Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article détaille le contenu de sécurité disponible pour les solutions Microsoft Sentinel pour SAP.
Importante
Les éléments notés décrits dans cet article sont en préversion. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent à Azure fonctionnalités qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Le contenu de sécurité disponible comprend des classeurs intégrés et des règles d’analyse. Vous pouvez également ajouter des watchlists sap à utiliser dans vos playbooks de recherche, de détection, de repérage des menaces et de réponse.
Le contenu de cet article est destiné à votre équipe de sécurité .
Classeurs intégrés
Utilisez les classeurs intégrés suivants pour visualiser et surveiller les données ingérées via le connecteur de données SAP. Après avoir déployé la solution SAP, vous trouverez des classeurs SAP sous l’onglet Modèles .
| Nom du classeur | Description | Journaux d’activité |
|---|---|---|
| SAP - Audit Log Browser | Affiche des données telles que : - Intégrité générale du système, y compris les connexions utilisateur au fil du temps, les événements ingérés par le système, les classes de message et les ID, et les programmes ABAP s’exécutent -Gravités des événements qui se produisent dans votre système - Événements d’authentification et d’autorisation qui se produisent dans votre système |
Utilise les données du journal suivant : ABAPAuditLog |
| Contrôles d’audit SAP | Vous aide à case activée les contrôles de sécurité de votre environnement SAP pour la conformité avec l’infrastructure de contrôle choisie, à l’aide d’outils permettant d’effectuer les opérations suivantes : - Attribuer des règles d’analytique dans votre environnement à des contrôles de sécurité et des familles de contrôles spécifiques - Surveiller et catégoriser les incidents générés par les règles d’analyse basées sur la solution SAP - Rapport sur votre conformité |
Utilise les données des tables suivantes : - SecurityAlert- SecurityIncident |
Pour plus d’informations, consultez Tutoriel : Visualiser et surveiller vos données et Déployer Microsoft Sentinel solution pour les applications SAP.
Règles d’analyse intégrées
Cette section décrit une sélection de règles d’analyse intégrées fournies avec la solution Microsoft Sentinel pour les applications SAP. Le connecteur de données sans agent fonctionne avec un ensemble consolidé de sources. Pour les mises à jour les plus récentes, case activée le hub de contenu Microsoft Sentinel pour les règles nouvelles et mises à jour.
Surveiller la configuration des paramètres de sécurité SAP statiques (préversion)
Pour sécuriser le système SAP, SAP a identifié les paramètres liés à la sécurité qui doivent être surveillés pour les modifications. Avec la règle « SAP - (préversion) Le paramètre statique sensible a changé », la solution Microsoft Sentinel pour les applications SAP effectue le suivi de plus de 52 paramètres statiques liés à la sécurité dans le système SAP, qui sont intégrés à Microsoft Sentinel.
Remarque
Pour que la solution Microsoft Sentinel pour les applications SAP surveille correctement les paramètres de sécurité SAP, la solution doit surveiller correctement la table SAP PAHI à intervalles réguliers. Pour plus d’informations, consultez Vérifier que la table PAHI est mise à jour à intervalles réguliers.
Pour comprendre les modifications de paramètres dans le système, la solution Microsoft Sentinel pour les applications SAP utilise la table d’historique des paramètres, qui enregistre les modifications apportées aux paramètres système toutes les heures.
Les paramètres sont également reflétés dans la watchlist SAPSystemParameters. Cette watchlist permet aux utilisateurs d’ajouter de nouveaux paramètres, de désactiver les paramètres existants et de modifier les valeurs et les gravités par paramètre et rôle système dans les environnements de production ou hors production.
Lorsqu’une modification est apportée à l’un de ces paramètres, Microsoft Sentinel vérifie si la modification est liée à la sécurité et si la valeur est définie selon les valeurs recommandées. Si la modification est suspectée comme étant en dehors de la zone sécurisée, Microsoft Sentinel crée un incident détaillant la modification et identifie qui a apporté la modification.
Passez en revue la liste des paramètres que cette règle surveille.
Surveiller le journal d’audit SAP
La plupart des règles d’analyse de la solution Microsoft Sentinel pour les applications SAP utilisent les données du journal d’audit SAP. Certaines règles d’analyse recherchent des événements spécifiques dans le journal, tandis que d’autres mettent en corrélation les indications de plusieurs journaux pour créer des alertes et des incidents haute fidélité.
Utilisez les règles d’analyse suivantes pour surveiller tous les événements du journal d’audit sur votre système SAP ou déclencher des alertes uniquement quand des anomalies sont détectées :
| Nom de la règle | Description |
|---|---|
| SAP - Configuration manquante dans le moniteur de journal d’audit de sécurité dynamique | Par défaut, s’exécute quotidiennement pour fournir des recommandations de configuration pour le module de journal d’audit SAP. Utilisez le modèle de règle pour créer et personnaliser une règle pour votre espace de travail. |
| SAP - Moniteur de journal d’audit déterministe dynamique (PRÉVERSION) | Par défaut, s’exécute toutes les 10 minutes et se concentre sur les événements du journal d’audit SAP marqués comme déterministes. Utilisez le modèle de règle pour créer et personnaliser une règle pour votre espace de travail, par exemple pour un taux de faux positifs inférieur. Cette règle nécessite des seuils d’alerte déterministes et des règles d’exclusion d’utilisateur. |
| SAP - Alertes de moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION) | Par défaut, s’exécute toutes les heures et se concentre sur les événements SAP marqués comme AnomaliesOnly, en alertant sur les événements du journal d’audit SAP lorsque des anomalies sont détectées. Cette règle applique des algorithmes de Machine Learning supplémentaires pour filtrer le bruit de fond de manière non supervisée. |
Par défaut, la plupart des types d’événements ou des ID de message SAP dans le journal d’audit SAP sont envoyés à la règle d’analyse des alertes du journal d’audit basées sur les anomalies dynamiques basées sur les anomalies (PRÉVERSION), tandis que les types d’événements plus faciles à définir sont envoyés à la règle d’analyse déterministe du moniteur de journal d’audit déterministe (PRÉVERSION). Ce paramètre, ainsi que d’autres paramètres associés, peuvent être configurés pour répondre à toutes les conditions système.
Les règles de surveillance des journaux d’audit SAP sont fournies dans le cadre de la Microsoft Sentinel pour le contenu de sécurité de la solution SAP et permettent d’affiner davantage les réglages à l’aide des watchlists SAP_Dynamic_Audit_Log_Monitor_Configuration et SAP_User_Config.
Par exemple, le tableau suivant répertorie plusieurs exemples d’utilisation de la watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration pour configurer les types d’événements qui produisent des incidents, ce qui réduit le nombre d’incidents générés.
| Option | Description |
|---|---|
| Définir des gravités et désactiver les événements indésirables | Par défaut, les règles déterministes et les règles basées sur les anomalies créent des alertes pour les événements marqués avec des gravités moyennes et élevées. Vous pouvez configurer les gravités séparément des environnements de production et de non-production. Par exemple, vous pouvez définir un événement d’activité de débogage comme une gravité élevée dans les systèmes de production et désactiver entièrement les mêmes événements dans les systèmes hors production. |
| Exclure des utilisateurs en fonction de leur rôle SAP ou de leur profil SAP | Microsoft Sentinel pour SAP ingère le profil d’autorisation de l’utilisateur SAP, y compris les attributions de rôles directes et indirectes, les groupes et les profils, afin que vous puissiez parler le langage SAP dans votre SIEM. Vous pouvez configurer un événement SAP pour exclure des utilisateurs en fonction de leurs rôles et profils SAP. Dans la watchlist, ajoutez les rôles ou profils qui regroupent les utilisateurs de votre interface RFC dans la colonne RolesTagsToExclude , en regard de l’événement Accès à la table générique par RFC . Cette configuration déclenche des alertes uniquement pour les utilisateurs qui ne disposent pas de ces rôles. |
| Exclure des utilisateurs en fonction de leurs balises SOC | Utilisez des étiquettes pour créer votre propre regroupement, sans vous appuyer sur des définitions SAP complexes ou même sans autorisation SAP. Cette méthode est utile pour les équipes SOC qui souhaitent créer leur propre regroupement pour les utilisateurs SAP. Par exemple, si vous ne souhaitez pas que des comptes de service spécifiques soient alertés pour l’accès aux tables génériques par des événements RFC , mais que vous ne trouvez pas de rôle SAP ou de profil SAP qui regroupe ces utilisateurs, utilisez des balises comme suit : 1. Ajoutez la balise GenTableRFCReadOK en regard de l’événement approprié dans la watchlist. 2. Accédez à la watchlist SAP_User_Config et attribuez la même balise aux utilisateurs de l’interface. |
| Spécifier un seuil de fréquence par type d’événement et rôle système | Fonctionne comme une limite de vitesse. Par exemple, vous pouvez configurer des événements de modification d’enregistrement maître de l’utilisateur pour déclencher des alertes uniquement si plus de 12 activités sont observées en une heure, par le même utilisateur dans un système de production. Si un utilisateur dépasse la limite de 12 par heure (par exemple, 2 événements dans une fenêtre de 10 minutes), un incident est déclenché. |
| Déterminisme ou anomalies | Si vous connaissez les caractéristiques de l’événement, utilisez les fonctionnalités déterministes. Si vous ne savez pas comment configurer correctement l’événement, autorisez les fonctionnalités de Machine Learning à décider de démarrer, puis d’effectuer les mises à jour suivantes en fonction des besoins. |
| Fonctionnalités SOAR | Utilisez Microsoft Sentinel pour orchestrer, automatiser et répondre aux incidents créés par les alertes dynamiques du journal d’audit SAP. Pour plus d’informations, consultez Automation dans Microsoft Sentinel : Orchestration, automatisation et réponse de sécurité (SOAR). |
Pour plus d’informations, consultez Watchlists disponibles et Microsoft Sentinel pour SAP News - Dynamic SAP Security Audit Log Monitor fonctionnalité disponible dès maintenant ! (blog).
Accès initial
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - Connexion à partir d’un réseau inattendu | Identifie une connexion à partir d’un réseau inattendu. Gérer les réseaux dans la watchlist SAP - Réseaux . |
Connectez-vous au système principal à partir d’une adresse IP qui n’est pas affectée à l’un des réseaux. Sources de données : SAPcon - Journal d’audit |
Accès initial |
| SAP - Attaque SPNego | Identifie SPNego Replay Attack. | Sources de données : SAPcon - Journal d’audit | Impact, mouvement latéral |
| SAP - Tentative d’ouverture de session de boîte de dialogue à partir d’un utilisateur privilégié | Identifie les tentatives de connexion de boîte de dialogue, avec le type AUM , par les utilisateurs privilégiés dans un système SAP. Pour plus d’informations, consultez SAPUsersGetPrivileged. | Tentative de connexion à partir de la même adresse IP à plusieurs systèmes ou clients dans l’intervalle de temps planifié Sources de données : SAPcon - Journal d’audit |
Impact, mouvement latéral |
| SAP - Attaques par force brute | Identifie les attaques par force brute sur le système SAP à l’aide des connexions RFC | Tentative de connexion à partir de la même adresse IP à plusieurs systèmes/clients dans l’intervalle de temps planifié à l’aide de RFC Sources de données : SAPcon - Journal d’audit |
Accès informations d'identification |
| SAP - Ouvertures de session multiples par ADRESSE IP | Identifie la connexion de plusieurs utilisateurs à partir de la même adresse IP dans un intervalle de temps planifié. Sous-cas d’utilisation : Persistance |
Connectez-vous à l’aide de plusieurs utilisateurs via la même adresse IP. Sources de données : SAPcon - Journal d’audit |
Accès initial |
| SAP - Ouvertures de session multiples par utilisateur | Identifie les connexions du même utilisateur à partir de plusieurs terminaux dans un intervalle de temps planifié. Disponible uniquement via la méthode Audit SAL, pour SAP versions 7.5 et ultérieures. |
Connectez-vous à l’aide du même utilisateur, à l’aide d’adresses IP différentes. Sources de données : SAPcon - Journal d’audit |
Pré-attaque, accès aux informations d’identification, accès initial, collection Sous-cas d’utilisation : Persistance |
| SAP - Information - Cycle de vie - Les notes SAP ont été implémentées dans le système | Identifie l’implémentation de note SAP dans le système. | Implémentez une note SAP à l’aide de SNOTE/TCI. Sources de données : SAPcon - Demandes de modification |
- |
| SAP - (préversion) AS JAVA - Utilisateur privilégié sensible connecté | Identifie une connexion à partir d’un réseau inattendu. Gérer les utilisateurs privilégiés dans la watchlist SAP - Utilisateurs privilégiés . |
Connectez-vous au système principal à l’aide d’utilisateurs privilégiés. Sources de données : SAPJAVAFilesLog |
Accès initial |
| SAP - (préversion) AS JAVA - Sign-In à partir d’un réseau inattendu | Identifie les connexions à partir d’un réseau inattendu. Conservez les utilisateurs privilégiés dans la watchlist SAP - Networks . |
Connectez-vous au système principal à partir d’une adresse IP qui n’est pas affectée à l’un des réseaux dans la watchlist SAP - Networks Sources de données : SAPJAVAFilesLog |
Accès initial, évasion de défense |
Data exfiltration
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - FTP pour les serveurs non autorisés | Identifie une connexion FTP pour un serveur non autorisé. | Créez une connexion FTP, par exemple à l’aide du module de fonction FTP_CONNECT. Sources de données : SAPcon - Journal d’audit |
Découverte, accès initial, commande et contrôle |
| SAP - Configuration des serveurs FTP non sécurisés | Identifie les configurations de serveur FTP non sécurisées, par exemple lorsqu’une liste d’autorisation FTP est vide ou contient des espaces réservés. | Ne conservez pas les valeurs qui contiennent des espaces réservés dans la table, à l’aide SAPFTP_SERVERS de la SAPFTP_SERVERS_V vue maintenance. (SM30) Sources de données : SAPcon - Journal d’audit |
Accès initial, commande et contrôle |
| SAP - Téléchargement de plusieurs Files | Identifie plusieurs téléchargements de fichiers pour un utilisateur dans un intervalle de temps spécifique. | Téléchargez plusieurs fichiers à l’aide de SAPGui pour Excel, des listes, etc. Sources de données : SAPcon - Journal d’audit |
Collection, exfiltration, accès aux informations d’identification |
| SAP - Exécutions de plusieurs spouleurs | Identifie plusieurs spoules pour un utilisateur dans un intervalle de temps spécifique. | Créez et exécutez plusieurs travaux de pool de tout type par un utilisateur. (SP01) Sources de données : SAPcon - Spool Log, SAPcon - Journal d’audit |
Collection, exfiltration, accès aux informations d’identification |
| SAP - Exécutions de sorties de spoulage multiples | Identifie plusieurs spoules pour un utilisateur dans un intervalle de temps spécifique. | Créez et exécutez plusieurs travaux de pool de tout type par un utilisateur. (SP01) Sources de données : SAPcon - Journal de sortie du spoul, SAPcon - Journal d’audit |
Collection, exfiltration, accès aux informations d’identification |
| SAP - Accès direct aux tables sensibles par ouverture de session RFC | Identifie un accès à une table générique par connexion RFC. Conservez les tables dans la watchlist SAP - Sensitive Tables . Concerne uniquement les systèmes de production. |
Ouvrez le contenu de la table à l’aide de SE11/SE16/SE16N. Sources de données : SAPcon - Journal d’audit |
Collection, exfiltration, accès aux informations d’identification |
| SAP - Prise de contrôle de Spool | Identifie un utilisateur qui imprime une demande de spouleur créée par quelqu’un d’autre. | Créez une demande de pool à l’aide d’un utilisateur, puis extrayez-la à l’aide d’un autre utilisateur. Sources de données : SAPcon - Journal du spoul, SAPcon - Journal de sortie du spoul, SAPcon - Journal d’audit |
Collection, exfiltration, commande et contrôle |
| SAP - Destination RFC dynamique | Identifie l’exécution de RFC à l’aide de destinations dynamiques. Sous-cas d’utilisation : tentatives de contournement des mécanismes de sécurité SAP |
Exécutez un rapport ABAP qui utilise des destinations dynamiques (cl_dynamic_destination). Par exemple, DEMO_RFC_DYNAMIC_DEST. Sources de données : SAPcon - Journal d’audit |
Collection, Exfiltration |
| SAP - Accès direct aux tables sensibles par boîte de dialogue d’ouverture de session | Identifie l’accès générique aux tables via une connexion de boîte de dialogue. | Ouvrez le contenu de la table à l’aide de SE11SE16N/SE16/. Sources de données : SAPcon - Journal d’audit |
Découverte |
| SAP - (préversion) Fichier téléchargé à partir d’une adresse IP malveillante | Identifie le téléchargement d’un fichier à partir d’un système SAP à l’aide d’une adresse IP connue pour être malveillante. Les adresses IP malveillantes sont obtenues à partir des services de renseignement sur les menaces. | Téléchargez un fichier à partir d’une adresse IP malveillante. Sources de données : Journal d’audit de sécurité SAP, Renseignement sur les menaces |
Exfiltration |
| SAP - (préversion) Données exportées à partir d’un système de production à l’aide d’un transport | Identifie l’exportation de données à partir d’un système de production à l’aide d’un transport. Les transports sont utilisés dans les systèmes de développement et sont similaires aux demandes de tirage. Cette règle d’alerte déclenche des incidents de gravité moyenne lorsqu’un transport qui inclut des données d’une table est libéré d’un système de production. La règle crée un incident de gravité élevée lorsque l’exportation inclut des données d’une table sensible. | Libérer un transport à partir d’un système de production. Sources de données : journal SAP CR, SAP - Tables sensibles |
Exfiltration |
| SAP - (préversion) Données sensibles enregistrées sur un lecteur USB | Identifie l’exportation des données SAP via des fichiers. La règle vérifie les données enregistrées dans un lecteur USB récemment monté à proximité d’une transaction sensible, d’un programme sensible ou d’un accès direct à une table sensible. | Exportez des données SAP via des fichiers et enregistrez-les sur un lecteur USB. Sources de données : Journal d’audit de sécurité SAP, DeviceFileEvents (Microsoft Defender pour point de terminaison), SAP - Tables sensibles, SAP - Transactions sensibles, SAP - Programmes sensibles |
Exfiltration |
| SAP - (préversion) Impression de données potentiellement sensibles | Identifie une demande ou une impression réelle de données potentiellement sensibles. Les données sont considérées comme sensibles si l’utilisateur obtient les données dans le cadre d’une transaction sensible, de l’exécution d’un programme sensible ou d’un accès direct à une table sensible. | Imprimer ou demander à imprimer des données sensibles. Sources de données : Journal d’audit de sécurité SAP, journaux de spoulage SAP, SAP - Tables sensibles, SAP - Programmes sensibles |
Exfiltration |
| SAP - (préversion) Volume élevé de données potentiellement sensibles exportées | Identifie l’exportation d’un volume élevé de données via des fichiers à proximité d’une exécution d’une transaction sensible, d’un programme sensible ou d’un accès direct à une table sensible. | Exporter un volume élevé de données via des fichiers. Sources de données : Journal d’audit de sécurité SAP, SAP - Tables sensibles, SAP - Transactions sensibles, SAP - Programmes sensibles |
Exfiltration |
Persistance
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - Activation ou désactivation du service ICF | Identifie l’activation ou la désactivation des services ICF. | Activez un service à l’aide de SICF. Sources de données : SAPcon - Journal des données de table |
Commande et contrôle, mouvement latéral, persistance |
| SAP - Module de fonction testé | Identifie le test d’un module de fonction. | Testez un module de fonction à l’aide de SE37 / SE80. Sources de données : SAPcon - Journal d’audit |
Collection, Évasion de défense, Mouvement latéral |
| SAP - (PRÉVERSION) Base de données HANA - Actions Administration utilisateur | Identifie les actions d’administration des utilisateurs. | Créer, mettre à jour ou supprimer un utilisateur de base de données. Sources de données : agent Linux - Syslog* |
Réaffectation des privilèges |
| SAP - Nouveaux gestionnaires de service ICF | Identifie la création de gestionnaires ICF. | Affectez un nouveau gestionnaire à un service à l’aide de SICF. Sources de données : SAPcon - Journal d’audit |
Commande et contrôle, mouvement latéral, persistance |
| SAP - Nouveaux services ICF | Identifie la création de services ICF. | Créez un service à l’aide de SICF. Sources de données : SAPcon - Journal des données de table |
Commande et contrôle, mouvement latéral, persistance |
| SAP - Exécution d’un module de fonction obsolète ou non sécurisé | Identifie l’exécution d’un module de fonction ABAP obsolète ou non sécurisé. Conservez les fonctions obsolètes dans la watchlist SAP - Modules de fonction obsolètes . Veillez à activer les modifications de journalisation de la table pour la EUFUNC table dans le back-end. (SE13)Concerne uniquement les systèmes de production. |
Exécutez un module de fonction obsolète ou non sécurisé directement à l’aide de SE37. Sources de données : SAPcon - Journal des données de table |
Découverte, commande et contrôle |
| SAP - Exécution d’un programme obsolète/non sécurisé | Identifie l’exécution d’un programme ABAP obsolète ou non sécurisé. Conservez les programmes obsolètes dans la watchlist SAP - Programmes obsolètes . Concerne uniquement les systèmes de production. |
Exécutez un programme directement à l’aide de SE38/SA38/SE80 ou à l’aide d’un travail en arrière-plan. Sources de données : SAPcon - Journal d’audit |
Découverte, commande et contrôle |
| SAP - Modifications de mot de passe multiples | Identifie plusieurs modifications de mot de passe par l’utilisateur. | Modifier le mot de passe de l’utilisateur Sources de données : SAPcon - Journal d’audit |
Accès informations d'identification |
| SAP - (préversion) AS JAVA - L’utilisateur crée et utilise un nouvel utilisateur | Identifie la création ou la manipulation d’utilisateurs par les administrateurs dans l’environnement Java SAP AS. | Connectez-vous au système principal à l’aide des utilisateurs que vous avez créés ou manipulés. Sources de données : SAPJAVAFilesLog |
Persistance |
Tentatives de contournement des mécanismes de sécurité SAP
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - Modification de la configuration du client | Identifie les modifications apportées à la configuration du client, telles que le rôle client ou le mode d’enregistrement des modifications. | Effectuez des modifications de configuration du client à l’aide du code de SCC4 transaction. Sources de données : SAPcon - Journal d’audit |
Évasion de défense, exfiltration, persistance |
| SAP - Les données ont changé pendant l’activité de débogage | Identifie les modifications apportées aux données d’exécution pendant une activité de débogage. Sous-cas d’utilisation : Persistance |
1. Activer le débogage (« /h »). 2. Sélectionnez un champ à modifier et mettez à jour sa valeur. Sources de données : SAPcon - Journal d’audit |
Exécution, mouvement latéral |
| SAP - Désactivation du journal d’audit de sécurité | Identifie la désactivation du journal d’audit de sécurité, | Désactivez le journal d’audit de sécurité à l’aide de SM19/RSAU_CONFIG. Sources de données : SAPcon - Journal d’audit |
Exfiltration, évasion de défense, persistance |
| SAP - Exécution d’un programme ABAP sensible | Identifie l’exécution directe d’un programme ABAP sensible. Conservez les programmes ABAP dans la watchlist SAP - Programmes ABAP sensibles . |
Exécutez un programme directement à l’aide de SE38SE80/SA38/. Sources de données : SAPcon - Journal d’audit |
Exfiltration, mouvement latéral, exécution |
| SAP - Exécution d’un code de transaction sensible | Identifie l’exécution d’un code de transaction sensible. Conservez les codes de transaction dans la watchlist SAP - Codes de transaction sensibles . |
Exécutez un code de transaction sensible. Sources de données : SAPcon - Journal d’audit |
Découverte, exécution |
| SAP - Exécution du module de fonction sensible | Identifie l’exécution d’un module de fonction ABAP sensible. Sous-cas d’utilisation : Persistance Concerne uniquement les systèmes de production. Conservez les fonctions sensibles dans la watchlist SAP - Sensitive Function Modules et veillez à activer les modifications de journalisation des tables dans le back-end pour la table EUFUNC. (SE13) |
Exécutez un module de fonction sensible directement à l’aide de SE37. Sources de données : SAPcon - Journal des données de table |
Découverte, commande et contrôle |
| SAP - (PRÉVERSION) Base de données HANA - Auditer les modifications de la stratégie de piste | Identifie les modifications apportées aux stratégies de piste d’audit de la base de données HANA. | Créez ou mettez à jour la stratégie d’audit existante dans les définitions de sécurité. Sources de données : agent Linux - Syslog |
Mouvement latéral, évasion de défense, persistance |
| SAP - (PRÉVERSION) Base de données HANA - Désactivation de la piste d’audit | Identifie la désactivation du journal d’audit de la base de données HANA. | Désactivez le journal d’audit dans la définition de sécurité de la base de données HANA. Sources de données : agent Linux - Syslog |
Persistance, mouvement latéral, évasion de défense |
| SAP - Exécution à distance non autorisée d’un module de fonction sensible | Détecte les exécutions non autorisées de machines virtuelles sensibles en comparant l’activité avec le profil d’autorisation de l’utilisateur tout en ignorant les autorisations récemment modifiées. Conservez les modules de fonction dans la watchlist SAP - Sensitive Function Modules . |
Exécutez un module de fonction à l’aide de RFC. Sources de données : SAPcon - Journal d’audit |
Exécution, mouvement latéral, découverte |
| SAP - Modification de la configuration du système | Identifie les modifications apportées à la configuration du système. | Adaptez les options de modification système ou la modification des composants logiciels à l’aide du SE06 code de transaction.Sources de données : SAPcon - Journal d’audit |
Exfiltration, évasion de défense, persistance |
| SAP - Activités de débogage | Identifie toutes les activités associées au débogage. Sous-cas d’utilisation : Persistance |
Activez le débogage (« /h ») dans le système, déboguez un processus actif, ajoutez un point d’arrêt au code source, etc. Sources de données : SAPcon - Journal d’audit |
Découverte |
| SAP - Modification de la configuration du journal d’audit de sécurité | Identifie les modifications apportées à la configuration du journal d’audit de sécurité | Modifiez n’importe quelle configuration du journal d’audit de sécurité à l’aide SM19/RSAU_CONFIGde , comme les filtres, les status, le mode d’enregistrement, etc. Sources de données : SAPcon - Journal d’audit |
Persistance, exfiltration, évasion de défense |
| SAP - La transaction est déverrouillée | Identifie le déverrouillage d’une transaction. | Déverrouillez un code de transaction à l’aide de SM01SM01_CUS/SM01_DEV/. Sources de données : SAPcon - Journal d’audit |
Persistance, exécution |
| SAP - Programme ABAP dynamique | Identifie l’exécution de la programmation ABAP dynamique. Par exemple, lorsque le code ABAP a été créé, modifié ou supprimé dynamiquement. Conservez les codes de transaction exclus dans la watchlist SAP - Transactions for ABAP Generations . |
Créez un rapport ABAP qui utilise des commandes de génération de programme ABAP, telles que INSERT REPORT, puis exécutez le rapport. Sources de données : SAPcon - Journal d’audit |
Découverte, commande et contrôle, impact |
Opérations de privilèges suspects
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - Modification dans un utilisateur privilégié sensible | Identifie les modifications des utilisateurs privilégiés sensibles. Gérer les utilisateurs privilégiés dans la watchlist SAP - Utilisateurs privilégiés . |
Modifiez les détails/autorisations de l’utilisateur à l’aide de SU01. Sources de données : SAPcon - Journal d’audit |
Élévation des privilèges, accès aux informations d’identification |
| SAP - (PRÉVERSION) Base de données HANA -Attribuer des autorisations Administration | Identifie les privilèges d’administrateur ou l’attribution de rôle. | Attribuez à un utilisateur un rôle ou des privilèges d’administrateur. Sources de données : agent Linux - Syslog |
Réaffectation des privilèges |
| SAP - Utilisateur privilégié sensible connecté | Identifie la connexion de boîte de dialogue d’un utilisateur privilégié sensible. Gérer les utilisateurs privilégiés dans la watchlist SAP - Utilisateurs privilégiés . |
Connectez-vous au système principal à l’aide SAP* de ou d’un autre utilisateur privilégié. Sources de données : SAPcon - Journal d’audit |
Accès initial, accès aux informations d’identification |
| SAP - Un utilisateur privilégié sensible apporte une modification à un autre utilisateur | Identifie les modifications des utilisateurs sensibles et privilégiés dans d’autres utilisateurs. | Modifier les détails/autorisations de l’utilisateur à l’aide de SU01. Sources de données : SAPcon - Journal d’audit |
Élévation des privilèges, accès aux informations d’identification |
| SAP - Modification du mot de passe et connexion des utilisateurs sensibles | Identifie les modifications de mot de passe pour les utilisateurs privilégiés. | Modifiez le mot de passe d’un utilisateur privilégié et connectez-vous au système. Gérer les utilisateurs privilégiés dans la watchlist SAP - Utilisateurs privilégiés . Sources de données : SAPcon - Journal d’audit |
Impact, Commande et contrôle, Escalade des privilèges |
| SAP : l’utilisateur crée et utilise un nouvel utilisateur | Identifie un utilisateur qui crée et utilise d’autres utilisateurs. Sous-cas d’utilisation : Persistance |
Créez un utilisateur à l’aide de SU01, puis connectez-vous à l’aide de l’utilisateur nouvellement créé et de la même adresse IP. Sources de données : SAPcon - Journal d’audit |
Découverte, pré-attaque, accès initial |
| SAP : l’utilisateur déverrouille et utilise d’autres utilisateurs | Identifie un utilisateur déverrouillé et utilisé par d’autres utilisateurs. Sous-cas d’utilisation : Persistance |
Déverrouillez un utilisateur à l’aide de SU01, puis connectez-vous à l’aide de l’utilisateur déverrouillé et de la même adresse IP. Sources de données : SAPcon - Journal d’audit, SAPcon - Journal des documents modifiés |
Découverte, pré-attaque, accès initial, mouvement latéral |
| SAP - Affectation d’un profil sensible | Identifie les nouvelles affectations d’un profil sensible à un utilisateur. Conservez les profils sensibles dans la watchlist SAP - Profils sensibles . |
Attribuez un profil à un utilisateur à l’aide de SU01. Sources de données : SAPcon - Journal des documents modifiés |
Réaffectation des privilèges |
| SAP - Attribution d’un rôle sensible | Identifie de nouvelles attributions pour un rôle sensible à un utilisateur. Conservez les rôles sensibles dans la watchlist SAP - Rôles sensibles . |
Attribuez un rôle à un utilisateur à l’aide de SU01 / PFCG. Sources de données : SAPcon - Journal des documents modifiés, Journal d’audit |
Réaffectation des privilèges |
| SAP - (PRÉVERSION) Attribution d’autorisations critiques - Nouvelle valeur d’autorisation | Identifie l’affectation d’une valeur d’objet d’autorisation critique à un nouvel utilisateur. Conservez les objets d’autorisation critiques dans la watchlist SAP - Objets d’autorisation critiques . |
Attribuez un nouvel objet d’autorisation ou mettez à jour un objet existant dans un rôle, à l’aide PFCGde . Sources de données : SAPcon - Journal des documents modifiés |
Réaffectation des privilèges |
| SAP - Attribution d’autorisations critiques - Nouvelle affectation d’utilisateur | Identifie l’affectation d’une valeur d’objet d’autorisation critique à un nouvel utilisateur. Conservez les objets d’autorisation critiques dans la watchlist SAP - Objets d’autorisation critiques . |
Attribuez un nouvel utilisateur à un rôle qui contient des valeurs d’autorisation critiques, à l’aide SU01/PFCGde . Sources de données : SAPcon - Journal des documents modifiés |
Réaffectation des privilèges |
| SAP - Modifications des rôles sensibles | Identifie les modifications apportées aux rôles sensibles. Conservez les rôles sensibles dans la watchlist SAP - Rôles sensibles . |
Modifier un rôle à l’aide de PFCG. Sources de données : SAPcon - Journal des documents modifiés, SAPcon - Journal d’audit |
Impact, Escalade des privilèges, Persistance |
Surveiller le journal d’audit SAP
La plupart des règles d’analyse de la solution Microsoft Sentinel pour les applications SAP utilisent les données du journal d’audit SAP. Certaines règles d’analyse recherchent des événements spécifiques dans le journal, tandis que d’autres mettent en corrélation les indications de plusieurs journaux pour créer des alertes et des incidents haute fidélité.
Utilisez les règles d’analyse suivantes pour surveiller tous les événements du journal d’audit sur votre système SAP ou déclencher des alertes uniquement quand des anomalies sont détectées :
| Nom de la règle | Description |
|---|---|
| SAP - Configuration manquante dans le moniteur de journal d’audit de sécurité dynamique | Par défaut, s’exécute quotidiennement pour fournir des recommandations de configuration pour le module de journal d’audit SAP. Utilisez le modèle de règle pour créer et personnaliser une règle pour votre espace de travail. |
| SAP - Moniteur de journal d’audit déterministe dynamique (PRÉVERSION) | Par défaut, s’exécute toutes les 10 minutes et se concentre sur les événements du journal d’audit SAP marqués comme déterministes. Utilisez le modèle de règle pour créer et personnaliser une règle pour votre espace de travail, par exemple pour un taux de faux positifs inférieur. Cette règle nécessite des seuils d’alerte déterministes et des règles d’exclusion d’utilisateur. |
| SAP - Alertes de moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION) | Par défaut, s’exécute toutes les heures et se concentre sur les événements SAP marqués comme AnomaliesOnly, en alertant sur les événements du journal d’audit SAP lorsque des anomalies sont détectées. Cette règle applique des algorithmes de Machine Learning supplémentaires pour filtrer le bruit de fond de manière non supervisée. |
Par défaut, la plupart des types d’événements ou des ID de message SAP dans le journal d’audit SAP sont envoyés à la règle d’analyse des alertes du journal d’audit basées sur les anomalies dynamiques basées sur les anomalies (PRÉVERSION), tandis que les types d’événements plus faciles à définir sont envoyés à la règle d’analyse déterministe du moniteur de journal d’audit déterministe (PRÉVERSION). Ce paramètre, ainsi que d’autres paramètres associés, peuvent être configurés pour répondre à toutes les conditions système.
Les règles de surveillance des journaux d’audit SAP sont fournies dans le cadre de la Microsoft Sentinel pour le contenu de sécurité de la solution SAP et permettent d’affiner davantage les réglages à l’aide des watchlists SAP_Dynamic_Audit_Log_Monitor_Configuration et SAP_User_Config.
Par exemple, le tableau suivant répertorie plusieurs exemples d’utilisation de la watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration pour configurer les types d’événements qui produisent des incidents, ce qui réduit le nombre d’incidents générés.
| Option | Description |
|---|---|
| Définir des gravités et désactiver les événements indésirables | Par défaut, les règles déterministes et les règles basées sur les anomalies créent des alertes pour les événements marqués avec des gravités moyennes et élevées. Vous pouvez configurer les gravités séparément des environnements de production et de non-production. Par exemple, vous pouvez définir un événement d’activité de débogage comme une gravité élevée dans les systèmes de production et désactiver entièrement les mêmes événements dans les systèmes hors production. |
| Exclure des utilisateurs en fonction de leur rôle SAP ou de leur profil SAP | Microsoft Sentinel pour SAP ingère le profil d’autorisation de l’utilisateur SAP, y compris les attributions de rôles directes et indirectes, les groupes et les profils, afin que vous puissiez parler le langage SAP dans votre SIEM. Vous pouvez configurer un événement SAP pour exclure des utilisateurs en fonction de leurs rôles et profils SAP. Dans la watchlist, ajoutez les rôles ou profils qui regroupent les utilisateurs de votre interface RFC dans la colonne RolesTagsToExclude , en regard de l’événement Accès à la table générique par RFC . Cette configuration déclenche des alertes uniquement pour les utilisateurs qui ne disposent pas de ces rôles. |
| Exclure des utilisateurs en fonction de leurs balises SOC | Utilisez des étiquettes pour créer votre propre regroupement, sans vous appuyer sur des définitions SAP complexes ou même sans autorisation SAP. Cette méthode est utile pour les équipes SOC qui souhaitent créer leur propre regroupement pour les utilisateurs SAP. Par exemple, si vous ne souhaitez pas que des comptes de service spécifiques soient alertés pour l’accès aux tables génériques par des événements RFC , mais que vous ne trouvez pas de rôle SAP ou de profil SAP qui regroupe ces utilisateurs, utilisez des balises comme suit : 1. Ajoutez la balise GenTableRFCReadOK en regard de l’événement approprié dans la watchlist. 2. Accédez à la watchlist SAP_User_Config et attribuez la même balise aux utilisateurs de l’interface. |
| Spécifier un seuil de fréquence par type d’événement et rôle système | Fonctionne comme une limite de vitesse. Par exemple, vous pouvez configurer des événements de modification d’enregistrement maître de l’utilisateur pour déclencher des alertes uniquement si plus de 12 activités sont observées en une heure, par le même utilisateur dans un système de production. Si un utilisateur dépasse la limite de 12 par heure (par exemple, 2 événements dans une fenêtre de 10 minutes), un incident est déclenché. |
| Déterminisme ou anomalies | Si vous connaissez les caractéristiques de l’événement, utilisez les fonctionnalités déterministes. Si vous ne savez pas comment configurer correctement l’événement, autorisez les fonctionnalités de Machine Learning à décider de démarrer, puis d’effectuer les mises à jour suivantes en fonction des besoins. |
| Fonctionnalités SOAR | Utilisez Microsoft Sentinel pour orchestrer, automatiser et répondre aux incidents créés par les alertes dynamiques du journal d’audit SAP. Pour plus d’informations, consultez Automation dans Microsoft Sentinel : Orchestration, automatisation et réponse de sécurité (SOAR). |
Pour plus d’informations, consultez Watchlists disponibles et Microsoft Sentinel pour SAP News - Dynamic SAP Security Audit Log Monitor fonctionnalité disponible dès maintenant ! (blog).
Accès initial
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - Connexion à partir d’un réseau inattendu | Identifie une connexion à partir d’un réseau inattendu. Gérer les réseaux dans la watchlist SAP - Réseaux . |
Connectez-vous au système principal à partir d’une adresse IP qui n’est pas affectée à l’un des réseaux. Sources de données : SAPcon - Journal d’audit |
Accès initial |
| SAP - Attaque SPNego | Identifie SPNego Replay Attack. | Sources de données : SAPcon - Journal d’audit | Impact, mouvement latéral |
| SAP - Tentative d’ouverture de session de boîte de dialogue à partir d’un utilisateur privilégié | Identifie les tentatives de connexion de boîte de dialogue, avec le type AUM , par les utilisateurs privilégiés dans un système SAP. Pour plus d’informations, consultez SAPUsersGetPrivileged. | Tentative de connexion à partir de la même adresse IP à plusieurs systèmes ou clients dans l’intervalle de temps planifié Sources de données : SAPcon - Journal d’audit |
Impact, mouvement latéral |
| SAP - Attaques par force brute | Identifie les attaques par force brute sur le système SAP à l’aide des connexions RFC | Tentative de connexion à partir de la même adresse IP à plusieurs systèmes/clients dans l’intervalle de temps planifié à l’aide de RFC Sources de données : SAPcon - Journal d’audit |
Accès informations d'identification |
| SAP - Ouvertures de session multiples par ADRESSE IP | Identifie la connexion de plusieurs utilisateurs à partir de la même adresse IP dans un intervalle de temps planifié. Sous-cas d’utilisation : Persistance |
Connectez-vous à l’aide de plusieurs utilisateurs via la même adresse IP. Sources de données : SAPcon - Journal d’audit |
Accès initial |
| SAP - Ouvertures de session multiples par utilisateur | Identifie les connexions du même utilisateur à partir de plusieurs terminaux dans un intervalle de temps planifié. Disponible uniquement via la méthode Audit SAL, pour SAP versions 7.5 et ultérieures. |
Connectez-vous à l’aide du même utilisateur, à l’aide d’adresses IP différentes. Sources de données : SAPcon - Journal d’audit |
Pré-attaque, accès aux informations d’identification, accès initial, collection Sous-cas d’utilisation : Persistance |
Data exfiltration
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - FTP pour les serveurs non autorisés | Identifie une connexion FTP pour un serveur non autorisé. | Créez une connexion FTP, par exemple à l’aide du module de fonction FTP_CONNECT. Sources de données : SAPcon - Journal d’audit |
Découverte, accès initial, commande et contrôle |
| SAP - Configuration des serveurs FTP non sécurisés | Identifie les configurations de serveur FTP non sécurisées, par exemple lorsqu’une liste d’autorisation FTP est vide ou contient des espaces réservés. | Ne conservez pas les valeurs qui contiennent des espaces réservés dans la table, à l’aide SAPFTP_SERVERS de la SAPFTP_SERVERS_V vue maintenance. (SM30) Sources de données : SAPcon - Journal d’audit |
Accès initial, commande et contrôle |
| SAP - Téléchargement de plusieurs Files | Identifie plusieurs téléchargements de fichiers pour un utilisateur dans un intervalle de temps spécifique. | Téléchargez plusieurs fichiers à l’aide de SAPGui pour Excel, des listes, etc. Sources de données : SAPcon - Journal d’audit |
Collection, exfiltration, accès aux informations d’identification |
| SAP - Accès direct aux tables sensibles par ouverture de session RFC | Identifie un accès à une table générique par connexion RFC. Conservez les tables dans la watchlist SAP - Sensitive Tables . Concerne uniquement les systèmes de production. |
Ouvrez le contenu de la table à l’aide de SE11/SE16/SE16N. Sources de données : SAPcon - Journal d’audit |
Collection, exfiltration, accès aux informations d’identification |
| SAP - Destination RFC dynamique | Identifie l’exécution de RFC à l’aide de destinations dynamiques. Sous-cas d’utilisation : tentatives de contournement des mécanismes de sécurité SAP |
Exécutez un rapport ABAP qui utilise des destinations dynamiques (cl_dynamic_destination). Par exemple, DEMO_RFC_DYNAMIC_DEST. Sources de données : SAPcon - Journal d’audit |
Collection, Exfiltration |
| SAP - Accès direct aux tables sensibles par boîte de dialogue d’ouverture de session | Identifie l’accès générique aux tables via une connexion de boîte de dialogue. | Ouvrez le contenu de la table à l’aide de SE11SE16N/SE16/. Sources de données : SAPcon - Journal d’audit |
Découverte |
| SAP - (préversion) Fichier téléchargé à partir d’une adresse IP malveillante | Identifie le téléchargement d’un fichier à partir d’un système SAP à l’aide d’une adresse IP connue pour être malveillante. Les adresses IP malveillantes sont obtenues à partir des services de renseignement sur les menaces. | Téléchargez un fichier à partir d’une adresse IP malveillante. Sources de données : Journal d’audit de sécurité SAP, Renseignement sur les menaces |
Exfiltration |
| SAP - (préversion) Données sensibles enregistrées sur un lecteur USB | Identifie l’exportation des données SAP via des fichiers. La règle vérifie les données enregistrées dans un lecteur USB récemment monté à proximité d’une transaction sensible, d’un programme sensible ou d’un accès direct à une table sensible. | Exportez des données SAP via des fichiers et enregistrez-les sur un lecteur USB. Sources de données : Journal d’audit de sécurité SAP, DeviceFileEvents (Microsoft Defender pour point de terminaison), SAP - Tables sensibles, SAP - Transactions sensibles, SAP - Programmes sensibles |
Exfiltration |
| SAP - (préversion) Volume élevé de données potentiellement sensibles exportées | Identifie l’exportation d’un volume élevé de données via des fichiers à proximité d’une exécution d’une transaction sensible, d’un programme sensible ou d’un accès direct à une table sensible. | Exporter un volume élevé de données via des fichiers. Sources de données : Journal d’audit de sécurité SAP, SAP - Tables sensibles, SAP - Transactions sensibles, SAP - Programmes sensibles |
Exfiltration |
Persistance
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - Module de fonction testé | Identifie le test d’un module de fonction. | Testez un module de fonction à l’aide de SE37 / SE80. Sources de données : SAPcon - Journal d’audit |
Collection, Évasion de défense, Mouvement latéral |
| SAP - (PRÉVERSION) Base de données HANA - Actions Administration utilisateur | Identifie les actions d’administration des utilisateurs. | Créer, mettre à jour ou supprimer un utilisateur de base de données. Sources de données : agent Linux - Syslog* |
Réaffectation des privilèges |
| SAP - Exécution d’un module de fonction obsolète ou non sécurisé | Identifie l’exécution d’un module de fonction ABAP obsolète ou non sécurisé. Conservez les fonctions obsolètes dans la watchlist SAP - Modules de fonction obsolètes . Veillez à activer les modifications de journalisation de la table pour la EUFUNC table dans le back-end. (SE13)Concerne uniquement les systèmes de production. |
Exécutez un module de fonction obsolète ou non sécurisé directement à l’aide de SE37. Sources de données : SAPcon - Journal des données de table |
Découverte, commande et contrôle |
| SAP - Exécution d’un programme obsolète/non sécurisé | Identifie l’exécution d’un programme ABAP obsolète ou non sécurisé. Conservez les programmes obsolètes dans la watchlist SAP - Programmes obsolètes . Concerne uniquement les systèmes de production. |
Exécutez un programme directement à l’aide de SE38/SA38/SE80 ou à l’aide d’un travail en arrière-plan. Sources de données : SAPcon - Journal d’audit |
Découverte, commande et contrôle |
| SAP - Modifications de mot de passe multiples | Identifie plusieurs modifications de mot de passe par l’utilisateur. | Modifier le mot de passe de l’utilisateur Sources de données : SAPcon - Journal d’audit |
Accès informations d'identification |
Tentatives de contournement des mécanismes de sécurité SAP
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - Modification de la configuration du client | Identifie les modifications apportées à la configuration du client, telles que le rôle client ou le mode d’enregistrement des modifications. | Effectuez des modifications de configuration du client à l’aide du code de SCC4 transaction. Sources de données : SAPcon - Journal d’audit |
Évasion de défense, exfiltration, persistance |
| SAP - Les données ont changé pendant l’activité de débogage | Identifie les modifications apportées aux données d’exécution pendant une activité de débogage. Sous-cas d’utilisation : Persistance |
1. Activer le débogage (« /h »). 2. Sélectionnez un champ à modifier et mettez à jour sa valeur. Sources de données : SAPcon - Journal d’audit |
Exécution, mouvement latéral |
| SAP - Désactivation du journal d’audit de sécurité | Identifie la désactivation du journal d’audit de sécurité, | Désactivez le journal d’audit de sécurité à l’aide de SM19/RSAU_CONFIG. Sources de données : SAPcon - Journal d’audit |
Exfiltration, évasion de défense, persistance |
| SAP - Exécution d’un programme ABAP sensible | Identifie l’exécution directe d’un programme ABAP sensible. Conservez les programmes ABAP dans la watchlist SAP - Programmes ABAP sensibles . |
Exécutez un programme directement à l’aide de SE38SE80/SA38/. Sources de données : SAPcon - Journal d’audit |
Exfiltration, mouvement latéral, exécution |
| SAP - Exécution d’un code de transaction sensible | Identifie l’exécution d’un code de transaction sensible. Conservez les codes de transaction dans la watchlist SAP - Codes de transaction sensibles . |
Exécutez un code de transaction sensible. Sources de données : SAPcon - Journal d’audit |
Découverte, exécution |
| SAP - Exécution du module de fonction sensible | Identifie l’exécution d’un module de fonction ABAP sensible. Sous-cas d’utilisation : Persistance Concerne uniquement les systèmes de production. Conservez les fonctions sensibles dans la watchlist SAP - Sensitive Function Modules et veillez à activer les modifications de journalisation des tables dans le back-end pour la table EUFUNC. (SE13) |
Exécutez un module de fonction sensible directement à l’aide de SE37. Sources de données : SAPcon - Journal des données de table |
Découverte, commande et contrôle |
| SAP - (PRÉVERSION) Base de données HANA - Auditer les modifications de la stratégie de piste | Identifie les modifications apportées aux stratégies de piste d’audit de la base de données HANA. | Créez ou mettez à jour la stratégie d’audit existante dans les définitions de sécurité. Sources de données : agent Linux - Syslog |
Mouvement latéral, évasion de défense, persistance |
| SAP - (PRÉVERSION) Base de données HANA - Désactivation de la piste d’audit | Identifie la désactivation du journal d’audit de la base de données HANA. | Désactivez le journal d’audit dans la définition de sécurité de la base de données HANA. Sources de données : agent Linux - Syslog |
Persistance, mouvement latéral, évasion de défense |
| SAP - Exécution à distance non autorisée d’un module de fonction sensible | Détecte les exécutions non autorisées de machines virtuelles sensibles en comparant l’activité avec le profil d’autorisation de l’utilisateur tout en ignorant les autorisations récemment modifiées. Conservez les modules de fonction dans la watchlist SAP - Sensitive Function Modules . |
Exécutez un module de fonction à l’aide de RFC. Sources de données : SAPcon - Journal d’audit |
Exécution, mouvement latéral, découverte |
| SAP - Modification de la configuration du système | Identifie les modifications apportées à la configuration du système. | Adaptez les options de modification système ou la modification des composants logiciels à l’aide du SE06 code de transaction.Sources de données : SAPcon - Journal d’audit |
Exfiltration, évasion de défense, persistance |
| SAP - Activités de débogage | Identifie toutes les activités associées au débogage. Sous-cas d’utilisation : Persistance |
Activez le débogage (« /h ») dans le système, déboguez un processus actif, ajoutez un point d’arrêt au code source, etc. Sources de données : SAPcon - Journal d’audit |
Découverte |
| SAP - Modification de la configuration du journal d’audit de sécurité | Identifie les modifications apportées à la configuration du journal d’audit de sécurité | Modifiez n’importe quelle configuration du journal d’audit de sécurité à l’aide SM19/RSAU_CONFIGde , comme les filtres, les status, le mode d’enregistrement, etc. Sources de données : SAPcon - Journal d’audit |
Persistance, exfiltration, évasion de défense |
| SAP - La transaction est déverrouillée | Identifie le déverrouillage d’une transaction. | Déverrouillez un code de transaction à l’aide de SM01SM01_CUS/SM01_DEV/. Sources de données : SAPcon - Journal d’audit |
Persistance, exécution |
| SAP - Programme ABAP dynamique | Identifie l’exécution de la programmation ABAP dynamique. Par exemple, lorsque le code ABAP a été créé, modifié ou supprimé dynamiquement. Conservez les codes de transaction exclus dans la watchlist SAP - Transactions for ABAP Generations . |
Créez un rapport ABAP qui utilise des commandes de génération de programme ABAP, telles que INSERT REPORT, puis exécutez le rapport. Sources de données : SAPcon - Journal d’audit |
Découverte, commande et contrôle, impact |
Opérations de privilèges suspects
| Nom de la règle | Description | Action source | Tactiques |
|---|---|---|---|
| SAP - Modification dans un utilisateur privilégié sensible | Identifie les modifications des utilisateurs privilégiés sensibles. Gérer les utilisateurs privilégiés dans la watchlist SAP - Utilisateurs privilégiés . |
Modifiez les détails/autorisations de l’utilisateur à l’aide de SU01. Sources de données : SAPcon - Journal d’audit |
Élévation des privilèges, accès aux informations d’identification |
| SAP - (PRÉVERSION) Base de données HANA -Attribuer des autorisations Administration | Identifie les privilèges d’administrateur ou l’attribution de rôle. | Attribuez à un utilisateur un rôle ou des privilèges d’administrateur. Sources de données : agent Linux - Syslog |
Réaffectation des privilèges |
| SAP - Utilisateur privilégié sensible connecté | Identifie la connexion de boîte de dialogue d’un utilisateur privilégié sensible. Gérer les utilisateurs privilégiés dans la watchlist SAP - Utilisateurs privilégiés . |
Connectez-vous au système principal à l’aide SAP* de ou d’un autre utilisateur privilégié. Sources de données : SAPcon - Journal d’audit |
Accès initial, accès aux informations d’identification |
| SAP - Un utilisateur privilégié sensible apporte une modification à un autre utilisateur | Identifie les modifications des utilisateurs sensibles et privilégiés dans d’autres utilisateurs. | Modifier les détails/autorisations de l’utilisateur à l’aide de SU01. Sources de données : SAPcon - Journal d’audit |
Élévation des privilèges, accès aux informations d’identification |
| SAP - Modification du mot de passe et connexion des utilisateurs sensibles | Identifie les modifications de mot de passe pour les utilisateurs privilégiés. | Modifiez le mot de passe d’un utilisateur privilégié et connectez-vous au système. Gérer les utilisateurs privilégiés dans la watchlist SAP - Utilisateurs privilégiés . Sources de données : SAPcon - Journal d’audit |
Impact, Commande et contrôle, Escalade des privilèges |
| SAP : l’utilisateur crée et utilise un nouvel utilisateur | Identifie un utilisateur qui crée et utilise d’autres utilisateurs. Sous-cas d’utilisation : Persistance |
Créez un utilisateur à l’aide de SU01, puis connectez-vous à l’aide de l’utilisateur nouvellement créé et de la même adresse IP. Sources de données : SAPcon - Journal d’audit |
Découverte, pré-attaque, accès initial |
| SAP : l’utilisateur déverrouille et utilise d’autres utilisateurs | Identifie un utilisateur déverrouillé et utilisé par d’autres utilisateurs. Sous-cas d’utilisation : Persistance |
Déverrouillez un utilisateur à l’aide de SU01, puis connectez-vous à l’aide de l’utilisateur déverrouillé et de la même adresse IP. Sources de données : SAPcon - Journal d’audit, SAPcon - Journal des documents modifiés |
Découverte, pré-attaque, accès initial, mouvement latéral |
| SAP - Affectation d’un profil sensible | Identifie les nouvelles affectations d’un profil sensible à un utilisateur. Conservez les profils sensibles dans la watchlist SAP - Profils sensibles . |
Attribuez un profil à un utilisateur à l’aide de SU01. Sources de données : SAPcon - Journal des documents modifiés |
Réaffectation des privilèges |
| SAP - Attribution d’un rôle sensible | Identifie de nouvelles attributions pour un rôle sensible à un utilisateur. Conservez les rôles sensibles dans la watchlist SAP - Rôles sensibles . |
Attribuez un rôle à un utilisateur à l’aide de SU01 / PFCG. Sources de données : SAPcon - Journal des documents modifiés, Journal d’audit |
Réaffectation des privilèges |
| SAP - (PRÉVERSION) Attribution d’autorisations critiques - Nouvelle valeur d’autorisation | Identifie l’affectation d’une valeur d’objet d’autorisation critique à un nouvel utilisateur. Conservez les objets d’autorisation critiques dans la watchlist SAP - Objets d’autorisation critiques . |
Attribuez un nouvel objet d’autorisation ou mettez à jour un objet existant dans un rôle, à l’aide PFCGde . Sources de données : SAPcon - Journal des documents modifiés |
Réaffectation des privilèges |
| SAP - Attribution d’autorisations critiques - Nouvelle affectation d’utilisateur | Identifie l’affectation d’une valeur d’objet d’autorisation critique à un nouvel utilisateur. Conservez les objets d’autorisation critiques dans la watchlist SAP - Objets d’autorisation critiques . |
Attribuez un nouvel utilisateur à un rôle qui contient des valeurs d’autorisation critiques, à l’aide SU01/PFCGde . Sources de données : SAPcon - Journal des documents modifiés |
Réaffectation des privilèges |
| SAP - Modifications des rôles sensibles | Identifie les modifications apportées aux rôles sensibles. Conservez les rôles sensibles dans la watchlist SAP - Rôles sensibles . |
Modifier un rôle à l’aide de PFCG. Sources de données : SAPcon - Journal des documents modifiés, SAPcon - Journal d’audit |
Impact, Escalade des privilèges, Persistance |
Watchlists disponibles
Le tableau suivant répertorie les watchlists disponibles pour la solution Microsoft Sentinel pour les applications SAP, ainsi que les champs de chaque watchlist.
Ces watchlists fournissent la configuration de la solution Microsoft Sentinel pour les applications SAP. Les watchlists SAP sont disponibles dans le dépôt GitHub Microsoft Sentinel.
| Nom de la watchlist | Description et champs |
|---|---|
| SAP - Autorisations critiques | Objet Autorisations critiques, où les affectations doivent être régies. - AuthorizationObject : objet d’autorisation SAP, tel que S_DEVELOP, S_TCODEou Table TOBJ - AuthorizationField : champ d’autorisation SAP, tel que OBJTYP ou TCD - AuthorizationValue : valeur de champ d’autorisation SAP, telle que DEBUG - ActivityField : champ d’activité SAP. Dans la plupart des cas, cette valeur est ACTVT. Pour les objets Authorizations sans activité, ou avec uniquement un champ Activité , rempli avec NOT_IN_USE. - Activité : activité SAP, en fonction de l’objet d’autorisation, par exemple : 01: : Créer ; 02: Modifier ; 03: Afficher, etc. - Description : description explicite de l’objet d’autorisation critique. |
| SAP - Réseaux exclus | Pour la maintenance interne des réseaux exclus, par exemple pour ignorer les répartiteurs web, les serveurs Terminal Server, etc. - Réseau : une adresse IP réseau ou une plage, telle que 111.68.128.0/17. - Description : description réseau explicite. |
| Utilisateurs sap exclus | Les utilisateurs système qui sont connectés au système et qui doivent être ignorés. Par exemple, des alertes pour plusieurs connexions par le même utilisateur. - Utilisateur : Utilisateur SAP - Description : description explicite de l’utilisateur. |
| SAP - Réseaux | Réseaux internes et de maintenance pour l’identification des connexions non autorisées. - Réseau : adresse IP réseau ou plage, par exemple 111.68.128.0/17 - Description : description réseau explicite. |
| SAP - Utilisateurs privilégiés | Utilisateurs privilégiés soumis à des restrictions supplémentaires. - Utilisateur : l’utilisateur ABAP, tel que DDIC ou SAP - Description : description explicite de l’utilisateur. |
| SAP - Programmes ABAP sensibles | Programmes ABAP sensibles (rapports), où l’exécution doit être régie. - ABAPProgram : programme ou rapport ABAP, tel que RSPFLDOC - Description : description explicite du programme. |
| SAP - Module de fonction sensible | Réseaux internes et de maintenance pour l’identification des connexions non autorisées. - FunctionModule : module de fonction ABAP, tel que RSAU_CLEAR_AUDIT_LOG - Description : description explicite du module. |
| SAP - Profils sensibles | Profils sensibles, où les affectations doivent être régies. - Profil : profil d’autorisation SAP, tel que SAP_ALL ou SAP_NEW - Description : description de profil explicite. |
| SAP - Tables sensibles | Tables sensibles, où l’accès doit être régi. - Table : table de dictionnaire ABAP, telle que USR02 ou PA008 - Description : description explicite de la table. |
| SAP - Rôles sensibles | Rôles sensibles, où l’attribution doit être régie. - Rôle : rôle d’autorisation SAP, tel que SAP_BC_BASIS_ADMIN - Description : description de rôle explicite. |
| SAP - Transactions sensibles | Transactions sensibles pour lesquelles l’exécution doit être régie. - TransactionCode : code de transaction SAP, tel que RZ11 - Description : description de code explicite. |
| SAP - Systèmes | Décrit le paysage des systèmes SAP en fonction du rôle, de l’utilisation et de la configuration. - SystemID : ID système SAP (SYSID) - SystemRole : le rôle système SAP, l’une des valeurs suivantes : Sandbox, Development, Quality Assurance, , Training, Production - SystemUsage : utilisation du système SAP, l’une des valeurs suivantes : ERP, BW, Solman, , Gateway, Enterprise Portal - InterfaceAttributes : paramètre dynamique facultatif à utiliser dans les playbooks. |
| SAPSystemParameters | Paramètres pour surveiller les modifications de configuration suspectes. Cette watchlist est préremplie avec des valeurs recommandées (conformément aux meilleures pratiques SAP), et vous pouvez étendre la watchlist pour inclure d’autres paramètres. Si vous ne souhaitez pas recevoir d’alertes pour un paramètre, définissez sur EnableAlertsfalse.- ParameterName : nom du paramètre. - Commentaire : Description du paramètre standard SAP. - EnableAlerts : définit s’il faut activer les alertes pour ce paramètre. Les valeurs sont true et false.- Option : définit dans quel cas déclencher une alerte : si la valeur du paramètre est supérieure ou égale ( GE), inférieure ou égale (LE) ou égale (EQ)Par exemple, si le login/fails_to_user_lock paramètre SAP est défini sur (inférieur ou égal) LE et que la valeur 5est , une fois que Microsoft Sentinel détecte une modification de ce paramètre spécifique, il compare la valeur qui vient d’être signalée et la valeur attendue. Si la nouvelle valeur est 4, Microsoft Sentinel ne déclenche pas d’alerte. Si la nouvelle valeur est 6, Microsoft Sentinel déclenche une alerte.- ProductionSeverity : gravité de l’incident pour les systèmes de production. - ProductionValues : valeurs autorisées pour les systèmes de production. - NonProdSeverity : gravité de l’incident pour les systèmes hors production. - NonProdValues : valeurs autorisées pour les systèmes hors production. |
| SAP - Utilisateurs exclus | Les utilisateurs système qui sont connectés et qui doivent être ignorés, par exemple pour l’alerte Plusieurs connexions par utilisateur. - Utilisateur : Utilisateur SAP - Description : description explicite de l’utilisateur |
| SAP - Réseaux exclus | Conservez des réseaux internes exclus pour ignorer les répartiteurs web, les serveurs Terminal Server, etc. - Réseau : adresse IP réseau ou plage, par exemple 111.68.128.0/17 - Description : description réseau explicite |
| SAP - Modules de fonction obsolètes | Modules de fonction obsolètes, dont l’exécution doit être régie. - FunctionModule : module de fonction ABAP, tel que TH_SAPREL - Description : description explicite du module de fonction |
| SAP - Programmes obsolètes | Programmes ABAP obsolètes (rapports), dont l’exécution doit être régie. - ABAPProgram :ABAP Program, tel que TH_ RSPFLDOC - Description : Description explicite du programme ABAP |
| SAP - Transactions pour les générations ABAP | Transactions pour les générations ABAP dont l’exécution doit être régie. - TransactionCode : code de transaction, tel que SE11. - Description : description significative du code de transaction |
| SAP - Serveurs FTP | Serveurs FTP pour l’identification des connexions non autorisées. - Client : par exemple 100. - FTP_Server_Name : nom du serveur FTP, par exemple http://contoso.com/ - port de serveur FTP_Server_Port :FTP, par exemple 22. - DescriptionDescription explicite du serveur FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configurez les alertes du journal d’audit SAP en affectant à chaque ID de message un niveau de gravité comme vous le souhaitez, par rôle système (production, hors production). Cette watchlist détaille tous les ID de message de journal d’audit STANDARD SAP disponibles. La watchlist peut être étendue pour contenir des ID de message supplémentaires que vous pouvez créer vous-même à l’aide des améliorations ABAP sur leurs systèmes SAP NetWeaver. Cette watchlist permet également de configurer une équipe désignée pour gérer chacun des types d’événements, et d’exclure les utilisateurs par rôles SAP, profils SAP ou par étiquettes de la watchlist SAP_User_Config . Cette watchlist est l’un des principaux composants utilisés pour configurer les règles d’analyse SAP intégrées pour la surveillance du journal d’audit SAP. Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - MessageID : ID de message SAP, ou type d’événement, tel que AUD (Modification de l’enregistrement master utilisateur) ou AUB (modifications d’autorisation). - DetailedDescription : description activée par Markdown à afficher dans le volet de l’incident. - ProductionSeverity : gravité souhaitée pour l’incident à créer avec pour les systèmes Highde production , Medium. Peut être défini sur Disabled. - NonProdSeverity : gravité souhaitée pour l’incident à créer avec pour les systèmes Highde non-production , Medium. Peut être défini sur Disabled. - ProductionThreshold Nombre « par heure » d’événements à considérer comme suspects pour les systèmes 60de production. - NonProdThreshold Nombre « par heure » d’événements à considérer comme suspects pour les systèmes 10hors production. - RolesTagsToExclude : ce champ accepte le nom de rôle SAP, les noms de profil SAP ou les balises de la watchlist SAP_User_Config. Ils sont ensuite utilisés pour exclure les utilisateurs associés de types d’événements spécifiques. Consultez les options des balises de rôle à la fin de cette liste. - RuleType : utilisez Deterministic pour que le type d’événement soit envoyé à la règle SAP - Dynamic Deterministic Audit Log Monitor , ou AnomaliesOnly pour que cet événement soit couvert par la règle SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION). Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - TeamsChannelID : paramètre dynamique facultatif à utiliser dans les playbooks. - DestinationEmail : paramètre dynamique facultatif à utiliser dans les playbooks. Pour le champ RolesTagsToExclude : - Si vous répertoriez des rôles SAP ou des profils SAP, cela exclut tout utilisateur disposant des rôles ou profils répertoriés de ces types d’événements pour le même système SAP. Par exemple, si vous définissez le BASIC_BO_USERS rôle ABAP pour les types d’événements liés à RFC, les utilisateurs Business Objects ne déclenchent pas d’incidents lors d’appels RFC massifs.- Le balisage d’un type d’événement est similaire à la spécification de rôles ou de profils SAP, mais des balises peuvent être créées dans l’espace de travail, de sorte que les équipes SOC peuvent exclure des utilisateurs par activité sans dépendre de l’équipe SAP BASIS. Par exemple, les ID de message d’audit AUB (modifications d’autorisation) et AUD (modifications d’enregistrement master utilisateur) se voient attribuer la MassiveAuthChanges balise . Les utilisateurs auxquels cette balise est affectée sont exclus des vérifications de ces activités. L’exécution de la fonction d’espace de travail SAPAuditLogConfigRecommend produit une liste de balises recommandées à affecter aux utilisateurs, telles que Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permet d’affiner les alertes en excluant /incluant les utilisateurs dans des contextes spécifiques et est également utilisé pour configurer les règles d’analyse SAP intégrées pour la surveillance du journal d’audit SAP. Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - SAPUser : l’utilisateur SAP - Balises : les balises sont utilisées pour identifier les utilisateurs par rapport à certaines activités. Par exemple, l’ajout des balises ["GenericTablebyRFCOK"] à l’utilisateur SENTINEL_SRV empêchera la création d’incidents liés à RFC pour cet utilisateur spécifique Autres identificateurs d’utilisateur Active Directory - Identificateur d’utilisateur AD - Sid local de l’utilisateur - Nom d’utilisateur principal |
| Nom de la watchlist | Description et champs |
|---|---|
| SAP - Autorisations critiques | Objet Autorisations critiques, où les affectations doivent être régies. - AuthorizationObject : objet d’autorisation SAP, tel que S_DEVELOP, S_TCODEou Table TOBJ - AuthorizationField : champ d’autorisation SAP, tel que OBJTYP ou TCD - AuthorizationValue : valeur de champ d’autorisation SAP, telle que DEBUG - ActivityField : champ d’activité SAP. Dans la plupart des cas, cette valeur est ACTVT. Pour les objets Authorizations sans activité, ou avec uniquement un champ Activité , rempli avec NOT_IN_USE. - Activité : activité SAP, en fonction de l’objet d’autorisation, par exemple : 01: : Créer ; 02: Modifier ; 03: Afficher, etc. - Description : description explicite de l’objet d’autorisation critique. |
| SAP - Réseaux exclus | Pour la maintenance interne des réseaux exclus, par exemple pour ignorer les répartiteurs web, les serveurs Terminal Server, etc. - Réseau : une adresse IP réseau ou une plage, telle que 111.68.128.0/17. - Description : description réseau explicite. |
| Utilisateurs sap exclus | Les utilisateurs système qui sont connectés au système et qui doivent être ignorés. Par exemple, des alertes pour plusieurs connexions par le même utilisateur. - Utilisateur : Utilisateur SAP - Description : description explicite de l’utilisateur. |
| SAP - Réseaux | Réseaux internes et de maintenance pour l’identification des connexions non autorisées. - Réseau : adresse IP réseau ou plage, par exemple 111.68.128.0/17 - Description : description réseau explicite. |
| SAP - Utilisateurs privilégiés | Utilisateurs privilégiés soumis à des restrictions supplémentaires. - Utilisateur : l’utilisateur ABAP, tel que DDIC ou SAP - Description : description explicite de l’utilisateur. |
| SAP - Programmes ABAP sensibles | Programmes ABAP sensibles (rapports), où l’exécution doit être régie. - ABAPProgram : programme ou rapport ABAP, tel que RSPFLDOC - Description : description explicite du programme. |
| SAP - Module de fonction sensible | Réseaux internes et de maintenance pour l’identification des connexions non autorisées. - FunctionModule : module de fonction ABAP, tel que RSAU_CLEAR_AUDIT_LOG - Description : description explicite du module. |
| SAP - Profils sensibles | Profils sensibles, où les affectations doivent être régies. - Profil : profil d’autorisation SAP, tel que SAP_ALL ou SAP_NEW - Description : description de profil explicite. |
| SAP - Tables sensibles | Tables sensibles, où l’accès doit être régi. - Table : table de dictionnaire ABAP, telle que USR02 ou PA008 - Description : description explicite de la table. |
| SAP - Rôles sensibles | Rôles sensibles, où l’attribution doit être régie. - Rôle : rôle d’autorisation SAP, tel que SAP_BC_BASIS_ADMIN - Description : description de rôle explicite. |
| SAP - Transactions sensibles | Transactions sensibles pour lesquelles l’exécution doit être régie. - TransactionCode : code de transaction SAP, tel que RZ11 - Description : description de code explicite. |
| SAP - Systèmes | Décrit le paysage des systèmes SAP en fonction du rôle, de l’utilisation et de la configuration. - SystemID : ID système SAP (SYSID) - SystemRole : le rôle système SAP, l’une des valeurs suivantes : Sandbox, Development, Quality Assurance, , Training, Production - SystemUsage : utilisation du système SAP, l’une des valeurs suivantes : ERP, BW, Solman, , Gateway, Enterprise Portal - InterfaceAttributes : paramètre dynamique facultatif à utiliser dans les playbooks. |
| SAP - Utilisateurs exclus | Les utilisateurs système qui sont connectés et qui doivent être ignorés, par exemple pour l’alerte Plusieurs connexions par utilisateur. - Utilisateur : Utilisateur SAP - Description : description explicite de l’utilisateur |
| SAP - Réseaux exclus | Conservez des réseaux internes exclus pour ignorer les répartiteurs web, les serveurs Terminal Server, etc. - Réseau : adresse IP réseau ou plage, par exemple 111.68.128.0/17 - Description : description réseau explicite |
| SAP - Modules de fonction obsolètes | Modules de fonction obsolètes, dont l’exécution doit être régie. - FunctionModule : module de fonction ABAP, tel que TH_SAPREL - Description : description explicite du module de fonction |
| SAP - Programmes obsolètes | Programmes ABAP obsolètes (rapports), dont l’exécution doit être régie. - ABAPProgram :ABAP Program, tel que TH_ RSPFLDOC - Description : Description explicite du programme ABAP |
| SAP - Transactions pour les générations ABAP | Transactions pour les générations ABAP dont l’exécution doit être régie. - TransactionCode : code de transaction, tel que SE11. - Description : description significative du code de transaction |
| SAP - Serveurs FTP | Serveurs FTP pour l’identification des connexions non autorisées. - Client : par exemple 100. - FTP_Server_Name : nom du serveur FTP, par exemple http://contoso.com/ - port de serveur FTP_Server_Port :FTP, par exemple 22. - DescriptionDescription explicite du serveur FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configurez les alertes du journal d’audit SAP en affectant à chaque ID de message un niveau de gravité comme vous le souhaitez, par rôle système (production, hors production). Cette watchlist détaille tous les ID de message de journal d’audit STANDARD SAP disponibles. La watchlist peut être étendue pour contenir des ID de message supplémentaires que vous pouvez créer vous-même à l’aide des améliorations ABAP sur leurs systèmes SAP NetWeaver. Cette watchlist permet également de configurer une équipe désignée pour gérer chacun des types d’événements, et d’exclure les utilisateurs par rôles SAP, profils SAP ou par étiquettes de la watchlist SAP_User_Config . Cette watchlist est l’un des principaux composants utilisés pour configurer les règles d’analyse SAP intégrées pour la surveillance du journal d’audit SAP. Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - MessageID : ID de message SAP, ou type d’événement, tel que AUD (Modification de l’enregistrement master utilisateur) ou AUB (modifications d’autorisation). - DetailedDescription : description activée par Markdown à afficher dans le volet de l’incident. - ProductionSeverity : gravité souhaitée pour l’incident à créer avec pour les systèmes Highde production , Medium. Peut être défini sur Disabled. - NonProdSeverity : gravité souhaitée pour l’incident à créer avec pour les systèmes Highde non-production , Medium. Peut être défini sur Disabled. - ProductionThreshold Nombre « par heure » d’événements à considérer comme suspects pour les systèmes 60de production. - NonProdThreshold Nombre « par heure » d’événements à considérer comme suspects pour les systèmes 10hors production. - RolesTagsToExclude : ce champ accepte le nom de rôle SAP, les noms de profil SAP ou les balises de la watchlist SAP_User_Config. Ils sont ensuite utilisés pour exclure les utilisateurs associés de types d’événements spécifiques. Consultez les options des balises de rôle à la fin de cette liste. - RuleType : utilisez Deterministic pour que le type d’événement soit envoyé à la règle SAP - Dynamic Deterministic Audit Log Monitor , ou AnomaliesOnly pour que cet événement soit couvert par la règle SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION). Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - TeamsChannelID : paramètre dynamique facultatif à utiliser dans les playbooks. - DestinationEmail : paramètre dynamique facultatif à utiliser dans les playbooks. Pour le champ RolesTagsToExclude : - Si vous répertoriez des rôles SAP ou des profils SAP, cela exclut tout utilisateur disposant des rôles ou profils répertoriés de ces types d’événements pour le même système SAP. Par exemple, si vous définissez le BASIC_BO_USERS rôle ABAP pour les types d’événements liés à RFC, les utilisateurs Business Objects ne déclenchent pas d’incidents lors d’appels RFC massifs.- Le balisage d’un type d’événement est similaire à la spécification de rôles ou de profils SAP, mais des balises peuvent être créées dans l’espace de travail, de sorte que les équipes SOC peuvent exclure des utilisateurs par activité sans dépendre de l’équipe SAP BASIS. Par exemple, les ID de message d’audit AUB (modifications d’autorisation) et AUD (modifications d’enregistrement master utilisateur) se voient attribuer la MassiveAuthChanges balise . Les utilisateurs auxquels cette balise est affectée sont exclus des vérifications de ces activités. L’exécution de la fonction d’espace de travail SAPAuditLogConfigRecommend produit une liste de balises recommandées à affecter aux utilisateurs, telles que Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permet d’affiner les alertes en excluant /incluant les utilisateurs dans des contextes spécifiques et est également utilisé pour configurer les règles d’analyse SAP intégrées pour la surveillance du journal d’audit SAP. Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - SAPUser : l’utilisateur SAP - Balises : les balises sont utilisées pour identifier les utilisateurs par rapport à certaines activités. Par exemple, l’ajout des balises ["GenericTablebyRFCOK"] à l’utilisateur SENTINEL_SRV empêchera la création d’incidents liés à RFC pour cet utilisateur spécifique Autres identificateurs d’utilisateur Active Directory - Identificateur d’utilisateur AD - Sid local de l’utilisateur - Nom d’utilisateur principal |
Playbooks disponibles
Les playbooks fournis par Microsoft Sentinel solution pour les applications SAP vous aident à automatiser les charges de travail de réponse aux incidents SAP, ce qui améliore l’efficacité et l’efficacité des opérations de sécurité.
Cette section décrit les playbooks d’analytique intégrés fournis avec la solution Microsoft Sentinel pour les applications SAP.
| Nom du playbook | Paramètres | Connections |
|---|---|---|
| Réponse aux incidents SAP - Verrouiller l’utilisateur de Teams - De base | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Réponse aux incidents SAP - Verrouiller l’utilisateur de Teams - Avancé | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Journaux Azure Monitor - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| Réponse aux incidents SAP - Réactiver la journalisation d’audit une fois désactivée | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Journaux Azure Monitor - Microsoft Teams |
Les sections suivantes décrivent des exemples de cas d’utilisation pour chacun des playbooks fournis, dans un scénario où un incident vous a averti d’une activité suspecte dans l’un des systèmes SAP, où un utilisateur tente d’exécuter l’une de ces transactions hautement sensibles.
Au cours de la phase de triage des incidents, vous décidez de prendre des mesures contre cet utilisateur, en le faisant sortir de vos systèmes SAP ERP ou BTP ou même de Microsoft Entra ID.
Pour plus d’informations, consultez Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel
Le processus de déploiement des applications logiques Standard est généralement plus complexe que pour les applications logiques consommation. Nous avons créé une série de raccourcis pour vous aider à les déployer rapidement à partir du dépôt GitHub Microsoft Sentinel. Pour plus d’informations, consultez Guide d’installation pas à pas.
Conseil
Regardez le dossier playbooks SAP dans le référentiel GitHub pour obtenir d’autres playbooks à mesure qu’ils deviennent disponibles. Une courte vidéo d’introduction (lien externe) est également disponible pour vous aider à démarrer.
Verrouiller un utilisateur d’un système unique
Créez une règle d’automatisation pour appeler le playbook Verrouiller l’utilisateur à partir de Teams - Playbook de base chaque fois qu’une exécution de transaction sensible par un utilisateur non autorisé est détectée. Ce playbook utilise la fonctionnalité de cartes adaptatives de Teams pour demander l’approbation avant de bloquer unilatéralement l’utilisateur.
Pour plus d’informations, consultez Couverture de sécurité de zéro à héros avec Microsoft Sentinel pour vos signaux de sécurité SAP critiques - Vous allez m’entendre SOAR ! Partie 1 (billet de blog SAP).
Le playbook Verrouiller l’utilisateur de Teams - De base est un playbook Standard, et Standard playbooks sont généralement plus complexes à déployer que les playbooks Consommation.
Nous avons créé une série de raccourcis pour vous aider à les déployer rapidement à partir du dépôt GitHub Microsoft Sentinel. Pour plus d’informations, consultez Guide d’installation pas à pas et Types d’applications logiques pris en charge.
Verrouiller un utilisateur de plusieurs systèmes
Le playbook Verrouiller l’utilisateur de Teams - Advanced atteint le même objectif, mais il est conçu pour des scénarios plus complexes, ce qui permet d’utiliser un seul playbook pour plusieurs systèmes SAP, chacun avec son propre SID SAP.
Le playbook Verrouiller l’utilisateur de Teams - Advanced gère en toute transparence les connexions à tous ces systèmes, ainsi que leurs informations d’identification, à l’aide du paramètre dynamique facultatif InterfaceAttributes dans la watchlist et Azure Key Vault SAP - Systems.
Le playbook Verrouiller l’utilisateur de Teams - Advanced vous permet également de communiquer avec les parties dans le processus d’approbation à l’aide de messages actionnables Outlook avec Teams, à l’aide des paramètres TeamsChannelID et DestinationEmail dans la watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration .
Pour plus d’informations, consultez Couverture de sécurité de zéro à héros avec Microsoft Sentinel pour vos signaux de sécurité SAP critiques – Partie 2 (billet de blog SAP).
Empêcher la désactivation de la journalisation d’audit
Vous pouvez également être préoccupé par la désactivation du journal d’audit SAP, qui est l’une de vos sources de données de sécurité. Nous vous recommandons de créer une règle d’automatisation basée sur la règle SAP - Désactivation des journaux d’audit de sécurité pour appeler le playbook Réactiver la journalisation d’audit une fois désactivé pour vous assurer que le journal d’audit SAP n’est pas désactivé.
Le playbook SAP - Désactivation du journal d’audit de sécurité utilise également Teams, informant le personnel de sécurité après coup. La gravité de l’infraction et l’urgence de son atténuation indiquent que des mesures immédiates peuvent être prises sans approbation requise.
Étant donné que le playbook SAP - Désactivation du journal d’audit de sécurité utilise également Azure Key Vault pour gérer les informations d’identification, la configuration du playbook est similaire à celle du playbook Verrouiller l’utilisateur de Teams - Advanced. Pour plus d’informations, consultez Couverture de sécurité de zéro à héros avec Microsoft Sentinel pour vos signaux de sécurité SAP critiques – Partie 3 (billet de blog SAP).
Contenu connexe
Pour plus d’informations, consultez Déploiement de Microsoft Sentinel solution pour les applications SAP.