP Program Identifica la ejecución directa de un programa de ABAP confidencial.

Mantener los programas de ABAP en la lista de reproducción SAP: programas de ABAP confidenciales.
Ejecutar un programa directamente mediante SE38/SA38/SE80.

Orígenes de datos: SAPcon: registro de auditoría
Filtración, desplazamiento lateral, ejecución
SAP - Execution of a Sensitive Transaction Code Identifica la ejecución de un código de transacción confidencial.

Mantener los códigos de transacción en la lista de reproducción SAP : códigos de transacción confidenciales.
Ejecutar un código de transacción confidencial.

Orígenes de datos: SAPcon: registro de auditoría
Detección, ejecución
SAP - Execution of Sensitive Function Module Identifica la ejecución de un módulo de funciones de ABAP confidenciales.

Subcaso de uso: Persistencia

Solo es relevante para los sistemas de producción.

Mantenga las funciones confidenciales en la lista de control SAP - Sensitive Function Modules (SAP - Módulos de funciones confidenciales) y asegúrese de activar los cambios de registro de tabla en el back-end para la tabla EUFUNC. (SE13)
Ejecutar un módulo de funciones confidenciales directamente mediante SE37.

Orígenes de datos: SAPcon: registro de datos de tabla
Detección, comando y control
SAP - (VERSIÓN PRELIMINAR) HANA DB- Audit Trail Policy Changes Identifica los cambios en las directivas de registro de auditoría de HANA DB. Crear o actualizar la directiva de auditoría existente en las definiciones de seguridad.

Orígenes de datos: Agente de Linux: Syslog
Desplazamiento lateral, evasión de la defensa, persistencia
SAP - (VERSIÓN PRELIMINAR) HANA DB: desactivación de la pista de auditoría Identifica la desactivación del registro de auditoría de HANA DB. Desactive el registro de auditoría en la definición de seguridad de HANA DB.

Orígenes de datos: agente de Linux: Syslog
Persistencia, desplazamiento lateral, evasión de la defensa
SAP: ejecución remota no autorizada de un módulo de funciones confidenciales Detecta ejecuciones no autorizadas de FM confidenciales comparando la actividad con el perfil de autorización del usuario, sin tener en cuenta las autorizaciones modificadas recientemente.

Mantener los módulos de funciones de la lista de reproducción SAP: módulos de funciones confidenciales.
Ejecutar un módulo de funciones mediante RFC.

Orígenes de datos: SAPcon: registro de auditoría
Ejecución, desplazamiento lateral, detección
SAP - System Configuration Change Identifica los cambios en la configuración del sistema. Adapte las opciones de cambio del sistema o la modificación de componentes de software mediante el código de transacción SE06.

Orígenes de datos: SAPcon: registro de auditoría
Filtración, evasión de defensa, persistencia
SAP - Debugging Activities Identifica todas las actividades relacionadas con la depuración.

Subcaso de uso: Persistencia
Activar Debug ("/h") en el sistema, depurar un proceso activo, agregar un punto de interrupción al código fuente, etc.

Orígenes de datos: SAPcon: registro de auditoría
Detección
SAP - Security Audit Log Configuration Change Identifica los cambios en la configuración del registro de auditoría de seguridad. Cambiar cualquier configuración de registro de auditoría de seguridad mediante SM19/RSAU_CONFIG, como los filtros, el estado, el modo de grabación, etc.

Orígenes de datos: SAPcon: registro de auditoría
Persistencia, filtración, evasión de defensa
SAP - Transaction is unlocked Identifica el desbloqueo de una transacción. Desbloquear un código de transacción mediante SM01/SM01_DEV/SM01_CUS.

Orígenes de datos: SAPcon: registro de auditoría
Persistencia, ejecución
SAP - Dynamic ABAP Program Identifica la ejecución de la programación ABAP dinámica. Por ejemplo, cuando se creó, cambió o eliminó dinámicamente el código de ABAP.

Mantenga los códigos de transacción excluidos en la lista de control SAP - Transactions for ABAP Generations (SAP - Transacciones para generaciones de ABAP).
Crear un informe de ABAP que use comandos de generación de programas de ABAP, como INSERT REPORT, y, a continuación, ejecutar el informe.

Orígenes de datos: SAPcon: registro de auditoría
Detección, comando y control, impacto

Operaciones con privilegios sospechosos

Nombre de la regla Descripción Acción de origen Tácticas
SAP: cambio en un usuario con privilegios confidenciales Identifica los cambios de los usuarios con privilegios confidenciales.

Mantener a los usuarios con privilegios en la lista de reproducción SAP: usuarios con privilegios.
Cambiar los detalles o las autorizaciones de los usuarios mediante SU01.

Orígenes de datos: SAPcon: registro de auditoría
Elevación de privilegios, acceso a credenciales
SAP - (PREVIEW) HANA DB -Assign Admin Authorizations Identifica la asignación de roles o privilegios administrativos. Asignar a un usuario cualquier rol o privilegio administrativos.

Orígenes de datos: Agente de Linux: Syslog
Elevación de privilegios
SAP - Sensitive privileged user logged in Identifica el cuadro de diálogo de inicio de sesión de un usuario con privilegios confidenciales.

Mantener a los usuarios con privilegios en la lista de reproducción SAP: usuarios con privilegios.
Iniciar sesión en el sistema back-end mediante SAP* u otro usuario con privilegios.

Orígenes de datos: SAPcon: registro de auditoría
acceso inicial, acceso a credenciales
SAP - Sensitive privileged user makes a change in other user Identifica los cambios de usuarios confidenciales con privilegios en otros usuarios. Cambiar los detalles o las autorizaciones de los usuarios mediante SU01.

Orígenes de datos: SAPcon: registro de auditoría
Elevación de privilegios, acceso a credenciales
SAP - Sensitive Users Password Change and Login Identifica los cambios de contraseña de los usuarios con privilegios. Cambiar la contraseña de un usuario con privilegios e iniciar sesión en el sistema.
Mantener a los usuarios con privilegios en la lista de reproducción SAP: usuarios con privilegios.

Orígenes de datos: SAPcon: registro de auditoría
Impacto, comando y control, elevación de privilegios
SAP - User Creates and uses new user Identifica un usuario que crea y usa otros usuarios.

Subcaso de uso: Persistencia
Cree un usuario mediante SU01 e inicie sesión con el usuario recién creado y la misma dirección IP.

Orígenes de datos: SAPcon: registro de auditoría
Detección, pre-ataque, acceso inicial
SAP - User Unlocks and uses other users Identifica un usuario desbloqueado y usado por otros usuarios.

Subcaso de uso: Persistencia
Desbloquear un usuario mediante SU01 e iniciar sesión con el usuario desbloqueado y la misma dirección IP.

Orígenes de datos: SAPcon: registro de auditoría, SAPcon: registro de documentos de cambio
Detección, pre-ataque, acceso inicial, movimiento lateral
SAP - Assignment of a sensitive profile Identifica nuevas asignaciones de un perfil confidencial a un usuario.

Mantener los perfiles confidenciales de la lista de reproducción SAP: perfiles confidenciales.
Asigne un perfil a un usuario mediante SU01.

Orígenes de datos: SAPcon: cambiar registro de documentos
Elevación de privilegios
SAP: Asignación de un rol confidencial Identifica nuevas asignaciones para un rol confidencial para un usuario.

Mantener los roles confidenciales de la lista de reproducción SAP: roles confidenciales.
Asignar un rol a un usuario mediante SU01 / PFCG.

Orígenes de datos: SAPcon: cambiar registro de documentos y registro de auditoría
Elevación de privilegios
SAP - (PREVIEW) Critical authorizations assignment - New Authorization Value Identifica la asignación de un valor de un objeto de autorización crítica a un nuevo usuario.

Mantener objetos de autorizaciones críticas de la lista de reproducción SAP: objetos de autorizaciones críticas.
Asignar un objeto de autorización nuevo o actualizar uno existente en un rol mediante PFCG.

Orígenes de datos: SAPcon: cambiar registro de documentos
Elevación de privilegios
SAP - Critical authorizations assignment - New User Assignment Identifica la asignación de un valor de un objeto de autorización crítica a un nuevo usuario.

Mantener objetos de autorizaciones críticas de la lista de reproducción SAP: objetos de autorizaciones críticas.
Asigne un nuevo usuario a un rol que contenga valores de autorizaciones críticas mediante SU01/PFCG.

Orígenes de datos: SAPcon: cambiar registro de documentos
Elevación de privilegios
SAP - Sensitive Roles Changes Identifica los cambios en los roles confidenciales.

Mantener los roles confidenciales de la lista de reproducción SAP: roles confidenciales.
Cambiar un rol mediante PFCG.

Orígenes de datos: SAPcon: registro de documentos de cambio, SAPcon: registro de auditoría
Impacto, elevación de privilegios, persistencia

Listas de reproducción disponibles

En la tabla siguiente se enumeran las listas de reproducción disponibles para la solución microsoft Sentinel para aplicaciones sap y los campos de cada lista de reproducción.

Estas listas de seguimiento proporcionan la configuración de la solución microsoft Sentinel para aplicaciones SAP. Las listas de seguimiento de SAP están disponibles en el repositorio de Microsoft Sentinel en GitHub.

Nombre de lista de reproducción Descripción y campos
SAP: autorizaciones críticas Objeto Autorizaciones críticas, en el que se deben regular las asignaciones.

- AuthorizationObject: un objeto de autorización de SAP, como S_DEVELOP, S_TCODE o Table TOBJ.
- AuthorizationField: un campo de autorización de SAP, como OBJTYP o TCD.
- AuthorizationValue: un valor de un campo de autorización de SAP, como DEBUG.
- ActivityField: campo de actividad de SAP. En la mayoría de los casos, este valor es ACTVT. Para objetos de autorización sin campo Activity (Actividad) o solo con un campo Activity, rellenado con NOT_IN_USE.
- Actividad: actividad de SAP, según el objeto de autorización, como: 01: Crear; 02: Cambiar; 03: Mostrar, etc.
- Descripción: una descripción significativa del objeto de autorización crítico.
SAP: redes excluidas Para el mantenimiento interno de redes excluidas, como omitir instancias de Web Dispatcher, servidores de terminal, etc.

-Red: una dirección IP de red o un intervalo, como 111.68.128.0/17.
-Descripción: una descripción de red significativa.
Usuarios excluidos de SAP Los usuarios del sistema que han iniciado sesión en el sistema y deben ignorarse. Por ejemplo, alertas de varios inicios de sesión por parte del mismo usuario.

- Usuario: usuario de SAP
-Descripción: una descripción del usuario significativa.
SAP: redes Redes internas y de mantenimiento para la identificación de inicios de sesión no autorizados.

- Red: dirección IP o intervalo de direcciones IP de red, como 111.68.128.0/17.
- Descripción: una descripción de red significativa.
SAP: usuarios con privilegios. Usuarios con privilegios que tienen restricciones adicionales.

- Usuario: el usuario de ABAP, como DDIC o SAP.
- Descripción: una descripción del usuario significativa.
SAP: programas de ABAP confidenciales Programas de ABAP confidenciales (informes), donde se debe regular la ejecución.

- ABAPProgram: programa o informe de ABAP, como RSPFLDOC.
- Descripción:una descripción significativa del programa.
SAP: módulo de funciones confidenciales Redes internas y de mantenimiento para la identificación de inicios de sesión no autorizados.

- FunctionModule: un módulo de funciones de ABAP, como RSAU_CLEAR_AUDIT_LOG.
- Descripción: una descripción significativa del módulo.
SAP: perfiles confidenciales Perfiles confidenciales, donde se deben regular las asignaciones.

- Perfil: perfil de autorización de SAP, como SAP_ALL o SAP_NEW.
- Descripción: una descripción significativa del perfil.
SAP: tablas confidenciales Tablas confidenciales, donde se debe regular el acceso.

- Tabla: tabla de diccionarios de ABAP, como USR02 o PA008
- Descripción: una descripción significativa de la tabla.
SAP: roles confidenciales Roles confidenciales, donde se debe regular la asignación.

- Rol: rol de autorización de SAP, como SAP_BC_BASIS_ADMIN
- Descripción: una descripción significativa del rol.
SAP: transacciones confidenciales Transacciones confidenciales en las que se debe regular la ejecución.

- TransactionCode: código de transacción de SAP, como RZ11
- Descripción: una descripción significativa del código.
SAP: sistemas Describe el panorama de los sistemas SAP en función del rol, uso, y configuración.

- SystemID: el identificador del sistema de SAP (SYSID)
- SystemRole: el rol de sistema SAP, uno de los siguientes valores: Sandbox, Development, Quality Assurance, Training, Production
- SystemUsage: el uso del sistema SAP, uno de los siguientes valores: ERP, BW, Solman, Gateway, Enterprise Portal
- InterfaceAttributes: un parámetro dinámico opcional para su uso en cuadernos de estrategias.
SAPSystemParameters Parámetros para inspección de cambios de configuración sospechosos. Esta lista de reproducción se rellena previamente con valores recomendados (según el procedimiento recomendado de SAP) y puede ampliar la lista de reproducción para incluir más parámetros. Si no desea recibir alertas para un parámetro, establezca EnableAlerts en false.

- ParameterName: nombre del parámetro.
- Comentario: Descripción del parámetro estándar de SAP.
- EnableAlerts: define si se habilitan las alertas para este parámetro. Los valores son true y false.
- Opción: define en qué caso desencadenar una alerta: si el valor del parámetro es mayor o igual (GE), menor o igual () o igual (LEEQ)
Por ejemplo, si el login/fails_to_user_lock parámetro SAP se establece en LE (menor o igual) y un valor de 5, una vez que Microsoft Sentinel detecta un cambio en este parámetro específico, compara el valor recién informado y el valor esperado. Si el nuevo valor es 4, Microsoft Sentinel no desencadena una alerta. Si el nuevo valor es 6, Microsoft Sentinel desencadena una alerta.
- ProductionSeverity: gravedad del incidente para los sistemas de producción.
- ProductionValues: valores permitidos para sistemas de producción.
- NonProdSeverity: gravedad del incidente para sistemas que no son de producción.
- NonProdValues: valores permitidos para sistemas que no son de producción.
SAP - Excluded Users (SAP - Usuarios excluidos) Los usuarios del sistema que han iniciado sesión y deben omitirse, como para la alerta de varios inicios de sesión por usuario.

- Usuario: usuario de SAP
- Descripción: una descripción del usuario significativa.
SAP - Excluded Networks (SAP - Redes excluidas) Mantenga redes internas y excluidas para omitir los distribuidores web, los servidores de terminal, etcétera.

- Red: dirección IP o intervalo de direcciones IP de red, como 111.68.128.0/17.
- Descripción: una descripción de red significativa.
SAP - Obsolete Function Modules (SAP - Módulos de funciones obsoletas) Módulos de función obsoletas, cuya ejecución se debe regular.

- FunctionModule: un módulo de funciones de ABAP, como TH_SAPREL.
- Descripción: una descripción significativa del módulo.
SAP - Obsolete Programs (SAP: programas obsoletos) Programas (informes) de ABAP obsoletos, cuya ejecución se debe regular.

- ABAPProgram: programa de ABAP, como TH_RSPFLDOC.
- Descripción: una descripción significativa del programa de ABAP.
SAP - Transactions for ABAP Generations (SAP - Transacciones para generaciones de ABAP) Transacciones para generaciones de ABAP cuya ejecución se debe regular.

- TransactionCode: código de transacción, como SE11.
- Descripción: una descripción significativa del código de transacción.
SAP - FTP Servers (SAP - Servidores FTP) Servidores FTP para la identificación de conexiones no autorizadas.

- Cliente: como 100.
- FTP_Server_Name: nombre del servidor FTP, como http://contoso.com/.
-FTP_Server_Port: puerto del servidor FTP, como 22.
- Descripción: descripción significativa del servidor FTP.
SAP_Dynamic_Audit_Log_Monitor_Configuration Configure las alertas del registro de auditoría de SAP mediante la asignación de cada identificador de mensaje a un nivel de gravedad según sea necesario, según el rol del sistema (producción, no producción). Esta lista de reproducción detalla todos los identificadores de mensaje de registro de auditoría estándar de SAP disponibles. La lista de reproducción se puede ampliar para contener identificadores de mensajes adicionales que puede crear por su cuenta mediante mejoras de ABAP en sus sistemas SAP NetWeaver. Esta lista de reproducción también permite configurar un equipo designado para controlar cada uno de los tipos de evento y excluir a los usuarios por roles de SAP, perfiles de SAP o etiquetas de la lista de reproducción SAP_User_Config. Esta lista de seguimiento es uno de los componentes principales que se usan para configurar las reglas de análisis de SAP integradas para supervisar el registro de auditoría de SAP. Para más información, consulte Supervisión del registro de auditoría de SAP.

- MessageID: el identificador de mensaje de SAP, o tipo de evento, como AUD (cambios de registro maestro de usuario) o AUB (cambios de autorización).
- DetailedDescription: una descripción habilitada para Markdown que se mostrará en el panel de incidentes.
- ProductionSeverity: la gravedad deseada para el incidente que se creará para sistemas de producción: High y Medium. Se puede establecer como Disabled.
- NonProdSeverity: gravedad deseada para el incidente con el que se va a crear para sistemas Highque no son de producción , Medium. Se puede establecer como Disabled.
- ProductionThreshold: el número de eventos "por hora" que se considerarán sospechosos para los sistemas de producción 60.
- NonProdThreshold El recuento "por hora" de eventos que se deben considerar sospechosos para sistemas 10que no son de producción.
- RolesTagsToExclude: este campo acepta el nombre del rol de SAP, los nombres de perfil de SAP o las etiquetas de la lista de reproducción SAP_User_Config. Estos se usan luego para excluir a los usuarios asociados de tipos de eventos específicos. Consulte las opciones de las etiquetas de rol al final de esta lista.
- RuleType: use Deterministic para que el tipo de evento se envíe a la regla SAP - Dynamic Deterministic Audit Log Monitor o AnomaliesOnly para que este evento esté cubierto por la regla SAP - Anomaly based Audit Log Monitor Alerts (PREVIEW). Para más información, consulte Supervisión del registro de auditoría de SAP.
- TeamsChannelID: un parámetro dinámico opcional para su uso en cuadernos de estrategias.
- DestinationEmail: un parámetro dinámico opcional para su uso en cuadernos de estrategias.

Para el campo RolesTagsToExclude:
- Si muestra roles de SAP o perfiles de SAP, se excluye a cualquier usuario con los roles o perfiles enumerados de estos tipos de eventos para el mismo sistema SAP. Por ejemplo, si define el rol de ABAP BASIC_BO_USERS para los tipos de eventos relacionados con RFC, los usuarios de objetos empresariales no desencadenarán incidentes al realizar llamadas de RFC masivas.
: el etiquetado de un tipo de evento es similar a especificar roles o perfiles de SAP, pero se pueden crear etiquetas en el área de trabajo, por lo que los equipos de SOC pueden excluir usuarios por actividad sin depender del equipo de SAP BASIS. Por ejemplo, los cambios de autorización (AUB) de los identificadores de mensaje de auditoría y los cambios de registro maestro de usuario (AUD) tienen asignada la etiqueta MassiveAuthChanges. Los usuarios que tienen esta etiqueta asignada quedan excluidos de las comprobaciones de estas actividades. La ejecución de la función SAPAuditLogConfigRecommend del área de trabajo genera una lista de etiquetas recomendadas para asignar a los usuarios, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist.
SAP_User_Config Permite ajustar las alertas excluyendo /incluidos los usuarios en contextos específicos y también se usa para configurar las reglas integradas de análisis de SAP para supervisar el registro de auditoría de SAP. Para más información, consulte Supervisión del registro de auditoría de SAP.

- SAPUser: el usuario de SAP.
- Etiquetas: se usan etiquetas para identificar a los usuarios en relación con determinadas actividades. Por ejemplo, agregar las etiquetas ["GenericTablebyRFCOK"] al usuario SENTINEL_SRV impedirá que se creen incidentes relacionados con RFC para este usuario específico.
Otros identificadores de usuario de Active Directory
- Id. de usuario de AD
- SID local de usuario
- Nombre principal de usuario

Cuadernos de estrategias disponibles

Los cuadernos de estrategias proporcionados por la solución Microsoft Sentinel para aplicaciones SAP ayudan a automatizar las cargas de trabajo de respuesta a incidentes de SAP, lo que mejora la eficacia y la eficacia de las operaciones de seguridad.

En esta sección se describen los cuadernos de estrategias de análisis integrados que se proporcionan junto con la solución microsoft Sentinel para aplicaciones SAP.

Nombre del cuaderno de estrategias Parámetros Conexiones
Respuesta a incidentes de SAP: bloqueo de usuarios de Teams: Básico - SAP-SOAP-User-Password
- SAP-SOAP-Username
- SOAPApiBasePath
- DefaultEmail
- TeamsChannel
- Microsoft Sentinel
- Microsoft Teams
Respuesta a incidentes de SAP: bloqueo de usuarios de Teams: Avanzado - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
- Microsoft Sentinel
- Registros de Azure Monitor
- Office 365 Outlook
- Microsoft Entra ID
- Azure Key Vault
- Microsoft Teams
Respuesta a incidentes de SAP: reactivación del registro de auditoría una vez desactivado - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
- Microsoft Sentinel
- Azure Key Vault
- Registros de Azure Monitor
- Microsoft Teams

En las secciones siguientes se describen casos de uso de ejemplo para cada uno de los cuadernos de estrategias proporcionados, en un escenario en el que un incidente le advirtió de actividad sospechosa en uno de los sistemas SAP, donde un usuario intenta ejecutar una de estas transacciones altamente confidenciales.

Durante la fase de evaluación de prioridades de incidentes, decide tomar medidas contra este usuario, ponerla fuera de los sistemas SAP ERP o BTP o incluso de Microsoft Entra ID.

Para obtener más información, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel.

Por lo general, el proceso de implementación de aplicaciones lógicas estándar es más complejo que para las aplicaciones lógicas de consumo. Hemos creado una serie de accesos directos para ayudarle a implementarlos rápidamente desde el repositorio de GitHub de Microsoft Sentinel. Para obtener más información, vea Guía de instalación paso a paso.

Sugerencia

Vea la carpeta cuadernos de estrategias de SAP en el repositorio de GitHub para obtener más cuadernos de estrategias a medida que estén disponibles. También hay un breve vídeo de introducción (vínculo externo) ahí para ayudarle a empezar.

Bloqueo de un usuario de un único sistema

Cree una regla de automatización para invocar al usuario Bloquear desde Teams: cuaderno de estrategias básico siempre que se detecte una ejecución de transacciones confidenciales por parte de un usuario no autorizado. Este cuaderno de estrategias usa la característica de tarjetas adaptables de Teams para solicitar aprobación antes de bloquear unilateralmente al usuario.

Para obtener más información, consulte Cobertura de seguridad de cero a héroe con Microsoft Sentinel para obtener las señales de seguridad críticas de SAP: ¡Me escuchará SOAR! Parte 1 (entrada de blog de SAP).

El usuario Bloquear de Teams: cuaderno de estrategias básico es un cuaderno de estrategias estándar y los cuadernos de estrategias estándar suelen ser más complejos de implementar que los cuadernos de estrategias de consumo.

Hemos creado una serie de accesos directos para ayudarle a implementarlos rápidamente desde el repositorio de GitHub de Microsoft Sentinel. Para obtener más información, consulte Guía de instalación paso a paso y Tipos de aplicación lógica compatibles.

Bloqueo de un usuario de varios sistemas

El cuaderno de estrategias Bloqueo de un usuario de Teams: Avanzado logra el mismo objetivo, pero está diseñado para escenarios más complejos, lo que permite usar un único cuaderno de estrategias para varios sistemas SAP, cada uno con su propio SID de SAP.

El usuario Bloquear de Teams: cuaderno de estrategias avanzado administra sin problemas las conexiones a todos estos sistemas y sus credenciales, mediante el parámetro dinámico opcional InterfaceAttributes en la lista de reproducción sap - Systems y Azure Key Vault.

El cuaderno de estrategias Bloquear usuario de Teams - Advanced también le permite comunicarse a las partes en el proceso de aprobación mediante mensajes accionables de Outlook junto con Teams, mediante los parámetros TeamsChannelID y DestinationEmail en la lista de reproducción de SAP_Dynamic_Audit_Log_Monitor_Configuration .

Para obtener más información, consulte Cobertura de seguridad de cero a héroe con Microsoft Sentinel para las señales de seguridad críticas de SAP: parte 2 (entrada de blog de SAP).

Impedir la desactivación del registro de auditoría

También puede preocuparse por el registro de auditoría de SAP, que es uno de los orígenes de datos de seguridad, que se está desactivando. Se recomienda crear una regla de automatización basada en sap: desactivación de la regla de análisis de registros de auditoría de seguridad para invocar el registro de auditoría reenableable una vez desactivado el cuaderno de estrategias para asegurarse de que el registro de auditoría de SAP no está desactivado.

El cuaderno de estrategias SAP - Desactivación del registro de auditoría de seguridad también usa Teams, informando al personal de seguridad después del hecho. La gravedad del delito y la urgencia de su mitigación indican que se puede realizar una acción inmediata sin necesidad de aprobación.

Dado que el cuaderno de estrategias sap - Desactivación del registro de auditoría de seguridad también usa Azure Key Vault para administrar las credenciales, la configuración del cuaderno de estrategias es similar a la del cuaderno de estrategias Bloqueo del usuario de Teams - Avanzado . Para obtener más información, consulte Cobertura de seguridad de cero a héroe con Microsoft Sentinel para las señales de seguridad críticas de SAP: parte 3 (entrada de blog de SAP).

Para obtener más información, consulte Implementación de soluciones de Microsoft Sentinel para aplicaciones de SAP.