Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa kerrotaan suojaussisällöstä, joka on käytettävissä Microsoft Sentinel RATKAISUT SAP:lle.
Tärkeää
Tässä artikkelissa kuvatut elementit ovat esikatseluvaiheessa. Azure Esikatselun lisäehdot sisältävät muita oikeudellisia ehtoja, jotka koskevat Azure ominaisuuksia, jotka ovat beetaversiossa, esikatselussa tai muussa tapauksessa julkaisematta.
Käytettävissä oleva suojaussisältö sisältää sisäiset työkirjat ja analytiikkasäännöt. Voit myös lisätä SAP:iin liittyviä katselulistoja käytettäväksi haku-, havaitsemissäännöissä, uhkien metsästyksessä ja vastausten toistokirjoissa.
Tämän artikkelin sisältö on tarkoitettu suojaustiimillesi .
Sisäiset työkirjat
Seuraavien valmiiden työkirjojen avulla voit visualisoida ja valvoa TIETOJA, joita käytetään SAP-tietoliittimen kautta. Kun olet ottanut SAP-ratkaisun käyttöön, löydät SAP-työkirjat Mallit-välilehdeltä .
| Työkirjan nimi | Kuvaus | Lokit |
|---|---|---|
| SAP – Valvontalokin selain | Näyttää tiedot, kuten: - Järjestelmän yleinen kunto, mukaan lukien käyttäjän kirjautumiset ajan kuluessa, järjestelmän käyttämät tapahtumat, viestiluokat ja tunnukset sekä SUORITETTAVAT ABAP-ohjelmat -Järjestelmän tapahtumien vakavuusaste - todennus- ja valtuutustapahtumat, jotka tapahtuvat järjestelmässäsi |
Käyttää seuraavan lokin tietoja: ABAPAuditLog |
| SAP-valvontaohjausobjektit | Auttaa tarkistamaan SAP-ympäristösi suojauksen hallinnan, jotta voit noudattaa valitsemaasi ohjauskehystä, käyttämällä työkaluja, joiden avulla voit tehdä seuraavaa: – ympäristön analytiikkasääntöjen määrittäminen tietyille suojauksen valvonta- ja hallintaperheille – valvoa ja luokitella SAP-ratkaisuun perustuvien analytiikkasääntöjen luomia tapauksia - raportoi yhteensopivuuden |
Käyttää seuraavien taulukoiden tietoja: - SecurityAlert- SecurityIncident |
Lisätietoja on artikkelissa Opetusohjelma: Tietojen visualisointi ja valvonta sekä sap-sovellusten Microsoft Sentinel käyttöönotto.
Sisäiset analytiikkasäännöt
Tässä osiossa kuvataan joukko sisäisiä analytiikkasääntöjä, jotka annetaan yhdessä SAP Microsoft Sentinel sovellusten Microsoft Sentinel ratkaisun kanssa. Agenttiton tietoyhdistin toimii yhdistetyn lähdejoukon kanssa. Jos haluat uusimmat päivitykset, tarkista Microsoft Sentinel sisältökeskuksesta uudet ja päivitetyt säännöt.
Staattisten SAP-suojausparametrien määrityksen valvonta (esikatselu)
SAP-järjestelmän suojaamiseksi SAP on tunnistanut tietoturvaan liittyviä parametreja, joita on valvottava muutosten vuoksi. SAP - (esikatselu) Herkkä staattinen parametri on muuttunut -säännön avulla SAP-sovellusten Microsoft Sentinel ratkaisu seuraa yli 52 staattista suojaukseen liittyvää parametria SAP-järjestelmässä, jotka on sisäänrakennettu Microsoft Sentinel.
Huomautus
Jotta SAP-sovellusten Microsoft Sentinel ratkaisu voi valvoa SAP-suojausparametreja onnistuneesti, ratkaisun on valvottava SAP PAHI -taulukkoa säännöllisin väliajoin. Lisätietoja on kohdassa Varmista, että PAHI-taulukkoa päivitetään säännöllisin väliajoin.
Järjestelmän parametrimuutosten ymmärtämiseksi Microsoft Sentinel ratkaisu SAP-sovelluksille käyttää parametrihistoriataulukkoa, johon tallennetaan järjestelmän parametreihin tehdyt muutokset tunnin välein.
Parametrit näkyvät myös SAPSystemParameters-katseluluettelossa. Tämän katseluluettelon avulla käyttäjät voivat lisätä uusia parametreja, poistaa käytöstä olemassa olevia parametreja ja muokata parametrien ja järjestelmäroolin arvoja ja vakavuusasteita tuotanto- tai ei-tuotantoympäristöissä.
Kun johonkin näistä parametreista tehdään muutos, Microsoft Sentinel tarkistaa, liittyykö muutos tietoturvaan ja onko arvo määritetty suositeltujen arvojen mukaisesti. Jos muutoksen epäillään olevan turvavyöhykkeen ulkopuolella, Microsoft Sentinel luo tapahtuman, jossa on yksityiskohtainen muutos ja tunnistetaan, kuka muutoksen teki.
Tarkista tämän säännön valvomien parametrien luettelo .
SAP-valvontalokin valvonta
Monet sap Microsoft Sentinel sovellusten analytiikkasäännöt käyttävät SAP-valvontalokin tietoja. Jotkin analytiikkasäännöt etsivät tiettyjä tapahtumia lokista, kun taas toiset korreloivat viitteitä useista lokeista erittäin tarkkojen hälytysten ja tapausten luomiseksi.
Seuraavien analytiikkasääntöjen avulla voit joko valvoa kaikkia SAP-järjestelmän valvontalokitapahtumia tai käynnistää ilmoituksia vain, kun poikkeamia havaitaan:
| Säännön nimi | Kuvaus |
|---|---|
| SAP – Dynaamisen suojauksen valvontalokin valvonta -määritykset puuttuvat | Sap-valvontalokimoduulin määrityssuosituksia suoritetaan oletusarvoisesti päivittäin. Sääntömallin avulla voit luoda ja mukauttaa työtilan säännön. |
| SAP – dynaaminen deterministinen valvontalokin valvonta (ESIKATSELU) | Suoritetaan oletusarvoisesti 10 minuutin välein, ja siinä keskitytään SAP-valvontalokin tapahtumiin, jotka on merkitty deterministisiksi. Sääntömallin avulla voit luoda ja mukauttaa työtilaasi varten säännön, esimerkiksi pienemmän false-positiivisen hinnan. Tämä sääntö edellyttää deterministisiä ilmoitusten raja-arvoja ja käyttäjien poissulkemissääntöjä. |
| SAP – Dynaamiseen poikkeamaan perustuvat valvontalokin valvontailmoitukset (ESIKATSELU) | Suoritetaan oletusarvoisesti tunneittain ja keskitytään Poikkeavuuksiksi merkittyihin SAP-tapahtumiin Ja hälytetään SAP-valvontalokitapahtumista, kun poikkeamia havaitaan. Tämä sääntö käyttää automaattianalyysipalveluiden lisäalgoritmeja taustamelun suodattamiseksi pois valvomattomalla tavalla. |
Oletusarvoisesti useimmat SAP-valvontalokin tapahtumatyypit tai SAP-viestitunnukset lähetetään poikkeamiin perustuvaan dynaamiseen poikkeamaan perustuvaan valvontalokin valvontailmoitusten (PREVIEW) analytiikkasääntöön, kun taas helpompi määrittää tapahtumatyypit lähetetään deterministiseen dynaamiseen deterministiseen valvontalokin tarkkailuun (ESIKATSELU) -analytiikkasääntöön. Tämä asetus ja muut siihen liittyvät asetukset voidaan määrittää edelleen sopimaan mihin tahansa järjestelmäehtoon.
SAP-valvontalokien valvontasäännöt toimitetaan osana SAP-ratkaisun suojaussisällön Microsoft Sentinel, ja ne mahdollistavat hienosäätämisen SAP_Dynamic_Audit_Log_Monitor_Configuration ja SAP_User_Config katseluluetteloiden avulla.
Seuraavassa taulukossa on esimerkiksi useita esimerkkejä siitä, miten voit käyttää SAP_Dynamic_Audit_Log_Monitor_Configuration katseluluetteloa määrittämään tapahtumia aiheuttavat tapahtumatyypit, mikä vähentää syntyneiden tapausten määrää.
| Vaihtoehto | Kuvaus |
|---|---|
| Määritä vakavuus ja poista ei-toivotut tapahtumat käytöstä | Oletusarvoisesti sekä deterministiset säännöt että poikkeamiin perustuvat säännöt luovat hälytyksiä tapahtumista, joiden vakavuus on keskitasoinen ja suuri. Haluat ehkä määrittää vakavuusasteet erikseen tuotanto- ja ei-tuotantoympäristöissä. Saatat esimerkiksi määrittää virheenkorjaustoimintotapahtuman tuotantojärjestelmien suuren vakavuusasteen vuoksi ja poistaa samat tapahtumat kokonaan pois käytöstä tuotantojärjestelmissä. |
| Käyttäjien jättäminen pois SAP-roolien tai SAP-profiilien perusteella | Microsoft Sentinel SAP:lle, käy läpi SAP-käyttäjän valtuutusprofiilin, mukaan lukien suorat ja epäsuorat roolimääritykset, ryhmät ja profiilit, jotta voit puhua SAP-kieltä SIEM-kielessäsi. Haluat ehkä määrittää SAP-tapahtuman sulkemaan käyttäjät pois SAP-roolien ja profiilien perusteella. Lisää katseluluetteloon roolit tai profiilit, jotka ryhmittelevät RFC-liittymän käyttäjät RolesTagsToExclude-sarakkeeseenGeneric table access by RFC -tapahtuman vieressä. Tämä määritys käynnistää ilmoitukset vain käyttäjille, joilta puuttuu nämä roolit. |
| Käyttäjien jättäminen pois SOC-tunnisteiden mukaan | Tunnisteiden avulla voit luoda oman ryhmittelyn ilman monimutkaisia SAP-määrityksiä tai ilman SAP-valtuutusta. Tästä menetelmästä on hyötyä SOC-tiimeille, jotka haluavat luoda oman ryhmittelyn SAP-käyttäjille. Jos et esimerkiksi halua, että RFC-tapahtumien yleinen taulukon käyttö hälytetään tietyille palvelutileille, mutta et löydä sap-roolia tai SAP-profiilia, joka ryhmittelee nämä käyttäjät, käytä tunnisteita seuraavasti: 1. Lisää GenTableRFCReadOK-tunniste katseluluettelossa olevan tapahtuman viereen. 2. Siirry SAP_User_Config katseluluetteloon ja määritä käyttöliittymän käyttäjille sama tunniste. |
| Määritä tiheyskynnys tapahtumatyyppiä ja järjestelmäroolia kohden | Toimii kuin nopeusrajoitus. Voit esimerkiksi määrittää käyttäjän päätietueen muutostapahtumat käynnistämään hälytyksiä vain, jos sama käyttäjä tuotantojärjestelmässä havaitsee tunnissa yli 12 toimintoa. Jos käyttäjä ylittää tuntirajan 12 tapahtumaa (esimerkiksi 2 tapahtumaa 10 minuutin ikkunassa), tapahtuma käynnistyy. |
| Determinismi tai poikkeamat | Jos tiedät tapahtuman ominaisuudet, käytä deterministisiä ominaisuuksia. Jos et ole varma, miten voit määrittää tapahtuman oikein, salli koneoppimisen ominaisuuksien päättää käynnistyä ja tehdä sitten myöhemmät päivitykset tarpeen mukaan. |
| SOAR-ominaisuudet | Microsoft Sentinel avulla voit orkestroida, automatisoida ja vastata SAP-valvontalokien dynaamisten hälytysten luomiin tapauksiin. Lisätietoja on artikkelissa Microsoft Sentinel Automaatio: Suojauksen orkestrointi, automaatio ja reagointi (SOAR). |
Lisätietoja on kohdassa Käytettävissä olevat katseluluettelot ja Microsoft Sentinel SAP Newsille – dynaaminen SAP-suojauksen valvontalokin valvonta -ominaisuus on saatavilla nyt! (blogi).
Ensimmäinen käyttöoikeus
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Kirjaudu sisään odottamattomasta verkosta | Tunnistaa sisäänkirjautumisen odottamattomasta verkosta. Ylläpidä verkkoja SAP – Verkot -katseluluettelossa. |
Kirjaudu taustajärjestelmään IP-osoitteesta, jota ei ole määritetty johonkin verkkoon. Tietolähteet: SAPcon – Valvontaloki |
Alkukäyttö |
| SAP – SPNego-hyökkäys | Tunnistaa SPNego-uudelleentoistohyökkäyksen. | Tietolähteet: SAPcon – Valvontaloki | Vaikutus, sivusuuntainen liike |
| SAP – Etuoikeutetun käyttäjän valintaikkunakirjautumisyritys | Tunnistaa valintaikkunan kirjautumisyritykset AUM-tyypillä SAP-järjestelmän etuoikeutettujen käyttäjien mukaan. Lisätietoja on kohdassa SAPUsersGetPrivileged. | Yritä kirjautua sisään samasta IP-osoitteesta useisiin järjestelmiin tai asiakkaisiin ajoitetun aikavälin kuluessa Tietolähteet: SAPcon – Valvontaloki |
Vaikutus, sivusuuntainen liike |
| SAP – raaka voimahyökkäykset | Tunnistaa raa'at voimahyökkäykset SAP-järjestelmään RFC-kirjautumisten avulla | Yritys kirjautua sisään samasta IP-osoitteesta useille järjestelmille tai asiakkaille ajoitetun aikavälin kuluessa RFC:n avulla Tietolähteet: SAPcon – Valvontaloki |
Tunnistetietojen käyttö |
| SAP – useita kirjautumisia IP:n mukaan | Määrittää useiden käyttäjien kirjautumisen samasta IP-osoitteesta ajoitetun aikavälin kuluessa. Alikäyttötapaus: Pysyvyys |
Kirjaudu sisään useilla käyttäjillä saman IP-osoitteen kautta. Tietolähteet: SAPcon – Valvontaloki |
Alkukäyttö |
| SAP – Käyttäjän useat kirjautumiset | Tunnistaa saman käyttäjän kirjautumiset useista pääteistä ajoitetussa aikavälissä. Käytettävissä vain Audit SAL -menetelmän kautta SAP-versioissa 7.5 ja uudemmissa versioissa. |
Kirjaudu sisään käyttämällä samaa käyttäjää eri IP-osoitteilla. Tietolähteet: SAPcon – Valvontaloki |
Esihyökkäys, tunnistetietojen käyttö, alkuperäinen käyttö, kokoelma Alikäyttötapaus: Pysyvyys |
| SAP – Tiedot – Elinkaari – SAP-muistiinpanot otettiin käyttöön järjestelmässä | Tunnistaa SAP Note -toteutuksen järjestelmässä. | Ota SAP-huomautus käyttöön SNOTE/TCI:n avulla. Tietolähteet: SAPcon – Muutospyynnöt |
- |
| SAP - (esikatselu) AS JAVA – Kirjautunut arkaluonteinen etuoikeutettu käyttäjä | Tunnistaa sisäänkirjautumisen odottamattomasta verkosta. Ylläpidä etuoikeutettuja käyttäjiä SAP – Etuoikeutetut käyttäjät -katseluluettelossa. |
Kirjaudu taustajärjestelmään etuoikeutettujen käyttäjien avulla. Tietolähteet: SAPJAVAFilesLog |
Alkukäyttö |
| SAP - (esikatselu) AS JAVA - Sign-In odottamattomasta verkosta | Tunnistaa odottamattoman verkon kirjautumiset. Ylläpidä etuoikeutettuja käyttäjiä SAP – Verkot -katseluluettelossa. |
Kirjaudu taustajärjestelmään IP-osoitteesta, jota ei ole määritetty johonkin SAP - Networks -katseluluettelon verkkoon Tietolähteet: SAPJAVAFilesLog |
Ensimmäinen käyttö, puolustuksen välttely |
Tietojen suodatus
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Luvattomien palvelimien FTP | Määrittää valtuuttamattoman palvelimen FTP-yhteyden. | Luo uusi FTP-yhteys esimerkiksi käyttämällä FTP_CONNECT -funktiomoduulia. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, alkukäyttö, komento ja hallinta |
| SAP – Suojaamattoman FTP-palvelimen määritys | Tunnistaa suojaamattoman FTP-palvelimen määritykset, kuten kun FTP-sallittujen luettelo on tyhjä tai sisältää paikkamerkkejä. | Älä ylläpidä arvoja, jotka sisältävät taulukon paikkamerkkejä SAPFTP_SERVERS , käyttämällä ylläpitonäkymää SAPFTP_SERVERS_V . (SM30) Tietolähteet: SAPcon – Valvontaloki |
Alkukäyttö, komento ja hallinta |
| SAP – useiden Files lataaminen | Määrittää käyttäjän useiden tiedostojen lataukset tietyllä aikavälillä. | Lataa useita tiedostoja sapgui for Excelin, luetteloiden ja niin edelleen avulla. Tietolähteet: SAPcon – Valvontaloki |
Kokoelma, suodatus, tunnistetietojen käyttö |
| SAP – useita spoolin suorituksia | Määrittää käyttäjälle useita spooleja tietyllä aika-alueella. | Luo ja suorita useita minkä tahansa tyyppisiä spoolitöitä käyttäjän toimesta. (SP01) Tietolähteet: SAPcon - Spool Log, SAPcon - Valvontaloki |
Kokoelma, suodatus, tunnistetietojen käyttö |
| SAP – useita Spool-tulostesuorituksia | Määrittää käyttäjälle useita spooleja tietyllä aika-alueella. | Luo ja suorita useita minkä tahansa tyyppisiä spoolitöitä käyttäjän toimesta. (SP01) Tietolähteet: SAPcon - Taustatulostusloki, SAPcon - Valvontaloki |
Kokoelma, suodatus, tunnistetietojen käyttö |
| SAP – Luottamukselliset taulukot, suora käyttö RFC-kirjautumisen avulla | Määrittää yleisen taulukon käytön RFC-kirjautumisen avulla. Ylläpidä SAP – Luottamukselliset taulukot - katseluluettelon taulukoita. Koskee vain tuotantojärjestelmiä. |
Avaa taulukon sisältö valitsemalla SE11/SE16/SE16N. Tietolähteet: SAPcon – Valvontaloki |
Kokoelma, suodatus, tunnistetietojen käyttö |
| SAP – spoolin haltuunotto | Määrittää käyttäjän, joka tulostaa toisen käyttäjän luoman taustatulostuspyynnön. | Luo taustatulostuspyyntö yhdellä käyttäjällä ja tulosta se sitten käyttämällä eri käyttäjää. Tietolähteet: SAPcon - Spool Log, SAPcon - Taustatulostusloki, SAPcon - Valvontaloki |
Collection, Exfiltration, Command and Control |
| SAP – dynaaminen RFC-kohde | Määrittää RFC:n suorittamisen dynaamisten kohteiden avulla. Alikäyttötapaus: yritetään ohittaa SAP-suojausmekanismeja |
Suorita ABAP-raportti, joka käyttää dynaamisia kohteita (cl_dynamic_destination). Esimerkiksi DEMO_RFC_DYNAMIC_DEST. Tietolähteet: SAPcon – Valvontaloki |
Kokoelma, suodatus |
| SAP – Luottamukselliset taulukot, suora käyttö valintaikkunakirjautumisen mukaan | Määrittää yleisen taulukon käytön valintaikkunan sisäänkirjautumisen kautta. | Avaa taulukon sisältö -toiminnollaSE11SE16N/SE16/. Tietolähteet: SAPcon – Valvontaloki |
Discovery |
| SAP - (esikatselu) -tiedosto ladattu haitallisesta IP-osoitteesta | Tunnistaa tiedoston lataamisen SAP-järjestelmästä käyttämällä IP-osoitetta, jonka tiedetään olevan haitallinen. Haitalliset IP-osoitteet saadaan uhkien tiedustelupalveluista. | Lataa tiedosto haitallisesta IP-osoitteesta. Tietolähteet: SAP-suojauksen valvontaloki, uhkatiedot |
Suodatus |
| SAP - (esikatselu) tuotantojärjestelmästä viedyt tiedot siirtoa käyttäen | Määrittää tietojen viennin tuotantojärjestelmästä kuljetuksen avulla. Kuljetuksia käytetään kehitysjärjestelmissä ja ne muistuttavat noutopyyntöjä. Tämä hälytyssääntö käynnistää keskivaakaisia tapauksia, kun mistä tahansa taulukosta tietoja sisältävä kuljetus vapautetaan tuotantojärjestelmästä. Sääntö luo suuren vakavuusasteen tapahtuman, kun vienti sisältää tietoja arkaluontoisesta taulukosta. | Vapauta kuljetus tuotantojärjestelmästä. Tietolähteet: SAP CR -loki, SAP – luottamukselliset taulukot |
Suodatus |
| SAP – (esikatselu) USB-asemaan tallennetut luottamukselliset tiedot | Tunnistaa SAP-tietojen viennin tiedostojen kautta. Sääntö tarkistaa tiedot, jotka on tallennettu äskettäin käyttöön otettuun USB-asemaan arkaluontoisen tapahtuman suorittamisen, arkaluontoisen ohjelman tai arkaluontoisen taulukon suoran käytön yhteydessä. | Vie SAP-tietoja tiedostojen kautta ja tallenna USB-asemaan. Tietolähteet: SAP-suojauksen valvontaloki, DeviceFileEvents (Microsoft Defender for Endpoint), SAP - luottamukselliset taulukot, SAP - luottamukselliset tapahtumat, SAP - luottamukselliset ohjelmat |
Suodatus |
| SAP - (esikatselu) Mahdollisesti luottamuksellisten tietojen tulostaminen | Tunnistaa mahdollisesti luottamuksellisten tietojen pyynnön tai todellisen tulostuksen. Tietoja pidetään luottamuksellisina, jos käyttäjä hankkii tiedot osana arkaluontoista tapahtumaa, arkaluontoisen ohjelman suorittamista tai arkaluontoisen taulukon suoraa käyttöä. | Tulosta tai pyydä tulostamaan luottamuksellisia tietoja. Tietolähteet: SAP-suojauksen valvontaloki, SAP-taustalokit, SAP - luottamukselliset taulukot, SAP – luottamukselliset ohjelmat |
Suodatus |
| SAP – (esikatselu) Vietyjen mahdollisesti luottamuksellisten tietojen suuri määrä | Määrittää suuren tietomäärän viemisen tiedostojen kautta, jotka ovat lähellä arkaluontoisen tapahtuman suorittamista, arkaluontoista ohjelmaa tai suoraa pääsyä arkaluontoiseen taulukkoon. | Vie suuri määrä tietoja tiedostojen kautta. Tietolähteet: SAP-suojauksen valvontaloki, SAP - luottamukselliset taulukot, SAP - luottamukselliset tapahtumat, SAP – luottamukselliset ohjelmat |
Suodatus |
Pysyvyys
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – ICF-palvelun aktivointi tai aktivoinnin poistaminen | Määrittää ICF-palveluiden aktivoinnin tai aktivoinnin poistamisen. | Aktivoi palvelu SICF:n avulla. Tietolähteet: SAPcon – Taulukon tietoloki |
Komento ja hallinta, sivuttaisliike, pysyvyys |
| SAP – Testattu funktiomoduuli | Määrittää funktiomoduulin testauksen. | Testaa funktiomoduulia käyttämällä .SE37 / SE80 Tietolähteet: SAPcon – Valvontaloki |
Kokoelma, puolustuksen välttely, sivusuuntainen liike |
| SAP - (ESIKATSELU) HANA DB – Käyttäjän Hallinta toiminnot | Määrittää käyttäjän hallintatoiminnot. | Tietokannan käyttäjän luominen, päivittäminen tai poistaminen. Tietolähteet: Linux agentti - Syslog* |
Oikeuksien eskalointi |
| SAP – uudet ICF-palvelun käsittelijät | Määrittää ICF-käsittelijöiden luomisen. | Määritä uusi käsittelijä palveluun SICF:n avulla. Tietolähteet: SAPcon – Valvontaloki |
Komento ja hallinta, sivuttaisliike, pysyvyys |
| SAP – uudet ICF-palvelut | Määrittää ICF-palveluiden luomisen. | Luo palvelu SICF:n avulla. Tietolähteet: SAPcon – Taulukon tietoloki |
Komento ja hallinta, sivuttaisliike, pysyvyys |
| SAP – Vanhentuneen tai suojaamattoman funktiomoduulin suorittaminen | Tunnistaa vanhentuneen tai suojaamattoman ABAP-funktiomoduulin suorittamisen. Ylläpidä vanhentuneita funktioita SAP – Vanhentuneet funktiomoduulit - katseluluettelossa. Varmista, että aktivoit taulukon kirjausmuutokset taustan taulukolle EUFUNC . (SE13)Koskee vain tuotantojärjestelmiä. |
Suorita vanhentunut tai suojaamaton funktiomoduuli suoraan SE37:n avulla. Tietolähteet: SAPcon – Taulukon tietoloki |
Etsintä, komento ja hallinta |
| SAP – Vanhentuneen tai suojaamattoman ohjelman suorittaminen | Tunnistaa vanhentuneen tai suojaamattoman ABAP-ohjelman suorittamisen. Säilytä vanhentuneet ohjelmat SAP : n vanhentuneiden ohjelmien katseluluettelossa. Koskee vain tuotantojärjestelmiä. |
Suorita ohjelma suoraan käyttämällä SE38/SA38/SE80-ohjelmaa tai käyttämällä taustatyötä. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, komento ja hallinta |
| SAP – useiden salasanojen muutokset | Tunnistaa useita käyttäjän tekemiä salasanojen muutoksia. | Käyttäjän salasanan vaihtaminen Tietolähteet: SAPcon – Valvontaloki |
Tunnistetietojen käyttö |
| SAP – (esikatselu) AS JAVA – Käyttäjä luo ja käyttää uutta käyttäjää | Tunnistaa käyttäjien luomisen tai käsittelyn SAP AS Java -ympäristössä järjestelmänvalvojien toimesta. | Kirjaudu taustajärjestelmään luomiasi tai muokkaamiasi käyttäjiä käyttämällä. Tietolähteet: SAPJAVAFilesLog |
Pysyvyys |
Yritykset ohittaa SAP-suojausmekanismit
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Asiakaskokoonpanon muutos | Tunnistaa asiakaskokoonpanon, kuten asiakasroolin tai muutoksen tallennustilan, muutokset. | Suorita asiakaskokoonpanon muutokset tapahtumakoodin SCC4 avulla. Tietolähteet: SAPcon – Valvontaloki |
Puolustuksen välttely, suodatus, pysyvyys |
| SAP – Tiedot ovat muuttuneet virheenkorjaustoiminnon aikana | Tunnistaa suorituksenaikaisten tietojen muutokset virheenkorjaustoiminnon aikana. Alikäyttötapaus: Pysyvyys |
1. Aktivoi virheenkorjaus ("/h"). 2. Valitse kenttä muutosta varten ja päivitä sen arvo. Tietolähteet: SAPcon – Valvontaloki |
Suoritus, sivusuuntainen liike |
| SAP – Suojauksen valvontalokin aktivoinnin poistaminen | Määrittää suojauksen valvontalokin aktivoinnin poistamisen. | Poista suojauksen valvontaloki käytöstä :n avulla SM19/RSAU_CONFIG. Tietolähteet: SAPcon – Valvontaloki |
Suodatus, puolustuksen välttely, pysyvyys |
| SAP – Arkaluontoisen ABAP-ohjelman suorittaminen | Määrittää arkaluontoisen ABAP-ohjelman suoran suorituksen. Säilytä ABAP-ohjelmat SAP – Luottamuksellisten ABAP-ohjelmien katseluluettelossa. |
Suorita ohjelma suoraan -ohjelman avullaSE38SE80/SA38/. Tietolähteet: SAPcon – Valvontaloki |
Suodatus, sivuttainen liike, suoritus |
| SAP – Arkaluontoisen tapahtumakoodin suorittaminen | Määrittää arkaluontoisen tapahtumakoodin suorittamisen. Ylläpidä tapahtumakoodeja SAP – luottamuksellisten tapahtumakoodien katseluluettelossa. |
Suorita arkaluonteinen tapahtumakoodi. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, suorittaminen |
| SAP – Arkaluontoisen funktiomoduulin suorittaminen | Määrittää arkaluontoisen ABAP-funktiomoduulin suorittamisen. Alikäyttötapaus: Pysyvyys Koskee vain tuotantojärjestelmiä. Säilytä luottamuksellisia funktioita SAP – Sensitive Function Modules -katseluluettelossa ja varmista, että aktivoit taulukon kirjaamisen muutokset EUFUNC-taulukon taustassa. (SE13) |
Suorita herkkä funktiomoduuli suoraan KÄYTTÄMÄLLÄ SE37:ää. Tietolähteet: SAPcon – Taulukon tietoloki |
Etsintä, komento ja hallinta |
| SAP – (ESIKATSELU) HANA DB – jäljityspolkukäytännön muutokset | Tunnistaa HANA DB -kirjausketjukäytäntöjen muutokset. | Luo tai päivitä olemassa oleva valvontakäytäntö suojausmäärityksissä. Tietolähteet: Linux agentti - Syslog |
Sivuttaisliike, puolustuksen välttely, pysyvyys |
| SAP – (ESIKATSELU) HANA DB – Kirjausketjun aktivoinnin poistaminen | Määrittää HANA DB -valvontalokin aktivoinnin poistamisen. | Poista valvontalokin aktivointi HANA DB -suojausmäärityksessä. Tietolähteet: Linux agentti - Syslog |
Sinnikkyys, sivuttaisliike, puolustuksen välttely |
| SAP – Arkaluontoisen funktiomoduulin luvaton etäsuorittaminen | Havaitsee arkaluonteisten FM:ien luvattomat suorittamiset vertaamalla toimintoa käyttäjän valtuutusprofiiliin ja sivuuttamalla äskettäin muutetut valtuutukset. Ylläpidä funktiomoduuleja SAP – Sensitive Function Modules -katseluluettelossa. |
Suorita funktiomoduuli RFC:n avulla. Tietolähteet: SAPcon – Valvontaloki |
Suoritus, sivusuuntainen liike, etsintä |
| SAP – järjestelmän kokoonpanon muutos | Tunnistaa järjestelmän määrityksen muutokset. | Mukauta järjestelmän muutosasetuksia tai ohjelmistokomponenttien muokkausta tapahtumakoodin SE06 avulla.Tietolähteet: SAPcon – Valvontaloki |
Suodatus, puolustuksen välttely, pysyvyys |
| SAP – Virheenkorjaustoiminnot | Määrittää kaikki virheenkorjaukseen liittyvät toiminnot. Alikäyttötapaus: Pysyvyys |
Aktivoi järjestelmän virheenkorjaus (/h), korjaa aktiivisen prosessin virheitä, lisää keskeytyskohta lähdekoodiin ja niin edelleen. Tietolähteet: SAPcon – Valvontaloki |
Discovery |
| SAP – Suojauksen valvontalokin määritysten muutos | Tunnistaa suojauksen valvontalokin määrityksessä tehdyt muutokset | Muuta suojausvalvontalokin määrityksiä käyttämällä esimerkiksi SM19/RSAU_CONFIGsuodattimia, tilaa ja tallennustilaa. Tietolähteet: SAPcon – Valvontaloki |
Pysyvyys, suodatus, puolustuksen välttely |
| SAP – Tapahtuma on avattu | Määrittää tapahtuman lukituksen poistamisen. | Avaa tapahtumakoodin lukitus :n avullaSM01SM01_CUS/SM01_DEV/. Tietolähteet: SAPcon – Valvontaloki |
Pysyvyys, suorittaminen |
| SAP – dynaaminen ABAP-ohjelma | Tunnistaa dynaamisen ABAP-ohjelmoinnin suorittamisen. Esimerkiksi kun ABAP-koodi luotiin dynaamisesti, sitä muutettiin tai poistettiin. Ylläpidä pois jätettyjä tapahtumakoodeja SAP – ABAP Generations -katseluluettelon tapahtumat . |
Luo ABAP-raportti, joka käyttää ABAP-ohjelman luontikomentoja, kuten LISÄÄ RAPORTTI, ja suorita sitten raportti. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, komento ja hallinta, vaikutus |
Epäilyttävät oikeustoiminnot
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Muutos luottamuksellisessa etuoikeutetussa käyttäjässä | Tunnistaa luottamuksellisten etuoikeutettujen käyttäjien muutokset. Ylläpidä etuoikeutettuja käyttäjiä SAP – Etuoikeutetut käyttäjät -katseluluettelossa. |
Muuta käyttäjätietoja/käyttöoikeuksia -toiminnolla SU01. Tietolähteet: SAPcon – Valvontaloki |
Oikeuksien eskalointi, tunnistetietojen käyttö |
| SAP – (ESIKATSELU) HANA DB –Määritä Hallinta -valtuutukset | Määrittää järjestelmänvalvojan oikeudet tai roolimäärityksen. | Määritä käyttäjälle mikä tahansa järjestelmänvalvojan rooli tai oikeudet. Tietolähteet: Linux agentti - Syslog |
Oikeuksien eskalointi |
| SAP – Kirjautunut arkaluonteinen etuoikeutettu käyttäjä | Määrittää luottamuksellisen etuoikeutetun käyttäjän valintaikkunakirjautumisen. Ylläpidä etuoikeutettuja käyttäjiä SAP – Etuoikeutetut käyttäjät -katseluluettelossa. |
Kirjaudu taustajärjestelmään käyttämällä SAP* tai toista etuoikeutettua käyttäjää. Tietolähteet: SAPcon – Valvontaloki |
Alkukäyttö, tunnistetietojen käyttö |
| SAP – Arkaluontoinen etuoikeutettu käyttäjä tekee muutoksen toiseen käyttäjään | Tunnistaa luottamuksellisten, etuoikeutettujen käyttäjien muutokset muissa käyttäjissä. | Muuta käyttäjätietoja/käyttöoikeuksia SU01:n avulla. Tietolähteet: SAPcon – Valvontaloki |
Oikeuksien eskalointi, tunnistetietojen käyttö |
| SAP – Luottamuksellisten käyttäjien salasanan vaihtaminen ja kirjautuminen | Määrittää etuoikeutettujen käyttäjien salasanamuutokset. | Vaihda etuoikeutetun käyttäjän salasana ja kirjaudu järjestelmään. Ylläpidä etuoikeutettuja käyttäjiä SAP – Etuoikeutetut käyttäjät -katseluluettelossa. Tietolähteet: SAPcon – Valvontaloki |
Vaikutus, komento ja hallinta, oikeuksien eskalointi |
| SAP – Käyttäjä luo uuden käyttäjän ja käyttää sitä | Määrittää käyttäjän, joka luo ja käyttää muita käyttäjiä. Alikäyttötapaus: Pysyvyys |
Luo käyttäjä su01:n avulla ja kirjaudu sitten sisään käyttämällä juuri luotua käyttäjää ja samaa IP-osoitetta. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, esihyökkäys, alkukäyttö |
| SAP – Käyttäjä avaa lukituksen ja käyttää muita käyttäjiä | Määrittää käyttäjän, jonka lukitus poistetaan ja jota muut käyttäjät käyttävät. Alikäyttötapaus: Pysyvyys |
Poista käyttäjän lukitus SU01:n avulla ja kirjaudu sitten sisään käyttämällä lukitsemattoman käyttäjän ja saman IP-osoitteen suojausta. Tietolähteet: SAPcon - Valvontaloki, SAPcon - Muuta asiakirjalokia |
Etsintä, esihyökkäys, ensimmäinen käyttö, sivusuuntainen liike |
| SAP – Arkaluontoisen profiilin määrittäminen | Määrittää arkaluonteisen profiilin uudet määritykset käyttäjälle. Säilytä luottamukselliset profiilit SAP – Luottamukselliset profiilit - katseluluettelossa. |
Määritä käyttäjälle profiili käyttämällä -toimintoa SU01. Tietolähteet: SAPcon - Muuta asiakirjalokia |
Oikeuksien eskalointi |
| SAP – Arkaluontoisen roolin määrittäminen | Määrittää arkaluontoisen roolin uudet määritykset käyttäjälle. Säilytä luottamukselliset roolit SAP : n luottamuksellisten roolien katseluluettelossa. |
Määritä rooli käyttäjälle -toiminnolla SU01 / PFCG. Tietolähteet: SAPcon - Muuta asiakirjalokia, valvontaloki |
Oikeuksien eskalointi |
| SAP - (ESIKATSELU) Kriittisten valtuutusten määritys – uusi valtuutusarvo | Määrittää kriittisen valtuutusobjektin arvon määrittämisen uudelle käyttäjälle. Säilytä tärkeät valtuutusobjektit SAP – Kriittiset valtuutusobjektit -katseluluettelossa. |
Määritä uusi valtuutusobjekti tai päivitä roolin olemassa oleva objekti käyttämällä kohdetta PFCG. Tietolähteet: SAPcon - Muuta asiakirjalokia |
Oikeuksien eskalointi |
| SAP – Kriittisten valtuutusten määritys – uusi käyttäjämääritys | Määrittää kriittisen valtuutusobjektin arvon määrittämisen uudelle käyttäjälle. Säilytä tärkeät valtuutusobjektit SAP – Kriittiset valtuutusobjektit -katseluluettelossa. |
Määritä uudelle käyttäjälle rooli, jolla on kriittiset valtuutusarvot, käyttämällä -toimintoa SU01/PFCG. Tietolähteet: SAPcon - Muuta asiakirjalokia |
Oikeuksien eskalointi |
| SAP – luottamuksellisten roolien muutokset | Tunnistaa luottamuksellisten roolien muutokset. Säilytä luottamukselliset roolit SAP : n luottamuksellisten roolien katseluluettelossa. |
Muuta roolia PFCG:n avulla. Tietolähteet: SAPcon - Muuta asiakirjalokia, SAPcon – Valvontaloki |
Vaikutus, oikeuksien eskalointi, pysyvyys |
SAP-valvontalokin valvonta
Monet sap Microsoft Sentinel sovellusten analytiikkasäännöt käyttävät SAP-valvontalokin tietoja. Jotkin analytiikkasäännöt etsivät tiettyjä tapahtumia lokista, kun taas toiset korreloivat viitteitä useista lokeista erittäin tarkkojen hälytysten ja tapausten luomiseksi.
Seuraavien analytiikkasääntöjen avulla voit joko valvoa kaikkia SAP-järjestelmän valvontalokitapahtumia tai käynnistää ilmoituksia vain, kun poikkeamia havaitaan:
| Säännön nimi | Kuvaus |
|---|---|
| SAP – Dynaamisen suojauksen valvontalokin valvonta -määritykset puuttuvat | Sap-valvontalokimoduulin määrityssuosituksia suoritetaan oletusarvoisesti päivittäin. Sääntömallin avulla voit luoda ja mukauttaa työtilan säännön. |
| SAP – dynaaminen deterministinen valvontalokin valvonta (ESIKATSELU) | Suoritetaan oletusarvoisesti 10 minuutin välein, ja siinä keskitytään SAP-valvontalokin tapahtumiin, jotka on merkitty deterministisiksi. Sääntömallin avulla voit luoda ja mukauttaa työtilaasi varten säännön, esimerkiksi pienemmän false-positiivisen hinnan. Tämä sääntö edellyttää deterministisiä ilmoitusten raja-arvoja ja käyttäjien poissulkemissääntöjä. |
| SAP – Dynaamiseen poikkeamaan perustuvat valvontalokin valvontailmoitukset (ESIKATSELU) | Suoritetaan oletusarvoisesti tunneittain ja keskitytään Poikkeavuuksiksi merkittyihin SAP-tapahtumiin Ja hälytetään SAP-valvontalokitapahtumista, kun poikkeamia havaitaan. Tämä sääntö käyttää automaattianalyysipalveluiden lisäalgoritmeja taustamelun suodattamiseksi pois valvomattomalla tavalla. |
Oletusarvoisesti useimmat SAP-valvontalokin tapahtumatyypit tai SAP-viestitunnukset lähetetään poikkeamiin perustuvaan dynaamiseen poikkeamaan perustuvaan valvontalokin valvontailmoitusten (PREVIEW) analytiikkasääntöön, kun taas helpompi määrittää tapahtumatyypit lähetetään deterministiseen dynaamiseen deterministiseen valvontalokin tarkkailuun (ESIKATSELU) -analytiikkasääntöön. Tämä asetus ja muut siihen liittyvät asetukset voidaan määrittää edelleen sopimaan mihin tahansa järjestelmäehtoon.
SAP-valvontalokien valvontasäännöt toimitetaan osana SAP-ratkaisun suojaussisällön Microsoft Sentinel, ja ne mahdollistavat hienosäätämisen SAP_Dynamic_Audit_Log_Monitor_Configuration ja SAP_User_Config katseluluetteloiden avulla.
Seuraavassa taulukossa on esimerkiksi useita esimerkkejä siitä, miten voit käyttää SAP_Dynamic_Audit_Log_Monitor_Configuration katseluluetteloa määrittämään tapahtumia aiheuttavat tapahtumatyypit, mikä vähentää syntyneiden tapausten määrää.
| Vaihtoehto | Kuvaus |
|---|---|
| Määritä vakavuus ja poista ei-toivotut tapahtumat käytöstä | Oletusarvoisesti sekä deterministiset säännöt että poikkeamiin perustuvat säännöt luovat hälytyksiä tapahtumista, joiden vakavuus on keskitasoinen ja suuri. Haluat ehkä määrittää vakavuusasteet erikseen tuotanto- ja ei-tuotantoympäristöissä. Saatat esimerkiksi määrittää virheenkorjaustoimintotapahtuman tuotantojärjestelmien suuren vakavuusasteen vuoksi ja poistaa samat tapahtumat kokonaan pois käytöstä tuotantojärjestelmissä. |
| Käyttäjien jättäminen pois SAP-roolien tai SAP-profiilien perusteella | Microsoft Sentinel SAP:lle, käy läpi SAP-käyttäjän valtuutusprofiilin, mukaan lukien suorat ja epäsuorat roolimääritykset, ryhmät ja profiilit, jotta voit puhua SAP-kieltä SIEM-kielessäsi. Haluat ehkä määrittää SAP-tapahtuman sulkemaan käyttäjät pois SAP-roolien ja profiilien perusteella. Lisää katseluluetteloon roolit tai profiilit, jotka ryhmittelevät RFC-liittymän käyttäjät RolesTagsToExclude-sarakkeeseenGeneric table access by RFC -tapahtuman vieressä. Tämä määritys käynnistää ilmoitukset vain käyttäjille, joilta puuttuu nämä roolit. |
| Käyttäjien jättäminen pois SOC-tunnisteiden mukaan | Tunnisteiden avulla voit luoda oman ryhmittelyn ilman monimutkaisia SAP-määrityksiä tai ilman SAP-valtuutusta. Tästä menetelmästä on hyötyä SOC-tiimeille, jotka haluavat luoda oman ryhmittelyn SAP-käyttäjille. Jos et esimerkiksi halua, että RFC-tapahtumien yleinen taulukon käyttö hälytetään tietyille palvelutileille, mutta et löydä sap-roolia tai SAP-profiilia, joka ryhmittelee nämä käyttäjät, käytä tunnisteita seuraavasti: 1. Lisää GenTableRFCReadOK-tunniste katseluluettelossa olevan tapahtuman viereen. 2. Siirry SAP_User_Config katseluluetteloon ja määritä käyttöliittymän käyttäjille sama tunniste. |
| Määritä tiheyskynnys tapahtumatyyppiä ja järjestelmäroolia kohden | Toimii kuin nopeusrajoitus. Voit esimerkiksi määrittää käyttäjän päätietueen muutostapahtumat käynnistämään hälytyksiä vain, jos sama käyttäjä tuotantojärjestelmässä havaitsee tunnissa yli 12 toimintoa. Jos käyttäjä ylittää tuntirajan 12 tapahtumaa (esimerkiksi 2 tapahtumaa 10 minuutin ikkunassa), tapahtuma käynnistyy. |
| Determinismi tai poikkeamat | Jos tiedät tapahtuman ominaisuudet, käytä deterministisiä ominaisuuksia. Jos et ole varma, miten voit määrittää tapahtuman oikein, salli koneoppimisen ominaisuuksien päättää käynnistyä ja tehdä sitten myöhemmät päivitykset tarpeen mukaan. |
| SOAR-ominaisuudet | Microsoft Sentinel avulla voit orkestroida, automatisoida ja vastata SAP-valvontalokien dynaamisten hälytysten luomiin tapauksiin. Lisätietoja on artikkelissa Microsoft Sentinel Automaatio: Suojauksen orkestrointi, automaatio ja reagointi (SOAR). |
Lisätietoja on kohdassa Käytettävissä olevat katseluluettelot ja Microsoft Sentinel SAP Newsille – dynaaminen SAP-suojauksen valvontalokin valvonta -ominaisuus on saatavilla nyt! (blogi).
Ensimmäinen käyttöoikeus
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Kirjaudu sisään odottamattomasta verkosta | Tunnistaa sisäänkirjautumisen odottamattomasta verkosta. Ylläpidä verkkoja SAP – Verkot -katseluluettelossa. |
Kirjaudu taustajärjestelmään IP-osoitteesta, jota ei ole määritetty johonkin verkkoon. Tietolähteet: SAPcon – Valvontaloki |
Alkukäyttö |
| SAP – SPNego-hyökkäys | Tunnistaa SPNego-uudelleentoistohyökkäyksen. | Tietolähteet: SAPcon – Valvontaloki | Vaikutus, sivusuuntainen liike |
| SAP – Etuoikeutetun käyttäjän valintaikkunakirjautumisyritys | Tunnistaa valintaikkunan kirjautumisyritykset AUM-tyypillä SAP-järjestelmän etuoikeutettujen käyttäjien mukaan. Lisätietoja on kohdassa SAPUsersGetPrivileged. | Yritä kirjautua sisään samasta IP-osoitteesta useisiin järjestelmiin tai asiakkaisiin ajoitetun aikavälin kuluessa Tietolähteet: SAPcon – Valvontaloki |
Vaikutus, sivusuuntainen liike |
| SAP – raaka voimahyökkäykset | Tunnistaa raa'at voimahyökkäykset SAP-järjestelmään RFC-kirjautumisten avulla | Yritys kirjautua sisään samasta IP-osoitteesta useille järjestelmille tai asiakkaille ajoitetun aikavälin kuluessa RFC:n avulla Tietolähteet: SAPcon – Valvontaloki |
Tunnistetietojen käyttö |
| SAP – useita kirjautumisia IP:n mukaan | Määrittää useiden käyttäjien kirjautumisen samasta IP-osoitteesta ajoitetun aikavälin kuluessa. Alikäyttötapaus: Pysyvyys |
Kirjaudu sisään useilla käyttäjillä saman IP-osoitteen kautta. Tietolähteet: SAPcon – Valvontaloki |
Alkukäyttö |
| SAP – Käyttäjän useat kirjautumiset | Tunnistaa saman käyttäjän kirjautumiset useista pääteistä ajoitetussa aikavälissä. Käytettävissä vain Audit SAL -menetelmän kautta SAP-versioissa 7.5 ja uudemmissa versioissa. |
Kirjaudu sisään käyttämällä samaa käyttäjää eri IP-osoitteilla. Tietolähteet: SAPcon – Valvontaloki |
Esihyökkäys, tunnistetietojen käyttö, alkuperäinen käyttö, kokoelma Alikäyttötapaus: Pysyvyys |
Tietojen suodatus
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Luvattomien palvelimien FTP | Määrittää valtuuttamattoman palvelimen FTP-yhteyden. | Luo uusi FTP-yhteys esimerkiksi käyttämällä FTP_CONNECT -funktiomoduulia. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, alkukäyttö, komento ja hallinta |
| SAP – Suojaamattoman FTP-palvelimen määritys | Tunnistaa suojaamattoman FTP-palvelimen määritykset, kuten kun FTP-sallittujen luettelo on tyhjä tai sisältää paikkamerkkejä. | Älä ylläpidä arvoja, jotka sisältävät taulukon paikkamerkkejä SAPFTP_SERVERS , käyttämällä ylläpitonäkymää SAPFTP_SERVERS_V . (SM30) Tietolähteet: SAPcon – Valvontaloki |
Alkukäyttö, komento ja hallinta |
| SAP – useiden Files lataaminen | Määrittää käyttäjän useiden tiedostojen lataukset tietyllä aikavälillä. | Lataa useita tiedostoja sapgui for Excelin, luetteloiden ja niin edelleen avulla. Tietolähteet: SAPcon – Valvontaloki |
Kokoelma, suodatus, tunnistetietojen käyttö |
| SAP – Luottamukselliset taulukot, suora käyttö RFC-kirjautumisen avulla | Määrittää yleisen taulukon käytön RFC-kirjautumisen avulla. Ylläpidä SAP – Luottamukselliset taulukot - katseluluettelon taulukoita. Koskee vain tuotantojärjestelmiä. |
Avaa taulukon sisältö valitsemalla SE11/SE16/SE16N. Tietolähteet: SAPcon – Valvontaloki |
Kokoelma, suodatus, tunnistetietojen käyttö |
| SAP – dynaaminen RFC-kohde | Määrittää RFC:n suorittamisen dynaamisten kohteiden avulla. Alikäyttötapaus: yritetään ohittaa SAP-suojausmekanismeja |
Suorita ABAP-raportti, joka käyttää dynaamisia kohteita (cl_dynamic_destination). Esimerkiksi DEMO_RFC_DYNAMIC_DEST. Tietolähteet: SAPcon – Valvontaloki |
Kokoelma, suodatus |
| SAP – Luottamukselliset taulukot, suora käyttö valintaikkunakirjautumisen mukaan | Määrittää yleisen taulukon käytön valintaikkunan sisäänkirjautumisen kautta. | Avaa taulukon sisältö -toiminnollaSE11SE16N/SE16/. Tietolähteet: SAPcon – Valvontaloki |
Discovery |
| SAP - (esikatselu) -tiedosto ladattu haitallisesta IP-osoitteesta | Tunnistaa tiedoston lataamisen SAP-järjestelmästä käyttämällä IP-osoitetta, jonka tiedetään olevan haitallinen. Haitalliset IP-osoitteet saadaan uhkien tiedustelupalveluista. | Lataa tiedosto haitallisesta IP-osoitteesta. Tietolähteet: SAP-suojauksen valvontaloki, uhkatiedot |
Suodatus |
| SAP – (esikatselu) USB-asemaan tallennetut luottamukselliset tiedot | Tunnistaa SAP-tietojen viennin tiedostojen kautta. Sääntö tarkistaa tiedot, jotka on tallennettu äskettäin käyttöön otettuun USB-asemaan arkaluontoisen tapahtuman suorittamisen, arkaluontoisen ohjelman tai arkaluontoisen taulukon suoran käytön yhteydessä. | Vie SAP-tietoja tiedostojen kautta ja tallenna USB-asemaan. Tietolähteet: SAP-suojauksen valvontaloki, DeviceFileEvents (Microsoft Defender for Endpoint), SAP - luottamukselliset taulukot, SAP - luottamukselliset tapahtumat, SAP - luottamukselliset ohjelmat |
Suodatus |
| SAP – (esikatselu) Vietyjen mahdollisesti luottamuksellisten tietojen suuri määrä | Määrittää suuren tietomäärän viemisen tiedostojen kautta, jotka ovat lähellä arkaluontoisen tapahtuman suorittamista, arkaluontoista ohjelmaa tai suoraa pääsyä arkaluontoiseen taulukkoon. | Vie suuri määrä tietoja tiedostojen kautta. Tietolähteet: SAP-suojauksen valvontaloki, SAP - luottamukselliset taulukot, SAP - luottamukselliset tapahtumat, SAP – luottamukselliset ohjelmat |
Suodatus |
Pysyvyys
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Testattu funktiomoduuli | Määrittää funktiomoduulin testauksen. | Testaa funktiomoduulia käyttämällä .SE37 / SE80 Tietolähteet: SAPcon – Valvontaloki |
Kokoelma, puolustuksen välttely, sivusuuntainen liike |
| SAP - (ESIKATSELU) HANA DB – Käyttäjän Hallinta toiminnot | Määrittää käyttäjän hallintatoiminnot. | Tietokannan käyttäjän luominen, päivittäminen tai poistaminen. Tietolähteet: Linux agentti - Syslog* |
Oikeuksien eskalointi |
| SAP – Vanhentuneen tai suojaamattoman funktiomoduulin suorittaminen | Tunnistaa vanhentuneen tai suojaamattoman ABAP-funktiomoduulin suorittamisen. Ylläpidä vanhentuneita funktioita SAP – Vanhentuneet funktiomoduulit - katseluluettelossa. Varmista, että aktivoit taulukon kirjausmuutokset taustan taulukolle EUFUNC . (SE13)Koskee vain tuotantojärjestelmiä. |
Suorita vanhentunut tai suojaamaton funktiomoduuli suoraan SE37:n avulla. Tietolähteet: SAPcon – Taulukon tietoloki |
Etsintä, komento ja hallinta |
| SAP – Vanhentuneen tai suojaamattoman ohjelman suorittaminen | Tunnistaa vanhentuneen tai suojaamattoman ABAP-ohjelman suorittamisen. Säilytä vanhentuneet ohjelmat SAP : n vanhentuneiden ohjelmien katseluluettelossa. Koskee vain tuotantojärjestelmiä. |
Suorita ohjelma suoraan käyttämällä SE38/SA38/SE80-ohjelmaa tai käyttämällä taustatyötä. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, komento ja hallinta |
| SAP – useiden salasanojen muutokset | Tunnistaa useita käyttäjän tekemiä salasanojen muutoksia. | Käyttäjän salasanan vaihtaminen Tietolähteet: SAPcon – Valvontaloki |
Tunnistetietojen käyttö |
Yritykset ohittaa SAP-suojausmekanismit
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Asiakaskokoonpanon muutos | Tunnistaa asiakaskokoonpanon, kuten asiakasroolin tai muutoksen tallennustilan, muutokset. | Suorita asiakaskokoonpanon muutokset tapahtumakoodin SCC4 avulla. Tietolähteet: SAPcon – Valvontaloki |
Puolustuksen välttely, suodatus, pysyvyys |
| SAP – Tiedot ovat muuttuneet virheenkorjaustoiminnon aikana | Tunnistaa suorituksenaikaisten tietojen muutokset virheenkorjaustoiminnon aikana. Alikäyttötapaus: Pysyvyys |
1. Aktivoi virheenkorjaus ("/h"). 2. Valitse kenttä muutosta varten ja päivitä sen arvo. Tietolähteet: SAPcon – Valvontaloki |
Suoritus, sivusuuntainen liike |
| SAP – Suojauksen valvontalokin aktivoinnin poistaminen | Määrittää suojauksen valvontalokin aktivoinnin poistamisen. | Poista suojauksen valvontaloki käytöstä :n avulla SM19/RSAU_CONFIG. Tietolähteet: SAPcon – Valvontaloki |
Suodatus, puolustuksen välttely, pysyvyys |
| SAP – Arkaluontoisen ABAP-ohjelman suorittaminen | Määrittää arkaluontoisen ABAP-ohjelman suoran suorituksen. Säilytä ABAP-ohjelmat SAP – Luottamuksellisten ABAP-ohjelmien katseluluettelossa. |
Suorita ohjelma suoraan -ohjelman avullaSE38SE80/SA38/. Tietolähteet: SAPcon – Valvontaloki |
Suodatus, sivuttainen liike, suoritus |
| SAP – Arkaluontoisen tapahtumakoodin suorittaminen | Määrittää arkaluontoisen tapahtumakoodin suorittamisen. Ylläpidä tapahtumakoodeja SAP – luottamuksellisten tapahtumakoodien katseluluettelossa. |
Suorita arkaluonteinen tapahtumakoodi. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, suorittaminen |
| SAP – Arkaluontoisen funktiomoduulin suorittaminen | Määrittää arkaluontoisen ABAP-funktiomoduulin suorittamisen. Alikäyttötapaus: Pysyvyys Koskee vain tuotantojärjestelmiä. Säilytä luottamuksellisia funktioita SAP – Sensitive Function Modules -katseluluettelossa ja varmista, että aktivoit taulukon kirjaamisen muutokset EUFUNC-taulukon taustassa. (SE13) |
Suorita herkkä funktiomoduuli suoraan KÄYTTÄMÄLLÄ SE37:ää. Tietolähteet: SAPcon – Taulukon tietoloki |
Etsintä, komento ja hallinta |
| SAP – (ESIKATSELU) HANA DB – jäljityspolkukäytännön muutokset | Tunnistaa HANA DB -kirjausketjukäytäntöjen muutokset. | Luo tai päivitä olemassa oleva valvontakäytäntö suojausmäärityksissä. Tietolähteet: Linux agentti - Syslog |
Sivuttaisliike, puolustuksen välttely, pysyvyys |
| SAP – (ESIKATSELU) HANA DB – Kirjausketjun aktivoinnin poistaminen | Määrittää HANA DB -valvontalokin aktivoinnin poistamisen. | Poista valvontalokin aktivointi HANA DB -suojausmäärityksessä. Tietolähteet: Linux agentti - Syslog |
Sinnikkyys, sivuttaisliike, puolustuksen välttely |
| SAP – Arkaluontoisen funktiomoduulin luvaton etäsuorittaminen | Havaitsee arkaluonteisten FM:ien luvattomat suorittamiset vertaamalla toimintoa käyttäjän valtuutusprofiiliin ja sivuuttamalla äskettäin muutetut valtuutukset. Ylläpidä funktiomoduuleja SAP – Sensitive Function Modules -katseluluettelossa. |
Suorita funktiomoduuli RFC:n avulla. Tietolähteet: SAPcon – Valvontaloki |
Suoritus, sivusuuntainen liike, etsintä |
| SAP – järjestelmän kokoonpanon muutos | Tunnistaa järjestelmän määrityksen muutokset. | Mukauta järjestelmän muutosasetuksia tai ohjelmistokomponenttien muokkausta tapahtumakoodin SE06 avulla.Tietolähteet: SAPcon – Valvontaloki |
Suodatus, puolustuksen välttely, pysyvyys |
| SAP – Virheenkorjaustoiminnot | Määrittää kaikki virheenkorjaukseen liittyvät toiminnot. Alikäyttötapaus: Pysyvyys |
Aktivoi järjestelmän virheenkorjaus (/h), korjaa aktiivisen prosessin virheitä, lisää keskeytyskohta lähdekoodiin ja niin edelleen. Tietolähteet: SAPcon – Valvontaloki |
Discovery |
| SAP – Suojauksen valvontalokin määritysten muutos | Tunnistaa suojauksen valvontalokin määrityksessä tehdyt muutokset | Muuta suojausvalvontalokin määrityksiä käyttämällä esimerkiksi SM19/RSAU_CONFIGsuodattimia, tilaa ja tallennustilaa. Tietolähteet: SAPcon – Valvontaloki |
Pysyvyys, suodatus, puolustuksen välttely |
| SAP – Tapahtuma on avattu | Määrittää tapahtuman lukituksen poistamisen. | Avaa tapahtumakoodin lukitus :n avullaSM01SM01_CUS/SM01_DEV/. Tietolähteet: SAPcon – Valvontaloki |
Pysyvyys, suorittaminen |
| SAP – dynaaminen ABAP-ohjelma | Tunnistaa dynaamisen ABAP-ohjelmoinnin suorittamisen. Esimerkiksi kun ABAP-koodi luotiin dynaamisesti, sitä muutettiin tai poistettiin. Ylläpidä pois jätettyjä tapahtumakoodeja SAP – ABAP Generations -katseluluettelon tapahtumat . |
Luo ABAP-raportti, joka käyttää ABAP-ohjelman luontikomentoja, kuten LISÄÄ RAPORTTI, ja suorita sitten raportti. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, komento ja hallinta, vaikutus |
Epäilyttävät oikeustoiminnot
| Säännön nimi | Kuvaus | Lähdetoiminto | Taktiikka |
|---|---|---|---|
| SAP – Muutos luottamuksellisessa etuoikeutetussa käyttäjässä | Tunnistaa luottamuksellisten etuoikeutettujen käyttäjien muutokset. Ylläpidä etuoikeutettuja käyttäjiä SAP – Etuoikeutetut käyttäjät -katseluluettelossa. |
Muuta käyttäjätietoja/käyttöoikeuksia -toiminnolla SU01. Tietolähteet: SAPcon – Valvontaloki |
Oikeuksien eskalointi, tunnistetietojen käyttö |
| SAP – (ESIKATSELU) HANA DB –Määritä Hallinta -valtuutukset | Määrittää järjestelmänvalvojan oikeudet tai roolimäärityksen. | Määritä käyttäjälle mikä tahansa järjestelmänvalvojan rooli tai oikeudet. Tietolähteet: Linux agentti - Syslog |
Oikeuksien eskalointi |
| SAP – Kirjautunut arkaluonteinen etuoikeutettu käyttäjä | Määrittää luottamuksellisen etuoikeutetun käyttäjän valintaikkunakirjautumisen. Ylläpidä etuoikeutettuja käyttäjiä SAP – Etuoikeutetut käyttäjät -katseluluettelossa. |
Kirjaudu taustajärjestelmään käyttämällä SAP* tai toista etuoikeutettua käyttäjää. Tietolähteet: SAPcon – Valvontaloki |
Alkukäyttö, tunnistetietojen käyttö |
| SAP – Arkaluontoinen etuoikeutettu käyttäjä tekee muutoksen toiseen käyttäjään | Tunnistaa luottamuksellisten, etuoikeutettujen käyttäjien muutokset muissa käyttäjissä. | Muuta käyttäjätietoja/käyttöoikeuksia SU01:n avulla. Tietolähteet: SAPcon – Valvontaloki |
Oikeuksien eskalointi, tunnistetietojen käyttö |
| SAP – Luottamuksellisten käyttäjien salasanan vaihtaminen ja kirjautuminen | Määrittää etuoikeutettujen käyttäjien salasanamuutokset. | Vaihda etuoikeutetun käyttäjän salasana ja kirjaudu järjestelmään. Ylläpidä etuoikeutettuja käyttäjiä SAP – Etuoikeutetut käyttäjät -katseluluettelossa. Tietolähteet: SAPcon – Valvontaloki |
Vaikutus, komento ja hallinta, oikeuksien eskalointi |
| SAP – Käyttäjä luo uuden käyttäjän ja käyttää sitä | Määrittää käyttäjän, joka luo ja käyttää muita käyttäjiä. Alikäyttötapaus: Pysyvyys |
Luo käyttäjä su01:n avulla ja kirjaudu sitten sisään käyttämällä juuri luotua käyttäjää ja samaa IP-osoitetta. Tietolähteet: SAPcon – Valvontaloki |
Etsintä, esihyökkäys, alkukäyttö |
| SAP – Käyttäjä avaa lukituksen ja käyttää muita käyttäjiä | Määrittää käyttäjän, jonka lukitus poistetaan ja jota muut käyttäjät käyttävät. Alikäyttötapaus: Pysyvyys |
Poista käyttäjän lukitus SU01:n avulla ja kirjaudu sitten sisään käyttämällä lukitsemattoman käyttäjän ja saman IP-osoitteen suojausta. Tietolähteet: SAPcon - Valvontaloki, SAPcon - Muuta asiakirjalokia |
Etsintä, esihyökkäys, ensimmäinen käyttö, sivusuuntainen liike |
| SAP – Arkaluontoisen profiilin määrittäminen | Määrittää arkaluonteisen profiilin uudet määritykset käyttäjälle. Säilytä luottamukselliset profiilit SAP – Luottamukselliset profiilit - katseluluettelossa. |
Määritä käyttäjälle profiili käyttämällä -toimintoa SU01. Tietolähteet: SAPcon - Muuta asiakirjalokia |
Oikeuksien eskalointi |
| SAP – Arkaluontoisen roolin määrittäminen | Määrittää arkaluontoisen roolin uudet määritykset käyttäjälle. Säilytä luottamukselliset roolit SAP : n luottamuksellisten roolien katseluluettelossa. |
Määritä rooli käyttäjälle -toiminnolla SU01 / PFCG. Tietolähteet: SAPcon - Muuta asiakirjalokia, valvontaloki |
Oikeuksien eskalointi |
| SAP - (ESIKATSELU) Kriittisten valtuutusten määritys – uusi valtuutusarvo | Määrittää kriittisen valtuutusobjektin arvon määrittämisen uudelle käyttäjälle. Säilytä tärkeät valtuutusobjektit SAP – Kriittiset valtuutusobjektit -katseluluettelossa. |
Määritä uusi valtuutusobjekti tai päivitä roolin olemassa oleva objekti käyttämällä kohdetta PFCG. Tietolähteet: SAPcon - Muuta asiakirjalokia |
Oikeuksien eskalointi |
| SAP – Kriittisten valtuutusten määritys – uusi käyttäjämääritys | Määrittää kriittisen valtuutusobjektin arvon määrittämisen uudelle käyttäjälle. Säilytä tärkeät valtuutusobjektit SAP – Kriittiset valtuutusobjektit -katseluluettelossa. |
Määritä uudelle käyttäjälle rooli, jolla on kriittiset valtuutusarvot, käyttämällä -toimintoa SU01/PFCG. Tietolähteet: SAPcon - Muuta asiakirjalokia |
Oikeuksien eskalointi |
| SAP – luottamuksellisten roolien muutokset | Tunnistaa luottamuksellisten roolien muutokset. Säilytä luottamukselliset roolit SAP : n luottamuksellisten roolien katseluluettelossa. |
Muuta roolia PFCG:n avulla. Tietolähteet: SAPcon - Muuta asiakirjalokia, SAPcon – Valvontaloki |
Vaikutus, oikeuksien eskalointi, pysyvyys |
Käytettävissä olevat katseluluettelot
Seuraavassa taulukossa on lueteltu katseluluettelot, jotka ovat käytettävissä Microsoft Sentinel ratkaisulle SAP-sovelluksille, sekä kunkin katseluluettelon kentät.
Nämä katseluluettelot tarjoavat Microsoft Sentinel ratkaisun määritykset SAP-sovelluksille. SAP-katseluluettelot ovat käytettävissä Microsoft Sentinel GitHub-säilössä.
| Katseluluettelon nimi | Kuvaus ja kentät |
|---|---|
| SAP – kriittiset valtuutukset | Kriittinen Valtuutus -objekti, jossa varauksia tulisi hallita. - AuthorizationObject: SAP-valtuutusobjekti, kuten S_DEVELOP, S_TCODEtai Table TOBJ - AuthorizationField: SAP-valtuutuskenttä, kuten OBJTYP tai TCD - AuthorizationValue: SAP-valtuutuskentän arvo, kuten DEBUG - ActivityField : SAP-toimintokenttä. Useimmissa tapauksissa tämä arvo on ACTVT. Valtuutustieto-objekteille, joilla ei ole toimintoa, tai vain Toiminto-kentälle, joka on täytetty arvolla .NOT_IN_USE - Aktiviteetti: SAP-toiminto valtuutusobjektin mukaan, kuten: 01Luo; 02: Muuta; 03: Näyttö ja niin edelleen. - Kuvaus: Merkityksellinen kriittisen valtuutusobjektin kuvaus. |
| SAP – Pois jätetyt verkot | Ulkoisesti suljettujen verkkojen sisäiseen ylläpitoon, kuten verkkolähettimien ja päätepalvelimien ohittamiseen. - Verkko: verkon IP-osoite tai alue, kuten 111.68.128.0/17. - Kuvaus: kuvaava verkon kuvaus. |
| SAP:n ulkopuolelle jätetyt käyttäjät | Järjestelmään kirjautuneet järjestelmän käyttäjät on ohitettava. Voit esimerkiksi antaa ilmoituksia useista saman käyttäjän kirjautumisista. - Käyttäjä: SAP-käyttäjä - Kuvaus: kuvaava käyttäjäkuvaus. |
| SAP – verkot | Sisäiset ja kunnossapitoverkot luvattomien kirjautumisten tunnistamiseksi. - Verkko: verkon IP-osoite tai alue, kuten 111.68.128.0/17 - Kuvaus: kuvaava verkon kuvaus. |
| SAP – etuoikeutetut käyttäjät | Etuoikeutetut käyttäjät, joilla on ylimääräisiä rajoituksia. - Käyttäjä: ABAP-käyttäjä, kuten DDIC tai SAP - Kuvaus: kuvaava käyttäjäkuvaus. |
| SAP – luottamukselliset ABAP-ohjelmat | Luottamuksellisia ABAP-ohjelmia (raportteja), joissa suoritusta tulisi hallita. - ABAPProgram: ABAP-ohjelma tai raportti, kuten RSPFLDOC - Kuvaus: Kuvaava ohjelmakuvaus. |
| SAP – Herkkä funktiomoduuli | Sisäiset ja kunnossapitoverkot luvattomien kirjautumisten tunnistamiseksi. - FunctionModule: ABAP-funktiomoduuli, kuten RSAU_CLEAR_AUDIT_LOG - Kuvaus: Merkityksellinen moduulin kuvaus. |
| SAP – luottamukselliset profiilit | Arkaluontoisia profiileja, joissa tehtäviä tulisi hallita. - Profiili: SAP-valtuutusprofiili, kuten SAP_ALL tai SAP_NEW - Kuvaus: kuvaavan profiilin kuvauksen. |
| SAP – luottamukselliset taulukot | Arkaluontoisia taulukoita, joissa käyttöoikeuksia tulisi hallita. - Taulukko: ABAP-sanastotaulukko, kuten USR02 tai PA008 - Kuvaus: kuvaava taulukon kuvaus. |
| SAP – luottamukselliset roolit | Arkaluontoisia rooleja, joissa määritystä tulisi hallita. - Rooli: SAP-valtuutusrooli, kuten SAP_BC_BASIS_ADMIN - Kuvaus: Kuvaava roolikuvaus. |
| SAP – luottamukselliset tapahtumat | Arkaluonteisia tapahtumia, joissa suoritusta tulisi hallita. - TransactionCode: SAP-tapahtumakoodi, kuten RZ11 - Kuvaus: Kuvaava koodin kuvaus. |
| SAP – järjestelmät | Kuvaa SAP-järjestelmien vaakasuuntaa roolin, käytön ja määrityksen mukaan. - SystemID: SAP-järjestelmätunnus (SYSID) - SystemRole: SAP-järjestelmän rooli, yksi seuraavista arvoista: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: SAP-järjestelmän käyttö, yksi seuraavista arvoista: ERP, BW, Solman, , GatewayEnterprise Portal - InterfaceAttributes: valinnainen dynaaminen parametri käytettäväksi playbookeissa. |
| SAPSystemParameters | Parametrit, joiden avulla voidaan tarkkailla epäilyttäviä määritysmuutoksia. Tämä katseluluettelo on esitäytynyt suositelluilla arvoilla (SAP:n parhaiden käytäntöjen mukaan), ja voit laajentaa katseluluettelon sisältämään lisää parametreja. Jos et halua vastaanottaa parametrin ilmoituksia, määritä arvoksi EnableAlertsfalse.- ParameterName: Parametrin nimi. - Kommentti: SAP-vakioparametrin kuvaus. - EnableAlerts: Määrittää, otetaanko tämän parametrin ilmoitukset käyttöön. Arvot ovat true ja false.- Vaihtoehto: Määrittää, missä tapauksessa ilmoitus käynnistetään: Jos parametrin arvo on suurempi tai yhtä suuri ( GE), pienempi tai yhtä suuri kuin (LEEQ)Jos ESIMERKIKSI login/fails_to_user_lock SAP-parametrin arvoksi on määritetty LE (pienempi tai yhtä suuri) ja arvo 5on , kun Microsoft Sentinel havaitsee muutoksen tähän tiettyyn parametriin, se vertaa juuri raportoitua arvoa ja odotettua arvoa. Jos uusi arvo on 4, Microsoft Sentinel ei käynnistä ilmoitusta. Jos uusi arvo on 6, Microsoft Sentinel käynnistää ilmoituksen.- ProductionSeverity: Tuotantojärjestelmien tapahtuman vakavuus. - ProductionValues: Tuotantojärjestelmien sallitut arvot. - NonProdSeverity: Tapahtuman vakavuus ei-tuotantojärjestelmissä. - NonProdValues: Ei-tuotantojärjestelmien sallitut arvot. |
| SAP – pois jätetyt käyttäjät | Järjestelmän käyttäjät, jotka ovat kirjautuneet sisään ja jotka on ohitettava, kuten kirjautuessa useita kirjautumisia käyttäjän toimesta. - Käyttäjä: SAP-käyttäjä - Kuvaus: Kuvaava käyttäjäkuvaus |
| SAP – Pois jätetyt verkot | Säilytä sisäiset, pois jätetyt verkot esimerkiksi verkkolähettimien ja päätepalvelimien ohittamista varten. - Verkko: verkon IP-osoite tai alue, kuten 111.68.128.0/17 - Kuvaus: kuvaava verkon kuvaus |
| SAP – Vanhentuneet funktiomoduulit | Vanhentuneet funktiomoduulit, joiden suoritusta tulisi hallita. - FunctionModule: ABAP-funktiomoduuli, kuten TH_SAPREL - Kuvaus: Merkityksellinen funktiomoduulin kuvaus |
| SAP – Vanhentuneet ohjelmat | Vanhentuneet ABAP-ohjelmat (raportit), joiden suoritusta tulisi hallita. - ABAPProgram: ABAP-ohjelma, kuten TH_ RSPFLDOC - Kuvaus: Merkityksellinen ABAP-ohjelman kuvaus |
| SAP – ABAP-sukupolvien tapahtumat | Sellaisten ABAP-sukupolvien tapahtumat, joiden suorittamista tulisi hallita. - TransactionCode: Tapahtumakoodi, kuten SE11. - Kuvaus: merkityksellinen tapahtumakoodin kuvaus |
| SAP – FTP-palvelimet | FTP-palvelimet luvattomien yhteyksien tunnistamista varten. - Asiakas, kuten 100. - FTP_Server_Name: FTP-palvelimen nimi, kuten http://contoso.com/ - FTP_Server_Port:FTP-palvelinportti, kuten 22. - KuvausMerkityksellinen FTP-palvelimen kuvaus |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Määritä SAP-valvontalokin ilmoitukset määrittämällä kullekin viestitunnukselle vakavuustaso järjestelmän roolin mukaan (tuotanto, ei tuotanto). Tässä katseluluettelossa on tiedot kaikista saatavilla olevista SAP-vakiovalvontalokin viestitunnuksista. Katseluluettelo voidaan laajentaa sisältämään ylimääräisiä viestitunnuksia, joita voit luoda itse käyttämällä ABAP-parannuksia niiden SAP NetWeaver -järjestelmissä. Tämän katseluluettelon avulla voidaan myös määrittää määritetty tiimi käsittelemään kutakin tapahtumatyyppiä ja jättää käyttäjät pois SAP-roolien, SAP-profiilien tai SAP_User_Config katseluluettelon tunnisteiden perusteella. Tämä katseluluettelo on yksi keskeisistä osista, joita käytetään määritettäessä sisäisiä SAP-analytiikkasääntöjä SAP-valvontalokin seurantaa varten. Lisätietoja on artikkelissa SAP-valvontalokin valvonta. - MessageID: SAP-viestitunnus tai tapahtumatyyppi, kuten AUD (käyttäjän päätietue muuttuu) tai AUB (valtuutus muuttuu). - DetailedDescription: Merkintää käyttävä kuvaus, joka näytetään tapausruudussa. - ProductionSeverity: Haluttu vakavuusaste, jolla tapaus luodaan tuotantojärjestelmille High, Medium. Voidaan määrittää arvoksi Disabled. - NonProdSeverity: Haluttu vakavuusaste tapahtumalle, joka luodaan ei-tuotantojärjestelmille High, Medium. Voidaan määrittää arvoksi Disabled. - ProductionThreshold "Tuntia kohti" niiden tapahtumien määrä, joita pidetään epäilyttävinä tuotantojärjestelmissä 60. - NonProdThreshold Tunnissa niiden tapahtumien määrä, joita pidetään epäilyttävinä ei-tuotantojärjestelmissä 10. - RolesTagsToExclude: Tämä kenttä hyväksyy SAP-roolin nimen, SAP-profiilien nimet tai tunnisteet SAP_User_Config katseluluettelosta. Näiden avulla niihin liittyvät käyttäjät jätetään pois tietyistä tapahtumatyypeistä. Katso roolitunnisteiden asetukset tämän luettelon lopusta. - RuleType: Käytetään Deterministic , jos tapahtumatyyppi lähetetään SAP - Dynamic Deterministic Audit Log Monitor - sääntöön tai AnomaliesOnly jos tämä tapahtuma kuuluu SAP - Dynamic Anomaly Based Audit Log Monitor (PREVIEW) -säännön piiriin. Lisätietoja on artikkelissa SAP-valvontalokin valvonta. - TeamsChannelID: valinnainen dynaaminen parametri käytettäväksi playbookeissa. - DestinationEmail: valinnainen dynaaminen parametri käytettäväksi playbookeissa. RolesTagsToExclude-kentälle: - Jos luettelet SAP-roolit tai SAP-profiilit, tämä jättää pois kaikki käyttäjät, joilla on lueteltu roolit tai profiilit näistä tapahtumatyypeistä, samalle SAP-järjestelmälle. Jos esimerkiksi määrität BASIC_BO_USERS ABAP-roolin RFC:hen liittyville tapahtumatyypeille, yritysobjektien käyttäjät eivät käynnistä tapahtumia, kun he tekevät massiivisia RFC-kutsuja.- Tapahtumatyypin merkitseminen on samanlaista kuin SAP-roolien tai -profiilien määrittäminen, mutta tunnisteita voidaan luoda työtilassa, joten SOC-tiimit voivat jättää käyttäjät pois toiminnan mukaan ilman SAP BASIS -tiimin mukaan. Esimerkiksi valvontaviestin tunnukset AUB (valtuutusmuutokset) ja AUD (käyttäjän päätietueen muutokset) määritetään MassiveAuthChanges -tunniste. Tämän tunnisteen määrittäneet käyttäjät jätetään pois näiden toimintojen tarkastuksista. Työtilafunktion SAPAuditLogConfigRecommend suorittaminen tuottaa käyttäjille määritettävien suositeltujen tunnisteiden luettelon, kuten Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Sallii ilmoitusten hienosäätämisen sulkemalla pois /sisällyttämällä käyttäjiä tiettyihin konteksteihin, ja sitä käytetään myös valmiiden SAP-analytiikkasääntöjen määrittämiseen SAP-valvontalokin seurantaa varten. Lisätietoja on artikkelissa SAP-valvontalokin valvonta. - SAPUser: SAP-käyttäjä - Tunnisteet: Tunnisteita käytetään tunnistamaan käyttäjiä tietyistä toiminnoista. Esimerkiksi tunnisteiden ["GenericTablebyRFCOK"] lisääminen käyttäjälle SENTINEL_SRV estää RFC:hen liittyvien tapausten luomisen tälle tietylle käyttäjälle Muut Active Directory -käyttäjän tunnisteet - AD-käyttäjätunnus - Käyttäjän paikallinen Sid-tunnus - Käyttäjän päänimi |
| Katseluluettelon nimi | Kuvaus ja kentät |
|---|---|
| SAP – kriittiset valtuutukset | Kriittinen Valtuutus -objekti, jossa varauksia tulisi hallita. - AuthorizationObject: SAP-valtuutusobjekti, kuten S_DEVELOP, S_TCODEtai Table TOBJ - AuthorizationField: SAP-valtuutuskenttä, kuten OBJTYP tai TCD - AuthorizationValue: SAP-valtuutuskentän arvo, kuten DEBUG - ActivityField : SAP-toimintokenttä. Useimmissa tapauksissa tämä arvo on ACTVT. Valtuutustieto-objekteille, joilla ei ole toimintoa, tai vain Toiminto-kentälle, joka on täytetty arvolla .NOT_IN_USE - Aktiviteetti: SAP-toiminto valtuutusobjektin mukaan, kuten: 01Luo; 02: Muuta; 03: Näyttö ja niin edelleen. - Kuvaus: Merkityksellinen kriittisen valtuutusobjektin kuvaus. |
| SAP – Pois jätetyt verkot | Ulkoisesti suljettujen verkkojen sisäiseen ylläpitoon, kuten verkkolähettimien ja päätepalvelimien ohittamiseen. - Verkko: verkon IP-osoite tai alue, kuten 111.68.128.0/17. - Kuvaus: kuvaava verkon kuvaus. |
| SAP:n ulkopuolelle jätetyt käyttäjät | Järjestelmään kirjautuneet järjestelmän käyttäjät on ohitettava. Voit esimerkiksi antaa ilmoituksia useista saman käyttäjän kirjautumisista. - Käyttäjä: SAP-käyttäjä - Kuvaus: kuvaava käyttäjäkuvaus. |
| SAP – verkot | Sisäiset ja kunnossapitoverkot luvattomien kirjautumisten tunnistamiseksi. - Verkko: verkon IP-osoite tai alue, kuten 111.68.128.0/17 - Kuvaus: kuvaava verkon kuvaus. |
| SAP – etuoikeutetut käyttäjät | Etuoikeutetut käyttäjät, joilla on ylimääräisiä rajoituksia. - Käyttäjä: ABAP-käyttäjä, kuten DDIC tai SAP - Kuvaus: kuvaava käyttäjäkuvaus. |
| SAP – luottamukselliset ABAP-ohjelmat | Luottamuksellisia ABAP-ohjelmia (raportteja), joissa suoritusta tulisi hallita. - ABAPProgram: ABAP-ohjelma tai raportti, kuten RSPFLDOC - Kuvaus: Kuvaava ohjelmakuvaus. |
| SAP – Herkkä funktiomoduuli | Sisäiset ja kunnossapitoverkot luvattomien kirjautumisten tunnistamiseksi. - FunctionModule: ABAP-funktiomoduuli, kuten RSAU_CLEAR_AUDIT_LOG - Kuvaus: Merkityksellinen moduulin kuvaus. |
| SAP – luottamukselliset profiilit | Arkaluontoisia profiileja, joissa tehtäviä tulisi hallita. - Profiili: SAP-valtuutusprofiili, kuten SAP_ALL tai SAP_NEW - Kuvaus: kuvaavan profiilin kuvauksen. |
| SAP – luottamukselliset taulukot | Arkaluontoisia taulukoita, joissa käyttöoikeuksia tulisi hallita. - Taulukko: ABAP-sanastotaulukko, kuten USR02 tai PA008 - Kuvaus: kuvaava taulukon kuvaus. |
| SAP – luottamukselliset roolit | Arkaluontoisia rooleja, joissa määritystä tulisi hallita. - Rooli: SAP-valtuutusrooli, kuten SAP_BC_BASIS_ADMIN - Kuvaus: Kuvaava roolikuvaus. |
| SAP – luottamukselliset tapahtumat | Arkaluonteisia tapahtumia, joissa suoritusta tulisi hallita. - TransactionCode: SAP-tapahtumakoodi, kuten RZ11 - Kuvaus: Kuvaava koodin kuvaus. |
| SAP – järjestelmät | Kuvaa SAP-järjestelmien vaakasuuntaa roolin, käytön ja määrityksen mukaan. - SystemID: SAP-järjestelmätunnus (SYSID) - SystemRole: SAP-järjestelmän rooli, yksi seuraavista arvoista: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: SAP-järjestelmän käyttö, yksi seuraavista arvoista: ERP, BW, Solman, , GatewayEnterprise Portal - InterfaceAttributes: valinnainen dynaaminen parametri käytettäväksi playbookeissa. |
| SAP – pois jätetyt käyttäjät | Järjestelmän käyttäjät, jotka ovat kirjautuneet sisään ja jotka on ohitettava, kuten kirjautuessa useita kirjautumisia käyttäjän toimesta. - Käyttäjä: SAP-käyttäjä - Kuvaus: Kuvaava käyttäjäkuvaus |
| SAP – Pois jätetyt verkot | Säilytä sisäiset, pois jätetyt verkot esimerkiksi verkkolähettimien ja päätepalvelimien ohittamista varten. - Verkko: verkon IP-osoite tai alue, kuten 111.68.128.0/17 - Kuvaus: kuvaava verkon kuvaus |
| SAP – Vanhentuneet funktiomoduulit | Vanhentuneet funktiomoduulit, joiden suoritusta tulisi hallita. - FunctionModule: ABAP-funktiomoduuli, kuten TH_SAPREL - Kuvaus: Merkityksellinen funktiomoduulin kuvaus |
| SAP – Vanhentuneet ohjelmat | Vanhentuneet ABAP-ohjelmat (raportit), joiden suoritusta tulisi hallita. - ABAPProgram: ABAP-ohjelma, kuten TH_ RSPFLDOC - Kuvaus: Merkityksellinen ABAP-ohjelman kuvaus |
| SAP – ABAP-sukupolvien tapahtumat | Sellaisten ABAP-sukupolvien tapahtumat, joiden suorittamista tulisi hallita. - TransactionCode: Tapahtumakoodi, kuten SE11. - Kuvaus: merkityksellinen tapahtumakoodin kuvaus |
| SAP – FTP-palvelimet | FTP-palvelimet luvattomien yhteyksien tunnistamista varten. - Asiakas, kuten 100. - FTP_Server_Name: FTP-palvelimen nimi, kuten http://contoso.com/ - FTP_Server_Port:FTP-palvelinportti, kuten 22. - KuvausMerkityksellinen FTP-palvelimen kuvaus |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Määritä SAP-valvontalokin ilmoitukset määrittämällä kullekin viestitunnukselle vakavuustaso järjestelmän roolin mukaan (tuotanto, ei tuotanto). Tässä katseluluettelossa on tiedot kaikista saatavilla olevista SAP-vakiovalvontalokin viestitunnuksista. Katseluluettelo voidaan laajentaa sisältämään ylimääräisiä viestitunnuksia, joita voit luoda itse käyttämällä ABAP-parannuksia niiden SAP NetWeaver -järjestelmissä. Tämän katseluluettelon avulla voidaan myös määrittää määritetty tiimi käsittelemään kutakin tapahtumatyyppiä ja jättää käyttäjät pois SAP-roolien, SAP-profiilien tai SAP_User_Config katseluluettelon tunnisteiden perusteella. Tämä katseluluettelo on yksi keskeisistä osista, joita käytetään määritettäessä sisäisiä SAP-analytiikkasääntöjä SAP-valvontalokin seurantaa varten. Lisätietoja on artikkelissa SAP-valvontalokin valvonta. - MessageID: SAP-viestitunnus tai tapahtumatyyppi, kuten AUD (käyttäjän päätietue muuttuu) tai AUB (valtuutus muuttuu). - DetailedDescription: Merkintää käyttävä kuvaus, joka näytetään tapausruudussa. - ProductionSeverity: Haluttu vakavuusaste, jolla tapaus luodaan tuotantojärjestelmille High, Medium. Voidaan määrittää arvoksi Disabled. - NonProdSeverity: Haluttu vakavuusaste tapahtumalle, joka luodaan ei-tuotantojärjestelmille High, Medium. Voidaan määrittää arvoksi Disabled. - ProductionThreshold "Tuntia kohti" niiden tapahtumien määrä, joita pidetään epäilyttävinä tuotantojärjestelmissä 60. - NonProdThreshold Tunnissa niiden tapahtumien määrä, joita pidetään epäilyttävinä ei-tuotantojärjestelmissä 10. - RolesTagsToExclude: Tämä kenttä hyväksyy SAP-roolin nimen, SAP-profiilien nimet tai tunnisteet SAP_User_Config katseluluettelosta. Näiden avulla niihin liittyvät käyttäjät jätetään pois tietyistä tapahtumatyypeistä. Katso roolitunnisteiden asetukset tämän luettelon lopusta. - RuleType: Käytetään Deterministic , jos tapahtumatyyppi lähetetään SAP - Dynamic Deterministic Audit Log Monitor - sääntöön tai AnomaliesOnly jos tämä tapahtuma kuuluu SAP - Dynamic Anomaly Based Audit Log Monitor (PREVIEW) -säännön piiriin. Lisätietoja on artikkelissa SAP-valvontalokin valvonta. - TeamsChannelID: valinnainen dynaaminen parametri käytettäväksi playbookeissa. - DestinationEmail: valinnainen dynaaminen parametri käytettäväksi playbookeissa. RolesTagsToExclude-kentälle: - Jos luettelet SAP-roolit tai SAP-profiilit, tämä jättää pois kaikki käyttäjät, joilla on lueteltu roolit tai profiilit näistä tapahtumatyypeistä, samalle SAP-järjestelmälle. Jos esimerkiksi määrität BASIC_BO_USERS ABAP-roolin RFC:hen liittyville tapahtumatyypeille, yritysobjektien käyttäjät eivät käynnistä tapahtumia, kun he tekevät massiivisia RFC-kutsuja.- Tapahtumatyypin merkitseminen on samanlaista kuin SAP-roolien tai -profiilien määrittäminen, mutta tunnisteita voidaan luoda työtilassa, joten SOC-tiimit voivat jättää käyttäjät pois toiminnan mukaan ilman SAP BASIS -tiimin mukaan. Esimerkiksi valvontaviestin tunnukset AUB (valtuutusmuutokset) ja AUD (käyttäjän päätietueen muutokset) määritetään MassiveAuthChanges -tunniste. Tämän tunnisteen määrittäneet käyttäjät jätetään pois näiden toimintojen tarkastuksista. Työtilafunktion SAPAuditLogConfigRecommend suorittaminen tuottaa käyttäjille määritettävien suositeltujen tunnisteiden luettelon, kuten Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Sallii ilmoitusten hienosäätämisen sulkemalla pois /sisällyttämällä käyttäjiä tiettyihin konteksteihin, ja sitä käytetään myös valmiiden SAP-analytiikkasääntöjen määrittämiseen SAP-valvontalokin seurantaa varten. Lisätietoja on artikkelissa SAP-valvontalokin valvonta. - SAPUser: SAP-käyttäjä - Tunnisteet: Tunnisteita käytetään tunnistamaan käyttäjiä tietyistä toiminnoista. Esimerkiksi tunnisteiden ["GenericTablebyRFCOK"] lisääminen käyttäjälle SENTINEL_SRV estää RFC:hen liittyvien tapausten luomisen tälle tietylle käyttäjälle Muut Active Directory -käyttäjän tunnisteet - AD-käyttäjätunnus - Käyttäjän paikallinen Sid-tunnus - Käyttäjän päänimi |
Käytettävissä olevat pelikirjat
Microsoft Sentinel ratkaisun SAP-sovelluksille tarjoamien playbook-kirjojen avulla voit automatisoida SAP-tapausten käsittelyn kuormituksia parantaen suojaustoimintojen tehokkuutta ja tehokkuutta.
Tässä osiossa kuvataan valmiita analytiikan käyttökirjoja, jotka on annettu yhdessä Microsoft Sentinel ratkaisun kanssa SAP-sovelluksille.
| Playbook-nimi | Parametrit | Yhteydet |
|---|---|---|
| SAP-tapausten käsittely – Lukitse käyttäjä Teamsista – perustiedot | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - Oletussähköposti - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP-tapausten käsittely – Lukitse käyttäjä Teamsista – lisäasetukset | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure valvontalokit - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| SAP-tapausten käsittely – Uudelleen käyttöönotettava valvontaloki, kun aktivointi on poistettu | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure valvontalokit - Microsoft Teams |
Seuraavissa osioissa kuvataan esimerkkikäyttötapauksia kullekin annetulle pelikirjalle skenaariossa, jossa tapaus varoitti epäilyttävästä toiminnasta yhdessä SAP-järjestelmissä, jossa käyttäjä yrittää suorittaa jonkin näistä erittäin arkaluonteisista tapahtumista.
Tapahtumavaiheen aikana päätät ryhtyä toimiin tätä käyttäjää vastaan, potkia sen ulos SAP ERP- tai BTP-järjestelmistäsi tai jopa Microsoft Entra ID.
Lisätietoja on artikkelissa Uhkien automaattinen reagointi pelikirjojen avulla Microsoft Sentinel
Standard logiikkasovellusten käyttöönottoprosessi on yleensä monimutkaisempi kuin kulutuslogiikkasovellusten. Olemme luoneet joukon pikakuvakkeita, joiden avulla voit ottaa ne nopeasti käyttöön Microsoft Sentinel GitHub-säilöstä. Lisätietoja on kohdassa Vaiheittainen asennusopas.
Vihje
Katso SAP-pelikirjojen kansio GitHub-säilössä, niin saat lisää pelikirjoja, kun niitä tulee saataville. Siellä on myös lyhyt esittelyvideo (ulkoinen linkki), jonka avulla pääset alkuun.
Käyttäjän lukitseminen ulos yhdestä järjestelmästä
Luo automaatiosääntö, joka kutsuu Lock-käyttäjän Teamsista – Perus-toistokirjaan aina, kun valtuuttamaton käyttäjä havaitsee arkaluontoisen tapahtuman suorittamisen. Tämä pelikirja käyttää Teamsin mukautuvien korttien ominaisuutta hyväksynnän pyytämiseen ennen käyttäjän yksipuolista estämistä.
Lisätietoja on artikkelissa Nollasta sankarisuojaukseen, jossa on Microsoft Sentinel kriittisille SAP-suojaussignaaleillesi – Kuulet minut huimasti! Osa 1 (SAP-blogikirjoitus).
Lock-käyttäjä Teamsista – Perus playbook on Standard pelikirja, ja Standard on yleensä monimutkaisempi ottaa käyttöön kuin Kulutus-pelikirjat.
Olemme luoneet joukon pikakuvakkeita, joiden avulla voit ottaa ne nopeasti käyttöön Microsoft Sentinel GitHub-säilöstä. Lisätietoja on kohdassa Vaiheittainen asennusopas ja Tuetut logiikkasovellustyypit.
Käyttäjän lukitseminen ulos useista järjestelmistä
Lock-käyttäjä Teams - Advanced Playbook -toiminnolla saavutetaan sama tavoite, mutta se on suunniteltu monimutkaisempiin tilanteisiin, jolloin yhtä pelikirjaa voidaan käyttää useissa SAP-järjestelmissä, joilla kullakin on oma SAP SID -tunnus.
Lukitse käyttäjä Teamsista – Kehittynyt -toistokirja hallitsee saumattomasti yhteyksiä kaikkiin näihin järjestelmiin ja niiden tunnistetietoja käyttämällä InterfaceAttributes-valinnaista dynaamista parametria SAP - Systems -katseluluettelossa ja Azure Key Vault.
Lock user from Teams – Advanced Playbook -toiminnolla voit myös viestiä hyväksyntäprosessin osapuolten kanssa käyttämällä Outlookin toiminnallisia viestejä yhdessä Teamsin kanssa käyttämällä SAP_Dynamic_Audit_Log_Monitor_Configuration katseluluettelon TeamsChannelID- ja DestinationEmail-parametreja.
Lisätietoja on artikkelissa Nollasta sankarisuojaukseen, jossa on Microsoft Sentinel kriittisille SAP-suojaussignaaleille – osa 2 (SAP-blogikirjoitus).
Estä valvontalokin aktivoinnin poistaminen käytöstä
Saatat olla huolissasi myös siitä, että SAP-valvontaloki, joka on yksi suojaustietolähteistäsi, poistetaan käytöstä. Suosittelemme, että luot sap – suojauksen valvontalokin analytiikkasäännön aktivoinnin poistamisen perusteella automaatiosäännön, jolla käynnistetään Uudelleenlähitettävä valvontaloki, kun se on poistettu käytöstä -pelikirjasta, jotta varmistetaan, ettei SAP-valvontalokia poisteta käytöstä.
SAP – Suojauksen valvontalokin aktivoinnin poistaminen käytöstä -toistokirjassa käytetään myös Teamsia, joka ilmoittaa tietoturvahenkilöstölle sen jälkeen. Rikkomuksen vakavuus ja lievennyksen kiireellisyys osoittavat, että välittömiin toimiin voidaan ryhtyä ilman hyväksyntää.
Koska SAP – Suojausvalvontalokin aktivoinnin poistaminen -pelikirja käyttää myös Azure Key Vault tunnistetietojen hallintaan, pelikirjan määritys on samanlainen kuin Teamsin Lukitse käyttäjä - Kehittynyt pelikirja -oppaalla. Lisätietoja on artikkelissa Nollasta sankarisuojaukseen, jossa on Microsoft Sentinel kriittisille SAP-suojaussignaaleille – osa 3 (SAP-blogikirjoitus).
Aiheeseen liittyvä sisältö
Lisätietoja on artikkelissa Microsoft Sentinel ratkaisun käyttöönotto SAP-sovelluksille.