Soluzione Microsoft Sentinel per SAP BTP: informazioni di riferimento sui contenuti di sicurezza
Questo articolo illustra in dettaglio il contenuto di sicurezza disponibile per la soluzione Microsoft Sentinel per SAP BTP.
Il contenuto di sicurezza disponibile include attualmente regole di analisi e cartelle di lavoro predefinite. È anche possibile aggiungere watchlist correlati a SAP da usare nei playbook di ricerca, regole di rilevamento, ricerca delle minacce e playbook di risposta.
Altre informazioni sulla soluzione.
Cartella di lavoro di SAP BTP
La cartella di lavoro attività BTP offre una panoramica del dashboard dell'attività BTP.
La scheda Panoramica mostra:
- Panoramica dei sottoaccount BTP, aiutando gli analisti a identificare gli account più attivi e il tipo di dati inseriti.
- Attività di accesso con account secondari, aiutando gli analisti a identificare picchi e tendenze che potrebbero essere associati a errori di accesso in SAP Business Application Studio (BAS).
- Sequenza temporale dell'attività BTP e del numero di avvisi di sicurezza BTP, consentendo agli analisti di cercare qualsiasi correlazione tra i due.
La scheda Identity Management mostra una griglia di eventi di gestione delle identità, ad esempio modifiche al ruolo utente e di sicurezza, in un formato leggibile. La barra di ricerca consente di trovare rapidamente modifiche specifiche.
Per altre informazioni, vedere Esercitazione: Visualizzare e monitorare i dati e distribuire la soluzione Microsoft Sentinel per SAP BTP.
Regole di analisi predefinite
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| BTP - Tentativi di accesso non riusciti tra più sottoaccount BAS | Identifica i tentativi di accesso non riusciti di Business Application Studio (BAS) su un numero predefinito di account secondari. Soglia predefinita: 3 |
Eseguire tentativi di accesso non riusciti a BAS oltre il numero di sottoaccount definito. Origini dati: SAPBTPAuditLog_CL |
Individuazione, ricognizione |
| BTP - Malware rilevato nello spazio di sviluppo BAS | Identifica le istanze di malware rilevate dall'agente malware interno SAP negli spazi di sviluppo BAS. | Copiare o creare un file malware in uno spazio di sviluppo BAS. Origini dati: SAPBTPAuditLog_CL |
Esecuzione, persistenza, sviluppo di risorse |
| BTP - Utente aggiunto alla raccolta di ruoli con privilegi sensibili | Identifica le azioni di gestione delle identità in cui un utente viene aggiunto a un set di raccolte di ruoli con privilegi monitorati. | Assegnare una delle raccolte di ruoli seguenti a un utente: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Origini dati: SAPBTPAuditLog_CL |
Spostamento laterale, escalation dei privilegi |
| BTP - Monitoraggio del provider di identità di attendibilità e autorizzazione | Identifica le operazioni di creazione, lettura, aggiornamento ed eliminazione (CRUD) nelle impostazioni del provider di identità all'interno di un account secondario. | Modificare, leggere, aggiornare o eliminare una delle impostazioni del provider di identità all'interno di un account secondario. Origini dati: SAPBTPAuditLog_CL |
Accesso alle credenziali, escalation dei privilegi |
| BTP - Eliminazione di massa dell'utente in un account secondario | Identifica l'attività di eliminazione dell'account utente in cui il numero di utenti eliminati supera una soglia predefinita. Soglia predefinita: 10 |
Eliminare il numero di account utente oltre la soglia definita. Origini dati: SAPBTPAuditLog_CL |
Impatto |
Passaggi successivi
In questo articolo sono stati illustrati i contenuti sulla sicurezza forniti con la soluzione Microsoft Sentinel per SAP BTP.