SAP 시스템에서 사용자 감사 활동 모니터링 및 추적
이 문서에서는 SAP 시스템 전반에서 사용자 감사 활동을 모니터링하고 추적하는 데 사용되는 SAP - 보안 감사 로그 및 초기 액세스 통합 문서를 설명합니다. 통합 문서를 사용하여 사용자 감사 활동에 대한 조감도를 파악하고, SAP 시스템을 더 잘 보호하며, 의심스러운 작업을 빠르게 파악할 수 있습니다. 필요에 따라 의심스러운 이벤트로 드릴다운합니다.
SAP 시스템의 지속적인 모니터링을 위해 통합 문서를 사용하거나 보안 인시던트 또는 기타 의심스러운 활동 이후의 시스템을 검토합니다.
예시:
이 문서의 콘텐츠는 보안 팀을 위한 것입니다.
필수 조건
SAP - 보안 감사 로그 및 초기 액세스 통합 문서 사용을 시작하려면 다음이 있어야 합니다.
SAP 애플리케이션 솔루션용 Microsoft Sentinel 솔루션이 설치되고 데이터 커넥터 에이전트가 배포되었습니다. 자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포를 참조 하세요.
Microsoft Sentinel에 대해 사용하도록 설정된 Log Analytics 작업 영역에 설치된 SAP - 보안 감사 로그 및 초기 액세스 통합 문서입니다. 자세한 내용은 Microsoft Sentinel에서 통합 문서를 사용하여 데이터 시각화 및 모니터링을 참조하세요.
Important
SAP - 보안 감사 로그 및 초기 액세스 통합 문서는 SAP 애플리케이션용 Microsoft Sentinel 솔루션이 설치된 작업 영역에서 호스팅됩니다. 기본적으로 SAP 및 SOC 데이터는 통합 문서를 호스트하는 작업 영역에 있는 것으로 간주됩니다.
SOC 데이터가 통합 문서를 호스팅하는 작업 영역과 다른 작업 영역에 있는 경우 해당 작업 영역에 대한 구독을 포함하고 Azure 감사 및 작업 작업 영역에서 SOC 작업 영역을 선택해야 합니다.
Microsoft Sentinel 작업 영역에서 하나 이상의 인시던트가 있으며 테이블에서 하나 이상의 항목을 사용할 수 있습니다
SecurityIncident. SAP 인시던트일 필요는 없으며, 다른 인시던트가 없는 경우 기본 분석 규칙을 사용하여 데모 인시던트를 생성할 수 있습니다.Microsoft Entra 데이터가 다른 Log Analytics 작업 영역에 있는 경우 Azure 감사 및 활동에서 통합 문서의 맨 위에 있는 관련 구독 및 작업 영역을 선택해야 합니다.
특정 로그 대신 감사 로그의 모든 메시지에 대한 감사를 구성하는 것이 좋습니다. 수집 비용 차이는 일반적으로 최소화되며 데이터는 Microsoft Sentinel 검색 및 손상 후 조사 및 헌팅에 유용합니다. 자세한 내용은 SAP 감사 구성을 참조 하세요.
지원되는 필터
SAP - 보안 감사 로그 및 초기 액세스 통합 문서는 필요한 데이터에 집중할 수 있도록 다음 필터를 지원합니다.
- 시간 범위. 4시간에서 90일까지입니다.
- 시스템 역할. SAP 시스템 역할(예: 개발).
- 시스템 사용량. 예: SAP GTS.
- SAP 시스템. 모든 시스템, 특정 시스템을 선택하거나 여러 시스템을 선택할 수 있습니다.
SAP 시스템 관심 목록에 구성되지 않은 시스템을 선택하면 통합 문서에 오류가 표시되어 문제가 있는 시스템을 지정합니다. 이 경우 이러한 시스템을 올바르게 포함하도록 관심 목록을 구성합니다.
로그온 분석 보고서 데이터
SAP - 보안 감사 로그 및 초기 액세스 통합 문서의 로그온 분석 보고서 탭에는 비정상적인 데이터, Microsoft Entra 데이터 등과 같은 로그인 실패에 대한 데이터가 표시됩니다.
데이터는 SAP 시스템 관심 목록을 기반으로 합니다.
로그온 분석 보고서 탭에는 다음 영역이 포함됩니다.
로그온 분석
로그온 분석 영역에는 사용자 로그인 관련 내용이 표시됩니다. 예를 들어:
다음 표에서는 로그온 분석 영역의 각 메트릭에 대해 설명합니다.
| 영역 | 설명 |
|---|---|
| 시스템당 고유한 사용자 로그온 | 각 SAP 시스템의 고유 로그인 수와 각 시스템에 대해 선택한 시간에 대한 로그인 추세가 있는 그래프를 표시합니다. 예를 들어 012 시스템에는 지난 14일 동안 1.4K 고유 로그온 시도가 있으며, 이 14일 동안 그래프는 상대적으로 증가하는 로그인 추세를 보여 줍니다. |
| 로그온 유형 추세 | 유형에 따른 로그인 수(예: 대화 상자를 통한 로그인)의 추세를 보여 줍니다. 그래프 위로 마우스를 가져가서 다른 날짜에 대한 로그온 수를 표시합니다. |
| 로그온 실패 및 고유한 사용자별 성공 - 추세 | 선택한 기간의 로그인 성공 및 실패 추세를 보여 줍니다. 그래프를 마우스로 가리키면 다른 날짜에 대한 성공 및 실패한 로그인의 양을 표시합니다. |
로그온 실패 - 변칙 검색
변칙 검색 아래 의 영역 - 시끄러운 실패한 로그인 시도를 필터링하면 SAP 시스템 및 사용자에 대한 로그인 실패 데이터가 표시됩니다. 플래그가 지정된 데이터만 보려면 오른쪽에 있는 실패한 로그온 옆에 있는 변칙만 선택합니다.
자세한 내용은 SAP 감사 로그 모니터링을 참조 하세요.
예시:
다음 표에서는 변칙 검색 영역의 각 메트릭에 대해 설명합니다.
| 영역 | 설명 |
|---|---|
| 로그온 실패율>로그온 실패 변칙>SAP 시스템당 고유 사용자 실패 로그온 | 각 SAP 시스템에 대한 고유한 실패한 로그인 수를 표시합니다. |
| SAP와 Active Directory가 함께 더 좋습니다. | 비정상적인 로그인 실패 테이블은 Microsoft Sentinel 및 Microsoft Entra 데이터의 조합을 보여 줍니다. 위험에 따라 사용자를 나열하고 가장 위험한 사용자가 맨 위에 있습니다. 각 사용자에 대해 표에는 다음이 표시됩니다. - 실패한 로그인 시도의 타임라인 - 비정상적인 시도가 발생한 시점을 보여 주는 타임라인 - 변칙 유형 - 사용자의 전자 메일 주소 - Microsoft Entra 위험 지표 - Microsoft Sentinel의 인시던트 및 경고 수 관련 경고 및 인시던트 목록을 보려면 사용자의 행을 선택합니다. Microsoft Entra 위험 이벤트는 사용자의 Azure 감사 및 로그인 위험 아래에 나열됩니다. |
| 시스템당 로그온 실패율 | 선택한 기간의 오류 수와 함께 유형별로 그룹화된 선택한 SAP 시스템을 표시합니다. 시스템 색은 실패한 시도 횟수를 나타냅니다. 몇 번의 의심스러운 로그인 시도의 경우 녹색, 더 많은 경우 빨간색입니다. 실패에 대한 세부 정보와 함께 실패한 로그인 목록을 보려면 시스템을 선택합니다. |
다음 스크린샷에서는 비정상적인 로그인 실패 테이블에서 첫 번째 줄이 선택되었을 때 표시되는 데이터를 기록해 둡니다 . 특정 경고 및 인시던트 URL은 사용자 테이블의 인시던트/경고 개요에 표시됩니다.
다음 스크린샷 에서 사용자 테이블에 대한 Azure 감사 및 로그인 위험에는 이 사용자 와 관련된 로그인 위험에 대한 데이터가 표시됩니다.
다음 스크린샷에서는 테스트 그룹 아래의 84e 시스템이 선택된 시스템 영역당 로그인 실패율을 확인합니다. 오른쪽의 시스템 영역에 대한 실패한 로그온은 이 시스템에 대한 오류 이벤트를 표시합니다.
로그온 실패 - 추세
로그온 실패 추세 영역에는 다양한 유형의 데이터로 그룹화된 실패한 로그인의 추세와 수가 표시됩니다. 예시:
다음 표에서는 로그온 실패 추세 영역의 각 메트릭에 대해 설명합니다.
| 영역 | 설명 |
|---|---|
| 원인에 의한 로그인 실패 | 잘못된 로그인 데이터와 같은 실패 원인에 따른 로그인 실패 횟수의 추세를 보여 줍니다. |
| 유형별 로그인 실패 | 로그인이 백그라운드 작업을 트리거하거나 로그인이 HTTP를 통해 수행된 것과 같이 유형에 따라 로그인 실패 횟수의 추세를 보여 줍니다. |
| 메서드별 로그인 실패 | 메서드에 따른 로그인 실패 횟수(예: SNC 또는 로그인 티켓)의 추세를 보여 줍니다. |
감사 로그 경고 보고서 탭
감사 로그 경고 탭에는 SAP 애플리케이션용 Microsoft Sentinel 솔루션이 감시하는 SAP 감사 로그 이벤트에 대한 데이터가 표시됩니다. 데이터는 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록을 기반으로 합니다.
감사 로그 경고 탭에는 각 SAP 시스템 및 사용자의 심각도 및 감사 추세가 표시됩니다. 이 탭의 모든 영역에는 변칙 검색에 의해서만 플래그가 지정된 데이터가 표시됩니다. 모든 이벤트에 대해 오른쪽에 있는 실패한 로그온 옆에 있는 모두 선택
자세한 내용은 SAP 감사 로그 모니터링을 참조 하세요.
예시:
다음 표에서는 감사 로그 경고 탭의 각 메트릭에 대해 설명합니다.
| 영역 | 설명 |
|---|---|
| 시스템 ID당 경고 심각도 추세 | 시스템당 중간 및 높음 심각도 이벤트 추세 그래프를 사용하여 시스템 목록을 표시합니다. 예를 들어 012 시스템에는 전체 기간 동안 많은 심각 도 이벤트가 있었고 몇 가지 중간 심각도 이벤트가 있었고, 중간 기간에 더 많은 중간 심각도 이벤트를 표시하는 급증이 있었습니다. |
| 사용자당 감사 추세 | 위험에 따라 사용자를 나열하는 Microsoft Sentinel 및 Microsoft Entra 데이터의 조합을 보여 하며 가장 위험한 사용자가 맨 위에 있습니다. 각 사용자에 대해 통합 문서에는 다음 데이터가 표시됩니다. - 높음 및 중간 심각도 이벤트의 타임라인 - 사용자의 전자 메일 주소 - Microsoft Entra 위험 지표 - Microsoft Sentinel의 인시던트 및 경고 수 사용자에 대한 인시던트/경고 개요에서 해당 사용자의 경고 및 인시던트 목록을 보려면 행을 선택합니다. 사용자에 대한 Azure 감사 및 로그인 위험에서 Microsoft Entra 위험 이벤트를 봅니다. |
| 시스템당 위험 점수 | 셀 셰이프의 각 시스템을 시각적으로 나타내며 각 시스템에 대한 위험 점수를 표시하고 시스템 유형을 그룹화합니다. 시스템 색은 시스템의 위험 점수를 나타냅니다. 위험 점수가 낮을 경우 녹색이고 위험 점수가 높을 경우 빨간색입니다. 시스템당 SAP 이벤트 목록을 보려면 시스템을 선택합니다. |
| MITRE ATT&CK 전술에 의한 이벤트 | 초기 액세스 또는 방어 회피와 같은 MITRE ATT&CK 전술로 그룹화된 SAP 이벤트 목록을 표시합니다. 그래프 위로 마우스를 가져가서 다른 날짜에 대한 로그인 수를 표시합니다. |
| 범주별 이벤트 | RFC 시작 또는 로그온과 같은 범주별로 그룹화된 SAP 이벤트 추세 목록을 표시합니다. 그래프를 마우스로 가리키면 다른 날짜에 대한 로그인 번호가 표시됩니다. |
| 권한 부여 그룹별 이벤트 | USER 또는 SUPER와 같은 SAP 권한 부여 그룹이 그룹화한 SAP 이벤트 추세 목록을 표시합니다. 그래프 위로 마우스를 가져가서 다른 날짜에 대한 로그인 수를 표시합니다. |
| 사용자 유형별 이벤트 | 대화 상자 또는 시스템과 같이 SAP 사용자 유형별로 그룹화된 SAP 이벤트 추세 목록을 표시합니다. 그래프 위로 마우스를 가져가서 다른 날짜에 대한 로그인 수를 표시합니다. |
다음 스크린샷에서는 사용자 테이블당 감사 추세에서 첫 번째 줄이 선택될 때 표시되는 데이터를 기록해 둡니다. 특정 경고 및 인시던트 URL은 사용자 테이블의 인시던트/경고 개요에 표시됩니다.
다음 스크린샷에서는 UAT 그룹 아래의 cb7 시스템이 선택된 시스템 영역당 위험 점수를 확인합니다. 시스템 시각화 아래의 시스템 영역에 대한 SAP 이벤트는 이 시스템의 SAP 이벤트를 보여 줍니다.
다음 스크린샷에서는 MITRE ATT&CK 전술, SAP 권한 부여 그룹 및 사용자 유형과 같은 다양한 유형의 데이터로 그룹화된 이벤트 및 이벤트 추세 영역을 기록해 둡니다.
관련 콘텐츠
자세한 내용은 콘텐츠 허브 에서 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포 및 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포: 보안 콘텐츠 참조를 참조하세요.