你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 SAP 应用程序的 Microsoft Sentinel 解决方案:安全内容参考
本文详细介绍了适用于 SAP 的 Microsoft Sentinel 解决方案可用的安全内容。
重要
虽然适用于 SAP 的 Microsoft Sentinel 解决方案应用程序已正式发布,但某些特定组件仍为预览版。 本文在以下相关部分指示预览版组件。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
可用安全内容包括内置工作簿和分析规则。 你也可添加与 SAP 相关的播放列表,以便在搜索、检测规则、威胁搜寻和响应 playbook 中使用。
本文中的内容适用于安全性团队。
内置工作簿
使用以下内置工作簿可对通过 SAP 数据连接器引入的数据进行可视化和监视。 部署 SAP 解决方案后,可以在“模板”选项卡中找到 SAP 工作簿。
| 工作簿名称 | 描述 | 日志 |
|---|---|---|
| SAP - 审核日志浏览器 | 显示如下数据: - 常规的系统运行状况,包括一段时间内的用户登录情况、系统引入的事件、消息类和 ID,以及已运行的 ABAP 程序 - 系统中发生的事件的严重性 - 系统中发生的身份验证和授权事件 |
使用以下日志中的数据: ABAPAuditLog_CL |
| SAP 审核控制 | 帮助你检查 SAP 环境的安全控制是否符合所选的控制框架,使用工具执行以下操作: - 将环境中的分析规则分配给特定的安全控制和控制系列 - 监视和分类基于 SAP 解决方案的分析规则生成的事件 - 报告合规性 |
使用以下表中的数据: - SecurityAlert- SecurityIncident |
有关详细信息,请参阅教程:可视化和监视数据和部署适用于 SAP 的 Microsoft Sentinel 解决方案应用程序。
启用内置分析规则
本节介绍与 适用于 SAP 的 Microsoft Sentinel 解决方案应用程序一起提供的一系列内置分析规则。 有关最新更新,请查看 Microsoft Sentinel 内容中心以获取新的和更新的规则。
监视静态 SAP 安全参数的配置(预览版)
为了保护 SAP 系统,SAP 已经确定了需要监视更改情况的安全相关参数。 使用“SAP - (预览版)敏感静态参数已更改”规则,适用于 SAP 的 Microsoft Sentinel 解决方案应用程序可跟踪 SAP 系统中超过 52 个静态安全相关参数,这些参数内置于 Microsoft Sentinel 中。
注意
为了成功监视 SAP 安全参数,适用于 SAP 的 Microsoft Sentinel 解决方案应用程序需要定期成功监视 SAP PAHI 表。 有关更多信息,请参阅“验证 PAHI 表是否定期更新”。
为了了解系统中的参数更改,适用于 SAP 的 Microsoft Sentinel 解决方案应用程序会使用参数历史记录表,该表记录每小时对系统参数所做的更改。
这些参数也会反映在 SAPSystemParameters 监视列表中。 此监视列表允许用户添加新参数、禁用现有参数,以及修改生产或非生产环境中每个参数和系统角色的值和严重性。
如果这些参数中的任意一个发生更改,Microsoft Sentinel 会检查更改是否与安全相关,以及相应值是否是根据建议值设置的。 如果怀疑更改超出了安全范围,Microsoft Sentinel 会创建一个事件,详细描述该更改,并确认做出更改的用户。
查看此规则监视的参数列表 。
监视 SAP 审核日志
适用于 SAP 的 Microsoft Sentinel 解决方案应用程序中的许多分析规则都使用 SAP 审核日志数据。 某些分析规则会查找日志中的特定事件,而其他规则会关联来自多个日志的指示,以创建高保真警报和事件。
使用以下分析规则来监视 SAP 系统上的所有审核日志事件,或仅在检测到异常时触发警报:
| 规则名称 | 说明 |
|---|---|
| SAP - 动态安全审核日志监视器中缺少配置 | 默认情况下,每天运行以提供 SAP 审核日志模块的配置建议。 使用规则模板为工作区创建和自定义规则。 |
| SAP - 动态确定性审核日志监视器(预览版) | 默认情况下,每隔 10 分钟运行一次,并重点关注标记为 Deterministic 的 SAP 审核日志事件。 使用规则模板为工作区创建和自定义规则,如降低误报率。 此规则需要确定性的警报阈值和用户排除规则。 |
| SAP - 基于动态异常的审核日志监视器警报(预览版) | 默认情况下,每小时运行一次并关注标记为 AnomaliesOnly 的 SAP 事件,在检测到异常时对 SAP 审核日志事件发出警报。 此规则应用额外机器学习算法,以无监督方式筛选出背景噪音。 |
默认情况下,SAP 审核日志中的大多数事件类型或 SAP 消息 ID 都发送到基于异常的“基于动态异常的审核日志监视器警报(预览版)”分析规则,而更容易定义的事件类型会发送到确定性“动态确定性审核日志监视器(预览版)”分析规则。 此设置以及其他相关设置可以进一步配置,以适应任何系统条件。
SAP 审核日志监视规则作为适用于 SAP 的 Microsoft Sentinel 解决方案安全内容的一部分提供,并允许使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 和 SAP_User_Config 监视列表进行进一步微调。
例如,下表列出了几个示例,说明如何使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 监视列表来配置产生事件的事件类型,从而减少生成的事件数量。
| 选项 | 说明 |
|---|---|
| 设置严重性并禁用不需要的事件 | 默认情况下,确定性规则和基于异常的规则都会针对标记为中等严重性和高严重性的事件创建警报。 你可能想要分别配置生产环境和非生产环境的严重性。 例如,可以在生产系统中将调试活动事件设置为高严重性,并在非生产系统中完全关闭相同的事件。 |
| 按用户的 SAP 角色或 SAP 配置文件排除用户 | Microsoft用于 SAP 的 Sentinel 引入 SAP 用户的授权配置文件,包括直接和间接角色分配、组和配置文件,以便可以在 SIEM 中讲 SAP 语言。 你可能想要配置 SAP 事件以根据用户的 SAP 角色和配置文件排除用户。 在监视列表的“RolesTagsToExclude”列中“RFC 进行常规表访问”事件旁边,添加角色或用于对 RFC 界面用户进行分组的配置文件。 此配置仅对缺少这些角色的用户触发警报。 |
| 按用户的 SOC 标记排除用户 | 使用标记创建自己的分组,无需依赖复杂的 SAP 定义,甚至无需 SAP 授权。 此方法对于想要为 SAP 用户创建自己的分组的 SOC 团队很有用。 例如,如果不希望特定服务帐户收到“RFC 进行常规表访问”事件的警报,但找不到对这些用户进行分组的 SAP 角色或 SAP 配置文件,请按如下方式使用标记: 1. 在监视列表中的相关事件旁边添加 GenTableRFCReadOK 标记。 2. 转到 SAP_User_Config 监视列表并为接口用户分配相同的标记。 |
| 按事件类型和系统角色指定频率阈值 | 工作方式如同限速。 例如,可以配置“用户主记录更改”事件,以便仅在生产系统中同一个用户在一小时内观察到超过 12 个活动时触发警报。 如果用户超过了每小时 12 个活动的限制(例如,在 10 分钟时段内发生了 2 个事件),则触发事件。 |
| 确定性或异常 | 如果知道事件的特征,请使用确定性功能。 如果不确定如何正确配置事件,请允许机器学习功能决定启动,然后根据需要进行后续更新。 |
| SOAR 功能 | 使用 Microsoft Sentinel 来进一步协调、自动化和响应由 SAP 审核日志动态警报创建的事件。 有关详细信息,请参阅 Microsoft Sentinel 中的自动化:安全业务流程、自动化和响应 (SOAR)。 |
有关详细信息,请参阅可用监视列表和适用于 SAP 的 Microsoft Sentinel 新闻 - 动态 SAP 安全审核日志监视器功能现已推出!(博客)。
初始访问
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 从意外的网络登录 | 标识从意外网络的登录。 在 SAP - 网络播放列表中维护网络。 |
从未分配给其中一个网络的 IP 地址登录后端系统。 数据源:SAPcon - 审核日志 |
初始访问 |
| SAP - SPNego 攻击 | 标识 SPNego 重播攻击。 | 数据源:SAPcon - 审核日志 | 影响、横向移动 |
| SAP - 特权用户的对话框登录尝试 | 标识 SAP 系统中的特权用户使用 AUM 类型进行的对话登录尝试。 有关详细信息,请参阅 SAPUsersGetPrivileged。 | 在计划的时间间隔内,尝试从同一 IP 登录多个系统或客户端。 数据源:SAPcon - 审核日志 |
影响、横向移动 |
| SAP - 暴力攻击 | 使用 RFC 登录名标识对 SAP 系统的暴力攻击 | 尝试使用 RFC 在计划的时间间隔内从同一 IP 登录到多个系统/客户端 数据源:SAPcon - 审核日志 |
凭据访问 |
| SAP - 按 IP 进行多次登录 | 标识来自同一 IP 地址的多位用户在计划的时间间隔内的登录。 子用例:持久性 |
以多位用户身份在同一 IP 地址登录。 数据源:SAPcon - 审核日志 |
初始访问 |
| SAP - 用户多次登录 仅支持数据连接器代理。 SAP 无代理解决方案(有限预览版)不可用。 |
标识相同用户在计划的时间间隔内从多个终端的登录。 仅通过 Audit SAL 方法使用,适用于 SAP 7.5 及更高版本。 |
以相同用户身份从不同的 IP 地址登录。 数据源:SAPcon - 审核日志 |
预攻击、凭证访问、初始访问、集合 子用例:持久性 |
| SAP - 信息 - 生命周期 - 在系统中实现 SAP 说明 | 标识系统中的 SAP 说明实现。 | 使用 SNOTE/TCI 实现 SAP 说明。 数据源:SAPcon - 更改请求 |
- |
| SAP -(预览版)AS JAVA - 已登录的敏感特权用户 | 标识从意外网络的登录。 在 SAP - 特权用户播放列表中维护特权用户。 |
使用特权用户登录后端系统。 数据源:SAPJAVAFilesLog |
初始访问 |
| SAP -(预览版)AS JAVA - 从意外网络登录 | 识别来自意外网络的登录。 在 SAP - 网络监视列表中维护特权用户。 |
使用未分配给 SAP - 网络监控列表中某个网络的 IP 地址登录后端系统 数据源:SAPJAVAFilesLog |
初始访问,防御规避 |
数据外泄
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 非授权服务器的 FTP | 标识非授权服务器的 FTP 连接。 | 新建 FTP 连接,例如使用 FTP_CONNECT 函数模块。 数据源:SAPcon - 审核日志 |
发现、初始访问、命令和控制 |
| SAP - 不安全的 FTP 服务器配置 | 标识不安全的 FTP 服务器配置,例如当 FTP 允许列表为空或包含占位符时。 | 请勿使用 SAPFTP_SERVERS_V 维护视图维护或维护包含 SAPFTP_SERVERS 表中占位符的值。 (SM30) 数据源:SAPcon - 审核日志 |
初始访问、命令和控制 |
| SAP - 多个文件下载 | 标识用户在特定时间范围内的多个文件下载。 | 使用 SAPGui for Excel、列表等下载多个文件。 数据源:SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 多项后台处理执行 | 标识用户在特定时间范围内的多项后台处理。 | 由用户创建并运行的多个任意类型的后台处理作业。 (SP01) 数据源:SAPcon - 后台处理日志、SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 多项后台处理输出执行 | 标识用户在特定时间范围内的多项后台处理。 | 由用户创建并运行的多个任意类型的后台处理作业。 (SP01) 数据源:SAPcon - 后台处理输出日志、SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 通过 RFC 登录直接访问的敏感表 | 标识通过 RFC 登录访问的通用表。 维护 SAP - 敏感表播放列表中的表。 仅适用于生产系统。 |
使用 SE11/SE16/SE16N 打开表内容。 数据源:SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 后台处理接管 | 标识用户,该用户打印由其他人创建的后台处理请求。 | 由一位用户创建后台处理请求,然后由其他用户输出请求。 数据源:SAPcon - 后台处理日志、SAPcon - 后台处理输出日志、SAPcon - 审核日志 |
集合、外泄、命令和控制 |
| SAP - 动态 RFC 目标 | 使用动态目标标识 RFC 执行。 子用例:绕过 SAP 安全机制的尝试 |
执行使用动态目标 (cl_dynamic_destination) 的 ABAP 报表。 例如,DEMO_RFC_DYNAMIC_DEST。 数据源:SAPcon - 审核日志 |
集合、外泄 |
| SAP - 通过对话框登录直接访问敏感表 | 标识通过对话框登录访问的通用表。 | 使用 SE11/SE16/SE16N 打开表内容。 数据源:SAPcon - 审核日志 |
发现 |
| SAP -(预览版)从恶意 IP 地址下载了文件 | 识别到使用已知恶意的 IP 地址从 SAP 系统下载文件。 恶意 IP 地址是从威胁智能服务获取的。 | 从恶意 IP 下载文件。 数据源:SAP 安全审核日志、威胁智能 |
外泄 |
| SAP -(预览版)使用传输功能从生产系统导出了数据 | 识别到使用传输从生产系统导出数据。 传输在开发系统中使用,类似于拉取请求。 当包含任何表中数据的传输从生产系统释放时,此警报规则将触发中等严重性的事件。 当导出包含敏感表中的数据时,该规则将创建高严重性事件。 | 从生产系统释放传输。 数据源:SAP CR 日志、SAP - 敏感表 |
外泄 |
| SAP -(预览版)将敏感数据保存到 U 盘中 | 识别到通过文件导出 SAP 数据。 该规则检查保存在最近装载的 U 盘中的数据是否靠近执行敏感事务、敏感程序或直接访问敏感表的位置。 | 通过文件导出 SAP 数据并保存到 U 盘中。 数据源:SAP 安全审核日志、DeviceFileEvents (Microsoft Defender for Endpoint)、SAP - 敏感表、SAP - 敏感事务、SAP - 敏感程序 |
外泄 |
| SAP -(预览版)打印潜在敏感的数据 | 标识到请求或实际打印潜在敏感的数据。 如果用户获取作为敏感事务的一部分的数据、执行敏感程序或直接访问敏感表,则数据被视为敏感数据。 | 打印或请求打印敏感数据。 数据源:SAP 安全审核日志、SAP 后台处理日志、SAP - 敏感表、SAP - 敏感程序 |
外泄 |
| SAP -(预览版)已导出大量潜在敏感的数据 | 识别到在靠近执行敏感事务、敏感程序或直接访问敏感表的位置通过文件导出大量数据。 | 通过文件导出大量数据。 数据源:SAP 安全审核日志、SAP - 敏感表、SAP - 敏感事务、SAP - 敏感程序 |
外泄 |
持续
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 激活或停用 ICF 服务 | 标识 ICF 服务的激活或停用。 | 使用 SICF 激活服务。 数据源:SAPcon - 表数据日志 |
命令和控制、横向移动、持久性 |
| SAP - 函数模块已测试 | 标识函数模块测试。 | 使用 SE37 / SE80 测试函数。 数据源:SAPcon - 审核日志 |
集合、防御规避、横向移动 |
| SAP - (预览版) HANA DB - 用户管理员操作 | 标识用户管理操作。 | 创建、更新或删除数据库用户。 数据源:Linux 代理 - Syslog* |
特权提升 |
| SAP - 新 ICF 服务处理程序 | 标识 ICF 处理程序创建。 | 使用 SICF 为服务分配新处理程序。 数据源:SAPcon - 审核日志 |
命令和控制、横向移动、持久性 |
| SAP - 新 ICF 服务 | 标识 ICF 服务创建。 | 使用 SICF 创建服务。 数据源:SAPcon - 表数据日志 |
命令和控制、横向移动、持久性 |
| SAP - 执行已过时或不安全的函数模块 | 标识已过时或不安全的 ABAP 函数模块。 维护 SAP - 已过时函数模块播放列表中的已过时函数。 请确保为后端的 EUFUNC 表激活表记录更改。 (SE13)仅适用于生产系统。 |
使用 SE37 直接运行过时或不安全的函数模块。 数据源:SAPcon - 表数据日志 |
发现、命令和控制 |
| SAP - 执行已过时/不安全的程序 仅支持数据连接器代理。 SAP 无代理解决方案(有限预览版)不可用。 |
标识已过时或不安全的 ABAP 程序执行。 维护 SAP - 已过时程序播放列表中的已过时应用程序。 仅适用于生产系统。 |
使用 SE38/SA38/SE80 或通过后台作业直接运行程序。 数据源:SAPcon - 审核日志 |
发现、命令和控制 |
| SAP - 多个密码更改 | 标识用户执行的多次密码更改。 | 更改用户密码 数据源:SAPcon - 审核日志 |
凭据访问 |
| SAP -(预览版)AS JAVA - 用户创建和使用新用户 | 识别 SAP AS Java 环境中的管理员对用户的创建或操作。 | 使用你创建或操作的用户登录后端系统。 数据源:SAPJAVAFilesLog |
持久性 |
绕过 SAP 安全机制的尝试
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 客户端配置更改 | 标识客户端配置更改,例如客户端角色或更改录制模式。 | 使用 SCC4 事务代码执行客户端配置更改。 数据源:SAPcon - 审核日志 |
防御规避、外泄、持久性 |
| SAP - 数据在调试活动期间已更改 | 标识调试活动期间对运行时数据的更改。 子用例:持久性 |
1. 激活调试 ("/h")。 2. 选择要更改的字段并更新字段值。 数据源:SAPcon - 审核日志 |
执行、横向移动 |
| SAP - 停用安全审核日志 | 标识停用安全审核日志。 | 使用 SM19/RSAU_CONFIG 禁用安全审核日志。 数据源:SAPcon - 审核日志 |
外泄、防御规避、持久性 |
| SAP - 执行敏感 ABAP 程序 | 标识敏感 ABAP 程序的直接执行。 在 SAP - 敏感 ABAP 程序播放列表中维护 ABAP 程序。 |
使用 SE38/SA38/SE80 直接运行程序。 数据源:SAPcon - 审核日志 |
外泄、横向移动、执行 |
| SAP - 执行敏感事务代码 | 标识敏感事务代码的执行。 在 SAP - 敏感事务代码播放列表中维护事务代码。 |
运行敏感事务代码。 数据源:SAPcon - 审核日志 |
发现、执行 |
| SAP - 执行敏感函数模块 | 标识敏感 ABAP 函数模块的执行。 子用例:持久性 仅适用于生产系统。 维护 SAP - 敏感函数模块播放列表中的敏感函数,并确保在 EUFUNC 表的后端激活表日志记录更改。 (SE13) |
使用 SE37 直接运行敏感函数模块。 数据源:SAPcon - 表数据日志 |
发现、命令和控制 |
| SAP - (预览版) HANA DB - 审核跟踪策略更改 | 标识 HANA DB 审核线索策略更改。 | 在安全定义中创建或更新现有审核策略。 数据源:Linux 代理 - Syslog |
横向移动、防御规避、持久性 |
| SAP - (预览版) HANA DB - 停用审核线索 | 标识 HANA DB 审核日志停用。 | 停用 HANA DB 安全定义中的审核日志。 数据源:Linux 代理 - Syslog |
持久性、横向移动、防御规避 |
| SAP - 敏感函数模块的未授权远程执行 | 通过将活动与用户的授权配置文件进行比较来检测敏感 FM 的未授权执行,同时忽略最近更改的授权。 在 SAP - 敏感函数模块播放列表中维护函数模块。 |
使用 RFC 运行函数模块。 数据源:SAPcon - 审核日志 |
执行、横向移动、发现 |
| SAP - 系统配置更改 | 标识系统配置更改。 | 使用 SE06 事务代码来调整系统更改选项或软件组件修改。数据源:SAPcon - 审核日志 |
外泄、防御规避、持久性 |
| SAP - 调试活动 | 标识所有调试相关活动。 子用例:持久性 |
在系统中激活调试 ("/h")、调试活动进程、向源代码添加断点等。 数据源:SAPcon - 审核日志 |
发现 |
| SAP - 安全审核日志配置更改 | 标识安全审核日志中的配置更改 | 使用 SM19/RSAU_CONFIG(例如筛选器、状态、录制模式等)更改任何安全审核日志配置。 数据源:SAPcon - 审核日志 |
持久性、外泄、防御规避 |
| SAP - 事务已解锁 | 标识事务解锁。 | 使用 SM01/SM01_DEV/SM01_CUS 解锁事务代码。 数据源:SAPcon - 审核日志 |
持久性、执行 |
| SAP - 动态 ABAP 程序 | 标识动态 ABAP 编程的执行。 例如,动态创建、更改或删除 ABAP 代码时。 维护 SAP - ABAP 生成事务播放列表中排除的事务代码。 |
创建使用 ABAP 程序生成命令(例如 INSERT REPORT)的 ABAP 报表,然后运行报表。 数据源:SAPcon - 审核日志 |
发现、命令和控制、影响 |
可疑的特权操作
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 敏感特权用户中的更改 | 标识敏感特权用户更改。 在 SAP - 特权用户播放列表中维护特权用户。 |
使用 SU01 更改用户详细信息/授权。 数据源:SAPcon - 审核日志 |
特权提升、凭据访问 |
| SAP -(预览版)HANA DB - 分配管理员授权 | 标识管理员权限或角色分配。 | 分配具有任何管理员角色或权限的用户。 数据源:Linux 代理 - Syslog |
特权提升 |
| SAP - 已登录的敏感特权用户 | 标识敏感特权用户的对话框登录。 在 SAP - 特权用户播放列表中维护特权用户。 |
使用 SAP* 或其他特权用户登录后端系统。 数据源:SAPcon - 审核日志 |
初始访问、凭据访问 |
| SAP - 敏感特权用户对其他用户进行更改 | 标识敏感特权用户对其他用户的更改。 | 使用 SU01 更改用户详细信息/授权。 数据源:SAPcon - 审核日志 |
特权提升、凭据访问 |
| SAP - 敏感用户密码更改和登录 | 标识特权用户的密码更改。 | 为特权用户更改密码并登录系统。 在 SAP - 特权用户播放列表中维护特权用户。 数据源:SAPcon - 审核日志 |
影响、命令和控制、特权提升 |
| SAP - 用户创建并使用新用户 | 标识创建和使用其他用户的用户。 子用例:持久性 |
使用 SU01 创建一个用户,然后使用新建用户和相同的 IP 地址登录。 数据源:SAPcon - 审核日志 |
发现、预攻击、初始访问 |
| SAP - 用户解锁并使用其他用户 | 标识由其他用户解锁和使用的用户。 子用例:持久性 |
使用 SU01 解锁用户,然后使用已解锁用户和相同的 IP 地址登录。 数据源:SAPcon - 审核日志、SAPcon - 更改文档日志 |
发现、预攻击、初始访问、横向移动 |
| SAP - 敏感配置文件分配 | 标识对用户新分配的敏感配置文件。 维护 SAP - 敏感配置文件播放列表中的敏感配置文件。 |
使用 SU01 向用户分配配置文件。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 敏感角色分配 | 标识向用户新分配的敏感角色。 维护 SAP - 敏感角色播放列表中的敏感角色。 |
使用 SU01 / PFCG 向用户分配角色。 数据源:SAPcon - 更改文档日志、审核日志 |
特权提升 |
| SAP -(预览版)关键授权分配 - 新授权值 | 标识向新用户分配的关键授权对象值。 维护 SAP - 关键授权对象播放列表中的关键授权对象。 |
使用 PFCG 在角色中分配新授权对象或更新现有授权对象。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 关键授权分配 - 新用户分配 | 标识向新用户分配的关键授权对象值。 维护 SAP - 关键授权对象播放列表中的关键授权对象。 |
使用 SU01/PFCG 将新用户分配给具有关键授权值的角色。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 敏感角色 | 标识敏感角色更改。 维护 SAP - 敏感角色播放列表中的敏感角色。 |
使用 PFCG 更改角色。 数据源:SAPcon - 更改文档日志、SAPcon - 审核日志 |
影响、特权提升、持久性 |
可用播放列表
下表列出了可用于适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的监视列表,以及每个监视列表中的字段。
这些监视列表提供适用于 SAP 的 Microsoft Sentinel 解决方案应用程序的配置。 Microsoft Sentinel GitHub 存储库提供了 SAP 监视列表。
| 播放列表名称 | 说明和字段 |
|---|---|
| SAP - 关键授权 | 应当控制其分配的关键授权对象。 - AuthorizationObject:SAP 授权对象,例如 S_DEVELOP、S_TCODE 或 Table TOBJ - AuthorizationField:SAP 授权字段,例如 OBJTYP 或 TCD - AuthorizationValue:SAP 授权字段,例如 DEBUG - ActivityField:SAP 活动字段。 大多数情况下,此值为 ACTVT。 对于无活动,或仅有活动字段的授权对象,请填充 NOT_IN_USE。 - 活动:SAP 活动,取决于 01:创建;02:更改;03:显示等授权对象。 - 说明:有意义的关键授权对象说明。 |
| SAP - 排除的网络 | 用于已排除网络的内部维护,例如忽略 Web 调度程序、终端服务器等。 -网络:网络 IP 地址或范围,例如 111.68.128.0/17。 -说明:有意义的网络说明。 |
| SAP 排除的用户 | 已登录系统但必须忽略的系统用户。 例如,对同一用户进行多次登录发出警报。 - 用户:SAP 用户 -说明:有意义的用户说明。 |
| SAP - 网络 | 用于标识未授权登录的内部和维护网络。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17 - 说明:有意义的网络说明。 |
| SAP - 特权用户 | 受到额外限制的特权用户。 - 用户:ABAP 用户,例如 DDIC 或 SAP - 说明:有意义的用户说明。 |
| SAP - 敏感 ABAP 程序 | 应当控制其执行的敏感 ABAP 程序(报表)。 - ABAPProgram:ABAP 程序或报表,例如 RSPFLDOC - 说明:有意义的程序说明。 |
| SAP - 敏感函数模块 | 用于标识未授权登录的内部和维护网络。 - FunctionModule:ABAP 函数模块,例如 RSAU_CLEAR_AUDIT_LOG - 说明:有意义的模块说明。 |
| SAP - 敏感配置文件 | 应当控制其分配的敏感配置文件。 - 配置文件:SAP 授权配置文件,例如 SAP_ALL 或 SAP_NEW - 说明:有意义的配置文件说明。 |
| SAP - 敏感表 | 其访问权限应当受到控制的敏感表。 - 表:ABAP 字典表,例如 USR02 或 PA008 - 说明:有意义的表说明。 |
| SAP - 敏感角色 | 应当控制其分配的敏感角色。 - 角色:SAP 授权角色,例如 SAP_BC_BASIS_ADMIN - 说明:有意义的角色说明。 |
| SAP - 敏感事务 | 应当控制其执行的敏感事务。 - TransactionCode:SAP 事务代码,例如 RZ11 - 说明:有意义的代码说明。 |
| SAP - 系统 | 根据角色、用法和配置描述 SAP 系统的总体情况。 - SystemID:SAP 系统 ID (SYSID) - SystemRole:SAP 系统角色,属于以下值之一: Sandbox、Development、Quality Assurance、Training、Production - SystemUsage:SAP 系统使用情况,属于以下值之一: ERP、BW、Solman、Gateway、Enterprise Portal - InterfaceAttributes:用于 playbook 的可选动态参数。 |
| SAPSystemParameters | 用于监视可疑配置更改的参数。 根据 SAP 最佳做法,此监视列表预先填充了建议值 ,你可以扩展监视列表以包含更多参数。 如果不想接收关于某个参数的警报,请将 EnableAlerts 设置为 false。- ParameterName:参数的名称。 - 注释:SAP 标准参数说明。 - EnableAlerts:定义是否为此参数启用警报。 值为 true 和 false。- 选项:定义在哪种情况下触发警报:当参数值大于或等于 ( GE)、小于或等于 (LE) 或在等于 (EQ) 时例如,如果 login/fails_to_user_lock SAP 参数设置为 LE(小于或等于),并且值为 5,则 Microsoft Sentinel 一旦检测到此特定参数发生变化,就会比较新报告的值和预期值。 如果新值为 4,则 Microsoft Sentinel 不会触发警报。 如果新值为 6,则 Microsoft Sentinel 会触发警报。- ProductionSeverity:生产系统的事件严重性。 - ProductionValues:生产系统允许的值。 - NonProdSeverity:非生产系统的事件严重性。 - NonProdValues:非生产系统允许的值。 |
| SAP - 排除的用户 | 出于“用户多次登录”警报等原因,已登录且需要忽略的系统用户。 - 用户:SAP 用户 - 说明:有意义的用户说明 |
| SAP - 排除的网络 | 维护已排除的内部网络,以忽略 Web 调度程序、终端服务器等。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17 - 说明:有意义的网络说明 |
| SAP - 已过时函数模块 | 应当控制其执行的已过时函数模块。 - FunctionModule:ABAP 函数模块,例如 TH_SAPREL - 说明:有意义的函数模块说明 |
| SAP - 已过时程序 | 应当控制其执行的已过时 ABAP 程序(报表)。 - ABAPProgram:ABAP 程序,例如 TH_ RSPFLDOC - 说明:有意义的 ABAP 程序说明 |
| SAP - ABAP 生成事务 | 应当控制其执行的 ABAP 生成事务。 - TransactionCode:事务代码,例如 SE11。 - 说明:有意义的事务代码说明 |
| SAP - FTP 服务器 | 用于标识未授权连接的 FTP 服务器。 - 客户端:例如 100。 - FTP_Server_Name:FTP 服务器名称,例如 http://contoso.com/ -FTP_Server_Port:FTP 服务器端口,例如 22。 - 说明有意义的 FTP 服务器说明 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | 根据系统角色(生产、非生产)为每个消息 ID 分配所需的严重性级别,以配置 SAP 审核日志警报。 此监视列表详细介绍了所有可用的 SAP 标准审核日志消息 ID。 可对该监视列表进行扩展,使之包含你可能在 SAP NetWeaver 系统上使用 ABAP 增强功能自行创建的额外消息 ID。 通过此监视列表,还可以配置指定团队来处理每种事件类型,以及通过 SAP 角色、SAP 配置文件或 SAP_User_Config 监视列表中的标记来排除用户。 此监视列表是用于配置用于监视 SAP 审核日志的内置 SAP 分析规则的核心组件之一。 有关详细信息,请参阅监视 SAP 审核日志。 - MessageID:SAP 消息 ID 或事件类型,例如 AUD(用户主记录更改)或 AUB(授权更改)。 - DetailedDescription:要在事件窗格中显示的已启用 Markdown 的说明。 - ProductionSeverity:为生产系统创建事件所需的严重性 High、Medium。 可设置为 Disabled。 - NonProdSeverity:为非生产系统创建事件所需的严重性 High、Medium。 可设置为 Disabled。 - ProductionThreshold:在生成系统中会被视为“可疑”的事件的“每小时”计数 60。 - NonProdThreshold 在非生成系统中会视为“可疑”的事件的“每小时”计数 10。 - RolesTagsToExclude:此字段从 SAP_User_Config 监视列表接受 SAP 角色名称、SAP 配置文件名称或标记。 然后,这些内容用于从特定事件类型中排除关联用户。 请参阅此列表末尾的角色标记选项。 - RuleType:将 Deterministic 用于要发送到“SAP - 动态确定性审核日志监视器”规则的事件类型,或使用 AnomaliesOnly 让“SAP - 基于动态异常的审核日志监视器警报(预览版)”规则涵盖此事件。 有关详细信息,请参阅监视 SAP 审核日志。 - TeamsChannelID:用于 playbook 的可选动态参数。 - DestinationEmail:用于 playbook 的可选动态参数。 对于 RolesTagsToExclude 字段: - 如果列出 SAP 角色或 SAP 配置文件,则这会排除所列角色或配置文件来自同一 SAP 系统的这些事件类型的任何用户。 例如,如果为 RFC 相关事件类型定义 BASIC_BO_USERS ABAP 角色,则业务对象用户在进行大量 RFC 调用时不会触发事件。- 标记某个事件类型类似于指定 SAP 角色或配置文件,但标记可以在工作区中创建,因此 SOC 团队可以在不依赖于 SAP BASIS 团队的情况下按活动排除用户。 例如,审核消息 ID AUB(授权更改)和 AUD(用户主记录更改)分配有 MassiveAuthChanges 标记。 分配有此标记的用户会被排除在针对这些活动的检查之外。 运行工作区 SAPAuditLogConfigRecommend 函数会生成要分配给用户的推荐标记列表,例如 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist。 |
| SAP_User_Config | 允许通过在特定上下文中排除/包括用户来微调警报,并且还用于配置用于监视 SAP 审核日志的内置 SAP 分析规则。 有关详细信息,请参阅监视 SAP 审核日志。 - SAPUser:SAP 用户 - 标记:标记用于根据某项活动标识用户。 例如,向用户 SENTINEL_SRV 添加标记 [“GenericTablebyRFCOK”] 将阻止为此特定用户创建 RFC 相关事件 其他 Active Directory 用户标识符 - AD 用户标识符 - 用户本地 SID - 用户主体名称 |
可用的 playbook
适用于 SAP 的 Microsoft Sentinel 解决方案应用程序提供的剧本可帮助自动化 SAP 事件响应工作负载,从而提高安全操作的效率和有效性。
本节介绍与适用于 SAP 的 Microsoft Sentinel 解决方案应用程序一起提供的内置分析剧本。
| Playbook 名称 | parameters | 连接 |
|---|---|---|
| SAP 事件响应 - 从 Teams 锁定用户 - 基本 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP 事件响应 - 从 Teams 锁定用户 - 高级 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Monitor 日志 - Office 365 Outlook - Microsoft Entra ID - Azure 密钥保管库 - Microsoft Teams |
| SAP 事件响应 - 停用后可重新启用审核日志记录 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure 密钥保管库 - Azure Monitor 日志 - Microsoft Teams |
以下各节介绍了所提供的每个剧本的示例用例,应用场景是某个事件警告你某个 SAP 系统中存在可疑活动,而某个用户正试图执行其中一项高度敏感的事务。
在事件会审阶段,你决定对此用户采取措施,将其踢出 SAP ERP 或 BTP 系统,甚至将其从 Microsoft Entra ID 中踢出。
有关详细信息,请参阅在 Microsoft Sentinel 中使用剧本自动响应威胁
部署标准逻辑应用的过程通常比消耗逻辑应用更复杂。 我们创建了一系列快捷方式来帮助你从 Microsoft Sentinel GitHub 存储库快速部署它们。 有关详细信息,请参阅分步安装指南。
提示
监视 GitHub 存储库中的 SAP 剧本文件夹,以获取更多可用的剧本。 还有一个简短的介绍性视频(外部链接),可帮助你入门。
从单个系统锁定用户
生成一个自动化规则,每当检测到未经授权的用户执行敏感事务时,从“从 Teams 锁定用户 - 基本”剧本。 此 playbook 使用 Teams 的自适应卡片功能在单方面阻止用户之前请求批准。
有关详细信息,请参阅 “从零到英雄安全覆盖”,其中Microsoft Sentinel 提供关键 SAP 安全信号 - 你将听到我 SOAR!第 1 部分(SAP 博客文章)。
“从 Teams 锁定用户 - 基本”剧本是一个标准剧本,标准剧本的部署通常比消耗剧本更复杂。
我们创建了一系列快捷方式来帮助你从 Microsoft Sentinel GitHub 存储库快速部署它们。 有关详细信息,请参阅分步安装指南和支持的逻辑应用类型。
从多个系统锁定用户
“从 Teams 锁定用户 - 高级”playbook 可实现相同的目标,但专为更复杂的方案而设计,允许将单个 playbook 用于多个 SAP 系统,每个系统都有自己的 SAP SID。
“从 Teams 锁定用户 - 高级”剧本使用“SAP - 系统”监视列表和 Azure Key Vault 中的 InterfaceAttributes 可选动态参数无缝管理与所有这些系统的连接及其凭证。
除了使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 监视列表中的 TeamsChannelID 和 DestinationEmail 参数外,“从 Teams 锁定用户 - 高级”剧本还允许使用 Outlook 可操作邮件通过 Teams 与审批流程中的各方进行通信。
有关详细信息,请参阅 “从零到英雄”安全覆盖,其中Microsoft Sentinel,了解关键 SAP 安全信号 - 第 2 部分(SAP 博客文章)。
防止停用审核日志记录
你可能还担心 SAP 审核日志(这是安全数据源之一)被停用。 建议基于“SAP - 停用安全审核日志”分析规则构建自动化规则来调用“停用后重新启用审核日志记录”剧本,以确保 SAP 审核日志不会被停用。
“SAP - 停用安全审核日志”剧本也使用 Teams,在事后通知安全人员。 犯罪的严重性和缓解的紧迫性表明,无需批准即可立即采取措施。
由于“SAP - 停用安全审核日志”剧本也使用 Azure Key Vault 来管理凭证,因此剧本的配置类似于“从 Teams 锁定用户 - 高级”剧本。 有关详细信息,请参阅 “从零到英雄”安全覆盖,其中包含关键 SAP 安全信号的 Microsoft Sentinel - 第 3 部分(SAP 博客文章)。
相关内容
有关详细信息,请参阅部署适用于 SAP 的 Microsoft Sentinel 解决方案应用程序。