監視和追蹤跨 SAP 系統的使用者稽核活動
本文說明 SAP - 安全性稽核記錄和初始存取 活頁簿,用於監視和追蹤 SAP 系統中的使用者稽核活動。 使用活頁簿來檢視使用者稽核活動、更妥善地保護您的 SAP 系統,並快速查看可疑動作。 視需要向下切入到可疑事件。
使用活頁簿來持續監視 SAP 系統,或檢閱安全性事件或其他可疑活動之後的系統。
例如:
本文中的內容適用於您的 安全性 小組。
必要條件
您必須先具備下列專案,才能開始使用 SAP - 安全性稽核記錄和初始存取 活頁簿:
已安裝適用於 SAP 應用程式解決方案的 Microsoft Sentinel 解決方案,以及已部署數據連接器代理程式。 如需詳細資訊,請參閱 部署 sap 應用程式的 Microsoft Sentinel 解決方案。
針對 Sentinel Microsoft 啟用的 Log Analytics 工作區中所安裝的 SAP - 安全性稽核記錄和初始存取活頁簿。 如需詳細資訊,請參閱在 Microsoft Sentinel 中使用活頁簿將您的資料視覺化並加以監視。
重要
SAP - 安全性稽核記錄和初始存取活頁簿是由安裝 SAP 應用程式Microsoft Sentinel 解決方案的工作區所裝載。 根據預設,SAP 和 SOC 數據會假設位於裝載活頁簿的工作區上。
如果 SOC 數據位於與主控活頁簿工作區不同的工作區上,請務必包含該工作區的訂用帳戶,然後從 Azure 稽核和活動工作區選取 SOC 工作區。
Microsoft Sentinel 工作區中至少有一個事件,數據表中
SecurityIncident至少有一個專案可用。 這不需要是 SAP 事件,而且如果您沒有其他分析規則,您可以使用基本分析規則來產生示範事件。如果您的Microsoft Entra 數據位於不同的Log Analytics工作區中,請確定您在活頁簿頂端的 [Azure 稽核和活動] 底 下選取相關的訂用帳戶和工作區。
支援的篩選器
SAP - 安全性稽核記錄和初始存取活頁簿支援下列篩選,以協助您專注於所需的數據:
- 時間範圍。 從 4 小時到 90 天。
- 系統角色。 SAP 系統角色,例如:開發。
- 系統使用方式。 例如:SAP GTS。
- SAP 系統。 您可以選取所有系統、特定系統,或選取多個系統。
如果您選取未在 SAP 系統 關注清單中設定的系統,活頁簿會顯示錯誤,並指定有問題的系統。 在此情況下, 請將關注清單 設定為正確包含這些系統。
登入分析報告數據
SAP - 安全性稽核記錄和初始存取活頁簿上的 [登入分析報告] 索引卷標會顯示登入失敗的相關數據,例如異常數據、Microsoft Entra 數據等等。
數據是以 SAP 系統監看清單為基礎。
[ 登入分析報告] 索引標籤包含下列區域:
登入分析
[ 登入分析 ] 區域會顯示有關使用者登入的問題。例如:
![SAP 稽核活頁簿 [登入分析] 區域的螢幕快照。](media/sap-audit-log-workbook/logon-analysis.png#lightbox)
下表描述登入分析區域中的每個計量:
| 區域 | 描述 |
|---|---|
| 每個系統的唯一使用者登入 | 顯示每個 SAP 系統的唯一登入數目,以及具有每個系統所選時間登入趨勢的圖表。 例如:012 系統在過去 14 天內有 1.4-K 次唯一登入嘗試,而在這 14 天內,圖表會顯示相對上升的登入趨勢。 |
| 登入類型趨勢 | 根據類型顯示登入數目的趨勢,例如透過對話框登入。 將滑鼠停留在圖表上以顯示不同日期的登入次數。 |
| 登入失敗與唯一使用者的成功 - 趨勢 | 顯示所選期間中成功和失敗登入的趨勢。 將滑鼠停留在圖表上,以顯示不同日期的成功和失敗登入數量。 |
登入失敗 - 異常偵測
異常偵測下 的區域 - 篩選出嘈雜失敗的登入嘗試顯示 SAP 系統和使用者的登入失敗數據。 若要查看所標幟的數據,請選取右側 [失敗登入] 旁的 [異常]。
如需詳細資訊,請參閱 監視 SAP 稽核記錄。
例如:
![SAP 稽核活頁簿 [登入失敗] 區域中區段的螢幕快照,您可以依異常數據進行篩選。](media/sap-audit-log-workbook/logon-failures.png#lightbox)
下表描述異常偵測區域中的每個計量:
| 區域 | 描述 |
|---|---|
| 登入失敗率>登入失敗異常>:每個 SAP 系統的唯一使用者登入失敗 | 顯示每個 SAP 系統的唯一失敗登入數目。 |
| SAP 和 Active Directory 在一起比較好 | 異常 登入失敗 數據表顯示Microsoft Sentinel 和 Microsoft Entra 數據的組合,根據風險列出使用者,最有風險的用戶位於最上層。 針對每個使用者,數據表會顯示: - 登入嘗試失敗的時間軸 - 顯示發生異常失敗嘗試的時間軸 - 異常類型 - 用戶的電子郵件位址 - Microsoft Entra 風險指標 - Microsoft Sentinel 中的事件和警示數目 選取使用者的數據列以查看相關的警示和事件清單。 Microsoft Entra 風險事件列在 Azure 稽核底下 ,並登入用戶的風險。 |
| 每個系統的登入失敗率 | 顯示選取的 SAP 系統,依類型分組,並在選取的期間內發生失敗次數。 系統的色彩表示失敗的嘗試次數:綠色表示一些可疑的登入嘗試,而紅色則更多。 選取系統以查看失敗的登入清單,其中包含失敗的詳細數據。 |
在下列螢幕快照中,記下在異常登入失敗數據表中選取第一行時所顯示的數據。 特定警示和事件 URL 會顯示在 用戶 數據表的事件/警示概觀中。
在下列螢幕快照中,用戶數據表的 Azure 稽核和登入風險會顯示與此使用者相關的登入風險數據。
在下列螢幕快照中,記下 [每個系統區域的登入失敗率],其中已選取 [測試] 群組底下的 84e 系統。 右側系統區域的 [失敗登入] 會顯示此系統的失敗事件。
登入失敗 - 趨勢
[ 登入失敗趨勢] 區域會顯示依不同類型的數據類型分組的失敗登入趨勢和次數。 例如:
![SAP 稽核活頁簿 [登入失敗趨勢] 區域的螢幕快照。](media/sap-audit-log-workbook/logon-failure-trends.png#lightbox)
下表描述登入失敗趨勢區域中的每個計量:
| 區域 | 描述 |
|---|---|
| 登入失敗的原因 | 根據失敗原因顯示登入失敗次數的趨勢,例如不正確的登入數據。 |
| 依類型輸入的登入失敗 | 根據類型顯示登入失敗的趨勢,例如 登入觸發背景工作,或 登入是透過 HTTP。 |
| 依方法登入失敗 | 根據方法顯示登入失敗次數的趨勢,例如 SNC 或 登入票證。 |
稽核記錄警示報告索引標籤
[ 稽核記錄警示 ] 索引卷標會顯示 SAP 稽核記錄事件的相關數據,Microsoft適用於 SAP 應用程式的 Sentinel 解決方案。 數據是以SAP_Dynamic_Audit_Log_Monitor_Configuration關注清單為基礎。
[ 稽核記錄警示] 索引卷標會顯示每個 SAP 系統和使用者的嚴重性和稽核趨勢。 此索引標籤中的所有區域只會顯示異常偵測所標幟的數據。 針對所有事件,選取右側 [失敗登入] 旁的 [全部]。
如需詳細資訊,請參閱 監視 SAP 稽核記錄。
例如:
![SAP 稽核活頁簿 [稽核記錄警示] 區域的螢幕快照。](media/sap-audit-log-workbook/audit-log-alerts.png#lightbox)
下表描述 [ 稽核記錄警示 ] 索引標籤上的每個計量:
| 區域 | 描述 |
|---|---|
| 每個系統標識碼的警示嚴重性趨勢 | 顯示系統清單,其中包含每個系統的中高嚴重性事件趨勢圖表。 例如, 012 系統在整個期間內有許多 「高 」嚴重性事件,以及一些 「中 」嚴重性事件,而尖峰會在期間中間顯示更多 中 嚴重性事件。 |
| 每位使用者的稽核趨勢 | 顯示Microsoft Sentinel 和 Microsoft Entra 數據的組合,根據風險列出使用者,最有風險的用戶位於最上層。 活頁簿會針對每個使用者顯示下列數據: - 高和中嚴重性事件的時程表 - 用戶的電子郵件位址 - Microsoft Entra 風險指標 - Microsoft Sentinel 中的事件和警示數目 選取一個數據列,以查看該使用者在 [事件/警示概觀] 底下 該使用者的警示和事件清單。 在 Azure 稽核下 檢視Microsoft Entra 風險事件,並登入用戶的風險。 |
| 每個系統的風險分數 | 以可視化方式表示數據格圖形中的每個系統,顯示每個系統的風險分數,並依類型分組系統。 系統的色彩表示系統的風險分數:綠色表示較低的風險分數,而紅色則表示較高的風險分數。 選取系統以查看每個系統的 SAP 事件清單。 |
| MITRE ATT&CK 策略的事件 | 顯示依 MITRE ATT&CK 策略分組的 SAP 事件清單,例如 初始存取 或 防禦逃避。 將滑鼠停留在圖表上以顯示不同日期的登入數目。 |
| 依類別排序的事件 | 顯示依類別分組的 SAP 事件趨勢清單,例如 RFC 開始 或 登入。 將滑鼠停留在圖表上以顯示不同日期的登入號碼。 |
| 依授權群組的事件 | 顯示依 SAP 授權群組分組的 SAP 事件趨勢清單,例如 USER 或 SUPER。 將滑鼠停留在圖表上以顯示不同日期的登入數目。 |
| 依使用者類型的事件 | 顯示依 SAP 使用者類型分組的 SAP 事件趨勢清單,例如 對話框 或 系統。 將滑鼠停留在圖表上以顯示不同日期的登入數目。 |
在下列螢幕快照中,記下在 [每位用戶數據表稽核趨勢] 中選取第一行時所顯示的數據。 特定警示和事件 URL 會顯示在 用戶 數據表的事件/警示概觀中。
![在 [每個使用者的稽核趨勢] 數據表中選取行時所顯示數據的螢幕快照。](media/sap-audit-log-workbook/audit-trend-per-user.png#lightbox)
在下列螢幕快照中,記下 [每個系統區域的風險分數],其中已選取UAT群組底下的 cb7 系統。 系統視覺效果下方系統區域的 SAP 事件會顯示此系統的 SAP 事件。
在下列螢幕快照中,記下事件和事件趨勢依不同類型的數據分組的區域:MITRE ATT&CK 策略、SAP 授權群組和用戶類型。
相關內容
如需詳細資訊,請參閱 從內容中樞 部署適用於 SAP 應用程式的 Microsoft Sentinel 解決方案和 適用於 SAP 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考。