Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive in dettaglio il contenuto di sicurezza disponibile per le soluzioni Microsoft Sentinel per SAP.
Importante
Gli elementi annotati descritti in questo articolo sono disponibili in anteprima. Le condizioni aggiuntive per l'anteprima Azure includono termini legali aggiuntivi che si applicano alle funzionalità Azure in versione beta, in anteprima o in altro modo non ancora rilasciate nella disponibilità generale.
Il contenuto di sicurezza disponibile include cartelle di lavoro predefinite e regole di analisi. È anche possibile aggiungere watchlist correlati a SAP da usare nei playbook di ricerca, regole di rilevamento, ricerca delle minacce e risposta.
Il contenuto di questo articolo è destinato al team di sicurezza .
Cartelle di lavoro predefinite
Usare le cartelle di lavoro predefinite seguenti per visualizzare e monitorare i dati inseriti tramite il connettore dati SAP. Dopo aver distribuito la soluzione SAP, è possibile trovare cartelle di lavoro SAP nella scheda Modelli .
| Nome cartella di lavoro | Descrizione | Log |
|---|---|---|
| SAP - Browser log di controllo | Visualizza i dati, ad esempio: - Integrità generale del sistema, inclusi gli accessi utente nel tempo, gli eventi inseriti dal sistema, le classi di messaggi e gli ID e i programmi ABAP vengono eseguiti -Severità degli eventi che si verificano nel sistema - Eventi di autenticazione e autorizzazione che si verificano nel sistema |
Usa i dati del log seguente: ABAPAuditLog |
| Controlli di controllo SAP | Consente di controllare la conformità dei controlli di sicurezza dell'ambiente SAP con il framework di controllo scelto, usando gli strumenti per eseguire le operazioni seguenti: - Assegnare regole di analisi nell'ambiente a specifici controlli di sicurezza e famiglie di controlli - Monitorare e categorizzare gli eventi imprevisti generati dalle regole di analisi basate su soluzione SAP - Report sulla conformità |
Usa i dati delle tabelle seguenti: - SecurityAlert- SecurityIncident |
Per altre informazioni, vedere Esercitazione: Visualizzare e monitorare i dati e Distribuire Microsoft Sentinel soluzione per le applicazioni SAP.
Regole di analisi predefinite
Questa sezione descrive una selezione di regole di analisi predefinite fornite insieme alla soluzione Microsoft Sentinel per le applicazioni SAP. Il connettore dati senza agente funziona con un set consolidato di origini. Per gli aggiornamenti più recenti, controllare l'hub del contenuto Microsoft Sentinel per le regole nuove e aggiornate.
Monitorare la configurazione dei parametri di sicurezza SAP statici (anteprima)
Per proteggere il sistema SAP, SAP ha identificato parametri correlati alla sicurezza che devono essere monitorati per le modifiche. Con la regola "SAP - (Anteprima) Sensitive Static Parameter has Changed", la soluzione Microsoft Sentinel per le applicazioni SAP tiene traccia di oltre 52 parametri statici correlati alla sicurezza nel sistema SAP, incorporati in Microsoft Sentinel.
Nota
Affinché la soluzione Microsoft Sentinel per le applicazioni SAP monitori correttamente i parametri di sicurezza SAP, la soluzione deve monitorare correttamente la tabella SAP PAHI a intervalli regolari. Per altre informazioni, vedere Verificare che la tabella PAHI venga aggiornata a intervalli regolari.
Per comprendere le modifiche ai parametri nel sistema, la soluzione Microsoft Sentinel per le applicazioni SAP usa la tabella di cronologia dei parametri, che registra le modifiche apportate ai parametri di sistema ogni ora.
I parametri vengono riflessi anche nell'elenco di controllo SAPSystemParameters. Questo watchlist consente agli utenti di aggiungere nuovi parametri, disabilitare i parametri esistenti e modificare i valori e le severità per parametro e ruolo di sistema negli ambienti di produzione o non di produzione.
Quando viene apportata una modifica a uno di questi parametri, Microsoft Sentinel verifica se la modifica è correlata alla sicurezza e se il valore è impostato in base ai valori consigliati. Se si sospetta che la modifica sia esterna all'area sicura, Microsoft Sentinel crea un evento imprevisto che illustra in dettaglio la modifica e identifica chi ha apportato la modifica.
Esaminare l'elenco dei parametri monitorati da questa regola.
Monitorare il log di controllo SAP
Molte delle regole di analisi nella soluzione Microsoft Sentinel per le applicazioni SAP usano i dati del log di controllo SAP. Alcune regole di analisi cercano eventi specifici nel log, mentre altre correlano le indicazioni di diversi log per creare avvisi e eventi imprevisti ad alta fedeltà.
Usare le regole di analisi seguenti per monitorare tutti gli eventi del log di controllo nel sistema SAP o attivare gli avvisi solo quando vengono rilevate anomalie:
| Nome regola | Descrizione |
|---|---|
| SAP - Configurazione mancante in Dynamic Security Audit Log Monitor | Per impostazione predefinita, viene eseguita quotidianamente per fornire consigli di configurazione per il modulo del log di controllo SAP. Usare il modello di regola per creare e personalizzare una regola per l'area di lavoro. |
| SAP - Dynamic Deterministic Audit Log Monitor (ANTEPRIMA) | Per impostazione predefinita, viene eseguito ogni 10 minuti e si concentra sugli eventi del log di controllo SAP contrassegnati come deterministici. Usare il modello di regola per creare e personalizzare una regola per l'area di lavoro, ad esempio per una frequenza di falsi positivi inferiore. Questa regola richiede soglie di avviso deterministiche e regole di esclusione utente. |
| SAP - Avvisi di Monitoraggio log di controllo basato su anomalie dinamiche (ANTEPRIMA) | Per impostazione predefinita, viene eseguito ogni ora e si concentra sugli eventi SAP contrassegnati come AnomaliesOnly, generando avvisi sugli eventi del log di controllo SAP quando vengono rilevate anomalie. Questa regola applica algoritmi di Machine Learning aggiuntivi per filtrare il rumore di fondo in modo non supervisionato. |
Per impostazione predefinita, la maggior parte dei tipi di evento o degli ID messaggio SAP nel log di controllo SAP viene inviata alla regola di analisi degli avvisi di monitoraggio dei log di controllo basata su anomalie dinamiche (ANTEPRIMA), mentre i tipi di evento più facili da definire vengono inviati alla regola di analisi deterministica di Monitoraggio log di controllo deterministico dinamico (ANTEPRIMA). Questa impostazione, insieme ad altre impostazioni correlate, può essere ulteriormente configurata in base a qualsiasi condizione di sistema.
Le regole di monitoraggio dei log di controllo SAP vengono recapitate come parte del Microsoft Sentinel per il contenuto di sicurezza della soluzione SAP e consentono un'ulteriore ottimizzazione tramite gli elenchi di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
Ad esempio, nella tabella seguente sono elencati diversi esempi di come è possibile usare l'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration per configurare i tipi di eventi che generano eventi imprevisti, riducendo il numero di eventi imprevisti generati.
| Opzione | Descrizione |
|---|---|
| Impostare le gravità e disabilitare gli eventi indesiderati | Per impostazione predefinita, sia le regole deterministiche che le regole basate sulle anomalie creano avvisi per gli eventi contrassegnati con gravità media e alta. È possibile configurare i livelli di gravità separatamente in ambienti di produzione e non di produzione. Ad esempio, è possibile impostare un evento di attività di debug come gravità elevata nei sistemi di produzione e disattivare gli stessi eventi interamente nei sistemi non di produzione. |
| Escludere gli utenti in base ai ruoli SAP o ai profili SAP | Microsoft Sentinel per SAP inserisce il profilo di autorizzazione dell'utente SAP, incluse le assegnazioni di ruolo, i gruppi e i profili diretti e indiretti, in modo da poter parlare la lingua SAP nel SIEM. È possibile configurare un evento SAP per escludere gli utenti in base ai ruoli e ai profili SAP. Nell'elenco di controllo aggiungere i ruoli o i profili che raggruppano gli utenti dell'interfaccia RFC nella colonna RolesTagsToExclude accanto all'evento Accesso alla tabella generica per RFC . Questa configurazione attiva gli avvisi solo per gli utenti che non hanno questi ruoli. |
| Escludere gli utenti dai tag SOC | Usare i tag per creare un raggruppamento personalizzato, senza basarsi su definizioni SAP complesse o anche senza autorizzazione SAP. Questo metodo è utile per i team SOC che vogliono creare un raggruppamento personalizzato per gli utenti SAP. Se, ad esempio, non si vuole che gli account di servizio specifici vengano avvisati per l'accesso alle tabelle generiche dagli eventi RFC , ma non è possibile trovare un ruolo SAP o un profilo SAP che raggruppa questi utenti, usare i tag come indicato di seguito: 1. Aggiungere il tag GenTableRFCReadOK accanto all'evento pertinente nell'elenco di controllo. 2. Passare all'elenco di controllo SAP_User_Config e assegnare agli utenti dell'interfaccia lo stesso tag. |
| Specificare una soglia di frequenza per tipo di evento e ruolo di sistema | Funziona come un limite di velocità. Ad esempio, è possibile configurare gli eventi modifica record master utente per attivare avvisi solo se vengono osservate più di 12 attività in un'ora, dallo stesso utente in un sistema di produzione. Se un utente supera il limite di 12 ore, ad esempio 2 eventi in una finestra di 10 minuti, viene attivato un evento imprevisto. |
| Determinismo o anomalie | Se si conoscono le caratteristiche dell'evento, usare le funzionalità deterministiche. Se non si è certi di come configurare correttamente l'evento, consentire alle funzionalità di Machine Learning di decidere di avviare e quindi eseguire gli aggiornamenti successivi in base alle esigenze. |
| Funzionalità SOAR | Usare Microsoft Sentinel per orchestrare, automatizzare e rispondere ulteriormente agli eventi imprevisti creati dagli avvisi dinamici del log di controllo SAP. Per altre informazioni, vedere Automazione in Microsoft Sentinel: orchestrazione della sicurezza, automazione e risposta (SOAR). |
Per altre informazioni, vedere Elenchi di controllo disponibili e Microsoft Sentinel per SAP News - Funzionalità monitoraggio log di controllo della sicurezza SAP dinamica disponibile ora. (blog).
Accesso iniziale
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Accesso da una rete imprevista | Identifica un accesso da una rete imprevista. Gestire le reti nell'elenco di controllo SAP - Networks . |
Accedere al sistema back-end da un indirizzo IP non assegnato a una delle reti. Origini dati: SAPcon - Log di controllo |
Accesso iniziale |
| SAP - Attacco SPNego | Identifica l'attacco di riesecuzione spNego. | Origini dati: SAPcon - Log di controllo | Impatto, spostamento laterale |
| SAP - Tentativo di accesso della finestra di dialogo da parte di un utente con privilegi | Identifica i tentativi di accesso alla finestra di dialogo, con il tipo AUM , da parte degli utenti con privilegi in un sistema SAP. Per altre informazioni, vedere SAPUsersGetPrivileged. | Tentativo di accesso dallo stesso INDIRIZZO IP a più sistemi o client entro l'intervallo di tempo pianificato Origini dati: SAPcon - Log di controllo |
Impatto, spostamento laterale |
| SAP - Attacchi di forza bruta | Identifica gli attacchi di forza bruta nel sistema SAP usando gli accessi RFC | Tentativo di accesso dallo stesso IP a più sistemi/client entro l'intervallo di tempo pianificato tramite RFC Origini dati: SAPcon - Log di controllo |
Accesso alle credenziali |
| SAP - Più accessi per IP | Identifica l'accesso di più utenti dallo stesso indirizzo IP entro un intervallo di tempo pianificato. Caso di utilizzo secondario: Persistenza |
Accedere usando più utenti tramite lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo |
Accesso iniziale |
| SAP - Più accessi per utente | Identifica gli accessi dello stesso utente da più terminali entro l'intervallo di tempo pianificato. Disponibile solo tramite il metodo Audit SAL per SAP versioni 7.5 e successive. |
Accedere usando lo stesso utente, usando indirizzi IP diversi. Origini dati: SAPcon - Log di controllo |
Pre-attacco, accesso alle credenziali, accesso iniziale, raccolta Caso di utilizzo secondario: Persistenza |
| SAP - Informativo - Ciclo di vita - Le note SAP sono state implementate nel sistema | Identifica l'implementazione della nota SAP nel sistema. | Implementare una nota SAP usando SNOTE/TCI. Origini dati: SAPcon - Richieste di modifica |
- |
| SAP - (anteprima) AS JAVA - Accesso utente con privilegi sensibili | Identifica un accesso da una rete imprevista. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Privileged Users . |
Accedere al sistema back-end usando utenti con privilegi. Origini dati: SAPJAVAFilesLog |
Accesso iniziale |
| SAP - (anteprima) AS JAVA - Sign-In dalla rete imprevista | Identifica gli accessi da una rete imprevista. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Networks . |
Accedere al sistema back-end da un indirizzo IP non assegnato a una delle reti nell'elenco di controllo SAP - Networks Origini dati: SAPJAVAFilesLog |
Accesso iniziale, evasione della difesa |
Esfiltrazione di dati
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - FTP per server non autorizzati | Identifica una connessione FTP per un server non autorizzato. | Creare una nuova connessione FTP, ad esempio usando il modulo di funzione FTP_CONNECT. Origini dati: SAPcon - Log di controllo |
Individuazione, accesso iniziale, comando e controllo |
| SAP - Configurazione dei server FTP non sicuri | Identifica le configurazioni del server FTP non sicure, ad esempio quando un elenco di elementi consentiti FTP è vuoto o contiene segnaposto. | Non mantenere i valori che contengono segnaposto nella SAPFTP_SERVERS tabella, usando la SAPFTP_SERVERS_V visualizzazione di manutenzione. (SM30) Origini dati: SAPcon - Log di controllo |
Accesso iniziale, comando e controllo |
| SAP - Download di più Files | Identifica più download di file per un utente entro un intervallo di tempo specifico. | Scaricare più file usando SAPGui per Excel, elenchi e così via. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Esecuzioni multiple dello spooling | Identifica più spool per un utente all'interno di un intervallo di tempo specifico. | Creare ed eseguire più processi di spooling di qualsiasi tipo da parte di un utente. (SP01) Origini dati: SAPcon - Spool Log, SAPcon - Audit Log |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Più esecuzioni di output dello spooling | Identifica più spool per un utente all'interno di un intervallo di tempo specifico. | Creare ed eseguire più processi di spooling di qualsiasi tipo da parte di un utente. (SP01) Origini dati: SAPcon - Log di output spooling, SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Accesso diretto alle tabelle sensibili tramite l'accesso RFC | Identifica l'accesso a una tabella generica tramite l'accesso RFC. Gestire le tabelle nell'elenco di controllo SAP - Tabelle sensibili . Rilevante solo per i sistemi di produzione. |
Aprire il contenuto della tabella usando SE11/SE16/SE16N. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Acquisizione dello spooling | Identifica un utente che stampa una richiesta di spooling creata da un altro utente. | Creare una richiesta di spooling usando un utente e quindi generarla in usando un utente diverso. Origini dati: SAPcon - Spool Log, SAPcon - Spool Output Log, SAPcon - Audit Log |
Raccolta, esfiltrazione, comando e controllo |
| SAP - Destinazione RFC dinamica | Identifica l'esecuzione di RFC usando destinazioni dinamiche. Caso di utilizzo secondario: tenta di ignorare i meccanismi di sicurezza SAP |
Eseguire un report ABAP che usa destinazioni dinamiche (cl_dynamic_destination). Ad esempio, DEMO_RFC_DYNAMIC_DEST. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione |
| SAP - Tabelle sensibili Accesso diretto tramite accesso finestra di dialogo | Identifica l'accesso alla tabella generico tramite l'accesso alla finestra di dialogo. | Aprire il contenuto della tabella usando SE11SE16N/SE16/. Origini dati: SAPcon - Log di controllo |
Individuazione |
| FILE SAP - (anteprima) scaricato da un indirizzo IP dannoso | Identifica il download di un file da un sistema SAP usando un indirizzo IP noto per essere dannoso. Gli indirizzi IP dannosi vengono ottenuti dai servizi di intelligence sulle minacce. | Scaricare un file da un INDIRIZZO IP dannoso. Origini dati: log di controllo della sicurezza SAP, Intelligence per le minacce |
Sottrazione di dati |
| SAP - (anteprima) Dati esportati da un sistema di produzione usando un trasporto | Identifica l'esportazione dei dati da un sistema di produzione usando un trasporto. I trasporti vengono usati nei sistemi di sviluppo e sono simili alle richieste pull. Questa regola di avviso attiva eventi imprevisti con gravità media quando un trasporto che include dati da qualsiasi tabella viene rilasciato da un sistema di produzione. La regola crea un evento imprevisto di gravità elevata quando l'esportazione include dati da una tabella sensibile. | Rilasciare un trasporto da un sistema di produzione. Origini dati: log SAP CR, SAP - Tabelle sensibili |
Sottrazione di dati |
| SAP - (anteprima) Dati sensibili salvati in un'unità USB | Identifica l'esportazione di dati SAP tramite file. La regola controlla i dati salvati in un'unità USB montata di recente in prossimità di un'esecuzione di una transazione sensibile, di un programma sensibile o dell'accesso diretto a una tabella sensibile. | Esportare i dati SAP tramite file e salvarli in un'unità USB. Origini dati: log di controllo della sicurezza SAP, DeviceFileEvents (Microsoft Defender per endpoint), SAP - Tabelle sensibili, SAP - Transazioni sensibili, SAP - Programmi sensibili |
Sottrazione di dati |
| SAP - (anteprima) Stampa di dati potenzialmente sensibili | Identifica una richiesta o la stampa effettiva di dati potenzialmente sensibili. I dati vengono considerati sensibili se l'utente ottiene i dati come parte di una transazione sensibile, l'esecuzione di un programma sensibile o l'accesso diretto a una tabella sensibile. | Stampare o richiedere di stampare dati sensibili. Origini dati: log di controllo della sicurezza SAP, log di spool SAP, SAP - Tabelle sensibili, SAP - Programmi sensibili |
Sottrazione di dati |
| SAP - (anteprima) Volume elevato di dati potenzialmente sensibili esportati | Identifica l'esportazione di un volume elevato di dati tramite file in prossimità di un'esecuzione di una transazione sensibile, di un programma sensibile o dell'accesso diretto alla tabella sensibile. | Esportare un volume elevato di dati tramite file. Origini dati: log di controllo della sicurezza SAP, SAP - Tabelle sensibili, SAP - Transazioni sensibili, SAP - Programmi sensibili |
Sottrazione di dati |
Persistenza
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Attivazione o disattivazione del servizio ICF | Identifica l'attivazione o la disattivazione dei servizi ICF. | Attivare un servizio tramite SICF. Origini dati: SAPcon - Log dati tabella |
Comando e controllo, spostamento laterale, persistenza |
| SAP - Modulo di funzione testato | Identifica il test di un modulo di funzione. | Testare un modulo di funzione usando SE37 / SE80. Origini dati: SAPcon - Log di controllo |
Raccolta, evasione della difesa, movimento laterale |
| SAP - (ANTEPRIMA) HANA DB - Azioni Amministrazione utente | Identifica le azioni di amministrazione degli utenti. | Creare, aggiornare o eliminare un utente del database. Origini dati: agente Linux - Syslog* |
Escalation dei privilegi |
| SAP - Nuovi gestori del servizio ICF | Identifica la creazione di gestori ICF. | Assegnare un nuovo gestore a un servizio usando SICF. Origini dati: SAPcon - Log di controllo |
Comando e controllo, spostamento laterale, persistenza |
| SAP - Nuovi servizi ICF | Identifica la creazione di servizi ICF. | Creare un servizio usando SICF. Origini dati: SAPcon - Log dati tabella |
Comando e controllo, spostamento laterale, persistenza |
| SAP - Esecuzione di un modulo di funzione obsoleto o non sicuro | Identifica l'esecuzione di un modulo di funzione ABAP obsoleto o non sicuro. Gestire funzioni obsolete nell'elenco di controllo SAP - Moduli di funzione obsoleti . Assicurarsi di attivare le modifiche alla registrazione della tabella per la EUFUNC tabella nel back-end. (SE13)Rilevante solo per i sistemi di produzione. |
Eseguire un modulo di funzione obsoleto o non sicuro direttamente usando SE37. Origini dati: SAPcon - Log dati tabella |
Individuazione, comando e controllo |
| SAP - Esecuzione di un programma obsoleto/non sicuro | Identifica l'esecuzione di un programma ABAP obsoleto o non sicuro. Mantenere programmi obsoleti nell'elenco di controllo SAP - Programmi obsoleti . Rilevante solo per i sistemi di produzione. |
Eseguire un programma direttamente usando SE38/SA38/SE80 o usando un processo in background. Origini dati: SAPcon - Log di controllo |
Individuazione, comando e controllo |
| SAP - Modifiche multiple delle password | Identifica più modifiche delle password da parte dell'utente. | Modifica della password utente Origini dati: SAPcon - Log di controllo |
Accesso alle credenziali |
| SAP - (anteprima) AS JAVA - L'utente crea e usa un nuovo utente | Identifica la creazione o la manipolazione degli utenti da parte degli amministratori all'interno dell'ambiente Java SAP AS. | Accedere al sistema back-end usando gli utenti creati o modificati. Origini dati: SAPJAVAFilesLog |
Persistenza |
Tentativi di ignorare i meccanismi di sicurezza SAP
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Modifica della configurazione client | Identifica le modifiche per la configurazione client, ad esempio il ruolo client o la modalità di registrazione delle modifiche. | Eseguire modifiche alla configurazione client usando il codice della SCC4 transazione. Origini dati: SAPcon - Log di controllo |
Evasione della difesa, esfiltrazione, persistenza |
| SAP - I dati sono stati modificati durante l'attività di debug | Identifica le modifiche per i dati di runtime durante un'attività di debug. Caso di utilizzo secondario: Persistenza |
1. Attivare il debug ("/h"). 2. Selezionare un campo per la modifica e aggiornarne il valore. Origini dati: SAPcon - Log di controllo |
Esecuzione, spostamento laterale |
| SAP - Disattivazione del log di controllo della sicurezza | Identifica la disattivazione del log di controllo di sicurezza, | Disabilitare il log di controllo di sicurezza usando SM19/RSAU_CONFIG. Origini dati: SAPcon - Log di controllo |
Esfiltrazione, evasione della difesa, persistenza |
| SAP - Esecuzione di un programma ABAP sensibile | Identifica l'esecuzione diretta di un programma ABAP sensibile. Gestire i programmi ABAP nell'elenco di controllo PROGRAMMI ABAP SENSIBILI DI SAP . |
Eseguire un programma direttamente usando SE38//SA38SE80. Origini dati: SAPcon - Log di controllo |
Esfiltrazione, spostamento laterale, esecuzione |
| SAP - Esecuzione di un codice di transazione sensibile | Identifica l'esecuzione di un codice di transazione sensibile. Gestire i codici di transazione nell'elenco di controllo SAP - Codici transazione sensibili . |
Eseguire un codice di transazione sensibile. Origini dati: SAPcon - Log di controllo |
Individuazione, esecuzione |
| SAP - Esecuzione del modulo di funzione sensibile | Identifica l'esecuzione di un modulo di funzione ABAP sensibile. Caso di utilizzo secondario: Persistenza Rilevante solo per i sistemi di produzione. Gestire le funzioni sensibili nell'elenco di controllo SAP - Sensitive Function Modules e assicurarsi di attivare le modifiche alla registrazione delle tabelle nel back-end per la tabella EUFUNC. (SE13) |
Eseguire un modulo di funzione sensibile direttamente usando SE37. Origini dati: SAPcon - Log dati tabella |
Individuazione, comando e controllo |
| SAP - (ANTEPRIMA) HANA DB - Modifiche ai criteri dell'audit trail | Identifica le modifiche per i criteri di audit trail del database HANA. | Creare o aggiornare i criteri di controllo esistenti nelle definizioni di sicurezza. Origini dati: agente Linux - Syslog |
Spostamento laterale, evasione della difesa, persistenza |
| SAP - (ANTEPRIMA) HANA DB - Disattivazione dell'audit trail | Identifica la disattivazione del log di controllo del database HANA. | Disattivare il log di controllo nella definizione di sicurezza del database HANA. Origini dati: agente Linux - Syslog |
Persistenza, movimento laterale, evasione della difesa |
| SAP - Esecuzione remota non autorizzata di un modulo di funzione sensibile | Rileva esecuzioni non autorizzate di macchine virtuali sensibili confrontando l'attività con il profilo di autorizzazione dell'utente ignorando le autorizzazioni modificate di recente. Gestire i moduli di funzione nell'elenco di controllo SAP - Moduli di funzione sensibili . |
Eseguire un modulo di funzione usando RFC. Origini dati: SAPcon - Log di controllo |
Esecuzione, spostamento laterale, individuazione |
| SAP - Modifica della configurazione del sistema | Identifica le modifiche per la configurazione del sistema. | Adattare le opzioni di modifica del sistema o la modifica del componente software usando il codice della SE06 transazione.Origini dati: SAPcon - Log di controllo |
Esfiltrazione, evasione della difesa, persistenza |
| SAP - Attività di debug | Identifica tutte le attività correlate al debug. Caso di utilizzo secondario: Persistenza |
Attivare Debug ("/h") nel sistema, eseguire il debug di un processo attivo, aggiungere un punto di interruzione al codice sorgente e così via. Origini dati: SAPcon - Log di controllo |
Individuazione |
| SAP - Modifica della configurazione del log di controllo della sicurezza | Identifica le modifiche nella configurazione del log di controllo di sicurezza | Modificare qualsiasi configurazione del log di controllo di sicurezza usando SM19/RSAU_CONFIG, ad esempio i filtri, lo stato, la modalità di registrazione e così via. Origini dati: SAPcon - Log di controllo |
Persistenza, esfiltrazione, evasione della difesa |
| SAP - La transazione è sbloccata | Identifica lo sblocco di una transazione. | Sbloccare un codice di transazione usando SM01SM01_CUS/SM01_DEV/. Origini dati: SAPcon - Log di controllo |
Persistenza, esecuzione |
| SAP - Programma ABAP dinamico | Identifica l'esecuzione della programmazione ABAP dinamica. Ad esempio, quando il codice ABAP è stato creato, modificato o eliminato in modo dinamico. Gestire i codici di transazione esclusi nell'elenco di controllo SAP - Transactions for ABAP Generations . |
Creare un report ABAP che usa i comandi di generazione del programma ABAP, ad esempio INSERT REPORT, e quindi eseguire il report. Origini dati: SAPcon - Log di controllo |
Individuazione, comando e controllo, impatto |
Operazioni con privilegi sospetti
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Modifica in un utente con privilegi sensibili | Identifica le modifiche degli utenti con privilegi sensibili. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Privileged Users . |
Modificare i dettagli utente/le autorizzazioni usando SU01. Origini dati: SAPcon - Log di controllo |
Escalation dei privilegi, accesso alle credenziali |
| SAP - (ANTEPRIMA) HANA DB - Assegnare autorizzazioni Amministrazione | Identifica i privilegi di amministratore o l'assegnazione di ruolo. | Assegnare un utente con qualsiasi ruolo o privilegi di amministratore. Origini dati: agente Linux - Syslog |
Escalation dei privilegi |
| SAP - Utente con privilegi sensibili connesso | Identifica l'accesso dialog di un utente con privilegi sensibili. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Privileged Users . |
Accedere al sistema back-end usando SAP* o un altro utente con privilegi. Origini dati: SAPcon - Log di controllo |
Accesso iniziale, accesso alle credenziali |
| SAP - L'utente con privilegi sensibili apporta una modifica ad altri utenti | Identifica le modifiche degli utenti con privilegi sensibili in altri utenti. | Modificare i dettagli utente/le autorizzazioni usando SU01. Origini dati: SAPcon - Log di controllo |
Escalation dei privilegi, accesso alle credenziali |
| SAP - Modifica della password e accesso degli utenti sensibili | Identifica le modifiche delle password per gli utenti con privilegi. | Modificare la password per un utente con privilegi e accedere al sistema. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Privileged Users . Origini dati: SAPcon - Log di controllo |
Impatto, comando e controllo, escalation dei privilegi |
| SAP - L'utente crea e usa un nuovo utente | Identifica un utente che crea e usa altri utenti. Caso di utilizzo secondario: Persistenza |
Creare un utente usando SU01 e quindi accedere usando l'utente appena creato e lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo |
Individuazione, pre-attacco, accesso iniziale |
| SAP - L'utente sblocca e usa altri utenti | Identifica un utente sbloccato e usato da altri utenti. Caso di utilizzo secondario: Persistenza |
Sbloccare un utente usando SU01 e quindi accedere usando l'utente sbloccato e lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo, SAPcon - Change Documents Log |
Individuazione, pre-attacco, accesso iniziale, spostamento laterale |
| SAP - Assegnazione di un profilo sensibile | Identifica le nuove assegnazioni di un profilo sensibile a un utente. Gestire i profili sensibili nell'elenco di controllo SAP - Profili sensibili . |
Assegnare un profilo a un utente usando SU01. Origini dati: SAPcon - Modificare il log dei documenti |
Escalation dei privilegi |
| SAP - Assegnazione di un ruolo sensibile | Identifica le nuove assegnazioni per un ruolo sensibile a un utente. Gestire i ruoli sensibili nell'elenco di controllo SAP - Ruoli sensibili . |
Assegnare un ruolo a un utente usando SU01 / PFCG. Origini dati: SAPcon - Modificare il log dei documenti, log di controllo |
Escalation dei privilegi |
| SAP - (ANTEPRIMA) Assegnazione di autorizzazioni critiche - Nuovo valore di autorizzazione | Identifica l'assegnazione di un valore dell'oggetto autorizzazione critico a un nuovo utente. Gestire gli oggetti di autorizzazione critici nell'elenco di controllo SAP - Oggetti di autorizzazione critici . |
Assegnare un nuovo oggetto autorizzazione o aggiornarne uno esistente in un ruolo usando PFCG. Origini dati: SAPcon - Modificare il log dei documenti |
Escalation dei privilegi |
| SAP - Assegnazione di autorizzazioni critiche - Nuova assegnazione utente | Identifica l'assegnazione di un valore dell'oggetto autorizzazione critico a un nuovo utente. Gestire gli oggetti di autorizzazione critici nell'elenco di controllo SAP - Oggetti di autorizzazione critici . |
Assegnare un nuovo utente a un ruolo che contiene valori di autorizzazione critici usando SU01/PFCG. Origini dati: SAPcon - Modificare il log dei documenti |
Escalation dei privilegi |
| SAP - Modifiche ai ruoli sensibili | Identifica le modifiche nei ruoli sensibili. Gestire i ruoli sensibili nell'elenco di controllo SAP - Ruoli sensibili . |
Modificare un ruolo usando PFCG. Origini dati: SAPcon - Change Documents Log, SAPcon – Audit Log |
Impatto, Escalation dei privilegi, Persistenza |
Monitorare il log di controllo SAP
Molte delle regole di analisi nella soluzione Microsoft Sentinel per le applicazioni SAP usano i dati del log di controllo SAP. Alcune regole di analisi cercano eventi specifici nel log, mentre altre correlano le indicazioni di diversi log per creare avvisi e eventi imprevisti ad alta fedeltà.
Usare le regole di analisi seguenti per monitorare tutti gli eventi del log di controllo nel sistema SAP o attivare gli avvisi solo quando vengono rilevate anomalie:
| Nome regola | Descrizione |
|---|---|
| SAP - Configurazione mancante in Dynamic Security Audit Log Monitor | Per impostazione predefinita, viene eseguita quotidianamente per fornire consigli di configurazione per il modulo del log di controllo SAP. Usare il modello di regola per creare e personalizzare una regola per l'area di lavoro. |
| SAP - Dynamic Deterministic Audit Log Monitor (ANTEPRIMA) | Per impostazione predefinita, viene eseguito ogni 10 minuti e si concentra sugli eventi del log di controllo SAP contrassegnati come deterministici. Usare il modello di regola per creare e personalizzare una regola per l'area di lavoro, ad esempio per una frequenza di falsi positivi inferiore. Questa regola richiede soglie di avviso deterministiche e regole di esclusione utente. |
| SAP - Avvisi di Monitoraggio log di controllo basato su anomalie dinamiche (ANTEPRIMA) | Per impostazione predefinita, viene eseguito ogni ora e si concentra sugli eventi SAP contrassegnati come AnomaliesOnly, generando avvisi sugli eventi del log di controllo SAP quando vengono rilevate anomalie. Questa regola applica algoritmi di Machine Learning aggiuntivi per filtrare il rumore di fondo in modo non supervisionato. |
Per impostazione predefinita, la maggior parte dei tipi di evento o degli ID messaggio SAP nel log di controllo SAP viene inviata alla regola di analisi degli avvisi di monitoraggio dei log di controllo basata su anomalie dinamiche (ANTEPRIMA), mentre i tipi di evento più facili da definire vengono inviati alla regola di analisi deterministica di Monitoraggio log di controllo deterministico dinamico (ANTEPRIMA). Questa impostazione, insieme ad altre impostazioni correlate, può essere ulteriormente configurata in base a qualsiasi condizione di sistema.
Le regole di monitoraggio dei log di controllo SAP vengono recapitate come parte del Microsoft Sentinel per il contenuto di sicurezza della soluzione SAP e consentono un'ulteriore ottimizzazione tramite gli elenchi di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
Ad esempio, nella tabella seguente sono elencati diversi esempi di come è possibile usare l'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration per configurare i tipi di eventi che generano eventi imprevisti, riducendo il numero di eventi imprevisti generati.
| Opzione | Descrizione |
|---|---|
| Impostare le gravità e disabilitare gli eventi indesiderati | Per impostazione predefinita, sia le regole deterministiche che le regole basate sulle anomalie creano avvisi per gli eventi contrassegnati con gravità media e alta. È possibile configurare i livelli di gravità separatamente in ambienti di produzione e non di produzione. Ad esempio, è possibile impostare un evento di attività di debug come gravità elevata nei sistemi di produzione e disattivare gli stessi eventi interamente nei sistemi non di produzione. |
| Escludere gli utenti in base ai ruoli SAP o ai profili SAP | Microsoft Sentinel per SAP inserisce il profilo di autorizzazione dell'utente SAP, incluse le assegnazioni di ruolo, i gruppi e i profili diretti e indiretti, in modo da poter parlare la lingua SAP nel SIEM. È possibile configurare un evento SAP per escludere gli utenti in base ai ruoli e ai profili SAP. Nell'elenco di controllo aggiungere i ruoli o i profili che raggruppano gli utenti dell'interfaccia RFC nella colonna RolesTagsToExclude accanto all'evento Accesso alla tabella generica per RFC . Questa configurazione attiva gli avvisi solo per gli utenti che non hanno questi ruoli. |
| Escludere gli utenti dai tag SOC | Usare i tag per creare un raggruppamento personalizzato, senza basarsi su definizioni SAP complesse o anche senza autorizzazione SAP. Questo metodo è utile per i team SOC che vogliono creare un raggruppamento personalizzato per gli utenti SAP. Se, ad esempio, non si vuole che gli account di servizio specifici vengano avvisati per l'accesso alle tabelle generiche dagli eventi RFC , ma non è possibile trovare un ruolo SAP o un profilo SAP che raggruppa questi utenti, usare i tag come indicato di seguito: 1. Aggiungere il tag GenTableRFCReadOK accanto all'evento pertinente nell'elenco di controllo. 2. Passare all'elenco di controllo SAP_User_Config e assegnare agli utenti dell'interfaccia lo stesso tag. |
| Specificare una soglia di frequenza per tipo di evento e ruolo di sistema | Funziona come un limite di velocità. Ad esempio, è possibile configurare gli eventi modifica record master utente per attivare avvisi solo se vengono osservate più di 12 attività in un'ora, dallo stesso utente in un sistema di produzione. Se un utente supera il limite di 12 ore, ad esempio 2 eventi in una finestra di 10 minuti, viene attivato un evento imprevisto. |
| Determinismo o anomalie | Se si conoscono le caratteristiche dell'evento, usare le funzionalità deterministiche. Se non si è certi di come configurare correttamente l'evento, consentire alle funzionalità di Machine Learning di decidere di avviare e quindi eseguire gli aggiornamenti successivi in base alle esigenze. |
| Funzionalità SOAR | Usare Microsoft Sentinel per orchestrare, automatizzare e rispondere ulteriormente agli eventi imprevisti creati dagli avvisi dinamici del log di controllo SAP. Per altre informazioni, vedere Automazione in Microsoft Sentinel: orchestrazione della sicurezza, automazione e risposta (SOAR). |
Per altre informazioni, vedere Elenchi di controllo disponibili e Microsoft Sentinel per SAP News - Funzionalità monitoraggio log di controllo della sicurezza SAP dinamica disponibile ora. (blog).
Accesso iniziale
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Accesso da una rete imprevista | Identifica un accesso da una rete imprevista. Gestire le reti nell'elenco di controllo SAP - Networks . |
Accedere al sistema back-end da un indirizzo IP non assegnato a una delle reti. Origini dati: SAPcon - Log di controllo |
Accesso iniziale |
| SAP - Attacco SPNego | Identifica l'attacco di riesecuzione spNego. | Origini dati: SAPcon - Log di controllo | Impatto, spostamento laterale |
| SAP - Tentativo di accesso della finestra di dialogo da parte di un utente con privilegi | Identifica i tentativi di accesso alla finestra di dialogo, con il tipo AUM , da parte degli utenti con privilegi in un sistema SAP. Per altre informazioni, vedere SAPUsersGetPrivileged. | Tentativo di accesso dallo stesso INDIRIZZO IP a più sistemi o client entro l'intervallo di tempo pianificato Origini dati: SAPcon - Log di controllo |
Impatto, spostamento laterale |
| SAP - Attacchi di forza bruta | Identifica gli attacchi di forza bruta nel sistema SAP usando gli accessi RFC | Tentativo di accesso dallo stesso IP a più sistemi/client entro l'intervallo di tempo pianificato tramite RFC Origini dati: SAPcon - Log di controllo |
Accesso alle credenziali |
| SAP - Più accessi per IP | Identifica l'accesso di più utenti dallo stesso indirizzo IP entro un intervallo di tempo pianificato. Caso di utilizzo secondario: Persistenza |
Accedere usando più utenti tramite lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo |
Accesso iniziale |
| SAP - Più accessi per utente | Identifica gli accessi dello stesso utente da più terminali entro l'intervallo di tempo pianificato. Disponibile solo tramite il metodo Audit SAL per SAP versioni 7.5 e successive. |
Accedere usando lo stesso utente, usando indirizzi IP diversi. Origini dati: SAPcon - Log di controllo |
Pre-attacco, accesso alle credenziali, accesso iniziale, raccolta Caso di utilizzo secondario: Persistenza |
Esfiltrazione di dati
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - FTP per server non autorizzati | Identifica una connessione FTP per un server non autorizzato. | Creare una nuova connessione FTP, ad esempio usando il modulo di funzione FTP_CONNECT. Origini dati: SAPcon - Log di controllo |
Individuazione, accesso iniziale, comando e controllo |
| SAP - Configurazione dei server FTP non sicuri | Identifica le configurazioni del server FTP non sicure, ad esempio quando un elenco di elementi consentiti FTP è vuoto o contiene segnaposto. | Non mantenere i valori che contengono segnaposto nella SAPFTP_SERVERS tabella, usando la SAPFTP_SERVERS_V visualizzazione di manutenzione. (SM30) Origini dati: SAPcon - Log di controllo |
Accesso iniziale, comando e controllo |
| SAP - Download di più Files | Identifica più download di file per un utente entro un intervallo di tempo specifico. | Scaricare più file usando SAPGui per Excel, elenchi e così via. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Accesso diretto alle tabelle sensibili tramite l'accesso RFC | Identifica l'accesso a una tabella generica tramite l'accesso RFC. Gestire le tabelle nell'elenco di controllo SAP - Tabelle sensibili . Rilevante solo per i sistemi di produzione. |
Aprire il contenuto della tabella usando SE11/SE16/SE16N. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Destinazione RFC dinamica | Identifica l'esecuzione di RFC usando destinazioni dinamiche. Caso di utilizzo secondario: tenta di ignorare i meccanismi di sicurezza SAP |
Eseguire un report ABAP che usa destinazioni dinamiche (cl_dynamic_destination). Ad esempio, DEMO_RFC_DYNAMIC_DEST. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione |
| SAP - Tabelle sensibili Accesso diretto tramite accesso finestra di dialogo | Identifica l'accesso alla tabella generico tramite l'accesso alla finestra di dialogo. | Aprire il contenuto della tabella usando SE11SE16N/SE16/. Origini dati: SAPcon - Log di controllo |
Individuazione |
| FILE SAP - (anteprima) scaricato da un indirizzo IP dannoso | Identifica il download di un file da un sistema SAP usando un indirizzo IP noto per essere dannoso. Gli indirizzi IP dannosi vengono ottenuti dai servizi di intelligence sulle minacce. | Scaricare un file da un INDIRIZZO IP dannoso. Origini dati: log di controllo della sicurezza SAP, Intelligence per le minacce |
Sottrazione di dati |
| SAP - (anteprima) Dati sensibili salvati in un'unità USB | Identifica l'esportazione di dati SAP tramite file. La regola controlla i dati salvati in un'unità USB montata di recente in prossimità di un'esecuzione di una transazione sensibile, di un programma sensibile o dell'accesso diretto a una tabella sensibile. | Esportare i dati SAP tramite file e salvarli in un'unità USB. Origini dati: log di controllo della sicurezza SAP, DeviceFileEvents (Microsoft Defender per endpoint), SAP - Tabelle sensibili, SAP - Transazioni sensibili, SAP - Programmi sensibili |
Sottrazione di dati |
| SAP - (anteprima) Volume elevato di dati potenzialmente sensibili esportati | Identifica l'esportazione di un volume elevato di dati tramite file in prossimità di un'esecuzione di una transazione sensibile, di un programma sensibile o dell'accesso diretto alla tabella sensibile. | Esportare un volume elevato di dati tramite file. Origini dati: log di controllo della sicurezza SAP, SAP - Tabelle sensibili, SAP - Transazioni sensibili, SAP - Programmi sensibili |
Sottrazione di dati |
Persistenza
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Modulo di funzione testato | Identifica il test di un modulo di funzione. | Testare un modulo di funzione usando SE37 / SE80. Origini dati: SAPcon - Log di controllo |
Raccolta, evasione della difesa, movimento laterale |
| SAP - (ANTEPRIMA) HANA DB - Azioni Amministrazione utente | Identifica le azioni di amministrazione degli utenti. | Creare, aggiornare o eliminare un utente del database. Origini dati: agente Linux - Syslog* |
Escalation dei privilegi |
| SAP - Esecuzione di un modulo di funzione obsoleto o non sicuro | Identifica l'esecuzione di un modulo di funzione ABAP obsoleto o non sicuro. Gestire funzioni obsolete nell'elenco di controllo SAP - Moduli di funzione obsoleti . Assicurarsi di attivare le modifiche alla registrazione della tabella per la EUFUNC tabella nel back-end. (SE13)Rilevante solo per i sistemi di produzione. |
Eseguire un modulo di funzione obsoleto o non sicuro direttamente usando SE37. Origini dati: SAPcon - Log dati tabella |
Individuazione, comando e controllo |
| SAP - Esecuzione di un programma obsoleto/non sicuro | Identifica l'esecuzione di un programma ABAP obsoleto o non sicuro. Mantenere programmi obsoleti nell'elenco di controllo SAP - Programmi obsoleti . Rilevante solo per i sistemi di produzione. |
Eseguire un programma direttamente usando SE38/SA38/SE80 o usando un processo in background. Origini dati: SAPcon - Log di controllo |
Individuazione, comando e controllo |
| SAP - Modifiche multiple delle password | Identifica più modifiche delle password da parte dell'utente. | Modifica della password utente Origini dati: SAPcon - Log di controllo |
Accesso alle credenziali |
Tentativi di ignorare i meccanismi di sicurezza SAP
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Modifica della configurazione client | Identifica le modifiche per la configurazione client, ad esempio il ruolo client o la modalità di registrazione delle modifiche. | Eseguire modifiche alla configurazione client usando il codice della SCC4 transazione. Origini dati: SAPcon - Log di controllo |
Evasione della difesa, esfiltrazione, persistenza |
| SAP - I dati sono stati modificati durante l'attività di debug | Identifica le modifiche per i dati di runtime durante un'attività di debug. Caso di utilizzo secondario: Persistenza |
1. Attivare il debug ("/h"). 2. Selezionare un campo per la modifica e aggiornarne il valore. Origini dati: SAPcon - Log di controllo |
Esecuzione, spostamento laterale |
| SAP - Disattivazione del log di controllo della sicurezza | Identifica la disattivazione del log di controllo di sicurezza, | Disabilitare il log di controllo di sicurezza usando SM19/RSAU_CONFIG. Origini dati: SAPcon - Log di controllo |
Esfiltrazione, evasione della difesa, persistenza |
| SAP - Esecuzione di un programma ABAP sensibile | Identifica l'esecuzione diretta di un programma ABAP sensibile. Gestire i programmi ABAP nell'elenco di controllo PROGRAMMI ABAP SENSIBILI DI SAP . |
Eseguire un programma direttamente usando SE38//SA38SE80. Origini dati: SAPcon - Log di controllo |
Esfiltrazione, spostamento laterale, esecuzione |
| SAP - Esecuzione di un codice di transazione sensibile | Identifica l'esecuzione di un codice di transazione sensibile. Gestire i codici di transazione nell'elenco di controllo SAP - Codici transazione sensibili . |
Eseguire un codice di transazione sensibile. Origini dati: SAPcon - Log di controllo |
Individuazione, esecuzione |
| SAP - Esecuzione del modulo di funzione sensibile | Identifica l'esecuzione di un modulo di funzione ABAP sensibile. Caso di utilizzo secondario: Persistenza Rilevante solo per i sistemi di produzione. Gestire le funzioni sensibili nell'elenco di controllo SAP - Sensitive Function Modules e assicurarsi di attivare le modifiche alla registrazione delle tabelle nel back-end per la tabella EUFUNC. (SE13) |
Eseguire un modulo di funzione sensibile direttamente usando SE37. Origini dati: SAPcon - Log dati tabella |
Individuazione, comando e controllo |
| SAP - (ANTEPRIMA) HANA DB - Modifiche ai criteri dell'audit trail | Identifica le modifiche per i criteri di audit trail del database HANA. | Creare o aggiornare i criteri di controllo esistenti nelle definizioni di sicurezza. Origini dati: agente Linux - Syslog |
Spostamento laterale, evasione della difesa, persistenza |
| SAP - (ANTEPRIMA) HANA DB - Disattivazione dell'audit trail | Identifica la disattivazione del log di controllo del database HANA. | Disattivare il log di controllo nella definizione di sicurezza del database HANA. Origini dati: agente Linux - Syslog |
Persistenza, movimento laterale, evasione della difesa |
| SAP - Esecuzione remota non autorizzata di un modulo di funzione sensibile | Rileva esecuzioni non autorizzate di macchine virtuali sensibili confrontando l'attività con il profilo di autorizzazione dell'utente ignorando le autorizzazioni modificate di recente. Gestire i moduli di funzione nell'elenco di controllo SAP - Moduli di funzione sensibili . |
Eseguire un modulo di funzione usando RFC. Origini dati: SAPcon - Log di controllo |
Esecuzione, spostamento laterale, individuazione |
| SAP - Modifica della configurazione del sistema | Identifica le modifiche per la configurazione del sistema. | Adattare le opzioni di modifica del sistema o la modifica del componente software usando il codice della SE06 transazione.Origini dati: SAPcon - Log di controllo |
Esfiltrazione, evasione della difesa, persistenza |
| SAP - Attività di debug | Identifica tutte le attività correlate al debug. Caso di utilizzo secondario: Persistenza |
Attivare Debug ("/h") nel sistema, eseguire il debug di un processo attivo, aggiungere un punto di interruzione al codice sorgente e così via. Origini dati: SAPcon - Log di controllo |
Individuazione |
| SAP - Modifica della configurazione del log di controllo della sicurezza | Identifica le modifiche nella configurazione del log di controllo di sicurezza | Modificare qualsiasi configurazione del log di controllo di sicurezza usando SM19/RSAU_CONFIG, ad esempio i filtri, lo stato, la modalità di registrazione e così via. Origini dati: SAPcon - Log di controllo |
Persistenza, esfiltrazione, evasione della difesa |
| SAP - La transazione è sbloccata | Identifica lo sblocco di una transazione. | Sbloccare un codice di transazione usando SM01SM01_CUS/SM01_DEV/. Origini dati: SAPcon - Log di controllo |
Persistenza, esecuzione |
| SAP - Programma ABAP dinamico | Identifica l'esecuzione della programmazione ABAP dinamica. Ad esempio, quando il codice ABAP è stato creato, modificato o eliminato in modo dinamico. Gestire i codici di transazione esclusi nell'elenco di controllo SAP - Transactions for ABAP Generations . |
Creare un report ABAP che usa i comandi di generazione del programma ABAP, ad esempio INSERT REPORT, e quindi eseguire il report. Origini dati: SAPcon - Log di controllo |
Individuazione, comando e controllo, impatto |
Operazioni con privilegi sospetti
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Modifica in un utente con privilegi sensibili | Identifica le modifiche degli utenti con privilegi sensibili. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Privileged Users . |
Modificare i dettagli utente/le autorizzazioni usando SU01. Origini dati: SAPcon - Log di controllo |
Escalation dei privilegi, accesso alle credenziali |
| SAP - (ANTEPRIMA) HANA DB - Assegnare autorizzazioni Amministrazione | Identifica i privilegi di amministratore o l'assegnazione di ruolo. | Assegnare un utente con qualsiasi ruolo o privilegi di amministratore. Origini dati: agente Linux - Syslog |
Escalation dei privilegi |
| SAP - Utente con privilegi sensibili connesso | Identifica l'accesso dialog di un utente con privilegi sensibili. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Privileged Users . |
Accedere al sistema back-end usando SAP* o un altro utente con privilegi. Origini dati: SAPcon - Log di controllo |
Accesso iniziale, accesso alle credenziali |
| SAP - L'utente con privilegi sensibili apporta una modifica ad altri utenti | Identifica le modifiche degli utenti con privilegi sensibili in altri utenti. | Modificare i dettagli utente/le autorizzazioni usando SU01. Origini dati: SAPcon - Log di controllo |
Escalation dei privilegi, accesso alle credenziali |
| SAP - Modifica della password e accesso degli utenti sensibili | Identifica le modifiche delle password per gli utenti con privilegi. | Modificare la password per un utente con privilegi e accedere al sistema. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Privileged Users . Origini dati: SAPcon - Log di controllo |
Impatto, comando e controllo, escalation dei privilegi |
| SAP - L'utente crea e usa un nuovo utente | Identifica un utente che crea e usa altri utenti. Caso di utilizzo secondario: Persistenza |
Creare un utente usando SU01 e quindi accedere usando l'utente appena creato e lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo |
Individuazione, pre-attacco, accesso iniziale |
| SAP - L'utente sblocca e usa altri utenti | Identifica un utente sbloccato e usato da altri utenti. Caso di utilizzo secondario: Persistenza |
Sbloccare un utente usando SU01 e quindi accedere usando l'utente sbloccato e lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo, SAPcon - Change Documents Log |
Individuazione, pre-attacco, accesso iniziale, spostamento laterale |
| SAP - Assegnazione di un profilo sensibile | Identifica le nuove assegnazioni di un profilo sensibile a un utente. Gestire i profili sensibili nell'elenco di controllo SAP - Profili sensibili . |
Assegnare un profilo a un utente usando SU01. Origini dati: SAPcon - Modificare il log dei documenti |
Escalation dei privilegi |
| SAP - Assegnazione di un ruolo sensibile | Identifica le nuove assegnazioni per un ruolo sensibile a un utente. Gestire i ruoli sensibili nell'elenco di controllo SAP - Ruoli sensibili . |
Assegnare un ruolo a un utente usando SU01 / PFCG. Origini dati: SAPcon - Modificare il log dei documenti, log di controllo |
Escalation dei privilegi |
| SAP - (ANTEPRIMA) Assegnazione di autorizzazioni critiche - Nuovo valore di autorizzazione | Identifica l'assegnazione di un valore dell'oggetto autorizzazione critico a un nuovo utente. Gestire gli oggetti di autorizzazione critici nell'elenco di controllo SAP - Oggetti di autorizzazione critici . |
Assegnare un nuovo oggetto autorizzazione o aggiornarne uno esistente in un ruolo usando PFCG. Origini dati: SAPcon - Modificare il log dei documenti |
Escalation dei privilegi |
| SAP - Assegnazione di autorizzazioni critiche - Nuova assegnazione utente | Identifica l'assegnazione di un valore dell'oggetto autorizzazione critico a un nuovo utente. Gestire gli oggetti di autorizzazione critici nell'elenco di controllo SAP - Oggetti di autorizzazione critici . |
Assegnare un nuovo utente a un ruolo che contiene valori di autorizzazione critici usando SU01/PFCG. Origini dati: SAPcon - Modificare il log dei documenti |
Escalation dei privilegi |
| SAP - Modifiche ai ruoli sensibili | Identifica le modifiche nei ruoli sensibili. Gestire i ruoli sensibili nell'elenco di controllo SAP - Ruoli sensibili . |
Modificare un ruolo usando PFCG. Origini dati: SAPcon - Change Documents Log, SAPcon – Audit Log |
Impatto, Escalation dei privilegi, Persistenza |
Elenchi di controllo disponibili
Nella tabella seguente sono elencati gli elenchi di controllo disponibili per la soluzione Microsoft Sentinel per le applicazioni SAP e i campi in ogni elenco di controllo.
Questi watchlist forniscono la configurazione per la soluzione Microsoft Sentinel per le applicazioni SAP. Gli elenchi di controllo SAP sono disponibili nel repository GitHub Microsoft Sentinel.
| Nome watchlist | Descrizione e campi |
|---|---|
| SAP - Autorizzazioni critiche | Oggetto Authorizations critico, in cui le assegnazioni devono essere regolate. - AuthorizationObject: oggetto di autorizzazione SAP, ad S_DEVELOPesempio , S_TCODEo Table TOBJ - AuthorizationField: campo di autorizzazione SAP, ad OBJTYP esempio o TCD - AuthorizationValue: valore del campo di autorizzazione SAP, ad esempio DEBUG - ActivityField : campo attività SAP. Per la maggior parte dei casi, questo valore è ACTVT. Per oggetti Authorizations senza un'attività o con solo un campo Activity , riempito con NOT_IN_USE. - Attività: attività SAP, in base all'oggetto autorizzazione, ad esempio: 01: Crea; 02: Modifica; 03: Visualizza e così via. - Descrizione: descrizione significativa dell'oggetto autorizzazione critica. |
| SAP - Reti escluse | Per la manutenzione interna delle reti escluse, ad esempio per ignorare i dispatcher Web, i server terminal e così via. - Rete: un indirizzo IP di rete o un intervallo, ad 111.68.128.0/17esempio . - Descrizione: descrizione significativa della rete. |
| Utenti esclusi da SAP | Gli utenti di sistema che hanno eseguito l'accesso al sistema e devono essere ignorati. Ad esempio, avvisi per più accessi da parte dello stesso utente. - Utente: utente SAP - Descrizione: descrizione significativa dell'utente. |
| SAP - Reti | Reti interne e di manutenzione per l'identificazione di accessi non autorizzati. - Rete: indirizzo IP di rete o intervallo, ad esempio 111.68.128.0/17 - Descrizione: descrizione significativa della rete. |
| SAP - Utenti con privilegi | Utenti con privilegi soggetti a restrizioni aggiuntive. - Utente: l'utente ABAP, ad DDIC esempio o SAP - Descrizione: descrizione significativa dell'utente. |
| SAP - Programmi ABAP sensibili | Programmi ABAP sensibili (report), in cui l'esecuzione deve essere regolata. - ABAPProgram: programma o report ABAP, ad esempio RSPFLDOC - Descrizione: descrizione significativa del programma. |
| SAP - Modulo di funzione sensibile | Reti interne e di manutenzione per l'identificazione di accessi non autorizzati. - FunctionModule: modulo di funzione ABAP, ad esempio RSAU_CLEAR_AUDIT_LOG - Descrizione: descrizione significativa del modulo. |
| SAP - Profili sensibili | Profili sensibili, in cui le assegnazioni devono essere regolate. - Profilo: profilo di autorizzazione SAP, ad SAP_ALL esempio o SAP_NEW - Descrizione: descrizione significativa del profilo. |
| SAP - Tabelle sensibili | Tabelle sensibili, in cui l'accesso deve essere regolato. - Tabella: tabella di dizionario ABAP, ad USR02 esempio o PA008 - Descrizione: descrizione significativa della tabella. |
| SAP - Ruoli sensibili | Ruoli sensibili, in cui l'assegnazione deve essere regolata. - Ruolo: ruolo di autorizzazione SAP, ad esempio SAP_BC_BASIS_ADMIN - Descrizione: descrizione significativa del ruolo. |
| SAP - Transazioni riservate | Transazioni sensibili in cui l'esecuzione deve essere regolata. - TransactionCode: codice della transazione SAP, ad esempio RZ11 - Descrizione: descrizione significativa del codice. |
| SAP - Sistemi | Descrive il panorama dei sistemi SAP in base al ruolo, all'utilizzo e alla configurazione. - SystemID: ID di sistema SAP (SYSID) - SystemRole: il ruolo di sistema SAP, uno dei valori seguenti: Sandbox, , Quality AssuranceDevelopment, , , TrainingProduction - SystemUsage: utilizzo del sistema SAP, uno dei valori seguenti: ERP, BW, Solman, , , GatewayEnterprise Portal - InterfaceAttributes: parametro dinamico facoltativo da usare nei playbook. |
| SAPSystemParameters | Parametri da controllare per le modifiche di configurazione sospette. Questa watchlist è precompilata con i valori consigliati (secondo la procedura consigliata SAP) ed è possibile estendere l'elenco di controllo per includere altri parametri. Se non si desidera ricevere avvisi per un parametro, impostare su EnableAlertsfalse.- ParameterName: nome del parametro. - Commento: descrizione del parametro standard SAP. - EnableAlerts: definisce se abilitare gli avvisi per questo parametro. I valori sono true e false.- Opzione: definisce in quale caso attivare un avviso: se il valore del parametro è maggiore o uguale a ( GE), minore o uguale a (LE) o uguale (EQ)Ad esempio, se il login/fails_to_user_lock parametro SAP è impostato su LE (minore o uguale) e un valore di 5, una volta Microsoft Sentinel rileva una modifica a questo parametro specifico, confronta il nuovo valore segnalato e il valore previsto. Se il nuovo valore è 4, Microsoft Sentinel non attiva un avviso. Se il nuovo valore è 6, Microsoft Sentinel attiva un avviso.- ProductionSeverity: gravità dell'evento imprevisto per i sistemi di produzione. - ProductionValues: valori consentiti per i sistemi di produzione. - NonProdSeverity: gravità dell'evento imprevisto per i sistemi non di produzione. - NonProdValues: valori consentiti per i sistemi non di produzione. |
| SAP - Utenti esclusi | Gli utenti di sistema che hanno effettuato l'accesso e che devono essere ignorati, ad esempio per l'avviso Più accessi per utente. - Utente: utente SAP - Descrizione: descrizione significativa dell'utente |
| SAP - Reti escluse | Mantenere le reti interne escluse per ignorare i dispatcher Web, i server terminal e così via. - Rete: indirizzo IP di rete o intervallo, ad esempio 111.68.128.0/17 - Descrizione: una descrizione significativa della rete |
| SAP - Moduli di funzione obsoleti | Moduli di funzione obsoleti, la cui esecuzione deve essere regolata. - FunctionModule: modulo di funzione ABAP, ad esempio TH_SAPREL - Descrizione: descrizione di un modulo di funzione significativo |
| SAP - Programmi obsoleti | Programmi ABAP obsoleti (report), la cui esecuzione deve essere regolata. - Programma ABAPProgram:ABAP, ad esempio TH_ RSPFLDOC - Descrizione: Descrizione significativa del programma ABAP |
| SAP - Transazioni per le generazioni ABAP | Transazioni per le generazioni ABAP la cui esecuzione deve essere regolata. - TransactionCode: codice della transazione, ad esempio SE11. - Descrizione: descrizione significativa del codice della transazione |
| SAP - Server FTP | Server FTP per l'identificazione di connessioni non autorizzate. - Client: ad esempio 100. - FTP_Server_Name: nome del server FTP, ad esempio http://contoso.com/ - FTP_Server_Port:porta server FTP, ad esempio 22. - DescrizioneDescrizione significativa del server FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configurare gli avvisi del log di controllo SAP assegnando a ogni ID messaggio un livello di gravità come richiesto dall'utente, per ruolo di sistema (produzione, non produzione). Questa watchlist descrive in dettaglio tutti gli ID dei messaggi del log di controllo standard SAP disponibili. L'elenco di controllo può essere esteso per contenere id messaggio aggiuntivi che è possibile creare autonomamente usando miglioramenti ABAP nei sistemi SAP NetWeaver. Questo elenco di controllo consente anche di configurare un team designato per gestire ognuno dei tipi di evento ed escludere gli utenti dai ruoli SAP, dai profili SAP o dai tag dell'elenco di controllo SAP_User_Config. Questo watchlist è uno dei componenti principali usati per configurare le regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP. Per altre informazioni, vedere Monitorare il log di controllo SAP. - MessageID: ID messaggio SAP o tipo di evento, ad AUD esempio (modifiche al record master utente) o AUB (modifiche di autorizzazione). - DetailedDescription: una descrizione abilitata per markdown da visualizzare nel riquadro eventi imprevisti. - ProductionSeverity: la gravità desiderata per l'evento imprevisto da creare con per i sistemi Highdi produzione , Medium. Può essere impostato come Disabled. - NonProdSeverity: la gravità desiderata per l'evento imprevisto da creare con per i sistemi Highnon di produzione , Medium. Può essere impostato come Disabled. - ProductionThreshold Conteggio "all'ora" degli eventi da considerare sospetti per i sistemi 60di produzione. - NonProdThreshold Conteggio "all'ora" degli eventi da considerare sospetti per i sistemi 10non di produzione. - RolesTagsToExclude: questo campo accetta il nome del ruolo SAP, i nomi di profilo SAP o i tag dall'elenco di controllo SAP_User_Config. Questi vengono quindi usati per escludere gli utenti associati da tipi di evento specifici. Vedere le opzioni per i tag del ruolo alla fine di questo elenco. - RuleType: usare Deterministic per inviare il tipo di evento alla regola SAP - Dynamic Deterministic Audit Log Monitor oppure AnomaliesOnly per fare in modo che questo evento sia coperto dalla regola SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Per altre informazioni, vedere Monitorare il log di controllo SAP. - TeamsChannelID: parametro dinamico facoltativo da usare nei playbook. - DestinationEmail: parametro dinamico facoltativo da usare nei playbook. Per il campo RolesTagsToExclude : - Se si elencano i ruoli SAP o i profili SAP, tutti gli utenti con i ruoli o i profili elencati verranno esclusi da questi tipi di evento per lo stesso sistema SAP. Ad esempio, se si definisce il BASIC_BO_USERS ruolo ABAP per i tipi di evento correlati a RFC, gli utenti di Business Objects non attiveranno eventi imprevisti durante l'esecuzione di chiamate RFC di grandi dimensioni.- L'assegnazione di tag a un tipo di evento è simile alla specifica di ruoli o profili SAP, ma è possibile creare tag nell'area di lavoro, in modo che i team SOC possano escludere gli utenti per attività senza dipendere dal team SAP BASIS. Ad esempio, agli ID del messaggio di controllo AUB (modifiche di autorizzazione) e AUD (modifiche al record master utente) viene assegnato il MassiveAuthChanges tag . Gli utenti a cui è stato assegnato questo tag sono esclusi dai controlli per queste attività. L'esecuzione della funzione dell'area di lavoro SAPAuditLogConfigRecommend produce un elenco di tag consigliati da assegnare agli utenti, ad Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlistesempio . |
| SAP_User_Config | Consente di ottimizzare gli avvisi escludendo /includendo gli utenti in contesti specifici e viene usato anche per configurare le regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP. Per altre informazioni, vedere Monitorare il log di controllo SAP. - SAPUser: l'utente SAP - Tag: i tag vengono usati per identificare gli utenti in base a determinate attività. Ad esempio, l'aggiunta di tag ["GenericTablebyRFCOK"] all'utente SENTINEL_SRV impedirà la creazione di eventi imprevisti correlati a RFC per questo utente specifico Altri identificatori utente di Active Directory - Identificatore utente di ACTIVE Directory - Sid locale utente - Nome entità utente |
| Nome watchlist | Descrizione e campi |
|---|---|
| SAP - Autorizzazioni critiche | Oggetto Authorizations critico, in cui le assegnazioni devono essere regolate. - AuthorizationObject: oggetto di autorizzazione SAP, ad S_DEVELOPesempio , S_TCODEo Table TOBJ - AuthorizationField: campo di autorizzazione SAP, ad OBJTYP esempio o TCD - AuthorizationValue: valore del campo di autorizzazione SAP, ad esempio DEBUG - ActivityField : campo attività SAP. Per la maggior parte dei casi, questo valore è ACTVT. Per oggetti Authorizations senza un'attività o con solo un campo Activity , riempito con NOT_IN_USE. - Attività: attività SAP, in base all'oggetto autorizzazione, ad esempio: 01: Crea; 02: Modifica; 03: Visualizza e così via. - Descrizione: descrizione significativa dell'oggetto autorizzazione critica. |
| SAP - Reti escluse | Per la manutenzione interna delle reti escluse, ad esempio per ignorare i dispatcher Web, i server terminal e così via. - Rete: un indirizzo IP di rete o un intervallo, ad 111.68.128.0/17esempio . - Descrizione: descrizione significativa della rete. |
| Utenti esclusi da SAP | Gli utenti di sistema che hanno eseguito l'accesso al sistema e devono essere ignorati. Ad esempio, avvisi per più accessi da parte dello stesso utente. - Utente: utente SAP - Descrizione: descrizione significativa dell'utente. |
| SAP - Reti | Reti interne e di manutenzione per l'identificazione di accessi non autorizzati. - Rete: indirizzo IP di rete o intervallo, ad esempio 111.68.128.0/17 - Descrizione: descrizione significativa della rete. |
| SAP - Utenti con privilegi | Utenti con privilegi soggetti a restrizioni aggiuntive. - Utente: l'utente ABAP, ad DDIC esempio o SAP - Descrizione: descrizione significativa dell'utente. |
| SAP - Programmi ABAP sensibili | Programmi ABAP sensibili (report), in cui l'esecuzione deve essere regolata. - ABAPProgram: programma o report ABAP, ad esempio RSPFLDOC - Descrizione: descrizione significativa del programma. |
| SAP - Modulo di funzione sensibile | Reti interne e di manutenzione per l'identificazione di accessi non autorizzati. - FunctionModule: modulo di funzione ABAP, ad esempio RSAU_CLEAR_AUDIT_LOG - Descrizione: descrizione significativa del modulo. |
| SAP - Profili sensibili | Profili sensibili, in cui le assegnazioni devono essere regolate. - Profilo: profilo di autorizzazione SAP, ad SAP_ALL esempio o SAP_NEW - Descrizione: descrizione significativa del profilo. |
| SAP - Tabelle sensibili | Tabelle sensibili, in cui l'accesso deve essere regolato. - Tabella: tabella di dizionario ABAP, ad USR02 esempio o PA008 - Descrizione: descrizione significativa della tabella. |
| SAP - Ruoli sensibili | Ruoli sensibili, in cui l'assegnazione deve essere regolata. - Ruolo: ruolo di autorizzazione SAP, ad esempio SAP_BC_BASIS_ADMIN - Descrizione: descrizione significativa del ruolo. |
| SAP - Transazioni riservate | Transazioni sensibili in cui l'esecuzione deve essere regolata. - TransactionCode: codice della transazione SAP, ad esempio RZ11 - Descrizione: descrizione significativa del codice. |
| SAP - Sistemi | Descrive il panorama dei sistemi SAP in base al ruolo, all'utilizzo e alla configurazione. - SystemID: ID di sistema SAP (SYSID) - SystemRole: il ruolo di sistema SAP, uno dei valori seguenti: Sandbox, , Quality AssuranceDevelopment, , , TrainingProduction - SystemUsage: utilizzo del sistema SAP, uno dei valori seguenti: ERP, BW, Solman, , , GatewayEnterprise Portal - InterfaceAttributes: parametro dinamico facoltativo da usare nei playbook. |
| SAP - Utenti esclusi | Gli utenti di sistema che hanno effettuato l'accesso e che devono essere ignorati, ad esempio per l'avviso Più accessi per utente. - Utente: utente SAP - Descrizione: descrizione significativa dell'utente |
| SAP - Reti escluse | Mantenere le reti interne escluse per ignorare i dispatcher Web, i server terminal e così via. - Rete: indirizzo IP di rete o intervallo, ad esempio 111.68.128.0/17 - Descrizione: una descrizione significativa della rete |
| SAP - Moduli di funzione obsoleti | Moduli di funzione obsoleti, la cui esecuzione deve essere regolata. - FunctionModule: modulo di funzione ABAP, ad esempio TH_SAPREL - Descrizione: descrizione di un modulo di funzione significativo |
| SAP - Programmi obsoleti | Programmi ABAP obsoleti (report), la cui esecuzione deve essere regolata. - Programma ABAPProgram:ABAP, ad esempio TH_ RSPFLDOC - Descrizione: Descrizione significativa del programma ABAP |
| SAP - Transazioni per le generazioni ABAP | Transazioni per le generazioni ABAP la cui esecuzione deve essere regolata. - TransactionCode: codice della transazione, ad esempio SE11. - Descrizione: descrizione significativa del codice della transazione |
| SAP - Server FTP | Server FTP per l'identificazione di connessioni non autorizzate. - Client: ad esempio 100. - FTP_Server_Name: nome del server FTP, ad esempio http://contoso.com/ - FTP_Server_Port:porta server FTP, ad esempio 22. - DescrizioneDescrizione significativa del server FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configurare gli avvisi del log di controllo SAP assegnando a ogni ID messaggio un livello di gravità come richiesto dall'utente, per ruolo di sistema (produzione, non produzione). Questa watchlist descrive in dettaglio tutti gli ID dei messaggi del log di controllo standard SAP disponibili. L'elenco di controllo può essere esteso per contenere id messaggio aggiuntivi che è possibile creare autonomamente usando miglioramenti ABAP nei sistemi SAP NetWeaver. Questo elenco di controllo consente anche di configurare un team designato per gestire ognuno dei tipi di evento ed escludere gli utenti dai ruoli SAP, dai profili SAP o dai tag dell'elenco di controllo SAP_User_Config. Questo watchlist è uno dei componenti principali usati per configurare le regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP. Per altre informazioni, vedere Monitorare il log di controllo SAP. - MessageID: ID messaggio SAP o tipo di evento, ad AUD esempio (modifiche al record master utente) o AUB (modifiche di autorizzazione). - DetailedDescription: una descrizione abilitata per markdown da visualizzare nel riquadro eventi imprevisti. - ProductionSeverity: la gravità desiderata per l'evento imprevisto da creare con per i sistemi Highdi produzione , Medium. Può essere impostato come Disabled. - NonProdSeverity: la gravità desiderata per l'evento imprevisto da creare con per i sistemi Highnon di produzione , Medium. Può essere impostato come Disabled. - ProductionThreshold Conteggio "all'ora" degli eventi da considerare sospetti per i sistemi 60di produzione. - NonProdThreshold Conteggio "all'ora" degli eventi da considerare sospetti per i sistemi 10non di produzione. - RolesTagsToExclude: questo campo accetta il nome del ruolo SAP, i nomi di profilo SAP o i tag dall'elenco di controllo SAP_User_Config. Questi vengono quindi usati per escludere gli utenti associati da tipi di evento specifici. Vedere le opzioni per i tag del ruolo alla fine di questo elenco. - RuleType: usare Deterministic per inviare il tipo di evento alla regola SAP - Dynamic Deterministic Audit Log Monitor oppure AnomaliesOnly per fare in modo che questo evento sia coperto dalla regola SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Per altre informazioni, vedere Monitorare il log di controllo SAP. - TeamsChannelID: parametro dinamico facoltativo da usare nei playbook. - DestinationEmail: parametro dinamico facoltativo da usare nei playbook. Per il campo RolesTagsToExclude : - Se si elencano i ruoli SAP o i profili SAP, tutti gli utenti con i ruoli o i profili elencati verranno esclusi da questi tipi di evento per lo stesso sistema SAP. Ad esempio, se si definisce il BASIC_BO_USERS ruolo ABAP per i tipi di evento correlati a RFC, gli utenti di Business Objects non attiveranno eventi imprevisti durante l'esecuzione di chiamate RFC di grandi dimensioni.- L'assegnazione di tag a un tipo di evento è simile alla specifica di ruoli o profili SAP, ma è possibile creare tag nell'area di lavoro, in modo che i team SOC possano escludere gli utenti per attività senza dipendere dal team SAP BASIS. Ad esempio, agli ID del messaggio di controllo AUB (modifiche di autorizzazione) e AUD (modifiche al record master utente) viene assegnato il MassiveAuthChanges tag . Gli utenti a cui è stato assegnato questo tag sono esclusi dai controlli per queste attività. L'esecuzione della funzione dell'area di lavoro SAPAuditLogConfigRecommend produce un elenco di tag consigliati da assegnare agli utenti, ad Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlistesempio . |
| SAP_User_Config | Consente di ottimizzare gli avvisi escludendo /includendo gli utenti in contesti specifici e viene usato anche per configurare le regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP. Per altre informazioni, vedere Monitorare il log di controllo SAP. - SAPUser: l'utente SAP - Tag: i tag vengono usati per identificare gli utenti in base a determinate attività. Ad esempio, l'aggiunta di tag ["GenericTablebyRFCOK"] all'utente SENTINEL_SRV impedirà la creazione di eventi imprevisti correlati a RFC per questo utente specifico Altri identificatori utente di Active Directory - Identificatore utente di ACTIVE Directory - Sid locale utente - Nome entità utente |
Playbook disponibili
I playbook forniti da Microsoft Sentinel soluzione per le applicazioni SAP consentono di automatizzare i carichi di lavoro di risposta agli eventi imprevisti SAP, migliorando l'efficienza e l'efficacia delle operazioni di sicurezza.
Questa sezione descrive i playbook di analisi predefiniti forniti insieme alla soluzione Microsoft Sentinel per le applicazioni SAP.
| Nome playbook | Parametri | Connections |
|---|---|---|
| Risposta agli eventi imprevisti SAP - Bloccare l'utente da Teams - Basic | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Risposta agli eventi imprevisti SAP - Bloccare l'utente da Teams - Avanzate | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure monitorare i log - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| Risposta agli eventi imprevisti SAP - Riabilitare la registrazione di controllo una volta disattivata | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure monitorare i log - Microsoft Teams |
Le sezioni seguenti descrivono casi di utilizzo di esempio per ognuno dei playbook forniti, in uno scenario in cui un evento imprevisto ha segnalato attività sospette in uno dei sistemi SAP, in cui un utente sta tentando di eseguire una di queste transazioni altamente sensibili.
Durante la fase di valutazione dell'evento imprevisto, si decide di intervenire contro questo utente, cacciandolo dai sistemi SAP ERP o BTP o anche da Microsoft Entra ID.
Per altre informazioni, vedere Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
Il processo per la distribuzione di app per la logica Standard è in genere più complesso rispetto alle app per la logica a consumo. Sono stati creati una serie di collegamenti che consentono di distribuirli rapidamente dal repository GitHub Microsoft Sentinel. Per altre informazioni, vedere Guida dettagliata all'installazione.
Consiglio
Guardare la cartella playbook SAP nel repository GitHub per altri playbook man mano che diventano disponibili. Per iniziare, è disponibile anche un breve video introduttivo (collegamento esterno).
Bloccare un utente da un singolo sistema
Compilare una regola di automazione per richiamare l'utente di blocco dal playbook Teams - Basic ogni volta che viene rilevata un'esecuzione di transazioni sensibili da parte di un utente non autorizzato. Questo playbook usa la funzionalità delle schede adattive di Teams per richiedere l'approvazione prima di bloccare unilateralmente l'utente.
Per altre informazioni, vedere From zero to hero security coverage with Microsoft Sentinel for your critical SAP security signals - You're going to hear me SOAR! Parte 1 (post di blog SAP).
Il playbook Blocca utente di Teams - Basic è un playbook Standard e Standard playbook sono in genere più complessi da distribuire rispetto ai playbook a consumo.
Sono stati creati una serie di collegamenti che consentono di distribuirli rapidamente dal repository GitHub Microsoft Sentinel. Per altre informazioni, vedere Guida all'installazione dettagliata e Tipi di app per la logica supportati.
Bloccare un utente da più sistemi
Il playbook Blocca utente di Teams - Avanzate raggiunge lo stesso obiettivo, ma è progettato per scenari più complessi, consentendo l'uso di un singolo playbook per più sistemi SAP, ognuno con il proprio SID SAP.
L'utente di Blocco da Teams - Playbook avanzato gestisce facilmente le connessioni a tutti questi sistemi e alle relative credenziali, usando il parametro dinamico facoltativo InterfaceAttributes nell'elenco di controllo SAP - Systems e Azure Key Vault.
Il playbook Blocca l'utente da Teams - Advanced consente anche di comunicare con le parti nel processo di approvazione usando i messaggi interattivi di Outlook insieme a Teams, usando i parametri TeamsChannelID e DestinationEmailnell'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration .
Per altre informazioni, vedere From zero to hero security coverage with Microsoft Sentinel for your critical SAP security signals - Part 2 (SAP blog post).
Impedire la disattivazione della registrazione di controllo
È anche possibile che il log di controllo SAP, che è una delle origini dati di sicurezza, venga disattivato. È consigliabile creare una regola di automazione basata sulla regola SAP - Disattivazione della regola di analisi del log di controllo di sicurezza per richiamare il playbook Riabilitare la registrazione di controllo dopo aver disattivato il playbook per assicurarsi che il log di controllo SAP non sia disattivato.
Il playbook SAP - Deactivation of Security Audit Log usa anche Teams, informando il personale di sicurezza dopo il fatto. La gravità del reato e l'urgenza della sua mitigazione indicano che può essere eseguita un'azione immediata senza l'approvazione necessaria.
Poiché il playbook SAP - Deactivation of Security Audit Log usa anche Azure Key Vault per gestire le credenziali, la configurazione del playbook è simile a quella del playbook Blocca utente da Teams - Avanzate. Per altre informazioni, vedere From zero to hero security coverage with Microsoft Sentinel for your critical SAP security signals - Part 3 (SAP blog post).
Contenuto correlato
Per altre informazioni, vedere Distribuzione di Microsoft Sentinel soluzione per applicazioni SAP.