Мониторинг и отслеживание действий аудита пользователей в системах SAP
В этой статье описывается журнал аудита sap — журнал аудита безопасности и книга начального доступа , используемая для мониторинга и отслеживания действий аудита пользователей в системах SAP. Используйте книгу, чтобы получить представление о действиях аудита пользователей, повысить безопасность систем SAP и быстро просмотреть подозрительные действия. Детализация подозрительных событий по мере необходимости.
Используйте книгу либо для текущего мониторинга систем SAP, либо для проверки систем после инцидента безопасности или других подозрительных действий.
Например:
Содержимое этой статьи предназначено для вашей команды безопасности .
Необходимые компоненты
Прежде чем приступить к использованию журнала аудита безопасности и книги начального доступа , необходимо:
Решение Microsoft Sentinel для SAP установлено и настроен соединитель данных. Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP".
Журнал аудита безопасности и книга начального доступа , установленная в рабочей области Log Analytics, включенная для Microsoft Sentinel. Дополнительные сведения см. в статье Визуализация и мониторинг данных с помощью книг в Microsoft Sentinel.
Внимание
Журнал аудита безопасности и книга "Исходный доступ" размещается в рабочей области, в которой было установлено решение Microsoft Sentinel для приложений SAP. По умолчанию предполагается, что данные SAP и SOC будут находиться в рабочей области, в которую размещается книга.
Если данные SOC размещены в другой рабочей области, отличной от рабочей области, в которую размещена книга, обязательно включите подписку для этой рабочей области и выберите рабочую область SOC из рабочей области аудита и действий Azure.
По крайней мере один инцидент в рабочей области Microsoft Sentinel с хотя бы одной записью, доступной
SecurityIncidentв таблице. Это не обязательно должен быть инцидент SAP, и вы можете создать демонстрационный инцидент с помощью базового правила аналитики, если у вас нет другого.Если данные Microsoft Entra входят в другую рабочую область Log Analytics, выберите соответствующие подписки и рабочие области в верхней части книги в разделе аудита и действий Azure.
Рекомендуется настроить аудит для всех сообщений из журнала аудита, а не только для определенных журналов. Различия в затратах приема обычно минимальны, и данные полезны для обнаружения Microsoft Sentinel и после компрометации и охоты. Дополнительные сведения см. в разделе "Настройка аудита SAP".
Поддерживаемые фильтры
В книге SAP — журнал аудита безопасности и книги начального доступа поддерживаются следующие фильтры, которые помогут вам сосредоточиться на необходимых данных:
- Диапазон времени. От четырех часов до 90 дней.
- Системные роли. Роли системы SAP, например разработка.
- Использование системы. Например: SAP GTS.
- Системы SAP. Можно выбрать все системы, определенную систему или выбрать несколько систем.
Если вы выбираете системы, которые не настроены в списке контрольных списков систем SAP, книга отображает ошибку, указывая системы с проблемами. В этом случае настройте список наблюдения для правильного включения этих систем.
Данные отчета об анализе входа
На вкладке "Отчет об анализе входа" в журнале аудита безопасности и книге "Начальный доступ " отображаются данные о сбоях входа, таких как аномальные данные, данные Microsoft Entra и многое другое.
Данные основаны на списке контрольных списков систем SAP.
Вкладка "Отчет об анализе входа" включает следующие области:
Анализ входа в систему
Область анализа входа отображается в отношении входа пользователей. Например:
В следующей таблице описана каждая метрика в области анализа входа:
| Область | Description |
|---|---|
| Уникальные входы пользователей в систему | Показывает количество уникальных входов для каждой системы SAP и граф с тенденциями входа в течение выбранного времени для каждой системы. Например: система 012 имеет 1,4-K уникальных попыток входа в систему за последние 14 дней, и в течение этих 14 дней график показывает относительно растущую тенденцию входа. |
| Тенденция типов входа | Отображает тенденцию количества входов в соответствии с типом, например, вход с помощью диалогового окна. Наведите указатель мыши на граф, чтобы отобразить количество входов для разных дат. |
| Сбои входа в систему по сравнению с успехом уникальных пользователей — тенденция | Показывает тенденцию успешного и неудачного входа в выбранный период. Наведите указатель мыши на график, чтобы отобразить количество успешных и неудачных входов для разных дат. |
Сбои входа — обнаружение аномалий
Области в области обнаружения аномалий — фильтрация шумных неудачных попыток входа отображает данные об ошибке входа для систем SAP и пользователей. Чтобы увидеть только данные, помеченные с помощью, выберите anomalous только рядом с неудачным входом справа.
Дополнительные сведения см. в разделе "Мониторинг журнала аудита SAP".
Например:
В следующей таблице описана каждая метрика в области обнаружения аномалий:
| Область | Description |
|---|---|
| Сбой>при входе в систему сбоем входа в систему SAP> | Показывает количество уникальных неудачных входов для каждой системы SAP. |
| SAP и Active Directory лучше вместе | В таблице "Аномальные ошибки входа" показана комбинация данных Microsoft Sentinel и Microsoft Entra, в которой перечислены пользователи в соответствии с риском, с наиболее рискованными пользователями в верхней части. Для каждого пользователя в таблице показано: — временная шкала неудачных попыток входа — временная шкала, показывающая, в какой момент произошла аномальная попытка - Тип аномалии — адрес электронной почты пользователя — Индикатор риска Microsoft Entra — количество инцидентов и оповещений в Microsoft Sentinel Выберите строку пользователя, чтобы просмотреть список связанных оповещений и инцидентов. События риска Microsoft Entra перечислены в разделе аудита Azure и риска входа для пользователя. |
| Частота сбоя входа в систему | Отображает выбранные системы SAP, сгруппированные по типу, с числом сбоев в выбранном периоде. Цвет системы указывает количество неудачных попыток: зеленый для нескольких подозрительных попыток входа и красный для большего числа. Выберите систему, чтобы просмотреть список неудачных входов с подробными сведениями о сбоях. |
На следующем снимке экрана обратите внимание на данные, отображаемые при выборе первой строки в таблице ошибок входа Anomalous. Конкретные оповещения и URL-адреса инцидентов отображаются в обзоре инцидентов и оповещений для таблицы пользователей .
На следующем снимке экрана аудит и вход Azure в таблицу пользователей отображаются данные о риске входа, связанном с этим пользователем.
На следующем снимке экрана обратите внимание на частоту сбоя входа для каждой системной области, где выбрана система 84e в группе тестов . Сбой входа в систему для области системы справа отображает события сбоя для этой системы.
Сбои входа — тенденции
В области тенденций входа отображаются тенденции и количество неудачных входов, сгруппированных по разным типам данных. Например:
В следующей таблице описывается каждая метрика в области тенденций входа:
| Область | Description |
|---|---|
| Сбой входа по причине | Показывает тенденцию числа сбоев входа в соответствии с причиной сбоя, например неверными данными входа. |
| Сбой входа по типу | Показывает тенденцию количества сбоев входа в соответствии с типом, например , вход активировал фоновое задание или вход был через HTTP. |
| Сбой входа по методу | Показывает тенденцию количества сбоев входа в соответствии с методом, например SNC или билет на вход. |
Вкладка "Отчет об оповещениях журнала аудита"
На вкладке "Оповещения журнала аудита" отображаются данные о событиях журнала аудита SAP, отслеживаемых решением Microsoft Sentinel для приложений SAP. Данные основаны на списке наблюдения SAP_Dynamic_Audit_Log_Monitor_Configuration.
На вкладке "Оповещения журнала аудита" отображаются тенденции серьезности и аудита для каждой системы SAP и пользователя. Все области на этой вкладке отображают данные, помеченные только обнаружением аномалий. Для всех событий нажмите кнопку "Все рядом с неудачным входом " справа.
Дополнительные сведения см. в разделе "Мониторинг журнала аудита SAP".
Например:
В следующей таблице описана каждая метрика на вкладке оповещений журнала аудита:
| Область | Description |
|---|---|
| Тенденции серьезности оповещений на идентификатор системы | Отображает список систем с графиком тенденций событий среднего и высокого уровня серьезности для каждой системы. Например, в системе 012 было много событий высокой серьезности в течение всего периода, а также несколько событий средней серьезности с пиком, который показывает более средние события серьезности в середине периода. |
| Тенденция аудита на пользователя | Показывает сочетание данных Microsoft Sentinel и Microsoft Entra, в котором перечислены пользователи в соответствии с риском, с наиболее рискованными пользователями в верхней части. Для каждого пользователя книги показаны следующие данные: — временная шкала событий высокой и средней серьезности — адрес электронной почты пользователя — Индикатор риска Microsoft Entra — количество инцидентов и оповещений в Microsoft Sentinel Выберите строку, чтобы просмотреть список оповещений и инцидентов для этого пользователя в разделе "Инциденты/ оповещения" для пользователя. Просмотр событий риска Microsoft Entra в рамках аудита Azure и рисков входа для пользователя. |
| Оценка риска на систему | Визуально представляет каждую систему в фигуре ячейки, показывающую оценку риска для каждой системы и группирования систем по типу. Цвет системы указывает оценку риска системы: зеленый для более низкой оценки риска и красный для более высокой оценки риска. Выберите систему, чтобы просмотреть список событий SAP для каждой системы. |
| События по тактике MITRE ATT&CK | Отображает список событий SAP, сгруппированных по тактике MITRE ATT&CK, например initial Access или Defense Evasion. Наведите указатель мыши на граф, чтобы отобразить количество входов для разных дат. |
| События по категориям | Отображает список тенденций событий SAP, сгруппированных по категориям, например RFC Start или Logon. Наведите указатель мыши на граф, чтобы отобразить номер входа для разных дат. |
| События по группе авторизации | Отображает список тенденций событий SAP, сгруппированных по группе авторизации SAP, например USER или SUPER. Наведите указатель мыши на граф, чтобы отобразить количество входов для разных дат. |
| События по типу пользователя | Отображает список тенденций событий SAP, сгруппированных по типу пользователя SAP, например "Диалоговое окно " или "Система". Наведите указатель мыши на граф, чтобы отобразить количество входов для разных дат. |
На следующем снимке экрана обратите внимание на данные, отображаемые при выборе первой строки в тенденциях аудита для каждой пользовательской таблицы. Конкретные оповещения и URL-адреса инцидентов отображаются в обзоре инцидентов и оповещений для таблицы пользователей .
На следующем снимке экрана обратите внимание на оценку рисков для каждой области системы, где выбрана система cb7 в группе UAT. События SAP для системной области под визуализацией системы показывают событие SAP для этой системы.
На следующем снимке экрана обратите внимание на области событий и тенденций событий, сгруппированных по разным типам данных: тактика MITRE ATT&CK, группа авторизации SAP и тип пользователя.
Связанный контент
Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP из центра содержимого и решения Microsoft Sentinel для приложений SAP: справочник по содержимому безопасности".