Partilhar via

Monitore e rastreie a atividade de auditoria do usuário em todos os sistemas SAP

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Este artigo descreve o log SAP - Security Audit e a pasta de trabalho Initial Access, usados para monitorar e acompanhar a atividade de auditoria do usuário em seus sistemas SAP. Use a pasta de trabalho para obter uma visão panorâmica da atividade de auditoria do usuário, proteger melhor seus sistemas SAP e obter visibilidade rápida de ações suspeitas. Analise detalhadamente eventos suspeitos conforme necessário.

Use a pasta de trabalho para monitoramento contínuo de seus sistemas SAP ou para revisar os sistemas após um incidente de segurança ou outra atividade suspeita.

Por exemplo:

Captura de ecrã da parte superior do registo SAP -Security Audit e do livro Initial Access.

O conteúdo deste artigo destina-se à sua equipa de segurança .

Pré-requisitos

Antes de começar a usar o log SAP - Security Audit e a pasta de trabalho do Acesso Inicial, você deve ter:

  • Uma solução Microsoft Sentinel para SAP instalada e um conector de dados configurado. Para obter mais informações, consulte Implantar uma solução Microsoft Sentinel para aplicativos SAP.

  • A pasta de trabalho SAP - Security Audit log and Initial Access instalada no espaço de trabalho do Log Analytics habilitada para o Microsoft Sentinel. Para obter mais informações, consulte Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.

    Importante

    O log SAP - Security Audit e a pasta de trabalho Initial Access são hospedados no espaço de trabalho onde a solução Microsoft Sentinel para aplicativos SAP foi instalada. Por padrão, presume-se que os dados SAP e SOC estejam no espaço de trabalho que hospeda a pasta de trabalho.

    Se os dados SOC estiverem em um espaço de trabalho diferente do espaço de trabalho que hospeda a pasta de trabalho, certifique-se de incluir a assinatura para esse espaço de trabalho e selecione o espaço de trabalho SOC no espaço de trabalho de auditoria e atividade do Azure.

  • Pelo menos um incidente no espaço de trabalho do Microsoft Sentinel, com pelo menos uma entrada disponível na SecurityIncident tabela. Isso não precisa ser um incidente SAP, e você pode gerar um incidente de demonstração usando uma regra de análise básica se não tiver outra.

  • Se seus dados do Microsoft Entra estiverem em um espaço de trabalho diferente do Log Analytics, certifique-se de selecionar as assinaturas e espaços de trabalho relevantes na parte superior da pasta de trabalho, em Auditoria e atividades do Azure.

Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças de custo de ingestão são geralmente mínimas e os dados são úteis para deteções do Microsoft Sentinel e em investigações e caçadas pós-comprometimento. Para obter mais informações, consulte Configurar auditoria SAP.

Filtros suportados

O SAP - Security Audit log and Initial Access workbook suporta os seguintes filtros para ajudá-lo a se concentrar nos dados de que precisa:

  • Intervalo de tempo. De quatro horas a 90 dias.
  • Funções do sistema. As funções do sistema SAP, por exemplo: Desenvolvimento.
  • Utilização do Sistema. Por exemplo: SAP GTS.
  • Sistemas SAP. Você pode selecionar todos os sistemas, um sistema específico ou vários sistemas.

Se você selecionar sistemas que não estão configurados na lista de observação de sistemas SAP, a pasta de trabalho mostrará um erro, especificando os sistemas com problemas. Nesse caso, configure a lista de observação para incluir corretamente esses sistemas.

Dados do relatório de análise de logon

A guia Relatório de análise de logon no log SAP - Auditoria de Segurança e pasta de trabalho Acesso Inicial mostra dados sobre falhas de entrada, como dados anômalos, dados do Microsoft Entra e muito mais.

Os dados são baseados na lista de observação dos sistemas SAP.

A guia Relatório de análise de logon inclui as seguintes áreas:

Análise de logon

A área de análise de logon mostra sobre os logins do usuário. Por exemplo:

Captura de tela da área Análise de logon da pasta de trabalho SAP Audit.

A tabela a seguir descreve cada métrica na área Análise de logon :

Área Description
Logons de usuário exclusivos por sistema Mostra o número de entradas exclusivas para cada sistema SAP e um gráfico com as tendências de login ao longo do tempo selecionado para cada sistema.

Por exemplo: o sistema 012 tem tentativas de logon exclusivas de 1,4 K nos últimos 14 dias e, nesses 14 dias, o gráfico mostra uma tendência de entrada relativamente crescente.
Tendência de tipos de logon Mostra uma tendência do número de entradas de acordo com o tipo, por exemplo, login via caixa de diálogo.

Passe o cursor sobre o gráfico para mostrar o número de logons para diferentes datas.
Falhas de logon Vs. sucesso por usuários únicos - tendência Mostra uma tendência de entradas bem-sucedidas e falhadas no período selecionado.

Passe o cursor sobre o gráfico para mostrar a quantidade de entradas bem-sucedidas e falhadas para datas diferentes.

Falhas de logon - deteção de anomalias

As áreas sob Deteção de anomalias - filtrando tentativas de login ruidosas e falhadas mostram dados de falha de login para sistemas SAP e usuários. Para ver apenas os dados sinalizados por, selecione Apenas anômalo ao lado de Logons com falha à direita.

Para obter mais informações, consulte Monitorar o log de auditoria do SAP.

Por exemplo:

Captura de tela das seções na área Falhas de logon da pasta de trabalho SAP Audit que você pode filtrar por dados anômalos.

A tabela a seguir descreve cada métrica na área de deteção de anomalias:

Área Description
Taxa de>falha de logon Anomalias>de falha de logon Logons com falha de usuário exclusivo por sistema SAP Mostra o número de entradas com falha exclusivas para cada sistema SAP.
SAP e Ative Directory são melhores juntos A tabela Anomalias de início de sessão mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra, listando os utilizadores de acordo com o risco, com os utilizadores mais arriscados no topo.

Para cada usuário, a tabela mostra:
- Uma cronologia de tentativas de início de sessão falhadas
- Uma linha do tempo mostrando em que ponto ocorreu uma tentativa anômala fracassada
- O tipo de anomalia
- O endereço de e-mail do usuário
- O indicador de risco Microsoft Entra
- O número de incidentes e alertas no Microsoft Sentinel

Selecione a linha de um usuário para ver uma lista de alertas e incidentes relacionados. Os eventos de risco do Microsoft Entra estão listados em Riscos de auditoria e entrada do Azure para o usuário.
Taxa de falha de logon por sistema Mostra os sistemas SAP selecionados, agrupados por tipo, com o número de falhas no período selecionado.

A cor do sistema indica o número de tentativas falhadas: verde para algumas tentativas de início de sessão suspeitas e vermelho para mais.

Selecione um sistema para ver uma lista de entradas com falha, com detalhes sobre as falhas.

Na captura de tela a seguir, observe os dados mostrados quando a primeira linha é selecionada na tabela Falhas de login anômalas . Os alertas específicos e URLs de incidentes são mostrados na tabela Visão geral de incidentes/alertas para o usuário .

Captura de ecrã dos dados apresentados quando uma linha é selecionada na tabela Anomalias de início de sessão.

Na captura de tela a seguir, a tabela Riscos de auditoria e entrada do Azure para o usuário mostra dados para o risco de entrada relacionado a esse usuário.

Captura de ecrã dos dados de risco de auditoria e início de sessão apresentados quando uma linha é selecionada na tabela Anomalias de início de sessão.

Na captura de tela a seguir, observe a taxa de falha de login por área do sistema , onde o sistema 84e no grupo Teste está selecionado. A área Logon com falha para o sistema à direita mostra eventos de falha para este sistema.

Captura de tela da taxa de falha de login por área do sistema da pasta de trabalho SAP Audit.

Falhas de logon - tendências

A área Tendências de falhas de logon mostra as tendências e o número de entradas com falha, agrupadas por diferentes tipos de dados. Por exemplo:

Captura de tela da área Tendências de falhas de logon da pasta de trabalho de auditoria SAP.

A tabela a seguir descreve cada métrica na área Tendências de falhas de logon:

Área Description
Falha de login por causa Mostra a tendência do número de falhas de entrada de acordo com a causa da falha, como dados de entrada incorretos.
Falha de login por tipo Mostra a tendência do número de falhas de entrada de acordo com o tipo, como o logon disparou um trabalho em segundo plano ou o login foi via HTTP.
Falha de login por método Mostra a tendência do número de falhas de entrada de acordo com o método, como SNC ou um tíquete de entrada.

Guia Relatório de alertas do log de auditoria

A guia Alertas de log de auditoria mostra dados sobre os eventos de log de auditoria SAP que a solução Microsoft Sentinel para aplicativos SAP observa. Os dados baseiam-se na lista de vigilância SAP_Dynamic_Audit_Log_Monitor_Configuration.

A guia Alertas de log de auditoria mostra a gravidade e as tendências de auditoria para cada sistema SAP e usuário. Todas as áreas nesta guia mostram dados sinalizados apenas pela deteção de anomalias. Para todos os eventos, selecione Todos ao lado de Logons com falha à direita.

Para obter mais informações, consulte Monitorar o log de auditoria do SAP.

Por exemplo:

Captura de tela da área Alertas de log de auditoria da pasta de trabalho de auditoria SAP.

A tabela a seguir descreve cada métrica na guia Alertas do log de auditoria:

Área Description
Tendências de gravidade do alerta por ID do sistema Mostra uma lista de sistemas, com um gráfico de tendências de eventos de gravidade média e alta por sistema.

Por exemplo, o sistema 012 teve muitos eventos de alta gravidade durante todo o período e alguns eventos de gravidade média , com um pico que mostra mais eventos de gravidade média no meio do período.
Tendência de auditoria por usuário Mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra, listando os usuários de acordo com o risco, com os usuários mais arriscados no topo.

Para cada usuário, a pasta de trabalho mostra os seguintes dados:
- Uma linha do tempo de eventos de alta e média gravidade
- O endereço de e-mail do usuário
- O indicador de risco Microsoft Entra
- O número de incidentes e alertas no Microsoft Sentinel

Selecione uma linha para ver uma lista de alertas e incidentes para esse usuário em Visão geral de incidentes/alertas para o usuário.

Exiba os eventos de risco do Microsoft Entra em Riscos de auditoria e entrada do Azure para o usuário.
Pontuação de risco por sistema Representa visualmente cada sistema em forma de célula, mostrando a pontuação de risco para cada sistema e agrupando sistemas por tipo.

A cor do sistema indica a pontuação de risco do sistema: verde para uma pontuação de risco mais baixa e vermelho para uma pontuação de risco mais alta.

Selecione um sistema para ver uma lista de eventos SAP por sistema.
Eventos por MITRE ATT&CK TACTICS Mostra uma lista de eventos SAP agrupados por táticas MITRE ATT&CK, como Acesso Inicial ou Evasão de Defesa.

Passe o cursor sobre o gráfico para mostrar o número de entradas para datas diferentes.
Eventos por categoria Mostra uma lista de tendências de eventos SAP agrupadas por categoria, como RFC Start ou Logon.

Passe o cursor sobre o gráfico para mostrar o número de entrada para datas diferentes.
Eventos por grupo de autorização Mostra uma lista de tendências de eventos SAP agrupadas pelo grupo de autorização SAP, como USER ou SUPER.

Passe o cursor sobre o gráfico para mostrar o número de entradas para datas diferentes.
Eventos por tipo de utilizador Mostra uma lista de tendências de eventos SAP agrupadas pelo tipo de usuário SAP, como Dialog ou System.

Passe o cursor sobre o gráfico para mostrar o número de entradas para datas diferentes.

Na captura de tela a seguir, observe os dados mostrados quando a primeira linha é selecionada na tabela Tendências de auditoria por usuário . Os alertas específicos e URLs de incidentes são mostrados na tabela Visão geral de incidentes/alertas para o usuário .

Captura de tela dos dados mostrados quando uma linha é selecionada na tabela Tendências de auditoria por usuário.

Na captura de tela a seguir, observe a pontuação de risco por área do sistema , onde o sistema cb7 no grupo UAT está selecionado. Os eventos SAP para a área do sistema abaixo da visualização do sistema mostram o evento SAP para este sistema.

Captura de tela da pontuação de risco por área do sistema da pasta de trabalho SAP Audit.

Na captura de tela a seguir, observe as áreas com eventos e tendências de eventos agrupados por diferentes tipos de dados: táticas MITRE ATT&CK, grupo de autorização SAP e tipo de usuário.

Captura de tela dos diferentes dados de eventos na pasta de trabalho do SAP Audit.

Conteúdos relacionados

Para obter mais informações, consulte Implantar a solução Microsoft Sentinel para aplicativos SAP a partir do hub de conteúdo e Solução Microsoft Sentinel para aplicativos SAP: referência de conteúdo de segurança.