Monitore e rastreie a atividade de auditoria do usuário em sistemas SAP
Este artigo descreve o log de auditoria de segurança e a pasta de trabalho de acesso inicial do SAP, usados para monitorar e rastrear a atividade de auditoria do usuário em seus sistemas SAP. Use a pasta de trabalho para obter uma visão geral da atividade de auditoria do usuário, proteger melhor seus sistemas SAP e obter visibilidade rápida de ações suspeitas. Faça uma busca detalhada em eventos suspeitos conforme necessário.
Use a pasta de trabalho para monitoramento contínuo de seus sistemas SAP ou para revisar os sistemas após um incidente de segurança ou outra atividade suspeita.
Por exemplo:
O conteúdo deste artigo é destinado à sua equipe de segurança.
Pré-requisitos
Antes de você poder começar a usar a pasta de trabalho SAP - log de Auditoria de Segurança e Acesso Inicial , você deve ter:
Uma solução do Microsoft Sentinel para SAP instalada e um conector de dados configurado. Para obter mais informações, consulte Implantar uma solução do Microsoft Sentinel para aplicativos SAP.
O log de auditoria de segurança e a pasta de trabalho SAP – Security Access instalados no workspace do Log Analytics habilitados para o Microsoft Sentinel. Para obter mais informações, confira Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.
Importante
O log de auditoria de segurança e a pasta de trabalho SAP – Security Access são hospedados pelo workspace em que a solução do Microsoft Sentinel para aplicativos SAP foi instalada. Por padrão, os dados SAP e SOC são considerados no workspace que hospeda a pasta de trabalho.
Se os dados SOC estiverem em um workspace diferente do workspace que hospeda a pasta de trabalho, inclua a assinatura desse workspace e selecione o workspace SOC no workspace de auditoria e atividade do Azure.
Pelo menos um incidente em seu workspace do
SecurityIncident
Microsoft Sentinel, com pelo menos uma entrada disponível na tabela. Isso não precisa ser um incidente SAP e você pode gerar um incidente de demonstração usando uma regra de análise básica se não tiver outro.Se os dados do Microsoft Entra estiverem em um workspace diferente do Log Analytics, selecione as assinaturas e workspaces relevantes na parte superior da pasta de trabalho, em Auditoria e atividades do Azure.
Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças no custo de ingestão são geralmente mínimas e os dados são úteis para detecções do Microsoft Sentinel e em investigações e buscas pós-comprometimento. Para obter mais informações, veja Configurar auditoria SAP.
Filtros com suporte
A pasta de trabalho SAP - Auditoria de Segurança e Acesso Inicial oferece suporte aos seguintes filtros para ajudá-lo a se concentrar nos dados necessários:
- Intervalo de tempo. De quatro a 90 dias.
- Funções do sistema. As funções do sistema SAP, por exemplo: Desenvolvimento.
- Uso do sistema. Por exemplo, SAP GTS.
- Sistemas SAP. Você pode selecionar todos os sistemas, um sistema específico ou selecionar vários sistemas.
Se você selecionar sistemas que não estão configurados na lista de controle de sistemas SAP, a pasta de trabalho mostrará um erro, especificando os sistemas com problemas. Nesse caso, configure a watchlist para incluir corretamente esses sistemas.
Dados do relatório de análise de logon
A guia Relatório de análise de logon no log SAP - Auditoria de Segurança e na pasta de trabalho Acesso Inicial mostra dados sobre falhas de entrada, como dados anômalos, dados do Microsoft Entra e muito mais.
Os dados são baseados na lista de vigilância de sistemas SAP.
A guia Relatório de análise de logon inclui as seguintes áreas:
Análise de logon
A área de análise de logon mostra as entradas do usuário. Por exemplo:
A tabela a seguir descreve cada métrica na área de análise de logon:
Área | Descrição |
---|---|
Logons de usuário exclusivos por sistema | Mostra o número de entradas exclusivas para cada sistema SAP e um gráfico com as tendências de entrada durante o tempo selecionado para cada sistema. Por exemplo: o sistema 012 tem tentativas de logon exclusivas de 1,4 K nos últimos 14 dias e, nesses 14 dias, o grafo mostra uma tendência de entrada relativamente crescente. |
Tendência de tipos de logon | Mostra uma tendência do número de entradas de acordo com o tipo, por exemplo, logon via caixa de diálogo. Passe o mouse sobre o gráfico para mostrar o número de logons para datas diferentes. |
Falhas de logon versus sucesso por usuários exclusivos – Tendência | Mostra uma tendência de entradas bem-sucedidas e com falha no período selecionado. Passe o mouse sobre o gráfico para mostrar a quantidade de entradas bem-sucedidas e com falha em diferentes datas. |
Falhas de logon – Detecção de anomalias
As áreas em Detecção de anomalias – filtrando tentativas de logon com falha no barulhento mostram dados de falha de logon para sistemas SAP e usuários. Para ver apenas os dados sinalizados por, selecione Somente anômalos ao lado de Logons com falha à direita.
Para obter mais informações, consulte Monitorar o log de auditoria do SAP.
Por exemplo:
A tabela a seguir descreve cada métrica na área de detecção de anomalias:
Área | Descrição |
---|---|
Taxa de falha de logon>Anomalias> de falha de logon Logons de usuário exclusivo com falha por sistema SAP | Mostra o número de entradas com falha exclusivas para cada sistema SAP. |
SAP e Active Directory são melhores juntos | A tabela Falhas de logon anômalas mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra, listando os usuários de acordo com o risco, com os usuários mais arriscados na parte superior. Para cada usuário, a tabela mostra: - Uma linha do tempo de tentativas de login com falha - Uma linha do tempo mostrando em que ponto ocorreu uma tentativa anômala fracassada - O tipo de anomalia - O endereço de e-mail do usuário - O indicador de risco do Microsoft Entra - O número de incidentes e alertas no Microsoft Sentinel Selecione a linha de um usuário para ver uma lista de alertas e incidentes relacionados. Os eventos de risco do Microsoft Entra são listados em Riscos de auditoria e entrada do Azure para o usuário. |
Taxa de falha de logon por sistema | Mostra os sistemas SAP selecionados, agrupados por tipo, com o número de falhas no período selecionado. A cor do sistema indica o número de tentativas com falha: verde para algumas tentativas de entrada suspeitas e vermelho para mais. Selecione um sistema para ver uma lista de entradas com falha, com detalhes sobre as falhas. |
Na captura de tela a seguir, observe os dados mostrados quando a primeira linha é selecionada na tabela Falhas de logon anômalas . Os alertas específicos e as URLs de incidentes são mostrados na Visão geral de Incidentes/alertas para a tabela do usuário.
Na captura de tela a seguir, a tabela Riscos de auditoria e entrada do Azure para o usuário mostra dados para o risco de entrada relacionado a esse usuário.
Na captura de tela a seguir, observe a taxa de falha de logon por área do sistema , em que o sistema 84e no grupo Teste é selecionado. A área Logons com falha no sistema, à direita, mostra eventos com falha nesse sistema.
Falhas de logon – Tendências
A área Tendências de falhas de logon mostra as tendências e o número de entradas com falha, agrupadas por diferentes tipos de dados. Por exemplo:
A tabela a seguir descreve cada métrica na área Tendências de falhas de logon:
Área | Descrição |
---|---|
Falha de logon por causa | Mostra a tendência do número de falhas de entrada de acordo com a causa da falha, como dados de entrada incorretos. |
Falha de logon por tipo | Mostra a tendência do número de falhas de entrada de acordo com o tipo, como a entrada disparou um trabalho em segundo plano ou a entrada foi via HTTP. |
Falha de logon por método | Mostra a tendência do número de falhas de entrada de acordo com o método, como SNC ou um tíquete de entrada. |
Guia Relatório de alertas de log de auditoria
A guia Alertas de log de auditoria mostra dados sobre os eventos de log de auditoria do SAP que a solução do Microsoft Sentinel para aplicativos SAP observa. Os dados são baseados na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration.
A guia Alertas de log de auditoria mostra a gravidade e as tendências de auditoria para cada sistema SAP e usuário. Todas as áreas desta guia mostram dados sinalizados apenas pela detecção de anomalias. Para todos os eventos, selecione Todos ao lado de Logons com falha à direita.
Para obter mais informações, consulte Monitorar o log de auditoria do SAP.
Por exemplo:
A tabela a seguir descreve cada métrica na guia Alertas de log de auditoria:
Área | Descrição |
---|---|
Tendências de gravidade de alerta por ID do sistema | Mostra uma lista de sistemas, com um gráfico de tendências de eventos de gravidade média e alta por sistema. Por exemplo, o sistema 012 teve muitos eventos de alta gravidade durante todo o período e alguns eventos de gravidade média , com um pico que mostra mais eventos de gravidade média no meio do período. |
Tendência de auditoria por usuário | Mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra, listando os usuários de acordo com o risco, com os usuários mais arriscados na parte superior. Para cada usuário, a pasta de trabalho mostra os seguintes dados: - Uma linha do tempo de eventos de gravidade alta e média - O endereço de e-mail do usuário - O indicador de risco do Microsoft Entra - O número de incidentes e alertas no Microsoft Sentinel Selecione uma linha para ver uma lista de alertas e incidentes para esse usuário em Visão geral de incidentes/alertas para o usuário. Exiba os eventos de risco do Microsoft Entra em Auditoria do Azure e riscos de entrada para o usuário. |
Pontuação de risco por sistema | Representa visualmente cada sistema em forma de célula, mostrando a pontuação de risco para cada sistema e agrupando sistemas por tipo. A cor do sistema indica a pontuação de risco do sistema: verde para uma pontuação de risco mais baixa e vermelho para uma pontuação de risco mais alta. Selecione um sistema para ver uma lista de eventos SAP por sistema. |
Eventos por MITRE ATT&CK tactics | Mostra uma lista de eventos SAP agrupados por táticas MITRE ATT&CK, como Acesso Inicial ou Evasão de Defesa. Passe o mouse sobre o gráfico para mostrar o número de entradas para datas diferentes. |
Eventos, por categoria | Mostra uma lista de tendências de eventos do SAP agrupadas por categoria, como RFC Start ou Logon. Passe o mouse sobre o gráfico para mostrar o número de entrada para datas diferentes. |
Eventos por grupo de autorização | Mostra uma lista de tendências de eventos do SAP agrupadas pelo grupo de autorização do SAP, como USER ou SUPER. Passe o mouse sobre o gráfico para mostrar o número de entradas para datas diferentes. |
Eventos por tipo de usuário | Mostra uma lista de tendências de eventos SAP agrupadas pelo tipo de usuário SAP, como Caixa de diálogo ou Sistema. Passe o mouse sobre o gráfico para mostrar o número de entradas para datas diferentes. |
Na captura de tela a seguir, observe os dados mostrados quando a primeira linha é selecionada na tabela Tendências de auditoria por usuário . Os alertas específicos e as URLs de incidentes são mostrados na Visão geral de Incidentes/alertas para a tabela do usuário.
Na captura de tela a seguir, observe a pontuação de risco por área do sistema , em que o sistema cb7 no grupo UAT é selecionado. A área Eventos SAP do sistema abaixo da visualização do sistema mostra o evento SAP desse sistema.
Na captura de tela a seguir, observe as áreas com eventos e tendências de eventos agrupadas por diferentes tipos de dados: táticas MITRE ATT&CK, grupo de autorização SAP e tipo de usuário.
Conteúdo relacionado
Para obter mais informações, consulte Implantar a Solução do Microsoft Sentinel para aplicativos SAP a partir do hub de conteúdo e Solução do Microsoft Sentinel para aplicativos SAP: referência de conteúdo de segurança.