Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se detalla el contenido de seguridad disponible para la solución Microsoft Sentinel para SAP BTP.
Actualmente, el contenido de seguridad disponible incluye un libro integrado y reglas de análisis. También puede agregar listas de reproducción relacionadas con SAP para usarlas en los cuadernos de estrategias de búsqueda, detección, búsqueda de amenazas y respuesta.
Obtenga más información sobre la solución.
Libro de SAP BTP
El libro de actividad BTP proporciona información general sobre la actividad de BTP en el panel.
En la pestaña Información general se muestra lo siguiente:
- Información general de las subcuentas de BTP, lo que ayuda a los analistas a identificar las cuentas más activas y el tipo de datos ingeridos.
- Actividad de inicio de sesión de subcuenta, lo que ayuda a los analistas a identificar picos y tendencias que podrían estar asociados con errores de inicio de sesión en SAP Business Application Studio (BAS).
- Escala de tiempo de la actividad de BTP y número de alertas de seguridad de BTP, lo que ayuda a los analistas a buscar cualquier correlación entre los dos.
En la pestaña Administración de identidades se muestra una cuadrícula de eventos de administración de identidades, como cambios en los roles de seguridad y usuario, en un formato legible para personas. La barra de búsqueda le permite encontrar rápidamente cambios específicos.
Para obtener más información, consulte Tutorial: Visualización y supervisión de los datos e Implementación de Microsoft Sentinel solución para SAP BTP.
Reglas de análisis integradas
Estas reglas de análisis detectan actividad sospechosa mediante registros de auditoría de SAP BTP. Las reglas están organizadas por el servicio SAP o el área de producto. Para obtener más información, consulte la documentación oficial de SAP sobre los eventos de seguridad registrados por Cloud Foundry Services en SAP BTP.
Orígenes de datos: SAPBTPAuditLog_CL
Integración en la nube de SAP: Integration Suite
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: alteración de la directiva de acceso de integración en la nube | Detecta modificaciones no autorizadas de directivas de acceso que podrían permitir a los atacantes obtener acceso a artefactos de integración confidenciales o eludir controles de seguridad. | Cree, cambie o elimine directivas de acceso o referencias de artefacto en SAP Cloud Integration. | Evasión de defensa, escalación de privilegios |
| BTP: implementación de artefactos de integración en la nube | Detecta la implementación de flujos de integración potencialmente malintencionados que se podrían usar para la filtración, persistencia o ejecución de código no autorizado en el entorno de integración. | Implementación o anulación de la implementación de artefactos de integración en SAP Cloud Integration. | Ejecución, persistencia |
| Cambios en el origen de datos de JDBC de integración en la nube de BTP | Detecta la manipulación de conexione de base de datos que podrían permitir el acceso no autorizado a los sistemas back-end o el robo de credenciales de cadenas de conexión almacenadas. | Implementación o anulación de la implementación de orígenes de datos JDBC en SAP Cloud Integration. | Acceso a credenciales, movimiento lateral |
| BTP: importación o transporte de paquetes de integración en la nube | Detecta importaciones de paquetes potencialmente malintencionadas que podrían introducir puertas traseras, riesgos en la cadena de suministro o código no autorizado en el entorno de integración. | Importación o transporte de paquetes o artefactos de integración en SAP Cloud Integration. | Acceso inicial, persistencia |
| BTP: Manipulación de la integración en la nube con el material de seguridad | Detecta el acceso no autorizado a credenciales, certificados y claves de cifrado que podrían permitir a los atacantes poner en peligro sistemas externos o interceptar comunicaciones cifradas. | Cree, actualice o elimine credenciales, certificados X.509 o claves PGP en SAP Cloud Integration. | Acceso a credenciales, evasión de defensa |
SAP Cloud Identity Service: autenticación de identidad
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: monitor de configuración de aplicaciones de Cloud Identity Service | Detecta la creación o modificación de aplicaciones federadas (SAML/OIDC) que podrían permitir a los atacantes establecer el acceso de puerta trasera persistente a través de configuraciones de sso no autorizado. | Cree, actualice o elimine configuraciones del proveedor de servicios o dominio de SSO en SAP Cloud Identity Service. | Acceso a credenciales, escalación de privilegios |
| BTP: eliminación masiva de usuarios en Cloud Identity Service | Detecta la eliminación de cuentas de usuario a gran escala que podrían indicar un ataque destructivo, intento de encubrimiento de actividad no autorizada o denegación de servicio contra usuarios legítimos. Umbral predeterminado: 10 |
Elimine el recuento de cuentas de usuario por encima del umbral definido en SAP Cloud Identity Service. | Impacto |
| BTP: usuario agregado a la lista de administradores con privilegios | Detecta la escalación de privilegios mediante la asignación de permisos eficaces de administración de identidades que podrían permitir a los atacantes crear cuentas de puerta trasera o modificar controles de autenticación. | Conceda permisos de administrador con privilegios a un usuario de SAP Cloud Identity Service. | Movimiento lateral, escalación de privilegios |
SAP Business Application Studio (BAS)
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: intentos de acceso erróneos en varias subcuentas BAS | Detecta ataques de difusión de credenciales o actividad de reconocimiento dirigidos a entornos de desarrollo en varias subcuentas, lo que indica la posible preparación para un riesgo más amplio. Umbral predeterminado: 3 |
Ejecute intentos de inicio de sesión erróneos en BAS a través del número de umbral definido de subcuentas. | Detección, reconocimiento |
| BTP: malware detectado en el espacio de desarrollo bas | Detecta código malintencionado en áreas de trabajo de desarrollo que podrían usarse para poner en peligro la cadena de suministro de software, insertar puertas traseras en las aplicaciones o establecer persistencia en el entorno de desarrollo. | Copie o cree un archivo de malware en un espacio para desarrolladores BAS. | Ejecución, persistencia, desarrollo de recursos |
Zona de trabajo de compilación de SAP
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: creación de acceso no autorizado y alteración de roles en la zona de trabajo | Detecta intentos de acceso a recursos restringidos del portal o eliminación masiva de controles de acceso que podrían indicar que un atacante elimina los límites de seguridad o cubre las pistas después de una actividad no autorizada. | Detecte el acceso al servicio OData no autorizado o la eliminación masiva de roles o usuarios en la zona de trabajo de compilación de SAP. | Acceso inicial, persistencia, evasión de defensa |
Plataforma y subcuentas de SAP BTP
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: el servicio de registro de auditoría no está disponible | Detecta posibles alteraciones en el registro de auditoría que podrían indicar que un atacante intenta funcionar sin detección deshabilitando la supervisión de seguridad u ocultando actividad malintencionada. | La subcuenta no notifica los registros de auditoría que superan el umbral configurado (valor predeterminado: 60 minutos). | Evasión de defensa |
| BTP: eliminación masiva de usuarios en una subcuenta | Detecta la eliminación de usuarios a gran escala que podría indicar un ataque destructivo, un intento de sabotaje o un esfuerzo para interrumpir las operaciones empresariales mediante la eliminación del acceso de los usuarios. Umbral predeterminado: 10 |
Elimine el recuento de cuentas de usuario por encima del umbral definido. | Impacto |
| BTP: monitor del proveedor de identidades de confianza y autorización | Detecta modificaciones en la configuración de federación y autenticación que podrían permitir a los atacantes establecer rutas de autenticación alternativas, omitir controles de seguridad o obtener acceso no autorizado mediante la manipulación del proveedor de identidades. | Cambie, lea, actualice o elimine cualquiera de los valores del proveedor de identidades dentro de una subcuenta. | Acceso a credenciales, escalación de privilegios |
| BTP: usuario agregado a la colección de roles con privilegios confidenciales | Detecta intentos de escalado de privilegios mediante la asignación de roles administrativos eficaces que podrían habilitar el control total sobre las subcuentas, la conectividad y las configuraciones de seguridad. | Asigne una de las siguientes colecciones de roles a un usuario: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Movimiento lateral, escalación de privilegios |
Pasos siguientes
En este artículo, ha obtenido información sobre el contenido de seguridad proporcionado con la solución Microsoft Sentinel para SAP BTP.