Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives det sikkerhedsindhold, der er tilgængeligt for Microsoft Sentinel-løsningen til SAP BTP.
Tilgængeligt sikkerhedsindhold indeholder i øjeblikket en indbygget projektmappe og analyseregler. Du kan også tilføje SAP-relaterede visningslister , som du kan bruge i dine søge-, registreringsregler, trusselsjagt og svarlegebøger.
SAP BTP-projektmappe
BTP-aktivitetsprojektmappen indeholder en dashboardoversigt over BTP-aktivitet.
Fanen Oversigt viser:
- En oversigt over BTP-underkonti, der hjælper analytikere med at identificere de mest aktive konti og typen af data, der indtages.
- Logonaktivitet for underkonto, der hjælper analytikere med at identificere stigninger og tendenser, der kan være knyttet til logonfejl i SAP Business Application Studio (BAS).
- Tidslinje for BTP-aktivitet og antallet af BTP-sikkerhedsbeskeder, der hjælper analytikere med at søge efter en eventuel korrelation mellem de to.
Fanen Identitetsstyring viser et gitter med hændelser for identitetsstyring, f.eks. ændringer af bruger- og sikkerhedsroller, i et format, der kan læses af mennesker. Med søgelinjen kan du hurtigt finde bestemte ændringer.
Du kan få flere oplysninger under Selvstudium: Visualiser og overvåg dine data, og installér Microsoft Sentinel løsning til SAP BTP.
Indbyggede analyseregler
Disse analyseregler registrerer mistænkelig aktivitet ved hjælp af SAP BTP-overvågningslogge. Reglerne er organiseret efter SAP-tjeneste- eller produktområde. Du kan finde flere oplysninger i SAP's officielle dokumentation om sikkerhedshændelser, der er logført af Cloud Foundry Services på SAP BTP.
Datakilder: SAPBTPAuditLog_CL
SAP Cloud Integration – Integration Suite
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| BTP – manipulation af adgangspolitik for cloudintegration | Registrerer uautoriseret ændring af adgangspolitikker, der kan give hackere adgang til følsomme integrationsartefakter eller undgå sikkerhedskontroller. | Opret, rediger eller slet adgangspolitikker eller artefaktreferencer i SAP Cloud Integration. | Forsvarsunddragelse, rettighedseskalering |
| BTP – Udrulning af cloudintegrationsartefakt | Registrerer installation af potentielt skadelige integrationsflows, der kan bruges til dataudfiltrering, vedholdenhed eller udførelse af uautoriseret kode i integrationsmiljøet. | Udrul eller fjern integrationsartefakter i SAP Cloud Integration. | Udførelse, vedholdenhed |
| BTP – JDBC-datakildeændringer i cloudintegration | Registrerer manipulation af databaseforbindelser, der kan give uautoriseret adgang til backend-systemer eller tyveri af legitimationsoplysninger fra gemte forbindelsesstrenge. | Udrul eller fjern JDBC-datakilder i SAP Cloud Integration. | Adgang til legitimationsoplysninger, tværgående bevægelse |
| BTP – Import eller transport af cloudintegrationspakker | Registrerer potentielt skadelige pakkeimporter, der kan introducere bagdøre, kompromittere forsyningskæden eller uautoriseret kode i integrationsmiljøet. | Importér eller transportér integrationspakker/artefakter i SAP Cloud Integration. | Indledende adgang, vedholdenhed |
| BTP – Manipulation af cloudintegration med sikkerhedsmateriale | Registrerer uautoriseret adgang til legitimationsoplysninger, certifikater og krypteringsnøgler, der kan gøre det muligt for hackere at kompromittere eksterne systemer eller opfange krypteret kommunikation. | Opret, opdater eller slet legitimationsoplysninger, X.509-certifikater eller PGP-nøgler i SAP Cloud Integration. | Adgang til legitimationsoplysninger, forsvarsunddragelse |
SAP Cloud Identity Service – Identitetsgodkendelse
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| BTP – Overvågning af konfiguration af Cloud Identity Service-program | Registrerer oprettelse eller ændring af saml/OIDC (organisationsnetværksprogrammer), der kan gøre det muligt for hackere at etablere vedvarende backdoor-adgang via SSO-konfigurationer, der er sso-uautoriseret. | Opret, opdater eller slet konfigurationer af SSO-domæner/-tjenesteudbydere i SAP Cloud Identity Service. | Adgang til legitimationsoplysninger, rettighedseskalering |
| BTP – Massebrugersletning i Cloud Identity Service | Registrerer sletning af en brugerkonto i stor skala, der kan indikere et destruktivt angreb, et forsøg på at dække over uautoriseret aktivitet eller denial of service mod legitime brugere. Standardgrænse: 10 |
Slet antallet af brugerkonti over den definerede grænse i SAP Cloud Identity Service. | Indvirkning |
| BTP – Bruger føjet til listen over privilegerede administratorer | Registrerer rettighedseskalering via tildeling af effektive tilladelser til administration af identitet, der kan gøre det muligt for hackere at oprette backdoor-konti eller redigere godkendelseskontrolelementer. | Tildel privilegerede administratortilladelser til en bruger i SAP Cloud Identity Service. | Tværgående bevægelse, rettighedseskalering |
SAP Business Application Studio (BAS)
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| BTP – Mislykkede adgangsforsøg på tværs af flere BAS-underkonti | Registrerer rekognosceringsaktivitet eller sprøjteangreb med legitimationsoplysninger, der er målrettet til udviklingsmiljøer på tværs af flere underkonti, hvilket indikerer potentiel forberedelse til et bredere kompromis. Standardgrænse: 3 |
Kør mislykkede logonforsøg på BAS over det definerede tærskelantal underkonti. | Opdagelse, rekognoscering |
| BTP – Malware registreret i BAS-udviklingsområde | Registrerer skadelig kode i udviklingsarbejdsområder, der kan bruges til at kompromittere softwareforsyningskæden, indsætte bagdøre i programmer eller etablere vedholdenhed i udviklingsmiljøet. | Kopiér eller opret en malwarefil på et BAS-udviklerområde. | Udførelse, vedholdenhed, ressourceudvikling |
SAP Build Work Zone
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| BTP – Opret arbejdszone uautoriseret adgang og ændring af rolle | Registrerer forsøg på at få adgang til begrænsede portalressourcer eller massesletning af adgangskontrol, der kan indikere, at en hacker fjerner sikkerhedsgrænser eller dækker spor efter uautoriseret aktivitet. | Registrer uautoriseret adgang til OData-tjenesten eller massesletning af roller/brugere i SAP Build Work Zone. | Indledende adgang, vedholdenhed, forsvarunddragelse |
SAP BTP-platform og underkonti
| Regelnavn | Beskrivelse | Kildehandling | Taktik |
|---|---|---|---|
| BTP – Overvågningslogtjenesten er ikke tilgængelig | Registrerer potentiel manipulation med overvågningslogføring, der kan indikere, at en hacker forsøger at fungere uden registrering ved at deaktivere sikkerhedsovervågning eller skjule skadelig aktivitet. | Underkonto rapporterer ikke overvågningslogge, der overskrider den konfigurerede grænse (standard: 60 minutter). | Forsvarsunddragelse |
| BTP – Massebrugersletning på en underkonto | Registrerer sletning af store brugere, der kan indikere et destruktivt angreb, en sabotere forsøg eller en indsats for at afbryde virksomhedshandlinger ved at fjerne brugeradgang. Standardgrænse: 10 |
Slet antallet af brugerkonti over den definerede grænse. | Indvirkning |
| BTP – Overvågning af identitetsudbyder for tillid og godkendelse | Registrerer ændringer af samlings- og godkendelsesindstillinger, der kan gøre det muligt for hackere at etablere alternative godkendelsesstier, omgå sikkerhedskontroller eller få uautoriseret adgang via manipulation af identitetsudbydere. | Ændre, læse, opdatere eller slette indstillingerne for identitetsudbyderen i en underkonto. | Adgang til legitimationsoplysninger, rettighedseskalering |
| BTP – Bruger føjet til samling af følsomme privilegerede roller | Registrerer rettighedseskaleringsforsøg via tildeling af effektive administrative roller, der kan give fuld kontrol over underkonti, forbindelses- og sikkerhedskonfigurationer. | Tildel en af følgende rollesamlinger til en bruger: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Tværgående bevægelse, rettighedseskalering |
Næste trin
I denne artikel har du lært om det sikkerhedsindhold, der leveres med Microsoft Sentinel løsningen til SAP BTP.