你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 SAP BTP 的 Microsoft Sentinel 解决方案:安全内容参考
本文详细介绍了适用于 SAP BTP 的 Microsoft Sentinel 解决方案可用的安全内容。
可用安全内容当前包括内置工作簿和分析规则。 你也可添加与 SAP 相关的播放列表,以便在搜索、检测规则、威胁搜寻和响应 playbook 中使用。
SAP BTP 工作簿
BTP 活动工作簿提供 BTP 活动的仪表板概述。
“概述”选项卡显示:
- BTP 子帐户概述,帮助分析师确定最活跃的帐户和引入数据的类型。
- 子帐户登录活动,帮助分析人员识别可能与 SAP Business Application Studio(BAS)中的登录失败相关的峰值和趋势。
- BTP 活动的时间线和 BTP 安全警报数,帮助分析师搜索两者之间的任何相关性。
“标识管理”选项卡以易于阅读的格式显示标识管理事件网格,例如用户和安全角色更改。 通过搜索栏可以快速查找特定更改。
有关详细信息,请参阅 教程:可视化和监视数据 ,以及 部署适用于 SAP BTP 的 Sentinel 解决方案Microsoft。
启用内置分析规则
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| BTP - 跨多个 BAS 子帐户的访问尝试失败 | 标识预定义数量的子帐户中失败的 Business Application Studio (BAS) 访问尝试。 默认阈值:3 |
在定义的子帐户数内运行对 BAS 的失败登录尝试。 数据源:SAPBTPAuditLog_CL |
发现、侦查 |
| BTP - 在 BAS 开发空间中检测到恶意软件 | 标识 SAP 内部恶意软件代理在 BAS 开发人员空间中检测到的恶意软件实例。 | 在 BAS 开发人员空间中复制或创建恶意软件文件。 数据源:SAPBTPAuditLog_CL |
执行、暂留、资源开发 |
| BTP - 被添加到敏感特权角色集合的用户 | 标识将用户添加到一组受监视特权角色集合的标识管理操作。 | 将以下角色集合之一分配给用户: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator 数据源:SAPBTPAuditLog_CL |
横向移动、特权提升 |
| BTP - 信任和授权标识提供者监视器 | 标识子帐户中标识提供者设置的创建、读取、更新和删除 (CRUD) 操作。 | 更改、读取、更新或删除子帐户内的任何标识提供者设置。 数据源:SAPBTPAuditLog_CL |
凭证访问、特权提升 |
| BTP - 子帐户中的批量用户删除 | 标识已删除用户数超过预定义阈值的用户帐户删除活动。 默认阈值:10 |
删除超过定义阈值的用户帐户数。 数据源:SAPBTPAuditLog_CL |
影响 |
后续步骤
本文介绍了 SAP BTP Microsoft Sentinel 解决方案提供的安全内容。