SAP BTP용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
이 문서에서는 SAP BTP용 Microsoft Sentinel 솔루션에 사용할 수 있는 보안 콘텐츠를 자세히 설명합니다.
사용 가능한 보안 콘텐츠에는 현재 기본 제공 통합 문서 및 분석 규칙이 포함되어 있습니다. 검색, 검색 규칙, 위협 헌팅 및 대응 플레이 북에 사용할 SAP 관련 관심 목록을 추가할 수도 있습니다.
SAP BTP 통합 문서
BTP 활동 통합 문서에서는 BTP 활동에 대한 대시보드 개요를 제공합니다.
개요 탭에는 다음이 표시됩니다.
- 분석가가 가장 활성 계정과 수집된 데이터의 유형을 식별하는 데 도움이 되는 BTP 하위 계정에 대한 개요입니다.
- 서브카운트 로그인 활동을 통해 분석가가 SAP BAS(Business Application Studio)의 로그인 실패와 관련될 수 있는 급증 및 추세를 식별할 수 있습니다.
- BTP 활동의 타임라인 및 BTP 보안 경고의 수로, 분석가가 둘 사이의 상관 관계를 검색할 수 있도록 지원합니다.
ID 관리 탭에는 사용자 및 보안 역할 변경과 같은 ID 관리 이벤트의 그리드가 사람이 읽을 수 있는 형식으로 표시됩니다. 검색 창을 사용하면 특정 변경 내용을 빠르게 찾을 수 있습니다.
자세한 내용은 자습서: 데이터 시각화 및 모니터링 및 SAP BTP용 Microsoft Sentinel 솔루션 배포를 참조하세요.
기본 제공 분석 규칙
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| BTP - 여러 BAS 하위 계정에서 액세스 시도 실패 | 미리 정의된 수의 하위 계정에 대해 실패한 BAS(Business Application Studio) 액세스 시도를 식별합니다. 기본 임계값: 3 |
정의된 임계값의 하위 계정 수를 통해 BAS에 대한 실패한 로그인 시도를 실행합니다. 데이터 원본: SAPBTPAuditLog_CL |
검색, 정찰 |
| BTP - BAS 개발 공간에서 검색된 맬웨어 | BAS 개발자 공간 내에서 SAP 내부 맬웨어 에이전트에서 검색한 맬웨어의 인스턴스를 식별합니다. | BAS 개발자 공간에서 맬웨어 파일을 복사하거나 만듭니다. 데이터 원본: SAPBTPAuditLog_CL |
실행, 지속성, 리소스 개발 |
| BTP - 중요한 권한 있는 역할 컬렉션에 추가된 사용자 | 사용자가 모니터링되는 권한 있는 역할 컬렉션 집합에 추가되는 ID 관리 작업을 식별합니다. | 사용자에게 다음 역할 컬렉션 중 하나를 할당합니다. - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator 데이터 원본: SAPBTPAuditLog_CL |
횡적 이동, 권한 상승 |
| BTP - 신뢰 및 권한 부여 ID 공급자 모니터 | 하위 계정 내의 ID 공급자 설정에 대한 CRUD(만들기, 읽기, 업데이트 및 삭제) 작업을 식별합니다. | 하위 계정 내의 ID 공급자 설정을 변경, 읽기, 업데이트 또는 삭제합니다. 데이터 원본: SAPBTPAuditLog_CL |
자격 증명 액세스, 권한 에스컬레이션 |
| BTP - 하위 계정에서 대량 사용자 삭제 | 삭제된 사용자 수가 미리 정의된 임계값을 초과하는 사용자 계정 삭제 작업을 식별합니다. 기본 임계값: 10 |
정의된 임계값을 초과하는 사용자 계정 수를 삭제합니다. 데이터 원본: SAPBTPAuditLog_CL |
영향 |
다음 단계
이 문서에서는 SAP BTP용 Microsoft Sentinel Solution과 함께 제공되는 보안 콘텐츠에 대해 알아보았습니다.