Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives SAP - Security Audit log og Initial Access-projektmappen , der bruges til at overvåge og spore brugerovervågningsaktivitet på tværs af dine SAP-systemer. Brug projektmappen til at få et fugleperspektiv over brugerrevisionsaktivitet, sikre dine SAP-systemer bedre og få hurtig indsigt i mistænkelige handlinger. Analysér ned i mistænkelige hændelser efter behov.
Brug projektmappen enten til løbende overvågning af dine SAP-systemer eller til at gennemse systemerne efter en sikkerhedshændelse eller anden mistænkelig aktivitet.
Det kan f.eks. være:
Indholdet i denne artikel er beregnet til dit sikkerhedsteam .
Forudsætninger
Før du kan begynde at bruge SAP - Security Audit log og Initial Access-projektmappen , skal du have:
En Microsoft Sentinel løsning til SAP, der er installeret, og en dataconnector konfigureret. Du kan få flere oplysninger under Udrul en Microsoft Sentinel-løsning til SAP-programmer.
PROJEKTMAPPEN SAP - Security Audit log and Initial Access installeret i dit Log Analytics-arbejdsområde, der er aktiveret til Microsoft Sentinel. Du kan få flere oplysninger under Visualiser og overvåg dine data ved hjælp af projektmapper i Microsoft Sentinel.
Vigtigt!
PROJEKTMAPPEN SAP - Security Audit og Initial Access hostes af det arbejdsområde, hvor den Microsoft Sentinel løsning til SAP-programmer blev installeret. Som standard antages både SAP- og SOC-dataene at være i det arbejdsområde, der er vært for projektmappen.
Hvis SOC-dataene er i et andet arbejdsområde end det arbejdsområde, der er vært for projektmappen, skal du sørge for at inkludere abonnementet for det pågældende arbejdsområde og vælge SOC-arbejdsområdet fra Azure overvågnings- og aktivitetsarbejdsområde.
Mindst én hændelse i dit Microsoft Sentinel arbejdsområde, hvor mindst én post er tilgængelig i tabellen
SecurityIncident. Dette behøver ikke at være en SAP-hændelse, og du kan generere en demohændelse ved hjælp af en grundlæggende analyseregel, hvis du ikke har en anden.Hvis dine Microsoft Entra data er i et andet Log Analytics-arbejdsområde, skal du sørge for at vælge de relevante abonnementer og arbejdsområder øverst i projektmappen under Azure overvågning og aktiviteter.
Vi anbefaler, at du konfigurerer overvågning for alle meddelelser fra overvågningsloggen i stedet for kun specifikke logge. Forskelle i indtagelsesomkostninger er generelt minimale, og dataene er nyttige til Microsoft Sentinel opdagelser og i undersøgelser og jagt efter kompromiser. Du kan få flere oplysninger under Konfigurer SAP-overvågning.
Understøttede filtre
SAP -sikkerhedsovervågningsloggen og den oprindelige Access-projektmappe understøtter følgende filtre for at hjælpe dig med at fokusere på de data, du har brug for:
- Tidsinterval. Fra fire timer til 90 dage.
- Systemroller. SAP-systemrollerne, f.eks.: Udvikling.
- Systemanvendelse. Eksempel: SAP GTS.
- SAP-systemer. Du kan vælge alle systemer, et bestemt system eller vælge flere systemer.
Hvis du vælger systemer, der ikke er konfigureret på visningslisten for SAP-systemer, vises der en fejl i projektmappen, hvor systemerne med problemer angives. I dette tilfælde skal du konfigurere visningslisten til at inkludere disse systemer korrekt.
Rapportdata for logonanalyse
Under fanen Logonanalyserapport i SAP - Security Audit log og Initial Access-projektmappen vises der data om logonfejl, f.eks. unormale data, Microsoft Entra data med mere.
Dataene er baseret på visningslisten for SAP-systemer.
Fanen Logonanalyserapport indeholder følgende områder:
Logonanalyse
Området Logonanalyse viser vedrørende brugerlogon. For eksempel:
I følgende tabel beskrives hver metrikværdi i området Logonanalyse :
| Område | Beskrivelse |
|---|---|
| Entydig brugerlogon pr. system | Viser antallet af entydige logons for hvert SAP-system og en graf med logontendenser for den valgte tid for hvert system. Eksempel: 012-systemet har 1,4-K entydige logonforsøg i de sidste 14 dage, og i disse 14 dage viser grafen en relativt stigende logontendens. |
| Tendens for logontyper | Viser en tendens for antallet af logon i henhold til type, f.eks. logon via dialogboks. Peg på grafen for at få vist antallet af logon for forskellige datoer. |
| Logonfejl vs. entydige brugeres succes – tendens | Viser en tendens til vellykkede og mislykkede logons i den valgte periode. Peg på grafen for at få vist antallet af vellykkede og mislykkede logons for forskellige datoer. |
Logonfejl – registrering af uregelmæssigheder
Områderne under Registrering af uregelmæssigheder – filtrering af støjende mislykkede logonforsøg viser logonfejldata for SAP-systemer og -brugere. Hvis du kun vil se data, der er markeret af, skal du kun vælge Uregelmæssighed ud for Mislykket logon til højre.
Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen.
Det kan f.eks. være:
I følgende tabel beskrives hver metrikværdi i området Registrering af uregelmæssigheder :
| Område | Beskrivelse |
|---|---|
| Logonfejlfrekvens>Uregelmæssigheder i logonfejl>Entydigt brugerlogon mislykkedes pr. SAP-system | Viser antallet af entydige mislykkede logons for hvert SAP-system. |
| SAP og Active Directory er bedre sammen | Tabellen Uregelmæssige logonfejl viser en kombination af Microsoft Sentinel og Microsoft Entra data, der viser brugerne efter risiko med de mest risikofulde brugere øverst. For hver bruger vises følgende i tabellen: - En tidslinje over mislykkede logonforsøg - En tidslinje, der viser, hvornår der opstod et mislykket forsøg på uregelmæssigheder - Typen af uregelmæssigheder - Brugerens mailadresse - Risikoindikatoren for Microsoft Entra – Antallet af hændelser og beskeder i Microsoft Sentinel Vælg en brugers række for at få vist en liste over relaterede beskeder og hændelser. Microsoft Entra risikohændelser er angivet under Azure risici for overvågning og logon for brugeren. |
| Logonfejlfrekvens pr. system | Viser de valgte SAP-systemer grupperet efter type med antallet af fejl i den valgte periode. Systemets farve angiver antallet af mislykkede forsøg: Grøn for et par mistænkelige logonforsøg og rød for mere. Vælg et system for at få vist en liste over mislykkede logons med oplysninger om fejlene. |
På følgende skærmbillede skal du bemærke de data, der vises, når den første linje vælges i tabellen Uregelmæssige logonfejl . De specifikke beskeder og URL-adresser for hændelser vises i oversigten over hændelser/beskeder for brugertabellen .
På følgende skærmbillede viser Azure overvågnings- og logonrisici for brugertabellen data for den logonrisiko, der er relateret til denne bruger.
På følgende skærmbillede skal du bemærke logonfejlfrekvensen pr. systemområde , hvor 84e-systemet under gruppen Test er valgt. Fejllogon for systemområdet til højre viser fejlhændelser for dette system.
Logonfejl – tendenser
I området Tendenser for logonfejl vises tendenser og antallet af mislykkede logons grupperet efter forskellige typer data. Det kan f.eks. være:
I følgende tabel beskrives hver metrikværdi i området Logonfejltendenser :
| Område | Beskrivelse |
|---|---|
| Logonfejl efter årsag | Viser tendensen for antallet af logonfejl i henhold til fejlårsag, f.eks. forkerte logondata. |
| Logonfejl efter type | Viser tendensen for antallet af logonfejl i henhold til typen, f.eks. at logon udløste et baggrundsjob, eller at logon var via HTTP. |
| Logonfejl efter metode | Viser tendensen for antallet af logonfejl i henhold til metoden , f.eks . SNC eller en logonbillet. |
Rapportfanen Overvågningslogbeskeder
Fanen Beskeder i overvågningslog viser data om de SAP-overvågningsloghændelser, som Microsoft Sentinel løsning til SAP-programmer ser. Dataene er baseret på SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste.
Under fanen Beskeder i overvågningslog vises alvorsgraden og overvågningstendenserne for hvert SAP-system og hver enkelt bruger. Alle områder under denne fane viser kun data, der er markeret af registrering af uregelmæssigheder. For alle hændelser skal du vælge Alle ud for Mislykket logon til højre.
Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen.
Det kan f.eks. være:
I følgende tabel beskrives hver metrikværdi under fanen Overvågningslogbeskeder :
| Område | Beskrivelse |
|---|---|
| Tendenser for alvorsgrad af beskeder pr. system-id | Viser en liste over systemer med en graf over hændelsestendenser for mellemstor og høj alvorsgrad pr. system. 012-systemet havde f.eks. mange hændelser med høj alvorsgrad i hele perioden og nogle få hændelser med mellem alvorlighed med en spidsbelastning, der viser flere hændelser med mellemhøj alvorsgrad midt i perioden. |
| Overvågningstendens pr. bruger | Viser en kombination af Microsoft Sentinel og Microsoft Entra data, der viser brugerne efter risiko, med de mest risikable brugere øverst. Projektmappen viser følgende data for hver bruger: - En tidslinje over hændelser med høj og mellem alvorlighed - Brugerens mailadresse - Risikoindikatoren for Microsoft Entra – Antallet af hændelser og beskeder i Microsoft Sentinel Vælg en række for at få vist en liste over beskeder og hændelser for den pågældende bruger under Oversigt over hændelser/beskeder for brugeren. Få vist Microsoft Entra risikohændelser under Azure overvågnings- og logonrisici for brugeren. |
| Risikoscore pr. system | Repræsenterer visuelt hvert system i en cellefigur, der viser risikoscoren for hvert system og grupperingssystemer efter type. Systemets farve angiver systemets risikoscore: Grøn for en lavere risikoscore og rød for en højere risikoscore. Vælg et system for at få vist en liste over SAP-hændelser pr. system. |
| Hændelser ved MITRE ATT&CK taktik | Viser en liste over SAP-hændelser grupperet efter MITRE ATT&CK-taktik, f.eks . Indledende adgang eller Forsvarunddragelse. Peg på grafen for at få vist antallet af logon for forskellige datoer. |
| Hændelser efter kategori | Viser en liste over SAP-hændelsestendenser grupperet efter kategori, f.eks. RFC Start eller Logon. Peg på grafen for at få vist logonnummeret for forskellige datoer. |
| Hændelser efter godkendelsesgruppe | Viser en liste over SAP-hændelsestendenser grupperet efter SAP-godkendelsesgruppen, f.eks. USER eller SUPER. Peg på grafen for at få vist antallet af logon for forskellige datoer. |
| Hændelser efter brugertype | Viser en liste over SAP-hændelsestendenser grupperet efter SAP-brugertypen, f.eks. dialogboks eller system. Peg på grafen for at få vist antallet af logon for forskellige datoer. |
På følgende skærmbillede skal du bemærke de data, der vises, når den første linje vælges i tabellen Overvågningstendenser pr. bruger . De specifikke beskeder og URL-adresser for hændelser vises i oversigten over hændelser/beskeder for brugertabellen .
På følgende skærmbillede skal du bemærke området Risikoscore pr. system , hvor cb7-systemet under UAT-gruppen er valgt. SAP-hændelserne for systemområdet under systemvisualiseringen viser SAP-hændelsen for dette system.
På følgende skærmbillede kan du se områder med hændelser og hændelsestendenser grupperet efter forskellige typer data: MITRE ATT&CK-taktik, SAP-godkendelsesgruppe og brugertype.
Relateret indhold
Du kan få flere oplysninger under Installér Microsoft Sentinel-løsningen til SAP-programmer fra indholdshubben og Microsoft Sentinel løsning til SAP-programmer: reference til sikkerhedsindhold.