Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen beskriver sikkerhetsinnholdet som er tilgjengelig for Microsoft Sentinel løsninger for SAP.
Viktig
Noterte elementer som er beskrevet i denne artikkelen, er i forhåndsvisning. Tilleggsvilkårene for Azure Preview inkluderer ytterligere juridiske vilkår som gjelder for Azure funksjoner som er i beta, forhåndsversjon eller på annen måte ikke er utgitt i generell tilgjengelighet.
Tilgjengelig sikkerhetsinnhold omfatter innebygde arbeidsbøker og analyseregler. Du kan også legge til SAP-relaterte visningslister som skal brukes i søke-, gjenkjenningsregler , trusseljakt og respons-strategibøker.
Innholdet i denne artikkelen er ment for sikkerhetsteamet .
Innebygde arbeidsbøker
Bruk følgende innebygde arbeidsbøker til å visualisere og overvåke data som tas inn via SAP-datakoblingen. Når du har distribuert SAP-løsningen, kan du finne SAP-arbeidsbøker på Maler-fanen .
| Arbeidsboknavn | Beskrivelse | Logger |
|---|---|---|
| SAP – nettleser for overvåkingslogg | Viser data, for eksempel: – Generell systemtilstand, inkludert brukerpålogginger over tid, hendelser inntatt av systemet, meldingsklasser og ID-er, og ABAP-programmer kjører -Alvorsgrader for hendelser som forekommer i systemet – Godkjennings- og godkjenningshendelser som forekommer i systemet |
Bruker data fra følgende logg: ABAPAuditLog |
| SAP-overvåkingskontroller | Hjelper deg med å kontrollere sikkerhetskontrollene i SAP-miljøet for samsvar med det valgte kontrollrammeverket, ved hjelp av verktøy du kan bruke til å gjøre følgende: – Tilordne analyseregler i miljøet til bestemte sikkerhetskontroller og kontroller familier – Overvåk og kategoriser hendelsene som genereres av de SAP-løsningsbaserte analysereglene – Rapporter om overholdelse av forskriftssamsvar |
Bruker data fra følgende tabeller: - SecurityAlert- SecurityIncident |
Hvis du vil ha mer informasjon, kan du se Opplæring: Visualisere og overvåke data og distribuere Microsoft Sentinel løsning for SAP-programmer.
Innebygde analyseregler
Denne delen beskriver et utvalg av innebygde analyseregler som leveres sammen med den Microsoft Sentinel løsningen for SAP-programmer. Den agentløse datakoblingen fungerer med et konsolidert sett med kilder. Se etter nye og oppdaterte regler i den Microsoft Sentinel innholdshuben for de nyeste oppdateringene.
Overvåk konfigurasjonen av statiske SAP-sikkerhetsparametere (forhåndsvisning)
For å sikre SAP-systemet har SAP identifisert sikkerhetsrelaterte parametere som må overvåkes for endringer. Med regelen «SAP – (forhåndsvisning) Sensitive Static Parameter has Changed» sporer den Microsoft Sentinel løsningen for SAP-programmer over 52 statiske sikkerhetsrelaterte parametere i SAP-systemet, som er innebygd i Microsoft Sentinel.
Obs!
For at Microsoft Sentinel løsning for SAP-programmer skal kunne overvåke SAP-sikkerhetsparameterne, må løsningen overvåke SAP PAHI-tabellen med jevne mellomrom. Hvis du vil ha mer informasjon, kan du se Kontrollere at PAHI-tabellen oppdateres med jevne mellomrom.
For å forstå parameterendringer i systemet bruker den Microsoft Sentinel løsningen for SAP-programmer parameterloggtabellen, som registrerer endringer i systemparametere hver time.
Parameterne gjenspeiles også i SAPSystemParameters-visningslisten. Med denne visningslisten kan brukere legge til nye parametere, deaktivere eksisterende parametere og endre verdiene og alvorsgradene per parameter og systemrolle i produksjons- eller ikke-produksjonsmiljøer.
Når det gjøres en endring i én av disse parameterne, Microsoft Sentinel kontroller for å se om endringen er sikkerhetsrelatert og om verdien er angitt i henhold til de anbefalte verdiene. Hvis endringen mistenkes som utenfor den sikre sonen, oppretter Microsoft Sentinel en hendelse som beskriver endringen, og identifiserer hvem som gjorde endringen.
Se gjennom listen over parametere som denne regelen overvåker.
Overvåk SAP-overvåkingsloggen
Mange av analysereglene i den Microsoft Sentinel løsningen for SAP-programmer bruker SAP-overvåkingsloggdata. Noen analyseregler ser etter bestemte hendelser i loggen, mens andre korrelerer indikasjoner fra flere logger for å opprette varsler og hendelser med høy gjengivelse.
Bruk følgende analyseregler til enten å overvåke alle overvåkingslogghendelser på SAP-systemet eller utløse varsler bare når avvik oppdages:
| Regelnavn | Beskrivelse |
|---|---|
| SAP – manglende konfigurasjon i overvåkingsloggen for dynamisk sikkerhet | Som standard kjøres daglig for å gi konfigurasjonsanbefalinger for SAP-revisjonsloggmodulen. Bruk regelmalen til å opprette og tilpasse en regel for arbeidsområdet. |
| SAP – dynamisk deterministisk overvåkingsloggovervåking (FORHÅNDSVERSJON) | Som standard kjøres hvert 10. minutt og fokuserer på SAP-overvåkingslogghendelser merket som deterministiske. Bruk regelmalen til å opprette og tilpasse en regel for arbeidsområdet, for eksempel for en lavere positiv verdi for usann. Denne regelen krever deterministiske varslingsterskler og regler for brukerutelukkelse. |
| SAP – dynamiske avviksbaserte overvåkingsloggovervåkingsvarsler (FORHÅNDSVERSJON) | Som standard kjøres hver time og fokuserer på SAP-hendelser merket som AnomaliesOnly, og varsler om hendelser i SAP-overvåkingsloggen når avvik oppdages. Denne regelen bruker ekstra maskinlæringsalgoritmer for å filtrere ut bakgrunnsstøy på en uovervåket måte. |
Som standard sendes de fleste hendelsestyper eller SAP-meldings-ID-er i SAP-overvåkingsloggen til den avviksbaserte analyseregelen dynamisk avviksbasert overvåkingsloggvarsler (PREVIEW), mens de enklere å definere hendelsestypene sendes til den deterministiske analyseregelen for dynamisk deterministisk overvåkingsloggovervåking (PREVIEW ). Denne innstillingen, sammen med andre relaterte innstillinger, kan konfigureres ytterligere slik at den passer til alle systembetingelser.
Overvåkingsreglene for SAP-overvåkingsloggen leveres som en del av Microsoft Sentinel for sikkerhetsinnhold for SAP-løsninger, og tillater ytterligere finjustering ved hjelp av SAP_Dynamic_Audit_Log_Monitor_Configuration og SAP_User_Config visningslister.
Tabellen nedenfor viser for eksempel flere eksempler på hvordan du kan bruke SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste til å konfigurere hendelsestypene som produserer hendelser, noe som reduserer antall hendelser som genereres.
| Alternativ | Beskrivelse |
|---|---|
| Angi alvorsgrader og deaktivere uønskede hendelser | Som standard oppretter både deterministiske regler og regler basert på avvik varsler for hendelser merket med middels og høy alvorlighetsgrad. Det kan være lurt å konfigurere alvorsgrader separat i produksjons- og ikke-produksjonsmiljøer. Du kan for eksempel angi en feilsøkingsaktivitetshendelse som høy alvorlighetsgrad i produksjonssystemer, og deaktivere de samme hendelsene helt i sakprodusjonssystemer. |
| Utelat brukere etter SAP-roller eller SAP-profiler | Microsoft Sentinel for SAP inntar SAP-brukerens godkjenningsprofil, inkludert direkte og indirekte rolletildelinger, grupper og profiler, slik at du kan snakke sap-språket i SIEM. Det kan være lurt å konfigurere en SAP-hendelse for å ekskludere brukere basert på SAP-roller og -profiler. Legg til rollene eller profilene som grupperer RFC-grensesnittbrukerne i RolesTagsToExclude-kolonnen , ved siden av den generiske tabelltilgangen ved hjelp av RFC-hendelsen , i visningslisten. Denne konfigurasjonen utløser bare varsler for brukere som mangler disse rollene. |
| Utelat brukere etter SOC-koder | Bruk koder til å opprette din egen gruppering, uten å stole på kompliserte SAP-definisjoner eller til og med uten SAP-autorisasjon. Denne metoden er nyttig for SOC-team som ønsker å opprette sin egen gruppering for SAP-brukere. Hvis du for eksempel ikke vil at bestemte tjenestekontoer skal varsles om generell tabelltilgang av RFC-hendelser , men ikke finner en SAP-rolle eller en SAP-profil som grupperer disse brukerne, kan du bruke merker som følger: 1. Legg til GenTableRFCReadOK-koden ved siden av den aktuelle hendelsen i visningslisten. 2. Gå til SAP_User_Config visningsliste , og tilordne grensesnittbrukerne det samme merket. |
| Angi en frekvensterskel per hendelsestype og systemrolle | Fungerer som en fartsgrense. Du kan for eksempel konfigurere hendelser for endring av brukerpost til bare å utløse varsler hvis mer enn 12 aktiviteter observeres i løpet av en time, av samme bruker i et produksjonssystem. Hvis en bruker overskrider grensen på 12 per time, for eksempel to hendelser i et 10-minutters vindu, utløses en hendelse. |
| Determinisme eller avvik | Hvis du kjenner egenskapene til hendelsen, kan du bruke deterministiske funksjoner. Hvis du ikke er sikker på hvordan du konfigurerer hendelsen på riktig måte, kan du la maskinlæringsfunksjonene bestemme seg for å starte, og deretter utføre etterfølgende oppdateringer etter behov. |
| SOAR-funksjoner | Bruk Microsoft Sentinel til ytterligere å organisere, automatisere og svare på hendelser som er opprettet av dynamiske varsler i SAP-overvåkingsloggen. Hvis du vil ha mer informasjon, kan du se Automatisering i Microsoft Sentinel: Sikkerhet orkestrering, automatisering og respons (SOAR). |
Hvis du vil ha mer informasjon, kan du se tilgjengelige visningslister og Microsoft Sentinel for SAP-nyheter – dynamisk overvåkingsloggovervåking for SAP tilgjengelig nå! (blogg).
Første tilgang
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – pålogging fra uventet nettverk | Identifiserer en pålogging fra et uventet nettverk. Vedlikehold nettverk i sap- nettverk-visningslisten . |
Logg deg på serverdelsystemet fra en IP-adresse som ikke er tilordnet til et av nettverkene. Datakilder: SAPcon – overvåkingslogg |
Første tilgang |
| SAP - SPNego-angrep | Identifiserer SPNego Replay Attack. | Datakilder: SAPcon – overvåkingslogg | Innvirkning, sideveis bevegelse |
| SAP – påloggingsforsøk for dialogboks fra en privilegert bruker | Identifiserer dialogbokspåloggingsforsøk, med AUM-typen , av privilegerte brukere i et SAP-system. Hvis du vil ha mer informasjon, kan du se SAPUsersGetPrivileged. | Prøv å logge på fra samme IP-adresse til flere systemer eller klienter innenfor det planlagte tidsintervallet Datakilder: SAPcon – overvåkingslogg |
Innvirkning, sideveis bevegelse |
| SAP - Brute force angrep | Identifiserer angrep på rå kraft på SAP-systemet ved hjelp av RFC-pålogginger | Prøv å logge på fra samme IP-adresse til flere systemer/klienter innenfor det planlagte tidsintervallet ved hjelp av RFC Datakilder: SAPcon – overvåkingslogg |
Legitimasjonstilgang |
| SAP – flere pålogginger etter IP | Identifiserer påloggingen til flere brukere fra samme IP-adresse innenfor et planlagt tidsintervall. Underbrukstilfelle: Persistency |
Logg på med flere brukere via samme IP-adresse. Datakilder: SAPcon – overvåkingslogg |
Første tilgang |
| SAP – flere pålogginger etter bruker | Identifiserer pålogginger for samme bruker fra flere terminaler innen planlagt tidsintervall. Bare tilgjengelig via overvåkings-SAL-metoden for SAP-versjoner 7.5 og nyere. |
Logg på med samme bruker ved hjelp av ulike IP-adresser. Datakilder: SAPcon – overvåkingslogg |
Før angrep, legitimasjonstilgang, innledende tilgang, samling Underbrukstilfelle: Persistency |
| SAP – Informational – livssyklus – SAP Notes ble implementert i systemet | Identifiserer SAP Note-implementering i systemet. | Implementere et SAP-notat ved hjelp av SNOTE/TCI. Datakilder: SAPcon – endringsforespørsler |
- |
| SAP – (forhåndsversjon) SOM JAVA – sensitiv privilegert bruker logget på | Identifiserer en pålogging fra et uventet nettverk. Vedlikehold privilegerte brukere i visningslisten FOR PRIVILEGERTE BRUKERE . |
Logg på serverdelsystemet ved hjelp av privilegerte brukere. Datakilder: SAPJAVAFilesLog |
Første tilgang |
| SAP – (forhåndsversjon) AS JAVA – Sign-In fra uventet nettverk | Identifiserer pålogginger fra et uventet nettverk. Vedlikehold privilegerte brukere i visningslisten for nettverk i SAP - Nettverk . |
Logg deg på serverdelsystemet fra en IP-adresse som ikke er tilordnet til et av nettverkene i sap - networks watchlist Datakilder: SAPJAVAFilesLog |
Første tilgang, forsvarsunndragelse |
Dataeksfiltrering
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – FTP for ikke-autoriserte servere | Identifiserer en FTP-tilkobling for en server som ikke er autorisert. | Opprett en ny FTP-tilkobling, for eksempel ved hjelp av FTP_CONNECT-funksjonsmodulen. Datakilder: SAPcon – overvåkingslogg |
Søk, innledende tilgang, kommando og kontroll |
| SAP – konfigurasjon av usikre FTP-servere | Identifiserer usikre FTP-serverkonfigurasjoner, for eksempel når en FTP-tillatelsesliste er tom eller inneholder plassholdere. | Ikke vedlikehold verdier som inneholder plassholdere i SAPFTP_SERVERS tabellen, ved hjelp av SAPFTP_SERVERS_V vedlikeholdsvisningen. (SM30) Datakilder: SAPcon – overvåkingslogg |
Første tilgang, kommando og kontroll |
| SAP – nedlasting av flere Files | Identifiserer flere filnedlastinger for en bruker innenfor et bestemt tidsintervall. | Last ned flere filer ved hjelp av SAPGui for Excel, lister og så videre. Datakilder: SAPcon – overvåkingslogg |
Samling, eksfiltrering, legitimasjonstilgang |
| SAP – flere kjøringer av spole | Identifiserer flere utskriftsområder for en bruker innenfor et bestemt tidsintervall. | Opprett og kjør flere utskriftspolejobber av en hvilken som helst type av en bruker. (SP01) Datakilder: SAPcon - Spool Log, SAPcon - Overvåkingslogg |
Samling, eksfiltrering, legitimasjonstilgang |
| SAP – utdatakjøringer for flere utskriftsspoler | Identifiserer flere utskriftsområder for en bruker innenfor et bestemt tidsintervall. | Opprett og kjør flere utskriftspolejobber av en hvilken som helst type av en bruker. (SP01) Datakilder: SAPcon – utdatalogg for spole, SAPcon – overvåkingslogg |
Samling, eksfiltrering, legitimasjonstilgang |
| SAP – sensitive tabeller direkte tilgang etter RFC-pålogging | Identifiserer en generell tabelltilgang ved hjelp av RFC-pålogging. Vedlikehold tabeller i VISNINGSLISTE for sensitive tabeller . Bare relevant for produksjonssystemer. |
Åpne tabellinnholdet ved hjelp av SE11/SE16/SE16N. Datakilder: SAPcon – overvåkingslogg |
Samling, eksfiltrering, legitimasjonstilgang |
| SAP – overtakelse av spole | Identifiserer en bruker som skriver ut en spoleforespørsel som ble opprettet av noen andre. | Opprett en spoleforespørsel ved hjelp av én bruker, og send den deretter inn ved hjelp av en annen bruker. Datakilder: SAPcon - Spool Log, SAPcon - Spool Output Log, SAPcon - Overvåkingslogg |
Samling, eksfiltrering, kommando og kontroll |
| SAP – dynamisk RFC-mål | Identifiserer kjøringen av RFC ved hjelp av dynamiske mål. Underbrukstilfelle: Forsøk på å omgå SAP-sikkerhetsmekanismer |
Utfør en ABAP-rapport som bruker dynamiske mål (cl_dynamic_destination). For eksempel DEMO_RFC_DYNAMIC_DEST. Datakilder: SAPcon – overvåkingslogg |
Samling, eksfiltrering |
| SAP – sensitive tabeller direkte tilgang etter dialogbokspålogging | Identifiserer generell tabelltilgang via dialogbokspålogging. | Åpne tabellinnhold ved hjelp av SE11SE16N/SE16/. Datakilder: SAPcon – overvåkingslogg |
Oppdagelsen |
| SAP - (forhåndsvisning) fil lastet ned fra en ondsinnet IP-adresse | Identifiserer nedlasting av en fil fra et SAP-system ved hjelp av en IP-adresse som er kjent for å være skadelig. Ondsinnede IP-adresser hentes fra trusseletterretningstjenester. | Last ned en fil fra en skadelig IP-adresse. Datakilder: OVERVÅKINGslogg for SAP-sikkerhet, Trusselintelligens |
Eksfiltrering |
| SAP – (forhåndsversjon) data eksportert fra et produksjonssystem ved hjelp av en transport | Identifiserer dataeksport fra et produksjonssystem ved hjelp av en transport. Transporter brukes i utviklingssystemer og ligner på pull-forespørsler. Denne varslingsregelen utløser hendelser med middels alvorlighetsgrad når en transport som inneholder data fra en tabell, frigis fra et produksjonssystem. Regelen oppretter en hendelse med høy alvorlighetsgrad når eksporten inneholder data fra en sensitiv tabell. | Frigi en transport fra et produksjonssystem. Datakilder: SAP CR-logg, SAP - Sensitive tabeller |
Eksfiltrering |
| SAP – (forhåndsversjon) sensitive data lagret i en USB-stasjon | Identifiserer eksport av SAP-data via filer. Regelen ser etter data som er lagret i en nylig montert USB-stasjon i nærheten av en kjøring av en sensitiv transaksjon, et sensitivt program eller direkte tilgang til en sensitiv tabell. | Eksporter SAP-data via filer og lagre i en USB-stasjon. Datakilder: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender for endepunkt), SAP - Sensitive tabeller, SAP - Sensitive transaksjoner, SAP - Sensitive programmer |
Eksfiltrering |
| SAP – (forhåndsvisning) utskrift av potensielt sensitive data | Identifiserer en forespørsel eller faktisk utskrift av potensielt sensitive data. Data anses som sensitive hvis brukeren henter dataene som en del av en sensitiv transaksjon, kjøring av et sensitivt program eller direkte tilgang til en sensitiv tabell. | Skriv ut eller be om å skrive ut sensitive data. Datakilder: SAP Security Audit Log, SAP Spool logs, SAP - Sensitive Tabeller, SAP - Sensitive programmer |
Eksfiltrering |
| SAP – (forhåndsversjon) høyt volum av potensielt sensitive data eksportert | Identifiserer eksport av et høyt volum data via filer i nærheten av en kjøring av en sensitiv transaksjon, et sensitivt program eller direkte tilgang til sensitiv tabell. | Eksporter data med høyt volum via filer. Datakilder: SAP Security Audit Log, SAP - Sensitive tabeller, SAP - Sensitive transaksjoner, SAP - Sensitive programmer |
Eksfiltrering |
Persistency
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – aktivering eller deaktivering av ICF-tjenesten | Identifiserer aktivering eller deaktivering av ICF-tjenester. | Aktiver en tjeneste ved hjelp av SICF. Datakilder: SAPcon – tabelldatalogg |
Kommando og kontroll, sideveis bevegelse, vedvarende |
| SAP – funksjonsmodul testet | Identifiserer testingen av en funksjonsmodul. | Test en funksjonsmodul ved hjelp av SE37 / SE80. Datakilder: SAPcon – overvåkingslogg |
Innsamling, forsvarsunndragelse, sidebevegelse |
| SAP – (FORHÅNDSVERSJON) HANA DB – Admin handlinger for bruker | Identifiserer handlinger for brukeradministrasjon. | Opprette, oppdatere eller slette en databasebruker. Datakilder: Linux Agent - Syslog* |
Videresending av rettigheter |
| SAP – nye ICF-tjenestebehandlinger | Identifiserer oppretting av ICF-behandlinger. | Tilordne en ny behandler til en tjeneste ved hjelp av SICF. Datakilder: SAPcon – overvåkingslogg |
Kommando og kontroll, sideveis bevegelse, vedvarende |
| SAP – nye ICF-tjenester | Identifiserer oppretting av ICF-tjenester. | Opprett en tjeneste ved hjelp av SICF. Datakilder: SAPcon – tabelldatalogg |
Kommando og kontroll, sideveis bevegelse, vedvarende |
| SAP – kjøring av en foreldet eller usikker funksjonsmodul | Identifiserer kjøringen av en foreldet eller usikker ABAP-funksjonsmodul. Vedlikehold foreldede funksjoner i visningslisten for foreldede funksjonsmoduler i SAP- foreldede funksjonsmoduler . Pass på å aktivere endringer i tabelllogging for EUFUNC tabellen i serverdel. (SE13)Bare relevant for produksjonssystemer. |
Kjør en foreldet eller usikker funksjonsmodul direkte ved hjelp av SE37. Datakilder: SAPcon – tabelldatalogg |
Søk, kommando og kontroll |
| SAP – kjøring av foreldet/usikkert program | Identifiserer kjøringen av et foreldet eller usikkert ABAP-program. Vedlikehold foreldede programmer i visningslisten for foreldede programmer i SAP - foreldede programmer . Bare relevant for produksjonssystemer. |
Kjør et program direkte ved hjelp av SE38/SA38/SE80, eller ved hjelp av en bakgrunnsjobb. Datakilder: SAPcon – overvåkingslogg |
Søk, kommando og kontroll |
| SAP – flere passordendringer | Identifiserer flere passordendringer etter bruker. | Endre brukerpassord Datakilder: SAPcon – overvåkingslogg |
Legitimasjonstilgang |
| SAP – (forhåndsversjon) AS JAVA – bruker oppretter og bruker ny bruker | Identifiserer oppretting eller manipulering av brukere av administratorer i SAP AS Java-miljøet. | Logg deg på serverdelsystemet ved hjelp av brukere som du har opprettet eller manipulert. Datakilder: SAPJAVAFilesLog |
Utholdenhet |
Forsøk på å omgå SAP-sikkerhetsmekanismer
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – endring av klientkonfigurasjon | Identifiserer endringer for klientkonfigurasjon, for eksempel klientrollen eller endringsopptaksmodusen. | Utfør klientkonfigurasjonsendringer ved hjelp av SCC4 transaksjonskoden. Datakilder: SAPcon – overvåkingslogg |
Defense Evasion, Exfiltration, Persistence |
| SAP – data er endret under feilsøkingsaktivitet | Identifiserer endringer for kjøretidsdata under en feilsøkingsaktivitet. Underbrukstilfelle: Persistency |
1. Aktiver feilsøking («/h»). 2. Velg et felt for endring og oppdater verdien. Datakilder: SAPcon – overvåkingslogg |
Utførelse, sideveis bevegelse |
| SAP – deaktivering av overvåkingslogg for sikkerhet | Identifiserer deaktivering av sikkerhetsrevisjonsloggen, | Deaktiver overvåkingslogg for sikkerhet ved hjelp av SM19/RSAU_CONFIG. Datakilder: SAPcon – overvåkingslogg |
Exfiltration, Defense Evasion, Persistence |
| SAP – kjøring av et sensitivt ABAP-program | Identifiserer direkte kjøring av et sensitivt ABAP-program. Vedlikehold ABAP-programmer i visningslisten for SAP - Sensitive ABAP-programmer . |
Kjør et program direkte ved hjelp av SE38SE80/SA38/. Datakilder: SAPcon – overvåkingslogg |
Exfiltration, Lateral Movement, Execution |
| SAP – kjøring av en sensitiv transaksjonskode | Identifiserer kjøringen av en sensitiv transaksjonskode. Vedlikehold transaksjonskoder i visningslisten sap - sensitive transaksjonskoder . |
Kjør en sensitiv transaksjonskode. Datakilder: SAPcon – overvåkingslogg |
Oppdagelse, utførelse |
| SAP – utførelse av sensitiv funksjonsmodul | Identifiserer kjøringen av en sensitiv ABAP-funksjonsmodul. Underbrukstilfelle: Persistency Bare relevant for produksjonssystemer. Vedlikehold sensitive funksjoner i visningslisten for sap - sensitive funksjonsmoduler , og sørg for å aktivere endringer i tabelllogging i serverdel for EUFUNC-tabellen. (SE13) |
Kjør en sensitiv funksjonsmodul direkte ved hjelp av SE37. Datakilder: SAPcon – tabelldatalogg |
Søk, kommando og kontroll |
| SAP – (FORHÅNDSVERSJON) HANA DB – endringer i overvåkingspolicyen | Identifiserer endringer for HANA DB-policyer for overvåkingsspor. | Opprett eller oppdater den eksisterende overvåkingspolicyen i sikkerhetsdefinisjoner. Datakilder: Linux Agent - Syslog |
Lateral bevegelse, Forsvarsunndragelse, Utholdenhet |
| SAP – (FORHÅNDSVERSJON) HANA DB – deaktivering av overvåkingsspor | Identifiserer deaktiveringen av HANA DB-overvåkingsloggen. | Deaktiver overvåkingsloggen i HANA DB-sikkerhetsdefinisjonen. Datakilder: Linux Agent - Syslog |
Utholdenhet, sideveis bevegelse, forsvarsunndragelse |
| SAP – uautorisert ekstern kjøring av en sensitiv funksjonsmodul | Oppdager uautoriserte kjøringer av sensitive vm-er ved å sammenligne aktiviteten med brukerens godkjenningsprofil mens du ser bort fra nylig endrede autorisasjoner. Vedlikehold funksjonsmoduler i visningslisten for sap - sensitive funksjonsmoduler . |
Kjør en funksjonsmodul ved hjelp av RFC. Datakilder: SAPcon – overvåkingslogg |
Utførelse, sideveis bevegelse, oppdagelse |
| SAP – endring av systemkonfigurasjon | Identifiserer endringer for systemkonfigurasjon. | Tilpass systemendringsalternativer eller endring av programvarekomponent ved SE06 hjelp av transaksjonskoden.Datakilder: SAPcon – overvåkingslogg |
Exfiltration, Defense Evasion, Persistence |
| SAP – feilsøkingsaktiviteter | Identifiserer alle feilsøkingsrelaterte aktiviteter. Underbrukstilfelle: Persistency |
Aktiver feilsøking (/t) i systemet, feilsøk en aktiv prosess, legg til breakpoint i kildekoden og så videre. Datakilder: SAPcon – overvåkingslogg |
Oppdagelsen |
| SAP – konfigurasjonsendring for sikkerhetsrevisjonslogg | Identifiserer endringer i konfigurasjonen av sikkerhetsrevisjonsloggen | Endre konfigurasjon av sikkerhetsrevisjonslogg ved hjelp av SM19/RSAU_CONFIG, for eksempel filtre, status, opptaksmodus og så videre. Datakilder: SAPcon – overvåkingslogg |
Persistence, Exfiltration, Defense Evasion |
| SAP – transaksjonen er ulåst | Identifiserer opplåsing av en transaksjon. | Lås opp en transaksjonskode ved hjelp av SM01SM01_CUS/SM01_DEV/. Datakilder: SAPcon – overvåkingslogg |
Vedvarende, utførelse |
| SAP – dynamisk ABAP-program | Identifiserer kjøringen av dynamisk ABAP-programmering. For eksempel når ABAP-kode ble dynamisk opprettet, endret eller slettet. Vedlikehold utelatte transaksjonskoder i visningslisten SAP – Transaksjoner for ABAP-generasjoner . |
Opprett en ABAP-rapport som bruker kommandoer for generering av ABAP-programmer, for eksempel INSERT REPORT, og kjør deretter rapporten. Datakilder: SAPcon – overvåkingslogg |
Oppdagelse, kommando og kontroll, innvirkning |
Mistenkelige operasjoner for rettigheter
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – endring i en sensitiv privilegert bruker | Identifiserer endringer for sensitive privilegerte brukere. Vedlikehold privilegerte brukere i visningslisten FOR PRIVILEGERTE BRUKERE . |
Endre brukerdetaljer / autorisasjoner ved hjelp av SU01. Datakilder: SAPcon – overvåkingslogg |
Videresending av rettigheter, legitimasjonstilgang |
| SAP - (PREVIEW) HANA DB -Assign Admin Authorizations | Identifiserer administratorrettigheter eller rolletildeling. | Tilordne en bruker med administratorrolle eller -rettigheter. Datakilder: Linux Agent - Syslog |
Videresending av rettigheter |
| SAP – Sensitiv privilegert bruker logget på | Identifiserer dialogbokspåloggingen for en sensitiv privilegert bruker. Vedlikehold privilegerte brukere i visningslisten FOR PRIVILEGERTE BRUKERE . |
Logg på serverdelsystemet ved hjelp av SAP* eller en annen privilegert bruker. Datakilder: SAPcon – overvåkingslogg |
Første tilgang, legitimasjonstilgang |
| SAP – Sensitiv privilegert bruker gjør en endring i en annen bruker | Identifiserer endringer av sensitive, privilegerte brukere i andre brukere. | Endre brukerdetaljer / autorisasjoner ved hjelp av SU01. Datakilder: SAPcon – overvåkingslogg |
Videresending av rettigheter, legitimasjonstilgang |
| SAP – Passordendring og pålogging for sensitive brukere | Identifiserer passordendringer for privilegerte brukere. | Endre passordet for en privilegert bruker, og logg på systemet. Vedlikehold privilegerte brukere i visningslisten FOR PRIVILEGERTE BRUKERE . Datakilder: SAPcon – overvåkingslogg |
Innvirkning, kommando og kontroll, privilegiskalering |
| SAP – bruker oppretter og bruker ny bruker | Identifiserer en bruker som oppretter og bruker andre brukere. Underbrukstilfelle: Persistency |
Opprett en bruker ved hjelp av SU01, og logg deretter på med den nyopprettede brukeren og den samme IP-adressen. Datakilder: SAPcon – overvåkingslogg |
Oppdagelse, før angrep, første tilgang |
| SAP – bruker låser opp og bruker andre brukere | Identifiserer en bruker som låses opp og brukes av andre brukere. Underbrukstilfelle: Persistency |
Lås opp en bruker ved hjelp av SU01, og logg deretter på med den ulåste brukeren og den samme IP-adressen. Datakilder: SAPcon - Overvåkingslogg, SAPcon - Endre dokumentlogg |
Oppdagelse, Pre-Attack, Initial Access, Lateral Movement |
| SAP – tildeling av en sensitiv profil | Identifiserer nye tilordninger av en sensitiv profil til en bruker. Vedlikehold sensitive profiler i visningslisten for sensitive profiler i SAP. |
Tilordne en profil til en bruker ved hjelp av SU01. Datakilder: SAPcon – Endre dokumentlogg |
Videresending av rettigheter |
| SAP – tildeling av en sensitiv rolle | Identifiserer nye tildelinger for en sensitiv rolle for en bruker. Vedlikehold sensitive roller i VISNINGSLISTE for sensitive roller . |
Tilordne en rolle til en bruker ved hjelp av SU01 / PFCG. Datakilder: SAPcon - Endre dokumentlogg, overvåkingslogg |
Videresending av rettigheter |
| SAP – tilordning av kritiske autorisasjoner (FORHÅNDSVERSJON) – ny godkjenningsverdi | Identifiserer tilordningen av en kritisk verdi for godkjenningsobjekt til en ny bruker. Vedlikehold kritiske godkjenningsobjekter i visningslisten for sap - kritiske godkjenningsobjekter . |
Tilordne et nytt godkjenningsobjekt eller oppdater et eksisterende objekt i en rolle ved hjelp av PFCG. Datakilder: SAPcon – Endre dokumentlogg |
Videresending av rettigheter |
| SAP – tildeling av kritiske autorisasjoner – ny brukertilordning | Identifiserer tilordningen av en kritisk verdi for godkjenningsobjekt til en ny bruker. Vedlikehold kritiske godkjenningsobjekter i visningslisten for sap - kritiske godkjenningsobjekter . |
Tilordne en ny bruker til en rolle som inneholder kritiske godkjenningsverdier, ved hjelp av SU01/PFCG. Datakilder: SAPcon – Endre dokumentlogg |
Videresending av rettigheter |
| SAP – sensitive roller-endringer | Identifiserer endringer i sensitive roller. Vedlikehold sensitive roller i VISNINGSLISTE for sensitive roller . |
Endre en rolle ved hjelp av PFCG. Datakilder: SAPcon – Endre dokumentlogg, SAPcon – overvåkingslogg |
Innvirkning, videresending av privilegier, vedvarende |
Overvåk SAP-overvåkingsloggen
Mange av analysereglene i den Microsoft Sentinel løsningen for SAP-programmer bruker SAP-overvåkingsloggdata. Noen analyseregler ser etter bestemte hendelser i loggen, mens andre korrelerer indikasjoner fra flere logger for å opprette varsler og hendelser med høy gjengivelse.
Bruk følgende analyseregler til enten å overvåke alle overvåkingslogghendelser på SAP-systemet eller utløse varsler bare når avvik oppdages:
| Regelnavn | Beskrivelse |
|---|---|
| SAP – manglende konfigurasjon i overvåkingsloggen for dynamisk sikkerhet | Som standard kjøres daglig for å gi konfigurasjonsanbefalinger for SAP-revisjonsloggmodulen. Bruk regelmalen til å opprette og tilpasse en regel for arbeidsområdet. |
| SAP – dynamisk deterministisk overvåkingsloggovervåking (FORHÅNDSVERSJON) | Som standard kjøres hvert 10. minutt og fokuserer på SAP-overvåkingslogghendelser merket som deterministiske. Bruk regelmalen til å opprette og tilpasse en regel for arbeidsområdet, for eksempel for en lavere positiv verdi for usann. Denne regelen krever deterministiske varslingsterskler og regler for brukerutelukkelse. |
| SAP – dynamiske avviksbaserte overvåkingsloggovervåkingsvarsler (FORHÅNDSVERSJON) | Som standard kjøres hver time og fokuserer på SAP-hendelser merket som AnomaliesOnly, og varsler om hendelser i SAP-overvåkingsloggen når avvik oppdages. Denne regelen bruker ekstra maskinlæringsalgoritmer for å filtrere ut bakgrunnsstøy på en uovervåket måte. |
Som standard sendes de fleste hendelsestyper eller SAP-meldings-ID-er i SAP-overvåkingsloggen til den avviksbaserte analyseregelen dynamisk avviksbasert overvåkingsloggvarsler (PREVIEW), mens de enklere å definere hendelsestypene sendes til den deterministiske analyseregelen for dynamisk deterministisk overvåkingsloggovervåking (PREVIEW ). Denne innstillingen, sammen med andre relaterte innstillinger, kan konfigureres ytterligere slik at den passer til alle systembetingelser.
Overvåkingsreglene for SAP-overvåkingsloggen leveres som en del av Microsoft Sentinel for sikkerhetsinnhold for SAP-løsninger, og tillater ytterligere finjustering ved hjelp av SAP_Dynamic_Audit_Log_Monitor_Configuration og SAP_User_Config visningslister.
Tabellen nedenfor viser for eksempel flere eksempler på hvordan du kan bruke SAP_Dynamic_Audit_Log_Monitor_Configuration visningsliste til å konfigurere hendelsestypene som produserer hendelser, noe som reduserer antall hendelser som genereres.
| Alternativ | Beskrivelse |
|---|---|
| Angi alvorsgrader og deaktivere uønskede hendelser | Som standard oppretter både deterministiske regler og regler basert på avvik varsler for hendelser merket med middels og høy alvorlighetsgrad. Det kan være lurt å konfigurere alvorsgrader separat i produksjons- og ikke-produksjonsmiljøer. Du kan for eksempel angi en feilsøkingsaktivitetshendelse som høy alvorlighetsgrad i produksjonssystemer, og deaktivere de samme hendelsene helt i sakprodusjonssystemer. |
| Utelat brukere etter SAP-roller eller SAP-profiler | Microsoft Sentinel for SAP inntar SAP-brukerens godkjenningsprofil, inkludert direkte og indirekte rolletildelinger, grupper og profiler, slik at du kan snakke sap-språket i SIEM. Det kan være lurt å konfigurere en SAP-hendelse for å ekskludere brukere basert på SAP-roller og -profiler. Legg til rollene eller profilene som grupperer RFC-grensesnittbrukerne i RolesTagsToExclude-kolonnen , ved siden av den generiske tabelltilgangen ved hjelp av RFC-hendelsen , i visningslisten. Denne konfigurasjonen utløser bare varsler for brukere som mangler disse rollene. |
| Utelat brukere etter SOC-koder | Bruk koder til å opprette din egen gruppering, uten å stole på kompliserte SAP-definisjoner eller til og med uten SAP-autorisasjon. Denne metoden er nyttig for SOC-team som ønsker å opprette sin egen gruppering for SAP-brukere. Hvis du for eksempel ikke vil at bestemte tjenestekontoer skal varsles om generell tabelltilgang av RFC-hendelser , men ikke finner en SAP-rolle eller en SAP-profil som grupperer disse brukerne, kan du bruke merker som følger: 1. Legg til GenTableRFCReadOK-koden ved siden av den aktuelle hendelsen i visningslisten. 2. Gå til SAP_User_Config visningsliste , og tilordne grensesnittbrukerne det samme merket. |
| Angi en frekvensterskel per hendelsestype og systemrolle | Fungerer som en fartsgrense. Du kan for eksempel konfigurere hendelser for endring av brukerpost til bare å utløse varsler hvis mer enn 12 aktiviteter observeres i løpet av en time, av samme bruker i et produksjonssystem. Hvis en bruker overskrider grensen på 12 per time, for eksempel to hendelser i et 10-minutters vindu, utløses en hendelse. |
| Determinisme eller avvik | Hvis du kjenner egenskapene til hendelsen, kan du bruke deterministiske funksjoner. Hvis du ikke er sikker på hvordan du konfigurerer hendelsen på riktig måte, kan du la maskinlæringsfunksjonene bestemme seg for å starte, og deretter utføre etterfølgende oppdateringer etter behov. |
| SOAR-funksjoner | Bruk Microsoft Sentinel til ytterligere å organisere, automatisere og svare på hendelser som er opprettet av dynamiske varsler i SAP-overvåkingsloggen. Hvis du vil ha mer informasjon, kan du se Automatisering i Microsoft Sentinel: Sikkerhet orkestrering, automatisering og respons (SOAR). |
Hvis du vil ha mer informasjon, kan du se tilgjengelige visningslister og Microsoft Sentinel for SAP-nyheter – dynamisk overvåkingsloggovervåking for SAP tilgjengelig nå! (blogg).
Første tilgang
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – pålogging fra uventet nettverk | Identifiserer en pålogging fra et uventet nettverk. Vedlikehold nettverk i sap- nettverk-visningslisten . |
Logg deg på serverdelsystemet fra en IP-adresse som ikke er tilordnet til et av nettverkene. Datakilder: SAPcon – overvåkingslogg |
Første tilgang |
| SAP - SPNego-angrep | Identifiserer SPNego Replay Attack. | Datakilder: SAPcon – overvåkingslogg | Innvirkning, sideveis bevegelse |
| SAP – påloggingsforsøk for dialogboks fra en privilegert bruker | Identifiserer dialogbokspåloggingsforsøk, med AUM-typen , av privilegerte brukere i et SAP-system. Hvis du vil ha mer informasjon, kan du se SAPUsersGetPrivileged. | Prøv å logge på fra samme IP-adresse til flere systemer eller klienter innenfor det planlagte tidsintervallet Datakilder: SAPcon – overvåkingslogg |
Innvirkning, sideveis bevegelse |
| SAP - Brute force angrep | Identifiserer angrep på rå kraft på SAP-systemet ved hjelp av RFC-pålogginger | Prøv å logge på fra samme IP-adresse til flere systemer/klienter innenfor det planlagte tidsintervallet ved hjelp av RFC Datakilder: SAPcon – overvåkingslogg |
Legitimasjonstilgang |
| SAP – flere pålogginger etter IP | Identifiserer påloggingen til flere brukere fra samme IP-adresse innenfor et planlagt tidsintervall. Underbrukstilfelle: Persistency |
Logg på med flere brukere via samme IP-adresse. Datakilder: SAPcon – overvåkingslogg |
Første tilgang |
| SAP – flere pålogginger etter bruker | Identifiserer pålogginger for samme bruker fra flere terminaler innen planlagt tidsintervall. Bare tilgjengelig via overvåkings-SAL-metoden for SAP-versjoner 7.5 og nyere. |
Logg på med samme bruker ved hjelp av ulike IP-adresser. Datakilder: SAPcon – overvåkingslogg |
Før angrep, legitimasjonstilgang, innledende tilgang, samling Underbrukstilfelle: Persistency |
Dataeksfiltrering
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – FTP for ikke-autoriserte servere | Identifiserer en FTP-tilkobling for en server som ikke er autorisert. | Opprett en ny FTP-tilkobling, for eksempel ved hjelp av FTP_CONNECT-funksjonsmodulen. Datakilder: SAPcon – overvåkingslogg |
Søk, innledende tilgang, kommando og kontroll |
| SAP – konfigurasjon av usikre FTP-servere | Identifiserer usikre FTP-serverkonfigurasjoner, for eksempel når en FTP-tillatelsesliste er tom eller inneholder plassholdere. | Ikke vedlikehold verdier som inneholder plassholdere i SAPFTP_SERVERS tabellen, ved hjelp av SAPFTP_SERVERS_V vedlikeholdsvisningen. (SM30) Datakilder: SAPcon – overvåkingslogg |
Første tilgang, kommando og kontroll |
| SAP – nedlasting av flere Files | Identifiserer flere filnedlastinger for en bruker innenfor et bestemt tidsintervall. | Last ned flere filer ved hjelp av SAPGui for Excel, lister og så videre. Datakilder: SAPcon – overvåkingslogg |
Samling, eksfiltrering, legitimasjonstilgang |
| SAP – sensitive tabeller direkte tilgang etter RFC-pålogging | Identifiserer en generell tabelltilgang ved hjelp av RFC-pålogging. Vedlikehold tabeller i VISNINGSLISTE for sensitive tabeller . Bare relevant for produksjonssystemer. |
Åpne tabellinnholdet ved hjelp av SE11/SE16/SE16N. Datakilder: SAPcon – overvåkingslogg |
Samling, eksfiltrering, legitimasjonstilgang |
| SAP – dynamisk RFC-mål | Identifiserer kjøringen av RFC ved hjelp av dynamiske mål. Underbrukstilfelle: Forsøk på å omgå SAP-sikkerhetsmekanismer |
Utfør en ABAP-rapport som bruker dynamiske mål (cl_dynamic_destination). For eksempel DEMO_RFC_DYNAMIC_DEST. Datakilder: SAPcon – overvåkingslogg |
Samling, eksfiltrering |
| SAP – sensitive tabeller direkte tilgang etter dialogbokspålogging | Identifiserer generell tabelltilgang via dialogbokspålogging. | Åpne tabellinnhold ved hjelp av SE11SE16N/SE16/. Datakilder: SAPcon – overvåkingslogg |
Oppdagelsen |
| SAP - (forhåndsvisning) fil lastet ned fra en ondsinnet IP-adresse | Identifiserer nedlasting av en fil fra et SAP-system ved hjelp av en IP-adresse som er kjent for å være skadelig. Ondsinnede IP-adresser hentes fra trusseletterretningstjenester. | Last ned en fil fra en skadelig IP-adresse. Datakilder: OVERVÅKINGslogg for SAP-sikkerhet, Trusselintelligens |
Eksfiltrering |
| SAP – (forhåndsversjon) sensitive data lagret i en USB-stasjon | Identifiserer eksport av SAP-data via filer. Regelen ser etter data som er lagret i en nylig montert USB-stasjon i nærheten av en kjøring av en sensitiv transaksjon, et sensitivt program eller direkte tilgang til en sensitiv tabell. | Eksporter SAP-data via filer og lagre i en USB-stasjon. Datakilder: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender for endepunkt), SAP - Sensitive tabeller, SAP - Sensitive transaksjoner, SAP - Sensitive programmer |
Eksfiltrering |
| SAP – (forhåndsversjon) høyt volum av potensielt sensitive data eksportert | Identifiserer eksport av et høyt volum data via filer i nærheten av en kjøring av en sensitiv transaksjon, et sensitivt program eller direkte tilgang til sensitiv tabell. | Eksporter data med høyt volum via filer. Datakilder: SAP Security Audit Log, SAP - Sensitive tabeller, SAP - Sensitive transaksjoner, SAP - Sensitive programmer |
Eksfiltrering |
Persistency
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – funksjonsmodul testet | Identifiserer testingen av en funksjonsmodul. | Test en funksjonsmodul ved hjelp av SE37 / SE80. Datakilder: SAPcon – overvåkingslogg |
Innsamling, forsvarsunndragelse, sidebevegelse |
| SAP – (FORHÅNDSVERSJON) HANA DB – Admin handlinger for bruker | Identifiserer handlinger for brukeradministrasjon. | Opprette, oppdatere eller slette en databasebruker. Datakilder: Linux Agent - Syslog* |
Videresending av rettigheter |
| SAP – kjøring av en foreldet eller usikker funksjonsmodul | Identifiserer kjøringen av en foreldet eller usikker ABAP-funksjonsmodul. Vedlikehold foreldede funksjoner i visningslisten for foreldede funksjonsmoduler i SAP- foreldede funksjonsmoduler . Pass på å aktivere endringer i tabelllogging for EUFUNC tabellen i serverdel. (SE13)Bare relevant for produksjonssystemer. |
Kjør en foreldet eller usikker funksjonsmodul direkte ved hjelp av SE37. Datakilder: SAPcon – tabelldatalogg |
Søk, kommando og kontroll |
| SAP – kjøring av foreldet/usikkert program | Identifiserer kjøringen av et foreldet eller usikkert ABAP-program. Vedlikehold foreldede programmer i visningslisten for foreldede programmer i SAP - foreldede programmer . Bare relevant for produksjonssystemer. |
Kjør et program direkte ved hjelp av SE38/SA38/SE80, eller ved hjelp av en bakgrunnsjobb. Datakilder: SAPcon – overvåkingslogg |
Søk, kommando og kontroll |
| SAP – flere passordendringer | Identifiserer flere passordendringer etter bruker. | Endre brukerpassord Datakilder: SAPcon – overvåkingslogg |
Legitimasjonstilgang |
Forsøk på å omgå SAP-sikkerhetsmekanismer
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – endring av klientkonfigurasjon | Identifiserer endringer for klientkonfigurasjon, for eksempel klientrollen eller endringsopptaksmodusen. | Utfør klientkonfigurasjonsendringer ved hjelp av SCC4 transaksjonskoden. Datakilder: SAPcon – overvåkingslogg |
Defense Evasion, Exfiltration, Persistence |
| SAP – data er endret under feilsøkingsaktivitet | Identifiserer endringer for kjøretidsdata under en feilsøkingsaktivitet. Underbrukstilfelle: Persistency |
1. Aktiver feilsøking («/h»). 2. Velg et felt for endring og oppdater verdien. Datakilder: SAPcon – overvåkingslogg |
Utførelse, sideveis bevegelse |
| SAP – deaktivering av overvåkingslogg for sikkerhet | Identifiserer deaktivering av sikkerhetsrevisjonsloggen, | Deaktiver overvåkingslogg for sikkerhet ved hjelp av SM19/RSAU_CONFIG. Datakilder: SAPcon – overvåkingslogg |
Exfiltration, Defense Evasion, Persistence |
| SAP – kjøring av et sensitivt ABAP-program | Identifiserer direkte kjøring av et sensitivt ABAP-program. Vedlikehold ABAP-programmer i visningslisten for SAP - Sensitive ABAP-programmer . |
Kjør et program direkte ved hjelp av SE38SE80/SA38/. Datakilder: SAPcon – overvåkingslogg |
Exfiltration, Lateral Movement, Execution |
| SAP – kjøring av en sensitiv transaksjonskode | Identifiserer kjøringen av en sensitiv transaksjonskode. Vedlikehold transaksjonskoder i visningslisten sap - sensitive transaksjonskoder . |
Kjør en sensitiv transaksjonskode. Datakilder: SAPcon – overvåkingslogg |
Oppdagelse, utførelse |
| SAP – utførelse av sensitiv funksjonsmodul | Identifiserer kjøringen av en sensitiv ABAP-funksjonsmodul. Underbrukstilfelle: Persistency Bare relevant for produksjonssystemer. Vedlikehold sensitive funksjoner i visningslisten for sap - sensitive funksjonsmoduler , og sørg for å aktivere endringer i tabelllogging i serverdel for EUFUNC-tabellen. (SE13) |
Kjør en sensitiv funksjonsmodul direkte ved hjelp av SE37. Datakilder: SAPcon – tabelldatalogg |
Søk, kommando og kontroll |
| SAP – (FORHÅNDSVERSJON) HANA DB – endringer i overvåkingspolicyen | Identifiserer endringer for HANA DB-policyer for overvåkingsspor. | Opprett eller oppdater den eksisterende overvåkingspolicyen i sikkerhetsdefinisjoner. Datakilder: Linux Agent - Syslog |
Lateral bevegelse, Forsvarsunndragelse, Utholdenhet |
| SAP – (FORHÅNDSVERSJON) HANA DB – deaktivering av overvåkingsspor | Identifiserer deaktiveringen av HANA DB-overvåkingsloggen. | Deaktiver overvåkingsloggen i HANA DB-sikkerhetsdefinisjonen. Datakilder: Linux Agent - Syslog |
Utholdenhet, sideveis bevegelse, forsvarsunndragelse |
| SAP – uautorisert ekstern kjøring av en sensitiv funksjonsmodul | Oppdager uautoriserte kjøringer av sensitive vm-er ved å sammenligne aktiviteten med brukerens godkjenningsprofil mens du ser bort fra nylig endrede autorisasjoner. Vedlikehold funksjonsmoduler i visningslisten for sap - sensitive funksjonsmoduler . |
Kjør en funksjonsmodul ved hjelp av RFC. Datakilder: SAPcon – overvåkingslogg |
Utførelse, sideveis bevegelse, oppdagelse |
| SAP – endring av systemkonfigurasjon | Identifiserer endringer for systemkonfigurasjon. | Tilpass systemendringsalternativer eller endring av programvarekomponent ved SE06 hjelp av transaksjonskoden.Datakilder: SAPcon – overvåkingslogg |
Exfiltration, Defense Evasion, Persistence |
| SAP – feilsøkingsaktiviteter | Identifiserer alle feilsøkingsrelaterte aktiviteter. Underbrukstilfelle: Persistency |
Aktiver feilsøking (/t) i systemet, feilsøk en aktiv prosess, legg til breakpoint i kildekoden og så videre. Datakilder: SAPcon – overvåkingslogg |
Oppdagelsen |
| SAP – konfigurasjonsendring for sikkerhetsrevisjonslogg | Identifiserer endringer i konfigurasjonen av sikkerhetsrevisjonsloggen | Endre konfigurasjon av sikkerhetsrevisjonslogg ved hjelp av SM19/RSAU_CONFIG, for eksempel filtre, status, opptaksmodus og så videre. Datakilder: SAPcon – overvåkingslogg |
Persistence, Exfiltration, Defense Evasion |
| SAP – transaksjonen er ulåst | Identifiserer opplåsing av en transaksjon. | Lås opp en transaksjonskode ved hjelp av SM01SM01_CUS/SM01_DEV/. Datakilder: SAPcon – overvåkingslogg |
Vedvarende, utførelse |
| SAP – dynamisk ABAP-program | Identifiserer kjøringen av dynamisk ABAP-programmering. For eksempel når ABAP-kode ble dynamisk opprettet, endret eller slettet. Vedlikehold utelatte transaksjonskoder i visningslisten SAP – Transaksjoner for ABAP-generasjoner . |
Opprett en ABAP-rapport som bruker kommandoer for generering av ABAP-programmer, for eksempel INSERT REPORT, og kjør deretter rapporten. Datakilder: SAPcon – overvåkingslogg |
Oppdagelse, kommando og kontroll, innvirkning |
Mistenkelige operasjoner for rettigheter
| Regelnavn | Beskrivelse | Kildehandling | Taktikk |
|---|---|---|---|
| SAP – endring i en sensitiv privilegert bruker | Identifiserer endringer for sensitive privilegerte brukere. Vedlikehold privilegerte brukere i visningslisten FOR PRIVILEGERTE BRUKERE . |
Endre brukerdetaljer / autorisasjoner ved hjelp av SU01. Datakilder: SAPcon – overvåkingslogg |
Videresending av rettigheter, legitimasjonstilgang |
| SAP - (PREVIEW) HANA DB -Assign Admin Authorizations | Identifiserer administratorrettigheter eller rolletildeling. | Tilordne en bruker med administratorrolle eller -rettigheter. Datakilder: Linux Agent - Syslog |
Videresending av rettigheter |
| SAP – Sensitiv privilegert bruker logget på | Identifiserer dialogbokspåloggingen for en sensitiv privilegert bruker. Vedlikehold privilegerte brukere i visningslisten FOR PRIVILEGERTE BRUKERE . |
Logg på serverdelsystemet ved hjelp av SAP* eller en annen privilegert bruker. Datakilder: SAPcon – overvåkingslogg |
Første tilgang, legitimasjonstilgang |
| SAP – Sensitiv privilegert bruker gjør en endring i en annen bruker | Identifiserer endringer av sensitive, privilegerte brukere i andre brukere. | Endre brukerdetaljer / autorisasjoner ved hjelp av SU01. Datakilder: SAPcon – overvåkingslogg |
Videresending av rettigheter, legitimasjonstilgang |
| SAP – Passordendring og pålogging for sensitive brukere | Identifiserer passordendringer for privilegerte brukere. | Endre passordet for en privilegert bruker, og logg på systemet. Vedlikehold privilegerte brukere i visningslisten FOR PRIVILEGERTE BRUKERE . Datakilder: SAPcon – overvåkingslogg |
Innvirkning, kommando og kontroll, privilegiskalering |
| SAP – bruker oppretter og bruker ny bruker | Identifiserer en bruker som oppretter og bruker andre brukere. Underbrukstilfelle: Persistency |
Opprett en bruker ved hjelp av SU01, og logg deretter på med den nyopprettede brukeren og den samme IP-adressen. Datakilder: SAPcon – overvåkingslogg |
Oppdagelse, før angrep, første tilgang |
| SAP – bruker låser opp og bruker andre brukere | Identifiserer en bruker som låses opp og brukes av andre brukere. Underbrukstilfelle: Persistency |
Lås opp en bruker ved hjelp av SU01, og logg deretter på med den ulåste brukeren og den samme IP-adressen. Datakilder: SAPcon - Overvåkingslogg, SAPcon - Endre dokumentlogg |
Oppdagelse, Pre-Attack, Initial Access, Lateral Movement |
| SAP – tildeling av en sensitiv profil | Identifiserer nye tilordninger av en sensitiv profil til en bruker. Vedlikehold sensitive profiler i visningslisten for sensitive profiler i SAP. |
Tilordne en profil til en bruker ved hjelp av SU01. Datakilder: SAPcon – Endre dokumentlogg |
Videresending av rettigheter |
| SAP – tildeling av en sensitiv rolle | Identifiserer nye tildelinger for en sensitiv rolle for en bruker. Vedlikehold sensitive roller i VISNINGSLISTE for sensitive roller . |
Tilordne en rolle til en bruker ved hjelp av SU01 / PFCG. Datakilder: SAPcon - Endre dokumentlogg, overvåkingslogg |
Videresending av rettigheter |
| SAP – tilordning av kritiske autorisasjoner (FORHÅNDSVERSJON) – ny godkjenningsverdi | Identifiserer tilordningen av en kritisk verdi for godkjenningsobjekt til en ny bruker. Vedlikehold kritiske godkjenningsobjekter i visningslisten for sap - kritiske godkjenningsobjekter . |
Tilordne et nytt godkjenningsobjekt eller oppdater et eksisterende objekt i en rolle ved hjelp av PFCG. Datakilder: SAPcon – Endre dokumentlogg |
Videresending av rettigheter |
| SAP – tildeling av kritiske autorisasjoner – ny brukertilordning | Identifiserer tilordningen av en kritisk verdi for godkjenningsobjekt til en ny bruker. Vedlikehold kritiske godkjenningsobjekter i visningslisten for sap - kritiske godkjenningsobjekter . |
Tilordne en ny bruker til en rolle som inneholder kritiske godkjenningsverdier, ved hjelp av SU01/PFCG. Datakilder: SAPcon – Endre dokumentlogg |
Videresending av rettigheter |
| SAP – sensitive roller-endringer | Identifiserer endringer i sensitive roller. Vedlikehold sensitive roller i VISNINGSLISTE for sensitive roller . |
Endre en rolle ved hjelp av PFCG. Datakilder: SAPcon – Endre dokumentlogg, SAPcon – overvåkingslogg |
Innvirkning, videresending av privilegier, vedvarende |
Tilgjengelige visningslister
Tabellen nedenfor viser visningslistene som er tilgjengelige for den Microsoft Sentinel løsningen for SAP-programmer, og feltene i hver visningsliste.
Disse visningslistene gir konfigurasjonen for Microsoft Sentinel løsning for SAP-programmer. SAP-visningslistene er tilgjengelige i gitHub-repositoriet Microsoft Sentinel.
| Navn på visningsliste | Beskrivelse og felt |
|---|---|
| SAP – kritiske autorisasjoner | Objekt for kritiske autorisasjoner, der tildelinger skal styres. - AuthorizationObject: Et SAP-godkjenningsobjekt, for eksempel S_DEVELOP, S_TCODEeller Table TOBJ - AuthorizationField: Et SAP-godkjenningsfelt, for eksempel OBJTYP eller TCD - AuthorizationValue: En feltverdi for SAP-godkjenning, for eksempel DEBUG - ActivityField : SAP-aktivitetsfelt. I de fleste tilfeller er ACTVTdenne verdien . For godkjenningsobjekter uten en aktivitet, eller med bare et aktivitetsfelt fylt med NOT_IN_USE. - Aktivitet: SAP-aktivitet, i henhold til autorisasjonsobjektet, for eksempel: 01: Opprett; 02: Endre; 03: Vis og så videre. - Beskrivelse: En meningsfull beskrivelse av kritisk autorisasjonsobjekt. |
| SAP – utelatte nettverk | For internt vedlikehold av utelatte nettverk, for eksempel for å ignorere nettutsendinger, terminalservere og så videre. - Nettverk: En NETTVERKS-IP-adresse eller et område, for eksempel 111.68.128.0/17. - Beskrivelse: En meningsfull nettverksbeskrivelse. |
| SAP ekskluderte brukere | Systembrukere som er logget på systemet og må ignoreres. Varsler for flere pålogginger av samme bruker. - Bruker: SAP-bruker - Beskrivelse: En meningsfull brukerbeskrivelse. |
| SAP – nettverk | Interne nettverk og vedlikeholdsnettverk for identifisering av uautoriserte pålogginger. - Nettverk: NETTVERKS-IP-adresse eller -område, for eksempel 111.68.128.0/17 - Beskrivelse: En meningsfull nettverksbeskrivelse. |
| SAP – privilegerte brukere | Privilegerte brukere som er under ekstra begrensninger. - Bruker: ABAP-brukeren, for eksempel DDIC eller SAP - Beskrivelse: En meningsfull brukerbeskrivelse. |
| SAP – sensitive ABAP-programmer | Sensitive ABAP-programmer (rapporter), der kjøringen skal styres. - ABAPProgram: ABAP-program eller -rapport, for eksempel RSPFLDOC - Beskrivelse: En meningsfull programbeskrivelse. |
| SAP – modul for sensitive funksjoner | Interne nettverk og vedlikeholdsnettverk for identifisering av uautoriserte pålogginger. - FunctionModule: En ABAP-funksjonsmodul, for eksempel RSAU_CLEAR_AUDIT_LOG - Beskrivelse: En meningsfull modulbeskrivelse. |
| SAP – sensitive profiler | Sensitive profiler, der tildelinger skal styres. - Profil: SAP-godkjenningsprofil, for eksempel SAP_ALL eller SAP_NEW - Beskrivelse: En meningsfull profilbeskrivelse. |
| SAP – sensitive tabeller | Sensitive tabeller, der tilgang skal styres. - Tabell: ABAP-ordlistetabell, for eksempel USR02 eller PA008 - Beskrivelse: En meningsfull tabellbeskrivelse. |
| SAP – sensitive roller | Sensitive roller, der tilordning skal styres. - Rolle: SAP-godkjenningsrolle, for eksempel SAP_BC_BASIS_ADMIN - Beskrivelse: En meningsfull rollebeskrivelse. |
| SAP – sensitive transaksjoner | Sensitive transaksjoner der kjøring skal styres. - TransactionCode: SAP-transaksjonskode, for eksempel RZ11 - Beskrivelse: En meningsfull kodebeskrivelse. |
| SAP – Systemer | Beskriver landskapet i SAP-systemer i henhold til rolle, bruk og konfigurasjon. - SystemID: SAP-system-ID -en (SYSID) - SystemRole: SAP-systemrollen, én av følgende verdier: Sandbox, , Quality AssuranceDevelopment, , TrainingProduction - SystemBruk: SAP-systembruken, én av følgende verdier: ERP, , SolmanBW, , GatewayEnterprise Portal - InterfaceAttributes: en valgfri dynamisk parameter for bruk i strategibøker. |
| SAPSystemParameters | Parametere for å se etter mistenkelige konfigurasjonsendringer. Denne visningslisten er forhåndsutfylt med anbefalte verdier (i henhold til anbefalt fremgangsmåte for SAP), og du kan utvide visningslisten til å inkludere flere parametere. Hvis du ikke vil motta varsler for en parameter, setter EnableAlerts du til false.- Parameternavn: Navnet på parameteren. - Kommentar: Beskrivelsen av SAP-standardparameteren. - EnableAlerts: Definerer om varsler skal aktiveres for denne parameteren. Verdiene er true og false.- Alternativ: Definerer i hvilket tilfelle det skal utløses et varsel: Hvis parameterverdien er større eller lik ( GE), mindre eller lik (LE) eller lik (EQ)Hvis for eksempel SAP-parameteren login/fails_to_user_lock er satt til LE (mindre eller lik) og en verdi på 5, når Microsoft Sentinel oppdager en endring i denne bestemte parameteren, sammenligner den den nylig rapporterte verdien og den forventede verdien. Hvis den nye verdien er 4, utløser Microsoft Sentinel ikke et varsel. Hvis den nye verdien er 6, utløser Microsoft Sentinel et varsel.- ProductionSeverity: Alvorsgraden for hendelsen for produksjonssystemer. - ProductionValues: Tillatte verdier for produksjonssystemer. - NonProdSeverity: Alvorsgraden for hendelser for sakprodusjonssystemer. - NonProdValues: Tillatte verdier for ikke-produsjonssystemer. |
| SAP – ekskluderte brukere | Systembrukere som er logget på og må ignoreres, for eksempel for flere pålogginger etter brukervarsel. - Bruker: SAP-bruker - Beskrivelse: En meningsfull brukerbeskrivelse |
| SAP – utelatte nettverk | Oppretthold interne, ekskluderte nettverk for å ignorere websentraler, terminalservere og så videre. - Nettverk: NETTVERKS-IP-adresse eller -område, for eksempel 111.68.128.0/17 - Beskrivelse: En meningsfull nettverksbeskrivelse |
| SAP – foreldede funksjonsmoduler | Foreldede funksjonsmoduler, der kjøringen skal styres. - Funksjonsmodul: ABAP-funksjonsmodul, for eksempel TH_SAPREL - Beskrivelse: Beskrivelse av en meningsfull funksjonsmodul |
| SAP – foreldede programmer | Foreldede ABAP-programmer (rapporter), der kjøringen skal styres. - ABAPProgram:ABAP-program, for eksempel TH_ RSPFLDOC - Beskrivelse: En meningsfull beskrivelse av ABAP-programmet |
| SAP – transaksjoner for ABAP-generasjoner | Transaksjoner for ABAP-generasjoner der kjøringen skal styres. - TransactionCode: Transaksjonskode, for eksempel SE11. - Beskrivelse: En meningsfull beskrivelse av transaksjonskode |
| SAP – FTP-servere | FTP-servere for identifisering av uautoriserte tilkoblinger. - Klient: for eksempel 100. - FTP_Server_Name: FTP-servernavn, for eksempel http://contoso.com/ - FTP_Server_Port:FTP-serverport, for eksempel 22. - BeskrivelseEn meningsfull FTP Server-beskrivelse |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurer VARSLER i SAP-overvåkingsloggen ved å tilordne hver meldings-ID et alvorlighetsnivå som kreves av deg, per systemrolle (produksjon, ikke-produksjon). Denne visningslisten beskriver alle tilgjengelige ID-er for standard overvåkingslogg for SAP. Visningslisten kan utvides til å inneholde ekstra meldings-ID-er du kan opprette på egen hånd ved hjelp av ABAP-forbedringer på SAP NetWeaver-systemene. Denne visningslisten gjør det også mulig for å konfigurere et bestemt team til å håndtere hver av hendelsestypene, og ekskludere brukere av SAP-roller, SAP-profiler eller koder fra SAP_User_Config visningsliste. Denne visningslisten er en av kjernekomponentene som brukes til å konfigurere de innebygde SAP-analysereglene for overvåking av SAP-overvåkingsloggen. Hvis du vil ha mer informasjon, kan du se Overvåke SAP-overvåkingsloggen. - MessageID: SAP-meldings-ID-en eller hendelsestypen, for eksempel AUD (endringer i hovedoppføring for bruker) eller AUB (autorisasjonsendringer). - DetailedDescription: En markdown-aktivert beskrivelse som skal vises i hendelsesruten. - ProductionSeverity: Den ønskede alvorlighetsgraden for hendelsen som skal opprettes med for produksjonssystemer High, Medium. Kan angis som Disabled. - NonProdSeverity: Den ønskede alvorlighetsgraden for hendelsen som skal opprettes med for sakprodusjonssystemer High, Medium. Kan angis som Disabled. - ProductionThreshold Antall hendelser som skal betraktes som mistenkelige for produksjonssystemer 60per time. - NonProdThreshold Antallet hendelser som skal betraktes som mistenkelige for ikke-produsjonssystemer 10per time. - RolesTagsToExclude: Dette feltet godtar SAP-rollenavn, SAP-profilnavn eller -koder fra SAP_User_Config visningsliste. Disse brukes deretter til å ekskludere de tilknyttede brukerne fra bestemte hendelsestyper. Se alternativer for rollekoder på slutten av denne listen. - RuleType: Brukes Deterministic for hendelsestypen som skal sendes til SAP - dynamisk deterministisk overvåkingsloggovervåkingsregel , eller AnomaliesOnly for å få denne hendelsen dekket av SAP - dynamisk avviksbasert overvåkingsovervåkingsvarsler (FORHÅNDSVISNING). Hvis du vil ha mer informasjon, kan du se Overvåke SAP-overvåkingsloggen. - TeamsChannelID: en valgfri dynamisk parameter for bruk i strategibøker. - DestinationEmail: en valgfri dynamisk parameter for bruk i strategibøker. For RolesTagsToExclude-feltet : – Hvis du lister opp SAP-roller eller SAP-profiler, utelater dette alle brukere med de oppførte rollene eller profilene fra disse hendelsestypene for samme SAP-system. Hvis du for eksempel definerer BASIC_BO_USERS ABAP-rollen for RFC-relaterte hendelsestyper, utløser ikke Business Objects-brukere hendelser når de foretar massive RFC-anrop.– Merking av en hendelsestype ligner på angivelse av SAP-roller eller -profiler, men koder kan opprettes i arbeidsområdet, slik at SOC-team kan ekskludere brukere etter aktivitet uten avhengig av SAP BASIS-teamet. Overvåkingsmeldings-ID-ene AUB (autorisasjonsendringer) og AUD (endringer i hovedoppføring for bruker) tilordnes MassiveAuthChanges for eksempel koden. Brukere som er tilordnet denne koden, utelates fra kontrollene for disse aktivitetene. Hvis du kjører arbeidsområdefunksjonen SAPAuditLogConfigRecommend , får du en liste over anbefalte koder som skal tilordnes til brukere, for eksempel Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Gjør det mulig å finjustere varsler ved å utelate /inkludere brukere i bestemte kontekster og brukes også til å konfigurere de innebygde SAP-analysereglene for overvåking av SAP-overvåkingsloggen. Hvis du vil ha mer informasjon, kan du se Overvåke SAP-overvåkingsloggen. - SAPUser: SAP-brukeren - Koder: Koder brukes til å identifisere brukere mot bestemte aktiviteter. Hvis du for eksempel legger til kodene ["GenericTablebyRFCOK"] til brukeren SENTINEL_SRV hindrer RFC-relaterte hendelser å bli opprettet for denne bestemte brukeren Andre active directory-brukeridentifikatorer – AD-brukeridentifikator - Lokal bruker-SID – Brukerhovednavn |
| Navn på visningsliste | Beskrivelse og felt |
|---|---|
| SAP – kritiske autorisasjoner | Objekt for kritiske autorisasjoner, der tildelinger skal styres. - AuthorizationObject: Et SAP-godkjenningsobjekt, for eksempel S_DEVELOP, S_TCODEeller Table TOBJ - AuthorizationField: Et SAP-godkjenningsfelt, for eksempel OBJTYP eller TCD - AuthorizationValue: En feltverdi for SAP-godkjenning, for eksempel DEBUG - ActivityField : SAP-aktivitetsfelt. I de fleste tilfeller er ACTVTdenne verdien . For godkjenningsobjekter uten en aktivitet, eller med bare et aktivitetsfelt fylt med NOT_IN_USE. - Aktivitet: SAP-aktivitet, i henhold til autorisasjonsobjektet, for eksempel: 01: Opprett; 02: Endre; 03: Vis og så videre. - Beskrivelse: En meningsfull beskrivelse av kritisk autorisasjonsobjekt. |
| SAP – utelatte nettverk | For internt vedlikehold av utelatte nettverk, for eksempel for å ignorere nettutsendinger, terminalservere og så videre. - Nettverk: En NETTVERKS-IP-adresse eller et område, for eksempel 111.68.128.0/17. - Beskrivelse: En meningsfull nettverksbeskrivelse. |
| SAP ekskluderte brukere | Systembrukere som er logget på systemet og må ignoreres. Varsler for flere pålogginger av samme bruker. - Bruker: SAP-bruker - Beskrivelse: En meningsfull brukerbeskrivelse. |
| SAP – nettverk | Interne nettverk og vedlikeholdsnettverk for identifisering av uautoriserte pålogginger. - Nettverk: NETTVERKS-IP-adresse eller -område, for eksempel 111.68.128.0/17 - Beskrivelse: En meningsfull nettverksbeskrivelse. |
| SAP – privilegerte brukere | Privilegerte brukere som er under ekstra begrensninger. - Bruker: ABAP-brukeren, for eksempel DDIC eller SAP - Beskrivelse: En meningsfull brukerbeskrivelse. |
| SAP – sensitive ABAP-programmer | Sensitive ABAP-programmer (rapporter), der kjøringen skal styres. - ABAPProgram: ABAP-program eller -rapport, for eksempel RSPFLDOC - Beskrivelse: En meningsfull programbeskrivelse. |
| SAP – modul for sensitive funksjoner | Interne nettverk og vedlikeholdsnettverk for identifisering av uautoriserte pålogginger. - FunctionModule: En ABAP-funksjonsmodul, for eksempel RSAU_CLEAR_AUDIT_LOG - Beskrivelse: En meningsfull modulbeskrivelse. |
| SAP – sensitive profiler | Sensitive profiler, der tildelinger skal styres. - Profil: SAP-godkjenningsprofil, for eksempel SAP_ALL eller SAP_NEW - Beskrivelse: En meningsfull profilbeskrivelse. |
| SAP – sensitive tabeller | Sensitive tabeller, der tilgang skal styres. - Tabell: ABAP-ordlistetabell, for eksempel USR02 eller PA008 - Beskrivelse: En meningsfull tabellbeskrivelse. |
| SAP – sensitive roller | Sensitive roller, der tilordning skal styres. - Rolle: SAP-godkjenningsrolle, for eksempel SAP_BC_BASIS_ADMIN - Beskrivelse: En meningsfull rollebeskrivelse. |
| SAP – sensitive transaksjoner | Sensitive transaksjoner der kjøring skal styres. - TransactionCode: SAP-transaksjonskode, for eksempel RZ11 - Beskrivelse: En meningsfull kodebeskrivelse. |
| SAP – Systemer | Beskriver landskapet i SAP-systemer i henhold til rolle, bruk og konfigurasjon. - SystemID: SAP-system-ID -en (SYSID) - SystemRole: SAP-systemrollen, én av følgende verdier: Sandbox, , Quality AssuranceDevelopment, , TrainingProduction - SystemBruk: SAP-systembruken, én av følgende verdier: ERP, , SolmanBW, , GatewayEnterprise Portal - InterfaceAttributes: en valgfri dynamisk parameter for bruk i strategibøker. |
| SAP – ekskluderte brukere | Systembrukere som er logget på og må ignoreres, for eksempel for flere pålogginger etter brukervarsel. - Bruker: SAP-bruker - Beskrivelse: En meningsfull brukerbeskrivelse |
| SAP – utelatte nettverk | Oppretthold interne, ekskluderte nettverk for å ignorere websentraler, terminalservere og så videre. - Nettverk: NETTVERKS-IP-adresse eller -område, for eksempel 111.68.128.0/17 - Beskrivelse: En meningsfull nettverksbeskrivelse |
| SAP – foreldede funksjonsmoduler | Foreldede funksjonsmoduler, der kjøringen skal styres. - Funksjonsmodul: ABAP-funksjonsmodul, for eksempel TH_SAPREL - Beskrivelse: Beskrivelse av en meningsfull funksjonsmodul |
| SAP – foreldede programmer | Foreldede ABAP-programmer (rapporter), der kjøringen skal styres. - ABAPProgram:ABAP-program, for eksempel TH_ RSPFLDOC - Beskrivelse: En meningsfull beskrivelse av ABAP-programmet |
| SAP – transaksjoner for ABAP-generasjoner | Transaksjoner for ABAP-generasjoner der kjøringen skal styres. - TransactionCode: Transaksjonskode, for eksempel SE11. - Beskrivelse: En meningsfull beskrivelse av transaksjonskode |
| SAP – FTP-servere | FTP-servere for identifisering av uautoriserte tilkoblinger. - Klient: for eksempel 100. - FTP_Server_Name: FTP-servernavn, for eksempel http://contoso.com/ - FTP_Server_Port:FTP-serverport, for eksempel 22. - BeskrivelseEn meningsfull FTP Server-beskrivelse |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurer VARSLER i SAP-overvåkingsloggen ved å tilordne hver meldings-ID et alvorlighetsnivå som kreves av deg, per systemrolle (produksjon, ikke-produksjon). Denne visningslisten beskriver alle tilgjengelige ID-er for standard overvåkingslogg for SAP. Visningslisten kan utvides til å inneholde ekstra meldings-ID-er du kan opprette på egen hånd ved hjelp av ABAP-forbedringer på SAP NetWeaver-systemene. Denne visningslisten gjør det også mulig for å konfigurere et bestemt team til å håndtere hver av hendelsestypene, og ekskludere brukere av SAP-roller, SAP-profiler eller koder fra SAP_User_Config visningsliste. Denne visningslisten er en av kjernekomponentene som brukes til å konfigurere de innebygde SAP-analysereglene for overvåking av SAP-overvåkingsloggen. Hvis du vil ha mer informasjon, kan du se Overvåke SAP-overvåkingsloggen. - MessageID: SAP-meldings-ID-en eller hendelsestypen, for eksempel AUD (endringer i hovedoppføring for bruker) eller AUB (autorisasjonsendringer). - DetailedDescription: En markdown-aktivert beskrivelse som skal vises i hendelsesruten. - ProductionSeverity: Den ønskede alvorlighetsgraden for hendelsen som skal opprettes med for produksjonssystemer High, Medium. Kan angis som Disabled. - NonProdSeverity: Den ønskede alvorlighetsgraden for hendelsen som skal opprettes med for sakprodusjonssystemer High, Medium. Kan angis som Disabled. - ProductionThreshold Antall hendelser som skal betraktes som mistenkelige for produksjonssystemer 60per time. - NonProdThreshold Antallet hendelser som skal betraktes som mistenkelige for ikke-produsjonssystemer 10per time. - RolesTagsToExclude: Dette feltet godtar SAP-rollenavn, SAP-profilnavn eller -koder fra SAP_User_Config visningsliste. Disse brukes deretter til å ekskludere de tilknyttede brukerne fra bestemte hendelsestyper. Se alternativer for rollekoder på slutten av denne listen. - RuleType: Brukes Deterministic for hendelsestypen som skal sendes til SAP - dynamisk deterministisk overvåkingsloggovervåkingsregel , eller AnomaliesOnly for å få denne hendelsen dekket av SAP - dynamisk avviksbasert overvåkingsovervåkingsvarsler (FORHÅNDSVISNING). Hvis du vil ha mer informasjon, kan du se Overvåke SAP-overvåkingsloggen. - TeamsChannelID: en valgfri dynamisk parameter for bruk i strategibøker. - DestinationEmail: en valgfri dynamisk parameter for bruk i strategibøker. For RolesTagsToExclude-feltet : – Hvis du lister opp SAP-roller eller SAP-profiler, utelater dette alle brukere med de oppførte rollene eller profilene fra disse hendelsestypene for samme SAP-system. Hvis du for eksempel definerer BASIC_BO_USERS ABAP-rollen for RFC-relaterte hendelsestyper, utløser ikke Business Objects-brukere hendelser når de foretar massive RFC-anrop.– Merking av en hendelsestype ligner på angivelse av SAP-roller eller -profiler, men koder kan opprettes i arbeidsområdet, slik at SOC-team kan ekskludere brukere etter aktivitet uten avhengig av SAP BASIS-teamet. Overvåkingsmeldings-ID-ene AUB (autorisasjonsendringer) og AUD (endringer i hovedoppføring for bruker) tilordnes MassiveAuthChanges for eksempel koden. Brukere som er tilordnet denne koden, utelates fra kontrollene for disse aktivitetene. Hvis du kjører arbeidsområdefunksjonen SAPAuditLogConfigRecommend , får du en liste over anbefalte koder som skal tilordnes til brukere, for eksempel Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Gjør det mulig å finjustere varsler ved å utelate /inkludere brukere i bestemte kontekster og brukes også til å konfigurere de innebygde SAP-analysereglene for overvåking av SAP-overvåkingsloggen. Hvis du vil ha mer informasjon, kan du se Overvåke SAP-overvåkingsloggen. - SAPUser: SAP-brukeren - Koder: Koder brukes til å identifisere brukere mot bestemte aktiviteter. Hvis du for eksempel legger til kodene ["GenericTablebyRFCOK"] til brukeren SENTINEL_SRV hindrer RFC-relaterte hendelser å bli opprettet for denne bestemte brukeren Andre active directory-brukeridentifikatorer – AD-brukeridentifikator - Lokal bruker-SID – Brukerhovednavn |
Tilgjengelige strategibøker
Strategibøker levert av Microsoft Sentinel løsning for SAP-programmer hjelper deg med å automatisere Arbeidsbelastninger for SAP-hendelsesrespons, noe som forbedrer effektiviteten og effektiviteten til sikkerhetsoperasjoner.
Denne delen beskriver innebygde analysespillebøker som leveres sammen med den Microsoft Sentinel løsningen for SAP-programmer.
| Navn på strategiplan | Parametere | Tilkoblinger |
|---|---|---|
| SAP-hendelsesrespons – Lås brukeren fra Teams – Grunnleggende | - SAP-SOAP-Bruker-Passord - SAP-SOAP-Brukernavn - SOAPApiBasePath - DefaultEmail – TeamsChannel |
- Microsoft Sentinel – Microsoft Teams |
| SAP-hendelsesrespons – Lås brukeren fra Teams – Avansert | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail – TeamsChannel |
- Microsoft Sentinel - Azure overvåkingslogger – Office 365 Outlook - Microsoft Entra ID - Azure Key Vault – Microsoft Teams |
| SAP-hendelsesrespons – overvåkingslogging som kan sendes på nytt når den er deaktivert | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail – TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure overvåkingslogger – Microsoft Teams |
De følgende avsnittene beskriver eksempelbrukstilfeller for hver av de angitte strategiplanene, i et scenario der en hendelse advarte deg om mistenkelig aktivitet i et av SAP-systemene, der en bruker prøver å utføre en av disse svært sensitive transaksjonene.
I løpet av hendelsesfasen bestemmer du deg for å iverksette tiltak mot denne brukeren, sparke den ut av SAP ERP- eller BTP-systemene eller til og med fra Microsoft Entra ID.
Hvis du vil ha mer informasjon, kan du se Automate trusselrespons med strategibøker i Microsoft Sentinel
Prosessen for å distribuere Standard logiske apper er generelt mer kompleks enn den er for forbrukslogikkapper. Vi har opprettet en rekke snarveier for å hjelpe deg med å distribuere dem raskt fra Microsoft Sentinel GitHub-repositorium. Hvis du vil ha mer informasjon, kan du se den trinnvise installasjonsveiledningen.
Tips
Se mappen for SAP-strategibøker i GitHub-repositoriet for flere strategibøker etter hvert som de blir tilgjengelige. Det finnes også en kort innledende video (ekstern kobling) der for å hjelpe deg med å komme i gang.
Låse en bruker fra ett enkelt system
Bygg en automatiseringsregel for å aktivere Lås bruker fra Teams – grunnleggende strategiplan når en sensitiv transaksjonskjøring av en uautorisert bruker oppdages. Denne strategiplanen bruker Teams' funksjon for adaptive kort til å be om godkjenning før brukeren blokkeres ensidig.
For mer informasjon, se Fra null til hero sikkerhetsdekning med Microsoft Sentinel for dine kritiske SAP sikkerhetssignaler - Du kommer til å høre meg SOAR! Del 1 (SAP-blogginnlegg).
Lock-brukeren fra Teams – Grunnleggende strategiplan er en Standard strategiplan, og Standard strategiplanene er generelt mer komplekse å distribuere enn forbruksspillebøker.
Vi har opprettet en rekke snarveier for å hjelpe deg med å distribuere dem raskt fra Microsoft Sentinel GitHub-repositorium. Hvis du vil ha mer informasjon, kan du se trinnvise installasjonsveiledninger og støttede logiske apptyper.
Låse en bruker fra flere systemer
Lock-brukeren fra Teams – Avansert strategiplan oppnår samme målsetting, men er utformet for mer komplekse scenarioer, slik at én enkelt strategiplan kan brukes for flere SAP-systemer, hver med sin egen SAP SID.
Lock-brukeren fra Teams – Avansert strategiplan administrerer sømløst tilkoblingene til alle disse systemene, og legitimasjonen deres, ved hjelp av InterfaceAttributes valgfri dynamisk parameter i SAP – Systems watchlist og Azure Key Vault.
Lås brukeren fra Teams – Avansert strategiplan lar deg også kommunisere til partene i godkjenningsprosessen ved hjelp av Outlook handlingsbare meldinger sammen med Teams, ved hjelp av TeamsChannelID og DestinationEmail parametere i SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist.
Hvis du vil ha mer informasjon, kan du se Fra null til heltesikkerhetsdekning med Microsoft Sentinel for dine kritiske SAP-sikkerhetssignaler – del 2 (SAP-blogginnlegg).
Hindre deaktivering av overvåkingslogging
Du er kanskje også bekymret for at SAP-overvåkingsloggen, som er en av sikkerhetsdatakildene, deaktiveres. Vi anbefaler at du bygger en automatiseringsregel basert på SAP – deaktivering av analyseregelen for sikkerhetsrevisjonsloggen for å aktivere overvåkingsloggingen som kan brukes på nytt når den er deaktivert, for å sikre at SAP-overvåkingsloggen ikke deaktiveres.
SAP – Deaktivering av strategiplanen for sikkerhetsrevisjonsloggen bruker også Teams, og informerer sikkerhetspersonell etter det faktum. Alvorlighetsgraden av lovbruddet og haster med sin reduksjon indikerer at umiddelbar handling kan tas uten godkjenning kreves.
Siden SAP – Deaktivering av strategiplanen for sikkerhetsrevisjonsloggen også bruker Azure Key Vault til å administrere legitimasjon, er konfigurasjonen av strategiplanen lik den til Lock-brukeren fra Teams – avansert strategiplan. Hvis du vil ha mer informasjon, kan du se Fra null til heltesikkerhetsdekning med Microsoft Sentinel for dine kritiske SAP-sikkerhetssignaler – del 3 (SAP-blogginnlegg).
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se Distribuere Microsoft Sentinel løsning for SAP-programmer.