Udostępnij za pośrednictwem


Rozwiązanie Microsoft Sentinel dla aplikacji SAP: dokumentacja zawartości zabezpieczeń

Ten artykuł zawiera szczegółowe informacje o zawartości zabezpieczeń dostępnej dla rozwiązania Microsoft Sentinel dla oprogramowania SAP.

Ważne

Chociaż rozwiązanie Usługi Microsoft Sentinel dla aplikacji SAP jest ogólnie dostępne, niektóre składniki pozostają w wersji zapoznawczej. Ten artykuł wskazuje składniki, które są w wersji zapoznawczej w odpowiednich sekcjach poniżej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Dostępna zawartość zabezpieczeń obejmuje wbudowane skoroszyty i reguły analizy. Możesz również dodać listy kontrolne związane z oprogramowaniem SAP do użycia w podręcznikach wyszukiwania, reguł wykrywania, wyszukiwania zagrożeń i reagowania na nie.

Zawartość w tym artykule jest przeznaczona dla twojego zespołu ds. zabezpieczeń .

Wbudowane skoroszyty

Użyj następujących wbudowanych skoroszytów, aby wizualizować i monitorować dane pozyskane za pośrednictwem łącznika danych SAP. Po wdrożeniu rozwiązania SAP można znaleźć skoroszyty SAP na karcie Szablony .

Nazwa skoroszytu opis Dzienniki
SAP — przeglądarka dziennika inspekcji Wyświetla dane, takie jak:

— Ogólna kondycja systemu, w tym logowania użytkowników w czasie, zdarzenia pozyskiwane przez system, klasy komunikatów i identyfikatory oraz programy ABAP są uruchamiane
-Ważność zdarzeń występujących w systemie
- Zdarzenia uwierzytelniania i autoryzacji występujące w systemie
Używa danych z następującego dziennika:

ABAPAuditLog_CL
Kontrole inspekcji SAP Ułatwia sprawdzenie mechanizmów kontroli zabezpieczeń środowiska SAP pod kątem zgodności z wybraną strukturą kontroli przy użyciu narzędzi do wykonania następujących czynności:

— Przypisywanie reguł analizy w środowisku do określonych mechanizmów kontroli zabezpieczeń i rodzin kontroli
— Monitorowanie i kategoryzowanie zdarzeń generowanych przez reguły analizy opartej na rozwiązaniu SAP
— Zgłaszanie zgodności
Używa danych z następujących tabel:

- SecurityAlert
- SecurityIncident

Aby uzyskać więcej informacji, zobacz Samouczek: wizualizowanie i monitorowanie danych oraz Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP.

Wbudowane reguły analizy

W tej sekcji opisano wybór wbudowanych reguł analitycznych udostępnianych razem z rozwiązaniem Microsoft Sentinel dla aplikacji SAP. W przypadku najnowszych aktualizacji sprawdź centrum zawartości usługi Microsoft Sentinel pod kątem nowych i zaktualizowanych reguł.

Monitorowanie konfiguracji statycznych parametrów zabezpieczeń sap (wersja zapoznawcza)

Aby zabezpieczyć system SAP, firma SAP zidentyfikowała parametry związane z zabezpieczeniami, które muszą być monitorowane pod kątem zmian. Dzięki regule "SAP — (wersja zapoznawcza) zmieniono poufne parametry statyczne, rozwiązanie Microsoft Sentinel dla aplikacji SAP śledzi ponad 52 statyczne parametry związane z zabezpieczeniami w systemie SAP, które są wbudowane w usługę Microsoft Sentinel.

Uwaga

Aby rozwiązanie Microsoft Sentinel dla aplikacji SAP pomyślnie monitorowało parametry zabezpieczeń SAP, rozwiązanie musi pomyślnie monitorować tabelę SAP PAHI w regularnych odstępach czasu. Aby uzyskać więcej informacji, zobacz Sprawdzanie, czy tabela PAHI jest aktualizowana w regularnych odstępach czasu.

Aby zrozumieć zmiany parametrów w systemie, rozwiązanie Microsoft Sentinel dla aplikacji SAP używa tabeli historii parametrów, która rejestruje zmiany wprowadzone w parametrach systemowych co godzinę.

Parametry są również odzwierciedlone na liście kontrolnej SAPSystemParameters. Ta lista obserwowanych umożliwia użytkownikom dodawanie nowych parametrów, wyłączanie istniejących parametrów oraz modyfikowanie wartości i ważności dla parametru i roli systemu w środowiskach produkcyjnych lub nieprodukcyjnych.

Po wprowadzeniu zmiany w jednym z tych parametrów usługa Microsoft Sentinel sprawdza, czy zmiana jest powiązana z zabezpieczeniami i czy wartość jest ustawiona zgodnie z zalecanymi wartościami. Jeśli zmiana jest podejrzewana jako poza strefą bezpieczną, usługa Microsoft Sentinel tworzy zdarzenie zawierające szczegóły zmiany i identyfikuje osoby, które dokonały zmiany.

Przejrzyj listę parametrów monitorujących tę regułę.

Monitorowanie dziennika inspekcji SAP

Wiele reguł analitycznych w rozwiązaniu Microsoft Sentinel dla aplikacji SAP używa danych dziennika inspekcji SAP. Niektóre reguły analizy wyszukują określone zdarzenia w dzienniku, podczas gdy inne korelują wskazania z kilku dzienników w celu utworzenia alertów i zdarzeń o wysokiej wierności.

Użyj następujących reguł analizy, aby monitorować wszystkie zdarzenia dziennika inspekcji w systemie SAP lub wyzwalać alerty tylko w przypadku wykrycia anomalii:

Nazwa reguły opis
SAP — brak konfiguracji w monitorze dziennika inspekcji zabezpieczeń dynamicznych Domyślnie jest uruchamiany codziennie, aby udostępnić zalecenia dotyczące konfiguracji modułu dziennika inspekcji SAP. Użyj szablonu reguły, aby utworzyć i dostosować regułę dla obszaru roboczego.
SAP — dynamiczny monitor dziennika inspekcji deterministycznej (WERSJA ZAPOZNAWCZA) Domyślnie działa co 10 minut i koncentruje się na zdarzeniach dziennika inspekcji SAP oznaczonych jako Deterministyczne. Użyj szablonu reguły, aby utworzyć i dostosować regułę dla obszaru roboczego, na przykład dla niższej liczby wyników fałszywie dodatnich.

Ta reguła wymaga deterministycznych progów alertów i reguł wykluczeń użytkowników.
SAP — dynamiczne alerty monitora dzienników inspekcji oparte na anomalii (WERSJA ZAPOZNAWCZA) Domyślnie program uruchamia co godzinę i koncentruje się na zdarzeniach SAP oznaczonych jako AnomaliesOnly, alerty dotyczące zdarzeń dziennika inspekcji SAP po wykryciu anomalii.

Ta reguła stosuje dodatkowe algorytmy uczenia maszynowego do filtrowania szumu w tle w sposób nienadzorowany.

Domyślnie większość typów zdarzeń lub identyfikatorów komunikatów SAP w dzienniku inspekcji SAP jest wysyłana do reguły analizy analitycznej monitora dzienników inspekcji opartej na anomalii opartej na anomalii (WERSJA ZAPOZNAWCZA), a łatwiejsze do zdefiniowania typów zdarzeń są wysyłane do deterministycznej reguły analizy dynamicznego monitora inspekcji deterministycznej (WERSJA ZAPOZNAWCZA). To ustawienie, wraz z innymi powiązanymi ustawieniami, można dodatkowo skonfigurować tak, aby odpowiadało wszelkim warunkom systemowemu.

Reguły monitorowania dziennika inspekcji SAP są dostarczane w ramach zawartości zabezpieczeń rozwiązania SAP Sentinel dla rozwiązania SAP i umożliwiają dalsze dostrajanie przy użyciu SAP_Dynamic_Audit_Log_Monitor_Configuration i SAP_User_Config list do obejrzenia.

Na przykład w poniższej tabeli wymieniono kilka przykładów sposobu używania listy obserwowanych SAP_Dynamic_Audit_Log_Monitor_Configuration do konfigurowania typów zdarzeń, które generują zdarzenia, zmniejszając liczbę generowanych zdarzeń.

Opcja Opis
Ustawianie ważności i wyłączanie niechcianych zdarzeń Domyślnie zarówno reguły deterministyczne, jak i reguły oparte na anomaliach tworzą alerty dla zdarzeń oznaczonych średnimi i wysokimi ważnościami.

Możesz skonfigurować ważność oddzielnie środowiska produkcyjne i nieprodukcyjne. Można na przykład ustawić zdarzenie działania debugowania jako wysoką ważność w systemach produkcyjnych i wyłączyć te same zdarzenia całkowicie w systemach nieprodukcyjnych.
Wykluczanie użytkowników według ról SAP lub profilów SAP Usługa Microsoft Sentinel dla systemu SAP pozyska profil autoryzacji użytkownika SAP, w tym bezpośrednie i pośrednie przypisania ról, grupy i profile, dzięki czemu można mówić o języku SAP w rozwiązaniu SIEM.

Możesz skonfigurować zdarzenie SAP, aby wykluczyć użytkowników na podstawie ich ról i profilów SAP. Na liście do obejrzenia dodaj role lub profile, które grupują użytkowników interfejsu RFC w kolumnie RolesTagsToExclude , obok pola Ogólne dostęp do tabeli według zdarzenia RFC . Ta konfiguracja wyzwala alerty tylko dla użytkowników, którzy nie mają tych ról.
Wykluczanie użytkowników według tagów SOC Użyj tagów, aby utworzyć własne grupowanie bez polegania na skomplikowanych definicjach SAP, a nawet bez autoryzacji SAP. Ta metoda jest przydatna w przypadku zespołów SOC, które chcą utworzyć własne grupowanie dla użytkowników systemu SAP.

Jeśli na przykład nie chcesz, aby określone konta usług były powiadamiane o ogólnym dostępie do tabel według zdarzeń RFC , ale nie można odnaleźć roli SAP ani profilu SAP, który grupuje tych użytkowników, użyj tagów w następujący sposób:
1. Dodaj tag GenTableRFCReadOK obok odpowiedniego zdarzenia na liście obserwowanych.
2. Przejdź do listy SAP_User_Config watchlist i przypisz użytkownikom interfejsu ten sam tag.
Określanie progu częstotliwości na typ zdarzenia i rolę systemową Działa jak ograniczenie prędkości. Można na przykład skonfigurować zdarzenia zmiany rekordu głównego użytkownika tak, aby wyzwalały alerty tylko wtedy, gdy w systemie produkcyjnym zaobserwowano więcej niż 12 działań. Jeśli użytkownik przekroczy limit 12 godzin — na przykład 2 zdarzenia w 10-minutowym oknie — zdarzenie zostanie wyzwolone.
Determinizm lub anomalie Jeśli znasz cechy zdarzenia, użyj funkcji deterministycznych. Jeśli nie masz pewności, jak poprawnie skonfigurować zdarzenie, zezwól na rozpoczęcie uczenia maszynowego, a następnie w razie potrzeby wprowadź kolejne aktualizacje.
Możliwości USŁUGI SOAR Usługa Microsoft Sentinel umożliwia dalsze organizowanie, automatyzowanie i reagowanie na zdarzenia utworzone przez dynamiczne alerty dziennika inspekcji SAP. Aby uzyskać więcej informacji, zobacz Automatyzacja w usłudze Microsoft Sentinel: aranżacja zabezpieczeń, automatyzacja i odpowiedź (SOAR).

Aby uzyskać więcej informacji, zobacz Dostępne listy do obejrzenia i Usługa Microsoft Sentinel dla wiadomości SAP — funkcja dynamicznego monitora dzienników inspekcji zabezpieczeń sap jest teraz dostępna! (blog).

Dostęp początkowy

Nazwa reguły opis Akcja źródłowa Taktyka
SAP — logowanie z nieoczekiwanej sieci Identyfikuje logowanie z nieoczekiwanej sieci.

Obsługa sieci na liście obserwowanych sap — Networks .
Zaloguj się do systemu zaplecza z adresu IP, który nie jest przypisany do jednej z sieci.

Źródła danych: SAPcon — dziennik inspekcji
Dostęp początkowy
SAP — atak SPNego Identyfikuje atak replay SPNego. Źródła danych: SAPcon — dziennik inspekcji Wpływ, ruch poprzeczny
SAP — próba logowania w oknie dialogowym od uprzywilejowanego użytkownika Identyfikuje próby logowania w oknie dialogowym z typem AUM przez uprzywilejowanych użytkowników w systemie SAP. Aby uzyskać więcej informacji, zobacz SAPUsersGetPrivileged. Próba zalogowania się z tego samego adresu IP do kilku systemów lub klientów w zaplanowanym przedziale czasu

Źródła danych: SAPcon — dziennik inspekcji
Wpływ, ruch poprzeczny
SAP — ataki siłowe Identyfikuje ataki siłowe na system SAP przy użyciu logowania RFC Spróbuj zalogować się z tego samego adresu IP do kilku systemów/klientów w zaplanowanym przedziale czasu przy użyciu protokołu RFC

Źródła danych: SAPcon — dziennik inspekcji
Dostęp poświadczeń
SAP — wiele logów z tego samego adresu IP Identyfikuje logowanie kilku użytkowników z tego samego adresu IP w zaplanowanym przedziale czasu.

Przypadek podrzędnego użycia: Trwałość
Zaloguj się przy użyciu kilku użytkowników za pośrednictwem tego samego adresu IP.

Źródła danych: SAPcon — dziennik inspekcji
Dostęp początkowy
SAP — wiele logów według użytkownika Identyfikuje logowania tego samego użytkownika z kilku terminali w zaplanowanym przedziale czasu.

Dostępne tylko za pośrednictwem metody Audit SAL dla systemu SAP w wersji 7.5 lub nowszej.
Zaloguj się przy użyciu tego samego użytkownika, używając różnych adresów IP.

Źródła danych: SAPcon — dziennik inspekcji
Atak przed atakiem, dostęp poświadczeń, dostęp początkowy, kolekcja

Przypadek podrzędnego użycia: Trwałość
SAP — Informational — Lifecycle — SAP Notes zostały zaimplementowane w systemie Identyfikuje implementację programu SAP Note w systemie. Zaimplementuj notatkę SAP przy użyciu programu SNOTE/TCI.

Źródła danych: SAPcon — żądania zmiany
-
SAP — (wersja zapoznawcza) AS JAVA — poufny użytkownik uprzywilejowany zalogowany Identyfikuje logowanie z nieoczekiwanej sieci.

Obsługa uprzywilejowanych użytkowników na liście obserwowanych sap — Privileged Users .
Zaloguj się do systemu zaplecza przy użyciu uprzywilejowanych użytkowników.

Źródła danych: SAPJAVAFilesLog
Dostęp początkowy
SAP — (wersja zapoznawcza) AS JAVA — logowanie z nieoczekiwanej sieci Identyfikuje logowania z nieoczekiwanej sieci.

Obsługa uprzywilejowanych użytkowników na liście obserwowanych sap — Networks .
Zaloguj się do systemu zaplecza z adresu IP, który nie jest przypisany do jednej z sieci w systemie SAP — Networks watchlist

Źródła danych: SAPJAVAFilesLog
Wstępny dostęp, uchylanie się od obrony

Eksfiltracja danych

Nazwa reguły opis Akcja źródłowa Taktyka
SAP — FTP dla nieautoryzowanych serwerów Identyfikuje połączenie FTP dla nieuwierzytelnionego serwera. Utwórz nowe połączenie FTP, na przykład przy użyciu modułu funkcji FTP_CONNECT.

Źródła danych: SAPcon — dziennik inspekcji
Odnajdywanie, dostęp początkowy, sterowanie i kontrola
SAP — niezabezpieczona konfiguracja serwerów FTP Identyfikuje niezabezpieczone konfiguracje serwera FTP, takie jak wtedy, gdy lista dozwolonych FTP jest pusta lub zawiera symbole zastępcze. Nie należy utrzymywać ani utrzymywać wartości zawierających symbole zastępcze w SAPFTP_SERVERS tabeli przy użyciu SAPFTP_SERVERS_V widoku konserwacji. (SM30)

Źródła danych: SAPcon — dziennik inspekcji
Dostęp początkowy, polecenie i kontrola
SAP — pobieranie wielu plików Identyfikuje wiele plików do pobrania dla użytkownika w określonym zakresie czasu. Pobierz wiele plików przy użyciu programu SAPGui dla programu Excel, list itd.

Źródła danych: SAPcon — dziennik inspekcji
Kolekcja, eksfiltracja, dostęp poświadczeń
SAP — wiele wykonań puli Identyfikuje wiele dla użytkownika w określonym zakresie czasu. Tworzenie i uruchamianie wielu zadań buforowania dowolnego typu przez użytkownika. (SP01)

Źródła danych: SAPcon — dziennik buforu, SAPcon — dziennik inspekcji
Kolekcja, eksfiltracja, dostęp poświadczeń
SAP — wiele wykonań wyjściowych puli Identyfikuje wiele dla użytkownika w określonym zakresie czasu. Tworzenie i uruchamianie wielu zadań buforowania dowolnego typu przez użytkownika. (SP01)

Źródła danych: SAPcon — dziennik wyjściowy buforu, SAPcon — dziennik inspekcji
Kolekcja, eksfiltracja, dostęp poświadczeń
SAP — bezpośredni dostęp do tabel poufnych za pomocą logowania RFC Identyfikuje ogólny dostęp do tabeli przez logowanie RFC.

Obsługa tabel na liście obserwowanych tabel SAP — Poufne tabele .

Dotyczy tylko systemów produkcyjnych.
Otwórz zawartość tabeli przy użyciu se11/SE16/SE16N.

Źródła danych: SAPcon — dziennik inspekcji
Kolekcja, eksfiltracja, dostęp poświadczeń
SAP — przejęcie puli Identyfikuje użytkownika drukującego żądanie buforu, które zostało utworzone przez inną osobę. Utwórz żądanie buforu przy użyciu jednego użytkownika, a następnie wyprowadź je przy użyciu innego użytkownika.

Źródła danych: SAPcon — dziennik buforu, SAPcon — dziennik wyjściowy puli, SAPcon — dziennik inspekcji
Kolekcja, eksfiltracja, polecenia i kontrolka
SAP — dynamiczne miejsce docelowe RFC Określa wykonywanie RFC przy użyciu dynamicznych miejsc docelowych.

Przypadek użycia podrzędnego: próby obejścia mechanizmów zabezpieczeń SAP
Wykonaj raport ABAP, który używa dynamicznych miejsc docelowych (cl_dynamic_destination). Na przykład DEMO_RFC_DYNAMIC_DEST.

Źródła danych: SAPcon — dziennik inspekcji
Kolekcja, Eksfiltracja
SAP — bezpośredni dostęp do tabel poufnych według logowania w oknie dialogowym Identyfikuje ogólny dostęp do tabeli za pośrednictwem logowania w oknie dialogowym. Otwórz zawartość tabeli przy użyciu polecenia SE11SE16N/SE16/.

Źródła danych: SAPcon — dziennik inspekcji
Odnajdowanie
SAP — (wersja zapoznawcza) Plik pobrany ze złośliwego adresu IP Identyfikuje pobieranie pliku z systemu SAP przy użyciu adresu IP znanego jako złośliwy. Złośliwe adresy IP są uzyskiwane z usług analizy zagrożeń. Pobierz plik ze złośliwego adresu IP.

Źródła danych: dziennik inspekcji zabezpieczeń SAP, analiza zagrożeń
Wyprowadzanie
SAP — (wersja zapoznawcza) Dane wyeksportowane z systemu produkcyjnego przy użyciu transportu Identyfikuje eksport danych z systemu produkcyjnego przy użyciu transportu. Transporty są używane w systemach deweloperskich i są podobne do żądań ściągnięcia. Ta reguła alertu wyzwala zdarzenia o średniej ważności, gdy transport zawierający dane z dowolnej tabeli jest zwalniany z systemu produkcyjnego. Reguła tworzy zdarzenie o wysokiej ważności, gdy eksport zawiera dane z poufnej tabeli. Zwolnij transport z systemu produkcyjnego.

Źródła danych: dziennik SAP CR, SAP — tabele poufne
Wyprowadzanie
SAP — (wersja zapoznawcza) Poufne dane zapisane na dysku USB Identyfikuje eksport danych SAP za pośrednictwem plików. Reguła sprawdza dane zapisane w niedawno zainstalowanym dysku USB w pobliżu wykonywania poufnej transakcji, programu poufnego lub bezpośredniego dostępu do poufnej tabeli. Eksportowanie danych SAP za pośrednictwem plików i zapisywanie ich na dysku USB.

Źródła danych: Dziennik inspekcji zabezpieczeń SAP, DeviceFileEvents (Ochrona punktu końcowego w usłudze Microsoft Defender), SAP — poufne tabele, SAP — poufne transakcje, SAP — programy poufne
Wyprowadzanie
SAP — (wersja zapoznawcza) Drukowanie potencjalnie poufnych danych Identyfikuje żądanie lub rzeczywiste drukowanie potencjalnie poufnych danych. Dane są uznawane za poufne, jeśli użytkownik uzyskuje dane w ramach poufnej transakcji, wykonywania poufnego programu lub bezpośredniego dostępu do poufnej tabeli. Drukuj lub żądaj drukowania poufnych danych.

Źródła danych: dziennik inspekcji zabezpieczeń SAP, dzienniki buforu SAP, SAP — poufne tabele, SAP — programy poufne
Wyprowadzanie
SAP — (wersja zapoznawcza) Duża liczba eksportowanych potencjalnie poufnych danych Identyfikuje eksport dużej ilości danych za pośrednictwem plików znajdujących się w pobliżu wykonywania poufnej transakcji, programu poufnego lub bezpośredniego dostępu do poufnej tabeli. Eksportowanie dużej ilości danych za pośrednictwem plików.

Źródła danych: dziennik inspekcji zabezpieczeń SAP, SAP — tabele poufne, SAP — poufne transakcje, SAP — programy poufne
Wyprowadzanie

Trwałości

Nazwa reguły opis Akcja źródłowa Taktyka
SAP — aktywacja lub dezaktywacja usługi ICF Identyfikuje aktywację lub dezaktywację usług ICF. Aktywowanie usługi przy użyciu interfejsu SICF.

Źródła danych: SAPcon — dziennik danych tabeli
Sterowanie i sterowanie, ruch boczny, trwałość
SAP — przetestowany moduł funkcji Identyfikuje testowanie modułu funkcji. Przetestuj moduł funkcji przy użyciu polecenia SE37 / SE80.

Źródła danych: SAPcon — dziennik inspekcji
Zbieranie, uchylanie się od obrony, ruch poprzeczny
SAP — (WERSJA ZAPOZNAWCZA) HANA DB — akcje administratora użytkowników Identyfikuje akcje administracyjne użytkowników. Tworzenie, aktualizowanie lub usuwanie użytkownika bazy danych.

Źródła danych: Agent systemu Linux — Dziennik systemu*
Eskalacja uprawnień
SAP — nowe programy obsługi usług ICF Identyfikuje tworzenie programów obsługi ICF. Przypisz nową procedurę obsługi do usługi przy użyciu interfejsu SICF.

Źródła danych: SAPcon — dziennik inspekcji
Sterowanie i sterowanie, ruch boczny, trwałość
SAP — nowe usługi ICF Identyfikuje tworzenie usług ICF. Tworzenie usługi przy użyciu interfejsu SICF.

Źródła danych: SAPcon — dziennik danych tabeli
Sterowanie i sterowanie, ruch boczny, trwałość
SAP — wykonywanie przestarzałego lub niezabezpieczonego modułu funkcji Identyfikuje wykonywanie przestarzałego lub niezabezpieczonego modułu funkcji ABAP.

Obsługa przestarzałych funkcji na liście obserwowanych modułów funkcji SAP — przestarzałe. Pamiętaj, aby aktywować zmiany rejestrowania tabel dla EUFUNC tabeli w zapleczu. (SE13)

Dotyczy tylko systemów produkcyjnych.
Uruchom przestarzały lub niezabezpieczony moduł funkcji bezpośrednio przy użyciu programu SE37.

Źródła danych: SAPcon — dziennik danych tabeli
Odnajdywanie, sterowanie i sterowanie
SAP — wykonywanie przestarzałego/niezabezpieczonego programu Identyfikuje wykonywanie przestarzałego lub niezabezpieczonego programu ABAP.

Obsługa przestarzałych programów na liście obserwowanych programów SAP — Przestarzałe programy .

Dotyczy tylko systemów produkcyjnych.
Uruchamianie programu bezpośrednio przy użyciu programu SE38/SA38/SE80 lub przy użyciu zadania w tle.

Źródła danych: SAPcon — dziennik inspekcji
Odnajdywanie, sterowanie i sterowanie
SAP — wiele zmian haseł według użytkownika Identyfikuje wiele zmian haseł według użytkownika. Zmienianie hasła użytkownika

Źródła danych: SAPcon — dziennik inspekcji
Dostęp poświadczeń
SAP — (wersja zapoznawcza) AS JAVA — użytkownik tworzy i używa nowego użytkownika Identyfikuje tworzenie lub manipulowanie użytkownikami przez administratorów w środowisku SAP AS Java. Zaloguj się do systemu zaplecza przy użyciu utworzonych lub manipulowanych użytkowników.

Źródła danych: SAPJAVAFilesLog
Trwałość

Próby obejścia mechanizmów zabezpieczeń SAP

Nazwa reguły opis Akcja źródłowa Taktyka
SAP — zmiana konfiguracji klienta Określa zmiany konfiguracji klienta, takie jak rola klienta lub tryb rejestrowania zmian. Przeprowadź zmiany konfiguracji klienta przy użyciu SCC4 kodu transakcji.

Źródła danych: SAPcon — dziennik inspekcji
Uchylanie się od obrony, eksfiltracja, trwałość
SAP — dane uległy zmianie podczas działania debugowania Identyfikuje zmiany danych środowiska uruchomieniowego podczas działania debugowania.

Przypadek podrzędnego użycia: Trwałość
1. Aktywuj debugowanie ("/h").
2. Wybierz pole do zmiany i zaktualizuj jego wartość.

Źródła danych: SAPcon — dziennik inspekcji
Wykonywanie, ruch boczny
SAP — dezaktywacja dziennika inspekcji zabezpieczeń Identyfikuje dezaktywację dziennika inspekcji zabezpieczeń, Wyłącz dziennik inspekcji zabezpieczeń przy użyciu polecenia SM19/RSAU_CONFIG.

Źródła danych: SAPcon — dziennik inspekcji
Eksfiltracja, uchylanie się od obrony, trwałość
SAP — wykonywanie poufnego programu ABAP Identyfikuje bezpośrednie wykonywanie poufnego programu ABAP.

Obsługa programów ABAP na liście obserwowanych programów SAP — sensitive ABAP Programs .
Uruchom program bezpośrednio przy użyciu polecenia SE38SE80/SA38/.

Źródła danych: SAPcon — dziennik inspekcji
Eksfiltracja, ruch poprzeczny, wykonywanie
SAP — wykonywanie poufnego kodu transakcji Identyfikuje wykonywanie poufnego kodu transakcji.

Obsługa kodów transakcji na liście obserwowanych kodów transakcji sap — poufne kody transakcji.
Uruchom poufny kod transakcji.

Źródła danych: SAPcon — dziennik inspekcji
Odnajdywanie, wykonywanie
SAP — wykonywanie modułu funkcji poufnej Identyfikuje wykonywanie poufnego modułu funkcji ABAP.

Przypadek podrzędnego użycia: Trwałość

Dotyczy tylko systemów produkcyjnych.

Obsługa funkcji poufnych na liście obserwowanych modułów funkcji SAP — Sensitive Function Modules i pamiętaj, aby aktywować zmiany rejestrowania tabel w zapleczu dla tabeli EUFUNC. (SE13)
Uruchom moduł funkcji poufnej bezpośrednio przy użyciu programu SE37.

Źródła danych: SAPcon — dziennik danych tabeli
Odnajdywanie, sterowanie i sterowanie
SAP — (WERSJA ZAPOZNAWCZA) BAZA danych HANA — zmiany zasad dziennika inspekcji Identyfikuje zmiany zasad dzienników inspekcji bazy danych HANA. Utwórz lub zaktualizuj istniejące zasady inspekcji w definicjach zabezpieczeń.

Źródła danych: Agent systemu Linux — Dziennik systemu
Ruch poprzeczny, uchylanie się od obrony, trwałość
SAP — (WERSJA ZAPOZNAWCZA) BAZA danych HANA — dezaktywacja dziennika inspekcji Określa dezaktywację dziennika inspekcji bazy danych HANA. Dezaktywuj dziennik inspekcji w definicji zabezpieczeń bazy danych HANA.

Źródła danych: Agent systemu Linux — Dziennik systemu
Trwałość, ruch poprzeczny, uchylanie się od obrony
SAP — nieautoryzowane zdalne wykonywanie poufnego modułu funkcji Wykrywa nieautoryzowane wykonania poufnych maszyn wirtualnych, porównując działanie z profilem autoryzacji użytkownika, pomijając ostatnio zmienione autoryzacje.

Obsługa modułów funkcji na liście obserwowanych modułów funkcji SAP — Sensitive Function Modules .
Uruchamianie modułu funkcji przy użyciu protokołu RFC.

Źródła danych: SAPcon — dziennik inspekcji
Wykonywanie, ruch poprzeczny, odnajdywanie
SAP — zmiana konfiguracji systemu Identyfikuje zmiany konfiguracji systemu. Dostosuj opcje zmiany systemu lub modyfikację SE06 składnika oprogramowania przy użyciu kodu transakcji.

Źródła danych: SAPcon — dziennik inspekcji
Eksfiltracja, uchylanie się od obrony, trwałość
SAP — działania debugowania Identyfikuje wszystkie działania związane z debugowaniem.

Przypadek podrzędnego użycia: Trwałość
Aktywuj debugowanie ("/h") w systemie, debugowanie aktywnego procesu, dodawanie punktu przerwania do kodu źródłowego itd.

Źródła danych: SAPcon — dziennik inspekcji
Odnajdowanie
SAP — zmiana konfiguracji dziennika inspekcji zabezpieczeń Identyfikuje zmiany w konfiguracji dziennika inspekcji zabezpieczeń Zmień dowolną konfigurację dziennika inspekcji zabezpieczeń przy użyciu polecenia SM19/RSAU_CONFIG, na przykład filtry, stan, tryb nagrywania itd.

Źródła danych: SAPcon — dziennik inspekcji
Trwałość, eksfiltracja, uchylanie się od obrony
SAP — transakcja jest odblokowana Identyfikuje odblokowywanie transakcji. Odblokuj kod transakcji przy użyciu polecenia SM01SM01_CUS/SM01_DEV/.

Źródła danych: SAPcon — dziennik inspekcji
Trwałość, wykonywanie
SAP — dynamiczny program ABAP Określa wykonywanie dynamicznego programowania ABAP. Na przykład gdy kod ABAP został dynamicznie utworzony, zmieniony lub usunięty.

Obsługa wykluczonych kodów transakcji na liście kontrolnej SAP — Transakcje dla generacji ABAP.
Utwórz raport ABAP, który używa poleceń generowania programu ABAP, takich jak INSERT REPORT, a następnie uruchom raport.

Źródła danych: SAPcon — dziennik inspekcji
Odnajdywanie, sterowanie i kontrola, wpływ

Podejrzane operacje uprawnień

Nazwa reguły opis Akcja źródłowa Taktyka
SAP — zmiana w poufnym uprzywilejowanym użytkowniku Identyfikuje zmiany poufnych uprzywilejowanych użytkowników.

Obsługa uprzywilejowanych użytkowników na liście obserwowanych sap — Privileged Users .
Zmień szczegóły użytkownika/autoryzacje przy użyciu polecenia SU01.

Źródła danych: SAPcon — dziennik inspekcji
Eskalacja uprawnień, dostęp poświadczeń
SAP — (WERSJA ZAPOZNAWCZA) HANA DB — Przypisywanie autoryzacji administratora Identyfikuje uprawnienia administratora lub przypisanie roli. Przypisz użytkownika z dowolną rolą lub uprawnieniami administratora.

Źródła danych: Agent systemu Linux — Dziennik systemu
Eskalacja uprawnień
SAP — zalogowany poufny użytkownik uprzywilejowany Identyfikuje logowanie w oknie dialogowym poufnego uprzywilejowanego użytkownika.

Obsługa uprzywilejowanych użytkowników na liście obserwowanych sap — Privileged Users .
Zaloguj się do systemu zaplecza przy użyciu SAP* lub innego uprzywilejowanego użytkownika.

Źródła danych: SAPcon — dziennik inspekcji
Dostęp początkowy, dostęp poświadczeń
SAP — poufny użytkownik uprzywilejowany wprowadza zmianę w innym użytkowniku Identyfikuje zmiany poufnych, uprzywilejowanych użytkowników w innych użytkownikach. Zmień szczegóły użytkownika/autoryzacje przy użyciu protokołu SU01.

Źródła danych: SAPcon — dziennik inspekcji
Eskalacja uprawnień, dostęp poświadczeń
SAP — zmiana hasła użytkowników poufnych i logowanie Identyfikuje zmiany haseł dla uprzywilejowanych użytkowników. Zmień hasło uprzywilejowanego użytkownika i zaloguj się do systemu.
Obsługa uprzywilejowanych użytkowników na liście obserwowanych sap — Privileged Users .

Źródła danych: SAPcon — dziennik inspekcji
Wpływ, sterowanie i kontrola, eskalacja uprawnień
SAP — użytkownik tworzy i używa nowego użytkownika Identyfikuje użytkownika tworzącego i używającego innych użytkowników.

Przypadek podrzędnego użycia: Trwałość
Utwórz użytkownika przy użyciu protokołu SU01, a następnie zaloguj się przy użyciu nowo utworzonego użytkownika i tego samego adresu IP.

Źródła danych: SAPcon — dziennik inspekcji
Odnajdywanie, atak wstępny, dostęp początkowy
SAP — odblokowywanie użytkowników i korzystanie z innych użytkowników Identyfikuje użytkownika, który jest odblokowany i używany przez innych użytkowników.

Przypadek podrzędnego użycia: Trwałość
Odblokuj użytkownika przy użyciu protokołu SU01, a następnie zaloguj się przy użyciu odblokowanego użytkownika i tego samego adresu IP.

Źródła danych: SAPcon — dziennik inspekcji, SAPcon — dziennik zmian dokumentów
Odnajdywanie, atak wstępny, dostęp początkowy, ruch boczny
SAP — przypisywanie profilu poufnego Identyfikuje nowe przypisania profilu poufnego dla użytkownika.

Obsługa poufnych profilów na liście obserwowanych profilów sap — poufne profile.
Przypisz profil do użytkownika przy użyciu polecenia SU01.

Źródła danych: SAPcon — dziennik zmian dokumentów
Eskalacja uprawnień
SAP — przypisywanie roli poufnej Identyfikuje nowe przypisania dla roli poufnej dla użytkownika.

Obsługa ról poufnych na liście obserwowanych ról poufnych SAP — role poufne .
Przypisz rolę do użytkownika przy użyciu polecenia SU01 / PFCG.

Źródła danych: SAPcon — dziennik zmian dokumentów, dziennik inspekcji
Eskalacja uprawnień
SAP — (WERSJA ZAPOZNAWCZA) Przypisanie autoryzacji krytycznych — nowa wartość autoryzacji Identyfikuje przypisanie wartości obiektu autoryzacji krytycznej dla nowego użytkownika.

Obsługa krytycznych obiektów autoryzacji na liście obserwowanych obiektów autoryzacji krytycznej SAP - Critical Authorization Objects .
Przypisz nowy obiekt autoryzacji lub zaktualizuj istniejący obiekt w roli przy użyciu polecenia PFCG.

Źródła danych: SAPcon — dziennik zmian dokumentów
Eskalacja uprawnień
SAP — przypisanie autoryzacji krytycznych — nowe przypisanie użytkownika Identyfikuje przypisanie wartości obiektu autoryzacji krytycznej dla nowego użytkownika.

Obsługa krytycznych obiektów autoryzacji na liście obserwowanych obiektów autoryzacji krytycznej SAP - Critical Authorization Objects .
Przypisz nowego użytkownika do roli, która przechowuje krytyczne wartości autoryzacji przy użyciu polecenia SU01/PFCG.

Źródła danych: SAPcon — dziennik zmian dokumentów
Eskalacja uprawnień
SAP — zmiany ról poufnych Identyfikuje zmiany w rolach poufnych.

Obsługa ról poufnych na liście obserwowanych ról poufnych SAP — role poufne .
Zmienianie roli przy użyciu pfCG.

Źródła danych: SAPcon — dziennik zmian dokumentów, SAPcon — dziennik inspekcji
Wpływ, Eskalacja uprawnień, Trwałość

Dostępne listy do obejrzenia

W poniższej tabeli wymieniono listy obserwowanych dostępne dla rozwiązania Microsoft Sentinel dla aplikacji SAP oraz pola na każdej liście obserwowanych.

Te listy kontrolne zawierają konfigurację rozwiązania Microsoft Sentinel dla aplikacji SAP. Listy kontrolne sap są dostępne w repozytorium GitHub usługi Microsoft Sentinel.

Nazwa listy obserwowanych Opis i pola
SAP — krytyczne obiekty autoryzacji Obiekt Autoryzacje krytyczne, w którym należy zarządzać przypisaniami.

- AuthorizationObject: obiekt autoryzacji SAP, taki jak S_DEVELOP, S_TCODElub Table TOBJ
- AuthorizationField: pole autoryzacji SAP, takie jak OBJTYP lub TCD
- AuthorizationValue: wartość pola autoryzacji SAP, taka jak DEBUG
- ActivityField : pole działania SAP. W większości przypadków ta wartość to ACTVT. W przypadku obiektów autoryzacji bez działania lub tylko z polem Działanie wypełnionym wartością NOT_IN_USE.
- Działanie: działanie SAP zgodnie z obiektem autoryzacji, takie jak: 01: Create; : Change; 0302: Display itd.
- Opis: opis obiektu autoryzacji krytycznej.
SAP — wykluczone sieci W przypadku wewnętrznej konserwacji wykluczonych sieci, takich jak ignorowanie dyspozytorów sieci Web, serwerów terminali itd.

-Sieć: adres IP sieci lub zakres, taki jak 111.68.128.0/17.
-Opis: opis zrozumiały dla sieci.
Wykluczeni użytkownicy oprogramowania SAP Użytkownicy systemu, którzy są zalogowani do systemu i muszą być ignorowani. Na przykład alerty dotyczące wielu logów przez tego samego użytkownika.

- Użytkownik: użytkownik SAP
-Opis: opis opisowy użytkownika.
SAP — Sieci Sieci wewnętrzne i konserwacyjne do identyfikacji nieautoryzowanych logowań.

- Sieć: adres IP sieci lub zakres, taki jak 111.68.128.0/17
- Opis: opis zrozumiały dla sieci.
SAP — uprzywilejowani użytkownicy Uprzywilejowani użytkownicy, którzy są objęci dodatkowymi ograniczeniami.

- Użytkownik: użytkownik ABAP, taki jak DDIC lub SAP
- Opis: opis opisowy użytkownika.
SAP — poufne programy ABAP Poufne programy ABAP (raporty), gdzie wykonywanie powinno być zarządzane.

- ABAPProgram: program ABAP lub raport, taki jak RSPFLDOC
- Opis: Opis programu.
SAP — moduł funkcji poufnej Sieci wewnętrzne i konserwacyjne do identyfikacji nieautoryzowanych logowań.

- FunctionModule: moduł funkcji ABAP, taki jak RSAU_CLEAR_AUDIT_LOG
- Opis: opis modułu.
SAP — profile poufne Profile poufne, w których należy zarządzać przypisaniami.

- Profil: profil autoryzacji SAP, taki jak SAP_ALL lub SAP_NEW
- Opis: opis opisowy profilu.
SAP — tabele poufne Poufne tabele, w których dostęp powinien być regulowany.

- Tabela: tabela słownika ABAP, taka jak USR02 lub PA008
- Opis: opis opisowej tabeli.
SAP — role poufne Role poufne, w których należy określać przypisanie.

- Rola: Rola autoryzacji SAP, taka jak SAP_BC_BASIS_ADMIN
- Opis: opis znaczącej roli.
SAP — poufne transakcje Poufne transakcje, w których należy zarządzać wykonywaniem.

- TransactionCode: kod transakcji SAP, taki jak RZ11
- Opis: Opis kodu.
SAP — Systemy Opisuje krajobraz systemów SAP zgodnie z rolą, użyciem i konfiguracją.

- SystemID: identyfikator systemu SAP (SYSID)
- SystemRole: rola systemu SAP, jedna z następujących wartości: Sandbox, , DevelopmentQuality Assurance, TrainingProduction
- SystemUsage: użycie systemu SAP, jedna z następujących wartości: ERP, , BWSolman, GatewayEnterprise Portal
- InterfaceAttributes: opcjonalny parametr dynamiczny do użycia w podręcznikach.
SAPSystemParameters Parametry do obserwowana pod kątem podejrzanych zmian konfiguracji. Ta lista do obejrzenia jest wstępnie wypełniana zalecanymi wartościami (zgodnie z najlepszymi rozwiązaniami systemu SAP) i można rozszerzyć listę obserwowanych, aby zawierała więcej parametrów. Jeśli nie chcesz otrzymywać alertów dla parametru, ustaw wartość EnableAlerts false.

- Nazwa parametru: nazwa parametru.
- Komentarz: opis standardowego parametru SAP.
- EnableAlerts: określa, czy włączyć alerty dla tego parametru. Wartości to true i false.
- Opcja: definiuje, w którym przypadku wyzwalać alert: jeśli wartość parametru jest większa lub równa (), mniejsza lub równa (GE) lub równa (EQLE)
Jeśli na przykład login/fails_to_user_lock parametr SAP jest ustawiony na LE wartość (mniejszą lub równą), a wartość 5, gdy usługa Microsoft Sentinel wykryje zmianę tego konkretnego parametru, porównuje nowo zgłoszoną wartość i oczekiwaną wartość. Jeśli nowa wartość to 4, usługa Microsoft Sentinel nie wyzwoli alertu. Jeśli nowa wartość to 6, usługa Microsoft Sentinel wyzwala alert.
- ProductionSeverity: ważność zdarzenia dla systemów produkcyjnych.
- ProductionValues: dozwolone wartości dla systemów produkcyjnych.
- NonProdSeverity: ważność zdarzenia dla systemów nieprodukcyjnych.
- NonProdValues: Dozwolone wartości dla systemów nieprodukcyjnych.
SAP — wykluczeni użytkownicy Użytkownicy systemu, którzy są zalogowani i muszą być ignorowani, na przykład w przypadku logowania wielokrotnego według alertu użytkownika.

- Użytkownik: użytkownik SAP
- Opis: opis opisowy użytkownika
SAP — wykluczone sieci Obsługa wewnętrznych, wykluczonych sieci do ignorowania dyspozytorów sieci Web, serwerów terminali itd.

- Sieć: adres IP sieci lub zakres, taki jak 111.68.128.0/17
- Opis: opis znaczącej sieci
SAP — przestarzałe moduły funkcji Przestarzałe moduły funkcji, których wykonywanie powinno być zarządzane.

- FunctionModule: moduł funkcji ABAP, taki jak TH_SAPREL
- Opis: opis zrozumiałego modułu funkcji
SAP — przestarzałe programy Przestarzałe programy ABAP (raporty), których wykonywanie powinno być zarządzane.

- ABAPProgram:ABAP Program, taki jak TH_ RSPFLDOC
- Opis: opis znaczącego programu ABAP
SAP — transakcje dla generacji ABAP Transakcje dla generacji ABAP, których wykonywanie powinno być zarządzane.

- TransactionCode: kod transakcji, taki jak SE11.
- Opis: opis zrozumiałego kodu transakcji
SAP — serwery FTP Serwery FTP do identyfikacji nieautoryzowanych połączeń.

- Klient: taki jak 100.
- FTP_Server_Name: nazwa serwera FTP, na przykładhttp://contoso.com/
-FTP_Server_Port:port serwera FTP, taki jak 22.
- Opisopis opisowy serwera FTP
SAP_Dynamic_Audit_Log_Monitor_Configuration Skonfiguruj alerty dziennika inspekcji SAP, przypisując każdemu identyfikatorowi komunikatu poziom ważności zgodnie z wymaganiami dla roli systemu (produkcyjnej, nieprodukcyjnej). Ta lista obserwowanych zawiera szczegółowe informacje o wszystkich dostępnych identyfikatorach komunikatów dziennika inspekcji systemu SAP w warstwie Standardowa. Listę do obejrzenia można rozszerzyć, aby zawierała dodatkowe identyfikatory komunikatów, które można tworzyć samodzielnie przy użyciu ulepszeń protokołu ABAP w systemach SAP NetWeaver. Ta lista do obejrzenia umożliwia również skonfigurowanie wyznaczonego zespołu do obsługi każdego typu zdarzeń oraz wykluczanie użytkowników według ról SAP, profilów SAP lub tagów z listy obserwowanych SAP_User_Config . Ta lista do obejrzenia jest jednym z podstawowych składników używanych do konfigurowania wbudowanych reguł analizy SAP na potrzeby monitorowania dziennika inspekcji SAP. Aby uzyskać więcej informacji, zobacz Monitorowanie dziennika inspekcji SAP.

- MessageID: identyfikator komunikatu SAP lub typ zdarzenia, taki jak AUD (zmiany rekordu głównego użytkownika) lub AUB (zmiany autoryzacji).
- DetailedDescription: opis z włączonym znacznikiem markdown, który ma być wyświetlany w okienku incydentu.
- ProductionSeverity: żądana ważność zdarzenia, która ma zostać utworzona dla systemów Highprodukcyjnych , Medium. Można ustawić jako Disabled.
- NonProdSeverity: żądana ważność zdarzenia, która ma zostać utworzona dla systemów Highnieprodukcyjnych , Medium. Można ustawić jako Disabled.
- ProductionThreshold liczba zdarzeń "na godzinę", które mają być traktowane jako podejrzane dla systemów 60produkcyjnych .
- NonProdThreshold liczba zdarzeń "na godzinę", które mają być traktowane jako podejrzane dla systemów 10nieprodukcyjnych.
- RolesTagsToExclude: to pole akceptuje nazwę roli SAP, nazwy profilów SAP lub tagi z listy SAP_User_Config watchlist. Są one następnie używane do wykluczania skojarzonych użytkowników z określonych typów zdarzeń. Zobacz opcje tagów ról na końcu tej listy.
- RuleType: użyj Deterministic dla typu zdarzenia, który ma zostać wysłany do reguły SAP — dynamicznego monitora dzienników inspekcji deterministycznej, lub AnomaliesOnly aby to zdarzenie było objęte regułą SAP - Dynamic Anomaly based Audit Log Monitor Alerts (WERSJA ZAPOZNAWCZA). Aby uzyskać więcej informacji, zobacz Monitorowanie dziennika inspekcji SAP.
- TeamsChannelID: opcjonalny parametr dynamiczny do użycia w podręcznikach.
- DestinationEmail: opcjonalny parametr dynamiczny do użycia w podręcznikach.

W polu RolesTagsToExclude :
— Jeśli wyświetlasz listę ról SAP lub profilów SAP, wyklucza to wszystkich użytkowników z wymienionych ról lub profilów z tych typów zdarzeń dla tego samego systemu SAP. Jeśli na przykład zdefiniujesz BASIC_BO_USERS rolę ABAP dla typów zdarzeń związanych z RFC, użytkownicy obiektów biznesowych nie będą wyzwalać zdarzeń podczas wykonywania ogromnych wywołań RFC.
— Tagowanie typu zdarzenia jest podobne do określania ról lub profilów SAP, ale tagi można tworzyć w obszarze roboczym, więc zespoły SOC mogą wykluczać użytkowników według działań bez względu na zespół SAP BASIS. Na przykład identyfikatory komunikatów inspekcji AUB (zmiany autoryzacji) i AUD (zmiany rekordu głównego użytkownika) są przypisane do tagu MassiveAuthChanges . Użytkownicy przypisani do tego tagu są wykluczeni z testów dla tych działań. Uruchomienie funkcji obszaru roboczego SAPAuditLogConfigRecommend powoduje utworzenie listy zalecanych tagów, które mają być przypisane do użytkowników, takich jak Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist.
SAP_User_Config Umożliwia dostrajanie alertów przez wykluczenie /w tym użytkowników w określonych kontekstach i jest również używane do konfigurowania wbudowanych reguł analizy SAP na potrzeby monitorowania dziennika inspekcji SAP. Aby uzyskać więcej informacji, zobacz Monitorowanie dziennika inspekcji SAP.

- SAPUser: użytkownik SAP
- Tagi: tagi służą do identyfikowania użytkowników w odniesieniu do określonych działań. Na przykład dodanie tagów ["GenericTablebyRFCOK" do użytkownika SENTINEL_SRV uniemożliwi utworzenie zdarzeń związanych z RFC dla tego konkretnego użytkownika
Inne identyfikatory użytkowników usługi Active Directory
— Identyfikator użytkownika usługi AD
— Lokalny identyfikator SID użytkownika
- Główna nazwa użytkownika

Dostępne podręczniki

Podręczniki dostarczane przez rozwiązanie Microsoft Sentinel dla aplikacji SAP ułatwiają automatyzowanie obciążeń reagowania na zdarzenia SAP, co poprawia wydajność i skuteczność operacji zabezpieczeń.

W tej sekcji opisano wbudowane podręczniki analityczne dostarczane razem z rozwiązaniem Microsoft Sentinel dla aplikacji SAP.

Nazwa podręcznika Parametry Połączenia
Reagowanie na zdarzenia SAP — blokowanie użytkownika z usługi Teams — podstawowa — SAP-SOAP-User-Password
- SAP-SOAP-Username
- SOAPApiBasePath
- DefaultEmail
- TeamsChannel
— Microsoft Sentinel
— Microsoft Teams
Reagowanie na zdarzenia SAP — blokowanie użytkownika z usługi Teams — zaawansowane - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
— Microsoft Sentinel
— Dzienniki usługi Azure Monitor
— Office 365 Outlook
— Microsoft Entra ID
— Azure Key Vault
— Microsoft Teams
Reagowanie na zdarzenia SAP — ponowne włączanie rejestrowania inspekcji po dezaktywowaniu - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
— Microsoft Sentinel
— Azure Key Vault
— Dzienniki usługi Azure Monitor
— Microsoft Teams

W poniższych sekcjach opisano przykładowe przypadki użycia dla każdego z podanych podręczników w scenariuszu, w którym zdarzenie ostrzegało o podejrzanych działaniach w jednym z systemów SAP, w których użytkownik próbuje wykonać jedną z tych wysoce poufnych transakcji.

W fazie klasyfikacji zdarzeń decydujesz się na podjęcie działań przeciwko temu użytkownikowi, wypuszczając go z systemów SAP ERP lub BTP, a nawet z identyfikatora Entra firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Automatyzowanie reagowania na zagrożenia za pomocą podręczników w usłudze Microsoft Sentinel

Proces wdrażania standardowych aplikacji logiki jest ogólnie bardziej złożony niż w przypadku aplikacji logiki Zużycie. Utworzyliśmy serię skrótów, które ułatwiają szybkie wdrażanie ich z repozytorium GitHub usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Przewodnik instalacji krok po kroku.

Napiwek

Obejrzyj folder podręczników SAP w repozytorium GitHub, aby uzyskać więcej podręczników, gdy staną się dostępne. Istnieje również krótki film wprowadzający (link zewnętrzny), który pomoże Ci rozpocząć pracę.

Blokowanie użytkownika z jednego systemu

Utwórz regułę automatyzacji, aby wywołać użytkownika blokady z usługi Teams — podstawowy podręcznik za każdym razem, gdy wykryto poufne wykonanie transakcji przez nieautoryzowanego użytkownika. Ten podręcznik używa funkcji kart adaptacyjnych usługi Teams do żądania zatwierdzenia przed jednostronnym zablokowaniem użytkownika.

Aby uzyskać więcej informacji, zobacz Od zera do pokrycia zabezpieczeń bohatera za pomocą usługi Microsoft Sentinel dla krytycznych sygnałów zabezpieczeń SAP — usłyszysz mnie SOAR! Część 1 (wpis w blogu SAP).

Użytkownik blokady z aplikacji Teams — podstawowy podręcznik jest podręcznikiem w warstwie Standardowa, a podręczniki w warstwie Standardowa są ogólnie bardziej złożone do wdrożenia niż podręczniki Zużycie.

Utworzyliśmy serię skrótów, które ułatwiają szybkie wdrażanie ich z repozytorium GitHub usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Przewodnik instalacji krok po kroku i Obsługiwane typy aplikacji logiki.

Blokowanie użytkownika z wielu systemów

Użytkownik blokady z aplikacji Teams — zaawansowany podręcznik realizuje ten sam cel, ale jest przeznaczony dla bardziej złożonych scenariuszy, dzięki czemu pojedynczy podręcznik może być używany w wielu systemach SAP, z których każdy ma własny identyfikator SID systemu SAP.

Podręcznik Blokada użytkownika z usługi Teams — zaawansowany bezproblemowo zarządza połączeniami ze wszystkimi tymi systemami i ich poświadczeniami przy użyciu opcjonalnego parametru dynamicznego InterfaceAttributes na liście kontrolnej SAP — Systems i usłudze Azure Key Vault.

Blokada użytkownika z aplikacji Teams — zaawansowany podręcznik umożliwia również komunikowanie się ze stronami w procesie zatwierdzania przy użyciu wiadomości z możliwością działania programu Outlook razem z usługą Teams, przy użyciu parametrów TeamsChannelID i DestinationEmail na liście do obejrzenia SAP_Dynamic_Audit_Log_Monitor_Configuration.

Aby uzyskać więcej informacji, zobacz Od zera do pokrycia zabezpieczeń elementów hero w usłudze Microsoft Sentinel dla krytycznych sygnałów zabezpieczeń SAP — część 2 (wpis w blogu SAP).

Zapobieganie dezaktywacji rejestrowania inspekcji

Być może obawiasz się również, że dziennik inspekcji SAP, który jest jednym z Twoich źródeł danych zabezpieczeń, jest dezaktywowany. Zalecamy utworzenie reguły automatyzacji opartej na systemie SAP — dezaktywacja reguły analizy dzienników inspekcji zabezpieczeń w celu wywołania ponownego rejestrowania inspekcji po dezaktywowaniu podręcznika, aby upewnić się, że dziennik inspekcji SAP nie jest dezaktywowany .

Podręcznik SAP — dezaktywacja dziennika inspekcji zabezpieczeń korzysta również z usługi Teams, informując personel ds. zabezpieczeń po fakcie. Ważność przestępstwa i pilność jego ograniczenia wskazują, że natychmiastowe działania można podjąć bez wymaganego zatwierdzenia.

Ponieważ podręcznik SAP — dezaktywacja dziennika inspekcji zabezpieczeń używa również usługi Azure Key Vault do zarządzania poświadczeniami, konfiguracja podręcznika jest podobna do konfiguracji podręcznika Blokada użytkownika z usługi Teams — zaawansowany podręcznik. Aby uzyskać więcej informacji, zobacz Od zera do pokrycia zabezpieczeń elementów hero w usłudze Microsoft Sentinel dla krytycznych sygnałów zabezpieczeń SAP — część 3 (wpis w blogu SAP).

Aby uzyskać więcej informacji, zobacz Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP.