Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se detalla el contenido de seguridad disponible para las soluciones de Microsoft Sentinel para SAP.
Importante
Los elementos anotados descritos en este artículo se encuentran en versión preliminar. Los términos complementarios de Azure Preview incluyen términos legales adicionales que se aplican a Azure características que están en versión beta, versión preliminar o que aún no se han publicado en disponibilidad general.
El contenido de seguridad disponible incluye libros integrados y reglas de análisis. También puede agregar listas de reproducción relacionadas con SAP para usarlas en los cuadernos de estrategias de búsqueda, detección, búsqueda de amenazas y respuesta.
El contenido de este artículo está pensado para el equipo de seguridad .
Libros integrados
Use los siguientes libros integrados para visualizar y supervisar los datos ingeridos a través del conector de datos de SAP. Después de implementar la solución SAP, puede encontrar libros de SAP en la pestaña Plantillas .
| Nombre del libro | Description | Registros |
|---|---|---|
| SAP: Explorador de registros de auditoría | Muestra datos como: - Estado general del sistema, incluidos inicios de sesión de usuario a lo largo del tiempo, eventos ingeridos por el sistema, clases de mensajes e identificadores, y ejecución de programas ABAP -Gravedad de los eventos que se producen en el sistema - Eventos de autenticación y autorización que se producen en el sistema |
Usa datos del registro siguiente: ABAPAuditLog |
| Controles de auditoría de SAP | Le ayuda a comprobar los controles de seguridad del entorno de SAP para comprobar el cumplimiento con el marco de control elegido, mediante herramientas para que haga lo siguiente: - Asignación de reglas de análisis en su entorno a controles de seguridad y familias de controles específicos - Supervisión y clasificación de los incidentes generados por las reglas de análisis basadas en soluciones de SAP - Informar sobre el cumplimiento |
Usa datos de las tablas siguientes: - SecurityAlert- SecurityIncident |
Para obtener más información, consulte Tutorial: Visualización y supervisión de los datos e Implementación de Microsoft Sentinel solución para aplicaciones sap.
Reglas de análisis integradas
En esta sección se describe una selección de reglas de análisis integradas proporcionadas junto con la solución Microsoft Sentinel para aplicaciones SAP. El conector de datos sin agente funciona con un conjunto consolidado de orígenes. Para obtener las actualizaciones más recientes, compruebe las reglas nuevas y actualizadas del centro de contenido de Microsoft Sentinel.
Supervisión de la configuración de parámetros de seguridad estáticos de SAP (versión preliminar)
Para proteger el sistema SAP, SAP ha identificado parámetros relacionados con la seguridad que deben supervisarse en busca de cambios. Con la regla "Sap - (Preview) Sensitive Static Parameter has Changed" (Parámetro estático confidencial de SAP ( (versión preliminar) ha cambiado), la solución de Microsoft Sentinel para aplicaciones SAP realiza un seguimiento de más de 52 parámetros estáticos relacionados con la seguridad en el sistema SAP, que están integrados en Microsoft Sentinel.
Nota:
Para que la solución Microsoft Sentinel para que las aplicaciones SAP supervisen correctamente los parámetros de seguridad de SAP, la solución debe supervisar correctamente la tabla PAHI de SAP a intervalos regulares. Para obtener más información, vea Comprobar que la tabla PAHI se actualiza a intervalos regulares.
Para comprender los cambios de parámetros en el sistema, la solución de Microsoft Sentinel para aplicaciones SAP usa la tabla de historial de parámetros, que registra los cambios realizados en los parámetros del sistema cada hora.
Los parámetros también se reflejan en la lista de reproducción SAPSystemParameters. Esta lista de reproducción permite a los usuarios agregar nuevos parámetros, deshabilitar los parámetros existentes y modificar los valores y gravedades por parámetro y rol del sistema en entornos de producción o no producción.
Cuando se realiza un cambio en uno de estos parámetros, Microsoft Sentinel comprueba si el cambio está relacionado con la seguridad y si el valor se establece según los valores recomendados. Si se sospecha que el cambio está fuera de la zona segura, Microsoft Sentinel crea un incidente que detalla el cambio e identifica quién realizó el cambio.
Revise la lista de parámetros que supervisa esta regla.
Supervisión del registro de auditoría de SAP
Muchas de las reglas de análisis de la solución Microsoft Sentinel para aplicaciones SAP usan datos de registro de auditoría de SAP. Algunas reglas de análisis buscan eventos específicos en el registro, mientras que otras correlacionan las indicaciones de varios registros para crear alertas e incidentes de alta fidelidad.
Use las siguientes reglas de análisis para supervisar todos los eventos de registro de auditoría en el sistema SAP o desencadenar alertas solo cuando se detecten anomalías:
| Nombre de regla | Descripción |
|---|---|
| SAP: falta la configuración en el Monitor de registro de auditoría de seguridad dinámica | De forma predeterminada, se ejecuta diariamente para proporcionar recomendaciones de configuración para el módulo de registro de auditoría de SAP. Use la plantilla de regla para crear y personalizar una regla para el área de trabajo. |
| SAP: Monitor de registro de auditoría determinista dinámica (VERSIÓN PRELIMINAR) | De forma predeterminada, se ejecuta cada 10 minutos y se centra en los eventos de registro de auditoría de SAP marcados como deterministas. Use la plantilla de regla para crear y personalizar una regla para el área de trabajo, como para una tasa de falsos positivos más baja. Esta regla requiere umbrales de alerta deterministas y reglas de exclusión de usuarios. |
| SAP: alertas de Monitor de registro de auditoría basadas en anomalías dinámicas (VERSIÓN PRELIMINAR) | De forma predeterminada, se ejecuta cada hora y se centra en los eventos de SAP marcados como AnomaliesOnly, alertando sobre los eventos de registro de auditoría de SAP cuando se detectan anomalías. Esta regla aplica algoritmos de aprendizaje automático adicionales para filtrar el ruido de fondo de forma no supervisada. |
De forma predeterminada, la mayoría de los tipos de eventos o identificadores de mensaje de SAP en el registro de auditoría de SAP se envían a la regla de análisis de alertas de monitor de registro de auditoría (VERSIÓN PRELIMINAR) basadas en anomalías dinámicas, mientras que los tipos de eventos más fáciles de definir se envían a la regla de análisis determinista del Monitor de registro de auditoría determinista dinámico (VERSIÓN PRELIMINAR). Esta configuración, junto con otras opciones relacionadas, se puede configurar para adaptarse a cualquier condición del sistema.
Las reglas de supervisión de registros de auditoría de SAP se entregan como parte de la Microsoft Sentinel para el contenido de seguridad de la solución SAP y permiten un ajuste adicional mediante las listas de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration y SAP_User_Config.
Por ejemplo, en la tabla siguiente se enumeran varios ejemplos de cómo puede usar la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration para configurar los tipos de eventos que generan incidentes, lo que reduce el número de incidentes generados.
| Opción | Description |
|---|---|
| Establecimiento de gravedades y deshabilitación de eventos no deseados | De forma predeterminada, tanto las reglas deterministas como las reglas basadas en anomalías crean alertas para eventos marcados con gravedades medias y altas. Es posible que desee configurar las gravedades por separado en entornos de producción y no producción. Por ejemplo, puede establecer un evento de actividad de depuración como alta gravedad en los sistemas de producción y desactivar los mismos eventos completamente en sistemas que no son de producción. |
| Excluir usuarios por sus roles de SAP o perfiles de SAP | Microsoft Sentinel para SAP ingiere el perfil de autorización del usuario de SAP, incluidas las asignaciones de roles directas e indirectas, los grupos y los perfiles, para que pueda hablar el lenguaje SAP en siem. Es posible que quiera configurar un evento de SAP para excluir usuarios en función de sus roles y perfiles de SAP. En la lista de reproducción, agregue los roles o perfiles que agrupan los usuarios de la interfaz RFC en la columna RolesTagsToExclude , junto al evento Acceso a tablas genéricas por RFC . Esta configuración desencadena alertas solo para los usuarios a los que les faltan estos roles. |
| Exclusión de usuarios por sus etiquetas soc | Use etiquetas para crear su propia agrupación, sin depender de definiciones de SAP complicadas o incluso sin autorización de SAP. Este método es útil para los equipos soc que quieren crear su propia agrupación para los usuarios de SAP. Por ejemplo, si no desea que se alerte a cuentas de servicio específicas para el acceso a tablas genéricas mediante eventos RFC , pero no puede encontrar un rol de SAP o un perfil de SAP que alogre a estos usuarios, use etiquetas como se indica a continuación: 1. Agregue la etiqueta GenTableRFCReadOK junto al evento correspondiente en la lista de reproducción. 2. Vaya a la lista de reproducción de SAP_User_Config y asigne a los usuarios de la interfaz la misma etiqueta. |
| Especificar un umbral de frecuencia por tipo de evento y rol del sistema | Funciona como un límite de velocidad. Por ejemplo, puede configurar eventos de cambio de registro maestro de usuario para que solo desencadenen alertas si el mismo usuario de un sistema de producción observa más de 12 actividades en una hora. Si un usuario supera el límite de 12 por hora (por ejemplo, 2 eventos en una ventana de 10 minutos), se desencadena un incidente. |
| Determinismo o anomalías | Si conoce las características del evento, use las funcionalidades deterministas. Si no está seguro de cómo configurar correctamente el evento, permita que las funcionalidades de aprendizaje automático decidan iniciarse y, a continuación, realice las actualizaciones posteriores según sea necesario. |
| Funcionalidades de SOAR | Use Microsoft Sentinel para organizar, automatizar y responder a los incidentes creados por las alertas dinámicas del registro de auditoría de SAP. Para obtener más información, vea Automatización en Microsoft Sentinel: orquestación, automatización y respuesta de seguridad (SOAR). |
Para obtener más información, consulte Listas de reproducción disponibles y Microsoft Sentinel para SAP News - Dynamic SAP Security Audit Log Monitor feature available now! (blog).
Acceso inicial
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: inicio de sesión desde una red inesperada | Identifica un inicio de sesión desde una red inesperada. Mantener redes en la lista de reproducción SAP - Redes . |
Inicie sesión en el sistema back-end desde una dirección IP que no esté asignada a una de las redes. Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial |
| ATAQUE DE SAP - SPNEGO | Identifica el ataque de reproducción de SPNego. | Orígenes de datos: SAPcon: registro de auditoría | Impacto, movimiento lateral |
| SAP: intento de inicio de sesión de diálogo de un usuario con privilegios | Identifica los intentos de inicio de sesión de diálogo, con el tipo AUM , por parte de usuarios con privilegios en un sistema SAP. Para obtener más información, vea SAPUsersGetPrivileged. | Intentar iniciar sesión desde la misma dirección IP a varios sistemas o clientes dentro del intervalo de tiempo programado Orígenes de datos: SAPcon: registro de auditoría |
Impacto, movimiento lateral |
| SAP: ataques por fuerza bruta | Identifica ataques por fuerza bruta en el sistema SAP mediante inicios de sesión RFC | Intentar iniciar sesión desde la misma dirección IP a varios sistemas o clientes dentro del intervalo de tiempo programado mediante RFC Orígenes de datos: SAPcon: registro de auditoría |
Acceso a credenciales |
| SAP: varios inicios de sesión por IP | Identifica el inicio de sesión de varios usuarios desde la misma dirección IP dentro de un intervalo de tiempo programado. Caso de subconsulta: persistencia |
Inicie sesión con varios usuarios a través de la misma dirección IP. Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial |
| SAP: varios inicios de sesión por usuario | Identifica los inicios de sesión del mismo usuario desde varios terminales dentro del intervalo de tiempo programado. Solo está disponible a través del método Audit SAL, para las versiones 7.5 y posteriores de SAP. |
Inicie sesión con el mismo usuario, con direcciones IP diferentes. Orígenes de datos: SAPcon: registro de auditoría |
Ataque previo, Acceso a credenciales, Acceso inicial, Colección Caso de subconsulta: persistencia |
| SAP - Información - Ciclo de vida - Las notas de SAP se implementaron en el sistema | Identifica la implementación de nota de SAP en el sistema. | Implemente una nota de SAP mediante SNOTE/TCI. Orígenes de datos: SAPcon: solicitudes de cambio |
- |
| SAP - (versión preliminar) AS JAVA: usuario con privilegios confidenciales que inició sesión | Identifica un inicio de sesión desde una red inesperada. Mantener usuarios con privilegios en la lista de reproducción SAP - Usuarios con privilegios . |
Inicie sesión en el sistema back-end con usuarios con privilegios. Orígenes de datos: SAPJAVAFilesLog |
Acceso inicial |
| SAP - (versión preliminar) AS JAVA: Sign-In desde una red inesperada | Identifica los inicios de sesión desde una red inesperada. Mantener usuarios con privilegios en la lista de reproducción SAP - Redes . |
Inicie sesión en el sistema back-end desde una dirección IP que no esté asignada a una de las redes de la lista de reproducción SAP - Networks. Orígenes de datos: SAPJAVAFilesLog |
Acceso inicial, Evasión de defensa |
Filtración de datos
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: FTP para servidores no autorizados | Identifica una conexión FTP para un servidor nonauthorized. | Cree una nueva conexión FTP, como mediante el módulo de funciones de FTP_CONNECT. Orígenes de datos: SAPcon: registro de auditoría |
Detección, acceso inicial, comando y control |
| SAP: configuración de servidores FTP no seguros | Identifica configuraciones de servidor FTP no seguras, como cuando una lista de permitidos ftp está vacía o contiene marcadores de posición. | No mantenga valores que contengan marcadores de posición en la SAPFTP_SERVERS tabla mediante la vista de SAPFTP_SERVERS_V mantenimiento. (SM30) Orígenes de datos: SAPcon: registro de auditoría |
Acceso, comando y control iniciales |
| SAP: descarga de varios Files | Identifica varias descargas de archivos para un usuario dentro de un intervalo de tiempo específico. | Descargue varios archivos mediante SAPGui para Excel, listas, etc. Orígenes de datos: SAPcon: registro de auditoría |
Collection, Exfiltration, Credential Access |
| SAP: varias ejecuciones de Spool | Identifica varias colas para un usuario dentro de un intervalo de tiempo específico. | Cree y ejecute varios trabajos de cola de trabajo de cualquier tipo por parte de un usuario. (SP01) Orígenes de datos: SAPcon - Spool Log, SAPcon - Audit Log |
Collection, Exfiltration, Credential Access |
| SAP: varias ejecuciones de salida de cola | Identifica varias colas para un usuario dentro de un intervalo de tiempo específico. | Cree y ejecute varios trabajos de cola de trabajo de cualquier tipo por parte de un usuario. (SP01) Orígenes de datos: SAPcon - Registro de salida de Spool, SAPcon - Registro de auditoría |
Collection, Exfiltration, Credential Access |
| SAP: acceso directo a tablas confidenciales por inicio de sesión RFC | Identifica el acceso a una tabla genérica mediante el inicio de sesión rfc. Mantener tablas en la lista de reproducción SAP - Tablas confidenciales . Relevante solo para sistemas de producción. |
Abra el contenido de la tabla mediante SE11/SE16/SE16N. Orígenes de datos: SAPcon: registro de auditoría |
Collection, Exfiltration, Credential Access |
| SAP - Spool Takeover | Identifica a un usuario que imprime una solicitud de cola de impresión creada por otra persona. | Cree una solicitud de cola con un usuario y, a continuación, genere la salida en mediante un usuario diferente. Orígenes de datos: SAPcon - Spool Log, SAPcon - Spool Output Log, SAPcon - Audit Log |
Colección, filtración, comando y control |
| SAP: destino RFC dinámico | Identifica la ejecución de RFC mediante destinos dinámicos. Caso de subconsulta: intentos de omitir los mecanismos de seguridad de SAP |
Ejecute un informe de ABAP que use destinos dinámicos (cl_dynamic_destination). Por ejemplo, DEMO_RFC_DYNAMIC_DEST. Orígenes de datos: SAPcon: registro de auditoría |
Colección, filtración |
| SAP: acceso directo a tablas confidenciales por inicio de sesión del cuadro de diálogo | Identifica el acceso a tablas genéricas mediante el inicio de sesión en el cuadro de diálogo. | Abra el contenido de la tabla mediante SE11SE16N/SE16/. Orígenes de datos: SAPcon: registro de auditoría |
Descubrimiento |
| SAP: archivo (versión preliminar) descargado de una dirección IP malintencionada | Identifica la descarga de un archivo de un sistema SAP mediante una dirección IP que se sabe que es malintencionada. Las direcciones IP malintencionadas se obtienen de los servicios de inteligencia sobre amenazas. | Descargue un archivo desde una dirección IP malintencionada. Orígenes de datos: registro de auditoría de seguridad de SAP, Inteligencia sobre amenazas |
Filtración |
| SAP: (versión preliminar) datos exportados desde un sistema de producción mediante un transporte | Identifica la exportación de datos desde un sistema de producción mediante un transporte. Los transportes se usan en sistemas de desarrollo y son similares a las solicitudes de incorporación de cambios. Esta regla de alerta desencadena incidentes con gravedad media cuando un transporte que incluye datos de cualquier tabla se libera de un sistema de producción. La regla crea un incidente de gravedad alta cuando la exportación incluye datos de una tabla confidencial. | Liberación de un transporte desde un sistema de producción. Orígenes de datos: registro de SAP CR, SAP : tablas confidenciales |
Filtración |
| SAP: (versión preliminar) Datos confidenciales guardados en una unidad USB | Identifica la exportación de datos de SAP a través de archivos. La regla comprueba si hay datos guardados en una unidad USB montada recientemente cerca de una ejecución de una transacción confidencial, un programa confidencial o acceso directo a una tabla confidencial. | Exporte datos de SAP a través de archivos y guárdelos en una unidad USB. Orígenes de datos: Registro de auditoría de seguridad de SAP, DeviceFileEvents (Microsoft Defender para punto de conexión), SAP - Tablas confidenciales, SAP - Transacciones confidenciales, SAP - Programas confidenciales |
Filtración |
| SAP: (versión preliminar) Impresión de datos potencialmente confidenciales | Identifica una solicitud o impresión real de datos potencialmente confidenciales. Los datos se consideran confidenciales si el usuario obtiene los datos como parte de una transacción confidencial, la ejecución de un programa confidencial o el acceso directo a una tabla confidencial. | Imprima o solicite que se impriman datos confidenciales. Orígenes de datos: Registro de auditoría de seguridad de SAP, registros de Spool de SAP, SAP - Tablas confidenciales, SAP - Programas confidenciales |
Filtración |
| SAP: (versión preliminar) Alto volumen de datos potencialmente confidenciales exportados | Identifica la exportación de un gran volumen de datos a través de archivos cercanos a la ejecución de una transacción confidencial, un programa confidencial o el acceso directo a la tabla confidencial. | Exporte un gran volumen de datos a través de archivos. Orígenes de datos: Registro de auditoría de seguridad de SAP, SAP - Tablas confidenciales, SAP - Transacciones confidenciales, SAP - Programas confidenciales |
Filtración |
Persistencia
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: activación o desactivación del servicio ICF | Identifica la activación o desactivación de los servicios ICF. | Active un servicio mediante SICF. Orígenes de datos: SAPcon: registro de datos de tabla |
Comando y control, movimiento lateral, persistencia |
| SAP: módulo de funciones probado | Identifica las pruebas de un módulo de función. | Pruebe un módulo de funciones mediante SE37 / SE80. Orígenes de datos: SAPcon: registro de auditoría |
Colección, Evasión de defensa, Movimiento lateral |
| SAP : (VERSIÓN PRELIMINAR) HANA DB: acciones de Administración de usuario | Identifica las acciones de administración de usuarios. | Cree, actualice o elimine un usuario de base de datos. Orígenes de datos: agente de Linux : Syslog* |
Elevación de privilegios |
| SAP: nuevos controladores de servicios ICF | Identifica la creación de controladores ICF. | Asigne un nuevo controlador a un servicio mediante SICF. Orígenes de datos: SAPcon: registro de auditoría |
Comando y control, movimiento lateral, persistencia |
| SAP: nuevos servicios ICF | Identifica la creación de servicios ICF. | Cree un servicio mediante SICF. Orígenes de datos: SAPcon: registro de datos de tabla |
Comando y control, movimiento lateral, persistencia |
| SAP: ejecución de un módulo de funciones obsoleto o no seguro | Identifica la ejecución de un módulo de función ABAP obsoleto o no seguro. Mantener funciones obsoletas en la lista de seguimiento de módulos de funciones obsoletos de SAP . Asegúrese de activar los cambios de registro de tabla para la EUFUNC tabla en el back-end. (SE13)Relevante solo para sistemas de producción. |
Ejecute un módulo de funciones obsoleto o no seguro directamente con SE37. Orígenes de datos: SAPcon: registro de datos de tabla |
Detección, comando y control |
| SAP: ejecución de un programa obsoleto o no seguro | Identifica la ejecución de un programa ABAP obsoleto o no seguro. Mantenga programas obsoletos en la lista de reproducción SAP - Programas obsoletos . Relevante solo para sistemas de producción. |
Ejecute un programa directamente con SE38/SA38/SE80 o mediante un trabajo en segundo plano. Orígenes de datos: SAPcon: registro de auditoría |
Detección, comando y control |
| SAP: varios cambios de contraseña | Identifica varios cambios de contraseña por usuario. | Cambiar contraseña de usuario Orígenes de datos: SAPcon: registro de auditoría |
Acceso a credenciales |
| SAP - (versión preliminar) AS JAVA: el usuario crea y usa un nuevo usuario | Identifica la creación o manipulación de usuarios por parte de los administradores en el entorno de Java de SAP AS. | Inicie sesión en el sistema back-end con los usuarios que ha creado o manipulado. Orígenes de datos: SAPJAVAFilesLog |
Persistencia |
Intentos de omitir mecanismos de seguridad de SAP
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: cambio de configuración de cliente | Identifica los cambios en la configuración del cliente, como el rol de cliente o el modo de grabación de cambios. | Realice cambios en la configuración del cliente mediante el código de SCC4 transacción. Orígenes de datos: SAPcon: registro de auditoría |
Evasión de defensa, filtración, persistencia |
| SAP: los datos han cambiado durante la actividad de depuración | Identifica los cambios de los datos en tiempo de ejecución durante una actividad de depuración. Caso de subconsulta: persistencia |
1. Active Depurar ("/h"). 2. Seleccione un campo para cambiar y actualice su valor. Orígenes de datos: SAPcon: registro de auditoría |
Ejecución, movimiento lateral |
| SAP: desactivación del registro de auditoría de seguridad | Identifica la desactivación del registro de auditoría de seguridad, | Deshabilite el registro de auditoría de seguridad mediante SM19/RSAU_CONFIG. Orígenes de datos: SAPcon: registro de auditoría |
Filtración, evasión de defensa, persistencia |
| SAP: ejecución de un programa ABAP confidencial | Identifica la ejecución directa de un programa ABAP confidencial. Mantenga los programas ABAP en la lista de reproducción SAP - Sensitive ABAP Programs (SAP - Sensitive ABAP Programs ). |
Ejecute un programa directamente mediante SE38//SA38SE80. Orígenes de datos: SAPcon: registro de auditoría |
Filtración, movimiento lateral, ejecución |
| SAP: ejecución de un código de transacción confidencial | Identifica la ejecución de un código de transacción confidencial. Mantenga los códigos de transacción en la lista de reproducción SAP - Códigos de transacción confidenciales . |
Ejecute un código de transacción confidencial. Orígenes de datos: SAPcon: registro de auditoría |
Detección, ejecución |
| SAP: ejecución del módulo de funciones confidenciales | Identifica la ejecución de un módulo de función ABAP confidencial. Caso de subconsulta: persistencia Relevante solo para sistemas de producción. Mantenga funciones confidenciales en la lista de seguimiento SAP - Módulos de función confidencial y asegúrese de activar los cambios de registro de tabla en el back-end para la tabla EUFUNC. (SE13) |
Ejecute un módulo de función confidencial directamente con SE37. Orígenes de datos: SAPcon: registro de datos de tabla |
Detección, comando y control |
| SAP : (VERSIÓN PRELIMINAR) HANA DB: auditar los cambios de directiva de seguimiento | Identifica los cambios de las directivas de seguimiento de auditoría de la base de datos de HANA. | Cree o actualice la directiva de auditoría existente en las definiciones de seguridad. Orígenes de datos: agente de Linux: Syslog |
Movimiento lateral, Evasión de defensa, Persistencia |
| SAP : (VERSIÓN PRELIMINAR) HANA DB: desactivación del seguimiento de auditoría | Identifica la desactivación del registro de auditoría de la base de datos de HANA. | Desactive el registro de auditoría en la definición de seguridad de la base de datos de HANA. Orígenes de datos: agente de Linux: Syslog |
Persistencia, Movimiento lateral, Evasión de defensa |
| SAP: ejecución remota no autorizada de un módulo de funciones confidenciales | Detecta ejecuciones no autorizadas de máquinas virtuales confidenciales comparando la actividad con el perfil de autorización del usuario sin tener en cuenta las autorizaciones modificadas recientemente. Mantenga los módulos de función en la lista de reproducción SAP - Módulos de función confidencial . |
Ejecute un módulo de funciones mediante RFC. Orígenes de datos: SAPcon: registro de auditoría |
Ejecución, movimiento lateral, detección |
| SAP: cambio de configuración del sistema | Identifica los cambios en la configuración del sistema. | Adapte las opciones de cambio del sistema o la modificación de componentes de software mediante el código de SE06 transacción.Orígenes de datos: SAPcon: registro de auditoría |
Filtración, evasión de defensa, persistencia |
| SAP: actividades de depuración | Identifica todas las actividades relacionadas con la depuración. Caso de subconsulta: persistencia |
Active Depurar ("/h") en el sistema, depure un proceso activo, agregue un punto de interrupción al código fuente, etc. Orígenes de datos: SAPcon: registro de auditoría |
Descubrimiento |
| SAP: cambio de configuración del registro de auditoría de seguridad | Identifica los cambios en la configuración del registro de auditoría de seguridad. | Cambie cualquier configuración de registro de auditoría de seguridad mediante SM19/RSAU_CONFIG, como los filtros, el estado, el modo de grabación, etc. Orígenes de datos: SAPcon: registro de auditoría |
Persistencia, filtración, evasión de defensa |
| SAP: la transacción está desbloqueada | Identifica el desbloqueo de una transacción. | Desbloquee un código de transacción mediante SM01SM01_CUS/SM01_DEV/. Orígenes de datos: SAPcon: registro de auditoría |
Persistencia, ejecución |
| SAP: programa ABAP dinámico | Identifica la ejecución de la programación dinámica de ABAP. Por ejemplo, cuando el código ABAP se creó, cambió o eliminó dinámicamente. Mantenga los códigos de transacción excluidos en la lista de reproducción SAP - Transacciones para generaciones de ABAP . |
Cree un informe de ABAP que use comandos de generación de programas ABAP, como INSERT REPORT, y, a continuación, ejecute el informe. Orígenes de datos: SAPcon: registro de auditoría |
Detección, comando y control, impacto |
Operaciones de privilegios sospechosos
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: cambio en un usuario con privilegios confidenciales | Identifica los cambios de los usuarios con privilegios confidenciales. Mantener usuarios con privilegios en la lista de reproducción SAP - Usuarios con privilegios . |
Cambie los detalles de usuario o las autorizaciones mediante SU01. Orígenes de datos: SAPcon: registro de auditoría |
Escalación de privilegios, acceso a credenciales |
| SAP : (VERSIÓN PRELIMINAR) HANA DB: asignación de autorizaciones de Administración | Identifica los privilegios de administrador o la asignación de roles. | Asigne un usuario con cualquier rol de administrador o privilegios. Orígenes de datos: agente de Linux: Syslog |
Elevación de privilegios |
| SAP: usuario con privilegios confidenciales que ha iniciado sesión | Identifica el inicio de sesión del cuadro de diálogo de un usuario con privilegios confidenciales. Mantener usuarios con privilegios en la lista de reproducción SAP - Usuarios con privilegios . |
Inicie sesión en el sistema back-end mediante SAP* u otro usuario con privilegios. Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial, Acceso a credenciales |
| SAP: el usuario con privilegios confidenciales realiza un cambio en otro usuario | Identifica los cambios de usuarios confidenciales con privilegios en otros usuarios. | Cambie los detalles o autorizaciones del usuario mediante SU01. Orígenes de datos: SAPcon: registro de auditoría |
Escalación de privilegios, acceso a credenciales |
| SAP: cambio e inicio de sesión de contraseña de usuarios confidenciales | Identifica los cambios de contraseña para los usuarios con privilegios. | Cambie la contraseña de un usuario con privilegios e inicie sesión en el sistema. Mantener usuarios con privilegios en la lista de reproducción SAP - Usuarios con privilegios . Orígenes de datos: SAPcon: registro de auditoría |
Impacto, comando y control, escalación de privilegios |
| SAP: el usuario crea y usa un nuevo usuario | Identifica un usuario que crea y usa otros usuarios. Caso de subconsulta: persistencia |
Cree un usuario con SU01 e inicie sesión con el usuario recién creado y la misma dirección IP. Orígenes de datos: SAPcon: registro de auditoría |
Detección, ataque previo, acceso inicial |
| SAP: el usuario desbloquea y usa otros usuarios | Identifica un usuario que otros usuarios desbloquean y usan. Caso de subconsulta: persistencia |
Desbloquee un usuario mediante SU01 e inicie sesión con el usuario desbloqueado y la misma dirección IP. Orígenes de datos: SAPcon - Registro de auditoría, SAPcon - Registro de documentos modificados |
Detección, ataque previo, acceso inicial, movimiento lateral |
| SAP: asignación de un perfil confidencial | Identifica nuevas asignaciones de un perfil confidencial a un usuario. Mantener perfiles confidenciales en la lista de reproducción SAP - Perfiles confidenciales . |
Asigne un perfil a un usuario mediante SU01. Orígenes de datos: SAPcon: registro de documentos modificados |
Elevación de privilegios |
| SAP: asignación de un rol confidencial | Identifica las nuevas asignaciones de un rol confidencial para un usuario. Mantenga roles confidenciales en la lista de reproducción SAP - Roles confidenciales . |
Asigne un rol a un usuario mediante SU01 / PFCG. Orígenes de datos: SAPcon: registro de documentos modificados, registro de auditoría |
Elevación de privilegios |
| SAP - (PREVIEW) Asignación de autorizaciones críticas: nuevo valor de autorización | Identifica la asignación de un valor de objeto de autorización crítico a un nuevo usuario. Mantenga objetos de autorización críticos en la lista de reproducción SAP - Objetos de autorización críticos . |
Asigne un nuevo objeto de autorización o actualice uno existente en un rol mediante PFCG. Orígenes de datos: SAPcon: registro de documentos modificados |
Elevación de privilegios |
| SAP: asignación de autorizaciones críticas: nueva asignación de usuario | Identifica la asignación de un valor de objeto de autorización crítico a un nuevo usuario. Mantenga objetos de autorización críticos en la lista de reproducción SAP - Objetos de autorización críticos . |
Asigne un nuevo usuario a un rol que contenga valores de autorización críticos mediante SU01/PFCG. Orígenes de datos: SAPcon: registro de documentos modificados |
Elevación de privilegios |
| SAP: cambios de roles confidenciales | Identifica los cambios en los roles confidenciales. Mantenga roles confidenciales en la lista de reproducción SAP - Roles confidenciales . |
Cambie un rol mediante PFCG. Orígenes de datos: SAPcon - Registro de documentos modificados, SAPcon : registro de auditoría |
Impacto, escalación de privilegios, persistencia |
Supervisión del registro de auditoría de SAP
Muchas de las reglas de análisis de la solución Microsoft Sentinel para aplicaciones SAP usan datos de registro de auditoría de SAP. Algunas reglas de análisis buscan eventos específicos en el registro, mientras que otras correlacionan las indicaciones de varios registros para crear alertas e incidentes de alta fidelidad.
Use las siguientes reglas de análisis para supervisar todos los eventos de registro de auditoría en el sistema SAP o desencadenar alertas solo cuando se detecten anomalías:
| Nombre de regla | Descripción |
|---|---|
| SAP: falta la configuración en el Monitor de registro de auditoría de seguridad dinámica | De forma predeterminada, se ejecuta diariamente para proporcionar recomendaciones de configuración para el módulo de registro de auditoría de SAP. Use la plantilla de regla para crear y personalizar una regla para el área de trabajo. |
| SAP: Monitor de registro de auditoría determinista dinámica (VERSIÓN PRELIMINAR) | De forma predeterminada, se ejecuta cada 10 minutos y se centra en los eventos de registro de auditoría de SAP marcados como deterministas. Use la plantilla de regla para crear y personalizar una regla para el área de trabajo, como para una tasa de falsos positivos más baja. Esta regla requiere umbrales de alerta deterministas y reglas de exclusión de usuarios. |
| SAP: alertas de Monitor de registro de auditoría basadas en anomalías dinámicas (VERSIÓN PRELIMINAR) | De forma predeterminada, se ejecuta cada hora y se centra en los eventos de SAP marcados como AnomaliesOnly, alertando sobre los eventos de registro de auditoría de SAP cuando se detectan anomalías. Esta regla aplica algoritmos de aprendizaje automático adicionales para filtrar el ruido de fondo de forma no supervisada. |
De forma predeterminada, la mayoría de los tipos de eventos o identificadores de mensaje de SAP en el registro de auditoría de SAP se envían a la regla de análisis de alertas de monitor de registro de auditoría (VERSIÓN PRELIMINAR) basadas en anomalías dinámicas, mientras que los tipos de eventos más fáciles de definir se envían a la regla de análisis determinista del Monitor de registro de auditoría determinista dinámico (VERSIÓN PRELIMINAR). Esta configuración, junto con otras opciones relacionadas, se puede configurar para adaptarse a cualquier condición del sistema.
Las reglas de supervisión de registros de auditoría de SAP se entregan como parte de la Microsoft Sentinel para el contenido de seguridad de la solución SAP y permiten un ajuste adicional mediante las listas de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration y SAP_User_Config.
Por ejemplo, en la tabla siguiente se enumeran varios ejemplos de cómo puede usar la lista de seguimiento de SAP_Dynamic_Audit_Log_Monitor_Configuration para configurar los tipos de eventos que generan incidentes, lo que reduce el número de incidentes generados.
| Opción | Description |
|---|---|
| Establecimiento de gravedades y deshabilitación de eventos no deseados | De forma predeterminada, tanto las reglas deterministas como las reglas basadas en anomalías crean alertas para eventos marcados con gravedades medias y altas. Es posible que desee configurar las gravedades por separado en entornos de producción y no producción. Por ejemplo, puede establecer un evento de actividad de depuración como alta gravedad en los sistemas de producción y desactivar los mismos eventos completamente en sistemas que no son de producción. |
| Excluir usuarios por sus roles de SAP o perfiles de SAP | Microsoft Sentinel para SAP ingiere el perfil de autorización del usuario de SAP, incluidas las asignaciones de roles directas e indirectas, los grupos y los perfiles, para que pueda hablar el lenguaje SAP en siem. Es posible que quiera configurar un evento de SAP para excluir usuarios en función de sus roles y perfiles de SAP. En la lista de reproducción, agregue los roles o perfiles que agrupan los usuarios de la interfaz RFC en la columna RolesTagsToExclude , junto al evento Acceso a tablas genéricas por RFC . Esta configuración desencadena alertas solo para los usuarios a los que les faltan estos roles. |
| Exclusión de usuarios por sus etiquetas soc | Use etiquetas para crear su propia agrupación, sin depender de definiciones de SAP complicadas o incluso sin autorización de SAP. Este método es útil para los equipos soc que quieren crear su propia agrupación para los usuarios de SAP. Por ejemplo, si no desea que se alerte a cuentas de servicio específicas para el acceso a tablas genéricas mediante eventos RFC , pero no puede encontrar un rol de SAP o un perfil de SAP que alogre a estos usuarios, use etiquetas como se indica a continuación: 1. Agregue la etiqueta GenTableRFCReadOK junto al evento correspondiente en la lista de reproducción. 2. Vaya a la lista de reproducción de SAP_User_Config y asigne a los usuarios de la interfaz la misma etiqueta. |
| Especificar un umbral de frecuencia por tipo de evento y rol del sistema | Funciona como un límite de velocidad. Por ejemplo, puede configurar eventos de cambio de registro maestro de usuario para que solo desencadenen alertas si el mismo usuario de un sistema de producción observa más de 12 actividades en una hora. Si un usuario supera el límite de 12 por hora (por ejemplo, 2 eventos en una ventana de 10 minutos), se desencadena un incidente. |
| Determinismo o anomalías | Si conoce las características del evento, use las funcionalidades deterministas. Si no está seguro de cómo configurar correctamente el evento, permita que las funcionalidades de aprendizaje automático decidan iniciarse y, a continuación, realice las actualizaciones posteriores según sea necesario. |
| Funcionalidades de SOAR | Use Microsoft Sentinel para organizar, automatizar y responder a los incidentes creados por las alertas dinámicas del registro de auditoría de SAP. Para obtener más información, vea Automatización en Microsoft Sentinel: orquestación, automatización y respuesta de seguridad (SOAR). |
Para obtener más información, consulte Listas de reproducción disponibles y Microsoft Sentinel para SAP News - Dynamic SAP Security Audit Log Monitor feature available now! (blog).
Acceso inicial
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: inicio de sesión desde una red inesperada | Identifica un inicio de sesión desde una red inesperada. Mantener redes en la lista de reproducción SAP - Redes . |
Inicie sesión en el sistema back-end desde una dirección IP que no esté asignada a una de las redes. Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial |
| ATAQUE DE SAP - SPNEGO | Identifica el ataque de reproducción de SPNego. | Orígenes de datos: SAPcon: registro de auditoría | Impacto, movimiento lateral |
| SAP: intento de inicio de sesión de diálogo de un usuario con privilegios | Identifica los intentos de inicio de sesión de diálogo, con el tipo AUM , por parte de usuarios con privilegios en un sistema SAP. Para obtener más información, vea SAPUsersGetPrivileged. | Intentar iniciar sesión desde la misma dirección IP a varios sistemas o clientes dentro del intervalo de tiempo programado Orígenes de datos: SAPcon: registro de auditoría |
Impacto, movimiento lateral |
| SAP: ataques por fuerza bruta | Identifica ataques por fuerza bruta en el sistema SAP mediante inicios de sesión RFC | Intentar iniciar sesión desde la misma dirección IP a varios sistemas o clientes dentro del intervalo de tiempo programado mediante RFC Orígenes de datos: SAPcon: registro de auditoría |
Acceso a credenciales |
| SAP: varios inicios de sesión por IP | Identifica el inicio de sesión de varios usuarios desde la misma dirección IP dentro de un intervalo de tiempo programado. Caso de subconsulta: persistencia |
Inicie sesión con varios usuarios a través de la misma dirección IP. Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial |
| SAP: varios inicios de sesión por usuario | Identifica los inicios de sesión del mismo usuario desde varios terminales dentro del intervalo de tiempo programado. Solo está disponible a través del método Audit SAL, para las versiones 7.5 y posteriores de SAP. |
Inicie sesión con el mismo usuario, con direcciones IP diferentes. Orígenes de datos: SAPcon: registro de auditoría |
Ataque previo, Acceso a credenciales, Acceso inicial, Colección Caso de subconsulta: persistencia |
Filtración de datos
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: FTP para servidores no autorizados | Identifica una conexión FTP para un servidor nonauthorized. | Cree una nueva conexión FTP, como mediante el módulo de funciones de FTP_CONNECT. Orígenes de datos: SAPcon: registro de auditoría |
Detección, acceso inicial, comando y control |
| SAP: configuración de servidores FTP no seguros | Identifica configuraciones de servidor FTP no seguras, como cuando una lista de permitidos ftp está vacía o contiene marcadores de posición. | No mantenga valores que contengan marcadores de posición en la SAPFTP_SERVERS tabla mediante la vista de SAPFTP_SERVERS_V mantenimiento. (SM30) Orígenes de datos: SAPcon: registro de auditoría |
Acceso, comando y control iniciales |
| SAP: descarga de varios Files | Identifica varias descargas de archivos para un usuario dentro de un intervalo de tiempo específico. | Descargue varios archivos mediante SAPGui para Excel, listas, etc. Orígenes de datos: SAPcon: registro de auditoría |
Collection, Exfiltration, Credential Access |
| SAP: acceso directo a tablas confidenciales por inicio de sesión RFC | Identifica el acceso a una tabla genérica mediante el inicio de sesión rfc. Mantener tablas en la lista de reproducción SAP - Tablas confidenciales . Relevante solo para sistemas de producción. |
Abra el contenido de la tabla mediante SE11/SE16/SE16N. Orígenes de datos: SAPcon: registro de auditoría |
Collection, Exfiltration, Credential Access |
| SAP: destino RFC dinámico | Identifica la ejecución de RFC mediante destinos dinámicos. Caso de subconsulta: intentos de omitir los mecanismos de seguridad de SAP |
Ejecute un informe de ABAP que use destinos dinámicos (cl_dynamic_destination). Por ejemplo, DEMO_RFC_DYNAMIC_DEST. Orígenes de datos: SAPcon: registro de auditoría |
Colección, filtración |
| SAP: acceso directo a tablas confidenciales por inicio de sesión del cuadro de diálogo | Identifica el acceso a tablas genéricas mediante el inicio de sesión en el cuadro de diálogo. | Abra el contenido de la tabla mediante SE11SE16N/SE16/. Orígenes de datos: SAPcon: registro de auditoría |
Descubrimiento |
| SAP: archivo (versión preliminar) descargado de una dirección IP malintencionada | Identifica la descarga de un archivo de un sistema SAP mediante una dirección IP que se sabe que es malintencionada. Las direcciones IP malintencionadas se obtienen de los servicios de inteligencia sobre amenazas. | Descargue un archivo desde una dirección IP malintencionada. Orígenes de datos: registro de auditoría de seguridad de SAP, Inteligencia sobre amenazas |
Filtración |
| SAP: (versión preliminar) Datos confidenciales guardados en una unidad USB | Identifica la exportación de datos de SAP a través de archivos. La regla comprueba si hay datos guardados en una unidad USB montada recientemente cerca de una ejecución de una transacción confidencial, un programa confidencial o acceso directo a una tabla confidencial. | Exporte datos de SAP a través de archivos y guárdelos en una unidad USB. Orígenes de datos: Registro de auditoría de seguridad de SAP, DeviceFileEvents (Microsoft Defender para punto de conexión), SAP - Tablas confidenciales, SAP - Transacciones confidenciales, SAP - Programas confidenciales |
Filtración |
| SAP: (versión preliminar) Alto volumen de datos potencialmente confidenciales exportados | Identifica la exportación de un gran volumen de datos a través de archivos cercanos a la ejecución de una transacción confidencial, un programa confidencial o el acceso directo a la tabla confidencial. | Exporte un gran volumen de datos a través de archivos. Orígenes de datos: Registro de auditoría de seguridad de SAP, SAP - Tablas confidenciales, SAP - Transacciones confidenciales, SAP - Programas confidenciales |
Filtración |
Persistencia
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: módulo de funciones probado | Identifica las pruebas de un módulo de función. | Pruebe un módulo de funciones mediante SE37 / SE80. Orígenes de datos: SAPcon: registro de auditoría |
Colección, Evasión de defensa, Movimiento lateral |
| SAP : (VERSIÓN PRELIMINAR) HANA DB: acciones de Administración de usuario | Identifica las acciones de administración de usuarios. | Cree, actualice o elimine un usuario de base de datos. Orígenes de datos: agente de Linux : Syslog* |
Elevación de privilegios |
| SAP: ejecución de un módulo de funciones obsoleto o no seguro | Identifica la ejecución de un módulo de función ABAP obsoleto o no seguro. Mantener funciones obsoletas en la lista de seguimiento de módulos de funciones obsoletos de SAP . Asegúrese de activar los cambios de registro de tabla para la EUFUNC tabla en el back-end. (SE13)Relevante solo para sistemas de producción. |
Ejecute un módulo de funciones obsoleto o no seguro directamente con SE37. Orígenes de datos: SAPcon: registro de datos de tabla |
Detección, comando y control |
| SAP: ejecución de un programa obsoleto o no seguro | Identifica la ejecución de un programa ABAP obsoleto o no seguro. Mantenga programas obsoletos en la lista de reproducción SAP - Programas obsoletos . Relevante solo para sistemas de producción. |
Ejecute un programa directamente con SE38/SA38/SE80 o mediante un trabajo en segundo plano. Orígenes de datos: SAPcon: registro de auditoría |
Detección, comando y control |
| SAP: varios cambios de contraseña | Identifica varios cambios de contraseña por usuario. | Cambiar contraseña de usuario Orígenes de datos: SAPcon: registro de auditoría |
Acceso a credenciales |
Intentos de omitir mecanismos de seguridad de SAP
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: cambio de configuración de cliente | Identifica los cambios en la configuración del cliente, como el rol de cliente o el modo de grabación de cambios. | Realice cambios en la configuración del cliente mediante el código de SCC4 transacción. Orígenes de datos: SAPcon: registro de auditoría |
Evasión de defensa, filtración, persistencia |
| SAP: los datos han cambiado durante la actividad de depuración | Identifica los cambios de los datos en tiempo de ejecución durante una actividad de depuración. Caso de subconsulta: persistencia |
1. Active Depurar ("/h"). 2. Seleccione un campo para cambiar y actualice su valor. Orígenes de datos: SAPcon: registro de auditoría |
Ejecución, movimiento lateral |
| SAP: desactivación del registro de auditoría de seguridad | Identifica la desactivación del registro de auditoría de seguridad, | Deshabilite el registro de auditoría de seguridad mediante SM19/RSAU_CONFIG. Orígenes de datos: SAPcon: registro de auditoría |
Filtración, evasión de defensa, persistencia |
| SAP: ejecución de un programa ABAP confidencial | Identifica la ejecución directa de un programa ABAP confidencial. Mantenga los programas ABAP en la lista de reproducción SAP - Sensitive ABAP Programs (SAP - Sensitive ABAP Programs ). |
Ejecute un programa directamente mediante SE38//SA38SE80. Orígenes de datos: SAPcon: registro de auditoría |
Filtración, movimiento lateral, ejecución |
| SAP: ejecución de un código de transacción confidencial | Identifica la ejecución de un código de transacción confidencial. Mantenga los códigos de transacción en la lista de reproducción SAP - Códigos de transacción confidenciales . |
Ejecute un código de transacción confidencial. Orígenes de datos: SAPcon: registro de auditoría |
Detección, ejecución |
| SAP: ejecución del módulo de funciones confidenciales | Identifica la ejecución de un módulo de función ABAP confidencial. Caso de subconsulta: persistencia Relevante solo para sistemas de producción. Mantenga funciones confidenciales en la lista de seguimiento SAP - Módulos de función confidencial y asegúrese de activar los cambios de registro de tabla en el back-end para la tabla EUFUNC. (SE13) |
Ejecute un módulo de función confidencial directamente con SE37. Orígenes de datos: SAPcon: registro de datos de tabla |
Detección, comando y control |
| SAP : (VERSIÓN PRELIMINAR) HANA DB: auditar los cambios de directiva de seguimiento | Identifica los cambios de las directivas de seguimiento de auditoría de la base de datos de HANA. | Cree o actualice la directiva de auditoría existente en las definiciones de seguridad. Orígenes de datos: agente de Linux: Syslog |
Movimiento lateral, Evasión de defensa, Persistencia |
| SAP : (VERSIÓN PRELIMINAR) HANA DB: desactivación del seguimiento de auditoría | Identifica la desactivación del registro de auditoría de la base de datos de HANA. | Desactive el registro de auditoría en la definición de seguridad de la base de datos de HANA. Orígenes de datos: agente de Linux: Syslog |
Persistencia, Movimiento lateral, Evasión de defensa |
| SAP: ejecución remota no autorizada de un módulo de funciones confidenciales | Detecta ejecuciones no autorizadas de máquinas virtuales confidenciales comparando la actividad con el perfil de autorización del usuario sin tener en cuenta las autorizaciones modificadas recientemente. Mantenga los módulos de función en la lista de reproducción SAP - Módulos de función confidencial . |
Ejecute un módulo de funciones mediante RFC. Orígenes de datos: SAPcon: registro de auditoría |
Ejecución, movimiento lateral, detección |
| SAP: cambio de configuración del sistema | Identifica los cambios en la configuración del sistema. | Adapte las opciones de cambio del sistema o la modificación de componentes de software mediante el código de SE06 transacción.Orígenes de datos: SAPcon: registro de auditoría |
Filtración, evasión de defensa, persistencia |
| SAP: actividades de depuración | Identifica todas las actividades relacionadas con la depuración. Caso de subconsulta: persistencia |
Active Depurar ("/h") en el sistema, depure un proceso activo, agregue un punto de interrupción al código fuente, etc. Orígenes de datos: SAPcon: registro de auditoría |
Descubrimiento |
| SAP: cambio de configuración del registro de auditoría de seguridad | Identifica los cambios en la configuración del registro de auditoría de seguridad. | Cambie cualquier configuración de registro de auditoría de seguridad mediante SM19/RSAU_CONFIG, como los filtros, el estado, el modo de grabación, etc. Orígenes de datos: SAPcon: registro de auditoría |
Persistencia, filtración, evasión de defensa |
| SAP: la transacción está desbloqueada | Identifica el desbloqueo de una transacción. | Desbloquee un código de transacción mediante SM01SM01_CUS/SM01_DEV/. Orígenes de datos: SAPcon: registro de auditoría |
Persistencia, ejecución |
| SAP: programa ABAP dinámico | Identifica la ejecución de la programación dinámica de ABAP. Por ejemplo, cuando el código ABAP se creó, cambió o eliminó dinámicamente. Mantenga los códigos de transacción excluidos en la lista de reproducción SAP - Transacciones para generaciones de ABAP . |
Cree un informe de ABAP que use comandos de generación de programas ABAP, como INSERT REPORT, y, a continuación, ejecute el informe. Orígenes de datos: SAPcon: registro de auditoría |
Detección, comando y control, impacto |
Operaciones de privilegios sospechosos
| Nombre de regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP: cambio en un usuario con privilegios confidenciales | Identifica los cambios de los usuarios con privilegios confidenciales. Mantener usuarios con privilegios en la lista de reproducción SAP - Usuarios con privilegios . |
Cambie los detalles de usuario o las autorizaciones mediante SU01. Orígenes de datos: SAPcon: registro de auditoría |
Escalación de privilegios, acceso a credenciales |
| SAP : (VERSIÓN PRELIMINAR) HANA DB: asignación de autorizaciones de Administración | Identifica los privilegios de administrador o la asignación de roles. | Asigne un usuario con cualquier rol de administrador o privilegios. Orígenes de datos: agente de Linux: Syslog |
Elevación de privilegios |
| SAP: usuario con privilegios confidenciales que ha iniciado sesión | Identifica el inicio de sesión del cuadro de diálogo de un usuario con privilegios confidenciales. Mantener usuarios con privilegios en la lista de reproducción SAP - Usuarios con privilegios . |
Inicie sesión en el sistema back-end mediante SAP* u otro usuario con privilegios. Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial, Acceso a credenciales |
| SAP: el usuario con privilegios confidenciales realiza un cambio en otro usuario | Identifica los cambios de usuarios confidenciales con privilegios en otros usuarios. | Cambie los detalles o autorizaciones del usuario mediante SU01. Orígenes de datos: SAPcon: registro de auditoría |
Escalación de privilegios, acceso a credenciales |
| SAP: cambio e inicio de sesión de contraseña de usuarios confidenciales | Identifica los cambios de contraseña para los usuarios con privilegios. | Cambie la contraseña de un usuario con privilegios e inicie sesión en el sistema. Mantener usuarios con privilegios en la lista de reproducción SAP - Usuarios con privilegios . Orígenes de datos: SAPcon: registro de auditoría |
Impacto, comando y control, escalación de privilegios |
| SAP: el usuario crea y usa un nuevo usuario | Identifica un usuario que crea y usa otros usuarios. Caso de subconsulta: persistencia |
Cree un usuario con SU01 e inicie sesión con el usuario recién creado y la misma dirección IP. Orígenes de datos: SAPcon: registro de auditoría |
Detección, ataque previo, acceso inicial |
| SAP: el usuario desbloquea y usa otros usuarios | Identifica un usuario que otros usuarios desbloquean y usan. Caso de subconsulta: persistencia |
Desbloquee un usuario mediante SU01 e inicie sesión con el usuario desbloqueado y la misma dirección IP. Orígenes de datos: SAPcon - Registro de auditoría, SAPcon - Registro de documentos modificados |
Detección, ataque previo, acceso inicial, movimiento lateral |
| SAP: asignación de un perfil confidencial | Identifica nuevas asignaciones de un perfil confidencial a un usuario. Mantener perfiles confidenciales en la lista de reproducción SAP - Perfiles confidenciales . |
Asigne un perfil a un usuario mediante SU01. Orígenes de datos: SAPcon: registro de documentos modificados |
Elevación de privilegios |
| SAP: asignación de un rol confidencial | Identifica las nuevas asignaciones de un rol confidencial para un usuario. Mantenga roles confidenciales en la lista de reproducción SAP - Roles confidenciales . |
Asigne un rol a un usuario mediante SU01 / PFCG. Orígenes de datos: SAPcon: registro de documentos modificados, registro de auditoría |
Elevación de privilegios |
| SAP - (PREVIEW) Asignación de autorizaciones críticas: nuevo valor de autorización | Identifica la asignación de un valor de objeto de autorización crítico a un nuevo usuario. Mantenga objetos de autorización críticos en la lista de reproducción SAP - Objetos de autorización críticos . |
Asigne un nuevo objeto de autorización o actualice uno existente en un rol mediante PFCG. Orígenes de datos: SAPcon: registro de documentos modificados |
Elevación de privilegios |
| SAP: asignación de autorizaciones críticas: nueva asignación de usuario | Identifica la asignación de un valor de objeto de autorización crítico a un nuevo usuario. Mantenga objetos de autorización críticos en la lista de reproducción SAP - Objetos de autorización críticos . |
Asigne un nuevo usuario a un rol que contenga valores de autorización críticos mediante SU01/PFCG. Orígenes de datos: SAPcon: registro de documentos modificados |
Elevación de privilegios |
| SAP: cambios de roles confidenciales | Identifica los cambios en los roles confidenciales. Mantenga roles confidenciales en la lista de reproducción SAP - Roles confidenciales . |
Cambie un rol mediante PFCG. Orígenes de datos: SAPcon - Registro de documentos modificados, SAPcon : registro de auditoría |
Impacto, escalación de privilegios, persistencia |
Listas de reproducción disponibles
En la tabla siguiente se enumeran las listas de reproducción disponibles para la solución de Microsoft Sentinel para aplicaciones SAP y los campos de cada lista de reproducción.
Estas listas de reproducción proporcionan la configuración de la solución de Microsoft Sentinel para las aplicaciones sap. Las listas de seguimiento de SAP están disponibles en el repositorio de GitHub Microsoft Sentinel.
| Nombre de la lista de reproducción | Descripción y campos |
|---|---|
| SAP: autorizaciones críticas | Objeto Authorizations crítico, donde se deben regir las asignaciones. - AuthorizationObject: un objeto de autorización de SAP, como S_DEVELOP, S_TCODEo Table TOBJ - AuthorizationField: un campo de autorización de SAP, como OBJTYP o TCD - AuthorizationValue: un valor de campo de autorización de SAP, como DEBUG - ActivityField : campo de actividad de SAP. En la mayoría de los casos, este valor es ACTVT. En el caso de los objetos Authorizations sin una actividad, o con solo un campo Activity , rellenado con NOT_IN_USE. - Actividad: actividad de SAP, según el objeto de autorización, como: : 01Crear; 02: Cambiar; 03: Mostrar, etc. - Descripción: una descripción significativa del objeto de autorización crítica. |
| SAP: redes excluidas | Para el mantenimiento interno de redes excluidas, como omitir distribuidores web, servidores terminales, etc. - Red: una dirección IP de red o un intervalo, como 111.68.128.0/17. - Descripción: una descripción de red significativa. |
| Usuarios excluidos de SAP | Los usuarios del sistema que han iniciado sesión en el sistema y que deben omitirse. Por ejemplo, alertas de varios inicios de sesión por parte del mismo usuario. - Usuario: Usuario de SAP - Descripción: una descripción de usuario significativa. |
| SAP: redes | Redes internas y de mantenimiento para la identificación de inicios de sesión no autorizados. - Red: dirección IP de red o intervalo, como 111.68.128.0/17 - Descripción: una descripción de red significativa. |
| SAP: usuarios con privilegios | Usuarios con privilegios que están bajo restricciones adicionales. - Usuario: el usuario de ABAP, como DDIC o SAP - Descripción: una descripción de usuario significativa. |
| SAP: programas ABAP confidenciales | Programas ABAP confidenciales (informes), donde la ejecución debe regirse. - ABAPProgram: programa o informe de ABAP, como RSPFLDOC - Descripción: una descripción significativa del programa. |
| SAP: módulo de funciones confidenciales | Redes internas y de mantenimiento para la identificación de inicios de sesión no autorizados. - FunctionModule: un módulo de función de ABAP, como RSAU_CLEAR_AUDIT_LOG - Descripción: una descripción significativa del módulo. |
| SAP: perfiles confidenciales | Perfiles confidenciales, donde las asignaciones deben regirse. - Perfil: perfil de autorización de SAP, como SAP_ALL o SAP_NEW - Descripción: una descripción significativa del perfil. |
| SAP: tablas confidenciales | Tablas confidenciales, donde se debe gobernar el acceso. - Tabla: tabla de diccionario de ABAP, como USR02 o PA008 - Descripción: una descripción significativa de la tabla. |
| SAP: roles confidenciales | Roles confidenciales, donde la asignación debe regirse. - Rol: rol de autorización de SAP, como SAP_BC_BASIS_ADMIN - Descripción: una descripción de rol significativa. |
| SAP: transacciones confidenciales | Transacciones confidenciales en las que se debe gobernar la ejecución. - TransactionCode: código de transacción de SAP, como RZ11 - Descripción: una descripción de código significativa. |
| SAP: sistemas | Describe el panorama de los sistemas SAP según el rol, el uso y la configuración. - SystemID: el identificador del sistema SAP (SYSID) - SystemRole: el rol del sistema SAP, uno de los valores siguientes: Sandbox, Development, Quality Assurance, , Training, Production - SystemUsage: el uso del sistema SAP, uno de los valores siguientes: ERP, BW, Solman, , GatewayEnterprise Portal - InterfaceAttributes: un parámetro dinámico opcional para su uso en cuadernos de estrategias. |
| SAPSystemParameters | Parámetros para detectar cambios de configuración sospechosos. Esta lista de reproducción se rellena previamente con los valores recomendados (según el procedimiento recomendado de SAP) y puede ampliar la lista de reproducción para incluir más parámetros. Si no desea recibir alertas de un parámetro, establezca en EnableAlertsfalse.- ParameterName: nombre del parámetro. - Comentario: descripción del parámetro estándar de SAP. - EnableAlerts: define si se deben habilitar las alertas para este parámetro. Los valores son true y false.- Opción: define en qué caso desencadenar una alerta: si el valor del parámetro es mayor o igual ( GE), menor o igual (LE) o igual (EQ)Por ejemplo, si el login/fails_to_user_lock parámetro SAP está establecido en LE (menor o igual) y un valor de 5, una vez Microsoft Sentinel detecta un cambio en este parámetro específico, compara el valor recién notificado y el valor esperado. Si el nuevo valor es 4, Microsoft Sentinel no desencadena una alerta. Si el nuevo valor es 6, Microsoft Sentinel desencadena una alerta.- ProductionSeverity: gravedad del incidente para los sistemas de producción. - ProductionValues: valores permitidos para sistemas de producción. - NonProdSeverity: la gravedad del incidente para los sistemas que no son de producción. - NonProdValues: valores permitidos para sistemas que no son de producción. |
| SAP: usuarios excluidos | Usuarios del sistema que han iniciado sesión y que deben omitirse, como para la alerta Varios inicios de sesión por usuario. - Usuario: Usuario de SAP - Descripción: una descripción de usuario significativa |
| SAP: redes excluidas | Mantenga redes internas excluidas para omitir distribuidores web, servidores terminales, etc. - Red: dirección IP de red o intervalo, como 111.68.128.0/17 - Descripción: una descripción de red significativa |
| SAP: módulos de funciones obsoletos | Módulos de función obsoletos, cuya ejecución debe regirse. - FunctionModule: módulo de funciones de ABAP, como TH_SAPREL - Descripción: una descripción significativa del módulo de funciones |
| SAP: programas obsoletos | Programas ABAP obsoletos (informes), cuya ejecución debe regirse. - Programa ABAPProgram:ABAP, como TH_ RSPFLDOC - Descripción: una descripción significativa del programa ABAP |
| SAP: transacciones para generaciones de ABAP | Transacciones para generaciones de ABAP cuya ejecución debe regirse. - TransactionCode: código de transacción, como SE11. - Descripción: una descripción significativa del código de transacción |
| SAP: servidores FTP | Servidores FTP para la identificación de conexiones no autorizadas. - Cliente: como 100. - FTP_Server_Name: nombre del servidor FTP, como http://contoso.com/ - FTP_Server_Port: puerto de servidor FTP, como 22. - DescripciónUna descripción significativa del servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure las alertas de registro de auditoría de SAP asignando a cada identificador de mensaje un nivel de gravedad según sea necesario por rol del sistema (producción, no producción). En esta lista de seguimiento se detallan todos los identificadores de mensaje de registro de auditoría estándar de SAP disponibles. La lista de reproducción se puede ampliar para contener identificadores de mensaje adicionales que puede crear por su cuenta mediante mejoras de ABAP en sus sistemas SAP NetWeaver. Esta lista de reproducción también permite configurar un equipo designado para controlar cada uno de los tipos de eventos y excluir a los usuarios por roles de SAP, perfiles de SAP o etiquetas de la lista de reproducción de SAP_User_Config . Esta lista de reproducción es uno de los componentes principales que se usan para configurar las reglas de análisis de SAP integradas para supervisar el registro de auditoría de SAP. Para obtener más información, consulte Supervisión del registro de auditoría de SAP. - MessageID: el identificador de mensaje de SAP o el tipo de evento, como AUD (cambios en el registro maestro de usuario) o AUB (cambios de autorización). - DetailedDescription: una descripción habilitada para Markdown que se mostrará en el panel de incidentes. - ProductionSeverity: la gravedad deseada para el incidente con el que se va a crear para los sistemas Highde producción , Medium. Se puede establecer como Disabled. - NonProdSeverity: la gravedad deseada para el incidente con el que se va a crear para sistemas Highque no son de producción , Medium. Se puede establecer como Disabled. - ProductionThreshold Recuento "por hora" de eventos que se van a considerar sospechosos para los sistemas 60de producción . - NonProdThreshold Recuento "por hora" de eventos que se van a considerar sospechosos para sistemas 10que no son de producción. - RolesTagsToExclude: este campo acepta el nombre de rol de SAP, los nombres de perfil de SAP o las etiquetas de la lista de reproducción de SAP_User_Config. A continuación, se usan para excluir a los usuarios asociados de tipos de eventos específicos. Consulte las opciones de etiquetas de rol al final de esta lista. - RuleType: use Deterministic para que el tipo de evento se envíe a la regla SAP - Dynamic Deterministic Audit Log Monitor o AnomaliesOnly para que este evento esté cubierto por la regla SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Para obtener más información, consulte Supervisión del registro de auditoría de SAP. - TeamsChannelID: un parámetro dinámico opcional para su uso en cuadernos de estrategias. - DestinationEmail: un parámetro dinámico opcional para su uso en cuadernos de estrategias. Para el campo RolesTagsToExclude : - Si enumera roles de SAP o perfiles de SAP, esto excluye a cualquier usuario con los roles o perfiles enumerados de estos tipos de eventos para el mismo sistema SAP. Por ejemplo, si define el BASIC_BO_USERS rol ABAP para los tipos de eventos relacionados con RFC, los usuarios de Business Objects no desencadenarán incidentes al realizar llamadas RFC masivas.- El etiquetado de un tipo de evento es similar a especificar roles o perfiles de SAP, pero se pueden crear etiquetas en el área de trabajo, por lo que los equipos de SOC pueden excluir usuarios por actividad sin depender del equipo de SAP BASIS. Por ejemplo, a los identificadores de mensaje de auditoría AUB (cambios de autorización) y AUD (cambios de registro maestro de usuario) se les asigna la MassiveAuthChanges etiqueta . Los usuarios asignados a esta etiqueta se excluyen de las comprobaciones de estas actividades. La ejecución de la función del área de trabajo SAPAuditLogConfigRecommend genera una lista de etiquetas recomendadas que se van a asignar a los usuarios, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite ajustar las alertas excluyendo o incluyendo usuarios en contextos específicos y también se usa para configurar las reglas de análisis de SAP integradas para supervisar el registro de auditoría de SAP. Para obtener más información, consulte Supervisión del registro de auditoría de SAP. - SAPUser: el usuario de SAP - Etiquetas: las etiquetas se usan para identificar a los usuarios en relación con cierta actividad. Por ejemplo, agregar las etiquetas ["GenericTablebyRFCOK"] al usuario SENTINEL_SRV impedirá que se creen incidentes relacionados con RFC para este usuario específico. Otros identificadores de usuario de Active Directory - Identificador de usuario de AD - Sid local del usuario - Nombre principal de usuario |
| Nombre de la lista de reproducción | Descripción y campos |
|---|---|
| SAP: autorizaciones críticas | Objeto Authorizations crítico, donde se deben regir las asignaciones. - AuthorizationObject: un objeto de autorización de SAP, como S_DEVELOP, S_TCODEo Table TOBJ - AuthorizationField: un campo de autorización de SAP, como OBJTYP o TCD - AuthorizationValue: un valor de campo de autorización de SAP, como DEBUG - ActivityField : campo de actividad de SAP. En la mayoría de los casos, este valor es ACTVT. En el caso de los objetos Authorizations sin una actividad, o con solo un campo Activity , rellenado con NOT_IN_USE. - Actividad: actividad de SAP, según el objeto de autorización, como: : 01Crear; 02: Cambiar; 03: Mostrar, etc. - Descripción: una descripción significativa del objeto de autorización crítica. |
| SAP: redes excluidas | Para el mantenimiento interno de redes excluidas, como omitir distribuidores web, servidores terminales, etc. - Red: una dirección IP de red o un intervalo, como 111.68.128.0/17. - Descripción: una descripción de red significativa. |
| Usuarios excluidos de SAP | Los usuarios del sistema que han iniciado sesión en el sistema y que deben omitirse. Por ejemplo, alertas de varios inicios de sesión por parte del mismo usuario. - Usuario: Usuario de SAP - Descripción: una descripción de usuario significativa. |
| SAP: redes | Redes internas y de mantenimiento para la identificación de inicios de sesión no autorizados. - Red: dirección IP de red o intervalo, como 111.68.128.0/17 - Descripción: una descripción de red significativa. |
| SAP: usuarios con privilegios | Usuarios con privilegios que están bajo restricciones adicionales. - Usuario: el usuario de ABAP, como DDIC o SAP - Descripción: una descripción de usuario significativa. |
| SAP: programas ABAP confidenciales | Programas ABAP confidenciales (informes), donde la ejecución debe regirse. - ABAPProgram: programa o informe de ABAP, como RSPFLDOC - Descripción: una descripción significativa del programa. |
| SAP: módulo de funciones confidenciales | Redes internas y de mantenimiento para la identificación de inicios de sesión no autorizados. - FunctionModule: un módulo de función de ABAP, como RSAU_CLEAR_AUDIT_LOG - Descripción: una descripción significativa del módulo. |
| SAP: perfiles confidenciales | Perfiles confidenciales, donde las asignaciones deben regirse. - Perfil: perfil de autorización de SAP, como SAP_ALL o SAP_NEW - Descripción: una descripción significativa del perfil. |
| SAP: tablas confidenciales | Tablas confidenciales, donde se debe gobernar el acceso. - Tabla: tabla de diccionario de ABAP, como USR02 o PA008 - Descripción: una descripción significativa de la tabla. |
| SAP: roles confidenciales | Roles confidenciales, donde la asignación debe regirse. - Rol: rol de autorización de SAP, como SAP_BC_BASIS_ADMIN - Descripción: una descripción de rol significativa. |
| SAP: transacciones confidenciales | Transacciones confidenciales en las que se debe gobernar la ejecución. - TransactionCode: código de transacción de SAP, como RZ11 - Descripción: una descripción de código significativa. |
| SAP: sistemas | Describe el panorama de los sistemas SAP según el rol, el uso y la configuración. - SystemID: el identificador del sistema SAP (SYSID) - SystemRole: el rol del sistema SAP, uno de los valores siguientes: Sandbox, Development, Quality Assurance, , Training, Production - SystemUsage: el uso del sistema SAP, uno de los valores siguientes: ERP, BW, Solman, , GatewayEnterprise Portal - InterfaceAttributes: un parámetro dinámico opcional para su uso en cuadernos de estrategias. |
| SAP: usuarios excluidos | Usuarios del sistema que han iniciado sesión y que deben omitirse, como para la alerta Varios inicios de sesión por usuario. - Usuario: Usuario de SAP - Descripción: una descripción de usuario significativa |
| SAP: redes excluidas | Mantenga redes internas excluidas para omitir distribuidores web, servidores terminales, etc. - Red: dirección IP de red o intervalo, como 111.68.128.0/17 - Descripción: una descripción de red significativa |
| SAP: módulos de funciones obsoletos | Módulos de función obsoletos, cuya ejecución debe regirse. - FunctionModule: módulo de funciones de ABAP, como TH_SAPREL - Descripción: una descripción significativa del módulo de funciones |
| SAP: programas obsoletos | Programas ABAP obsoletos (informes), cuya ejecución debe regirse. - Programa ABAPProgram:ABAP, como TH_ RSPFLDOC - Descripción: una descripción significativa del programa ABAP |
| SAP: transacciones para generaciones de ABAP | Transacciones para generaciones de ABAP cuya ejecución debe regirse. - TransactionCode: código de transacción, como SE11. - Descripción: una descripción significativa del código de transacción |
| SAP: servidores FTP | Servidores FTP para la identificación de conexiones no autorizadas. - Cliente: como 100. - FTP_Server_Name: nombre del servidor FTP, como http://contoso.com/ - FTP_Server_Port: puerto de servidor FTP, como 22. - DescripciónUna descripción significativa del servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure las alertas de registro de auditoría de SAP asignando a cada identificador de mensaje un nivel de gravedad según sea necesario por rol del sistema (producción, no producción). En esta lista de seguimiento se detallan todos los identificadores de mensaje de registro de auditoría estándar de SAP disponibles. La lista de reproducción se puede ampliar para contener identificadores de mensaje adicionales que puede crear por su cuenta mediante mejoras de ABAP en sus sistemas SAP NetWeaver. Esta lista de reproducción también permite configurar un equipo designado para controlar cada uno de los tipos de eventos y excluir a los usuarios por roles de SAP, perfiles de SAP o etiquetas de la lista de reproducción de SAP_User_Config . Esta lista de reproducción es uno de los componentes principales que se usan para configurar las reglas de análisis de SAP integradas para supervisar el registro de auditoría de SAP. Para obtener más información, consulte Supervisión del registro de auditoría de SAP. - MessageID: el identificador de mensaje de SAP o el tipo de evento, como AUD (cambios en el registro maestro de usuario) o AUB (cambios de autorización). - DetailedDescription: una descripción habilitada para Markdown que se mostrará en el panel de incidentes. - ProductionSeverity: la gravedad deseada para el incidente con el que se va a crear para los sistemas Highde producción , Medium. Se puede establecer como Disabled. - NonProdSeverity: la gravedad deseada para el incidente con el que se va a crear para sistemas Highque no son de producción , Medium. Se puede establecer como Disabled. - ProductionThreshold Recuento "por hora" de eventos que se van a considerar sospechosos para los sistemas 60de producción . - NonProdThreshold Recuento "por hora" de eventos que se van a considerar sospechosos para sistemas 10que no son de producción. - RolesTagsToExclude: este campo acepta el nombre de rol de SAP, los nombres de perfil de SAP o las etiquetas de la lista de reproducción de SAP_User_Config. A continuación, se usan para excluir a los usuarios asociados de tipos de eventos específicos. Consulte las opciones de etiquetas de rol al final de esta lista. - RuleType: use Deterministic para que el tipo de evento se envíe a la regla SAP - Dynamic Deterministic Audit Log Monitor o AnomaliesOnly para que este evento esté cubierto por la regla SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Para obtener más información, consulte Supervisión del registro de auditoría de SAP. - TeamsChannelID: un parámetro dinámico opcional para su uso en cuadernos de estrategias. - DestinationEmail: un parámetro dinámico opcional para su uso en cuadernos de estrategias. Para el campo RolesTagsToExclude : - Si enumera roles de SAP o perfiles de SAP, esto excluye a cualquier usuario con los roles o perfiles enumerados de estos tipos de eventos para el mismo sistema SAP. Por ejemplo, si define el BASIC_BO_USERS rol ABAP para los tipos de eventos relacionados con RFC, los usuarios de Business Objects no desencadenarán incidentes al realizar llamadas RFC masivas.- El etiquetado de un tipo de evento es similar a especificar roles o perfiles de SAP, pero se pueden crear etiquetas en el área de trabajo, por lo que los equipos de SOC pueden excluir usuarios por actividad sin depender del equipo de SAP BASIS. Por ejemplo, a los identificadores de mensaje de auditoría AUB (cambios de autorización) y AUD (cambios de registro maestro de usuario) se les asigna la MassiveAuthChanges etiqueta . Los usuarios asignados a esta etiqueta se excluyen de las comprobaciones de estas actividades. La ejecución de la función del área de trabajo SAPAuditLogConfigRecommend genera una lista de etiquetas recomendadas que se van a asignar a los usuarios, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite ajustar las alertas excluyendo o incluyendo usuarios en contextos específicos y también se usa para configurar las reglas de análisis de SAP integradas para supervisar el registro de auditoría de SAP. Para obtener más información, consulte Supervisión del registro de auditoría de SAP. - SAPUser: el usuario de SAP - Etiquetas: las etiquetas se usan para identificar a los usuarios en relación con cierta actividad. Por ejemplo, agregar las etiquetas ["GenericTablebyRFCOK"] al usuario SENTINEL_SRV impedirá que se creen incidentes relacionados con RFC para este usuario específico. Otros identificadores de usuario de Active Directory - Identificador de usuario de AD - Sid local del usuario - Nombre principal de usuario |
Cuadernos de estrategias disponibles
Los cuadernos de estrategias proporcionados por Microsoft Sentinel solución para aplicaciones sap le ayudan a automatizar las cargas de trabajo de respuesta a incidentes de SAP, lo que mejora la eficacia y la eficacia de las operaciones de seguridad.
En esta sección se describen los cuadernos de estrategias de análisis integrados que se proporcionan junto con la solución Microsoft Sentinel para las aplicaciones de SAP.
| Nombre del cuaderno de estrategias | Parameters | Connections |
|---|---|---|
| Respuesta a incidentes de SAP: bloqueo de usuarios de Teams: básico | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Respuesta a incidentes de SAP: bloqueo del usuario de Teams: avanzado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Supervisar registros - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| Respuesta a incidentes de SAP: registro de auditoría que se puede volver a habilitar una vez desactivado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Supervisar registros - Microsoft Teams |
En las secciones siguientes se describen casos de uso de ejemplo para cada uno de los cuadernos de estrategias proporcionados, en un escenario en el que un incidente le advierte de actividad sospechosa en uno de los sistemas SAP, donde un usuario está intentando ejecutar una de estas transacciones altamente confidenciales.
Durante la fase de evaluación de incidentes, decide tomar medidas contra este usuario, expulsarlo de los sistemas SAP ERP o BTP o incluso desde Microsoft Entra ID.
Para obtener más información, consulte Automatización de la respuesta a amenazas con cuadernos de estrategias en Microsoft Sentinel
Por lo general, el proceso para implementar Standard aplicaciones lógicas es más complejo que para las aplicaciones lógicas de consumo. Hemos creado una serie de accesos directos para ayudarle a implementarlos rápidamente desde el repositorio de GitHub Microsoft Sentinel. Para obtener más información, vea Guía de instalación paso a paso.
Sugerencia
Vea la carpeta cuadernos de estrategias de SAP en el repositorio de GitHub para obtener más cuadernos de estrategias a medida que estén disponibles. También hay un breve vídeo introductorio (vínculo externo) que le ayudará a empezar.
Bloqueo de un usuario de un único sistema
Cree una regla de automatización para invocar el cuaderno de estrategias Bloquear usuario de Teams: básico siempre que se detecte una ejecución de transacción confidencial por parte de un usuario no autorizado. Este cuaderno de estrategias usa la característica de tarjetas adaptables de Teams para solicitar la aprobación antes de bloquear unilateralmente al usuario.
Para obtener más información, consulte Cobertura de seguridad de cero a héroe con Microsoft Sentinel para las señales de seguridad críticas de SAP: ¡me va a escuchar SOAR! Parte 1 (entrada de blog de SAP).
El cuaderno de estrategias Bloquear usuario de Teams- Básico es un cuaderno de estrategias Standard y Standard cuadernos de estrategias suelen ser más complejos de implementar que los cuadernos de estrategias de consumo.
Hemos creado una serie de accesos directos para ayudarle a implementarlos rápidamente desde el repositorio de GitHub Microsoft Sentinel. Para obtener más información, vea Guía de instalación paso a paso y Tipos de aplicaciones lógicas compatibles.
Bloqueo de un usuario de varios sistemas
El cuaderno de estrategias Lock user from Teams - Advanced logra el mismo objetivo, pero está diseñado para escenarios más complejos, lo que permite usar un cuaderno de estrategias único para varios sistemas SAP, cada uno con su propio SID de SAP.
El cuaderno de estrategias Lock user from Teams - Advanced administra sin problemas las conexiones a todos estos sistemas y sus credenciales, mediante el parámetro dinámico opcional InterfaceAttributes en la lista de reproducción SAP - Systems y Azure Key Vault.
El cuaderno de estrategias Bloquear usuario de Teams - Avanzadas también permite comunicarse con las partes en el proceso de aprobación mediante mensajes accionables de Outlook junto con Teams, mediante los parámetros TeamsChannelID y DestinationEmail en la lista de reproducción de SAP_Dynamic_Audit_Log_Monitor_Configuration .
Para obtener más información, consulte Cobertura de seguridad de cero a héroe con Microsoft Sentinel para las señales de seguridad críticas de SAP: parte 2 (entrada de blog de SAP).
Impedir la desactivación del registro de auditoría
También puede preocuparse por la desactivación del registro de auditoría de SAP, que es uno de los orígenes de datos de seguridad. Se recomienda crear una regla de automatización basada en la regla SAP - Desactivación de la regla de análisis de registros de auditoría de seguridad para invocar el registro de auditoría que se puede volver a habilitar una vez desactivado el cuaderno de estrategias para asegurarse de que el registro de auditoría de SAP no está desactivado.
El cuaderno de estrategias SAP - Desactivación del registro de auditoría de seguridad también usa Teams para informar al personal de seguridad después del hecho. La gravedad de la ofensa y la urgencia de su mitigación indican que se pueden tomar medidas inmediatas sin necesidad de aprobación.
Dado que el cuaderno de estrategias SAP - Desactivación del registro de auditoría de seguridad también usa Azure Key Vault para administrar las credenciales, la configuración del cuaderno de estrategias es similar a la del cuaderno de estrategias Bloqueo del usuario de Teams : avanzado. Para obtener más información, consulte Cobertura de seguridad de cero a héroe con Microsoft Sentinel para las señales de seguridad críticas de SAP: parte 3 (entrada de blog de SAP).
Contenido relacionado
Para obtener más información, consulte Implementación de Microsoft Sentinel solución para aplicaciones sap.