SAP 애플리케이션용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
이 문서에서는 SAP용 Microsoft Sentinel 솔루션에 사용할 수 있는 보안 콘텐츠에 대해 자세히 설명합니다.
Important
SAP 애플리케이션용 Microsoft Sentinel 솔루션은 GA에 있지만 일부 특정 구성 요소는 미리 보기로 유지됩니다. 이 문서는 아래 관련 섹션에서 미리 보기에 있는 구성 요소를 나타냅니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
사용 가능한 보안 콘텐츠에는 기본 제공 통합 문서 및 분석 규칙이 포함됩니다. 검색, 검색 규칙, 위협 헌팅 및 대응 플레이 북에 사용할 SAP 관련 관심 목록을 추가할 수도 있습니다.
이 문서의 콘텐츠는 보안 팀을 위한 것입니다.
기본 제공 통합 문서
다음 기본 제공 통합 문서를 사용하여 SAP 데이터 커넥터를 통해 수집된 데이터를 시각화하고 모니터링합니다. SAP 솔루션을 배포한 후 템플릿 탭에서 SAP 통합 문서를 찾을 수 있습니다.
통합 문서 이름 | 설명 | 로그 |
---|---|---|
SAP - 감사 로그 브라우저 | 다음과 같은 데이터를 표시합니다. - 시간 경과에 따른 사용자 로그인, 시스템에서 수집한 이벤트, 메시지 클래스 및 ID, ABAP 프로그램 실행을 비롯한 일반 시스템 상태 -시스템에서 발생하는 이벤트의 심각도 - 시스템에서 발생하는 인증 및 권한 부여 이벤트 |
다음 로그의 데이터를 사용합니다. ABAPAuditLog_CL |
SAP 감사 컨트롤 | 다음을 수행할 수 있는 도구를 사용하여 선택한 제어 프레임워크를 준수하기 위해 SAP 환경의 보안 제어를 확인하는 데 도움이 됩니다. - 환경의 분석 규칙을 특정 보안 제어에 할당하고 패밀리를 제어합니다. - SAP 솔루션 기반 분석 규칙에 의해 생성된 인시던트 모니터링 및 분류 - 규정 준수에 대한 보고 |
다음 표의 데이터를 사용합니다. - SecurityAlert - SecurityIncident |
자세한 내용은 자습서: 데이터 시각화 및 모니터링 및 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포를 참조하세요.
기본 제공 분석 규칙
이 섹션에서는 SAP 애플리케이션용 Microsoft Sentinel 솔루션과 함께 제공되는 기본 제공 분석 규칙의 선택에 대해 설명합니다. 최신 업데이트는 Microsoft Sentinel 콘텐츠 허브에서 새 규칙과 업데이트된 규칙을 확인합니다.
정적 SAP 보안 매개 변수의 구성 모니터링(미리 보기)
SAP 시스템을 보호하기 위해 SAP는 변경 내용을 모니터링해야 하는 보안 관련 매개 변수를 식별했습니다. SAP 애플리케이션용 Microsoft Sentinel 솔루션은 "SAP - (미리 보기) 중요한 정적 매개 변수가 변경되었습니다" 규칙을 사용하여 Microsoft Sentinel에 기본 제공되는 SAP 시스템의 52개 이상의 정적 보안 관련 매개 변수를 추적합니다.
참고 항목
SAP 애플리케이션용 Microsoft Sentinel 솔루션이 SAP 보안 매개 변수를 성공적으로 모니터링하려면 솔루션이 정기적으로 SAP PAHI 테이블을 성공적으로 모니터링해야 합니다. 자세한 내용은 PAHI 테이블이 정기적으로 업데이트되는지 확인하세요.
시스템의 매개 변수 변경 내용을 이해하기 위해 SAP 애플리케이션용 Microsoft Sentinel 솔루션은 매시간 시스템 매개 변수에 대한 변경 내용을 기록하는 매개 변수 기록 테이블을 사용합니다.
매개 변수는 SAPSystemParameters 관심 목록에도 반영 됩니다. 이 관심 목록을 사용하면 사용자가 새 매개 변수를 추가하고, 기존 매개 변수를 사용하지 않도록 설정하고, 프로덕션 또는 비프로덕션 환경에서 매개 변수 및 시스템 역할당 값과 심각도를 수정할 수 있습니다.
이러한 매개 변수 중 하나가 변경되면 Microsoft Sentinel은 변경 내용이 보안과 관련된지, 권장 값에 따라 값이 설정되었는지 확인합니다. 변경 내용이 안전 영역 외부로 의심되는 경우 Microsoft Sentinel은 변경 내용을 자세히 설명하는 인시던트를 만들고 변경한 사용자를 식별합니다.
이 규칙이 모니터링하는 매개 변수 목록을 검토합니다.
SAP 감사 로그 모니터링
SAP 애플리케이션용 Microsoft Sentinel 솔루션의 많은 분석 규칙은 SAP 감사 로그 데이터를 사용합니다. 일부 분석 규칙은 로그에서 특정 이벤트를 찾는 반면, 다른 규칙은 여러 로그의 표시를 상호 연결하여 충실도가 높은 경고 및 인시던트 만들기를 수행합니다.
다음 분석 규칙을 사용하여 SAP 시스템의 모든 감사 로그 이벤트를 모니터링하거나 변칙이 검색된 경우에만 경고를 트리거합니다.
규칙 이름 | 설명 |
---|---|
SAP - 동적 보안 감사 로그 모니터의 구성 누락 | 기본적으로 SAP 감사 로그 모듈에 대한 구성 권장 사항을 제공하기 위해 매일 실행됩니다. 규칙 템플릿을 사용하여 작업 영역에 대한 규칙을 만들고 사용자 지정합니다. |
SAP - 동적 결정적 감사 로그 모니터(미리 보기) | 기본적으로 10분마다 실행되며 결정적으로 표시된 SAP 감사 로그 이벤트에 중점을 둡니다. 규칙 템플릿을 사용하여 낮은 가양성 비율과 같은 작업 영역에 대한 규칙을 만들고 사용자 지정합니다. 이 규칙에는 결정적 경고 임계값 및 사용자 제외 규칙이 필요합니다. |
SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기) | 기본적으로 시간별로 실행되며 AnomaliesOnly로 표시된 SAP 이벤트에 중점을 두고 변칙이 검색될 때 SAP 감사 로그 이벤트에 대해 경고합니다. 이 규칙은 추가 기계 학습 알고리즘을 적용하여 감독되지 않은 방식으로 백그라운드 노이즈를 필터링합니다. |
기본적으로 SAP 감사 로그의 대부분의 이벤트 유형 또는 SAP 메시지 ID는 변칙 기반의 동적 변칙 기반 미리 보기(감사 로그 모니터 경고) 분석 규칙으로 전송되는 반면, 이벤트 유형을 보다 쉽게 정의할 수 있는 방법은 결정적 미리 보기(Dynamic Deterministic Audit Log Monitor) 분석 규칙으로 전송됩니다. 이 설정은 다른 관련 설정과 함께 모든 시스템 조건에 맞게 추가로 구성할 수 있습니다.
SAP 감사 로그 모니터링 규칙은 SAP 솔루션 보안 콘텐츠용 Microsoft Sentinel의 일부로 제공되며, SAP_Dynamic_Audit_Log_Monitor_Configuration 및 SAP_User_Config 관심 목록을 사용하여 더 미세 조정을 허용합니다.
예를 들어 다음 표에서는 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록을 사용하여 인시던트 생성 이벤트 유형을 구성하여 생성된 인시던트 수를 줄이는 방법에 대한 몇 가지 예제를 나열합니다.
옵션 | 설명 |
---|---|
심각도 설정 및 원치 않는 이벤트 사용 안 함 | 기본적으로 결정적 규칙과 변칙을 기준으로 하는 규칙은 모두 중간 및 높은 심각도로 표시된 이벤트에 대해 경고를 만듭니다. 심각도는 별도로 프로덕션 및 비프로덕션 환경을 구성할 수 있습니다. 예를 들어 프로덕션 시스템에서 디버깅 작업 이벤트를 높은 심각도로 설정하고 비프로덕션 시스템에서 완전히 동일한 이벤트를 해제할 수 있습니다. |
SAP 역할 또는 SAP 프로필로 사용자 제외 | SAP용 Microsoft Sentinel은 SIEM에서 SAP 언어를 말할 수 있도록 직접 및 간접 역할 할당, 그룹 및 프로필을 포함하여 SAP 사용자의 권한 부여 프로필을 수집합니다. SAP 역할 및 프로필에 따라 사용자를 제외하도록 SAP 이벤트를 구성할 수 있습니다. 관심 목록에서 RFC별 일반 테이블 액세스 이벤트 옆에 있는 RolesTagsToExclude 열에서 RFC 인터페이스 사용자를 그룹화하는 역할 또는 프로필을 추가합니다. 이 구성은 이러한 역할이 누락된 사용자에 대해서만 경고를 트리거합니다. |
SOC 태그로 사용자 제외 | 태그를 사용하여 복잡한 SAP 정의에 의존하지 않고 또는 SAP 권한 부여 없이도 고유한 그룹을 만듭니다. 이 방법은 SAP 사용자를 위한 자체 그룹화를 만들려는 SOC 팀에 유용합니다. 예를 들어 RFC 이벤트에 의한 일반 테이블 액세스에 대한 경고를 특정 서비스 계정에 알리지 않고 이러한 사용자를 그룹화한 SAP 역할 또는 SAP 프로필을 찾을 수 없는 경우 다음과 같이 태그를 사용합니다. 1. 관심 목록의 관련 이벤트 옆에 GenTableRFCReadOK 태그를 추가합니다. 2. SAP_User_Config 관심 목록으로 이동하여 인터페이스 사용자에게 동일한 태그를 할당합니다. |
이벤트 유형 및 시스템 역할당 빈도 임계값 지정 | 속도 제한처럼 작동합니다. 예를 들어 프로덕션 시스템의 동일한 사용자가 한 시간에 12개 이상의 활동이 관찰되는 경우에만 경고를 트리거하도록 사용자 마스터 레코드 변경 이벤트를 구성할 수 있습니다. 사용자가 시간당 12개 제한(예: 10분 기간에 2개 이벤트)을 초과하면 인시던트가 트리거됩니다. |
결정적 또는 변칙 | 이벤트의 특성을 알고 있는 경우 결정적 기능을 사용합니다. 이벤트를 올바르게 구성하는 방법을 잘 모르는 경우 기계 학습 기능이 시작하도록 허용한 다음 필요에 따라 후속 업데이트를 수행할 수 있습니다. |
SOAR 기능 | Microsoft Sentinel을 사용하여 SAP 감사 로그 동적 경고에서 생성된 인시던트 오케스트레이션, 자동화 및 대응합니다. 자세한 내용은 Microsoft Sentinel의 자동화: SOAR(보안 오케스트레이션, 자동화 및 대응)을 참조하세요. |
자세한 내용은 사용 가능한 관심 목록 및 SAP News용 Microsoft Sentinel - 지금 사용할 수 있는 동적 SAP 보안 감사 로그 모니터 기능을 참조하세요. (블로그).
초기 액세스
규칙 이름 | 설명 | 원본 작업 | 전술 |
---|---|---|---|
SAP - 예기치 않은 네트워크에서 로그인 | 예기치 않은 네트워크에서 로그인을 식별합니다. SAP - 네트워크 관심 목록에서 네트워크를 유지 관리합니다. |
네트워크 중 하나에 할당되지 않은 IP 주소에서 백 엔드 시스템에 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
Initial Access |
SAP - SPNego 공격 | SPNego 재생 공격을 식별합니다. | 데이터 원본: SAPcon - 감사 로그 | 영향, 횡적 이동 |
SAP - 권한 있는 사용자의 대화 로그온 시도 | SAP 시스템의 권한 있는 사용자가 AUM 형식으로 대화 상자 로그인 시도를 식별합니다. 자세한 내용은 SAPUsersGetPrivileged를 참조하세요. | 예약된 시간 간격 내에 동일한 IP에서 여러 시스템 또는 클라이언트에 로그인을 시도합니다. 데이터 원본: SAPcon - 감사 로그 |
영향, 횡적 이동 |
SAP - 무차별 암호 대입 공격 | RFC 로그온을 사용하여 SAP 시스템에 대한 무차별 암호 대입 공격(brute force attack)을 식별합니다. | RFC를 사용하여 예약된 시간 간격 내에 동일한 IP에서 여러 시스템/클라이언트로 로그인하려고 시도합니다. 데이터 원본: SAPcon - 감사 로그 |
자격 증명 액세스 |
SAP - 동일한 IP에서 다중 로그온 | 예약된 시간 간격 내에 동일한 IP 주소에서 여러 사용자의 로그인을 식별합니다. 하위 사용 사례: 지속성 |
동일한 IP 주소를 통해 여러 사용자를 사용하여 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
Initial Access |
SAP - 중간 - 사용자별 다중 로그온 | 예약된 시간 간격 내에 여러 터미널에서 동일한 사용자의 로그인을 식별합니다. SAP 버전 7.5 이상에 대해 Audit SAL 메서드를 통해서만 사용할 수 있습니다. |
다른 IP 주소를 사용하여 동일한 사용자를 사용하여 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
사전 공격, 자격 증명 액세스, 초기 액세스, 컬렉션 하위 사용 사례: 지속성 |
SAP - 정보 - 수명 주기 - SAP Notes가 시스템에서 구현되었습니다. | 시스템의 SAP Note 구현을 식별합니다. | SNOTE/TCI를 사용하여 SAP Note를 구현합니다. 데이터 원본: SAPcon - 변경 요청 |
- |
SAP - (미리 보기) AS JAVA - 중요한 권한 있는 사용자 로그인 | 예기치 않은 네트워크에서 로그인을 식별합니다. SAP - Privileged Users 관심 목록에서 권한 있는 사용자를 유지 관리합니다. |
권한 있는 사용자를 사용하여 백 엔드 시스템에 로그인합니다. 데이터 원본: SAPJAVAFilesLog |
Initial Access |
SAP - (미리 보기) AS JAVA - 예기치 않은 네트워크에서 로그인 | 예기치 않은 네트워크에서 로그인을 식별합니다. SAP - 네트워크 관심 목록에서 권한 있는 사용자를 유지 관리합니다. |
SAP의 네트워크 중 하나에 할당되지 않은 IP 주소에서 백 엔드 시스템에 로그인 - 네트워크 관심 목록 데이터 원본: SAPJAVAFilesLog |
초기 액세스, 방어 회피 |
데이터 반출
규칙 이름 | 설명 | 원본 작업 | 전술 |
---|---|---|---|
SAP - 권한이 없는 서버의 FTP | 인증되지 않은 서버에 대한 FTP 연결을 식별합니다. | FTP_CONNECT 함수 모듈을 사용하는 등 새 FTP 연결을 만듭니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 초기 액세스, 명령 및 제어 |
SAP - 안전하지 않은 FTP 서버 구성 | FTP 허용 목록이 비어 있거나 자리 표시자를 포함하는 경우와 같이 안전하지 않은 FTP 서버 구성을 식별합니다. | 유지 관리 뷰를 사용하여 SAPFTP_SERVERS_V 테이블에 자리 표시자가 SAPFTP_SERVERS 포함된 값을 유지 관리하거나 유지 관리하지 마세요. (SM30) 데이터 원본: SAPcon - 감사 로그 |
초기 액세스, 명령 및 제어 |
SAP - 여러 파일 다운로드 | 특정 시간 범위 내의 사용자에 대한 여러 파일 다운로드를 식별합니다. | EXCEL용 SAPGui, 목록 등을 사용하여 여러 파일을 다운로드합니다. 데이터 원본: SAPcon - 감사 로그 |
컬렉션, 반출, 자격 증명 액세스 |
SAP - 여러 스풀 실행 | 특정 시간 범위 내에서 사용자의 여러 스풀을 식별합니다. | 사용자가 모든 형식의 여러 스풀 작업을 만들고 실행합니다. (SP01) 데이터 원본: SAPcon - 스풀 로그, SAPcon - 감사 로그 |
컬렉션, 반출, 자격 증명 액세스 |
SAP - 여러 스풀 출력 실행 | 특정 시간 범위 내에서 사용자의 여러 스풀을 식별합니다. | 사용자가 모든 형식의 여러 스풀 작업을 만들고 실행합니다. (SP01) 데이터 원본: SAPcon - 스풀 출력 로그, SAPcon - 감사 로그 |
컬렉션, 반출, 자격 증명 액세스 |
SAP - RFC 로그온을 통해 중요한 표에 직접 액세스 | RFC 로그인을 통해 일반 테이블 액세스를 식별합니다. SAP - 중요한 테이블 관심 목록에서 테이블을 유지 관리합니다. 프로덕션 시스템에만 관련됩니다. |
SE11/SE16/SE16N을 사용하여 테이블 내용을 엽니다. 데이터 원본: SAPcon - 감사 로그 |
컬렉션, 반출, 자격 증명 액세스 |
SAP - 스풀 인수 | 다른 사용자가 만든 스풀 요청을 인쇄하는 사용자를 식별합니다. | 한 사용자를 사용하여 스풀 요청을 만든 다음 다른 사용자를 사용하여 출력합니다. 데이터 원본: SAPcon - 스풀 로그, SAPcon - 스풀 출력 로그, SAPcon - 감사 로그 |
컬렉션, 반출, 명령 및 제어 |
SAP - 동적 RFC 대상 | 동적 대상을 사용하여 RFC의 실행을 식별합니다. 하위 사용 사례: SAP 보안 메커니즘을 바이패스하려고 시도합니다. |
동적 대상(cl_dynamic_destination)을 사용하는 ABAP 보고서를 실행합니다. 예를 들어 DEMO_RFC_DYNAMIC_DEST. 데이터 원본: SAPcon - 감사 로그 |
컬렉션, 반출 |
SAP - 대화 로그온으로 중요한 테이블에 직접 액세스 | 대화 상자 로그인을 통해 일반 테이블 액세스를 식별합니다. | 를 사용하여 SE11 //SE16 SE16N 테이블 내용을 엽니다. 데이터 원본: SAPcon - 감사 로그 |
발견(Discovery) |
SAP - (미리 보기) 악성 IP 주소에서 다운로드된 파일 | 악성으로 알려진 IP 주소를 사용하여 SAP 시스템에서 파일 다운로드를 식별합니다. 악의적인 IP 주소는 위협 인텔리전스 서비스에서 가져옵니다. | 악성 IP에서 파일을 다운로드합니다. 데이터 원본: SAP 보안 감사 로그, 위협 인텔리전스 |
반출 |
SAP - (미리 보기) 전송을 사용하여 프로덕션 시스템에서 내보낸 데이터 | 전송을 사용하여 프로덕션 시스템에서 데이터 내보내기를 식별합니다. 전송은 개발 시스템에서 사용되며 끌어오기 요청과 유사합니다. 이 경고 규칙은 모든 테이블의 데이터를 포함하는 전송이 프로덕션 시스템에서 해제될 때 중간 심각도의 인시던트를 트리거합니다. 이 규칙은 내보내기가 중요한 테이블의 데이터를 포함할 때 심각도가 높은 인시던트를 만듭니다. | 프로덕션 시스템에서 전송을 해제합니다. 데이터 원본: SAP CR 로그, SAP - 중요한 테이블 |
반출 |
SAP - (미리 보기) USB 드라이브에 저장된 중요한 데이터 | 파일을 통해 SAP 데이터의 내보내기 식별 규칙은 중요한 트랜잭션 실행, 중요한 프로그램 또는 중요한 테이블에 대한 직접 액세스와 근접하여 최근에 탑재된 USB 드라이브에 저장된 데이터를 확인합니다. | 파일을 통해 SAP 데이터를 내보내고 USB 드라이브에 저장합니다. 데이터 원본: SAP 보안 감사 로그, deviceFileEvents(엔드포인트용 Microsoft Defender), SAP - 중요한 테이블, SAP - 중요한 트랜잭션, SAP - 중요한 프로그램 |
반출 |
SAP - (미리 보기) 잠재적으로 중요한 데이터의 인쇄 | 잠재적으로 중요한 데이터의 요청 또는 실제 인쇄를 식별합니다. 사용자가 중요한 트랜잭션의 일부로 데이터를 가져오거나, 중요한 프로그램을 실행하거나, 중요한 테이블에 직접 액세스하는 경우 데이터는 중요한 것으로 간주됩니다. | 중요한 데이터를 인쇄하거나 인쇄하도록 요청합니다. 데이터 원본: SAP 보안 감사 로그, SAP 스풀 로그, SAP - 중요한 테이블, SAP - 중요한 프로그램 |
반출 |
SAP - (미리 보기) 잠재적으로 중요한 데이터의 대량 내보내기 | 중요한 트랜잭션 실행, 중요한 프로그램 또는 중요한 테이블에 대한 직접 액세스와 근접한 파일을 통해 대용량 데이터 내보내기를 식별합니다. | 파일을 통해 대량의 데이터를 내보냅니다. 데이터 원본: SAP 보안 감사 로그, SAP - 중요한 테이블, SAP - 중요한 트랜잭션, SAP - 중요한 프로그램 |
반출 |
지속성
규칙 이름 | 설명 | 원본 작업 | 전술 |
---|---|---|---|
SAP - ICF 서비스 활성화 또는 비활성화 | ICF 서비스의 활성화 또는 비활성화를 식별합니다. | SICF를 사용하여 서비스를 활성화합니다. 데이터 원본: SAPcon - 표 데이터 로그 |
명령 및 제어, 수평 이동, 지속성 |
SAP - 함수 모듈이 테스트됨 | 함수 모듈의 테스트를 식별합니다. | SE37 / SE80 을 사용하여 함수 모듈을 테스트합니다. 데이터 원본: SAPcon - 감사 로그 |
수집, 방어 회피, 횡적 이동 |
SAP - (미리 보기) HANA DB - 사용자 관리 작업 | 사용자 관리 작업을 식별합니다. | 데이터베이스 사용자를 만들거나 업데이트하거나 삭제합니다. 데이터 원본: Linux 에이전트 - Syslog* |
권한 상승 |
SAP - 새 ICF 서비스 처리기 | ICF 처리기의 생성을 식별합니다. | SICF를 사용하여 서비스에 새 처리기를 할당합니다. 데이터 원본: SAPcon - 감사 로그 |
명령 및 제어, 수평 이동, 지속성 |
SAP - 새 ICF 서비스 | ICF 서비스의 생성을 식별합니다. | SICF를 사용하여 서비스를 만듭니다. 데이터 원본: SAPcon - 표 데이터 로그 |
명령 및 제어, 수평 이동, 지속성 |
SAP - 더 이상 사용되지 않거나 안전하지 않은 함수 모듈 실행 | 사용되지 않거나 안전하지 않은 ABAP 함수 모듈의 실행을 식별합니다. SAP - 사용되지 않는 함수 모듈 관심 목록의 사용되지 않는 함수를 유지 관리합니다. 백 엔드의 테이블에 대한 EUFUNC 테이블 로깅 변경 내용을 활성화해야 합니다. (SE13)프로덕션 시스템에만 관련됩니다. |
SE37을 사용하여 사용되지 않거나 안전하지 않은 함수 모듈을 직접 실행합니다. 데이터 원본: SAPcon - 표 데이터 로그 |
검색, 명령 및 제어 |
SAP - 사용되지 않는/안전하지 않은 프로그램 실행 | 사용되지 않거나 안전하지 않은 ABAP 프로그램의 실행을 식별합니다. SAP - 사용되지 않는 프로그램 관심 목록에서 사용되지 않는 프로그램을 유지 관리합니다 . 프로덕션 시스템에만 관련됩니다. |
SE38/SA38/SE80을 사용하거나 백그라운드 작업을 사용하여 프로그램을 직접 실행합니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 명령 및 제어 |
SAP - 사용자가 여러 번 암호 변경 | 사용자별 여러 암호 변경 내용을 식별합니다. | 사용자 암호 변경 데이터 원본: SAPcon - 감사 로그 |
자격 증명 액세스 |
SAP - (미리 보기) JAVA로 - 사용자가 새 사용자를 만들고 사용 | SAP AS Java 환경 내에서 관리자가 사용자를 만들거나 조작하는 것을 식별합니다. | 만들거나 조작한 사용자를 사용하여 백 엔드 시스템에 로그인합니다. 데이터 원본: SAPJAVAFilesLog |
지속성 |
SAP 보안 메커니즘을 바이패스하려고 시도합니다.
규칙 이름 | 설명 | 원본 작업 | 전술 |
---|---|---|---|
SAP - 클라이언트 구성 변경 | 클라이언트 역할 또는 변경 기록 모드와 같은 클라이언트 구성에 대한 변경 내용을 식별합니다. | 트랜잭션 코드를 사용하여 SCC4 클라이언트 구성 변경을 수행합니다. 데이터 원본: SAPcon - 감사 로그 |
방어 회피, 반출, 지속성 |
SAP - 디버깅 활동 중에 데이터가 변경됨 | 디버깅 활동 중 런타임 데이터의 변경 사항을 식별합니다. 하위 사용 사례: 지속성 |
1. 디버그 활성화("/h"). 2. 변경할 필드를 선택하고 해당 값을 업데이트합니다. 데이터 원본: SAPcon - 감사 로그 |
실행 측면 이동 |
SAP - 보안 감사 로그 비활성화 | 보안 감사 로그의 비활성화를 식별합니다. | SM19/RSAU_CONFIG 를 사용하여 보안 감사 로그를 사용하지 않도록 설정합니다. 데이터 원본: SAPcon - 감사 로그 |
반출, 방어 회피, 지속성 |
SAP - 중요한 ABAP 프로그램 실행 | 중요한 ABAP 프로그램의 직접 실행을 식별합니다. SAP - 중요한 ABAP 프로그램 관심 목록에서 ABAP 프로그램을 유지 관리합니다 . |
를 사용하여 프로그램을 직접 실행합니다SE38 SE80 /SA38 /. 데이터 원본: SAPcon - 감사 로그 |
반출, 횡적 이동, 실행 |
SAP - 중요한 트랜잭션 코드 실행 | 중요한 트랜잭션 코드의 실행을 식별합니다. SAP - 중요한 트랜잭션 코드 관심 목록에서 트랜잭션 코드를 유지 관리합니다 . |
중요한 트랜잭션 코드를 실행합니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 실행 |
SAP - 중요한 함수 모듈 실행 | 중요한 ABAP 함수 모듈의 실행을 식별합니다. 하위 사용 사례: 지속성 프로덕션 시스템에만 관련됩니다. SAP - 중요한 함수 모듈 관심 목록에서 중요한 함수 를 유지하고 EUFUNC 테이블에 대한 백 엔드에서 테이블 로깅 변경 내용을 활성화해야 합니다. (SE13) |
SE37을 사용하여 중요한 함수 모듈을 직접 실행합니다. 데이터 원본: SAPcon - 표 데이터 로그 |
검색, 명령 및 제어 |
SAP - (미리 보기) HANA DB - 감사 내역 정책 변경 | HANA DB 감사 내역 정책의 변경 내용을 식별합니다. | 보안 정의에서 기존 감사 정책을 만들거나 업데이트합니다. 데이터 원본: Linux 에이전트 - Syslog |
측면 이동, 방어 우회, 지속 |
SAP - (미리 보기) HANA DB - 감사 내역 비활성화 | HANA DB 감사 로그의 비활성화를 식별합니다. | HANA DB 보안 정의에서 감사 로그를 비활성화합니다. 데이터 원본: Linux 에이전트 - Syslog |
지속성, 횡적 이동, 방어 회피 |
SAP - 중요한 함수 모듈의 무단 원격 실행 | 최근 변경된 권한 부여를 무시하면서 활동을 사용자의 권한 부여 프로필과 비교하여 중요한 FM의 무단 실행을 검색합니다. SAP - 중요한 함수 모듈 관심 목록에서 함수 모듈을 유지 관리합니다 . |
RFC를 사용하여 함수 모듈을 실행합니다. 데이터 원본: SAPcon - 감사 로그 |
실행, 측면 이동, 발견 |
SAP - 시스템 구성 변경 | 시스템 구성에 대한 변경 내용을 식별합니다. | 트랜잭션 코드를 사용하여 시스템 변경 옵션 또는 소프트웨어 구성 요소 수정을 SE06 조정합니다.데이터 원본: SAPcon - 감사 로그 |
반출, 방어 회피, 지속성 |
SAP - 디버깅 활동 | 모든 디버깅 관련 활동을 식별합니다. 하위 사용 사례: 지속성 |
시스템에서 디버그("/h")를 활성화하고, 활성 프로세스를 디버그하고, 소스 코드에 중단점을 추가하는 등의 작업을 수행합니다. 데이터 원본: SAPcon - 감사 로그 |
발견(Discovery) |
SAP - 보안 감사 로그 구성 변경 | 보안 감사 로그 구성의 변경 사항을 식별합니다. | SM19 /RSAU_CONFIG 를 사용하여 필터, 상태, 기록 모드 등과 같은 보안 감사 로그 구성을 변경합니다. 데이터 원본: SAPcon - 감사 로그 |
지속성, 반출, 방어 회피 |
SAP - 트랜잭션이 잠금 해제됨 | 트랜잭션 잠금 해제를 식별합니다. | 를 사용하여 트랜잭션 코드 잠금을 해제합니다SM01 SM01_CUS /SM01_DEV /. 데이터 원본: SAPcon - 감사 로그 |
지속성, 실행 |
SAP - 동적 ABAP 프로그램 | 동적 ABAP 프로그래밍의 실행을 식별합니다. 예를 들어 ABAP 코드를 동적으로 만들거나 변경하거나 삭제한 경우입니다. SAP - ABAP 생성용 트랜잭션 관심 목록에서 제외된 트랜잭션 코드를 유지 관리합니다 . |
INSERT REPORT와 같은 ABAP 프로그램 생성 명령을 사용하는 ABAP 보고서를 만든 다음, 보고서를 실행합니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 명령 및 제어, 영향 |
의심스러운 권한 작업
규칙 이름 | 설명 | 원본 작업 | 전술 |
---|---|---|---|
SAP - 중요한 권한이 있는 사용자 변경 | 중요한 권한 있는 사용자의 변경 내용을 식별합니다. SAP - Privileged Users 관심 목록에서 권한 있는 사용자를 유지 관리합니다. |
SU01 을 사용하여 사용자 세부 정보 / 권한을 변경합니다. 데이터 원본: SAPcon - 감사 로그 |
권한 상승, 자격 증명 액세스 |
SAP - (미리 보기) HANA DB - 관리자 권한 할당 | 관리자 권한 또는 역할 할당을 식별합니다. | 관리자 역할 또는 권한을 가진 사용자를 할당합니다. 데이터 원본: Linux 에이전트 - Syslog |
권한 상승 |
SAP - 로그인한 중요한 권한이 있는 사용자 | 중요한 권한 있는 사용자의 대화 상자 로그인을 식별합니다. SAP - Privileged Users 관심 목록에서 권한 있는 사용자를 유지 관리합니다. |
SAP* 또는 다른 권한이 있는 사용자를 사용하여 백 엔드 시스템에 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
초기 액세스, 자격 증명 액세스 |
SAP - 중요한 권한이 있는 사용자가 다른 사용자 변경 | 다른 사용자의 중요한 권한 있는 사용자의 변경 내용을 식별합니다. | SU01을 사용하여 사용자 세부 정보/인증을 변경합니다. 데이터 원본: SAPcon - 감사 로그 |
권한 상승, 자격 증명 액세스 |
SAP - 중요한 사용자 암호 변경 및 로그인 | 권한 있는 사용자의 암호 변경 내용을 식별합니다. | 권한 있는 사용자의 암호를 변경하고 시스템에 로그인합니다. SAP - Privileged Users 관심 목록에서 권한 있는 사용자를 유지 관리합니다. 데이터 원본: SAPcon - 감사 로그 |
영향, 명령 및 제어, 권한 상승 |
SAP - 사용자가 새 사용자를 만들고 사용함 | 다른 사용자를 만들고 사용하는 사용자를 식별합니다. 하위 사용 사례: 지속성 |
SU01을 사용하여 사용자를 만든 다음, 새로 만든 사용자와 동일한 IP 주소를 사용하여 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 사전 공격, 초기 액세스 |
SAP - 사용자가 다른 사용자를 잠금 해제하고 사용함 | 다른 사용자가 잠금 해제하고 사용하는 사용자를 식별합니다. 하위 사용 사례: 지속성 |
SU01을 사용하여 사용자의 잠금을 해제한 다음 잠금 해제된 사용자와 동일한 IP 주소를 사용하여 로그인합니다. 데이터 원본: SAPcon - 감사 로그, SAPcon - 변경 문서 로그 |
검색, 사전 공격, 초기 액세스, 횡적 이동 |
SAP - 중요한 프로필 할당 | 사용자에게 중요한 프로필의 새 할당을 식별합니다. SAP - 중요한 프로필 관심 목록에서 중요한 프로필을 유지 관리합니다 . |
SU01 을 사용하여 사용자에게 프로필을 할당합니다. 데이터 원본: SAPcon - 문서 로그 변경 |
권한 상승 |
SAP - 중요한 역할 할당 | 사용자에게 중요한 역할에 대한 새 할당을 식별합니다. SAP - 중요한 역할 관심 목록에서 중요한 역할을 유지 관리합니다. |
를 사용하여 SU01 / PFCG 사용자에게 역할을 할당합니다. 데이터 원본: SAPcon - 문서 로그 변경, 감사 로그 |
권한 상승 |
SAP - (미리 보기) 중요한 권한 할당 - 새 권한 값 | 새 사용자에게 중요한 권한 부여 개체 값을 할당하는 것을 식별합니다. SAP - 중요 권한 부여 개체 관심 목록에서 중요한 권한 부여 개체를 유지 관리합니다. |
를 사용하여 PFCG 새 권한 부여 개체를 할당하거나 역할의 기존 권한 부여 개체를 업데이트합니다. 데이터 원본: SAPcon - 문서 로그 변경 |
권한 상승 |
SAP - 중요한 권한 할당 - 새 사용자 할당 | 새 사용자에게 중요한 권한 부여 개체 값을 할당하는 것을 식별합니다. SAP - 중요 권한 부여 개체 관심 목록에서 중요한 권한 부여 개체를 유지 관리합니다. |
SU01 /PFCG 를 사용하여 중요한 권한 값을 보유하는 역할에 새 사용자를 지정합니다. 데이터 원본: SAPcon - 문서 로그 변경 |
권한 상승 |
SAP - 중요한 역할 변경 | 중요한 역할의 변경 내용을 식별합니다. SAP - 중요한 역할 관심 목록에서 중요한 역할을 유지 관리합니다. |
PFCG를 사용하여 역할을 변경합니다. 데이터 원본: SAPcon - 문서 로그 변경, SAPcon – 감사 로그 |
영향, 권한 에스컬레이션, 지속성 |
사용 가능한 관심 목록
다음 표에서는 SAP 애플리케이션용 Microsoft Sentinel 솔루션에 사용할 수 있는 관심 목록과 각 관심 목록의 필드를 나열합니다.
이러한 관심 목록은 SAP 애플리케이션용 Microsoft Sentinel 솔루션에 대한 구성을 제공합니다. SAP 관심 목록은 Microsoft Sentinel GitHub 리포지토리에서 사용할 수 있습니다.
관심 목록 이름 | 설명 및 필드 |
---|---|
SAP - 중요 권한 부여 개체 | 할당을 제어해야 하는 중요 권한 부여 개체입니다. - AuthorizationObject: SAP 권한 부여 개체(예: S_DEVELOP , S_TCODE 또는 Table TOBJ ) - AuthorizationField: SAP 권한 부여 필드(예: OBJTYP 또는 TCD ) - AuthorizationValue: SAP 권한 부여 필드 값(예: DEBUG ) - ActivityField: SAP 활동 필드. 대부분의 경우 이 값은 .입니다 ACTVT . 활동이 없거나 Activity 필드만 있는 권한 부여 개체의 경우 NOT_IN_USE 로 채워집니다. - 작업: 권한 부여 개체에 따라 SAP 작업(예: 01 만들기; 02 : 변경, 03 표시 등). - 설명: 의미 있는 중요 권한 부여 개체 설명입니다. |
SAP - 제외된 네트워크 | 웹 디스패처, 터미널 서버 등을 무시하는 등 제외된 네트워크의 내부 유지 관리 -네트워크: 네트워크 IP 주소 또는 범위(예: 111.68.128.0/17 . -설명: 의미 있는 네트워크 설명입니다. |
SAP 제외 사용자 | 시스템에 로그인되어 있고 무시해야 하는 시스템 사용자입니다. 예를 들어 동일한 사용자의 다중 로그인에 대한 경고입니다. - 사용자: SAP 사용자 -설명: 의미 있는 사용자 설명입니다. |
SAP - 네트워크 | 무단 로그인 식별을 위한 내부 및 유지 관리 네트워크입니다. - Network: 네트워크 IP 주소 또는 범위(예: 111.68.128.0/17 ) - 설명: 의미 있는 네트워크 설명입니다. |
SAP - 권한 있는 사용자 | 추가 제한 사항이 있는 권한 있는 사용자입니다. - User: DDIC 또는 SAP 와 같은 ABAP 사용자 - 설명: 의미 있는 사용자 설명입니다. |
SAP - 중요한 ABAP 프로그램 | 실행을 관리해야 하는 중요한 ABAP 프로그램(보고서)입니다. - ABAPProgram: ABAP 프로그램 또는 보고서(예: RSPFLDOC ) - Description: 이해할 수 있는 프로그램 설명 |
SAP - 중요한 함수 모듈 | 무단 로그인 식별을 위한 내부 및 유지 관리 네트워크입니다. - FunctionModule: ABAP 함수 모듈(예: RSAU_CLEAR_AUDIT_LOG ) - 설명: 의미 있는 모듈 설명입니다. |
SAP - 중요한 프로필 | 할당을 제어해야 하는 중요한 프로필입니다. - Profile: SAP 권한 부여 프로필(예: SAP_ALL 또는 SAP_NEW ) - Description: 이해할 수 있는 프로필 설명 |
SAP - 중요한 테이블 | 액세스를 제어해야 하는 중요한 테이블입니다. - Table: ABAP 사전 테이블(예: USR02 또는 PA008 ) - Description: 이해할 수 있는 테이블 설명 |
SAP - 중요한 역할 | 할당을 관리해야 하는 중요한 역할. - 역할: SAP 권한 부여 역할(예: SAP_BC_BASIS_ADMIN - 설명: 의미 있는 역할 설명입니다. |
SAP - 중요한 트랜잭션 | 실행을 관리해야 하는 중요한 트랜잭션입니다. - TransactionCode: SAP 트랜잭션 코드(예: RZ11 ) - 설명: 의미 있는 코드 설명입니다. |
SAP - 시스템 | 역할, 사용량 및 구성에 따라 SAP 시스템의 환경을 설명합니다. - SystemID: SAP 시스템 ID(SYSID) - SystemRole: SAP 시스템 역할, 다음 값 중 하나: Sandbox , Development , Quality Assurance , Training Production - SystemUsage: SAP 시스템 사용량, 다음 값 중 하나: ERP , BW , Solman , Gateway Enterprise Portal - InterfaceAttributes: 플레이북에서 사용하기 위한 선택적 동적 매개 변수입니다. |
SAPSystemParameters | 의심스러운 구성 변경을 감시할 매개 변수입니다. 이 관심 목록은 권장 값(SAP 모범 사례에 따라)으로 미리 채워져 있으며, 더 많은 매개 변수를 포함하도록 관심 목록을 확장할 수 있습니다. 매개 변수에 대한 경고를 받지 않으려면 .로 false 설정합니다EnableAlerts .- ParameterName: 매개 변수의 이름입니다. - 주석: SAP 표준 매개 변수 설명입니다. - EnableAlerts: 이 매개 변수에 대해 경고를 사용할지 여부를 정의합니다. 값은 true 및 false 입니다.- 옵션: 경고를 트리거할 경우를 정의합니다. 매개 변수 값이 크거나 같은 경우( GE ), 작거나 같음(LE ) 또는 같음(EQ )예를 들어 login/fails_to_user_lock SAP 매개 변수가 (작거나 같음)로 설정 LE 되고 값 5 이 Microsoft Sentinel이 이 특정 매개 변수에 대한 변경 사항을 감지하면 새로 보고된 값과 예상 값을 비교합니다. 새 값이 4 면 Microsoft Sentinel에서 경고를 트리거하지 않습니다. 새 값이 6 면 Microsoft Sentinel에서 경고를 트리거합니다.- ProductionSeverity: 프로덕션 시스템의 인시던트 심각도입니다. - ProductionValues: 프로덕션 시스템에 허용되는 값입니다. - NonProdSeverity: 비프로덕션 시스템의 인시던트 심각도입니다. - NonProdValues: 비프로덕션 시스템에 허용되는 값입니다. |
SAP - 제외된 사용자 | 로그인되어 있고 무시해야 하는 시스템 사용자(예: 사용자 경고에 의한 다중 로그온). - 사용자: SAP 사용자 - 설명: 의미 있는 사용자 설명 |
SAP - 제외된 네트워크 | 웹 디스패처, 터미널 서버 등을 무시하기 위해 제외된 내부 네트워크를 유지 관리합니다. - Network: 네트워크 IP 주소 또는 범위(예: 111.68.128.0/17 ) - 설명: 의미 있는 네트워크 설명 |
SAP - 사용되지 않는 함수 모듈 | 실행을 제어해야 하는 사용되지 않는 함수 모듈입니다. - FunctionModule: ABAP 함수 모듈(예: TH_SAPREL - Description: 이해할 수 있는 함수 모듈 설명 |
SAP - 사용되지 않는 프로그램 | 실행을 제어해야 하는 사용되지 않는 ABAP 프로그램(보고서)입니다. - ABAPProgram:ABAP 프로그램(예: TH_ RSPFLDOC) - 설명: 의미 있는 ABAP 프로그램 설명 |
SAP - ABAP 세대를 위한 트랜잭션 | 실행을 관리해야 하는 ABAP 세대를 위한 트랜잭션입니다. - TransactionCode: SE11과 같은 트랜잭션 코드입니다. - 설명: 의미 있는 트랜잭션 코드 설명 |
SAP - FTP 서버 | 권한이 없는 연결을 식별하기 위한 FTP 서버입니다. - 클라이언트: 예: 100. - FTP_Server_Name: FTP 서버 이름(예: http://contoso.com/ ) -FTP_Server_Port:FTP 서버 포트(예: 22). - 설명의미 있는 FTP 서버 설명 |
SAP_Dynamic_Audit_Log_Monitor_Configuration | 시스템 역할(프로덕션, 비프로덕션)에 따라 각 메시지 ID에 필요한 심각도 수준을 할당하여 SAP 감사 로그 경고를 구성합니다. 이 관심 목록은 사용 가능한 모든 SAP 표준 감사 로그 메시지 ID를 자세히 설명합니다. 관심 목록을 확장하여 SAP NetWeaver 시스템에서 ABAP 향상된 기능을 사용하여 직접 만들 수 있는 추가 메시지 ID를 포함할 수 있습니다. 또한 이 관심 목록을 사용하면 각 이벤트 유형을 처리하도록 지정된 팀을 구성하고 SAP 역할, SAP 프로필 또는 SAP_User_Config 관심 목록에서 태그로 사용자를 제외할 수 있습니다. 이 관심 목록은 SAP 감사 로그를 모니터링하기 위한 기본 제공 SAP 분석 규칙을 구성하는 데 사용되는 핵심 구성 요소 중 하나입니다. 자세한 내용은 SAP 감사 로그 모니터링을 참조 하세요. - MessageID: SAP 메시지 ID 또는 이벤트 유형(예: AUD (사용자 마스터 레코드 변경) 또는 AUB (권한 부여 변경))입니다. - DetailedDescription: 인시던트 창에 표시할 markdown 사용 설명입니다. - ProductionSeverity: 프로덕션 시스템 High , Medium 에 대해 생성할 인시던트의 원하는 심각도입니다. Disabled 로 설정할 수 있습니다. - NonProdSeverity: 비프로덕션 시스템에 High Medium 대해 생성할 인시던트에 대한 원하는 심각도입니다. Disabled 로 설정할 수 있습니다. - ProductionThreshold 프로덕션 시스템 60 에 의심스러운 것으로 간주되는 이벤트의 "시간당" 수입니다. - NonProdThreshold 비프로덕션 시스템에 10 의심스러운 것으로 간주될 이벤트의 "시간당" 수입니다. - RolesTagsToExclude: 이 필드는 SAP_User_Config 관심 목록에서 SAP 역할 이름, SAP 프로필 이름 또는 태그를 허용합니다. 그런 다음, 관련 사용자를 특정 이벤트 유형에서 제외하는 데 사용됩니다. 이 목록 끝에 있는 역할 태그 옵션을 참조하세요. - RuleType: 이벤트 유형을 SAP - 동적 결정적 감사 로그 모니터 규칙으로 보내거나 AnomaliesOnly SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기) 규칙에서 이 이벤트를 처리하도록 하는 데 사용합니다Deterministic . 자세한 내용은 SAP 감사 로그 모니터링을 참조 하세요. - TeamsChannelID: 플레이북에서 사용하기 위한 선택적 동적 매개 변수 입니다. - DestinationEmail: 플레이북에서 사용하기 위한 선택적 동적 매개 변수 입니다. RolesTagsToExclude 필드의 경우: - SAP 역할 또는 SAP 프로필을 나열하면 동일한 SAP 시스템에 대한 이러한 이벤트 유형에서 나열된 역할 또는 프로필을 가진 모든 사용자가 제외됩니다. 예를 들어, RFC 관련 이벤트 유형에 대해 BASIC_BO_USERS ABAP 역할을 정의하면 비즈니스 개체 사용자는 대규모 RFC 호출을 할 때 인시던트를 트리거하지 않습니다.- 이벤트 유형에 태그를 지정하는 것은 SAP 역할 또는 프로필을 지정하는 것과 유사하지만 작업 영역에서 태그를 만들 수 있으므로 SOC 팀은 SAP BASIS 팀에 따라 활동별로 사용자를 제외할 수 있습니다. 예를 들어, 감사 메시지 ID AUB(권한 변경) 및 AUD(사용자 마스터 레코드 변경)에는 MassiveAuthChanges 태그가 할당됩니다. 이 태그가 할당된 사용자는 이러한 작업에 대한 검사에서 제외됩니다. 작업 영역 SAPAuditLogConfigRecommend 함수를 실행하면 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist 와 같이 사용자에게 할당할 권장 태그 목록이 생성됩니다. |
SAP_User_Config | 특정 컨텍스트에서 사용자를 제외하여 경고를 미세 조정할 수 있으며 SAP 감사 로그를 모니터링하기 위한 기본 제공 SAP 분석 규칙을 구성하는 데도 사용됩니다. 자세한 내용은 SAP 감사 로그 모니터링을 참조 하세요. - SAPUser: SAP 사용자 - 태그: 태그는 특정 작업에 대해 사용자를 식별하는 데 사용됩니다. 예를 들어 사용자 SENTINEL_SRV 태그 ["GenericTablebyRFCOK"]를 추가하면 이 특정 사용자에 대해 RFC 관련 인시던트가 생성되지 않습니다. 기타 Active Directory 사용자 식별자 - AD 사용자 식별자 - 사용자 온-프레미스 Sid - 사용자 계정 이름 |
사용 가능한 플레이북
SAP 애플리케이션용 Microsoft Sentinel 솔루션에서 제공하는 플레이북은 SAP 인시던트 대응 워크로드를 자동화하여 보안 작업의 효율성과 효율성을 개선하는 데 도움이 됩니다.
이 섹션에서는 SAP 애플리케이션용 Microsoft Sentinel 솔루션과 함께 제공되는 기본 제공 분석 플레이북 에 대해 설명합니다.
플레이북 이름 | 매개 변수 | 연결 |
---|---|---|
SAP 인시던트 대응 - Teams에서 사용자 잠금 - 기본 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
SAP 인시던트 대응 - Teams에서 사용자 잠금 - 고급 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Monitor 로그 - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
SAP 인시던트 대응 - 비활성화된 후 다시 활성화 가능한 감사 로깅 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitor 로그 - Microsoft Teams |
다음 섹션에서는 사용자가 이러한 매우 중요한 트랜잭션 중 하나를 실행하려고 하는 SAP 시스템 중 하나에서 인시던트가 의심스러운 활동을 경고하는 시나리오에서 제공된 각 플레이북에 대한 샘플 사용 사례를 설명합니다.
인시던트 심사 단계에서는 SAP ERP 또는 BTP 시스템 또는 Microsoft Entra ID에서 이 사용자에 대해 조치를 취하기로 결정합니다.
자세한 내용은 Microsoft Sentinel의 플레이북을 사용하여 위협 대응 자동화를 참조 하세요.
표준 논리 앱을 배포하는 프로세스는 일반적으로 소비 논리 앱보다 더 복잡합니다. Microsoft Sentinel GitHub 리포지토리에서 신속하게 배포할 수 있도록 일련의 바로 가기를 만들었습니다. 자세한 내용은 단계별 설치 가이드를 참조 하세요.
팁
GitHub 리포지토리의 SAP 플레이북 폴더에서 더 많은 플레이북을 사용할 수 있게 되면 시청하세요. 시작하는 데 도움이 되는 짧은 소개 비디오(외부 링크)도 있습니다.
단일 시스템에서 사용자 잠금
권한 없는 사용자의 중요한 트랜잭션 실행이 감지될 때마다 Teams - 기본 플레이북에서 잠금 사용자를 호출하는 자동화 규칙을 빌드합니다. 이 플레이북은 Teams의 적응형 카드 기능을 사용하여 사용자를 일방적으로 차단하기 전에 승인을 요청합니다.
자세한 내용은 중요한 SAP 보안 신호에 대한 Microsoft Sentinel의 0부터 영웅 보안 범위까지를 참조 하세요. SOAR를 들으시겠습니다! 1 부(SAP 블로그 게시물).
Teams의 잠금 사용자 - 기본 플레이북은 표준 플레이북이며 표준 플레이북은 일반적으로 소비 플레이북보다 배포가 더 복잡합니다.
Microsoft Sentinel GitHub 리포지토리에서 신속하게 배포할 수 있도록 일련의 바로 가기를 만들었습니다. 자세한 내용은 단계별 설치 가이드 및 지원되는 논리 앱 유형을 참조하세요.
여러 시스템에서 사용자 잠금
Teams에서 사용자 잠금 - 고급 플레이북은 동일한 목표를 달성하지만 더 복잡한 시나리오를 위해 설계되어 각각 자체 SAP SID가 있는 여러 SAP 시스템에 단일 플레이북을 사용할 수 있습니다.
Teams의 잠금 사용자 - 고급 플레이북은 SAP - 시스템 관심 목록 및 Azure Key Vault의 InterfaceAttributes 선택적 동적 매개 변수를 사용하여 이러한 모든 시스템 및 해당 자격 증명에 대한 연결을 원활하게 관리합니다.
Teams에서 사용자 잠금 - 고급 플레이북을 사용하면 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록에서 TeamsChannelID 및 DestinationEmail 매개 변수를 사용하여 Teams와 함께 Outlook 실행 가능 메시지를 사용하여 승인 프로세스의 당사자와 통신할 수도 있습니다.
자세한 내용은 중요한 SAP 보안 신호인 2 부(SAP 블로그 게시물)에 대한 Microsoft Sentinel을 사용하여 0부터 영웅 보안 범위를 참조하세요.
감사 로깅 비활성화 방지
보안 데이터 원본 중 하나인 SAP 감사 로그가 비활성화되는 것을 염려할 수도 있습니다. SAP 감사 로그가 비활성화되지 않았는지 확인하기 위해 비활성화된 플레이북이 있으면 다시 활성화할 수 있는 감사 로깅을 호출하는 SAP - 보안 감사 로그 분석 규칙 비활성화를 기반으로 자동화 규칙을 빌드하는 것이 좋습니다.
SAP - 보안 감사 로그 플레이북의 비활성화도 Teams를 사용하여 보안 담당자에게 사실 이후에 알릴 수 있습니다. 범죄의 심각도와 완화의 긴급성은 승인 없이 즉각적인 조치를 취할 수 있음을 나타냅니다.
SAP - 보안 감사 로그 플레이북 비활성화도 Azure Key Vault를 사용하여 자격 증명을 관리하므로 플레이북의 구성은 Teams - 고급 플레이북에서 잠금 사용자의 구성과 유사합니다. 자세한 내용은 중요한 SAP 보안 신호인 3 부(SAP 블로그 게시물)에 대한 Microsoft Sentinel을 사용하여 0부터 영웅 보안 범위를 참조하세요.
관련 콘텐츠
자세한 내용은 SAP 애플리케이션용 Microsoft Sentinel 솔루션 배포를 참조 하세요.