Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det sikkerhedsindhold, der er tilgængeligt for Microsoft Sentinel løsninger til SAP.
Vigtigt!
De elementer, der er beskrevet i denne artikel, er i prøveversion. De supplerende vilkår for Azure prøveversion indeholder yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
Tilgængeligt sikkerhedsindhold omfatter indbyggede projektmapper og analyseregler. Du kan også tilføje SAP-relaterede visningslister , som du kan bruge i dine søge-, registreringsregler, trusselsjagt og svarlegebøger.
Indholdet i denne artikel er beregnet til dit sikkerhedsteam .
Indbyggede projektmapper
Brug følgende indbyggede projektmapper til at visualisere og overvåge data, der indtages via SAP-dataconnectoren. Når du har installeret SAP-løsningen, kan du finde SAP-projektmapper under fanen Skabeloner .
| Projektmappenavn | Beskrivelse | Logfiler |
|---|---|---|
| SAP – Overvågningslogbrowser | Viser data som f.eks.: – Generel systemtilstand, herunder brugerlogon over tid, hændelser, der indtages af systemet, kørsel af meddelelsesklasser og id'er og ABAP-programmer -Hvor mange hændelser der sker i dit system – Godkendelses- og autorisationshændelser, der opstår i dit system |
Bruger data fra følgende log: ABAPAuditLog |
| SAP-overvågningskontrolelementer | Hjælper dig med at kontrollere, om dit SAP-miljøs sikkerhedskontroller overholder de angivne regler og standarder, ved hjælp af værktøjer, som du kan bruge til at gøre følgende: – Tildel analyseregler i dit miljø til specifikke sikkerhedskontroller og kontrolfamilier – Overvåg og kategoriser de hændelser, der genereres af de SAP-løsningsbaserede analyseregler - Rapportér om overholdelse af angivne standarder |
Bruger data fra følgende tabeller: - SecurityAlert- SecurityIncident |
Du kan få flere oplysninger under Selvstudium: Visualiser og overvåg dine data og Installér Microsoft Sentinel løsning til SAP-programmer.
Indbyggede analyseregler
I dette afsnit beskrives et udvalg af indbyggede analyseregler, der leveres sammen med Microsoft Sentinel-løsningen til SAP-programmer. Den agentløse dataconnector fungerer sammen med et konsolideret sæt kilder. Hvis du vil se de seneste opdateringer, skal du se Microsoft Sentinel indholdshub for nye og opdaterede regler.
Overvåg konfigurationen af statiske SAP-sikkerhedsparametre (prøveversion)
SAP har identificeret sikkerhedsrelaterede parametre, der skal overvåges for ændringer, for at sikre SAP-systemet. Med reglen "SAP – (prøveversion) Følsom statisk parameter er ændret" sporer den Microsoft Sentinel løsning til SAP-programmer over 52 statiske sikkerhedsrelaterede parametre i SAP-systemet, som er indbygget i Microsoft Sentinel.
Bemærk!
For at den Microsoft Sentinel løsning til SAP-programmer kan overvåge SAP-sikkerhedsparametrene korrekt, skal løsningen overvåge SAP PAHI-tabellen med jævne intervaller. Du kan finde flere oplysninger under Kontrollér, at PAHI-tabellen opdateres med jævne intervaller.
For at forstå parameterændringer i systemet bruger den Microsoft Sentinel løsning til SAP-programmer parameteroversigtstabellen, som registrerer ændringer af systemparametre hver time.
Parametrene afspejles også på visningslisten SAPSystemParameters. Denne visningsliste giver brugerne mulighed for at tilføje nye parametre, deaktivere eksisterende parametre og ændre værdierne og de forskellige værdier pr. parameter og systemrolle i produktions- eller ikke-produktionsmiljøer.
Når der foretages en ændring af en af disse parametre, Microsoft Sentinel kontrollerer, om ændringen er sikkerhedsrelateret, og om værdien er angivet i henhold til de anbefalede værdier. Hvis der er mistanke om ændringen uden for den sikre zone, opretter Microsoft Sentinel en hændelse, der beskriver ændringen, og identificerer, hvem der har foretaget ændringen.
Gennemse listen over parametre , som denne regel overvåger.
Overvåg SAP-overvågningsloggen
Mange af analysereglerne i Microsoft Sentinel-løsningen til SAP-programmer bruger SAP-overvågningslogdata. Nogle analyseregler søger efter bestemte hændelser i logfilen, mens andre korrelerer indikationer fra flere logge for at oprette vigtige beskeder og hændelser.
Brug følgende analyseregler til enten at overvåge alle hændelser i overvågningsloggen på dit SAP-system eller kun udløse beskeder, når der registreres uregelmæssigheder:
| Regelnavn | Beskrivelse |
|---|---|
| SAP – Manglende konfiguration i overvågning af dynamisk sikkerhedsovervågning | Kører som standard dagligt for at angive konfigurationsanbefalinger til SAP-overvågningslogmodulet. Brug regelskabelonen til at oprette og tilpasse en regel for dit arbejdsområde. |
| SAP – Dynamisk overvågning af deterministisk overvågningslog (PRØVEVERSION) | Kører som standard hvert 10. minut og fokuserer på de SAP-overvågningsloghændelser, der er markeret som deterministiske. Brug regelskabelonen til at oprette og tilpasse en regel for dit arbejdsområde, f.eks. til en lavere falsk positiv sats. Denne regel kræver deterministiske beskedtærskler og regler for brugerudeladelse. |
| SAP – Vigtige overvågningslogbeskeder baseret på dynamiske uregelmæssigheder (PREVIEW) | Kører som standard hver time og fokuserer på SAP-hændelser, der er markeret som UregelmæssighederPåly, og giver besked om HÆNDELSER i SAP-overvågningsloggen, når der registreres uregelmæssigheder. Denne regel anvender ekstra algoritmer til maskinel indlæring til at filtrere baggrundsstøj fra på en uovervåget måde. |
Som standard sendes de fleste hændelsestyper eller SAP-meddelelses-id'er i SAP-overvågningsloggen til den anomalibaserede regel for overvågning af dynamiske uregelmæssigheder (PREVIEW), mens de nemmere at definere hændelsestyper sendes til den deterministiske regel for overvågning af dynamisk deterministisk overvågningslog (PREVIEW). Denne indstilling kan sammen med andre relaterede indstillinger konfigureres yderligere, så den passer til alle systembetingelser.
Overvågningsregler for SAP-overvågningslog leveres som en del af Microsoft Sentinel til sikkerhedsindhold for SAP-løsninger og giver mulighed for yderligere finjustering ved hjælp af SAP_Dynamic_Audit_Log_Monitor_Configuration og SAP_User_Config visningslister.
Følgende tabel viser f.eks. flere eksempler på, hvordan du kan bruge SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste til at konfigurere de typer hændelser, der medfører hændelser, hvilket reducerer antallet af genererede hændelser.
| Mulighed | Beskrivelse |
|---|---|
| Angiv afstande, og deaktiver uønskede hændelser | Som standard opretter både deterministiske regler og de regler, der er baseret på uregelmæssigheder, beskeder for hændelser, der er markeret med mellemstor og høj udtrædelse. Det kan være en god idé at konfigurere forskellige produktions- og ikke-produktionsmiljøer separat. Du kan f.eks. angive en fejlfindingsaktivitetshændelse som høj alvorsgrad i produktionssystemer og slå de samme hændelser helt fra i ikke-produktionssystemer. |
| Udelad brugere efter deres SAP-roller eller SAP-profiler | Microsoft Sentinel til SAP henter SAP-brugerens godkendelsesprofil, herunder direkte og indirekte rolletildelinger, grupper og profiler, så du kan tale SAP-sproget i din SIEM. Det kan være en god idé at konfigurere en SAP-hændelse for at udelukke brugere baseret på deres SAP-roller og -profiler. På visningslisten skal du tilføje de roller eller profiler, der grupperer brugerne af RFC-grænsefladen, i kolonnen RolesTagsToExclude ud for den generiske tabeladgang efter RFC-hændelse . Denne konfiguration udløser kun beskeder for brugere, der mangler disse roller. |
| Udelad brugere med deres SOC-koder | Brug mærker til at oprette din egen gruppering uden at være afhængig af komplicerede SAP-definitioner eller endda uden SAP-godkendelse. Denne metode er nyttig for SOC-teams, der vil oprette deres egen gruppering for SAP-brugere. Hvis du f.eks. ikke ønsker, at bestemte tjenestekonti skal advares om generisk tabeladgang af RFC-hændelser , men ikke kan finde en SAP-rolle eller en SAP-profil, der grupperer disse brugere, skal du bruge mærker på følgende måde: 1. Tilføj mærket GenTableRFCReadOK ud for den relevante hændelse på visningslisten. 2. Gå til den SAP_User_Config visningsliste, og tildel grænsefladebrugerne det samme tag. |
| Angiv en hyppighedsgrænse pr. hændelsestype og systemrolle | Fungerer som en hastighedsgrænse. Du kan f.eks. konfigurere hændelser for ændring af brugermasterpost til kun at udløse beskeder, hvis mere end 12 aktiviteter observeres på en time af den samme bruger i et produktionssystem. Hvis en bruger overskrider grænsen på 12 pr. time – f.eks. 2 hændelser i et 10-minutters vindue – udløses en hændelse. |
| Determinisme eller uregelmæssigheder | Hvis du kender hændelsens egenskaber, skal du bruge deterministiske egenskaber. Hvis du ikke er sikker på, hvordan du konfigurerer hændelsen korrekt, skal du tillade, at funktionerne til maskinel indlæring beslutter at starte og derefter foretage efterfølgende opdateringer efter behov. |
| SOAR-funktioner | Brug Microsoft Sentinel til yderligere at orkestrere, automatisere og reagere på hændelser, der er oprettet af dynamiske beskeder i SAP-overvågningsloggen. Du kan få flere oplysninger under Automatisering i Microsoft Sentinel: Sikkerhedsorkestrering, automatisering og svar (SOAR). |
Du kan få flere oplysninger under Tilgængelige visningslister og Microsoft Sentinel til SAP News – Funktionen Dynamic SAP Security Audit Log Monitor, der er tilgængelig nu! (blog).
Indledende adgang
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – Logon fra uventet netværk | Identificerer et logon fra et uventet netværk. Vedligehold netværk på visningslisten SAP – netværk . |
Log på backendsystemet fra en IP-adresse, der ikke er tildelt et af netværkene. Datakilder: SAPcon – Overvågningslog |
Indledende adgang |
| SAP – SPNego-angreb | Identificerer SPNego Replay-angreb. | Datakilder: SAPcon – Overvågningslog | Effekt, tværgående bevægelse |
| SAP – Forsøg på dialogbokslogon fra en privilegeret bruger | Identificerer forsøg på dialogbokslogon med AUM-typen af privilegerede brugere i et SAP-system. Du kan få flere oplysninger i SAPUsersGetPrivileged. | Forsøg på at logge på fra den samme IP-adresse til flere systemer eller klienter inden for det planlagte tidsinterval Datakilder: SAPcon – Overvågningslog |
Effekt, tværgående bevægelse |
| SAP – Brute force-angreb | Identificerer brute force-angreb på SAP-systemet ved hjælp af RFC-logon | Forsøg på at logge på fra den samme IP-adresse til flere systemer/klienter inden for det planlagte tidsinterval ved hjælp af RFC Datakilder: SAPcon – Overvågningslog |
Adgang til legitimationsoplysninger |
| SAP – Flere logon efter IP | Identificerer logon for flere brugere fra samme IP-adresse inden for et planlagt tidsinterval. Underanvendelsessag: Vedvarende |
Log på med flere brugere via den samme IP-adresse. Datakilder: SAPcon – Overvågningslog |
Indledende adgang |
| SAP – Flere logon efter bruger | Identificerer logons for den samme bruger fra flere terminaler inden for det planlagte tidsinterval. Kun tilgængelig via audit SAL-metoden for SAP version 7.5 og nyere. |
Log på med den samme bruger med forskellige IP-adresser. Datakilder: SAPcon – Overvågningslog |
Førangreb, adgang til legitimationsoplysninger, indledende adgang, samling Underanvendelsessag: Vedvarende |
| SAP – Information – Livscyklus – SAP-noter blev implementeret i systemet | Identificerer implementeringen af SAP Note i systemet. | Implementer en SAP-note ved hjælp af SNOTE/TCI. Datakilder: SAPcon – Ændringsanmodninger |
- |
| SAP – (prøveversion) SOM JAVA – Logget på følsomt privilegeret bruger | Identificerer et logon fra et uventet netværk. Bevar privilegerede brugere på visningslisten privilegerede brugere i SAP – privilegerede brugere . |
Log på backend-systemet ved hjælp af privilegerede brugere. Datakilder: SAPJAVAFilesLog |
Indledende adgang |
| SAP – (prøveversion) SOM JAVA – Sign-In fra uventet netværk | Identificerer logon fra et uventet netværk. Bevar privilegerede brugere på visningslisten SAP – netværk . |
Log på backendsystemet fra en IP-adresse, der ikke er tildelt til et af netværkene i SAP - Networks watchlist Datakilder: SAPJAVAFilesLog |
Indledende adgang, forsvarsunddragelse |
Dataudfyldning
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – FTP til ikke-godkendte servere | Identificerer en FTP-forbindelse for en ikke-godkendt server. | Opret en ny FTP-forbindelse, f.eks. ved hjælp af FTP_CONNECT Funktionsmodul. Datakilder: SAPcon – Overvågningslog |
Registrering, indledende adgang, kommando og kontrol |
| SAP – Usikker konfiguration af FTP-servere | Identificerer usikre konfigurationer af FTP-serveren, f.eks. når en FTP-allowlist er tom eller indeholder pladsholdere. | Vedligehold ikke værdier, der indeholder pladsholdere i tabellen SAPFTP_SERVERS , ved hjælp af vedligeholdelsesvisningen SAPFTP_SERVERS_V . (SM30) Datakilder: SAPcon – Overvågningslog |
Indledende adgang, kommando og kontrol |
| SAP – Overførsel af flere Files | Identificerer flere fildownloads for en bruger inden for et bestemt tidsinterval. | Download flere filer ved hjælp af SAPGui til Excel, lister osv. Datakilder: SAPcon – Overvågningslog |
Samling, Eksfiltration, Adgang til legitimationsoplysninger |
| SAP – Flere kørseler af spool | Identificerer flere spools for en bruger inden for et bestemt tidsinterval. | Opret og kør flere spooljob af enhver type af en bruger. (SP01) Datakilder: SAPcon – Spool Log, SAPcon – Overvågningslog |
Samling, Eksfiltration, Adgang til legitimationsoplysninger |
| SAP – Flere udførelser af Spool-output | Identificerer flere spools for en bruger inden for et bestemt tidsinterval. | Opret og kør flere spooljob af enhver type af en bruger. (SP01) Datakilder: SAPcon – Spool-outputlog, SAPcon – Overvågningslog |
Samling, Eksfiltration, Adgang til legitimationsoplysninger |
| SAP – Direkte adgang til følsomme tabeller efter RFC-logon | Identificerer en generisk tabeladgang ved RFC-logon. Vedligehold tabeller på visningslisten SAP – følsomme tabeller . Kun relevant for produktionssystemer. |
Åbn tabelindholdet ved hjælp af SE11/SE16/SE16N. Datakilder: SAPcon – Overvågningslog |
Samling, Eksfiltration, Adgang til legitimationsoplysninger |
| SAP – overtagelse af Spool | Identificerer en bruger, der udskriver en gruppeanmodning, som er oprettet af en anden. | Opret en spoolanmodning ved hjælp af én bruger, og skriv den derefter i ved hjælp af en anden bruger. Datakilder: SAPcon – Spool Log, SAPcon – Spool Output Log, SAPcon – Overvågningslog |
Samling, Eksfiltration, Kommando og kontrolelement |
| SAP – Dynamisk RFC-destination | Identificerer udførelsen af RFC ved hjælp af dynamiske destinationer. Underordnet anvendelse: Forsøg på at tilsidesætte SAP-sikkerhedsmekanismer |
Udfør en ABAP-rapport, der bruger dynamiske destinationer (cl_dynamic_destination). F.eks. DEMO_RFC_DYNAMIC_DEST. Datakilder: SAPcon – Overvågningslog |
Samling, eksfiltration |
| SAP – Direkte adgang til følsomme tabeller efter dialogbokslogon | Identificerer generisk tabeladgang via dialogbokslogon. | Åbn tabelindhold ved hjælp af SE11SE16N/SE16/. Datakilder: SAPcon – Overvågningslog |
Opdagelse |
| SAP – fil (prøveversion), der er hentet fra en skadelig IP-adresse | Identificerer download af en fil fra et SAP-system ved hjælp af en IP-adresse, der er kendt for at være skadelig. Ondsindede IP-adresser hentes fra threat intelligence-tjenester. | Download en fil fra en skadelig IP-adresse. Datakilder: SAP-sikkerhedsovervågningslog, Threat Intelligence |
Eksfiltration |
| SAP – (prøveversion) data eksporteret fra et produktionssystem ved hjælp af en transport | Identificerer dataeksport fra et produktionssystem ved hjælp af en transport. Transporter bruges i udviklingssystemer og svarer til pullanmodninger. Denne påmindelsesregel udløser hændelser med medium alvorsgrad, når en transport, der indeholder data fra en hvilken som helst tabel, frigives fra et produktionssystem. Reglen opretter en hændelse med høj alvorsgrad, når eksporten indeholder data fra en følsom tabel. | Frigiv en transport fra et produktionssystem. Datakilder: SAP CR-log, SAP – følsomme tabeller |
Eksfiltration |
| SAP – følsomme data (prøveversion) gemt på et USB-drev | Identificerer eksport af SAP-data via filer. Reglen søger efter data, der er gemt i et usb-drev, der er tilsluttet for nylig, i nærheden af en udførelse af en følsom transaktion, et følsomt program eller direkte adgang til en følsom tabel. | Eksportér SAP-data via filer, og gem dem på et USB-drev. Datakilder: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender for Endpoint), SAP – Følsomme tabeller, SAP – Følsomme transaktioner, SAP – Følsomme programmer |
Eksfiltration |
| SAP – (prøveversion) Udskrivning af potentielt følsomme data | Identificerer en anmodning eller faktisk udskrivning af potentielt følsomme data. Data betragtes som følsomme, hvis brugeren henter dataene som en del af en følsom transaktion, udførelse af et følsomt program eller direkte adgang til en følsom tabel. | Udskriv eller anmod om at udskrive følsomme data. Datakilder: SAP Security Audit Log, SAP Spool logs, SAP – Følsomme tabeller, SAP – Følsomme programmer |
Eksfiltration |
| SAP – (prøveversion) Stor mængde potentielt følsomme data, der eksporteres | Identificerer eksport af en stor mængde data via filer i nærheden af en udførelse af en følsom transaktion, et følsomt program eller direkte adgang til følsomme tabeller. | Eksportér stor datamængde via filer. Datakilder: SAP Security Audit Log, SAP – Følsomme tabeller, SAP – Følsomme transaktioner, SAP – Følsomme programmer |
Eksfiltration |
Persistensen
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – Aktivering eller deaktivering af ICF-tjeneste | Identificerer aktivering eller deaktivering af ICF-tjenester. | Aktivér en tjeneste ved hjælp af SICF. Datakilder: SAPcon – Log over tabeldata |
Kommando og kontrol, tværgående bevægelse, vedholdenhed |
| SAP – Funktionsmodul er testet | Identificerer testen af et funktionsmodul. | Test et funktionsmodul ved hjælp af SE37 / SE80. Datakilder: SAPcon – Overvågningslog |
Samling, forsvarsunddragelse, tværgående bevægelse |
| SAP – (PRØVEVERSION) HANA DB – Brugerhandlinger Administration | Identificerer brugeradministrationshandlinger. | Opret, opdater eller slet en databasebruger. Datakilder: Linux Agent – Syslog* |
Rettighedseskalering |
| SAP – Nye ICF-tjenestehandlere | Identificerer oprettelsen af ICF-handlere. | Tildel en ny handler til en tjeneste ved hjælp af SICF. Datakilder: SAPcon – Overvågningslog |
Kommando og kontrol, tværgående bevægelse, vedholdenhed |
| SAP – Nye ICF-tjenester | Identificerer oprettelsen af ICF-tjenester. | Opret en tjeneste ved hjælp af SICF. Datakilder: SAPcon – Log over tabeldata |
Kommando og kontrol, tværgående bevægelse, vedholdenhed |
| SAP – Udførelse af et forældet eller usikkert funktionsmodul | Identificerer udførelsen af et forældet eller usikkert ABAP-funktionsmodul. Vedligehold forældede funktioner på visningslisten SAP – Forældede funktionsmoduler . Sørg for at aktivere ændringer i logføring af tabeller for tabellen EUFUNC i backend. (SE13)Kun relevant for produktionssystemer. |
Kør et forældet eller usikkert funktionsmodul direkte ved hjælp af SE37. Datakilder: SAPcon – Log over tabeldata |
Registrering, kommando og kontrol |
| SAP – Udførelse af forældet/usikkert program | Identificerer udførelsen af et forældet eller usikkert ABAP-program. Vedligehold forældede programmer på visningslisten SAP – Forældede programmer . Kun relevant for produktionssystemer. |
Kør et program direkte ved hjælp af SE38/SA38/SE80 eller ved hjælp af et baggrundsjob. Datakilder: SAPcon – Overvågningslog |
Registrering, kommando og kontrol |
| SAP – flere adgangskodeændringer | Identificerer flere ændringer af adgangskoden af brugeren. | Skift brugeradgangskode Datakilder: SAPcon – Overvågningslog |
Adgang til legitimationsoplysninger |
| SAP – (prøveversion) SOM JAVA – Brugeren opretter og bruger ny bruger | Identificerer oprettelse eller manipulation af brugere af administratorer i SAP AS Java-miljøet. | Log på backendsystemet ved hjælp af brugere, som du har oprettet eller manipuleret. Datakilder: SAPJAVAFilesLog |
Persistens |
Forsøger at tilsidesætte SAP-sikkerhedsmekanismer
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – Ændring af klientkonfiguration | Identificerer ændringer for klientkonfigurationen, f.eks. klientrollen eller ændring af optagelsestilstand. | Udfør ændringer af klientkonfigurationen ved hjælp af SCC4 transaktionskoden. Datakilder: SAPcon – Overvågningslog |
Forsvarsunddragelse, eksfiltration, vedholdenhed |
| SAP – Data er blevet ændret under fejlfindingsaktivitet | Identificerer ændringer af kørselsdata under en fejlfindingsaktivitet. Underanvendelsessag: Vedvarende |
1. Aktivér fejlfinding ("/t"). 2. Vælg et felt til ændring, og opdater dets værdi. Datakilder: SAPcon – Overvågningslog |
Udførelse, tværgående bevægelse |
| SAP – Deaktivering af sikkerhedsovervågningslog | Identificerer deaktivering af sikkerhedsovervågningsloggen, | Deaktiver sikkerhedsovervågningslog ved hjælp af SM19/RSAU_CONFIG. Datakilder: SAPcon – Overvågningslog |
Eksfiltration, forsvarsunddragelse, vedholdenhed |
| SAP – Udførelse af et følsomt ABAP-program | Identificerer den direkte udførelse af et følsomt ABAP-program. Vedligehold ABAP-programmer på visningslisten SAP – Følsomme ABAP-programmer . |
Kør et program direkte ved hjælp af SE38SE80/SA38/. Datakilder: SAPcon – Overvågningslog |
Eksfiltration, tværgående bevægelse, udførelse |
| SAP – Udførelse af en følsomt transaktionskode | Identificerer udførelsen af en følsom transaktionskode. Vedligehold transaktionskoder på visningslisten SAP – Følsomme transaktionskoder . |
Kør en følsom transaktionskode. Datakilder: SAPcon – Overvågningslog |
Registrering, udførelse |
| SAP – Udførelse af modul med følsomme funktioner | Identificerer udførelsen af et følsomt modul med ABAP-funktioner. Underanvendelsessag: Vedvarende Kun relevant for produktionssystemer. Vedligehold følsomme funktioner på visningslisten SAP – følsomme funktionsmoduler , og sørg for at aktivere ændringer af tabellogføring i backend for EUFUNC-tabellen. (SE13) |
Kør et modul med følsomme funktioner direkte ved hjælp af SE37. Datakilder: SAPcon – Log over tabeldata |
Registrering, kommando og kontrol |
| SAP – (PREVIEW) HANA DB – Ændringer i politikker for revisionsspor | Identificerer ændringer for HANA DB-politikker for overvågningsspor. | Opret eller opdater den eksisterende overvågningspolitik i sikkerhedsdefinitioner. Datakilder: Linux Agent – Syslog |
Tværgående bevægelse, forsvarsunddragelse, vedholdenhed |
| SAP – (PREVIEW) HANA DB – Deaktivering af revisionsspor | Identificerer deaktivering af HANA DB-overvågningsloggen. | Deaktiver overvågningsloggen i HANA DB-sikkerhedsdefinitionen. Datakilder: Linux Agent – Syslog |
Vedholdenhed, tværgående bevægelse, forsvarsunddragelse |
| SAP – Uautoriseret fjernkørsel af et modul med følsomme funktioner | Registrerer uautoriserede udførelser af følsomme FMs ved at sammenligne aktiviteten med brugerens godkendelsesprofil, mens der ses bort fra nyligt ændrede godkendelser. Vedligehold funktionsmoduler på visningslisten SAP – Følsomme funktionsmoduler . |
Kør et funktionsmodul ved hjælp af RFC. Datakilder: SAPcon – Overvågningslog |
Udførelse, tværgående bevægelse, registrering |
| SAP – Ændring af systemkonfiguration | Identificerer ændringer i systemkonfigurationen. | Tilpas indstillinger for systemændring eller ændring af softwarekomponent ved hjælp af SE06 transaktionskoden.Datakilder: SAPcon – Overvågningslog |
Eksfiltration, forsvarsunddragelse, vedholdenhed |
| SAP – Fejlfindingsaktiviteter | Identificerer alle fejlfindingsrelaterede aktiviteter. Underanvendelsessag: Vedvarende |
Aktivér fejlfinding ("/h") i systemet, foretag fejlfinding af en aktiv proces, føj pausepunkt til kildekoden osv. Datakilder: SAPcon – Overvågningslog |
Opdagelse |
| SAP – Ændring af konfiguration af sikkerhedsovervågningslog | Identificerer ændringer i konfigurationen af sikkerhedsovervågningsloggen | Rediger konfigurationen af sikkerhedsovervågningsloggen ved hjælp af SM19/RSAU_CONFIG, f.eks. filtre, status, optagelsestilstand osv. Datakilder: SAPcon – Overvågningslog |
Vedholdenhed, eksfiltration, forsvarsunddragelse |
| SAP – Transaktionen er ulåst | Identificerer oplåsning af en transaktion. | Lås en transaktionskode op ved hjælp af SM01SM01_CUS/SM01_DEV/. Datakilder: SAPcon – Overvågningslog |
Vedholdenhed, udførelse |
| SAP – Dynamisk ABAP-program | Identificerer udførelsen af dynamisk ABAP-programmering. Det kan f.eks. være, når ABAP-koden blev oprettet, ændret eller slettet dynamisk. Vedligehold udeladte transaktionskoder i visningslisten SAP – Transaktioner for ABAP Generations . |
Opret en ABAP-rapport, der bruger KOMMANDOER til oprettelse af ABAP-programmer, f.eks. INSERT REPORT, og kør derefter rapporten. Datakilder: SAPcon – Overvågningslog |
Registrering, kommando og kontrol, virkning |
Mistænkelige handlinger
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – Ændring i en privilegeret bruger med følsomme rettigheder | Identificerer ændringer af følsomme privilegerede brugere. Bevar privilegerede brugere på visningslisten privilegerede brugere i SAP – privilegerede brugere . |
Rediger brugeroplysninger/godkendelser ved hjælp af SU01. Datakilder: SAPcon – Overvågningslog |
Rettighedseskalering, adgang til legitimationsoplysninger |
| SAP – (PRØVEVERSION) HANA DB – Tildel Administration godkendelser | Identificerer administratorrettigheder eller rolletildeling. | Tildel en bruger med en hvilken som helst administratorrolle eller -rettigheder. Datakilder: Linux Agent – Syslog |
Rettighedseskalering |
| SAP – Følsom privilegeret bruger, der er logget på | Identificerer dialogbokslogon for en følsom privilegeret bruger. Bevar privilegerede brugere på visningslisten privilegerede brugere i SAP – privilegerede brugere . |
Log på backendsystemet ved hjælp af SAP* eller en anden privilegeret bruger. Datakilder: SAPcon – Overvågningslog |
Indledende adgang, adgang til legitimationsoplysninger |
| SAP – Følsom privilegeret bruger foretager en ændring i en anden bruger | Identificerer ændringer af følsomme, privilegerede brugere i andre brugere. | Rediger brugeroplysninger/godkendelser ved hjælp af SU01. Datakilder: SAPcon – Overvågningslog |
Rettighedseskalering, adgang til legitimationsoplysninger |
| SAP – Adgangskodeændring og logon for følsomme brugere | Identificerer adgangskodeændringer for privilegerede brugere. | Skift adgangskoden for en privilegeret bruger, og log på systemet. Bevar privilegerede brugere på visningslisten privilegerede brugere i SAP – privilegerede brugere . Datakilder: SAPcon – Overvågningslog |
Effekt, kommando og kontrol, rettighedseskalering |
| SAP – Brugeren opretter og bruger en ny bruger | Identificerer en bruger, der opretter og bruger andre brugere. Underanvendelsessag: Vedvarende |
Opret en bruger ved hjælp af SU01, og log derefter på ved hjælp af den nyoprettede bruger og den samme IP-adresse. Datakilder: SAPcon – Overvågningslog |
Registrering, førangreb, indledende adgang |
| SAP – Brugeren låser op og bruger andre brugere | Identificerer en bruger, der låses op og bruges af andre brugere. Underanvendelsessag: Vedvarende |
Lås en bruger op ved hjælp af SU01, og log derefter på med den ulåste bruger og den samme IP-adresse. Datakilder: SAPcon – Overvågningslog, SAPcon – Skift dokumentlog |
Registrering, førangreb, indledende adgang, tværgående bevægelse |
| SAP – Tildeling af en følsom profil | Identificerer nye tildelinger af en følsom profil til en bruger. Vedligehold følsomme profiler på visningslisten SAP – Følsomme profiler . |
Tildel en profil til en bruger ved hjælp af SU01. Datakilder: SAPcon – Skift dokumentlog |
Rettighedseskalering |
| SAP – Tildeling af en følsom rolle | Identificerer nye tildelinger for en følsom rolle til en bruger. Bevar følsomme roller på visningslisten SAP – følsomme roller . |
Tildel en rolle til en bruger ved hjælp af SU01 / PFCG. Datakilder: SAPcon – Skift dokumentlog, Overvågningslog |
Rettighedseskalering |
| SAP – (PRØVEVERSION) Tildeling af kritiske godkendelser – Ny godkendelsesværdi | Identificerer tildelingen af en kritisk godkendelsesobjektværdi til en ny bruger. Vedligehold kritiske godkendelsesobjekter på visningslisten SAP – Kritiske godkendelsesobjekter . |
Tildel et nyt godkendelsesobjekt, eller opdater et eksisterende godkendelsesobjekt i en rolle ved hjælp af PFCG. Datakilder: SAPcon – Skift dokumentlog |
Rettighedseskalering |
| SAP – Tildeling af kritiske godkendelser – Ny brugertildeling | Identificerer tildelingen af en kritisk godkendelsesobjektværdi til en ny bruger. Vedligehold kritiske godkendelsesobjekter på visningslisten SAP – Kritiske godkendelsesobjekter . |
Tildel en ny bruger en rolle, der indeholder vigtige godkendelsesværdier, ved hjælp af SU01/PFCG. Datakilder: SAPcon – Skift dokumentlog |
Rettighedseskalering |
| SAP – ændringer af følsomme roller | Identificerer ændringer i følsomme roller. Bevar følsomme roller på visningslisten SAP – følsomme roller . |
Skift en rolle ved hjælp af PFCG. Datakilder: SAPcon – Skift dokumentlog, SAPcon – Overvågningslog |
Virkning, rettighedseskalering, vedholdenhed |
Overvåg SAP-overvågningsloggen
Mange af analysereglerne i Microsoft Sentinel-løsningen til SAP-programmer bruger SAP-overvågningslogdata. Nogle analyseregler søger efter bestemte hændelser i logfilen, mens andre korrelerer indikationer fra flere logge for at oprette vigtige beskeder og hændelser.
Brug følgende analyseregler til enten at overvåge alle hændelser i overvågningsloggen på dit SAP-system eller kun udløse beskeder, når der registreres uregelmæssigheder:
| Regelnavn | Beskrivelse |
|---|---|
| SAP – Manglende konfiguration i overvågning af dynamisk sikkerhedsovervågning | Kører som standard dagligt for at angive konfigurationsanbefalinger til SAP-overvågningslogmodulet. Brug regelskabelonen til at oprette og tilpasse en regel for dit arbejdsområde. |
| SAP – Dynamisk overvågning af deterministisk overvågningslog (PRØVEVERSION) | Kører som standard hvert 10. minut og fokuserer på de SAP-overvågningsloghændelser, der er markeret som deterministiske. Brug regelskabelonen til at oprette og tilpasse en regel for dit arbejdsområde, f.eks. til en lavere falsk positiv sats. Denne regel kræver deterministiske beskedtærskler og regler for brugerudeladelse. |
| SAP – Vigtige overvågningslogbeskeder baseret på dynamiske uregelmæssigheder (PREVIEW) | Kører som standard hver time og fokuserer på SAP-hændelser, der er markeret som UregelmæssighederPåly, og giver besked om HÆNDELSER i SAP-overvågningsloggen, når der registreres uregelmæssigheder. Denne regel anvender ekstra algoritmer til maskinel indlæring til at filtrere baggrundsstøj fra på en uovervåget måde. |
Som standard sendes de fleste hændelsestyper eller SAP-meddelelses-id'er i SAP-overvågningsloggen til den anomalibaserede regel for overvågning af dynamiske uregelmæssigheder (PREVIEW), mens de nemmere at definere hændelsestyper sendes til den deterministiske regel for overvågning af dynamisk deterministisk overvågningslog (PREVIEW). Denne indstilling kan sammen med andre relaterede indstillinger konfigureres yderligere, så den passer til alle systembetingelser.
Overvågningsregler for SAP-overvågningslog leveres som en del af Microsoft Sentinel til sikkerhedsindhold for SAP-løsninger og giver mulighed for yderligere finjustering ved hjælp af SAP_Dynamic_Audit_Log_Monitor_Configuration og SAP_User_Config visningslister.
Følgende tabel viser f.eks. flere eksempler på, hvordan du kan bruge SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste til at konfigurere de typer hændelser, der medfører hændelser, hvilket reducerer antallet af genererede hændelser.
| Mulighed | Beskrivelse |
|---|---|
| Angiv afstande, og deaktiver uønskede hændelser | Som standard opretter både deterministiske regler og de regler, der er baseret på uregelmæssigheder, beskeder for hændelser, der er markeret med mellemstor og høj udtrædelse. Det kan være en god idé at konfigurere forskellige produktions- og ikke-produktionsmiljøer separat. Du kan f.eks. angive en fejlfindingsaktivitetshændelse som høj alvorsgrad i produktionssystemer og slå de samme hændelser helt fra i ikke-produktionssystemer. |
| Udelad brugere efter deres SAP-roller eller SAP-profiler | Microsoft Sentinel til SAP henter SAP-brugerens godkendelsesprofil, herunder direkte og indirekte rolletildelinger, grupper og profiler, så du kan tale SAP-sproget i din SIEM. Det kan være en god idé at konfigurere en SAP-hændelse for at udelukke brugere baseret på deres SAP-roller og -profiler. På visningslisten skal du tilføje de roller eller profiler, der grupperer brugerne af RFC-grænsefladen, i kolonnen RolesTagsToExclude ud for den generiske tabeladgang efter RFC-hændelse . Denne konfiguration udløser kun beskeder for brugere, der mangler disse roller. |
| Udelad brugere med deres SOC-koder | Brug mærker til at oprette din egen gruppering uden at være afhængig af komplicerede SAP-definitioner eller endda uden SAP-godkendelse. Denne metode er nyttig for SOC-teams, der vil oprette deres egen gruppering for SAP-brugere. Hvis du f.eks. ikke ønsker, at bestemte tjenestekonti skal advares om generisk tabeladgang af RFC-hændelser , men ikke kan finde en SAP-rolle eller en SAP-profil, der grupperer disse brugere, skal du bruge mærker på følgende måde: 1. Tilføj mærket GenTableRFCReadOK ud for den relevante hændelse på visningslisten. 2. Gå til den SAP_User_Config visningsliste, og tildel grænsefladebrugerne det samme tag. |
| Angiv en hyppighedsgrænse pr. hændelsestype og systemrolle | Fungerer som en hastighedsgrænse. Du kan f.eks. konfigurere hændelser for ændring af brugermasterpost til kun at udløse beskeder, hvis mere end 12 aktiviteter observeres på en time af den samme bruger i et produktionssystem. Hvis en bruger overskrider grænsen på 12 pr. time – f.eks. 2 hændelser i et 10-minutters vindue – udløses en hændelse. |
| Determinisme eller uregelmæssigheder | Hvis du kender hændelsens egenskaber, skal du bruge deterministiske egenskaber. Hvis du ikke er sikker på, hvordan du konfigurerer hændelsen korrekt, skal du tillade, at funktionerne til maskinel indlæring beslutter at starte og derefter foretage efterfølgende opdateringer efter behov. |
| SOAR-funktioner | Brug Microsoft Sentinel til yderligere at orkestrere, automatisere og reagere på hændelser, der er oprettet af dynamiske beskeder i SAP-overvågningsloggen. Du kan få flere oplysninger under Automatisering i Microsoft Sentinel: Sikkerhedsorkestrering, automatisering og svar (SOAR). |
Du kan få flere oplysninger under Tilgængelige visningslister og Microsoft Sentinel til SAP News – Funktionen Dynamic SAP Security Audit Log Monitor, der er tilgængelig nu! (blog).
Indledende adgang
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – Logon fra uventet netværk | Identificerer et logon fra et uventet netværk. Vedligehold netværk på visningslisten SAP – netværk . |
Log på backendsystemet fra en IP-adresse, der ikke er tildelt et af netværkene. Datakilder: SAPcon – Overvågningslog |
Indledende adgang |
| SAP – SPNego-angreb | Identificerer SPNego Replay-angreb. | Datakilder: SAPcon – Overvågningslog | Effekt, tværgående bevægelse |
| SAP – Forsøg på dialogbokslogon fra en privilegeret bruger | Identificerer forsøg på dialogbokslogon med AUM-typen af privilegerede brugere i et SAP-system. Du kan få flere oplysninger i SAPUsersGetPrivileged. | Forsøg på at logge på fra den samme IP-adresse til flere systemer eller klienter inden for det planlagte tidsinterval Datakilder: SAPcon – Overvågningslog |
Effekt, tværgående bevægelse |
| SAP – Brute force-angreb | Identificerer brute force-angreb på SAP-systemet ved hjælp af RFC-logon | Forsøg på at logge på fra den samme IP-adresse til flere systemer/klienter inden for det planlagte tidsinterval ved hjælp af RFC Datakilder: SAPcon – Overvågningslog |
Adgang til legitimationsoplysninger |
| SAP – Flere logon efter IP | Identificerer logon for flere brugere fra samme IP-adresse inden for et planlagt tidsinterval. Underanvendelsessag: Vedvarende |
Log på med flere brugere via den samme IP-adresse. Datakilder: SAPcon – Overvågningslog |
Indledende adgang |
| SAP – Flere logon efter bruger | Identificerer logons for den samme bruger fra flere terminaler inden for det planlagte tidsinterval. Kun tilgængelig via audit SAL-metoden for SAP version 7.5 og nyere. |
Log på med den samme bruger med forskellige IP-adresser. Datakilder: SAPcon – Overvågningslog |
Førangreb, adgang til legitimationsoplysninger, indledende adgang, samling Underanvendelsessag: Vedvarende |
Dataudfyldning
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – FTP til ikke-godkendte servere | Identificerer en FTP-forbindelse for en ikke-godkendt server. | Opret en ny FTP-forbindelse, f.eks. ved hjælp af FTP_CONNECT Funktionsmodul. Datakilder: SAPcon – Overvågningslog |
Registrering, indledende adgang, kommando og kontrol |
| SAP – Usikker konfiguration af FTP-servere | Identificerer usikre konfigurationer af FTP-serveren, f.eks. når en FTP-allowlist er tom eller indeholder pladsholdere. | Vedligehold ikke værdier, der indeholder pladsholdere i tabellen SAPFTP_SERVERS , ved hjælp af vedligeholdelsesvisningen SAPFTP_SERVERS_V . (SM30) Datakilder: SAPcon – Overvågningslog |
Indledende adgang, kommando og kontrol |
| SAP – Overførsel af flere Files | Identificerer flere fildownloads for en bruger inden for et bestemt tidsinterval. | Download flere filer ved hjælp af SAPGui til Excel, lister osv. Datakilder: SAPcon – Overvågningslog |
Samling, Eksfiltration, Adgang til legitimationsoplysninger |
| SAP – Direkte adgang til følsomme tabeller efter RFC-logon | Identificerer en generisk tabeladgang ved RFC-logon. Vedligehold tabeller på visningslisten SAP – følsomme tabeller . Kun relevant for produktionssystemer. |
Åbn tabelindholdet ved hjælp af SE11/SE16/SE16N. Datakilder: SAPcon – Overvågningslog |
Samling, Eksfiltration, Adgang til legitimationsoplysninger |
| SAP – Dynamisk RFC-destination | Identificerer udførelsen af RFC ved hjælp af dynamiske destinationer. Underordnet anvendelse: Forsøg på at tilsidesætte SAP-sikkerhedsmekanismer |
Udfør en ABAP-rapport, der bruger dynamiske destinationer (cl_dynamic_destination). F.eks. DEMO_RFC_DYNAMIC_DEST. Datakilder: SAPcon – Overvågningslog |
Samling, eksfiltration |
| SAP – Direkte adgang til følsomme tabeller efter dialogbokslogon | Identificerer generisk tabeladgang via dialogbokslogon. | Åbn tabelindhold ved hjælp af SE11SE16N/SE16/. Datakilder: SAPcon – Overvågningslog |
Opdagelse |
| SAP – fil (prøveversion), der er hentet fra en skadelig IP-adresse | Identificerer download af en fil fra et SAP-system ved hjælp af en IP-adresse, der er kendt for at være skadelig. Ondsindede IP-adresser hentes fra threat intelligence-tjenester. | Download en fil fra en skadelig IP-adresse. Datakilder: SAP-sikkerhedsovervågningslog, Threat Intelligence |
Eksfiltration |
| SAP – følsomme data (prøveversion) gemt på et USB-drev | Identificerer eksport af SAP-data via filer. Reglen søger efter data, der er gemt i et usb-drev, der er tilsluttet for nylig, i nærheden af en udførelse af en følsom transaktion, et følsomt program eller direkte adgang til en følsom tabel. | Eksportér SAP-data via filer, og gem dem på et USB-drev. Datakilder: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender for Endpoint), SAP – Følsomme tabeller, SAP – Følsomme transaktioner, SAP – Følsomme programmer |
Eksfiltration |
| SAP – (prøveversion) Stor mængde potentielt følsomme data, der eksporteres | Identificerer eksport af en stor mængde data via filer i nærheden af en udførelse af en følsom transaktion, et følsomt program eller direkte adgang til følsomme tabeller. | Eksportér stor datamængde via filer. Datakilder: SAP Security Audit Log, SAP – Følsomme tabeller, SAP – Følsomme transaktioner, SAP – Følsomme programmer |
Eksfiltration |
Persistensen
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – Funktionsmodul er testet | Identificerer testen af et funktionsmodul. | Test et funktionsmodul ved hjælp af SE37 / SE80. Datakilder: SAPcon – Overvågningslog |
Samling, forsvarsunddragelse, tværgående bevægelse |
| SAP – (PRØVEVERSION) HANA DB – Brugerhandlinger Administration | Identificerer brugeradministrationshandlinger. | Opret, opdater eller slet en databasebruger. Datakilder: Linux Agent – Syslog* |
Rettighedseskalering |
| SAP – Udførelse af et forældet eller usikkert funktionsmodul | Identificerer udførelsen af et forældet eller usikkert ABAP-funktionsmodul. Vedligehold forældede funktioner på visningslisten SAP – Forældede funktionsmoduler . Sørg for at aktivere ændringer i logføring af tabeller for tabellen EUFUNC i backend. (SE13)Kun relevant for produktionssystemer. |
Kør et forældet eller usikkert funktionsmodul direkte ved hjælp af SE37. Datakilder: SAPcon – Log over tabeldata |
Registrering, kommando og kontrol |
| SAP – Udførelse af forældet/usikkert program | Identificerer udførelsen af et forældet eller usikkert ABAP-program. Vedligehold forældede programmer på visningslisten SAP – Forældede programmer . Kun relevant for produktionssystemer. |
Kør et program direkte ved hjælp af SE38/SA38/SE80 eller ved hjælp af et baggrundsjob. Datakilder: SAPcon – Overvågningslog |
Registrering, kommando og kontrol |
| SAP – flere adgangskodeændringer | Identificerer flere ændringer af adgangskoden af brugeren. | Skift brugeradgangskode Datakilder: SAPcon – Overvågningslog |
Adgang til legitimationsoplysninger |
Forsøger at tilsidesætte SAP-sikkerhedsmekanismer
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – Ændring af klientkonfiguration | Identificerer ændringer for klientkonfigurationen, f.eks. klientrollen eller ændring af optagelsestilstand. | Udfør ændringer af klientkonfigurationen ved hjælp af SCC4 transaktionskoden. Datakilder: SAPcon – Overvågningslog |
Forsvarsunddragelse, eksfiltration, vedholdenhed |
| SAP – Data er blevet ændret under fejlfindingsaktivitet | Identificerer ændringer af kørselsdata under en fejlfindingsaktivitet. Underanvendelsessag: Vedvarende |
1. Aktivér fejlfinding ("/t"). 2. Vælg et felt til ændring, og opdater dets værdi. Datakilder: SAPcon – Overvågningslog |
Udførelse, tværgående bevægelse |
| SAP – Deaktivering af sikkerhedsovervågningslog | Identificerer deaktivering af sikkerhedsovervågningsloggen, | Deaktiver sikkerhedsovervågningslog ved hjælp af SM19/RSAU_CONFIG. Datakilder: SAPcon – Overvågningslog |
Eksfiltration, forsvarsunddragelse, vedholdenhed |
| SAP – Udførelse af et følsomt ABAP-program | Identificerer den direkte udførelse af et følsomt ABAP-program. Vedligehold ABAP-programmer på visningslisten SAP – Følsomme ABAP-programmer . |
Kør et program direkte ved hjælp af SE38SE80/SA38/. Datakilder: SAPcon – Overvågningslog |
Eksfiltration, tværgående bevægelse, udførelse |
| SAP – Udførelse af en følsomt transaktionskode | Identificerer udførelsen af en følsom transaktionskode. Vedligehold transaktionskoder på visningslisten SAP – Følsomme transaktionskoder . |
Kør en følsom transaktionskode. Datakilder: SAPcon – Overvågningslog |
Registrering, udførelse |
| SAP – Udførelse af modul med følsomme funktioner | Identificerer udførelsen af et følsomt modul med ABAP-funktioner. Underanvendelsessag: Vedvarende Kun relevant for produktionssystemer. Vedligehold følsomme funktioner på visningslisten SAP – følsomme funktionsmoduler , og sørg for at aktivere ændringer af tabellogføring i backend for EUFUNC-tabellen. (SE13) |
Kør et modul med følsomme funktioner direkte ved hjælp af SE37. Datakilder: SAPcon – Log over tabeldata |
Registrering, kommando og kontrol |
| SAP – (PREVIEW) HANA DB – Ændringer i politikker for revisionsspor | Identificerer ændringer for HANA DB-politikker for overvågningsspor. | Opret eller opdater den eksisterende overvågningspolitik i sikkerhedsdefinitioner. Datakilder: Linux Agent – Syslog |
Tværgående bevægelse, forsvarsunddragelse, vedholdenhed |
| SAP – (PREVIEW) HANA DB – Deaktivering af revisionsspor | Identificerer deaktivering af HANA DB-overvågningsloggen. | Deaktiver overvågningsloggen i HANA DB-sikkerhedsdefinitionen. Datakilder: Linux Agent – Syslog |
Vedholdenhed, tværgående bevægelse, forsvarsunddragelse |
| SAP – Uautoriseret fjernkørsel af et modul med følsomme funktioner | Registrerer uautoriserede udførelser af følsomme FMs ved at sammenligne aktiviteten med brugerens godkendelsesprofil, mens der ses bort fra nyligt ændrede godkendelser. Vedligehold funktionsmoduler på visningslisten SAP – Følsomme funktionsmoduler . |
Kør et funktionsmodul ved hjælp af RFC. Datakilder: SAPcon – Overvågningslog |
Udførelse, tværgående bevægelse, registrering |
| SAP – Ændring af systemkonfiguration | Identificerer ændringer i systemkonfigurationen. | Tilpas indstillinger for systemændring eller ændring af softwarekomponent ved hjælp af SE06 transaktionskoden.Datakilder: SAPcon – Overvågningslog |
Eksfiltration, forsvarsunddragelse, vedholdenhed |
| SAP – Fejlfindingsaktiviteter | Identificerer alle fejlfindingsrelaterede aktiviteter. Underanvendelsessag: Vedvarende |
Aktivér fejlfinding ("/h") i systemet, foretag fejlfinding af en aktiv proces, føj pausepunkt til kildekoden osv. Datakilder: SAPcon – Overvågningslog |
Opdagelse |
| SAP – Ændring af konfiguration af sikkerhedsovervågningslog | Identificerer ændringer i konfigurationen af sikkerhedsovervågningsloggen | Rediger konfigurationen af sikkerhedsovervågningsloggen ved hjælp af SM19/RSAU_CONFIG, f.eks. filtre, status, optagelsestilstand osv. Datakilder: SAPcon – Overvågningslog |
Vedholdenhed, eksfiltration, forsvarsunddragelse |
| SAP – Transaktionen er ulåst | Identificerer oplåsning af en transaktion. | Lås en transaktionskode op ved hjælp af SM01SM01_CUS/SM01_DEV/. Datakilder: SAPcon – Overvågningslog |
Vedholdenhed, udførelse |
| SAP – Dynamisk ABAP-program | Identificerer udførelsen af dynamisk ABAP-programmering. Det kan f.eks. være, når ABAP-koden blev oprettet, ændret eller slettet dynamisk. Vedligehold udeladte transaktionskoder i visningslisten SAP – Transaktioner for ABAP Generations . |
Opret en ABAP-rapport, der bruger KOMMANDOER til oprettelse af ABAP-programmer, f.eks. INSERT REPORT, og kør derefter rapporten. Datakilder: SAPcon – Overvågningslog |
Registrering, kommando og kontrol, virkning |
Mistænkelige handlinger
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| SAP – Ændring i en privilegeret bruger med følsomme rettigheder | Identificerer ændringer af følsomme privilegerede brugere. Bevar privilegerede brugere på visningslisten privilegerede brugere i SAP – privilegerede brugere . |
Rediger brugeroplysninger/godkendelser ved hjælp af SU01. Datakilder: SAPcon – Overvågningslog |
Rettighedseskalering, adgang til legitimationsoplysninger |
| SAP – (PRØVEVERSION) HANA DB – Tildel Administration godkendelser | Identificerer administratorrettigheder eller rolletildeling. | Tildel en bruger med en hvilken som helst administratorrolle eller -rettigheder. Datakilder: Linux Agent – Syslog |
Rettighedseskalering |
| SAP – Følsom privilegeret bruger, der er logget på | Identificerer dialogbokslogon for en følsom privilegeret bruger. Bevar privilegerede brugere på visningslisten privilegerede brugere i SAP – privilegerede brugere . |
Log på backendsystemet ved hjælp af SAP* eller en anden privilegeret bruger. Datakilder: SAPcon – Overvågningslog |
Indledende adgang, adgang til legitimationsoplysninger |
| SAP – Følsom privilegeret bruger foretager en ændring i en anden bruger | Identificerer ændringer af følsomme, privilegerede brugere i andre brugere. | Rediger brugeroplysninger/godkendelser ved hjælp af SU01. Datakilder: SAPcon – Overvågningslog |
Rettighedseskalering, adgang til legitimationsoplysninger |
| SAP – Adgangskodeændring og logon for følsomme brugere | Identificerer adgangskodeændringer for privilegerede brugere. | Skift adgangskoden for en privilegeret bruger, og log på systemet. Bevar privilegerede brugere på visningslisten privilegerede brugere i SAP – privilegerede brugere . Datakilder: SAPcon – Overvågningslog |
Effekt, kommando og kontrol, rettighedseskalering |
| SAP – Brugeren opretter og bruger en ny bruger | Identificerer en bruger, der opretter og bruger andre brugere. Underanvendelsessag: Vedvarende |
Opret en bruger ved hjælp af SU01, og log derefter på ved hjælp af den nyoprettede bruger og den samme IP-adresse. Datakilder: SAPcon – Overvågningslog |
Registrering, førangreb, indledende adgang |
| SAP – Brugeren låser op og bruger andre brugere | Identificerer en bruger, der låses op og bruges af andre brugere. Underanvendelsessag: Vedvarende |
Lås en bruger op ved hjælp af SU01, og log derefter på med den ulåste bruger og den samme IP-adresse. Datakilder: SAPcon – Overvågningslog, SAPcon – Skift dokumentlog |
Registrering, førangreb, indledende adgang, tværgående bevægelse |
| SAP – Tildeling af en følsom profil | Identificerer nye tildelinger af en følsom profil til en bruger. Vedligehold følsomme profiler på visningslisten SAP – Følsomme profiler . |
Tildel en profil til en bruger ved hjælp af SU01. Datakilder: SAPcon – Skift dokumentlog |
Rettighedseskalering |
| SAP – Tildeling af en følsom rolle | Identificerer nye tildelinger for en følsom rolle til en bruger. Bevar følsomme roller på visningslisten SAP – følsomme roller . |
Tildel en rolle til en bruger ved hjælp af SU01 / PFCG. Datakilder: SAPcon – Skift dokumentlog, Overvågningslog |
Rettighedseskalering |
| SAP – (PRØVEVERSION) Tildeling af kritiske godkendelser – Ny godkendelsesværdi | Identificerer tildelingen af en kritisk godkendelsesobjektværdi til en ny bruger. Vedligehold kritiske godkendelsesobjekter på visningslisten SAP – Kritiske godkendelsesobjekter . |
Tildel et nyt godkendelsesobjekt, eller opdater et eksisterende godkendelsesobjekt i en rolle ved hjælp af PFCG. Datakilder: SAPcon – Skift dokumentlog |
Rettighedseskalering |
| SAP – Tildeling af kritiske godkendelser – Ny brugertildeling | Identificerer tildelingen af en kritisk godkendelsesobjektværdi til en ny bruger. Vedligehold kritiske godkendelsesobjekter på visningslisten SAP – Kritiske godkendelsesobjekter . |
Tildel en ny bruger en rolle, der indeholder vigtige godkendelsesværdier, ved hjælp af SU01/PFCG. Datakilder: SAPcon – Skift dokumentlog |
Rettighedseskalering |
| SAP – ændringer af følsomme roller | Identificerer ændringer i følsomme roller. Bevar følsomme roller på visningslisten SAP – følsomme roller . |
Skift en rolle ved hjælp af PFCG. Datakilder: SAPcon – Skift dokumentlog, SAPcon – Overvågningslog |
Virkning, rettighedseskalering, vedholdenhed |
Tilgængelige visningslister
I følgende tabel vises de visningslister, der er tilgængelige for Microsoft Sentinel-løsningen til SAP-programmer, og felterne på hver visningsliste.
Disse visningslister leverer konfigurationen for den Microsoft Sentinel løsning til SAP-programmer. SAP-visningslisterne er tilgængelige i GitHub-lageret Microsoft Sentinel.
| Navn på visningsliste | Beskrivelse og felter |
|---|---|
| SAP – Kritiske godkendelser | Objektet Critical Authorizations, hvor tildelinger skal styres. - AuthorizationObject: Et SAP-godkendelsesobjekt, f.eks S_DEVELOP. , S_TCODEeller Table TOBJ - AuthorizationField: Et SAP-godkendelsesfelt, f.eks OBJTYP . eller TCD - AuthorizationValue: En SAP-godkendelsesfeltværdi, f.eks. DEBUG - ActivityField : SAP-aktivitetsfelt. I de fleste tilfælde er ACTVTdenne værdi . For Godkendelsesobjekter uden en aktivitet eller kun med et aktivitetsfelt udfyldt med NOT_IN_USE. - Aktivitet: SAP-aktivitet i henhold til godkendelsesobjektet, f.eks.: 01: Opret; 02: Ændring; 03: Vis osv. - Beskrivelse: En meningsfuld beskrivelse af kritisk godkendelsesobjekt. |
| SAP – udeladte netværk | Til intern vedligeholdelse af udeladte netværk, f.eks. at ignorere websendere, terminalservere osv. - Netværk: En netværks-IP-adresse eller et netværksområde, f.eks 111.68.128.0/17. . - Beskrivelse: En meningsfuld netværksbeskrivelse. |
| SAP-udeladte brugere | Systembrugere, der er logget på systemet og skal ignoreres. Det kan f.eks. være beskeder om flere logons af den samme bruger. - Bruger: SAP-bruger - Beskrivelse: En meningsfuld brugerbeskrivelse. |
| SAP – netværk | Interne netværk og vedligeholdelsesnetværk til identifikation af uautoriseret logon. - Netværk: Netværks-IP-adresse eller -område, f.eks. 111.68.128.0/17 - Beskrivelse: En meningsfuld netværksbeskrivelse. |
| SAP – privilegerede brugere | Privilegerede brugere, der er underlagt ekstra begrænsninger. - Bruger: ABAP-brugeren, f.eks DDIC . eller SAP - Beskrivelse: En meningsfuld brugerbeskrivelse. |
| SAP – Følsomme ABAP-programmer | Følsomme ABAP-programmer (rapporter), hvor udførelse skal styres. - ABAPProgram: ABAP-program eller -rapport, f.eks. RSPFLDOC - Beskrivelse: En meningsfuld programbeskrivelse. |
| SAP – modul med følsom funktion | Interne netværk og vedligeholdelsesnetværk til identifikation af uautoriseret logon. - FunctionModule: Et ABAP-funktionsmodul, f.eks. RSAU_CLEAR_AUDIT_LOG - Beskrivelse: En beskrivende modulbeskrivelse. |
| SAP – følsomme profiler | Følsomme profiler, hvor tildelinger skal styres. - Profil: SAP-godkendelsesprofil, f.eks. SAP_ALL eller SAP_NEW - Beskrivelse: En relevant profilbeskrivelse. |
| SAP – følsomme tabeller | Følsomme tabeller, hvor adgang skal styres. - Tabel: ABAP-ordbogstabel, f.eks USR02 . eller PA008 - Beskrivelse: En beskrivende tabelbeskrivelse. |
| SAP – følsomme roller | Følsomme roller, hvor tildelingen skal styres. - Rolle: SAP-godkendelsesrolle, f.eks. SAP_BC_BASIS_ADMIN - Beskrivelse: En meningsfuld rollebeskrivelse. |
| SAP – følsomme transaktioner | Følsomme transaktioner, hvor udførelse skal styres. - TransactionCode: SAP-transaktionskode, f.eks. RZ11 - Beskrivelse: En meningsfuld kodebeskrivelse. |
| SAP – systemer | Beskriver liggende funktioner i SAP-systemer i henhold til rolle, brug og konfiguration. - SystemID: SAP-system-id (SYSID) - SystemRole: SAP-systemrollen, en af følgende værdier: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: SAP-systemforbruget, en af følgende værdier: ERP, BW, Solman, , Gateway, Enterprise Portal - InterfaceAttributes: en valgfri dynamisk parameter til brug i playbooks. |
| SAPSystemParameters | Parametre, der skal overvåges for mistænkelige konfigurationsændringer. Denne visningsliste er forudfyldt med anbefalede værdier (i henhold til bedste praksis i SAP), og du kan udvide visningslisten til at omfatte flere parametre. Hvis du ikke vil modtage beskeder om en parameter, skal du angive EnableAlerts til false.- ParameterName: Navnet på parameteren. - Kommentar: Beskrivelsen af SAP-standardparameteren. - EnableAlerts: Definerer, om beskeder for denne parameter skal aktiveres. Værdierne er true og false.- Mulighed: Definerer i hvilket tilfælde en besked udløses: Hvis parameterværdien er større eller lig med ( GE), mindre eller lig med (LE) eller lig med (EQ)Hvis login/fails_to_user_lock SAP-parameteren f.eks. er angivet til LE (mindre eller lig med) og en værdi på 5, når Microsoft Sentinel registrerer en ændring af denne specifikke parameter, sammenlignes den nyligt rapporterede værdi og den forventede værdi. Hvis den nye værdi er 4, udløser Microsoft Sentinel ikke en besked. Hvis den nye værdi er 6, udløser Microsoft Sentinel en besked.- ProductionSeverity: Hændelsens alvorsgrad for produktionssystemer. - ProductionValues: Tilladte værdier for produktionssystemer. - NonProdSeverity: Hændelsens alvorsgrad for ikke-produktionssystemer. - NonProdValues: Tilladte værdier for ikke-produktionssystemer. |
| SAP – udeladte brugere | Systembrugere, der er logget på og skal ignoreres, f.eks. advarslen Flere logon pr. bruger. - Bruger: SAP-bruger - Beskrivelse: En meningsfuld brugerbeskrivelse |
| SAP – udeladte netværk | Vedligehold interne netværk, der er udelukket, for at ignorere websendere, terminalservere osv. - Netværk: Netværks-IP-adresse eller -område, f.eks. 111.68.128.0/17 - Beskrivelse: En meningsfuld netværksbeskrivelse |
| SAP – Forældede funktionsmoduler | Forældede funktionsmoduler, hvis udførelse skal styres. - FunctionModule: ABAP Function Module, f.eks. TH_SAPREL - Beskrivelse: Beskrivelse af et beskrivende funktionsmodul |
| SAP – Forældede programmer | Forældede ABAP-programmer (rapporter), hvis udførelse skal styres. - ABAPProgram:ABAP Program, f.eks. TH_ RSPFLDOC - Beskrivelse: En meningsfuld beskrivelse af ABAP-programmet |
| SAP – Transaktioner for ABAP-generationer | Transaktioner for ABAP-generationer, hvis udførelse skal styres. - TransactionCode: Transaktionskode, f.eks. SE11. - Beskrivelse: Beskrivelse af en relevant transaktionskode |
| SAP – FTP-servere | FTP-servere til identifikation af uautoriserede forbindelser. - Klient: f.eks. 100. - FTP_Server_Name: FTP-servernavn, f.eks. http://contoso.com/ - FTP_Server_Port:FTP-serverport, f.eks. 22. - BeskrivelseBeskrivelse af en meningsfuld FTP-server |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurer beskeder i SAP-overvågningsloggen ved at tildele hvert meddelelses-id et alvorsgradniveau som krævet af dig, pr. systemrolle (produktion, ikke-produktion). Denne visningsliste indeholder oplysninger om alle tilgængelige SAP-standardmeddelelseslog-id'er. Visningslisten kan udvides til at indeholde ekstra meddelelses-id'er, som du kan oprette på egen hånd, ved hjælp af ABAP-forbedringer på deres SAP NetWeaver-systemer. Denne visningsliste gør det også muligt at konfigurere et udpeget team til at håndtere hver af hændelsestyperne og udelade brugere efter SAP-roller, SAP-profiler eller efter mærker fra SAP_User_Config visningsliste. Denne visningsliste er en af de kernekomponenter, der bruges til at konfigurere de indbyggede SAP-analyseregler til overvågning af SAP-overvågningsloggen. Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen. - MessageID: SAP-meddelelses-id'et eller hændelsestypen, f.eks AUD . (Ændringer i brugermasterposten) eller AUB (godkendelsesændringer). - DetailedDescription: En markdown-aktiveret beskrivelse, der skal vises i hændelsesruden. - ProductionSeverity: Den ønskede alvorsgrad for den hændelse, der skal oprettes med for produktionssystemer High, Medium. Kan angives som Disabled. - NonProdSeverity: Den ønskede alvorsgrad for den hændelse, der skal oprettes med for ikke-produktionssystemer High, Medium. Kan angives som Disabled. - ProductionThreshold Antallet "Pr. time" af hændelser, der skal betragtes som mistænkelige for produktionssystemer 60. - Ikke-prodThreshold Antallet "Pr. time" af hændelser, der skal betragtes som mistænkelige for ikke-produktionssystemer 10. - RolesTagsToExclude: Dette felt accepterer SAP-rollenavn, SAP-profilnavne eller -mærker fra SAP_User_Config visningsliste. Disse bruges derefter til at udelade de tilknyttede brugere fra bestemte hændelsestyper. Se indstillinger for rollekoder i slutningen af denne liste. - RuleType: Bruges Deterministic til at sende hændelsestypen til reglen OVERVÅGNING af dynamisk deterministisk overvågningslog eller AnomaliesOnly til at få denne hændelse dækket af reglen SAP – Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen. - TeamsChannelID: en valgfri dynamisk parameter til brug i playbooks. - DestinationEmail: en valgfri dynamisk parameter til brug i playbooks. For feltet RolesTagsToExclude : – Hvis du angiver SAP-roller eller SAP-profiler, udelades alle brugere med de angivne roller eller profiler fra disse hændelsestyper for det samme SAP-system. Hvis du f.eks. definerer BASIC_BO_USERS ABAP-rollen for de RFC-relaterede hændelsestyper, udløser business objects-brugere ikke hændelser, når de foretager omfattende RFC-kald.– Mærkning af en hændelsestype svarer til at angive SAP-roller eller -profiler, men der kan oprettes mærker i arbejdsområdet, så SOC-teams kan ekskludere brugere efter aktivitet uden at være afhængige af SAP BASIS-teamet. AUB for overvågningsmeddelelsen (godkendelsesændringer) og AUD (ændringer af brugermasterposten) tildeles MassiveAuthChanges f.eks. koden. Brugere, der har fået tildelt dette mærke, er udelukket fra kontrollen af disse aktiviteter. Når du kører arbejdsområdefunktionen SAPAuditLogConfigRecommend , oprettes der en liste over anbefalede mærker, der skal tildeles til brugere, f.eks Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. . |
| SAP_User_Config | Gør det muligt at finjustere beskeder ved at udelade /inkludere brugere i bestemte kontekster og bruges også til at konfigurere de indbyggede SAP-analyseregler til overvågning af SAP-overvågningsloggen. Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen. - SAPUser: SAP-brugeren - Mærker: Mærker bruges til at identificere brugere mod bestemte aktiviteter. Hvis du f.eks. føjer mærkerne ["GenericTablebyRFCOK"] til bruger SENTINEL_SRV, forhindres det, at der oprettes RFC-relaterede hændelser for denne specifikke bruger Andre active directory-bruger-id'er - AD-bruger-id - Brugerens sid i det lokale miljø - Brugerens hovednavn |
| Navn på visningsliste | Beskrivelse og felter |
|---|---|
| SAP – Kritiske godkendelser | Objektet Critical Authorizations, hvor tildelinger skal styres. - AuthorizationObject: Et SAP-godkendelsesobjekt, f.eks S_DEVELOP. , S_TCODEeller Table TOBJ - AuthorizationField: Et SAP-godkendelsesfelt, f.eks OBJTYP . eller TCD - AuthorizationValue: En SAP-godkendelsesfeltværdi, f.eks. DEBUG - ActivityField : SAP-aktivitetsfelt. I de fleste tilfælde er ACTVTdenne værdi . For Godkendelsesobjekter uden en aktivitet eller kun med et aktivitetsfelt udfyldt med NOT_IN_USE. - Aktivitet: SAP-aktivitet i henhold til godkendelsesobjektet, f.eks.: 01: Opret; 02: Ændring; 03: Vis osv. - Beskrivelse: En meningsfuld beskrivelse af kritisk godkendelsesobjekt. |
| SAP – udeladte netværk | Til intern vedligeholdelse af udeladte netværk, f.eks. at ignorere websendere, terminalservere osv. - Netværk: En netværks-IP-adresse eller et netværksområde, f.eks 111.68.128.0/17. . - Beskrivelse: En meningsfuld netværksbeskrivelse. |
| SAP-udeladte brugere | Systembrugere, der er logget på systemet og skal ignoreres. Det kan f.eks. være beskeder om flere logons af den samme bruger. - Bruger: SAP-bruger - Beskrivelse: En meningsfuld brugerbeskrivelse. |
| SAP – netværk | Interne netværk og vedligeholdelsesnetværk til identifikation af uautoriseret logon. - Netværk: Netværks-IP-adresse eller -område, f.eks. 111.68.128.0/17 - Beskrivelse: En meningsfuld netværksbeskrivelse. |
| SAP – privilegerede brugere | Privilegerede brugere, der er underlagt ekstra begrænsninger. - Bruger: ABAP-brugeren, f.eks DDIC . eller SAP - Beskrivelse: En meningsfuld brugerbeskrivelse. |
| SAP – Følsomme ABAP-programmer | Følsomme ABAP-programmer (rapporter), hvor udførelse skal styres. - ABAPProgram: ABAP-program eller -rapport, f.eks. RSPFLDOC - Beskrivelse: En meningsfuld programbeskrivelse. |
| SAP – modul med følsom funktion | Interne netværk og vedligeholdelsesnetværk til identifikation af uautoriseret logon. - FunctionModule: Et ABAP-funktionsmodul, f.eks. RSAU_CLEAR_AUDIT_LOG - Beskrivelse: En beskrivende modulbeskrivelse. |
| SAP – følsomme profiler | Følsomme profiler, hvor tildelinger skal styres. - Profil: SAP-godkendelsesprofil, f.eks. SAP_ALL eller SAP_NEW - Beskrivelse: En relevant profilbeskrivelse. |
| SAP – følsomme tabeller | Følsomme tabeller, hvor adgang skal styres. - Tabel: ABAP-ordbogstabel, f.eks USR02 . eller PA008 - Beskrivelse: En beskrivende tabelbeskrivelse. |
| SAP – følsomme roller | Følsomme roller, hvor tildelingen skal styres. - Rolle: SAP-godkendelsesrolle, f.eks. SAP_BC_BASIS_ADMIN - Beskrivelse: En meningsfuld rollebeskrivelse. |
| SAP – følsomme transaktioner | Følsomme transaktioner, hvor udførelse skal styres. - TransactionCode: SAP-transaktionskode, f.eks. RZ11 - Beskrivelse: En meningsfuld kodebeskrivelse. |
| SAP – systemer | Beskriver liggende funktioner i SAP-systemer i henhold til rolle, brug og konfiguration. - SystemID: SAP-system-id (SYSID) - SystemRole: SAP-systemrollen, en af følgende værdier: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: SAP-systemforbruget, en af følgende værdier: ERP, BW, Solman, , Gateway, Enterprise Portal - InterfaceAttributes: en valgfri dynamisk parameter til brug i playbooks. |
| SAP – udeladte brugere | Systembrugere, der er logget på og skal ignoreres, f.eks. advarslen Flere logon pr. bruger. - Bruger: SAP-bruger - Beskrivelse: En meningsfuld brugerbeskrivelse |
| SAP – udeladte netværk | Vedligehold interne netværk, der er udelukket, for at ignorere websendere, terminalservere osv. - Netværk: Netværks-IP-adresse eller -område, f.eks. 111.68.128.0/17 - Beskrivelse: En meningsfuld netværksbeskrivelse |
| SAP – Forældede funktionsmoduler | Forældede funktionsmoduler, hvis udførelse skal styres. - FunctionModule: ABAP Function Module, f.eks. TH_SAPREL - Beskrivelse: Beskrivelse af et beskrivende funktionsmodul |
| SAP – Forældede programmer | Forældede ABAP-programmer (rapporter), hvis udførelse skal styres. - ABAPProgram:ABAP Program, f.eks. TH_ RSPFLDOC - Beskrivelse: En meningsfuld beskrivelse af ABAP-programmet |
| SAP – Transaktioner for ABAP-generationer | Transaktioner for ABAP-generationer, hvis udførelse skal styres. - TransactionCode: Transaktionskode, f.eks. SE11. - Beskrivelse: Beskrivelse af en relevant transaktionskode |
| SAP – FTP-servere | FTP-servere til identifikation af uautoriserede forbindelser. - Klient: f.eks. 100. - FTP_Server_Name: FTP-servernavn, f.eks. http://contoso.com/ - FTP_Server_Port:FTP-serverport, f.eks. 22. - BeskrivelseBeskrivelse af en meningsfuld FTP-server |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurer beskeder i SAP-overvågningsloggen ved at tildele hvert meddelelses-id et alvorsgradniveau som krævet af dig, pr. systemrolle (produktion, ikke-produktion). Denne visningsliste indeholder oplysninger om alle tilgængelige SAP-standardmeddelelseslog-id'er. Visningslisten kan udvides til at indeholde ekstra meddelelses-id'er, som du kan oprette på egen hånd, ved hjælp af ABAP-forbedringer på deres SAP NetWeaver-systemer. Denne visningsliste gør det også muligt at konfigurere et udpeget team til at håndtere hver af hændelsestyperne og udelade brugere efter SAP-roller, SAP-profiler eller efter mærker fra SAP_User_Config visningsliste. Denne visningsliste er en af de kernekomponenter, der bruges til at konfigurere de indbyggede SAP-analyseregler til overvågning af SAP-overvågningsloggen. Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen. - MessageID: SAP-meddelelses-id'et eller hændelsestypen, f.eks AUD . (Ændringer i brugermasterposten) eller AUB (godkendelsesændringer). - DetailedDescription: En markdown-aktiveret beskrivelse, der skal vises i hændelsesruden. - ProductionSeverity: Den ønskede alvorsgrad for den hændelse, der skal oprettes med for produktionssystemer High, Medium. Kan angives som Disabled. - NonProdSeverity: Den ønskede alvorsgrad for den hændelse, der skal oprettes med for ikke-produktionssystemer High, Medium. Kan angives som Disabled. - ProductionThreshold Antallet "Pr. time" af hændelser, der skal betragtes som mistænkelige for produktionssystemer 60. - Ikke-prodThreshold Antallet "Pr. time" af hændelser, der skal betragtes som mistænkelige for ikke-produktionssystemer 10. - RolesTagsToExclude: Dette felt accepterer SAP-rollenavn, SAP-profilnavne eller -mærker fra SAP_User_Config visningsliste. Disse bruges derefter til at udelade de tilknyttede brugere fra bestemte hændelsestyper. Se indstillinger for rollekoder i slutningen af denne liste. - RuleType: Bruges Deterministic til at sende hændelsestypen til reglen OVERVÅGNING af dynamisk deterministisk overvågningslog eller AnomaliesOnly til at få denne hændelse dækket af reglen SAP – Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen. - TeamsChannelID: en valgfri dynamisk parameter til brug i playbooks. - DestinationEmail: en valgfri dynamisk parameter til brug i playbooks. For feltet RolesTagsToExclude : – Hvis du angiver SAP-roller eller SAP-profiler, udelades alle brugere med de angivne roller eller profiler fra disse hændelsestyper for det samme SAP-system. Hvis du f.eks. definerer BASIC_BO_USERS ABAP-rollen for de RFC-relaterede hændelsestyper, udløser business objects-brugere ikke hændelser, når de foretager omfattende RFC-kald.– Mærkning af en hændelsestype svarer til at angive SAP-roller eller -profiler, men der kan oprettes mærker i arbejdsområdet, så SOC-teams kan ekskludere brugere efter aktivitet uden at være afhængige af SAP BASIS-teamet. AUB for overvågningsmeddelelsen (godkendelsesændringer) og AUD (ændringer af brugermasterposten) tildeles MassiveAuthChanges f.eks. koden. Brugere, der har fået tildelt dette mærke, er udelukket fra kontrollen af disse aktiviteter. Når du kører arbejdsområdefunktionen SAPAuditLogConfigRecommend , oprettes der en liste over anbefalede mærker, der skal tildeles til brugere, f.eks Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. . |
| SAP_User_Config | Gør det muligt at finjustere beskeder ved at udelade /inkludere brugere i bestemte kontekster og bruges også til at konfigurere de indbyggede SAP-analyseregler til overvågning af SAP-overvågningsloggen. Du kan få flere oplysninger under Overvåg SAP-overvågningsloggen. - SAPUser: SAP-brugeren - Mærker: Mærker bruges til at identificere brugere mod bestemte aktiviteter. Hvis du f.eks. føjer mærkerne ["GenericTablebyRFCOK"] til bruger SENTINEL_SRV, forhindres det, at der oprettes RFC-relaterede hændelser for denne specifikke bruger Andre active directory-bruger-id'er - AD-bruger-id - Brugerens sid i det lokale miljø - Brugerens hovednavn |
Tilgængelige playbooks
De playbooks, der leveres af Microsoft Sentinel løsning til SAP-programmer, hjælper dig med at automatisere arbejdsbelastninger for svar på SAP-hændelser og forbedre effektiviteten af sikkerhedshandlinger.
I dette afsnit beskrives indbyggede strategibøger til analyse, der leveres sammen med Microsoft Sentinel løsningen til SAP-programmer.
| Navn på playbook | Parametre | Forbindelser |
|---|---|---|
| SAP Incident Response – Lås bruger fra Teams – Grundlæggende | - SAP-SOAP-Brugeradgangskode - SAP-SOAP-Username - SOAPApiBasePath - Standardmail - TeamsChannel |
- Microsoft Sentinel – Microsoft Teams |
| SAP Incident Response – Lås bruger fra Teams – Avanceret | - SAP-SOAP-KeyVault-Credential-Name - StandardadminEmail - TeamsChannel |
- Microsoft Sentinel - Azure overvågningslogge - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault – Microsoft Teams |
| SAP Incident Response – Genaktiver overvågningslogføring, når de er deaktiveret | - SAP-SOAP-KeyVault-Credential-Name - StandardadminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure overvågningslogge – Microsoft Teams |
I følgende afsnit beskrives eksempler på anvendelse af tilfælde for hver af de angivne playbooks i et scenarie, hvor en hændelse advarede dig om mistænkelig aktivitet i et af SAP-systemerne, hvor en bruger forsøger at udføre en af disse yderst følsomme transaktioner.
Under hændelsestrimningsfasen beslutter du dig for at gribe ind over for denne bruger og sparke den ud af dine SAP ERP- eller BTP-systemer eller endda fra Microsoft Entra ID.
Du kan få flere oplysninger under Automatiser trusselssvar med playbooks i Microsoft Sentinel
Processen til udrulning af Standard logikapps er generelt mere kompleks, end det er for forbrugslogikapps. Vi har oprettet en række genveje, der kan hjælpe dig med hurtigt at udrulle dem fra Microsoft Sentinel GitHub-lageret. Du kan få flere oplysninger i Den trinvise installationsvejledning.
Tip
Se mappen MED SAP-playbooks i GitHub-lageret for at få flere playbooks, efterhånden som de bliver tilgængelige. Der er også en kort introduktionsvideo (eksternt link), der kan hjælpe dig med at komme i gang.
Lås en bruger fra et enkelt system
Opret en automatiseringsregel for at aktivere låsebrugeren fra Teams – Grundlæggende strategibog, når der registreres en følsom transaktionskørsel af en uautoriseret bruger. Denne playbook bruger Teams's adaptive kortfunktion til at anmode om godkendelse, før brugeren ensidigt blokeres.
Du kan få flere oplysninger under Fra nul til heltens sikkerhedsdækning med Microsoft Sentinel for dine vigtige SAP-sikkerhedssignaler – Du vil høre mig SOAR! Del 1 (SAP-blogindlæg).
Låsebrugeren fra Teams – Grundlæggende playbook er en Standard playbook, og Standard playbooks er generelt mere komplekse at udrulle end forbrugslegebøger.
Vi har oprettet en række genveje, der kan hjælpe dig med hurtigt at udrulle dem fra Microsoft Sentinel GitHub-lageret. Du kan få flere oplysninger under Trinvis installationsvejledning og Understøttede typer af logikapps.
Lås en bruger fra flere systemer
Låsebrugeren fra Teams – Avanceret strategibog opnår det samme mål, men er designet til mere komplekse scenarier, hvilket gør det muligt at bruge en enkelt playbook til flere SAP-systemer, hver med sit eget SAP SID.
Låsebrugeren fra Teams – Avanceret playbook administrerer problemfrit forbindelserne til alle disse systemer og deres legitimationsoplysninger ved hjælp af den valgfri dynamiske parameter InterfaceAttributes i SAP - Systems watchlist og Azure Key Vault.
Låsebrugeren fra Teams – Avanceret playbook giver dig også mulighed for at kommunikere til parterne i godkendelsesprocessen ved hjælp af Outlook-handlingsorienterede meddelelser sammen med Teams ved hjælp af parametrene TeamsChannelID og DestinationEmail på den SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste.
Du kan få flere oplysninger under Fra nul til heltens sikkerhedsdækning med Microsoft Sentinel for dine vigtige SAP-sikkerhedssignaler – del 2 (SAP-blogindlæg).
Undgå deaktivering af overvågningslogføring
Du kan også være bekymret for, at SAP-overvågningsloggen, som er en af dine sikkerhedsdatakilder, deaktiveres. Vi anbefaler, at du opretter en automatiseringsregel baseret på reglen SAP – Deaktivering af sikkerhedsovervågningsloganalyse for at aktivere logføring af genaktiveret overvågning, når den er deaktiveret , for at sikre, at SAP-overvågningsloggen ikke er deaktiveret.
Playbooken SAP – Deaktivering af sikkerhedsovervågningslog bruger også Teams og informerer sikkerhedsafdelingen efter det. Alvoren af lovovertrædelsen og hastende karakter af dens afhjælpning indikerer, at øjeblikkelig handling kan træffes uden godkendelse påkrævet.
Da playbooken SAP – Deaktivering af sikkerhedsovervågningslog også bruger Azure Key Vault til at administrere legitimationsoplysninger, svarer konfigurationen af playbooken til den konfiguration, der gælder for låsebrugeren fra Teams – Avanceret playbook. Du kan få flere oplysninger under Fra nul til heltens sikkerhedsdækning med Microsoft Sentinel for dine vigtige SAP-sikkerhedssignaler – del 3 (SAP-blogindlæg).
Relateret indhold
Du kan få flere oplysninger under Udrulning af Microsoft Sentinel løsning til SAP-programmer.