Monitorowanie i śledzenie aktywności inspekcji użytkowników w systemach SAP
W tym artykule opisano dziennik inspekcji zabezpieczeń i skoroszyt dostępu początkowego używany do monitorowania i śledzenia aktywności inspekcji użytkowników w systemach SAP. Użyj skoroszytu, aby uzyskać wgląd w działania inspekcji użytkowników, lepiej zabezpieczyć systemy SAP i uzyskać szybki wgląd w podejrzane akcje. Przejdź do szczegółów podejrzanych zdarzeń zgodnie z potrzebami.
Użyj skoroszytu w celu ciągłego monitorowania systemów SAP lub przejrzenia systemów po zdarzeniu zabezpieczeń lub innej podejrzanej aktywności.
Na przykład:
Zawartość w tym artykule jest przeznaczona dla twojego zespołu ds. zabezpieczeń .
Wymagania wstępne
Aby można było rozpocząć korzystanie z dziennika inspekcji zabezpieczeń i skoroszytu dostępu początkowego, musisz mieć następujące elementy:
Zainstalowane rozwiązanie usługi Microsoft Sentinel dla oprogramowania SAP i skonfigurowany łącznik danych. Aby uzyskać więcej informacji, zobacz Deploy a Microsoft Sentinel solution for SAP applications (Wdrażanie rozwiązania usługi Microsoft Sentinel dla aplikacji SAP).
Dziennik inspekcji zabezpieczeń i skoroszyt dostępu początkowego sap — zainstalowany w obszarze roboczym usługi Log Analytics włączony dla usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Wizualizowanie i monitorowanie danych przy użyciu skoroszytów w usłudze Microsoft Sentinel.
Ważne
Dziennik inspekcji zabezpieczeń i skoroszyt dostępu początkowego SAP — jest hostowany przez obszar roboczy, w którym zainstalowano rozwiązanie Microsoft Sentinel dla aplikacji SAP. Domyślnie zakłada się, że zarówno system SAP, jak i dane SOC znajdują się w obszarze roboczym hostujący skoroszyt.
Jeśli dane SOC znajdują się w innym obszarze roboczym niż obszar roboczy hostujący skoroszyt, pamiętaj o dołączeniu subskrypcji dla tego obszaru roboczego i wybraniu obszaru roboczego SOC z obszaru roboczego inspekcji i aktywności platformy Azure.
Co najmniej jedno zdarzenie w obszarze roboczym usługi Microsoft Sentinel z co najmniej jednym wpisem dostępnym
SecurityIncident
w tabeli. Nie musi to być zdarzenie SAP i możesz wygenerować zdarzenie demonstracyjne przy użyciu podstawowej reguły analizy, jeśli nie masz innego zdarzenia.Jeśli dane firmy Microsoft Entra znajduje się w innym obszarze roboczym usługi Log Analytics, upewnij się, że wybrano odpowiednie subskrypcje i obszary robocze w górnej części skoroszytu w obszarze Inspekcja i działania platformy Azure.
Zalecamy skonfigurowanie inspekcji dla wszystkich komunikatów z dziennika inspekcji, a nie tylko określonych dzienników. Różnice kosztów pozyskiwania są zwykle minimalne, a dane są przydatne w przypadku wykrywania usługi Microsoft Sentinel i badania po naruszeniu zabezpieczeń oraz wyszukiwanie zagrożeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji sap.
Obsługiwane filtry
Skoroszyt SAP — Security Audit log and Initial Access (Dziennik inspekcji zabezpieczeń i początkowy dostęp ) obsługuje następujące filtry, które ułatwiają skoncentrowanie się na potrzebnych danych:
- Zakres czasu. Od czterech godzin do 90 dni.
- Role systemowe. Role systemu SAP, na przykład: Programowanie.
- Użycie systemu. Na przykład: SAP GTS.
- Systemy SAP. Możesz wybrać wszystkie systemy, określony system lub wybrać wiele systemów.
W przypadku wybrania systemów, które nie są skonfigurowane na liście kontrolnej systemów SAP, w skoroszycie zostanie wyświetlony błąd, określając systemy z problemami. W takim przypadku skonfiguruj listę obserwowanych, aby poprawnie uwzględnić te systemy.
Dane raportu analizy logowania
Karta Raport analizy logowania na skoroszycie SAP — Security Audit log and Initial Access (Dziennik inspekcji zabezpieczeń i początkowy dostęp ) zawiera dane dotyczące błędów logowania, takich jak dane nietypowe, dane firmy Microsoft Entra i inne.
Dane są oparte na liście kontrolnej systemów SAP.
Karta Raport analizy logowania zawiera następujące obszary:
Analiza logowania
Obszar Analiza logowania pokazuje informacje dotyczące logowania użytkowników. Na przykład:
W poniższej tabeli opisano poszczególne metryki w obszarze Analiza logowania:
Obszar | opis |
---|---|
Unikatowe logowania użytkowników na system | Przedstawia liczbę unikatowych logów dla każdego systemu SAP oraz wykres z trendami logowania w wybranym czasie dla każdego systemu. Na przykład: system 012 ma unikatowe próby logowania 1,4 K w ciągu ostatnich 14 dni, a w tych 14 dniach wykres pokazuje stosunkowo rosnący trend logowania. |
Trend typów logowania | Pokazuje trend liczby logowań zgodnie z typem, na przykład logowanie za pośrednictwem okna dialogowego. Umieść kursor na grafie, aby wyświetlić liczbę logów dla różnych dat. |
Niepowodzenia logowania a powodzenie przez unikatowych użytkowników — trend | Przedstawia trend pomyślnych i zakończonych niepowodzeniem logowania w wybranym okresie. Zatrzymaj wskaźnik myszy na grafie, aby wyświetlić liczbę pomyślnych i nieudanych logów dla różnych dat. |
Błędy logowania — wykrywanie anomalii
Obszary w obszarze Wykrywanie anomalii — odfiltrowanie hałaśliwych nieudanych prób logowania pokazują dane niepowodzenia logowania dla systemów SAP i użytkowników. Aby wyświetlić tylko dane oflagowane przez, wybierz pozycję Anomalous tylko obok pozycji Nieudane logowania po prawej stronie.
Aby uzyskać więcej informacji, zobacz Monitorowanie dziennika inspekcji SAP.
Na przykład:
W poniższej tabeli opisano poszczególne metryki w obszarze wykrywania anomalii:
Obszar | opis |
---|---|
Liczba niepowodzeń logowania Anomalie>błędów logowania Unikatowe logowania użytkownika nie powiodły się na system SAP> | Przedstawia liczbę unikatowych nieudanych logów dla każdego systemu SAP. |
Rozwiązania SAP i Active Directory są lepsze razem | Tabela Anomalous login failures (Nietypowe błędy logowania) zawiera kombinację danych usługi Microsoft Sentinel i Firmy Microsoft Entra z listą użytkowników według ryzyka, a najbardziej ryzykowni użytkownicy znajdują się u góry. Dla każdego użytkownika w tabeli przedstawiono następujące elementy: — Oś czasu nieudanych prób logowania — Oś czasu przedstawiająca, w którym momencie wystąpiła nietypowa próba niepowodzenia - Typ anomalii - Adres e-mail użytkownika - Wskaźnik ryzyka firmy Microsoft Entra — Liczba zdarzeń i alertów w usłudze Microsoft Sentinel Wybierz wiersz użytkownika, aby wyświetlić listę powiązanych alertów i zdarzeń. Zdarzenia o podwyższonym ryzyku firmy Microsoft są wymienione w obszarze Inspekcja platformy Azure i podpisywanie zagrożeń dla użytkownika. |
Współczynnik niepowodzeń logowania na system | Przedstawia wybrane systemy SAP pogrupowane według typu z liczbą awarii w wybranym okresie. Kolor systemu wskazuje liczbę nieudanych prób: Zielony dla kilku podejrzanych prób logowania i czerwony, aby uzyskać więcej. Wybierz system, aby wyświetlić listę nieudanych logań ze szczegółowymi informacjami na temat błędów. |
Na poniższym zrzucie ekranu zwróć uwagę na dane wyświetlane po wybraniu pierwszego wiersza w tabeli Nietypowe błędy logowania. Określone alerty i adresy URL zdarzeń są wyświetlane w sekcji Omówienie zdarzeń/alertów dla tabeli użytkowników .
Na poniższym zrzucie ekranu tabela inspekcji i logowania na platformie Azure zawiera dane dotyczące ryzyka logowania związanego z tym użytkownikiem.
Na poniższym zrzucie ekranu zanotuj współczynnik niepowodzeń logowania na obszar systemu , w którym wybrano system 84e w grupie Test . Logowanie nie powiodło się dla obszaru systemu po prawej stronie powoduje wyświetlenie zdarzeń awarii dla tego systemu.
Niepowodzenia logowania — trendy
Obszar Trendy niepowodzeń logowania przedstawia trendy i liczbę nieudanych logów pogrupowanych według różnych typów danych. Na przykład:
W poniższej tabeli opisano metryki w obszarze Trendy błędów logowania:
Obszar | opis |
---|---|
Niepowodzenie logowania według przyczyny | Pokazuje trend liczby niepowodzeń logowania zgodnie z przyczyną niepowodzenia, taką jak nieprawidłowe dane logowania. |
Niepowodzenie logowania według typu | Pokazuje trend liczby niepowodzeń logowania zgodnie z typem, takim jak logowanie wyzwoliło zadanie w tle lub logowanie było za pośrednictwem protokołu HTTP. |
Niepowodzenie logowania według metody | Pokazuje trend liczby niepowodzeń logowania zgodnie z metodą, taką jak SNC lub bilet logowania. |
Karta Raport alertów dziennika inspekcji
Na karcie Alerty dziennika inspekcji są wyświetlane dane dotyczące zdarzeń dziennika inspekcji SAP, które obserwuje rozwiązanie Microsoft Sentinel dla aplikacji SAP. Dane są oparte na SAP_Dynamic_Audit_Log_Monitor_Configuration liście obserwowanych.
Karta Alerty dziennika inspekcji zawiera trendy ważności i inspekcji dla każdego systemu SAP i użytkownika. Wszystkie obszary na tej karcie zawierają tylko dane oflagowane przez wykrywanie anomalii. W przypadku wszystkich zdarzeń wybierz pozycję Wszystkie obok pozycji Nieudane logowania po prawej stronie.
Aby uzyskać więcej informacji, zobacz Monitorowanie dziennika inspekcji SAP.
Na przykład:
W poniższej tabeli opisano poszczególne metryki na karcie Alerty dziennika inspekcji :
Obszar | opis |
---|---|
Trendy ważności alertów na identyfikator systemu | Przedstawia listę systemów z wykresem trendów zdarzeń o średniej i wysokiej ważności dla systemu. Na przykład system 012 miał wiele zdarzeń o wysokiej ważności w całym okresie i kilka zdarzeń o średniej ważności, z skokiem, który pokazuje więcej zdarzeń o średniej ważności w środku okresu. |
Trend inspekcji na użytkownika | Przedstawia kombinację danych usługi Microsoft Sentinel i Firmy Microsoft Entra, wyświetlając listę użytkowników według ryzyka, z najbardziej ryzykownymi użytkownikami u góry. Dla każdego użytkownika skoroszyt przedstawia następujące dane: — Oś czasu zdarzeń o wysokiej i średniej ważności - Adres e-mail użytkownika - Wskaźnik ryzyka firmy Microsoft Entra — Liczba zdarzeń i alertów w usłudze Microsoft Sentinel Wybierz wiersz, aby wyświetlić listę alertów i zdarzeń dla tego użytkownika w obszarze Przegląd zdarzeń/alertów dla użytkownika. Wyświetlanie zdarzeń o podwyższonym ryzyku firmy Microsoft w obszarze Inspekcja platformy Azure i podpisywanie zagrożeń dla użytkownika. |
Ocena ryzyka na system | Wizualnie reprezentuje każdy system w kształcie komórki, pokazując ocenę ryzyka dla każdego systemu i grupowania systemów według typu. Kolor systemu wskazuje wskaźnik ryzyka systemu: Zielony dla niższego wyniku ryzyka i czerwony dla wyższego wyniku ryzyka. Wybierz system, aby wyświetlić listę zdarzeń SAP na system. |
Zdarzenia według taktyki MITRE ATT&CK | Przedstawia listę zdarzeń SAP pogrupowanych według taktyki MITRE ATT&CK, takich jak wstępny dostęp lub uchylanie się od obrony. Zatrzymaj wskaźnik myszy na grafie, aby wyświetlić liczbę logów dla różnych dat. |
Zdarzenia według kategorii | Przedstawia listę trendów zdarzeń SAP pogrupowanych według kategorii, takich jak rozpoczęcie RFC lub logowanie. Umieść kursor na grafie, aby wyświetlić numer logowania dla różnych dat. |
Zdarzenia według grupy autoryzacji | Przedstawia listę trendów zdarzeń SAP pogrupowanych według grupy autoryzacji SAP, takiej jak USER lub SUPER. Zatrzymaj wskaźnik myszy na grafie, aby wyświetlić liczbę logów dla różnych dat. |
Zdarzenia według typu użytkownika | Przedstawia listę trendów zdarzeń SAP pogrupowanych według typu użytkownika SAP, takich jak Okno dialogowe lub System. Zatrzymaj wskaźnik myszy na grafie, aby wyświetlić liczbę logów dla różnych dat. |
Na poniższym zrzucie ekranu zwróć uwagę na dane wyświetlane po wybraniu pierwszego wiersza w tabeli Audit trends per user (Trendy inspekcji dla poszczególnych użytkowników ). Określone alerty i adresy URL zdarzeń są wyświetlane w sekcji Omówienie zdarzeń/alertów dla tabeli użytkowników .
Na poniższym zrzucie ekranu zwróć uwagę na wskaźnik ryzyka dla obszaru systemu , w którym wybrano system cb7 w grupie UAT . Zdarzenia SAP dla obszaru systemu poniżej wizualizacji systemu pokazują zdarzenie SAP dla tego systemu.
Na poniższym zrzucie ekranu zanotuj obszary ze zdarzeniami i trendami zdarzeń pogrupowanymi według różnych typów danych: taktyka MITRE ATT&CK, grupa autoryzacji SAP i typ użytkownika.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz Deploy the Microsoft Sentinel solution for SAP applications from the content hub and Microsoft Sentinel solution for SAP applications: security content reference (Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP: dokumentacja zawartości zabezpieczeń).