Solução Microsoft Sentinel para aplicativos SAP: referência de conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível para as soluções Microsoft Sentinel para SAP.
Importante
Embora a solução Microsoft Sentinel para aplicativos SAP esteja em GA, alguns componentes específicos permanecem na visualização. Este artigo indica os componentes que estão em visualização nas seções relevantes abaixo. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
O conteúdo de segurança disponível inclui pastas de trabalho internas e regras de análise. Você também pode adicionar listas de observação relacionadas ao SAP para usar em sua pesquisa, regras de deteção, caça a ameaças e playbooks de resposta.
O conteúdo deste artigo destina-se à sua equipa de segurança .
Livros incorporados
Use as seguintes pastas de trabalho integradas para visualizar e monitorar dados ingeridos por meio do conector de dados SAP. Depois de implantar a solução SAP, você pode encontrar pastas de trabalho SAP na guia Modelos .
| Nome da pasta de trabalho | Description | Registos |
|---|---|---|
| SAP - Navegador de log de auditoria | Exibe dados como: - Integridade geral do sistema, incluindo logins de usuários ao longo do tempo, eventos ingeridos pelo sistema, classes e IDs de mensagens e programas ABAP executados -Gravidade dos eventos que ocorrem no seu sistema - Eventos de autenticação e autorização que ocorrem no seu sistema |
Usa dados do seguinte log: ABAPAuditLog_CL |
| Controles de auditoria SAP | Ajuda a verificar a conformidade dos controles de segurança do ambiente SAP com a estrutura de controle escolhida, usando ferramentas para fazer o seguinte: - Atribua regras de análise em seu ambiente a controles de segurança específicos e famílias de controle - Monitorar e categorizar os incidentes gerados pelas regras de análise baseadas em soluções SAP - Relatório sobre a sua conformidade |
Usa dados das tabelas a seguir: - SecurityAlert- SecurityIncident |
Para obter mais informações, consulte Tutorial: Visualize e monitore seus dados e Implante a solução Microsoft Sentinel para aplicativos SAP.
Regras de análise incorporadas
Esta seção descreve uma seleção de regras de análise internas fornecidas juntamente com a solução Microsoft Sentinel para aplicativos SAP. Para obter as atualizações mais recentes, verifique o hub de conteúdo do Microsoft Sentinel para obter regras novas e atualizadas.
Monitorar a configuração de parâmetros de segurança estáticos do SAP (Preview)
Para proteger o sistema SAP, a SAP identificou parâmetros relacionados à segurança que precisam ser monitorados quanto a alterações. Com a regra "SAP - (Preview) Sensitive Static Parameter has Changed", a solução Microsoft Sentinel para aplicativos SAP rastreia mais de 52 parâmetros estáticos relacionados à segurança no sistema SAP, que são incorporados ao Microsoft Sentinel.
Nota
Para que a solução Microsoft Sentinel para aplicativos SAP monitore com êxito os parâmetros de segurança SAP, a solução precisa monitorar com êxito a tabela SAP PAHI em intervalos regulares. Para obter mais informações, consulte Verificar se a tabela PAHI é atualizada em intervalos regulares.
Para entender as alterações de parâmetros no sistema, a solução Microsoft Sentinel para aplicativos SAP usa a tabela de histórico de parâmetros, que registra as alterações feitas nos parâmetros do sistema a cada hora.
Os parâmetros também são refletidos na lista de observação SAPSystemParameters. Essa lista de observação permite que os usuários adicionem novos parâmetros, desativem parâmetros existentes e modifiquem os valores e gravidades por parâmetro e função do sistema em ambientes de produção ou não.
Quando uma alteração é feita em um desses parâmetros, o Microsoft Sentinel verifica se a alteração está relacionada à segurança e se o valor está definido de acordo com os valores recomendados. Se houver suspeita de que a alteração está fora da zona segura, o Microsoft Sentinel cria um incidente detalhando a alteração e identifica quem fez a alteração.
Analise a lista de parâmetros que esta regra monitoriza.
Monitorar o log de auditoria SAP
Muitas das regras de análise na solução Microsoft Sentinel para aplicativos SAP usam dados de log de auditoria SAP. Algumas regras de análise procuram eventos específicos no log, enquanto outras correlacionam indicações de vários logs para criar alertas e incidentes de alta fidelidade.
Use as seguintes regras de análise para monitorar todos os eventos de log de auditoria em seu sistema SAP ou acionar alertas somente quando anomalias forem detetadas:
| Nome da regra | Description |
|---|---|
| SAP - Configuração ausente no Dynamic Security Audit Log Monitor | Por padrão, é executado diariamente para fornecer recomendações de configuração para o módulo de log de auditoria SAP. Use o modelo de regra para criar e personalizar uma regra para seu espaço de trabalho. |
| SAP - Monitor de Log de Auditoria Determinística Dinâmica (PREVIEW) | Por padrão, é executado a cada 10 minutos e se concentra nos eventos de log de auditoria do SAP marcados como determinísticos. Use o modelo de regra para criar e personalizar uma regra para seu espaço de trabalho, como para uma taxa de falsos positivos mais baixa. Esta regra requer limites de alerta determinísticos e regras de exclusão do usuário. |
| SAP - Alertas de Monitor de Log de Auditoria Baseados em Anomalias Dinâmicas (PREVIEW) | Por padrão, é executado de hora em hora e se concentra em eventos SAP marcados como AnomaliesOnly, alertando sobre eventos de log de auditoria SAP quando anomalias são detetadas. Esta regra aplica algoritmos de aprendizagem automática adicionais para filtrar o ruído de fundo de uma forma não supervisionada. |
Por padrão, a maioria dos tipos de eventos ou IDs de mensagens SAP no log de auditoria SAP são enviados para a regra de análise Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) baseada em anomalias, enquanto os tipos de evento mais fáceis de definir são enviados para a regra de análise determinística Dynamic Deterministic Audit Log Monitor (PREVIEW). Essa configuração, juntamente com outras configurações relacionadas, pode ser configurada para se adequar a quaisquer condições do sistema.
As regras de monitoramento do log de auditoria SAP são fornecidas como parte do conteúdo de segurança da solução Microsoft Sentinel for SAP e permitem ajustes mais finos usando as listas de observação SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
Por exemplo, a tabela a seguir lista vários exemplos de como você pode usar a lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration para configurar os tipos de eventos que produzem incidentes, reduzindo o número de incidentes gerados.
| Opção | Description |
|---|---|
| Definir gravidades e desativar eventos indesejados | Por padrão, tanto as regras determinísticas quanto as regras baseadas em anomalias criam alertas para eventos marcados com gravidades média e alta. Talvez você queira configurar severidades separadamente ambientes de produção e não produção. Por exemplo, você pode definir um evento de atividade de depuração como de alta gravidade em sistemas de produção e desativar os mesmos eventos inteiramente em sistemas que não sejam de produção. |
| Excluir usuários por suas funções SAP ou perfis SAP | O Microsoft Sentinel for SAP ingere o perfil de autorização do usuário SAP, incluindo atribuições diretas e indiretas de funções, grupos e perfis, para que você possa falar a linguagem SAP em seu SIEM. Talvez você queira configurar um evento SAP para excluir usuários com base em suas funções e perfis SAP. Na lista de observação, adicione as funções ou perfis que agrupam os usuários da interface RFC na coluna RolesTagsToExclude, ao lado do evento Acesso à tabela genérica por RFC . Essa configuração aciona alertas apenas para usuários que não têm essas funções. |
| Excluir usuários por suas tags SOC | Use tags para criar seu próprio agrupamento, sem depender de definições SAP complicadas ou mesmo sem autorização SAP. Esse método é útil para equipes SOC que desejam criar seu próprio agrupamento para usuários SAP. Por exemplo, se você não quiser que contas de serviço específicas sejam alertadas para acesso a tabelas genéricas por eventos RFC , mas não conseguir encontrar uma função SAP ou um perfil SAP que agrupe esses usuários, use as tags da seguinte maneira: 1. Adicione a tag GenTableRFCReadOK ao lado do evento relevante na lista de observação. 2. Vá para a lista de observação SAP_User_Config e atribua aos usuários da interface a mesma tag. |
| Especificar um limite de frequência por tipo de evento e função do sistema | Funciona como um limite de velocidade. Por exemplo, você pode configurar eventos de Alteração de Registro Mestre de Usuário para acionar alertas somente se mais de 12 atividades forem observadas em uma hora, pelo mesmo usuário em um sistema de produção. Se um usuário exceder o limite de 12 por hora, por exemplo, 2 eventos em uma janela de 10 minutos, um incidente será acionado. |
| Determinismo ou anomalias | Se você conhece as características do evento, use os recursos determinísticos. Se você não tiver certeza de como configurar corretamente o evento, permita que os recursos de aprendizado de máquina decidam iniciar e, em seguida, faça atualizações subsequentes conforme necessário. |
| Capacidades SOAR | Use o Microsoft Sentinel para orquestrar, automatizar e responder a incidentes criados por alertas dinâmicos de log de auditoria SAP. Para obter mais informações, consulte Automação no Microsoft Sentinel: orquestração, automação e resposta de segurança (SOAR). |
Para obter mais informações, consulte Listas de observação disponíveis e Microsoft Sentinel for SAP News - Dynamic SAP Security Audit Log Monitor recurso disponível agora! (blog).
Acesso inicial
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| SAP - Login a partir de uma rede inesperada | Identifica um início de sessão a partir de uma rede inesperada. Manter redes na lista de observação SAP - Redes . |
Inicie sessão no sistema de back-end a partir de um endereço IP que não esteja atribuído a uma das redes. Fontes de dados: SAPcon - Audit Log |
Acesso inicial |
| SAP - Ataque SPNego | Identifica o ataque SPNego Replay. | Fontes de dados: SAPcon - Audit Log | Impacto, Movimento Lateral |
| SAP - Tentativa de logon da caixa de diálogo de um usuário privilegiado | Identifica tentativas de entrada na caixa de diálogo, com o tipo AUM , por usuários privilegiados em um sistema SAP. Para obter mais informações, consulte SAPUsersGetPrivileged. | Tentar iniciar sessão a partir do mesmo IP em vários sistemas ou clientes dentro do intervalo de tempo agendado Fontes de dados: SAPcon - Audit Log |
Impacto, Movimento Lateral |
| SAP - Ataques de força bruta | Identifica ataques de força bruta no sistema SAP usando logons RFC | Tente entrar a partir do mesmo IP para vários sistemas/clientes dentro do intervalo de tempo agendado usando RFC Fontes de dados: SAPcon - Audit Log |
Acesso a credenciais |
| SAP - Múltiplos Logons por IP | Identifica o início de sessão de vários utilizadores a partir do mesmo endereço IP num intervalo de tempo agendado. Caso de subuso: Persistência |
Inicie sessão utilizando vários utilizadores através do mesmo endereço IP. Fontes de dados: SAPcon - Audit Log |
Acesso inicial |
| SAP - Múltiplos Logons por Usuário Suportado apenas para o agente do conector de dados. Não disponível com a solução SAP sem agente (visualização limitada). |
Identifica entradas do mesmo usuário de vários terminais dentro do intervalo de tempo agendado. Disponível apenas através do método Audit SAL, para SAP versões 7.5 e superiores. |
Entre usando o mesmo usuário, usando endereços IP diferentes. Fontes de dados: SAPcon - Audit Log |
Pré-ataque, acesso a credenciais, acesso inicial, coleta Caso de subuso: Persistência |
| SAP - Informativo - Ciclo de vida - SAP Notes foram implementados no sistema | Identifica a implementação do SAP Note no sistema. | Implemente uma nota SAP usando SNOTE/TCI. Fontes de dados: SAPcon - Change Requests |
- |
| SAP - (Pré-visualização) AS JAVA - Utilizador Privilegiado Sensível com Sessão Iniciada | Identifica um início de sessão a partir de uma rede inesperada. Mantenha usuários privilegiados na lista de observação SAP - Usuários privilegiados . |
Entre no sistema de back-end usando usuários privilegiados. Fontes de dados: SAPJAVAFilesLog |
Acesso inicial |
| SAP - (Pré-visualização) AS JAVA - Início de sessão a partir de uma rede inesperada | Identifica entradas de uma rede inesperada. Manter usuários privilegiados na lista de observação SAP - Redes . |
Inicie sessão no sistema de back-end a partir de um endereço IP que não esteja atribuído a uma das redes na lista de observação SAP - Networks Fontes de dados: SAPJAVAFilesLog |
Acesso Inicial, Evasão de Defesa |
Transferência de dados não autorizada
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| SAP - FTP para servidores não autorizados | Identifica uma conexão FTP para um servidor não autorizado. | Crie uma nova conexão FTP, como usando o FTP_CONNECT Function Module. Fontes de dados: SAPcon - Audit Log |
Descoberta, acesso inicial, comando e controle |
| SAP - Configuração de servidores FTP inseguros | Identifica configurações de servidor FTP inseguras, como quando uma lista de permissões de FTP está vazia ou contém espaços reservados. | Não mantenha ou mantenha valores que contenham espaços reservados na SAPFTP_SERVERS tabela, usando o SAPFTP_SERVERS_V modo de exibição de manutenção. (SM30) Fontes de dados: SAPcon - Audit Log |
Acesso inicial, comando e controlo |
| SAP - Download de vários arquivos | Identifica vários downloads de arquivos para um usuário dentro de um intervalo de tempo específico. | Faça o download de vários arquivos usando o SAPGui para Excel, listas e assim por diante. Fontes de dados: SAPcon - Audit Log |
Recolha, Exfiltração, Acesso a Credenciais |
| SAP - Execuções de Spool Múltiplo | Identifica vários spools para um usuário dentro de um intervalo de tempo específico. | Crie e execute vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon - Spool Log, SAPcon - Audit Log |
Recolha, Exfiltração, Acesso a Credenciais |
| SAP - Execuções de saída de spool múltiplo | Identifica vários spools para um usuário dentro de um intervalo de tempo específico. | Crie e execute vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon - Spool Output Log, SAPcon - Audit Log |
Recolha, Exfiltração, Acesso a Credenciais |
| SAP - Acesso direto a tabelas sensíveis por logon RFC | Identifica um acesso genérico à tabela por entrada RFC. Manter tabelas na lista de observação SAP - Sensitive Tables . Relevante apenas para sistemas de produção. |
Abra o conteúdo da tabela usando SE11/SE16/SE16N. Fontes de dados: SAPcon - Audit Log |
Recolha, Exfiltração, Acesso a Credenciais |
| SAP - Aquisição de Spool | Identifica um usuário imprimindo uma solicitação de spool que foi criada por outra pessoa. | Crie uma solicitação de spool usando um usuário e, em seguida, produza-a usando um usuário diferente. Fontes de dados: SAPcon - Spool Log, SAPcon - Spool Output Log, SAPcon - Audit Log |
Recolha, Exfiltração, Comando e Controlo |
| SAP - Destino RFC dinâmico | Identifica a execução de RFC usando destinos dinâmicos. Caso de subuso: Tentativas de ignorar os mecanismos de segurança do SAP |
Execute um relatório ABAP que use destinos dinâmicos (cl_dynamic_destination). Por exemplo, DEMO_RFC_DYNAMIC_DEST. Fontes de dados: SAPcon - Audit Log |
Recolha, Exfiltração |
| SAP - Acesso direto a tabelas sensíveis por logon de caixa de diálogo | Identifica o acesso genérico à tabela por meio da entrada na caixa de diálogo. | Abra o conteúdo da tabela usando SE11//SE16SE16No . Fontes de dados: SAPcon - Audit Log |
Deteção |
| SAP - (Pré-visualização) ficheiro descarregado de um endereço IP malicioso | Identifica o download de um arquivo de um sistema SAP usando um endereço IP conhecido por ser malicioso. Os endereços IP maliciosos são obtidos a partir de serviços de informações sobre ameaças. | Transfira um ficheiro de um IP malicioso. Fontes de dados: Log de auditoria de segurança SAP, Threat Intelligence |
Exfiltração |
| SAP - (Visualização) Dados exportados de um sistema de produção usando um transporte | Identifica a exportação de dados de um sistema de produção usando um transporte. Os transportes são usados em sistemas de desenvolvimento e são semelhantes a solicitações pull. Esta regra de alerta dispara incidentes com gravidade média quando um transporte que inclui dados de qualquer tabela é liberado de um sistema de produção. A regra cria um incidente de alta gravidade quando a exportação inclui dados de uma tabela confidencial. | Libere um transporte de um sistema de produção. Fontes de dados: SAP CR log, SAP - Sensitive Tables |
Exfiltração |
| SAP - (Pré-visualização) Dados Confidenciais Guardados numa Unidade USB | Identifica a exportação de dados SAP através de arquivos. A regra verifica se há dados salvos em uma unidade USB montada recentemente na proximidade de uma execução de uma transação confidencial, um programa confidencial ou acesso direto a uma tabela confidencial. | Exporte dados SAP através de arquivos e salve em uma unidade USB. Fontes de dados: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender for Endpoint), SAP - Sensitive Tables, SAP - Sensitive Transactions, SAP - Sensitive Programs |
Exfiltração |
| SAP - (Pré-visualização) Impressão de dados potencialmente sensíveis | Identifica uma solicitação ou impressão real de dados potencialmente confidenciais. Os dados são considerados confidenciais se o usuário obtiver os dados como parte de uma transação confidencial, execução de um programa confidencial ou acesso direto a uma tabela confidencial. | Imprima ou solicite a impressão de dados confidenciais. Fontes de dados: SAP Security Audit Log, SAP Spool logs, SAP - Sensitive Tables, SAP - Sensitive Programs |
Exfiltração |
| SAP - (Pré-visualização) Alto Volume de Dados Potencialmente Sensíveis Exportados | Identifica a exportação de um grande volume de dados através de arquivos próximos a uma execução de uma transação sensível, um programa confidencial ou acesso direto a uma tabela sensível. | Exporte um grande volume de dados através de ficheiros. Fontes de dados: SAP Security Audit Log, SAP - Sensitive Tables, SAP - Sensitive Transactions, SAP - Sensitive Programs |
Exfiltração |
Persistência
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| SAP - Ativação ou Desativação do Serviço ICF | Identifica a ativação ou desativação dos Serviços ICF. | Ative um serviço usando o SICF. Fontes de dados: SAPcon - Table Data Log |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP - Módulo de função testado | Identifica o teste de um módulo de função. | Teste um módulo de função usando SE37 / SE80o . Fontes de dados: SAPcon - Audit Log |
Cobrança, Evasão de Defesa, Movimento Lateral |
| SAP - (PREVIEW) HANA DB - Ações de administrador do usuário | Identifica as ações de administração do usuário. | Criar, atualizar ou excluir um usuário de banco de dados. Fontes de dados: Agente Linux - Syslog* |
Escalamento de Privilégios |
| SAP - Novos manipuladores de serviços ICF | Identifica a criação de manipuladores ICF. | Atribua um novo manipulador a um serviço usando SICF. Fontes de dados: SAPcon - Audit Log |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP - Novos Serviços ICF | Identifica a criação de Serviços ICF. | Crie um serviço usando o SICF. Fontes de dados: SAPcon - Table Data Log |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP - Execução de um módulo de função obsoleto ou inseguro | Identifica a execução de um módulo de função ABAP obsoleto ou inseguro. Manter funções obsoletas na lista de observação SAP - Obsolete Function Modules . Certifique-se de ativar as alterações de log de tabela para a EUFUNC tabela no back-end. (SE13)Relevante apenas para sistemas de produção. |
Execute um módulo de função obsoleto ou inseguro diretamente usando o SE37. Fontes de dados: SAPcon - Table Data Log |
Descoberta, Comando e Controlo |
| SAP - Execução de Programa Obsoleto/Inseguro Suportado apenas para o agente do conector de dados. Não disponível com a solução SAP sem agente (visualização limitada). |
Identifica a execução de um programa ABAP obsoleto ou inseguro. Manter programas obsoletos na lista de observação SAP - Programas Obsoletos . Relevante apenas para sistemas de produção. |
Execute um programa diretamente usando SE38/SA38/SE80 ou usando um trabalho em segundo plano. Fontes de dados: SAPcon - Audit Log |
Descoberta, Comando e Controlo |
| SAP - Múltiplas alterações de senha | Identifica várias alterações de senha por usuário. | Alterar palavra-passe de utilizador Fontes de dados: SAPcon - Audit Log |
Acesso a credenciais |
| SAP - (Preview) AS JAVA - Usuário cria e usa novo usuário | Identifica a criação ou manipulação de usuários por administradores dentro do ambiente Java SAP AS. | Entre no sistema de back-end usando usuários que você criou ou manipulou. Fontes de dados: SAPJAVAFilesLog |
Persistência |
Tentativas de ignorar os mecanismos de segurança SAP
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| SAP - Alteração na configuração do cliente | Identifica alterações na configuração do cliente, como a função do cliente ou o modo de gravação de alterações. | Execute alterações na configuração do cliente usando o código de SCC4 transação. Fontes de dados: SAPcon - Audit Log |
Evasão de Defesa, Exfiltração, Persistência |
| SAP - Os dados foram alterados durante a atividade de depuração | Identifica alterações para dados de tempo de execução durante uma atividade de depuração. Caso de subuso: Persistência |
1. Ativar depuração ("/h"). 2. Selecione um campo para alteração e atualize seu valor. Fontes de dados: SAPcon - Audit Log |
Execução, Movimento Lateral |
| SAP - Desativação do Log de Auditoria de Segurança | Identifica a desativação do Log de Auditoria de Segurança, | Desative o Log de auditoria de segurança usando SM19/RSAU_CONFIGo . Fontes de dados: SAPcon - Audit Log |
Exfiltração, Evasão de Defesa, Persistência |
| SAP - Execução de um Programa ABAP Sensível | Identifica a execução direta de um programa ABAP sensível. Manter Programas ABAP na lista de observação SAP - Programas ABAP Sensíveis . |
Execute um programa diretamente usando SE38//SA38SE80o . Fontes de dados: SAPcon - Audit Log |
Exfiltração, Movimento Lateral, Execução |
| SAP - Execução de um Código de Transação Sensível | Identifica a execução de um Código de Transação sensível. Mantenha códigos de transação na lista de observação SAP - Sensitive Transaction Codes . |
Execute um código de transação confidencial. Fontes de dados: SAPcon - Audit Log |
Descoberta, execução |
| SAP - Execução de Módulo de Função Sensível | Identifica a execução de um módulo de função ABAP sensível. Caso de subuso: Persistência Relevante apenas para sistemas de produção. Mantenha funções sensíveis na lista de observação SAP - Sensitive Function Modules e certifique-se de ativar as alterações de log de tabela no back-end para a tabela EUFUNC. (SE13) |
Execute um módulo de função sensível diretamente usando o SE37. Fontes de dados: SAPcon - Table Data Log |
Descoberta, Comando e Controlo |
| SAP - (PREVIEW) HANA DB - Alterações na política da trilha de auditoria | Identifica alterações nas políticas da trilha de auditoria do banco de dados HANA. | Crie ou atualize a política de auditoria existente em definições de segurança. Fontes de dados: Agente Linux - Syslog |
Movimento Lateral, Evasão de Defesa, Persistência |
| SAP - (PREVIEW) HANA DB - Desativação da pista de auditoria | Identifica a desativação do log de auditoria do banco de dados HANA. | Desative o log de auditoria na definição de segurança do banco de dados HANA. Fontes de dados: Agente Linux - Syslog |
Persistência, Movimento Lateral, Evasão de Defesa |
| SAP - Execução remota não autorizada de um módulo de função sensível | Deteta execuções não autorizadas de FMs confidenciais comparando a atividade com o perfil de autorização do usuário, ignorando as autorizações alteradas recentemente. Manter módulos de função na lista de observação SAP - Sensitive Function Modules . |
Execute um módulo de função usando RFC. Fontes de dados: SAPcon - Audit Log |
Execução, Movimento Lateral, Descoberta |
| SAP - Alteração na configuração do sistema | Identifica alterações na configuração do sistema. | Adapte as opções de alteração do sistema ou a modificação do componente de software usando o código de SE06 transação.Fontes de dados: SAPcon - Audit Log |
Exfiltração, Evasão de Defesa, Persistência |
| SAP - Atividades de depuração | Identifica todas as atividades relacionadas à depuração. Caso de subuso: Persistência |
Ative Debug ("/h") no sistema, depure um processo ativo, adicione ponto de interrupção ao código-fonte e assim por diante. Fontes de dados: SAPcon - Audit Log |
Deteção |
| SAP - Alteração na configuração do log de auditoria de segurança | Identifica alterações na configuração do Log de Auditoria de Segurança | Altere qualquer Configuração de Log de Auditoria de Segurança usando SM19/RSAU_CONFIG, como filtros, status, modo de gravação e assim por diante. Fontes de dados: SAPcon - Audit Log |
Persistência, Exfiltração, Evasão de Defesa |
| SAP - A transação está desbloqueada | Identifica o desbloqueio de uma transação. | Desbloqueie um código de transação usando SM01//SM01_DEVSM01_CUSo . Fontes de dados: SAPcon - Audit Log |
Persistência, Execução |
| SAP - Programa ABAP Dinâmico | Identifica a execução de programação ABAP dinâmica. Por exemplo, quando o código ABAP foi criado, alterado ou excluído dinamicamente. Manter códigos de transação excluídos na lista de observação SAP - Transactions for ABAP Generations . |
Crie um relatório ABAP que use comandos de geração de programa ABAP, como INSERT REPORT e, em seguida, execute o relatório. Fontes de dados: SAPcon - Audit Log |
Descoberta, Comando e Controlo, Impacto |
Operações de privilégios suspeitos
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| SAP - Mudança em um usuário privilegiado sensível | Identifica alterações de usuários privilegiados confidenciais. Mantenha usuários privilegiados na lista de observação SAP - Usuários privilegiados . |
Altere os detalhes / autorizações do usuário usando SU01o . Fontes de dados: SAPcon - Audit Log |
Escalonamento de privilégios, acesso a credenciais |
| SAP - (PREVIEW) HANA DB -Atribuir autorizações de administrador | Identifica o privilégio de administrador ou a atribuição de função. | Atribua um usuário com qualquer função ou privilégios de administrador. Fontes de dados: Agente Linux - Syslog |
Escalamento de Privilégios |
| SAP - Usuário privilegiado sensível conectado | Identifica a entrada na caixa de diálogo de um usuário privilegiado sensível. Mantenha usuários privilegiados na lista de observação SAP - Usuários privilegiados . |
Entre no sistema de back-end usando SAP* ou outro usuário privilegiado. Fontes de dados: SAPcon - Audit Log |
Acesso inicial, acesso a credenciais |
| SAP - Usuário privilegiado sensível faz uma alteração em outro usuário | Identifica alterações de usuários sensíveis e privilegiados em outros usuários. | Altere os detalhes / autorizações do usuário usando SU01. Fontes de dados: SAPcon - Audit Log |
Escalonamento de privilégios, acesso a credenciais |
| SAP - Alteração de Senha e Login de Usuários Sensíveis | Identifica alterações de senha para usuários privilegiados. | Altere a senha de um usuário privilegiado e entre no sistema. Mantenha usuários privilegiados na lista de observação SAP - Usuários privilegiados . Fontes de dados: SAPcon - Audit Log |
Impacto, Comando e Controlo, Escalonamento de Privilégios |
| SAP - Usuário cria e usa novo usuário | Identifica um usuário que cria e usa outros usuários. Caso de subuso: Persistência |
Crie um usuário usando SU01 e, em seguida, entre usando o usuário recém-criado e o mesmo endereço IP. Fontes de dados: SAPcon - Audit Log |
Descoberta, pré-ataque, acesso inicial |
| SAP - Usuário desbloqueia e usa outros usuários | Identifica um usuário que está sendo desbloqueado e usado por outros usuários. Caso de subuso: Persistência |
Desbloqueie um usuário usando SU01 e, em seguida, entre usando o usuário desbloqueado e o mesmo endereço IP. Fontes de dados: SAPcon - Audit Log, SAPcon - Change Documents Log |
Deteção, Pré-ataque, Acesso inicial, Movimento lateral |
| SAP - Atribuição de um perfil sensível | Identifica novas atribuições de um perfil confidencial para um usuário. Mantenha perfis sensíveis na lista de observação SAP - Sensitive Profiles . |
Atribua um perfil a um usuário usando SU01o . Fontes de dados: SAPcon - Change Documents Log |
Escalamento de Privilégios |
| SAP - Atribuição de uma função sensível | Identifica novas atribuições para uma função sensível para um usuário. Mantenha funções confidenciais na lista de observação SAP - Sensitive Roles . |
Atribua uma função a um usuário usando SU01 / PFCGo . Fontes de dados: SAPcon - Change Documents Log, Audit Log |
Escalamento de Privilégios |
| SAP - (PREVIEW) Atribuição de autorizações críticas - Novo valor de autorização | Identifica a atribuição de um valor crítico de objeto de autorização a um novo usuário. Mantenha objetos de autorização críticos na lista de observação SAP - Critical Authorization Objects . |
Atribua um novo objeto de autorização ou atualize um existente em uma função, usando PFCG. Fontes de dados: SAPcon - Change Documents Log |
Escalamento de Privilégios |
| SAP - Atribuição de autorizações críticas - Atribuição de novo usuário | Identifica a atribuição de um valor crítico de objeto de autorização a um novo usuário. Mantenha objetos de autorização críticos na lista de observação SAP - Critical Authorization Objects . |
Atribua um novo usuário a uma função que contenha valores críticos de autorização, usando SU01/PFCG. Fontes de dados: SAPcon - Change Documents Log |
Escalamento de Privilégios |
| SAP - Mudanças de funções sensíveis | Identifica alterações em funções confidenciais. Mantenha funções confidenciais na lista de observação SAP - Sensitive Roles . |
Altere uma função usando PFCG. Fontes de dados: SAPcon - Change Documents Log, SAPcon - Audit Log |
Impacto, escalonamento de privilégios, persistência |
Listas de observação disponíveis
A tabela a seguir lista as listas de observação disponíveis para a solução Microsoft Sentinel para aplicativos SAP e os campos em cada lista de observação.
Essas listas de observação fornecem a configuração para a solução Microsoft Sentinel para aplicativos SAP. As listas de observação SAP estão disponíveis no repositório GitHub do Microsoft Sentinel.
| Nome da lista de observação | Descrição e campos |
|---|---|
| SAP - Autorizações Críticas | Objeto Autorizações Críticas, onde as atribuições devem ser controladas. - AuthorizationObject: um objeto de autorização SAP, como S_DEVELOP, S_TCODEou Table TOBJ - AuthorizationField: um campo de autorização SAP, como OBJTYP ou TCD - AuthorizationValue: um valor de campo de autorização SAP, como DEBUG - ActivityField : campo de atividade SAP. Para a maioria dos casos, esse valor é ACTVT. Para objetos Authorizations sem uma Activity, ou com apenas um campo Activity preenchido com NOT_IN_USE. - Atividade: atividade SAP, de acordo com o objeto de autorização, tais como: 01: Criar; 02: Alterar; 03: Exibir, e assim por diante. - Descrição: uma descrição significativa do Objeto de Autorização Crítica. |
| SAP - Redes excluídas | Para manutenção interna de redes excluídas, como ignorar despachantes da Web, servidores de terminal e assim por diante. -Rede: um endereço IP ou intervalo de rede, como 111.68.128.0/17. -Descrição: Uma descrição de rede significativa. |
| Usuários excluídos do SAP | Usuários do sistema que estão conectados ao sistema e devem ser ignorados. Por exemplo, alertas para várias entradas do mesmo usuário. - Usuário: Usuário SAP -Descrição: uma descrição significativa do usuário. |
| SAP - Redes | Redes internas e de manutenção para identificação de logins não autorizados. - Rede: Endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: Uma descrição de rede significativa. |
| SAP - Utilizadores Privilegiados | Usuários privilegiados que estão sob restrições extras. - Usuário: o usuário ABAP, como DDIC ou SAP - Descrição: uma descrição significativa do usuário. |
| SAP - Programas ABAP Sensíveis | Programas ABAP sensíveis (relatórios), onde a execução deve ser governada. - ABAPProgram: programa ou relatório ABAP, como RSPFLDOC - Descrição: Uma descrição significativa do programa. |
| SAP - Módulo de Função Sensível | Redes internas e de manutenção para identificação de logins não autorizados. - FunctionModule: Um módulo de função ABAP, como RSAU_CLEAR_AUDIT_LOG - Descrição: Uma descrição significativa do módulo. |
| SAP - Perfis Sensíveis | Perfis sensíveis, onde as atribuições devem ser regidas. - Perfil: perfil de autorização SAP, como SAP_ALL ou SAP_NEW - Descrição: uma descrição de perfil significativa. |
| SAP - Tabelas sensíveis | Tabelas sensíveis, onde o acesso deve ser controlado. - Tabela: Tabela de dicionário ABAP, como USR02 ou PA008 - Descrição: uma descrição significativa da tabela. |
| SAP - Funções sensíveis | Funções sensíveis, onde a atribuição deve ser governada. - Função: função de autorização SAP, como SAP_BC_BASIS_ADMIN - Descrição: uma descrição de função significativa. |
| SAP - Transações Sensíveis | Transações sensíveis cuja execução deve ser regulada. - TransactionCode: código de transação SAP, como RZ11 - Descrição: uma descrição de código significativa. |
| SAP - Sistemas | Descreve o cenário dos sistemas SAP de acordo com a função, o uso e a configuração. - SystemID: o ID do sistema SAP (SYSID) - SystemRole: a função do sistema SAP, um dos seguintes valores: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: O uso do sistema SAP, um dos seguintes valores: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: um parâmetro dinâmico opcional para uso em playbooks. |
| SAPSystemParameters | Parâmetros para observar alterações de configuração suspeitas. Esta lista de observação é preenchida com valores recomendados (de acordo com as melhores práticas do SAP), e você pode estender a lista de observação para incluir mais parâmetros. Se não quiser receber alertas para um parâmetro, defina EnableAlerts como false.- ParameterName: O nome do parâmetro. - Comentário: A descrição do parâmetro padrão SAP. - EnableAlerts: define se os alertas devem ser habilitados para esse parâmetro. Os valores são true e false.- Opção: Define em que caso disparar um alerta: Se o valor do parâmetro for maior ou igual ( GE), menor ou igual (LE), ou igual (EQ)Por exemplo, se o parâmetro SAP estiver definido como LE (menor ou igual) e um valor de 5, quando o login/fails_to_user_lock Microsoft Sentinel detetar uma alteração nesse parâmetro específico, ele compara o valor recém-relatado e o valor esperado. Se o novo valor for 4, o Microsoft Sentinel não acionará um alerta. Se o novo valor for 6, o Microsoft Sentinel dispara um alerta.- Gravidade da produção: A gravidade do incidente para sistemas de produção. - ProductionValues: Valores permitidos para sistemas de produção. - NonProdSeverity: A gravidade do incidente para sistemas não produtivos. - NonProdValues: Valores permitidos para sistemas não produtivos. |
| SAP - Usuários excluídos | Usuários do sistema que estão conectados e precisam ser ignorados, como para o alerta Vários logons por usuário. - Usuário: Usuário SAP - Descrição: Uma descrição significativa do usuário |
| SAP - Redes excluídas | Mantenha redes internas excluídas para ignorar despachantes da Web, servidores de terminal e assim por diante. - Rede: Endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: Uma descrição de rede significativa |
| SAP - Módulos de função obsoletos | Módulos de função obsoletos, cuja execução deve ser regida. - FunctionModule: Módulo de função ABAP, como TH_SAPREL - Descrição: Uma descrição significativa do módulo de função |
| SAP - Programas obsoletos | Programas ABAP obsoletos (relatórios), cuja execução deve ser regida. - ABAPProgram:Programa ABAP, como TH_ RSPFLDOC - Descrição: Uma descrição significativa do programa ABAP |
| SAP - Transações para Gerações ABAP | Transações para gerações ABAP cuja execução deve ser regulada. - TransactionCode: Código de transação, como SE11. - Descrição: Uma descrição significativa do Código de Transação |
| SAP - Servidores FTP | Servidores FTP para identificação de ligações não autorizadas. - Cliente: como 100. - FTP_Server_Name: Nome do servidor FTP, como http://contoso.com/ -FTP_Server_Port:Porta do servidor FTP, como 22. - DescriçãoUma descrição significativa do servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure os alertas do log de auditoria SAP atribuindo a cada ID de mensagem um nível de severidade, conforme exigido por você, por função do sistema (produção, não produção). Esta lista de observação detalha todos os IDs de mensagens de log de auditoria padrão SAP disponíveis. A lista de observação pode ser estendida para conter IDs de mensagens extras que você pode criar por conta própria usando aprimoramentos ABAP em seus sistemas SAP NetWeaver. Essa lista de observação também permite configurar uma equipe designada para lidar com cada um dos tipos de evento e excluir usuários por funções SAP, perfis SAP ou por tags da lista de observação SAP_User_Config . Essa lista de observação é um dos principais componentes usados para configurar as regras de análise SAP integradas para monitorar o log de auditoria SAP. Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - MessageID: O ID da mensagem SAP ou o tipo de evento, como AUD (Alterações no registro mestre do usuário) ou AUB (alterações de autorização). - DetailedDescription: Uma descrição habilitada para marcação a ser mostrada no painel de incidentes. - Gravidade da produção: A gravidade desejada para o incidente a ser criado com para sistemas Highde produção , Medium. Pode ser definido como Disabled. - NonProdSeverity: A gravidade desejada para o incidente a ser criado com para sistemas Highde não-produção, Medium. Pode ser definido como Disabled. - ProductionThreshold A contagem "Por hora" de eventos a serem considerados suspeitos para os sistemas 60de produção. - NonProdThreshold A contagem "Por hora" de eventos a serem considerados suspeitos para sistemas 10não produtivos. - RolesTagsToExclude: Este campo aceita o nome da função SAP, nomes de perfil SAP ou tags da lista de observação SAP_User_Config. Eles são usados para excluir os usuários associados de tipos de eventos específicos. Consulte as opções para tags de função no final desta lista. - RuleType: Use Deterministic para que o tipo de evento seja enviado para a regra SAP - Dynamic Deterministic Audit Log Monitor ou AnomaliesOnly para que esse evento seja coberto pela regra SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - TeamsChannelID: um parâmetro dinâmico opcional para uso em playbooks. - DestinationEmail: um parâmetro dinâmico opcional para uso em playbooks. Para o campo RolesTagsToExclude : - Se você listar funções SAP ou perfis SAP, isso excluirá qualquer usuário com as funções ou perfis listados desses tipos de evento para o mesmo sistema SAP. Por exemplo, se você definir a BASIC_BO_USERS função ABAP para os tipos de eventos relacionados à RFC, os usuários do Business Objects não dispararão incidentes ao fazer chamadas RFC massivas.- Marcar um tipo de evento é semelhante a especificar funções ou perfis SAP, mas tags podem ser criadas no espaço de trabalho, para que as equipes SOC possam excluir usuários por atividade sem depender da equipe SAP BASIS. Por exemplo, os IDs de mensagem de auditoria AUB (alterações de autorização) e AUD (alterações de registro mestre de usuário) recebem a MassiveAuthChanges tag. Os usuários atribuídos a essa tag são excluídos das verificações para essas atividades. A execução da função de espaço de trabalho SAPAuditLogConfigRecommend produz uma lista de tags recomendadas a serem atribuídas aos usuários, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite ajustar alertas excluindo / incluindo usuários em contextos específicos e também é usado para configurar as regras de análise SAP integradas para monitorar o log de auditoria SAP. Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - SAPUser: O usuário SAP - Tags: As tags são usadas para identificar os usuários contra determinadas atividades. Por exemplo: Adicionar as tags ["GenericTablebyRFCOK"] ao usuário SENTINEL_SRV impedirá que incidentes relacionados à RFC sejam criados para esse usuário específico Outros identificadores de usuário do Ative Directory - Identificador de usuário do AD - Sid local do usuário - Nome Principal do Usuário |
Manuais disponíveis
Os playbooks fornecidos pela solução Microsoft Sentinel para aplicativos SAP ajudam a automatizar cargas de trabalho de resposta a incidentes SAP, melhorando a eficiência e a eficácia das operações de segurança.
Esta seção descreve os playbooks de análise internos fornecidos junto com a solução Microsoft Sentinel para aplicativos SAP.
| Nome do playbook | Parâmetros | Ligações |
|---|---|---|
| SAP Incident Response - Bloquear usuário do Teams - Básico | - SAP-SOAP-User-Password - SAP-SOAP-Nome de utilizador - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP Incident Response - Bloquear usuário do Teams - Avançado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Monitor Logs - Office 365 Outlook - ID do Microsoft Entra - Azure Key Vault - Microsoft Teams |
| SAP Incident Response - Reative o log de auditoria depois de desativado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitor Logs - Microsoft Teams |
As seções a seguir descrevem exemplos de casos de uso para cada um dos playbooks fornecidos, em um cenário em que um incidente alertou sobre atividades suspeitas em um dos sistemas SAP, onde um usuário está tentando executar uma dessas transações altamente confidenciais.
Durante a fase de triagem de incidentes, você decide tomar medidas contra esse usuário, expulsando-o de seus sistemas SAP ERP ou BTP ou até mesmo do Microsoft Entra ID.
Para obter mais informações, consulte Automatizar a resposta a ameaças com playbooks no Microsoft Sentinel
O processo de implantação de aplicativos lógicos padrão geralmente é mais complexo do que para aplicativos lógicos de consumo. Criamos uma série de atalhos para ajudá-lo a implantá-los rapidamente a partir do repositório GitHub do Microsoft Sentinel. Para obter mais informações, consulte Guia de instalação passo a passo.
Gorjeta
Observe a pasta de playbooks SAP no repositório GitHub para obter mais playbooks à medida que eles forem disponibilizados. Há também um pequeno vídeo introdutório (link externo) para ajudá-lo a começar.
Bloquear um utilizador a partir de um único sistema
Crie uma regra de automação para invocar o usuário Bloquear do Teams - Manual básico sempre que uma execução de transação confidencial por um usuário não autorizado for detetada. Este manual usa o recurso de cartões adaptáveis do Teams para solicitar aprovação antes de bloquear unilateralmente o usuário.
Para obter mais informações, consulte Cobertura de segurança de zero a herói com o Microsoft Sentinel para seus sinais críticos de segurança SAP - Você vai me ouvir SOAR! Parte 1 (postagem no blog da SAP).
O usuário Lock do Teams - Basic playbook é um playbook Padrão, e os playbooks Standard são geralmente mais complexos de implantar do que os playbooks de Consumo.
Criamos uma série de atalhos para ajudá-lo a implantá-los rapidamente a partir do repositório GitHub do Microsoft Sentinel. Para obter mais informações, consulte Guia de instalação passo a passo e Tipos de aplicativos lógicos suportados.
Bloquear um usuário de vários sistemas
O usuário Lock do Teams - Advanced playbook realiza o mesmo objetivo, mas é projetado para cenários mais complexos, permitindo que um único playbook seja usado para vários sistemas SAP, cada um com seu próprio SAP SID.
O usuário Lock do Teams - Advanced gerencia perfeitamente as conexões com todos esses sistemas e suas credenciais, usando o parâmetro dinâmico opcional InterfaceAttributes na lista de observação SAP - Systems e no Azure Key Vault.
O usuário Lock do Teams - Advanced playbook também permite que você se comunique com as partes no processo de aprovação usando mensagens acionáveis do Outlook em conjunto com o Teams, usando os parâmetros TeamsChannelID e DestinationEmail na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration .
Para obter mais informações, consulte Cobertura de segurança de zero a herói com o Microsoft Sentinel para seus sinais críticos de segurança SAP – Parte 2 (postagem do blog da SAP).
Impedir a desativação do log de auditoria
Você também pode estar preocupado com a desativação do log de auditoria do SAP, que é uma das fontes de dados de segurança. Recomendamos que você crie uma regra de automação com base na regra de análise SAP - Deactivation of Security Audit Log para invocar o playbook Reenable audit logging after disabled para garantir que o log de auditoria SAP não seja desativado.
O manual SAP - Deactivation of Security Audit Log também utiliza o Teams, informando o pessoal de segurança após o fato. A gravidade da infração e a urgência de sua mitigação indicam que uma ação imediata pode ser tomada sem necessidade de aprovação.
Como o manual SAP - Deactivation of Security Audit Log também usa o Azure Key Vault para gerenciar credenciais, a configuração do playbook é semelhante à do usuário Lock do Teams - Advanced playbook. Para obter mais informações, consulte Cobertura de segurança de zero a herói com o Microsoft Sentinel para seus sinais críticos de segurança SAP – Parte 3 (postagem do blog da SAP).
Conteúdos relacionados
Para obter mais informações, consulte Implantando a solução Microsoft Sentinel para aplicativos SAP.