Dela via

Microsoft Sentinel-lösning för SAP BTP: referens för säkerhetsinnehåll

  • Artikel

Den här artikeln beskriver det säkerhetsinnehåll som är tillgängligt för Microsoft Sentinel-lösningen för SAP BTP.

Tillgängligt säkerhetsinnehåll innehåller för närvarande en inbyggd arbetsbok och analysregler. Du kan också lägga till SAP-relaterade bevakningslistor som ska användas i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.

Läs mer om lösningen.

SAP BTP-arbetsbok

BTP-aktivitetsarbetsboken innehåller en instrumentpanelsöversikt över BTP-aktivitet.

Skärmbild av fliken Översikt i SAP BTP-arbetsboken.

Fliken Översikt visar:

  • En översikt över BTP-underkonton som hjälper analytiker att identifiera de mest aktiva kontona och typen av inmatade data.
  • Inloggningsaktivitet för underkonton som hjälper analytiker att identifiera toppar och trender som kan associeras med inloggningsfel i SAP Business Application Studio (BAS).
  • Tidslinje för BTP-aktivitet och antalet BTP-säkerhetsaviseringar, vilket hjälper analytiker att söka efter korrelation mellan de två.

Fliken Identitetshantering visar ett rutnät med identitetshanteringshändelser, till exempel ändringar av användar- och säkerhetsrollen, i ett läsbart format för människor. Med sökfältet kan du snabbt hitta specifika ändringar.

Skärmbild av fliken Identitetshantering i SAP BTP-arbetsboken.

Mer information finns i Självstudie: Visualisera och övervaka dina data och Distribuera Microsoft Sentinel-lösningen för SAP BTP.

Inbyggda analysregler

Regelnamn beskrivning Källåtgärd Taktiker
BTP – Misslyckade åtkomstförsök över flera BAS-underkonton Identifierar misslyckade åtkomstförsök i Business Application Studio (BAS) över ett fördefinierat antal underkonton.
Standardtröskel: 3		 Kör misslyckade inloggningsförsök till BAS över det definierade tröskelvärdet för underkonton.

Datakällor: SAPBTPAuditLog_CL		 Identifiering, rekognosering
BTP – Skadlig kod identifierad i BAS dev space Identifierar instanser av skadlig kod som identifierats av SAP:s interna agent för skadlig kod i BAS-utvecklarutrymmen. Kopiera eller skapa en fil med skadlig kod i ett BAS-utvecklarutrymme.

Datakällor: SAPBTPAuditLog_CL		 Körning, beständighet, resursutveckling
BTP – Användaren har lagts till i samlingen med känsliga privilegierade roller Identifierar identitetshanteringsåtgärder där en användare läggs till i en uppsättning övervakade privilegierade rollsamlingar. Tilldela en av följande rollsamlingar till en användare:
- Subaccount Service Administrator
- Subaccount Administrator
- Connectivity and Destination Administrator
- Destination Administrator
- Cloud Connector Administrator

Datakällor: SAPBTPAuditLog_CL		 Lateral förflyttning, eskalering av privilegier
BTP – Övervakare av förtroende- och auktoriseringsidentitetsprovider Identifierar åtgärder för att skapa, läsa, uppdatera och ta bort (CRUD) i inställningarna för identitetsprovidern i ett underkonto. Ändra, läsa, uppdatera eller ta bort någon av inställningarna för identitetsprovidern i ett underkonto.

Datakällor: SAPBTPAuditLog_CL		 Åtkomst till autentiseringsuppgifter, eskalering av privilegier
BTP – Massanvändarborttagning i ett underkonto Identifierar borttagningsaktivitet för användarkonton där antalet borttagna användare överskrider ett fördefinierat tröskelvärde.
Standardtröskel: 10		 Ta bort antalet användarkonton över det definierade tröskelvärdet.

Datakällor: SAPBTPAuditLog_CL		 Påverkan

Nästa steg

I den här artikeln har du lärt dig om säkerhetsinnehållet i Microsoft Sentinel-lösningen för SAP BTP.