Delen via


Controleactiviteiten van gebruikers in SAP-systemen bewaken en bijhouden

In dit artikel wordt het SAP - Beveiligingscontrolelogboek en de werkmap Initiële toegang beschreven, die wordt gebruikt voor het bewaken en bijhouden van gebruikerscontroleactiviteiten in uw SAP-systemen. Gebruik de werkmap om een vogelvlucht te krijgen van gebruikerscontroleactiviteiten, uw SAP-systemen beter te beveiligen en snel inzicht te krijgen in verdachte acties. Zoom indien nodig in op verdachte gebeurtenissen.

Gebruik de werkmap voor doorlopende bewaking van uw SAP-systemen of om de systemen te controleren na een beveiligingsincident of andere verdachte activiteiten.

Voorbeeld:

Schermopname van het begin van het SAP -Security Audit-logboek en de werkmap Initial Access.

Inhoud in dit artikel is bedoeld voor uw beveiligingsteam .

Vereisten

Voordat u het SAP - Security Audit-logboek en de initial Access-werkmap kunt gaan gebruiken, moet u het volgende hebben:

  • Een Microsoft Sentinel-oplossing voor SAP geïnstalleerd en een gegevensconnector geconfigureerd. Zie Een Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen voor meer informatie.

  • Het SAP - Beveiligingscontrolelogboek en de werkmap Initial Access die zijn geïnstalleerd in uw Log Analytics-werkruimte die is ingeschakeld voor Microsoft Sentinel. Zie Uw gegevens visualiseren en bewaken met behulp van werkmappen in Microsoft Sentinel voor meer informatie.

    Belangrijk

    Het SAP - Beveiligingscontrolelogboek en de werkmap Initiële toegang worden gehost door de werkruimte waarin de Microsoft Sentinel-oplossing voor SAP-toepassingen is geïnstalleerd. Standaard wordt ervan uitgegaan dat zowel de SAP- als de SOC-gegevens zich in de werkruimte bevinden die als host fungeert voor de werkmap.

    Als de SOC-gegevens zich in een andere werkruimte bevinden dan de werkruimte die als host fungeert voor de werkmap, moet u het abonnement voor die werkruimte opnemen en de SOC-werkruimte selecteren in de Azure-audit- en activiteitswerkruimte.

  • Ten minste één incident in uw Microsoft Sentinel-werkruimte, met ten minste één vermelding beschikbaar in de SecurityIncident tabel. Dit hoeft geen SAP-incident te zijn en u kunt een demo-incident genereren met behulp van een basisanalyseregel als u nog geen incident hebt.

  • Als uw Microsoft Entra-gegevens zich in een andere Log Analytics-werkruimte bevinden, moet u ervoor zorgen dat u de relevante abonnementen en werkruimten boven aan de werkmap selecteert, onder Azure-controle en -activiteiten.

Het is raadzaam om controle te configureren voor alle berichten uit het auditlogboek, in plaats van alleen specifieke logboeken. Het kostenverschil is doorgaans minimaal en de gegevens zijn nuttig voor detectie door Microsoft Sentinel en voor onderzoek en opsporing na inbreuk. Zie SAP-controle configureren voor meer informatie.

Ondersteunde filters

Het SAP - Beveiligingscontrolelogboek en de werkmap Initial Access ondersteunen de volgende filters om u te helpen focussen op de gegevens die u nodig hebt:

  • Tijdsbereik. Van vier uur tot 90 dagen.
  • Systeemrollen. De SAP-systeemrollen, bijvoorbeeld: Ontwikkeling.
  • Systeemgebruik. Bijvoorbeeld: SAP GTS.
  • SAP-systemen. U kunt alle systemen, een specifiek systeem of meerdere systemen selecteren.

Als u systemen selecteert die niet zijn geconfigureerd in de watchlist voor SAP-systemen, wordt in de werkmap een fout weergegeven, waarbij de systemen met problemen worden opgegeven. In dit geval configureert u de volglijst zodanig dat deze systemen correct worden opgenomen.

Rapportgegevens voor aanmeldingsanalyse

Het tabblad Aanmeldingsanalyserapport in het SAP - Beveiligingscontrolelogboek en de werkmap Initial Access bevat gegevens over aanmeldingsfouten, zoals afwijkende gegevens, Microsoft Entra-gegevens en meer.

De gegevens zijn gebaseerd op de watchlist van SAP-systemen.

Het tabblad Aanmeldingsanalyserapport bevat de volgende gebieden:

Aanmeldingsanalyse

Het gebied Aanmeldingsanalyse toont met betrekking tot aanmeldingen van gebruikers. Bijvoorbeeld:

Schermopname van het gebied Aanmeldingsanalyse van de SAP-auditwerkmap.

In de volgende tabel worden alle metrische gegevens in het gebied Aanmeldingsanalyse beschreven:

Oppervlakte Description
Unieke gebruikersaanmeldingen per systeem Toont het aantal unieke aanmeldingen voor elk SAP-systeem en een grafiek met de aanmeldingstrends gedurende de geselecteerde tijd voor elk systeem.

Bijvoorbeeld: het 012-systeem heeft 1,4 K unieke aanmeldingspogingen in de afgelopen 14 dagen, en in deze 14 dagen toont de grafiek een relatief stijgende aanmeldingstrend.
Trend voor aanmeldingstypen Toont een trend van het aantal aanmeldingen op basis van het type, bijvoorbeeld aanmelden via dialoogvenster.

Beweeg de muisaanwijzer over de grafiek om het aantal aanmeldingen voor verschillende datums weer te geven.
Aanmeldingsfouten versus succes door unieke gebruikers - trend Toont een trend van geslaagde en mislukte aanmeldingen in de geselecteerde periode.

Beweeg de muisaanwijzer over de grafiek om de hoeveelheid geslaagde en mislukte aanmeldingen voor verschillende datums weer te geven.

Aanmeldingsfouten - anomaliedetectie

De gebieden onder Anomaliedetectie: het filteren van mislukte aanmeldingspogingen bij mislukte aanmeldingen tonen aanmeldingsgegevens voor SAP-systemen en -gebruikers. Als u alleen gegevens wilt zien die zijn gemarkeerd door, selecteert u alleen afwijkende aanmeldingen naast Mislukte aanmeldingen aan de rechterkant.

Zie Het SAP-auditlogboek bewaken voor meer informatie.

Voorbeeld:

Schermopname van de secties in het gebied Aanmeldingsfouten van de SAP Audit-werkmap die u kunt filteren op afwijkende gegevens.

In de volgende tabel worden alle metrische gegevens in het gebied anomaliedetectie beschreven:

Oppervlakte Description
Mislukte aanmeldingsfrequentie aanmeldingsfouten unieke gebruiker mislukte aanmeldingen>per SAP-systeem> Toont het aantal unieke mislukte aanmeldingen voor elk SAP-systeem.
SAP en Active Directory zijn beter samen In de tabel Afwijkende aanmeldingsfouten ziet u een combinatie van Microsoft Sentinel- en Microsoft Entra-gegevens, waarbij gebruikers volgens risico worden vermeld, met de meest riskante gebruikers bovenaan.

Voor elke gebruiker wordt in de tabel het volgende weergegeven:
- Een tijdlijn met mislukte aanmeldingspogingen
- Een tijdlijn die aangeeft op welk punt een afwijkende mislukte poging is opgetreden
- Het type anomalie
- Het e-mailadres van de gebruiker
- De Risico-indicator van Microsoft Entra
- Het aantal incidenten en waarschuwingen in Microsoft Sentinel

Selecteer de rij van een gebruiker om een lijst met gerelateerde waarschuwingen en incidenten weer te geven. Risicogebeurtenissen van Microsoft Entra worden vermeld onder Azure-controle- en aanmeldingsrisico's voor de gebruiker.
Aantal aanmeldingsfouten per systeem Toont de geselecteerde SAP-systemen, gegroepeerd op type, met het aantal fouten in de geselecteerde periode.

De kleur van het systeem geeft het aantal mislukte pogingen aan: Groen voor enkele verdachte aanmeldingspogingen en rood voor meer.

Selecteer een systeem om een lijst met mislukte aanmeldingen weer te geven, met details over de fouten.

In de volgende schermopname ziet u de gegevens die worden weergegeven wanneer de eerste regel is geselecteerd in de tabel afwijkende aanmeldingsfouten . De specifieke waarschuwingen en incident-URL's worden weergegeven in het overzicht incidenten/waarschuwingen voor de gebruikerstabel .

Schermopname van gegevens die worden weergegeven wanneer een regel is geselecteerd in de tabel Afwijkende aanmeldingsfouten.

In de volgende schermopname toont de Azure-audit- en aanmeldingsrisico's voor de gebruikerstabel gegevens voor het aanmeldingsrisico met betrekking tot deze gebruiker.

Schermopname van controle- en aanmeldingsrisicogegevens die worden weergegeven wanneer een regel is geselecteerd in de tabel afwijkende aanmeldingsfouten.

In de volgende schermopname ziet u de snelheid van aanmeldingsfouten per systeemgebied, waarbij het 84e-systeem onder de testgroep is geselecteerd. De mislukte aanmeldingen voor het systeemgebied aan de rechterkant tonen foutgebeurtenissen voor dit systeem.

Schermopname van de snelheid van aanmeldingsfouten per systeemgebied van de SAP-auditwerkmap.

In het gebied Aanmeldingsfouten worden de trends en het aantal mislukte aanmeldingen weergegeven, gegroepeerd op verschillende typen gegevens. Voorbeeld:

Schermopname van het gebied met mislukte aanmeldingen van de SAP-auditwerkmap.

In de volgende tabel worden alle metrische gegevens in het trendsgebied voor aanmeldingsfouten beschreven:

Oppervlakte Description
Aanmeldingsfout door oorzaak Toont de trend van het aantal mislukte aanmeldingen op basis van de oorzaak van de fout, zoals onjuiste aanmeldingsgegevens.
Aanmeldingsfout per type Toont de trend van het aantal mislukte aanmeldingen op basis van het type, zoals de aanmelding die een achtergrondtaak heeft geactiveerd, of de aanmelding via HTTP was.
Aanmeldingsfout per methode Toont de trend van het aantal mislukte aanmeldingen volgens de methode, zoals SNC of een aanmeldingsticket.

Rapporttabblad Waarschuwingen voor auditlogboeken

Op het tabblad Waarschuwingen voor auditlogboeken worden gegevens weergegeven over de SAP-auditlogboekgebeurtenissen die door de Microsoft Sentinel-oplossing voor SAP-toepassingen worden bewaakt. De gegevens zijn gebaseerd op de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst.

Op het tabblad Waarschuwingen voor auditlogboeken ziet u de ernst en controletrends voor elk SAP-systeem en elke gebruiker. In alle gebieden op dit tabblad worden alleen gegevens weergegeven die zijn gemarkeerd door anomaliedetectie. Voor alle gebeurtenissen selecteert u Alle naast Mislukte aanmeldingen aan de rechterkant.

Zie Het SAP-auditlogboek bewaken voor meer informatie.

Voorbeeld:

Schermopname van het gebied Waarschuwingen voor auditlogboeken van de SAP-auditwerkmap.

In de volgende tabel worden alle metrische gegevens op het tabblad Waarschuwingen voor auditlogboeken beschreven:

Oppervlakte Description
Trends in de ernst van waarschuwingen per systeem-id Toont een lijst met systemen, met een grafiek met gebeurtenistrends gemiddeld en hoog per systeem.

Het 012-systeem had bijvoorbeeld veel gebeurtenissen met hogeernst gedurende de hele periode en een paar gebeurtenissen met gemiddelde ernst, met een piek met meer gebeurtenissen met gemiddelde ernst in het midden van de periode.
Trend per gebruiker controleren Toont een combinatie van Microsoft Sentinel- en Microsoft Entra-gegevens, waarbij gebruikers volgens risico worden vermeld, met de meest riskante gebruikers bovenaan.

Voor elke gebruiker toont de werkmap de volgende gegevens:
- Een tijdlijn met gebeurtenissen met hoge en gemiddelde ernst
- Het e-mailadres van de gebruiker
- De Risico-indicator van Microsoft Entra
- Het aantal incidenten en waarschuwingen in Microsoft Sentinel

Selecteer een rij om een lijst met waarschuwingen en incidenten voor die gebruiker weer te geven onder Incidenten/waarschuwingen voor de gebruiker.

Bekijk risicogebeurtenissen van Microsoft Entra onder Azure-audit- en aanmeldingsrisico's voor de gebruiker.
Risicoscore per systeem Geeft elk systeem in een celvorm visueel weer, met de risicoscore voor elk systeem en groeperingssystemen per type.

De kleur van het systeem geeft de risicoscore van het systeem aan: Groen voor een lagere risicoscore en rood voor een hogere risicoscore.

Selecteer een systeem om een lijst met SAP-gebeurtenissen per systeem weer te geven.
Gebeurtenissen van MITRE ATT&CK-tactieken Toont een lijst met SAP-gebeurtenissen gegroepeerd op MITRE ATT&CK-tactieken, zoals Initial Access of Defense Evasion.

Beweeg de muisaanwijzer over de grafiek om het aantal aanmeldingen voor verschillende datums weer te geven.
Gebeurtenissen per categorie Toont een lijst met SAP-gebeurtenistrends gegroepeerd op categorie, zoals RFC Start of Aanmelden.

Beweeg de muisaanwijzer over de grafiek om het aanmeldingsnummer voor verschillende datums weer te geven.
Gebeurtenissen per autorisatiegroep Toont een lijst met SAP-gebeurtenistrends gegroepeerd op de SAP-autorisatiegroep, zoals GEBRUIKER of SUPER.

Beweeg de muisaanwijzer over de grafiek om het aantal aanmeldingen voor verschillende datums weer te geven.
Gebeurtenissen per gebruikerstype Toont een lijst met SAP-gebeurtenistrends gegroepeerd op het SAP-gebruikerstype, zoals Dialoogvenster of Systeem.

Beweeg de muisaanwijzer over de grafiek om het aantal aanmeldingen voor verschillende datums weer te geven.

In de volgende schermopname ziet u de gegevens die worden weergegeven wanneer de eerste regel is geselecteerd in de tabel Audittrends per gebruiker . De specifieke waarschuwingen en incident-URL's worden weergegeven in het overzicht incidenten/waarschuwingen voor de gebruikerstabel .

Schermopname van gegevens die worden weergegeven wanneer een regel is geselecteerd in de tabel Audittrends per gebruiker.

Noteer in de volgende schermopname de risicoscore per systeemgebied , waarbij het cb7-systeem onder de UAT-groep is geselecteerd. De SAP-gebeurtenissen voor systeemgebied onder de systeemvisualisatie toont de SAP-gebeurtenis voor dit systeem.

Schermopname van de risicoscore per systeemgebied van de SAP-auditwerkmap.

In de volgende schermopname ziet u gebieden met gebeurtenissen en gebeurtenistrends gegroepeerd op verschillende typen gegevens: MITRE ATT&CK-tactieken, SAP-autorisatiegroep en gebruikerstype.

Schermopname van de verschillende gebeurtenisgegevens in de SAP-auditwerkmap.

Zie De Microsoft Sentinel-oplossing voor SAP-toepassingen implementeren vanuit de inhoudshub en De Microsoft Sentinel-oplossing voor SAP-toepassingen: naslaginformatie over beveiligingsinhoud voor meer informatie.