通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

监视和跟踪 SAP 系统中的用户审核活动

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文介绍用于监视和跟踪 SAP 系统中的用户审核活动的“SAP - 安全审核日志和初始访问”工作簿。 使用该工作簿来获取用户审核活动的鸟瞰图,以更好地保护 SAP 系统并快速了解可疑操作。 根据需要向下钻取到可疑事件。

使用该工作簿持续监视 SAP 系统,或者在发生安全事件或其他可疑活动后审查系统。

例如:

SAP - 安全审核日志和初始访问工作簿顶部的屏幕截图。

本文中的内容适用于安全性团队。

先决条件

在开始使用 SAP - 安全审核日志和初始访问工作簿之前,必须具备:

  • 适用于 SAP 的 Microsoft Sentinel 解决方案和配置的数据连接器。 有关详细信息,请参阅 为 SAP 应用程序部署 Microsoft Sentinel 解决方案。

  • 为 Microsoft Sentinel 启用的 Log Analytics 工作区中安装的“SAP - 安全审核日志和初始访问”工作簿。 有关详细信息,请参阅使用 Microsoft Sentinel 中的工作簿可视化和监视数据

    重要

    SAP - 安全审核日志和初始访问”工作簿由安装适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的工作区托管。 默认情况下,假设 SAP 和 SOC 数据都位于托管工作簿的工作区中。

    如果 SOC 数据所在的工作区不同于托管工作簿的工作区,请确保包含该工作区的订阅,并从 Azure 审核和活动工作区中选择 SOC 工作区。

  • Microsoft Sentinel 工作区中至少有一个事件,SecurityIncident 表中至少有一个条目可用。 这不需要是 SAP 事件,如果你没有其他事件,则可以使用基本分析规则生成演示事件。

  • 如果 Microsoft Entra 数据位于不同的 Log Analytics 工作区中,请确保在工作簿顶部的“Azure 审核和活动”下选择相关的订阅和工作区。

建议为审核日志中的所有消息(而不是仅特定日志)配置审核。 引入成本差异通常很小,并且数据对于 Microsoft Sentinel 检测以及入侵后调查和搜寻很有用。 有关详细信息,请参阅配置 SAP 审核

支持的筛选器

SAP - 安全审核日志和初始访问”工作簿支持以下筛选器,帮助你专注于所需的数据:

  • 时间范围。 4 小时到 90 天。
  • 系统角色。 SAP 系统角色,例如:开发。
  • 系统用途。 例如:SAP GTS。
  • SAP 系统。 可以选择所有系统、特定系统,或选择多个系统。

如果选择未在SAP 系统”监视列表中配置的系统,工作簿会显示错误,指出存在问题的系统。 在这种情况下,请配置监视列表以正确包含这些系统。

登录分析报告数据

SAP - 安全审核日志和初始访问工作簿上的“登录分析报告”选项卡显示有关登录失败的数据,例如异常数据、Microsoft Entra 数据等。

该数据基于SAP 系统”监视列表

登录分析报告”选项卡包括以下区域:

登录分析

登录分析”区域显示有关用户登录的信息。例如:

SAP 审核工作簿的“登录分析”区域的屏幕截图。

下表介绍了“登录分析”区域中的每个指标:

范围 说明
每个系统的唯一用户登录 显示每个 SAP 系统的唯一登录数,以及每个系统所选时间的登录趋势的图形。

例如:012 系统在最近 14 天发生了 1400 次唯一登录,图表显示这 14 天的登录次数呈相对上升趋势。
登录类型趋势 根据类型(例如通过对话框登录)显示登录次数趋势。

将鼠标悬停在图表上以显示不同日期的登录次数。
唯一用户的登录失败与成功次数 - 趋势 显示所选时间段内登录成功和失败次数的趋势。

将鼠标悬停在图表上以显示不同日期的成功和失败登录次数。

登录失败 - 异常情况检测

“异常情况检测 - 筛选掉干扰性失败登录尝试”下的区域显示 SAP 系统和用户的登录失败数据。 若要仅查看标记的数据,请选择右侧“失败的登录”旁边的“仅异常”。

有关详细信息,请参阅监视 SAP 审核日志

例如:

SAP 审核工作簿“登录失败”区域中可按异常数据筛选的部分的屏幕截图。

下表介绍了“异常情况检测”区域中的每个指标:

范围 说明
登录失败率>登录失败异常>每个 SAP 系统的唯一用户登录失败次数 显示每个 SAP 系统的唯一失败登录次数。
将 SAP 和 Active Directory 结合使用效果更好 异常登录失败”表显示 Microsoft Sentinel 和 Microsoft Entra 数据的组合,根据风险列出用户,最有风险的用户位于顶部。

对于每个用户,该表显示:
- 失败登录尝试的时间线
- 时间线,显示异常失败尝试发生的时间点
- 异常情况的类型
- 用户的电子邮件地址
- Microsoft Entra 风险指示器
- Microsoft Sentinel 中的事件和警报数

选择用户的行以查看相关警报和事件的列表。 Microsoft Entra 风险事件列在“用户的 Azure 审核和登录风险”下。
每个系统的登录失败率 显示所选 SAP 系统(按类型分组)以及所选时间段内的失败次数。

系统的颜色表示失败尝试的次数:绿色表示几次可疑的登录尝试,红色表示多次失败。

选择某个系统来查看失败登录的列表,其中包含有关失败的详细信息。

在以下屏幕截图中,请注意在“异常登录失败”表中选择第一行时显示的数据。 特定的警报和事件 URL 显示在“用户的事件/警报概述”表中。

在“异常登录失败”表中选择某行时显示的数据的屏幕截图。

在以下屏幕截图中,“用户的 Azure 审核和登录风险”表显示了与此用户相关的登录风险数据。

在“异常登录失败”表中选择某行时显示的审核和登录风险数据的屏幕截图。

在以下屏幕截图中,请注意“每个系统的登录失败率”区域,其中选择了“测试”组下的 84e 系统。 右侧的“系统的失败登录”区域显示了此系统的失败事件。

SAP 审核工作簿的“每个系统的登录失败率”区域的屏幕截图。

登录失败 - 趋势

“登录失败趋势”区域显示失败登录的趋势和次数,显示内容按不同的数据类型分组。 例如:

SAP 审核工作簿的“登录失败趋势”区域的屏幕截图。

下表介绍了“登录失败趋势”区域中的每个指标:

范围 说明
按原因列出的登录失败 根据失败原因(例如登录数据不正确)显示登录失败次数的趋势。
按类型列出的登录失败 根据类型(例如登录触发了后台作业或者通过 HTTP 登录)显示登录失败次数的趋势。
按方法列出的登录失败 根据方法(例如 SNC登录票证)显示登录失败次数的趋势。

审核日志警报报告选项卡

审核日志警报”选项卡显示有关适用于 SAP 的 Microsoft Sentinel 解决方案应用程序监视的 SAP 审核日志事件的数据。 该数据基于 SAP_Dynamic_Audit_Log_Monitor_Configuration 监视列表

审核日志警报”选项卡显示每个 SAP 系统和用户的严重性与审核趋势。 此选项卡中的所有区域仅显示异常情况检测标记的数据。 对于所有事件,选择右侧“失败登录”旁边的“全部”。

有关详细信息,请参阅监视 SAP 审核日志

例如:

SAP 审核工作簿的“审核日志警报”区域的屏幕截图。

下表介绍了“审核日志警报”选项卡上的每个指标:

范围 说明
每个系统 ID 的警报严重性趋势 显示系统的列表,以及每个系统的严重性事件趋势图。

例如,012 系统在整个时间段内发生了许多严重性事件以及一些严重性事件和一个峰值,这表明在该时间段内发生了更多严重性事件。
每个用户的审核趋势 显示 Microsoft Sentinel 和 Microsoft Entra 数据的组合,根据风险列出用户,最有风险的用户位于顶部。

对于每个用户,工作簿显示以下数据:
- 严重性事件的时间线
- 用户的电子邮件地址
- Microsoft Entra 风险指示器
- Microsoft Sentinel 中的事件和警报数

选择某行在“用户的事件/警报概述”下查看该用户的警报和事件列表。

在“用户的 Azure 审核和登录风险”下查看 Microsoft Entra 风险事件。
每个系统的风险评分 以细胞形状直观地表示每个系统,显示每个系统的风险评分并按类型对系统进行分组。

系统的颜色表示系统的风险评分:绿色表示风险评分较低,红色表示风险评分较高。

选择某个系统以查看该系统的 SAP 事件列表。
按 MITRE ATT&CK 策略排列的事件 显示按 MITRE ATT&CK 策略分组的 SAP 事件列表,例如“初始访问”或“防御规避”。

将鼠标悬停在图表上以显示不同日期的登录次数。
按类别列出的事件 显示按类别(例如“RFC 启动”或“登录”)分组的 SAP 事件趋势列表。

将鼠标悬停在图表上以显示不同日期的登录次数。
按授权组列出的事件 显示按 SAP 授权组(例如 USERSUPER)分组的 SAP 事件趋势列表。

将鼠标悬停在图表上以显示不同日期的登录次数。
按用户类型列出的事件 显示按 SAP 用户类型(例如“对话框”或“系统”)分组的 SAP 事件趋势列表。

将鼠标悬停在图表上以显示不同日期的登录次数。

在以下屏幕截图中,注意在“每个用户的审核趋势”表中选择第一行时显示的数据。 特定的警报和事件 URL 显示在“用户的事件/警报概述”表中。

在“每个用户的审核趋势”表中选择某行时显示的数据的屏幕截图。

在以下屏幕截图中,注意“每个系统的风险评分”区域,其中选择了“UAT”组下的“cb7”系统。 系统可视化效果下方的“系统的 SAP 事件”区域显示了此系统的 SAP 事件。

SAP 审核工作簿的“每个系统的风险评分”区域的屏幕截图。

在以下屏幕截图中,请注意事件和事件趋势按不同类型的数据分组的区域:MITRE ATT&CK 策略、SAP 授权组和用户类型。

SAP 审核工作簿中不同事件数据的屏幕截图。

相关内容

有关详细信息,请参阅从内容中心适用于 SAP 应用程序的 Microsoft Sentinel 解决方案部署适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考