Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe el registro de auditoría de seguridad de SAP y el libro de acceso inicial , que se usan para supervisar y realizar un seguimiento de la actividad de auditoría de usuarios en los sistemas SAP. Use el libro para obtener una vista general de la actividad de auditoría del usuario, proteger mejor los sistemas SAP y obtener visibilidad rápida de las acciones sospechosas. Explore en profundidad los eventos sospechosos según sea necesario.
Use el libro para la supervisión continua de los sistemas SAP o para revisar los sistemas después de un incidente de seguridad u otra actividad sospechosa.
Por ejemplo:
El contenido de este artículo está pensado para el equipo de seguridad .
Requisitos previos
Antes de empezar a usar el registro sap - auditoría de seguridad y el libro de acceso inicial , debe tener:
Una solución Microsoft Sentinel para SAP instalada y un conector de datos configurado. Para obtener más información, consulte Implementación de una solución de Microsoft Sentinel para aplicaciones sap.
El registro sap - security audit y el libro de acceso inicial instalados en el área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Para obtener más información, consulte Visualización y supervisión de los datos mediante libros en Microsoft Sentinel.
Importante
El registro sap- auditoría de seguridad y el libro de acceso inicial se hospedan en el área de trabajo donde se instaló la solución de Microsoft Sentinel para las aplicaciones sap. De forma predeterminada, se supone que los datos de SAP y SOC están en el área de trabajo que hospeda el libro.
Si los datos de SOC están en un área de trabajo diferente al área de trabajo que hospeda el libro, asegúrese de incluir la suscripción para ese área de trabajo y seleccione el área de trabajo soc de Azure área de trabajo de auditoría y actividad.
Al menos un incidente en el área de trabajo de Microsoft Sentinel, con al menos una entrada disponible en la
SecurityIncidenttabla. No es necesario que sea un incidente de SAP y puede generar un incidente de demostración mediante una regla de análisis básico si no tiene otra.Si los datos de Microsoft Entra están en un área de trabajo de Log Analytics diferente, asegúrese de seleccionar las suscripciones y áreas de trabajo pertinentes en la parte superior del libro, en Azure auditoría y actividades.
Se recomienda configurar la auditoría para todos los mensajes del registro de auditoría, en lugar de solo registros específicos. Las diferencias de costos de ingesta suelen ser mínimas y los datos son útiles para las detecciones de Microsoft Sentinel y en las investigaciones y búsquedas posteriores al compromiso. Para obtener más información, consulte Configuración de la auditoría de SAP.
Filtros admitidos
El registro sap- auditoría de seguridad y el libro de acceso inicial admiten los siguientes filtros para ayudarle a centrarse en los datos que necesita:
- Intervalo de tiempo. De cuatro horas a 90 días.
- Roles del sistema. Los roles del sistema SAP, por ejemplo: Desarrollo.
- Uso del sistema. Por ejemplo: SAP GTS.
- Sistemas SAP. Puede seleccionar todos los sistemas, un sistema específico o varios sistemas.
Si selecciona sistemas que no están configurados en la lista de reproducción de sistemas SAP, el libro muestra un error, especificando los sistemas con problemas. En este caso, configure la lista de reproducción para incluir correctamente estos sistemas.
Datos del informe de análisis de inicio de sesión
La pestaña Informe de análisis de inicio de sesión del registro sap - Auditoría de seguridad y el libro Acceso inicial muestra datos sobre errores de inicio de sesión, como datos anómalos, datos Microsoft Entra, etc.
Los datos se basan en la lista de reproducción de sistemas SAP.
La pestaña Informe de análisis de inicio de sesión incluye las siguientes áreas:
- Análisis de inicio de sesión
- Errores de inicio de sesión: detección de anomalías
- Errores de inicio de sesión: tendencias
Análisis de inicio de sesión
El área Análisis de inicio de sesión se muestra con respecto a los inicios de sesión de usuario. Por ejemplo:
En la tabla siguiente se describe cada métrica del área de análisis de inicio de sesión :
| Área | Descripción |
|---|---|
| Inicios de sesión de usuario únicos por sistema | Muestra el número de inicios de sesión únicos para cada sistema SAP y un gráfico con las tendencias de inicio de sesión durante el tiempo seleccionado para cada sistema. Por ejemplo: el sistema 012 tiene intentos de inicio de sesión únicos de 1,4 K en los últimos 14 días y, en estos 14 días, el gráfico muestra una tendencia de inicio de sesión relativamente creciente. |
| Tendencia de tipos de inicio de sesión | Muestra una tendencia del número de inicios de sesión según el tipo, por ejemplo, inicio de sesión a través de diálogo. Mantenga el puntero sobre el gráfico para mostrar el número de inicios de sesión de fechas diferentes. |
| Errores de inicio de sesión frente a éxitos de usuarios únicos: tendencia | Muestra una tendencia de inicios de sesión correctos y erróneos en el período seleccionado. Mantenga el puntero sobre el gráfico para mostrar la cantidad de inicios de sesión correctos y erróneos para distintas fechas. |
Errores de inicio de sesión: detección de anomalías
Las áreas de Detección de anomalías: al filtrar los intentos de inicio de sesión con errores ruidosos , se muestran los datos de error de inicio de sesión para los sistemas sap y los usuarios. Para ver solo los datos marcados por, seleccione Solo anómalo junto a Inicios de sesión con errores a la derecha.
Para obtener más información, consulte Supervisión del registro de auditoría de SAP.
Por ejemplo:
En la tabla siguiente se describe cada métrica del área de detección de anomalías :
| Área | Descripción |
|---|---|
| Tasa >de errores de inicio de sesiónAnomalías >de error de inicio de sesiónInicios de sesión con errores de usuario único por sistema SAP | Muestra el número de inicios de sesión únicos con errores para cada sistema SAP. |
| SAP y Active Directory son mejores juntos | La tabla Anomalous login failures (Errores de inicio de sesión anómalos) muestra una combinación de datos de Microsoft Sentinel y Microsoft Entra, enumerando los usuarios según el riesgo, con los usuarios más arriesgados en la parte superior. Para cada usuario, la tabla muestra: - Escala de tiempo de intentos de inicio de sesión erróneos - Escala de tiempo que muestra en qué momento se produjo un intento anómalo con errores - El tipo de anomalía - Dirección de correo electrónico del usuario - Indicador de riesgo Microsoft Entra - El número de incidentes y alertas en Microsoft Sentinel Seleccione la fila de un usuario para ver una lista de alertas e incidentes relacionados. Microsoft Entra eventos de riesgo se enumeran en Azure auditoría y riesgos de inicio de sesión para el usuario. |
| Tasa de errores de inicio de sesión por sistema | Muestra los sistemas SAP seleccionados, agrupados por tipo, con el número de errores en el período seleccionado. El color del sistema indica el número de intentos fallidos: verde para algunos intentos de inicio de sesión sospechosos y rojo para más. Seleccione un sistema para ver una lista de inicios de sesión con errores, con detalles sobre los errores. |
En la captura de pantalla siguiente, observe los datos que se muestran cuando se selecciona la primera línea en la tabla Errores de inicio de sesión anómalos . Las alertas específicas y las direcciones URL de incidentes se muestran en la tabla Información general sobre incidentes y alertas para el usuario .
En la captura de pantalla siguiente, la tabla de riesgos de auditoría y inicio de sesión de Azure de usuario muestra los datos del riesgo de inicio de sesión relacionado con este usuario.
En la captura de pantalla siguiente, observe la tasa de errores de inicio de sesión por área del sistema , donde está seleccionado el sistema 84e en el grupo Prueba . El área Inicios de sesión con errores del sistema de la derecha muestra eventos de error para este sistema.
Errores de inicio de sesión: tendencias
El área Tendencias de errores de inicio de sesión muestra las tendencias y el número de inicios de sesión con errores, agrupados por diferentes tipos de datos. Por ejemplo:
En la tabla siguiente se describe cada métrica del área Tendencias de errores de inicio de sesión :
| Área | Descripción |
|---|---|
| Error de inicio de sesión por causa | Muestra la tendencia del número de errores de inicio de sesión según la causa del error, como los datos de inicio de sesión incorrectos. |
| Error de inicio de sesión por tipo | Muestra la tendencia del número de errores de inicio de sesión según el tipo, como el inicio de sesión desencadenó un trabajo en segundo plano o el inicio de sesión se produjo a través de HTTP. |
| Error de inicio de sesión por método | Muestra la tendencia del número de errores de inicio de sesión según el método, como SNC o un vale de inicio de sesión. |
Pestaña Informe de alertas de registro de auditoría
La pestaña Alertas de registro de auditoría muestra los datos sobre los eventos de registro de auditoría de SAP que la solución Microsoft Sentinel para las aplicaciones sap. Los datos se basan en la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration.
La pestaña Alertas de registro de auditoría muestra las tendencias de gravedad y auditoría de cada sistema SAP y usuario. Todas las áreas de esta pestaña muestran datos marcados solo por detección de anomalías. Para todos los eventos, seleccione Todo junto a Inicios de sesión con errores a la derecha.
Para obtener más información, consulte Supervisión del registro de auditoría de SAP.
Por ejemplo:
En la tabla siguiente se describe cada métrica de la pestaña Auditar alertas de registro :
| Área | Descripción |
|---|---|
| Tendencias de gravedad de alerta por identificador de sistema | Muestra una lista de sistemas con un gráfico de tendencias de eventos de gravedad media y alta por sistema. Por ejemplo, el sistema 012 tenía muchos eventos de gravedad alta durante todo el período y algunos eventos de gravedad media , con un pico que muestra más eventos de gravedad media en medio del período. |
| Tendencia de auditoría por usuario | Muestra una combinación de datos de Microsoft Sentinel y Microsoft Entra, que enumera a los usuarios según el riesgo, con los usuarios más peligrosos en la parte superior. Para cada usuario, el libro muestra los datos siguientes: - Escala de tiempo de eventos de gravedad alta y media - Dirección de correo electrónico del usuario - Indicador de riesgo Microsoft Entra - El número de incidentes y alertas en Microsoft Sentinel Seleccione una fila para ver una lista de alertas e incidentes para ese usuario en Información general sobre incidentes y alertas para el usuario. Vea Microsoft Entra eventos de riesgo en Azure auditoría y riesgos de inicio de sesión para el usuario. |
| Puntuación de riesgo por sistema | Representa visualmente cada sistema en una forma de celda, mostrando la puntuación de riesgo de cada sistema y agrupando sistemas por tipo. El color del sistema indica la puntuación de riesgo del sistema: verde para una puntuación de riesgo más baja y rojo para una puntuación de riesgo más alta. Seleccione un sistema para ver una lista de eventos de SAP por sistema. |
| Eventos de MITRE ATT&tácticas de CK | Muestra una lista de eventos de SAP agrupados por MITRE ATT&tácticas de CK, como el acceso inicial o la evasión de defensa. Mantenga el puntero sobre el gráfico para mostrar el número de inicios de sesión de fechas diferentes. |
| Eventos por categoría | Muestra una lista de tendencias de eventos de SAP agrupadas por categoría, como Inicio de RFC o Inicio de sesión. Mantenga el puntero sobre el gráfico para mostrar el número de inicio de sesión de fechas diferentes. |
| Eventos por grupo de autorización | Muestra una lista de tendencias de eventos de SAP agrupadas por el grupo de autorización de SAP, como USER o SUPER. Mantenga el puntero sobre el gráfico para mostrar el número de inicios de sesión de fechas diferentes. |
| Eventos por tipo de usuario | Muestra una lista de tendencias de eventos de SAP agrupadas por el tipo de usuario de SAP, como Dialog o System. Mantenga el puntero sobre el gráfico para mostrar el número de inicios de sesión de fechas diferentes. |
En la captura de pantalla siguiente, observe los datos que se muestran cuando se selecciona la primera línea en la tabla Tendencias de auditoría por usuario . Las alertas específicas y las direcciones URL de incidentes se muestran en la tabla Información general sobre incidentes y alertas para el usuario .
En la captura de pantalla siguiente, observe la puntuación de riesgo por área del sistema, donde está seleccionado el sistema cb7 en el grupo UAT . Los eventos de SAP para el área del sistema debajo de la visualización del sistema muestran el evento sap para este sistema.
En la captura de pantalla siguiente, observe las áreas con eventos y tendencias de eventos agrupados por diferentes tipos de datos: MITRE ATT&tácticas de CK, grupo de autorización de SAP y tipo de usuario.
Contenido relacionado
Para obtener más información, consulte Implementación de la solución Microsoft Sentinel para aplicaciones SAP desde el centro de contenido y Microsoft Sentinel solución para aplicaciones SAP: referencia de contenido de seguridad.