Решение Microsoft Sentinel для SAP BTP: справочник по содержимому безопасности
В этой статье описано содержимое безопасности, доступное для решения Microsoft Sentinel для SAP BTP.
Доступное содержимое безопасности в настоящее время включает встроенные книги и правила аналитики. Можно также добавить связанные с SAP списки отслеживания для использования при поиске, в правилах обнаружения, при охоте на угрозы и в сборнике схем ответов.
Книга SAP BTP
Книга действий BTP предоставляет обзор действия BTP.
На вкладке Обзор отображается следующее.
- Обзор подсчетов BTP, помогая аналитикам определить наиболее активные учетные записи и тип приема данных.
- Действие входа подсчета, помогающее аналитикам выявлять пики и тенденции, которые могут быть связаны с сбоями входа в SAP Business Application Studio (BAS).
- Временная шкала действий BTP и количество оповещений безопасности BTP, помогая аналитикам искать любую корреляцию между двумя.
На вкладке "Управление удостоверениями" отображается сетка событий управления удостоверениями, таких как изменения роли пользователя и безопасности в формате, доступном для чтения. Панель поиска позволяет быстро находить определенные изменения.
Дополнительные сведения см. в руководстве . Визуализация и мониторинг данных и развертывание решения Microsoft Sentinel для SAP BTP.
Встроенные правила аналитики
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| BTP — неудачные попытки доступа в нескольких подсчетах BAS | Идентифицирует неудачные попытки доступа к бизнес-приложениям Studio (BAS) по предопределенным количеству подсчетов. Пороговое значение по умолчанию: 3 |
Выполнение неудачных попыток входа в BAS через определенное пороговое число подсчетов. Источники данных: SAPBTPAuditLog_CL |
Обнаружение, разведка |
| BTP — вредоносные программы, обнаруженные в пространстве разработки BAS | Определяет экземпляры вредоносных программ, обнаруженных внутренним агентом вредоносных программ SAP в пространствах разработчиков BAS. | Скопируйте или создайте файл вредоносных программ в пространстве разработчика BAS. Источники данных: SAPBTPAuditLog_CL |
Выполнение, сохраняемость, разработка ресурсов |
| BTP — пользователь, добавленный в коллекцию привилегированных ролей | Определяет действия управления удостоверениями, в которых пользователь добавляется в набор отслеживаемых коллекций привилегированных ролей. | Назначьте пользователю одну из следующих коллекций ролей: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Источники данных: SAPBTPAuditLog_CL |
Боковое движение, эскалация привилегий |
| BTP — монитор поставщика удостоверений доверия и авторизации | Определяет операции создания, чтения, обновления и удаления (CRUD) в параметрах поставщика удостоверений в подсчетной учетной записи. | Изменение, чтение, обновление или удаление любого из параметров поставщика удостоверений в подсчетной учетной записи. Источники данных: SAPBTPAuditLog_CL |
Доступ к учетным данным, эскалация привилегий |
| BTP — массовое удаление пользователей в подсчетной учетной записи | Определяет действие удаления учетной записи пользователя, в котором число удаленных пользователей превышает предопределенное пороговое значение. Пороговое значение по умолчанию: 10 |
Удаление количества учетных записей пользователей по заданному порогу. Источники данных: SAPBTPAuditLog_CL |
Воздействие |
Следующие шаги
В этой статье вы узнали о содержимом безопасности, предоставленном решением Microsoft Sentinel для SAP BTP.