Solução do Microsoft Sentinel para aplicativos SAP: referência do conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível para as soluções do Microsoft Sentinel para SAP.
Importante
Embora a solução do Microsoft Sentinel para aplicativos SAP esteja em GA, alguns componentes específicos permanecem em versão prévia. Este artigo indica os componentes que estão em versão prévia nas seções relevantes abaixo. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O conteúdo de segurança disponível inclui uma lista de pastas de trabalho e regras de análise integradas. Adicione watchlists relacionadas ao SAP para usar em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta.
O conteúdo deste artigo é destinado à sua equipe de segurança.
Pastas de trabalho internas
Use as seguintes pasta de trabalho internas para visualizar e monitorar dados ingeridos por meio do conector de dados SAP. Depois de implantar a solução SAP, você pode encontrar pastas de trabalho SAP na guia Modelos .
| Nome da pasta de trabalho | Descrição | Logs |
|---|---|---|
| SAP - Navegador de log de auditoria | Exibe dados como: - Integridade geral do sistema, incluindo entradas de usuário ao longo do tempo, eventos ingeridos pelo sistema, classes e IDs de mensagens e programas ABAP executados -Gravidade dos eventos que ocorrem em seu sistema - Eventos de autenticação e autorização que ocorrem em seu sistema |
Usa os dados do seguinte log: ABAPAuditLog_CL |
| Controles de auditoria SAP | Ajuda a verificar os controles de segurança do ambiente SAP quanto à conformidade com a estrutura de controle escolhida, usando ferramentas para fazer o seguinte: - Atribua regras de análise em seu ambiente a controles de segurança específicos e famílias de controle - Monitorar e categorizar os incidentes gerados pelas regras de análise baseadas em soluções SAP - Relate sua conformidade |
Usa dados das seguintes tabelas: - SecurityAlert- SecurityIncident |
Para obter mais informações, consulte Tutorial: Visualizar e monitorar seus dados e Implantar a solução do Microsoft Sentinel para aplicativos SAP.
Regras de análise integradas
Esta seção descreve uma seleção de regras de análise internas fornecidas junto com a solução do Microsoft Sentinel para aplicativos SAP. Para obter as atualizações mais recentes, verifique o hub de conteúdo do Microsoft Sentinel para regras novas e atualizadas.
Monitorar a configuração de parâmetros de segurança estáticos do SAP (versão prévia)
Para proteger o sistema SAP, o SAP identificou parâmetros relacionados à segurança que precisam ser monitorados quanto a alterações. Com a regra "SAP – (Versão prévia) Parâmetro estático confidencial foi alterado", a solução do Microsoft Sentinel para aplicativos SAP rastreia mais de 52 parâmetros estáticos relacionados à segurança no sistema SAP, que são integrados ao Microsoft Sentinel.
Observação
Para que a solução do Microsoft Sentinel para aplicativos SAP monitore com êxito os parâmetros de segurança do SAP, a solução precisa monitorar com êxito a tabela SAP PAHI em intervalos regulares. Para mais informações, confira a seção Verifique se a tabela PAHI está sendo atualizada a intervalos regulares.
Para entender as alterações de parâmetro no sistema, a solução do Microsoft Sentinel para aplicativos SAP usa a tabela de histórico de parâmetros, que registra as alterações feitas nos parâmetros do sistema a cada hora.
Os parâmetros também são refletidos na lista de vigilância SAPSystemParameters. Essa lista de observação permite que os usuários adicionem novos parâmetros, desativem os parâmetros existentes e modifiquem os valores e as gravidades por parâmetro e função do sistema em ambientes de produção ou não produção.
Quando uma alteração é feita em um desses parâmetros, o Microsoft Sentinel verifica se a alteração é relacionada à segurança e se o valor está definido de acordo com os valores recomendados. Se houver uma suspeita de que a alteração ocorreu fora da zona segura, o Microsoft Sentinel criará um incidente detalhando a alteração e identificará quem fez a alteração.
Leia a lista de parâmetros que essa regra monitora.
Monitorar o log de auditoria do SAP
Muitas das regras de análise na solução do Microsoft Sentinel para aplicativos SAP usam dados de log de auditoria do SAP. Algumas regras de análise procuram eventos específicos no log, enquanto outras correlacionam indicações de vários logs para criar alertas e incidentes de alta fidelidade.
Use as seguintes regras de análise para monitorar todos os eventos de log de auditoria em seu sistema SAP ou acionar alertas somente quando forem detectadas anomalias:
| Nome da regra | Descrição |
|---|---|
| SAP - Configuração ausente no Monitor de Log de Auditoria de Segurança Dinâmica | Por padrão, é executado diariamente para fornecer recomendações de configuração para o módulo de log de auditoria do SAP. Use o modelo de regra para criar e personalizar uma regra para seu espaço de trabalho. |
| SAP - Monitor de log de auditoria determinístico dinâmico (VERSÃO PRÉVIA) | Por padrão, é executado a cada 10 minutos e se concentra nos eventos de log de auditoria do SAP marcados como Determinísticos. Use o modelo de regra para criar e personalizar uma regra para seu espaço de trabalho, como para uma taxa de falsos positivos mais baixa. Essa regra requer limites de alerta determinísticos e regras de exclusão de usuário. |
| SAP - Alertas do Monitor de Log de Auditoria Baseados em Anomalias Dinâmicas (VERSÃO PRÉVIA) | Por padrão, é executado por hora e se concentra em eventos SAP marcados como AnomaliesOnly, alertando sobre eventos de log de auditoria SAP quando anomalias são detectadas. Essa regra aplica algoritmos extras de aprendizado de máquina para filtrar o ruído de fundo de maneira não supervisionada. |
Por padrão, a maioria dos tipos de eventos ou IDs de mensagens SAP no log de auditoria do SAP são enviados para a regra de análise PREVIEW (Alertas do Monitor de Log de Auditoria com base em anomalias dinâmicas), enquanto os tipos de evento mais fáceis de definir são enviados para a regra de análise PREVIEW (Monitor de Log de Auditoria Determinística Dinâmica) determinística. Essa definição, juntamente com outras configurações relacionadas, pode ser configurada ainda mais para atender a condições do sistema.
As regras de monitoramento do log de auditoria do SAP são fornecidas como parte do conteúdo de segurança da solução Microsoft Sentinel para SAP e permitem ajustes adicionais usando as listas de controle SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
Por exemplo, a tabela a seguir lista vários exemplos de como você pode usar a lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration para configurar os tipos de eventos que produzem incidentes, reduzindo o número de incidentes gerados.
| Opção | Descrição |
|---|---|
| Definir gravidades e desativar eventos indesejados | Por padrão, as regras determinísticas e as regras baseadas em anomalias criam alertas para eventos marcados com severidades médias e altas. Talvez você queira configurar as gravidades separadamente para ambientes de produção e não produção. Por exemplo, você pode definir um evento de atividade de depuração como de alta gravidade em sistemas de produção e desativar os mesmos eventos inteiramente em sistemas de não produção. |
| Excluir usuários por suas funções SAP ou perfis SAP | O Microsoft Sentinel para SAP ingere o perfil de autorização do usuário SAP, incluindo atribuições de função diretas e indiretas, grupos e perfis, para que você possa falar o idioma SAP em seu SIEM. Talvez você queira configurar um evento SAP para excluir usuários com base em suas funções e perfis SAP. Na watchlist, adicione as funções ou perfis que agrupam os usuários da interface RFC na coluna RolesTagsToExclude, ao lado do evento Acesso genérico à tabela por RFC. Essa configuração dispara alertas apenas para usuários que não têm essas funções. |
| Excluir usuários por suas tags SOC | Use tags para criar seu próprio agrupamento, sem depender de definições complicadas do SAP ou mesmo sem autorização do SAP. Esse método é útil para equipes SOC que desejam criar seu próprio agrupamento para usuários SAP. Por exemplo, se você não quiser que contas de serviço específicas sejam alertadas para acesso à tabela genérica por eventos RFC , mas não conseguir encontrar uma função SAP ou um perfil SAP que agrupe esses usuários, use as marcas da seguinte maneira: 1. Adicione a tag GenTableRFCReadOK ao lado do evento relevante na lista de observação. 2. Vá para a lista de observação SAP_User_Config e atribua aos usuários da interface a mesma tag. |
| Especificar um limite de frequência por tipo de evento e função do sistema | Funciona como um limite de velocidade. Por exemplo, é possível configurar eventos de Modificação de registro mestre de usuário para acionar alertas somente se mais de 12 atividades forem observadas em uma hora, pelo mesmo usuário em um sistema de produção. Se um usuário exceder o limite de 12 por hora, por exemplo, dois eventos em uma janela de 10 minutos, um incidente será disparado. |
| Determinismo ou anomalias | Se você conhece as características do evento, use os recursos determinísticos. Se você não tiver certeza de como configurar corretamente o evento, permita que os recursos de aprendizado de máquina decidam iniciar e, em seguida, faça atualizações subsequentes conforme necessário. |
| Recursos do SOAR | Use o Microsoft Sentinel para orquestrar, automatizar e responder ainda mais a incidentes criados por alertas dinâmicos do log de auditoria do SAP. Para obter mais informações, confira Automação no Microsoft Sentinel: orquestração de segurança, automação e resposta (SOAR). |
Para obter mais informações, consulte Listas de observação disponíveis e Notícias do Microsoft Sentinel para SAP – Recurso Monitor de Log de Auditoria de Segurança Dinâmica do SAP disponível agora! (blog).
Acesso inicial
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Logon de rede inesperada | Identifica um logon a partir de uma rede inesperada. Mantém redes na watchlist SAP – Redes. |
Entre no sistema de back-end de um endereço IP que não esteja atribuído a uma das redes. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial |
| SAP – Ataque de SPNego | Identifica o ataque de reprodução de SPNego. | Fontes de dados: SAPcon – Log de Auditoria | Impacto, movimento lateral |
| SAP – Tentativa de logon de diálogo de um usuário com privilégios | Identifica as tentativas de entrada de diálogo, com o tipo AUM, por usuários privilegiados em um sistema SAP. Para obter mais informações, consulte o SAPUsersGetPrivileged. | Tentativa de entrar a partir do mesmo IP em vários sistemas ou clientes dentro do intervalo de tempo agendado Fontes de dados: SAPcon – Log de Auditoria |
Impacto, movimento lateral |
| SAP – Ataques de força bruta | Identifica ataques de força bruta no sistema SAP usando logons RFC | Tente entrar do mesmo IP em vários sistemas/clientes dentro do intervalo de tempo agendado usando RFC Fontes de dados: SAPcon – Log de Auditoria |
Acesso com credencial |
| SAP - Vários Logons por IP | Identifica a entrada de vários usuários do mesmo endereço IP em um intervalo de tempo agendado. Caso de sub-uso: persistência |
Entra usando vários usuários a partir do mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial |
| SAP – Vários logons por usuário Com suporte apenas para o agente do conector de dados. Não disponível com a solução sem agente SAP (versão prévia limitada). |
Identifica entradas do mesmo usuário de vários terminais dentro do intervalo de tempo agendado. Disponível somente por meio do método Audit SAL, para as versões 7.5 e superiores do SAP. |
Entra usando o mesmo usuário e endereços IP diferentes. Fontes de dados: SAPcon – Log de Auditoria |
Pré-ataque, Acesso a Credenciais, Acesso Inicial, Coleta Caso de sub-uso: persistência |
| SAP – Informativa – Ciclo de vida – Foram implementadas notas do SAP no sistema | Identifica a implementação de Nota do SAP no sistema. | Implementar uma Nota do SAP usando SNOTE/TCI. Fontes de dados: SAPcon – Solicitações de alteração |
- |
| SAP - (versão prévia) AS JAVA - Usuário privilegiado confidencial conectado | Identifica um logon a partir de uma rede inesperada. Mantém usuários privilegiados na watchlist SAP – Usuários Privilegiados. |
Entre no sistema de back-end usando usuários privilegiados. Fontes de dados: SAPJAVAFilesLog |
Acesso inicial |
| SAP - (Versão prévia) AS JAVA - Entrada de rede inesperada | Identifica entradas de uma rede inesperada. Manter usuários privilegiados na lista de controle SAP - Redes . |
Entre no sistema de back-end de um endereço IP que não esteja atribuído a uma das redes na lista de controle SAP - Redes Fontes de dados: SAPJAVAFilesLog |
Acesso inicial, evasão de defesa |
Exfiltração dos dados
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – FTP para servidores não autorizados | Identifica uma conexão FTP para um servidor não autorizado. | Cria uma nova conexão FTP, usando, por exemplo, o módulo de função FTP_CONNECT. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, acesso inicial, comando e controle |
| SAP – Configuração de servidores FTP não seguros | Identifica configurações de servidores FTP não seguros, como quando uma lista de permissões de FTP está vazia ou contém espaços reservados. | Não mantenha ou mantenha valores que contenham espaços reservados na tabela, usando a SAPFTP_SERVERS exibição de SAPFTP_SERVERS_V manutenção. (SM30) Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial, comando e controle |
| SAP – Download múltiplo de arquivos | Identifica downloads de vários arquivo por um usuário em um intervalo de tempo específico. | Baixa vários arquivos usando o SAPGui para o Excel, listas e outros. Fontes de dados: SAPcon – Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Execuções múltiplas de spool | Identifica spools múltiplos por um usuário em um intervalo de tempo específico. | Cria e executa vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon - Log de Spool, SAPcon - Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Execuções múltiplas de saída de spool | Identifica spools múltiplos por um usuário em um intervalo de tempo específico. | Cria e executa vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon - Log de Saída de Spool, SAPcon - Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Acesso direto a tabelas confidenciais pelo logon do RFC | Identifica um acesso a tabela genérica por entrada via RFC. Mantém tabelas na watchlist SAP - Tabelas sensíveis. Relevante apenas para sistemas de produção. |
Abre o conteúdo da tabela usando SE11/SE16/SE16N. Fontes de dados: SAPcon – Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Aquisições do spool | Identifica um usuário que esteja imprimindo uma solicitação de spool criada por outra pessoa. | Cria uma solicitação de spool usando um usuário e, em seguida, dá saída usando um usuário diferente. Fontes de dados: SAPcon – Log de Spool, SAPcon – Log de Saída de Spool, SAPcon – Log de Auditoria |
Coleção, exflitração, comando e controle |
| SAP – Destino RFC dinâmico | Identifica a execução do RFC usando destinos dinâmicos. Caso de sub-uso: tentativas de ignorar os mecanismos de segurança do SAP |
Executa um relatório ABAP que usa destinos dinâmicos (cl_dynamic_destination). Por exemplo, DEMO_RFC_DYNAMIC_DEST. Fontes de dados: SAPcon – Log de Auditoria |
Coleção, exfiltração |
| SAP – Acesso direto a tabelas confidenciais por logon de diálogo | Identifica o acesso genérico a tabelas após entrada por caixa de diálogo. | Abre o conteúdo da tabela usando SE11/SE16/SE16N. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta |
| SAP – Arquivo baixado de um endereço IP mal-intencionado (versão prévia) | Identifica o download de um arquivo de um sistema SAP usando um endereço IP conhecido como mal-intencionado. Endereços IP mal-intencionados são obtidos de serviços de inteligência contra ameaças. | Baixe um arquivo de um IP mal-intencionado. Fontes de dados: log de auditoria de segurança do SAP, inteligência contra ameaças |
Exfiltração |
| SAP – Dados exportados de um sistema de produção usando um transporte (versão prévia) | Identifica a exportação de dados de um sistema de produção usando um transporte. Transportes são usados em sistemas de desenvolvimento e são semelhantes às solicitações de pull. Essa regra de alerta dispara incidentes com severidade média quando um transporte que inclui dados de qualquer tabela é liberado de um sistema de produção. A regra cria um incidente de alta severidade quando a exportação inclui dados de uma tabela confidencial. | Libere um transporte de um sistema de produção. Fontes de dados: Log do SAP CR; SAP – Tabelas Confidenciais |
Exfiltração |
| SAP – Dados confidenciais salvos em uma unidade USB (versão prévia) | Identifica a exportação de dados SAP por meio de arquivos. A regra verifica se há dados salvos em uma unidade USB montada recentemente em proximidade a uma execução de uma transação confidencial, um programa confidencial ou acesso direto a uma tabela confidencial. | Exporte dados SAP por meio de arquivos e salve em uma unidade USB. Fontes de dados: Log de Auditoria de Segurança do SAP, DeviceFileEvents (Microsoft Defender para Ponto de Extremidade); SAP – Tabelas Confidenciais; SAP – Transações Confidenciais; SAP – Programas Confidenciais |
Exfiltração |
| SAP –Impressão de dados potencialmente confidenciais (versão prévia) | Identifica uma solicitação ou impressão real de dados potencialmente confidenciais. Os dados serão considerados confidenciais se o usuário obtiver os dados como parte de uma transação confidencial, execução de um programa confidencial ou acesso direto a uma tabela confidencial. | Imprima ou solicite a impressão de dados confidenciais. Fontes de dados: Log de Auditoria de Segurança do SAP, logs de Spool do SAP; SAP – Tabelas Confidenciais; SAP – Programas Confidenciais |
Exfiltração |
| SAP – Alto volume de dados potencialmente confidenciais exportados (versão prévia) | Identifica a exportação de um alto volume de dados por meio de arquivos em proximidade a uma execução de uma transação confidencial, um programa confidencial ou acesso direto a uma tabela confidencial. | Exporte um grande volume de dados por meio de arquivos. Fontes de dados: Log de Auditoria de Segurança do SAP; SAP – Tabelas Confidenciais; SAP – Transações Confidenciais; SAP – Programas Confidenciais |
Exfiltração |
Persistência
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Ativação ou desativação do serviço ICF | Identifica a ativação ou desativação de serviços ICF. | Ativa um serviço usando o SICF. Fontes de dados: SAPcon - Log de Dados de Tabela |
Comando e controle, movimento lateral, persistência |
| SAP – Módulo de função testado | Identifica o teste de um módulo de função. | Testa um módulo de função usando SE37 / SE80. Fontes de dados: SAPcon – Log de Auditoria |
Coleção, evasão de defesa, movimento lateral |
| SAP - (VERSÃO PRÉVIA) HANA DB - Ações de administrador de usuário | Identifica ações de administração de usuários. | Cria, atualiza ou excluir um usuário do banco de dados. Fontes de dados: Agente do Linux – Syslog* |
Escalonamento de Privilégios |
| SAP – Novos manipuladores de serviço ICF | Identifica a criação de manipuladores ICF. | Atribui um novo manipulador a um serviço usando SICF. Fontes de dados: SAPcon – Log de Auditoria |
Comando e controle, movimento lateral, persistência |
| SAP – Novos serviços ICF | Identifica a criação de serviços ICF. | Cria um serviço usando o SICF. Fontes de dados: SAPcon - Log de Dados de Tabela |
Comando e controle, movimento lateral, persistência |
| SAP - Execução de um módulo de função obsoleto ou inseguro | Identifica a execução de um módulo de função ABAP obsoleto ou não seguro. Mantêm funções obsoletas na watchlist SAP - Módulos de funções obsoletos. Certifique-se de ativar as alterações de log de tabela para a EUFUNC tabela no back-end. (SE13)Relevante apenas para sistemas de produção. |
Executa um módulo de função obsoleto ou não seguro diretamente usando SE37. Fontes de dados: SAPcon - Log de Dados de Tabela |
Descoberta, comando e controle |
| SAP – Execução de programa obsoleto/não seguro Com suporte apenas para o agente do conector de dados. Não disponível com a solução sem agente SAP (versão prévia limitada). |
Identifica a execução de um programa ABAP obsoleto ou não seguro. Mantém programas obsoletos na watchlist SAP - programas obsoletos. Relevante apenas para sistemas de produção. |
Executa um programa diretamente usando SE38/SA38/SE80 ou usando um trabalho em segundo plano. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, comando e controle |
| SAP - Várias alterações de senha | Identifica várias alterações de senha pelo usuário. | Alterar senha de usuário Fontes de dados: SAPcon – Log de Auditoria |
Acesso com credencial |
| SAP - (versão prévia) AS JAVA - o usuário cria e usa o novo usuário | Identifica a criação ou manipulação de usuários por administradores no ambiente Java do SAP AS. | Entre no sistema de back-end usando usuários que você criou ou manipulou. Fontes de dados: SAPJAVAFilesLog |
Persistência |
Tentativas de ignorar os mecanismos de segurança do SAP
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Alteração de configuração do cliente | Identifica alterações na configuração do cliente, como a função do cliente ou o modo de gravação de alterações. | Executa alterações de configuração do cliente usando o SCC4 código de transação. Fontes de dados: SAPcon – Log de Auditoria |
Evasão de defesa, exfiltração, persistência |
| SAP – Dados alterados durante a atividade de depuração | Identifica alterações de dados em execução durante uma atividade de depuração. Caso de sub-uso: persistência |
1. Ativa Depuração ("/h"). 2. Seleciona um campo para alteração e atualiza o valor desse campo. Fontes de dados: SAPcon – Log de Auditoria |
Execução, movimento lateral |
| SAP – Desativação do log de auditoria de segurança | Identifica a desativação do log de auditoria de segurança, | Desabilita o log de auditoria de segurança usando SM19/RSAU_CONFIG. Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, evasão de defesa, persistência |
| SAP – Execução de um programa ABAP confidencial | Identifica a execução direta de um programa ABAP confidencial. Mantém programas ABAP na watchlist SAP - Programas ABAP confidenciais. |
Execute um programa diretamente usando SE38/SA38/SE80. Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, movimento lateral, execução |
| SAP – Execução de um código de transação confidencial | Identifica a execução de um código de transação confidencial. Mantém os códigos de transação na watchlist SAP – Códigos de Transação Confidenciais. |
Executa um código de transação confidencial. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, execução |
| SAP – Execução de módulo de função confidencial | Identifica a execução de um módulo de função ABAP confidencial. Caso de sub-uso: persistência Relevante apenas para sistemas de produção. Mantém funções confidenciais na watchlist SAP - módulos de funções confidenciais e certifica-se de ativar as alterações de registros de tabela no back-end para a tabela EUFUNC. (SE13) |
Executa um módulo de função confidencial diretamente usando SE37. Fontes de dados: SAPcon - Log de Dados de Tabela |
Descoberta, comando e controle |
| SAP - (VERSÃO PRÉVIA) HANA DB - Alterações na política de trilha de auditoria | Identifica as alterações nas políticas de trilha de auditoria do BD HANA. | Cria ou atualiza a política de auditoria existente nas definições de segurança. Fontes de dados: Agente do Linux – Syslog |
Movimento lateral, evasão de defesa, persistência |
| SAP - (VERSÃO PRÉVIA) HANA DB - Desativação da trilha de auditoria | Identifica a desativação do log de auditoria do BD HANA. | Desativa o log de auditoria na definição de segurança do BD HANA. Fontes de dados: Agente do Linux – Syslog |
Persistência, movimento lateral, evasão de defesa |
| SAP - Execução Remota Não Autorizada de um Módulo de Funções Confidenciais | Detecta execuções não autorizadas de FMs confidenciais, comparando a atividade com o perfil de autorização do usuário, desconsiderando as autorizações recentemente alteradas. Mantém os módulos de função na watchlist SAP – módulos de funções confidenciais. |
Testa um módulo de função usando o RFC. Fontes de dados: SAPcon – Log de Auditoria |
Execução, movimento lateral, descoberta |
| SAP – Alteração de configuração do sistema | Identifica alterações na configuração do sistema. | Adapta as opções de alteração do sistema ou a modificação do componente de software usando o código de transação SE06.Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, evasão de defesa, persistência |
| SAP – Atividades de depuração | Identifica todas as atividades relacionadas à depuração. Caso de sub-uso: persistência |
Ativa a depuração ("/h") no sistema, depura um processo ativo, adiciona um ponto de interrupção ao código-fonte e assim por diante. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta |
| SAP – Alteração de configuração do log de auditoria de segurança | Identifica alterações na configuração do log de auditoria de segurança | Altera qualquer configuração de log de auditoria de segurança usando SM19/RSAU_CONFIG, como filtros, status, modo de gravação, entre outros. Fontes de dados: SAPcon – Log de Auditoria |
Persistência, exfiltração, evasão de defesa |
| SAP – A transação está desbloqueada | Identifica o desbloqueio de uma transação. | Desbloqueia um código de transação usando SM01/SM01_DEV/SM01_CUS. Fontes de dados: SAPcon – Log de Auditoria |
Persistência, execução |
| SAP – Programa ABAP dinâmico | Identifica a execução de programação ABAP dinâmica. Por exemplo, quando o código ABAP for criado, alterado ou excluído dinamicamente. Mantém códigos de transação excluídos na watchlist SAP - Transações para gerações do ABAP. |
Cria um relatório ABAP que usa comandos de geração de programa ABAP, como INSERIR RELATÓRIO e, em seguida, executa o relatório. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, comando e controle, impacto |
Operações de privilégios suspeitas
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP - Alteração em um usuário privilegiado confidencial | Identifica alterações em usuários privilegiados confidenciais. Mantém usuários privilegiados na watchlist SAP – Usuários Privilegiados. |
Altera detalhes/autorizações de usuário usando SU01. Fontes de dados: SAPcon – Log de Auditoria |
Elevação de privilégio, acesso de credencial |
| SAP – (VERSÃO PRÉVIA) BD HANA – Atribuir autorizações de administrador | Identifica a atribuição de funções ou privilégios de administrador. | Atribui qualquer função ou privilégio de administrador a um usuário. Fontes de dados: Agente do Linux – Syslog |
Escalonamento de Privilégios |
| SAP – Usuário com privilégios confidenciais conectado | Identifica a caixa de diálogo de logon de um usuário com privilégios confidenciais. Mantém usuários privilegiados na watchlist SAP – Usuários Privilegiados. |
Entra no sistema de back-end usando SAP* ou outro usuário privilegiado. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial, acesso de credencial |
| SAP – Usuário com privilégios confidenciais faz uma alteração em outro usuário | Identifica alterações de usuários privilegiados confidenciais em outros usuários. | Altera detalhes/autorizações de usuário usando SU01. Fontes de dados: SAPcon – Log de Auditoria |
Elevação de privilégio, acesso de credencial |
| SAP – Alteração de senha de usuários confidenciais e logon | Identifica as alterações de senha de usuários privilegiados. | Altera a senha de um usuário privilegiado e entra no sistema. Mantém usuários privilegiados na watchlist SAP – Usuários Privilegiados. Fontes de dados: SAPcon – Log de Auditoria |
Impacto, comando e controle, elevação de privilégio |
| SAP – Usuário cria e utiliza um novo usuário | Identifica um usuário que cria e utiliza outros usuários. Caso de sub-uso: persistência |
Criar um usuário usando SU01 e, em seguida, fazer logon usando o usuário recém-criado e o mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, pré-ataque, acesso inicial |
| SAP – Usuário desbloqueia e utiliza outros usuários | Identifica um usuário que está sendo desbloqueado e usado por outros usuários. Caso de sub-uso: persistência |
Cria um usuário usando SU01 e, em seguida, faz logon a partir do usuário recém-criado e do mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria, SAPcon – Log de Alteração de Documentos |
Descoberta, Pré-Ataque, Acesso Inicial, Movimento Lateral |
| SAP – Atribuição de um perfil confidencial | Identifica novas atribuições de um perfil confidencial a um usuário. Mantém perfis confidenciais na watchlist SAP - Perfis confidenciais. |
Atribui um perfil a um usuário usando SU01. Fontes de dados: SAPcon - Log de Alteração de Documentos |
Escalonamento de Privilégios |
| SAP – Atribuição de um perfil confidencial | Identifica novas atribuições de funções confidenciais a um usuário. Mantém funções confidenciais na watchlist SAP - Funções confidenciais. |
Atribui uma função a um usuário utilizando SU01 / PFCG. Fontes de dados: SAPcon - Log de Alteração de Documentos |
Escalonamento de Privilégios |
| SAP – (VERSÃO PRÉVIA) Atribuição de autorizações críticas – Novo valor de autorização | Identifica a atribuição de um valor de objeto de autorização crítica a um novo usuário. Mantém objetos de autorização crítica na watchlist SAP - Objetos de autorização crítica. |
Atribui um novo objeto de autorização ou atualiza um objeto existente em uma função usando PFCG. Fontes de dados: SAPcon - Log de Alteração de Documentos |
Escalonamento de Privilégios |
| SAP – Atribuição de autorizações críticas – Nova atribuição de usuário | Identifica a atribuição de um valor de objeto de autorização crítica a um novo usuário. Mantém objetos de autorização crítica na watchlist SAP - Objetos de autorização crítica. |
Atribui um novo usuário a uma função que contém valores de autorização crítica usando SU01/PFCG. Fontes de dados: SAPcon - Log de Alteração de Documentos |
Escalonamento de Privilégios |
| SAP – Alterações de funções confidenciais | Identifica alterações em funções confidenciais. Mantém funções confidenciais na watchlist SAP - Funções confidenciais. |
Altera uma função usando PFCG. Fontes de dados: SAPcon - Log de Alteração de Documentos - Log de auditoria |
Impacto, elevação de privilégio, persistência |
Watchlists disponíveis
A tabela a seguir lista as watchlists disponíveis para a solução do Microsoft Sentinel para aplicativos SAP e os campos em cada watchlist.
Essas watchlists fornecem a configuração para a solução do Microsoft Sentinel para aplicativos SAP. O SAP watchlists está disponível no repositório do GitHub para Microsoft Azure Sentinel.
| Nome da watchlist | Descrição e campos |
|---|---|
| SAP – Autorizações críticas | Objeto de autorizações críticas, que devem ter suas atribuições governadas. - AuthorizationObject: um objeto de autorização SAP, como S_DEVELOP,S_TCODE ou Table TOBJ - AuthorizationField: um campo de autorização SAP, como OBJTYP ou TCD - AuthorizationValue: um valor de campo de autorização SAP, como DEBUG - ActivityField: um campo de atividade SAP. Para a maioria dos casos, esse valor é ACTVT. Para objetos de autorizações sem Atividade ou com apenas um campo Atividade, preenchido com NOT_IN_USE. - Atividade: atividade do SAP, de acordo com o objeto de autorização, como: 01: Criar; 02: Alterar; :03 Exibir e assim por diante. - Descrição: descrição significativa de um objeto de autorização crítica. |
| SAP – Redes excluídas | Para manutenção interna de redes excluídas, tal qual ignorar dispatchers da Web, servidores de terminal e assim por diante. -Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17. -Descrição: descrição de rede significativa. |
| Usuários excluídos do SAP | Usuários do sistema que estão conectados e devem ser ignorados. Por exemplo, alertas de vários logons pelo mesmo usuário. - Usuário: Usuário do SAP -Descrição: descrição significativa do usuário. |
| SAP – Redes | Redes internas e de manutenção para a identificação de logons não autorizados. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: descrição de rede significativa. |
| SAP - Usuários privilegiados | Usuários privilegiados que estão sob restrições extras. - Usuário: o usuário ABAP, como DDIC ou SAP - Descrição: descrição significativa do usuário. |
| SAP – Programas ABAP confidenciais | Programas ABAP confidenciais (relatórios) cuja execução deve ser governada. - ABAPProgram: programa ou relatório ABAP, como RSPFLDOC - Descrição: uma descrição significativa do programa. |
| SAP – Módulo de função confidencial | Redes internas e de manutenção para a identificação de logons não autorizados. - FunctionModule: módulo de função ABAP, como RSAU_CLEAR_AUDIT_LOG - Descrição: descrição significativa do usuário. |
| SAP – Perfis Confidenciais | Perfis confidenciais, que devem ter suas atribuições governadas. - Perfil: perfil de autorização do SAP, como SAP_ALL ou SAP_NEW - Descrição: uma descrição significativa do perfil. |
| SAP – Tabelas confidenciais | Tabelas confidenciais, que devem ter seu acesso governado. - Tabela: tabela de dicionário ABAP, como USR02 ou PA008 - Descrição: descrição significativa do usuário. |
| SAP – Funções confidenciais | Funções confidenciais, que devem ter sua atribuição governada. - Função: função de autorização do SAP, como SAP_BC_BASIS_ADMIN - Descrição: descrição significativa do usuário. |
| SAP – Transações confidenciais | Transações confidenciais que devem ter sua execução governada. - TransactionCode: código de transação do SAP, como RZ11 - Descrição: descrição significativa do usuário. |
| SAP – Sistemas | Descreva o panorama dos sistemas SAP de acordo com a função, uso e configuração. - SystemID: a ID de sistema do SAP (SYSID) - SystemRole: a função do sistema SAP, um dos seguintes valores: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: o uso do sistema SAP, um dos seguintes valores: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: um parâmetro dinâmico opcional para uso em guias estratégicos. |
| SAPSystemParameters | Parâmetros a serem observados para detectar alterações de configuração suspeitas. Essa lista de vigilância é preenchida previamente com valores recomendados (de acordo com as boas práticas do SAP) e você pode ampliar a watchlist de modo a incluir mais parâmetros. Se não quiser receber alertas para um parâmetro, defina EnableAlerts como false.- ParameterName: o nome do parâmetro. - Comment: a descrição do parâmetro padrão do SAP. - EnableAlerts: define se os alertas devem ser habilitados para esse parâmetro. Os valores são true e false.- Opção: Define em qual caso acionar um alerta: Se o valor do parâmetro for maior ou igual ( GE), menor ou igual (LE) ou igual (EQ)Por exemplo, se o login/fails_to_user_lockparâmetro do SAP for definido como LE (menor ou igual) e um valor de 5, assim que o Microsoft Sentinel detectar uma alteração nesse parâmetro específico, o Microsoft Sentinel irá comparar o valor que acabou de ser notificado ao valor esperado. Se o novo valor for 4, o Microsoft Sentinel não irá disparar um alerta. Se o novo valor for 6, o Microsoft Sentinel irá disparar um alerta.- ProductionSeverity: o nível de gravidade do incidente para os sistemas de produção. - ProductionValues: valores permitidos para os sistemas de produção. - NonProdSeverity: a gravidade do incidente para sistemas de não produção. - NonProdValues: valores permitidos para sistemas de não produção. |
| SAP - Usuários excluídos | Usuários do sistema que estão conectados e devem ser ignorados, como o alerta Vários logons por usuário. - Usuário: Usuário do SAP - Descrição: descrição significativa do usuário |
| SAP - Redes excluídas | Mantém redes internas excluídas para ignorar dispatchers da Web, servidores de terminal e assim por diante. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: descrição de rede significativa |
| SAP – Módulos de funções obsoletas | Módulos de funções obsoletas, que devem ter sua execução governada. - FunctionModule: módulo de função ABAP, como TH_SAPREL - Descrição: descrição significativa do usuário |
| SAP – Programas obsoletos | Programas ABAP confidenciais (relatórios), que devem ter sua execução governada. - ABAPProgram: Programa ABAP, como TH_ RSPFLDOC - Descrição: descrição significativa do programa ABAP |
| SAP – Transações para gerações do ABAP | Transações para gerações do ABAP que devem ter sua execução governada. - TransactionCode: Código de transação, como SE11. - Descrição: descrição significativa do código de transação |
| SAP – Servidores FTP | Servidores FTP para identificação de conexões não autorizadas. - Cliente: como 100. - FTP_Server_Name: nome do servidor FTP, como http://contoso.com/ -FTP_Server_Port: porta do servidor FTP, como 22. - Descrição: descrição significativa do servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure os alertas do log de auditoria do SAP atribuindo a cada ID de mensagem um nível de gravidade, conforme exigido por você, por função do sistema (produção, não produção). Essa watchlist detalha todas as IDs de mensagem de log de auditoria padrão do SAP disponíveis. A lista de observação pode ser estendida para conter IDs de mensagem extras que você pode criar por conta própria usando aprimoramentos ABAP em seus sistemas SAP NetWeaver. Essa watchlist também permite configurar uma equipe designada para tratar cada um dos tipos de evento e excluir usuários por funções SAP, perfis SAP ou por marcas da watchlist SAP_User_Config. Essa lista de controle é um dos principais componentes usados para configurar as regras de análise SAP integradas para monitorar o log de auditoria do SAP. Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - MessageID: a ID da mensagem SAP ou o tipo de evento, como AUD (alterações de registro mestre do usuário) ou AUB (alterações de autorização). - DetailedDescription: uma descrição habilitada para markdown a ser mostrada no painel de incidentes. - ProductionSeverity: a severidade desejada para o incidente a ser criado para sistemas de produção High, Medium. Pode ser definido como Disabled. - NonProdSeverity: A gravidade desejada para o incidente a ser criado para sistemas Highde não produção, Medium. Pode ser definido como Disabled. - ProductionThreshold A contagem "por hora" de eventos a serem considerados suspeitos para sistemas de produção 60. - NonProdThreshold A contagem "Por hora" de eventos a serem considerados suspeitos para sistemas 10de não produção. - RolesTagsToExclude: esse campo aceita o nome da função SAP, nomes de perfil SAP ou marcas da watchlist SAP_User_Config. Eles são usados para excluir os usuários associados de tipos de eventos específicos. Confira as opções de marcas de função no final desta lista. - RuleType: use Deterministic para que o tipo de evento seja enviado para a regra SAP - Monitor de Log de Auditoria Determinístico Dinâmico ou AnomaliesOnly para que esse evento seja coberto pela regra SAP - Alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas (PREVIEW). Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - TeamsChannelID: um parâmetro dinâmico opcional para uso em guias estratégicos. - DestinationEmail: um parâmetro dinâmico opcional para uso em guias estratégicos. No campo RolesTagsToExclude: – Se você listar funções SAP ou perfis SAP, isso excluirá todo usuário com as funções ou perfis listados desses tipos de evento para o mesmo sistema SAP. Por exemplo, se você definir a função ABAP BASIC_BO_USERS para os tipos de eventos relacionados à RFC, os usuários de Objetos de Negócios não dispararão incidentes ao fazerem chamadas RFC em massa.- A marcação de um tipo de evento é semelhante à especificação de funções ou perfis SAP, mas as tags podem ser criadas no espaço de trabalho, para que as equipes do SOC possam excluir usuários por atividade sem depender da equipe do SAP BASIS. Por exemplo, as IDs de mensagem de auditoria AUB (alterações de autorização) e AUD (alterações de registro mestre do usuário) são atribuídas à marca MassiveAuthChanges. Os usuários atribuídos a essa marca são excluídos das verificações dessas atividades. Executar o workspace da função SAPAuditLogConfigRecommend produz uma lista de marcas recomendadas que será atribuída aos usuários, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite o ajuste fino de alertas excluindo /incluindo usuários em contextos específicos e também é usado para configurar as regras de análise SAP integradas para monitorar o log de auditoria do SAP. Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - SAPUser: o usuário do SAP - Marcas: as marcas são usadas para identificar usuários em relação a determinada atividade. Por exemplo, adicionar as marcas ["GenericTablebyRFCOK"] ao usuário SENTINEL_SRV impedirá que incidentes relacionados à RFC sejam criados para esse usuário específico Outros identificadores de usuário do Active Directory – Identificador de usuário do AD – Sid local do usuário – Nome UPN |
Guias estratégicos disponíveis
Os guias estratégicos fornecidos pela solução do Microsoft Sentinel para aplicativos SAP ajudam você a automatizar as cargas de trabalho de resposta a incidentes do SAP, melhorando a eficiência e a eficácia das operações de segurança.
Esta seção descreve os guias estratégicos de análise internos fornecidos junto com a solução do Microsoft Sentinel para aplicativos SAP.
| Nome do guia estratégico | Parâmetros | conexões |
|---|---|---|
| Resposta a incidentes SAP - Bloquear usuário do Teams - Básico | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath – DefaultEmail - TeamsChannel |
- Microsoft Sentinel – Microsoft Teams |
| Resposta a incidentes SAP - Bloquear usuário do Teams - Avançado | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Registros do Azure Monitor Office 365 Outlook – Microsoft Entra ID – Azure Key Vault – Microsoft Teams |
| Resposta a incidentes SAP – Reabilitar o log de auditoria depois de desativado | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel – Azure Key Vault - Registros do Azure Monitor – Microsoft Teams |
As seções a seguir descrevem exemplos de casos de uso para cada um dos guias estratégicos fornecidos, em um cenário em que um incidente avisou sobre atividades suspeitas em um dos sistemas SAP, em que um usuário está tentando executar uma dessas transações altamente confidenciais.
Durante a fase de triagem de incidentes, você decide tomar medidas contra esse usuário, expulsando-o de seus sistemas SAP ERP ou BTP ou até mesmo do Microsoft Entra ID.
Para obter mais informações, consulte Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
O processo de implantação de aplicativos lógicos Standard geralmente é mais complexo do que para aplicativos lógicos de consumo. Criamos uma série de atalhos para ajudá-lo a implantá-los rapidamente no repositório GitHub do Microsoft Sentinel. Para obter mais informações, consulte o Guia de instalação passo a passo.
Dica
Observe a pasta de guias estratégicos do SAP no repositório GitHub para obter mais guias estratégicos à medida que eles se tornam disponíveis. Há também um breve vídeo introdutório (link externo) para ajudá-lo a começar.
Bloquear um usuário de um único sistema
Crie uma regra de automação para invocar o usuário Bloquear do Teams – Guia estratégico básico sempre que uma execução de transação confidencial por um usuário não autorizado for detectada. Esse guia estratégico usa o recurso de cartões adaptáveis do Teams para solicitar aprovação antes de bloquear unilateralmente o usuário.
Para obter mais informações, consulte De zero a cobertura de segurança principal com o Microsoft Sentinel para seus sinais críticos de segurança SAP – Você vai me ouvir SOAR! Parte 1 (postagem no blog da SAP).
O usuário de bloqueio do Teams – Manual básico é um guia estratégico padrão e os guias estratégicos padrão geralmente são mais complexos de implantar do que os guias estratégicos de consumo.
Criamos uma série de atalhos para ajudá-lo a implantá-los rapidamente no repositório GitHub do Microsoft Sentinel. Para obter mais informações, consulte Guia de instalação passo a passo e Tipos de aplicativos lógicos com suporte.
Bloquear um usuário de vários sistemas
O guia estratégicoBloquear usuário do Teams – Avançado atinge o mesmo objetivo, mas foi projetado para cenários mais complexos, permitindo que um único guia estratégico seja usado para vários sistemas SAP, cada um com seu próprio SID SAP.
O guia estratégico Bloquear usuário do Teams – Avançado gerencia perfeitamente as conexões com todos esses sistemas e suas credenciais, usando o parâmetro dinâmico opcional InterfaceAttributes na lista de controle SAP – Sistemas e no Azure Key Vault.
O guia estratégico Bloquear usuário do Teams – Avançado também permite que você se comunique com as partes no processo de aprovação usando mensagens acionáveis do Outlook junto com o Teams, usando os parâmetros TeamsChannelID e DestinationEmail na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration .
Para obter mais informações, consulte Cobertura de segurança de zero a herói com o Microsoft Sentinel para seus sinais críticos de segurança SAP – Parte 2 (postagem no blog da SAP).
Impedir a desativação do log de auditoria
Você também pode estar preocupado com a desativação do log de auditoria do SAP, que é uma de suas fontes de dados de segurança. Recomendamos que você crie uma regra de automação com base na regra de análise SAP – Desativação do Log de Auditoria de Segurança para invocar o guia estratégico Reabilitar log de auditoria após desativado para garantir que o log de auditoria SAP não seja desativado.
O manual SAP – Desativação do Log de Auditoria de Segurança também usa o Teams, informando a equipe de segurança após o fato. A gravidade da ofensa e a urgência de sua mitigação indicam que ações imediatas podem ser tomadas sem necessidade de aprovação.
Como o guia estratégico SAP – Desativação do Log de Auditoria de Segurança também usa o Azure Key Vault para gerenciar credenciais, a configuração do guia estratégico é semelhante à do guia estratégico Bloquear usuário do Teams – Avançado. Para obter mais informações, consulte Cobertura de segurança de zero a herói com o Microsoft Sentinel para seus sinais críticos de segurança SAP – Parte 3 (postagem no blog da SAP).
Conteúdo relacionado
Para obter mais informações, consulte Implantando a solução do Microsoft Sentinel para aplicativos SAP.