Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die sicherheitsrelevanten Inhalte beschrieben, die für die Microsoft Sentinel Solution for SAP BTP verfügbar sind.
Verfügbare Sicherheitsinhalte umfassen derzeit eine integrierte Arbeitsmappe und Analyseregeln. Sie können auch SAP-bezogene Watchlists hinzufügen, die Sie in Ihren Such-, Erkennungsregeln, Bedrohungssuche und Reaktionsplaybooks verwenden können.
Erfahren Sie mehr über die Lösung.
SAP BTP-Arbeitsmappe
Die Arbeitsmappe für BTP-Aktivitäten bietet eine Dashboard Übersicht über die BTP-Aktivität.
Auf der Registerkarte Übersicht wird Folgendes angezeigt:
- Eine Übersicht über BTP-Unterkonten, die Analysten dabei helfen, die aktivsten Konten und den Typ der erfassten Daten zu identifizieren.
- Anmeldeaktivitäten für Unterkonten, die Analysten dabei unterstützen, Spitzen und Trends zu identifizieren, die mit Anmeldefehlern in SAP Business Application Studio (BAS) verbunden sein können.
- Zeitachse der BTP-Aktivität und Anzahl von BTP-Sicherheitswarnungen, die Analysten bei der Suche nach einer beliebigen Korrelation zwischen den beiden helfen.
Auf der Registerkarte Identitätsverwaltung wird ein Raster mit Identitätsverwaltungsereignissen wie Änderungen der Benutzer- und Sicherheitsrolle in einem lesbaren Format angezeigt. Über die Suchleiste können Sie bestimmte Änderungen schnell finden.
Weitere Informationen finden Sie unter Tutorial: Visualisieren und Überwachen Ihrer Daten und Bereitstellen Microsoft Sentinel Lösung für SAP BTP.
Integrierte Analyseregeln
Diese Analyseregeln erkennen verdächtige Aktivitäten mithilfe von SAP BTP-Überwachungsprotokollen. Die Regeln sind nach SAP-Dienst oder -Produktbereich organisiert. Weitere Informationen finden Sie in der offiziellen SAP-Dokumentation zu Sicherheitsereignissen, die von Cloud Foundry Services in SAP BTP protokolliert werden.
Datenquellen: SAPBTPAuditLog_CL
SAP Cloud Integration – Integration Suite
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP: Manipulation von Zugriffsrichtlinien für die Cloudintegration | Erkennt nicht autorisierte Änderungen von Zugriffsrichtlinien, die Es Angreifern ermöglichen könnten, Zugriff auf vertrauliche Integrationsartefakte zu erhalten oder Sicherheitskontrollen zu umgehen. | Erstellen, Ändern oder Löschen von Zugriffsrichtlinien oder Artefaktverweisen in SAP Cloud Integration. | Verteidigungsumgehung, Rechteausweitung |
| BTP: Bereitstellung von Cloudintegrationsartefakten | Erkennt die Bereitstellung potenziell schädlicher Integrationsflows, die zur Datenexfiltration, Persistenz oder Ausführung von nicht autorisiertem Code in der Integrationsumgebung verwendet werden können. | Bereitstellen oder Aufheben der Bereitstellung von Integrationsartefakten in DER SAP-Cloudintegration | Ausführung, Persistenz |
| BTP: Änderungen an der JDBC-Datenquelle für die Cloudintegration | Erkennt die Manipulation von Datenbankverbindungen, die nicht autorisierten Zugriff auf Back-End-Systeme oder Diebstahl von Anmeldeinformationen aus gespeicherten Verbindungszeichenfolgen ermöglichen könnte. | Bereitstellen oder Aufheben der Bereitstellung von JDBC-Datenquellen in DER SAP-Cloudintegration | Zugriff auf Anmeldeinformationen, Lateral Movement |
| BTP: Import oder Transport von Cloudintegrationspaketen | Erkennt potenziell schädliche Paketimporte, die backdoors, Lieferkettenkompromittierungen oder nicht autorisierten Code in die Integrationsumgebung einführen könnten. | Importieren oder Transportieren von Integrationspaketen/Artefakten in SAP Cloud Integration. | Erstzugriff, Persistenz |
| BTP: Manipulation von Sicherheitsmaterial durch die Cloudintegration | Erkennt nicht autorisierten Zugriff auf Anmeldeinformationen, Zertifikate und Verschlüsselungsschlüssel, die Es Angreifern ermöglichen könnten, externe Systeme zu kompromittieren oder verschlüsselte Kommunikation abzufangen. | Erstellen, Aktualisieren oder Löschen von Anmeldeinformationen, X.509-Zertifikaten oder PGP-Schlüsseln in SAP Cloud Integration. | Zugriff auf Anmeldeinformationen, Umgehung der Verteidigung |
SAP Cloud Identity Service – Identitätsauthentifizierung
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP – Cloud Identity Service-Anwendungskonfigurationsmonitor | Erkennt die Erstellung oder Änderung von Verbundanwendungen (SAML/OIDC), die Es Angreifern ermöglichen könnten, einen dauerhaften Backdoor-Zugriff über betrügerische SSO-Konfigurationen einzurichten. | Erstellen, Aktualisieren oder Löschen von SSO-Domänen-/Dienstanbieterkonfigurationen in SAP Cloud Identity Service. | Zugriff auf Anmeldeinformationen, Rechteausweitung |
| BTP: Massenlöschung von Benutzern in Cloud Identity Service | Erkennt umfangreiche Löschungen von Benutzerkonten, die auf einen destruktiven Angriff, den Versuch der Vertuschung nicht autorisierter Aktivitäten oder die Denial-of-Service-Aktivität gegen legitime Benutzer hinweisen können. Standardschwellenwert: 10 |
Löscht die Anzahl der Benutzerkonten über dem definierten Schwellenwert in SAP Cloud Identity Service. | Auswirkung |
| BTP: Benutzer, der der Liste der privilegierten Administratoren hinzugefügt wurde | Erkennt die Rechteausweitung durch die Zuweisung leistungsstarker Identitätsverwaltungsberechtigungen, die Es Angreifern ermöglichen könnten, Backdoor-Konten zu erstellen oder Authentifizierungssteuerungen zu ändern. | Erteilen Sie einem Benutzer privilegierte Administratorberechtigungen in SAP Cloud Identity Service. | Lateral Movement, Rechteausweitung |
SAP Business Application Studio (BAS)
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP: Fehlgeschlagene Zugriffsversuche über mehrere BAS-Unterkonten hinweg | Erkennt Reconnaissance-Aktivitäts- oder Anmeldeinformations-Spray-Angriffe, die auf Entwicklungsumgebungen in mehreren Unterkonten abzielen, was auf eine potenzielle Vorbereitung für eine umfassendere Kompromittierung hinweist. Standardschwellenwert: 3 |
Führen Sie fehlgeschlagene Anmeldeversuche für BAS über die definierte Schwellenwertanzahl von Unterkonten aus. | Ermittlung, Reconnaissance |
| BTP: Im BAS-Entwicklungsbereich erkannte Schadsoftware | Erkennt schädlichen Code in Entwicklungsarbeitsbereichen, der verwendet werden könnte, um die Softwarelieferkette zu kompromittieren, Backdoors in Anwendungen einzufügen oder Persistenz in der Entwicklungsumgebung einzurichten. | Kopieren oder erstellen Sie eine Schadsoftwaredatei in einem BAS-Entwicklerbereich. | Ausführung, Persistenz, Ressourcenentwicklung |
SAP-Buildarbeitszone
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP: Erstellen von nicht autorisiertem Zugriff auf die Arbeitszone und Manipulation von Rollen | Erkennt Versuche, auf eingeschränkte Portalressourcen zuzugreifen oder Zugriffssteuerungen in Massen zu löschen, die darauf hindeuten können, dass ein Angreifer Sicherheitsgrenzen entfernt oder Spuren nach nicht autorisierten Aktivitäten verdeckt. | Erkennen eines nicht autorisierten OData-Dienstzugriffs oder massenhaftes Löschen von Rollen/Benutzern in SAP Build Work Zone. | Erstzugriff, Persistenz, Verteidigungsumgehung |
SAP BTP-Plattform und -Unterkonten
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP: Überwachungsprotokolldienst nicht verfügbar | Erkennt potenzielle Manipulationen bei der Überwachungsprotokollierung, die darauf hindeuten könnten, dass ein Angreifer versucht, ohne Erkennung zu arbeiten, indem er die Sicherheitsüberwachung deaktiviert oder schädliche Aktivitäten ausblendet. | Das Unterkonto meldet keine Überwachungsprotokolle, die den konfigurierten Schwellenwert überschreiten (Standard: 60 Minuten). | Verteidigungsumgehung |
| BTP: Massenlöschung von Benutzern in einem Unterkonto | Erkennt umfangreiche Benutzerlöschungen, die auf einen destruktiven Angriff, Sabotageversuch oder den Versuch hinweisen können, Geschäftsvorgänge durch Entfernen des Benutzerzugriffs zu unterbrechen. Standardschwellenwert: 10 |
Löscht die Anzahl der Benutzerkonten, die den definierten Schwellenwert überschreiten. | Auswirkung |
| BTP – Identitätsanbietermonitor für Vertrauensstellung und Autorisierung | Erkennt Änderungen an Verbund- und Authentifizierungseinstellungen, die es Angreifern ermöglichen könnten, alternative Authentifizierungspfade einzurichten, Sicherheitskontrollen zu umgehen oder nicht autorisierten Zugriff durch Manipulation des Identitätsanbieters zu erhalten. | Ändern, Lesen, Aktualisieren oder Löschen von Identitätsanbietereinstellungen in einem Unterkonto. | Zugriff auf Anmeldeinformationen, Rechteausweitung |
| BTP: Benutzer, der der Sammlung vertraulicher privilegierter Rollen hinzugefügt wurde | Erkennt Berechtigungsausweitungsversuche durch Zuweisung leistungsstarker Administratorrollen, die die vollständige Kontrolle über Unterkonten, Konnektivität und Sicherheitskonfigurationen ermöglichen könnten. | Weisen Sie einem Benutzer eine der folgenden Rollensammlungen zu: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Lateral Movement, Rechteausweitung |
Nächste Schritte
In diesem Artikel haben Sie mehr über die Sicherheitsinhalte erfahren, die mit der Microsoft Sentinel Solution for SAP BTP bereitgestellt werden.