Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel oplossingen voor SAP.
Belangrijk
De in dit artikel beschreven elementen bevinden zich in preview. De aanvullende voorwaarden voor Azure preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure functies die in bètaversie, preview of anderszins nog niet algemeen beschikbaar zijn.
Beschikbare beveiligingsinhoud omvat ingebouwde werkmappen en analyseregels. U kunt ook SAP-gerelateerde volglijsten toevoegen om te gebruiken in uw zoek-, detectieregels, opsporing van bedreigingen en antwoord-playbooks.
Inhoud in dit artikel is bedoeld voor uw beveiligingsteam .
Ingebouwde werkmappen
Gebruik de volgende ingebouwde werkmappen om gegevens die worden opgenomen via de SAP-gegevensconnector te visualiseren en te bewaken. Nadat u de SAP-oplossing hebt geïmplementeerd, vindt u SAP-werkmappen op het tabblad Sjablonen .
| Werkmapnaam | Beschrijving | Logs |
|---|---|---|
| SAP - Browser voor auditlogboeken | Geeft gegevens weer zoals: - Algemene systeemstatus, inclusief gebruikersaanmeldingen in de loop van de tijd, gebeurtenissen die door het systeem worden opgenomen, berichtklassen en id's, en ABAP-programma's worden uitgevoerd -Ernst van gebeurtenissen die zich voordoen in uw systeem - Verificatie- en autorisatiegebeurtenissen die plaatsvinden in uw systeem |
Gebruikt gegevens uit het volgende logboek: ABAPAuditLog |
| SAP-controlebesturingselementen | Hiermee kunt u de beveiligingscontroles van uw SAP-omgeving controleren op naleving van het gekozen besturingsframework, met behulp van hulpprogramma's waarmee u het volgende kunt doen: - Analyseregels in uw omgeving toewijzen aan specifieke beveiligingsbesturingselementen en controlefamilies - Bewaak en categoriseer de incidenten die worden gegenereerd door de op sap-oplossing gebaseerde analyseregels - Rapporteren over uw naleving |
Gebruikt gegevens uit de volgende tabellen: - SecurityAlert- SecurityIncident |
Zie Zelfstudie: Uw gegevens visualiseren en bewaken enMicrosoft Sentinel oplossing implementeren voor SAP-toepassingen voor meer informatie.
Ingebouwde analyseregels
In deze sectie wordt een selectie van ingebouwde analyseregels beschreven die samen met de Microsoft Sentinel-oplossing voor SAP-toepassingen worden geleverd. De gegevensconnector zonder agent werkt met een geconsolideerde set bronnen. Voor de meest recente updates controleert u de Microsoft Sentinel-inhoudshub op nieuwe en bijgewerkte regels.
De configuratie van statische SAP-beveiligingsparameters bewaken (preview)
Om het SAP-systeem te beveiligen, heeft SAP beveiligingsgerelateerde parameters geïdentificeerd die moeten worden bewaakt op wijzigingen. Met de regel 'SAP - (preview) Sensitive Static Parameter has Changed' houdt de Microsoft Sentinel oplossing voor SAP-toepassingen meer dan 52 statische beveiligingsparameters bij in het SAP-systeem, die zijn ingebouwd in Microsoft Sentinel.
Opmerking
Voor de Microsoft Sentinel oplossing voor SAP-toepassingen om de SAP-beveiligingsparameters te bewaken, moet de oplossing de SAP PAHI-tabel regelmatig bewaken. Zie Controleren of de PAHI-tabel regelmatig wordt bijgewerkt voor meer informatie.
De Microsoft Sentinel-oplossing voor SAP-toepassingen maakt gebruik van de parametergeschiedenistabel, die elk uur wijzigingen in systeemparameters registreert om de parameterwijzigingen in het systeem te begrijpen.
De parameters worden ook weergegeven in de volglijst van SAPSystemParameters. Met deze volglijst kunnen gebruikers nieuwe parameters toevoegen, bestaande parameters uitschakelen en de waarden en ernst per parameter en systeemrol wijzigen in productie- of niet-productieomgevingen.
Wanneer een wijziging wordt aangebracht in een van deze parameters, controleert Microsoft Sentinel of de wijziging betrekking heeft op de beveiliging en of de waarde is ingesteld op basis van de aanbevolen waarden. Als de wijziging wordt vermoed buiten de veilige zone te zijn, maakt Microsoft Sentinel een incident met details van de wijziging en identificeert wie de wijziging heeft aangebracht.
Bekijk de lijst met parameters die met deze regel worden bewaakt.
Het SAP-auditlogboek bewaken
Veel van de analyseregels in de Microsoft Sentinel-oplossing voor SAP-toepassingen gebruiken SAP-auditlogboekgegevens. Sommige analyseregels zoeken naar specifieke gebeurtenissen in het logboek, terwijl andere indicaties uit verschillende logboeken correleren om waarschuwingen en incidenten met hoge kwaliteit te maken.
Gebruik de volgende analyseregels om alle auditlogboekgebeurtenissen op uw SAP-systeem te bewaken of alleen waarschuwingen te activeren wanneer afwijkingen worden gedetecteerd:
| Regelnaam | Beschrijving |
|---|---|
| SAP - Ontbrekende configuratie in de controlelogboekcontrole voor dynamische beveiliging | Standaard wordt dagelijks uitgevoerd om configuratieaanbeveling te doen voor de SAP-auditlogboekmodule. Gebruik de regelsjabloon om een regel voor uw werkruimte te maken en aan te passen. |
| SAP - Dynamische deterministische controlelogboekmonitor (PREVIEW) | Wordt standaard elke 10 minuten uitgevoerd en richt zich op de sap-auditlogboekgebeurtenissen die zijn gemarkeerd als Deterministisch. Gebruik de regelsjabloon om een regel voor uw werkruimte te maken en aan te passen, bijvoorbeeld voor een lager fout-positief percentage. Deze regel vereist deterministische waarschuwingsdrempels en uitsluitingsregels voor gebruikers. |
| SAP - Waarschuwingen voor controlelogboeken op basis van dynamische anomalie (PREVIEW) | Wordt standaard elk uur uitgevoerd en is gericht op SAP-gebeurtenissen die zijn gemarkeerd als AnomaliesOnly, waarbij waarschuwingen worden weergegeven voor sap-auditlogboekgebeurtenissen wanneer afwijkingen worden gedetecteerd. Met deze regel worden extra machine learning-algoritmen toegepast om achtergrondruis op een manier zonder supervisie te filteren. |
Standaard worden de meeste gebeurtenistypen of SAP-bericht-id's in het SAP-auditlogboek verzonden naar de op anomalie gebaseerde analyseregel Op basis van dynamische anomaly auditlogboekmonitorwaarschuwingen (PREVIEW), terwijl de eenvoudiger te definiëren gebeurtenistypen worden verzonden naar de deterministische dynamische deterministische analyseregel voor controlelogboekcontrole (PREVIEW). Deze instelling kan, samen met andere gerelateerde instellingen, verder worden geconfigureerd om aan alle systeemvoorwaarden te voldoen.
De controleregels voor sap-auditlogboeken worden geleverd als onderdeel van de Microsoft Sentinel voor beveiligingsinhoud van SAP-oplossingen en maken verdere afstemming mogelijk met behulp van de SAP_Dynamic_Audit_Log_Monitor_Configuration en SAP_User_Config volglijsten.
De volgende tabel bevat bijvoorbeeld verschillende voorbeelden van hoe u de volglijst SAP_Dynamic_Audit_Log_Monitor_Configuration kunt gebruiken om de typen gebeurtenissen te configureren die incidenten produceren, waardoor het aantal gegenereerde incidenten wordt verminderd.
| Optie | Beschrijving |
|---|---|
| Ernst instellen en ongewenste gebeurtenissen uitschakelen | Zowel de deterministische regels als de regels op basis van afwijkingen maken standaard waarschuwingen voor gebeurtenissen die zijn gemarkeerd met gemiddelde en hoge ernst. Mogelijk wilt u de ernst afzonderlijk configureren van productie- en niet-productieomgevingen. U kunt bijvoorbeeld een foutopsporingsactiviteit instellen als een hoge ernst in productiesystemen en dezelfde gebeurtenissen volledig uitschakelen in niet-productiesystemen. |
| Gebruikers uitsluiten op basis van hun SAP-rollen of SAP-profielen | Microsoft Sentinel voor SAP neemt het autorisatieprofiel van de SAP-gebruiker op, inclusief directe en indirecte roltoewijzingen, groepen en profielen, zodat u de SAP-taal in uw SIEM kunt spreken. U kunt een SAP-gebeurtenis configureren om gebruikers uit te sluiten op basis van hun SAP-rollen en -profielen. Voeg in de volglijst de rollen of profielen toe die uw RFC-interfacegebruikers groeperen in de kolom RolesTagsToExclude , naast de gebeurtenis Algemene tabeltoegang per RFC . Deze configuratie activeert alleen waarschuwingen voor gebruikers die deze rollen missen. |
| Gebruikers uitsluiten op basis van hun SOC-tags | Gebruik tags om uw eigen groepering te maken, zonder te vertrouwen op ingewikkelde SAP-definities of zelfs zonder SAP-autorisatie. Deze methode is handig voor SOC-teams die hun eigen groepering willen maken voor SAP-gebruikers. Als u bijvoorbeeld niet wilt dat specifieke serviceaccounts worden gewaarschuwd voor algemene toegang tot tabellen door RFC-gebeurtenissen , maar geen SAP-rol of SAP-profiel kunt vinden waarmee deze gebruikers worden gegroepeerd, gebruikt u tags als volgt: 1. Voeg de tag GenTableRFCReadOK toe naast de relevante gebeurtenis in de volglijst. 2. Ga naar de SAP_User_Config volglijst en wijs de interfacegebruikers dezelfde tag toe. |
| Een frequentiedrempel per gebeurtenistype en systeemrol opgeven | Werkt als een snelheidslimiet. U kunt bijvoorbeeld gebeurtenissen voor het wijzigen van gebruikersmasterrecords configureren om alleen waarschuwingen te activeren als er meer dan 12 activiteiten in een uur worden waargenomen door dezelfde gebruiker in een productiesysteem. Als een gebruiker de limiet van 12 per uur overschrijdt, bijvoorbeeld 2 gebeurtenissen in een venster van 10 minuten, wordt er een incident geactiveerd. |
| Determinisme of afwijkingen | Als u de kenmerken van de gebeurtenis kent, gebruikt u de deterministische mogelijkheden. Als u niet zeker weet hoe u de gebeurtenis correct moet configureren, laat u de machine learning-mogelijkheden besluiten om te starten en voert u vervolgens zo nodig volgende updates uit. |
| SOAR-mogelijkheden | Gebruik Microsoft Sentinel om incidenten die zijn gemaakt door dynamische waarschuwingen voor sap-auditlogboeken verder te organiseren, te automatiseren en erop te reageren. Zie Automation in Microsoft Sentinel: Security orchestration, automation, and response (SOAR) voor meer informatie. |
Zie Beschikbare volglijsten en Microsoft Sentinel voor SAP-nieuws - Dynamische sap-beveiligingscontrolelogboekfunctie is nu beschikbaar voor meer informatie. (blog).
Initiële toegang
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - Aanmelden vanuit onverwacht netwerk | Identificeert een aanmelding vanuit een onverwacht netwerk. Netwerken onderhouden in de volglijst van SAP - Netwerken . |
Meld u aan bij het back-endsysteem vanaf een IP-adres dat niet is toegewezen aan een van de netwerken. Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang |
| SAP - SPNego-aanval | Identificeert SPNego Replay-aanval. | Gegevensbronnen: SAPcon - Auditlogboek | Impact, laterale beweging |
| SAP - Aanmeldingspoging in dialoogvenster van een bevoegde gebruiker | Identificeert aanmeldingspogingen in dialoogvensters, met het type AUM , door bevoegde gebruikers in een SAP-systeem. Zie SAPUsersGetPrivileged voor meer informatie. | Probeer u binnen het geplande tijdsinterval vanaf hetzelfde IP-adres aan te melden bij verschillende systemen of clients Gegevensbronnen: SAPcon - Auditlogboek |
Impact, laterale beweging |
| SAP - Brute force-aanvallen | Identificeert brute force-aanvallen op het SAP-systeem met behulp van RFC-aanmeldingen | Probeer u binnen het geplande tijdsinterval vanaf hetzelfde IP-adres aan te melden bij verschillende systemen/clients met behulp van RFC Gegevensbronnen: SAPcon - Auditlogboek |
Toegang tot referenties |
| SAP - Meerdere aanmeldingen per IP | Identificeert de aanmelding van meerdere gebruikers vanaf hetzelfde IP-adres binnen een gepland tijdsinterval. Subgebruiksvoorbeeld: Persistentie |
Meld u aan met meerdere gebruikers via hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang |
| SAP - Meerdere aanmeldingen per gebruiker | Identificeert aanmeldingen van dezelfde gebruiker vanuit verschillende terminals binnen het geplande tijdsinterval. Alleen beschikbaar via de Audit SAL-methode, voor SAP-versies 7.5 en hoger. |
Meld u aan met dezelfde gebruiker, met verschillende IP-adressen. Gegevensbronnen: SAPcon - Auditlogboek |
Pre-aanval, referentietoegang, initiële toegang, verzameling Subgebruiksvoorbeeld: Persistentie |
| SAP - Informatie - Levenscyclus - SAP-notities zijn geïmplementeerd in het systeem | Identificeert SAP Note-implementatie in het systeem. | Implementeer een SAP-notitie met behulp van SNOTE/TCI. Gegevensbronnen: SAPcon - Wijzigingsaanvragen |
- |
| SAP - (preview) AS JAVA - Gevoelige bevoegde gebruiker aangemeld | Identificeert een aanmelding vanuit een onverwacht netwerk. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . |
Meld u aan bij het back-endsysteem met behulp van bevoegde gebruikers. Gegevensbronnen: SAPJAVAFilesLog |
Initiële toegang |
| SAP - (preview) AS JAVA - Sign-In van onverwacht netwerk | Identificeert aanmeldingen van een onverwacht netwerk. Bevoegde gebruikers behouden in de volglijst van SAP - Networks . |
Meld u aan bij het back-endsysteem vanaf een IP-adres dat niet is toegewezen aan een van de netwerken in de volglijst van SAP - Netwerken Gegevensbronnen: SAPJAVAFilesLog |
Initiële toegang, defensieontduiking |
Gegevensexfiltratie
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - FTP voor niet-geautoriseerde servers | Identificeert een FTP-verbinding voor een niet-geverifieerde server. | Maak een nieuwe FTP-verbinding, bijvoorbeeld met behulp van de functiemodule FTP_CONNECT. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, initiële toegang, opdracht en beheer |
| SAP - Configuratie van onveilige FTP-servers | Identificeert onveilige FTP-serverconfiguraties, zoals wanneer een FTP-acceptatielijst leeg is of tijdelijke aanduidingen bevat. | Behoud geen waarden die tijdelijke aanduidingen in de SAPFTP_SERVERS tabel bevatten, met behulp van de SAPFTP_SERVERS_V onderhoudsweergave. (SM30) Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang, opdracht en beheer |
| SAP - Meerdere Files downloaden | Identificeert meerdere bestandsdownloads voor een gebruiker binnen een specifiek tijdsbereik. | Download meerdere bestanden met behulp van de SAPGui voor Excel, lijsten, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, exfiltratie, toegang tot referenties |
| SAP - Uitvoeringen van meerdere spools | Identificeert meerdere spools voor een gebruiker binnen een specifiek tijdsbereik. | Meerdere spooltaken van elk type door een gebruiker maken en uitvoeren. (SP01) Gegevensbronnen: SAPcon - Spoollogboek, SAPcon - Auditlogboek |
Verzameling, exfiltratie, toegang tot referenties |
| SAP - Uitvoeruitvoeringen van meerdere spools | Identificeert meerdere spools voor een gebruiker binnen een specifiek tijdsbereik. | Meerdere spooltaken van elk type door een gebruiker maken en uitvoeren. (SP01) Gegevensbronnen: SAPcon - Spool-uitvoerlogboek, SAPcon - Auditlogboek |
Verzameling, exfiltratie, toegang tot referenties |
| SAP - Gevoelige tabellen Directe toegang via RFC-aanmelding | Identificeert een algemene tabeltoegang via RFC-aanmelding. Houd tabellen in de volglijst sap - gevoelige tabellen bij. Alleen relevant voor productiesystemen. |
Open de inhoud van de tabel met SE11/SE16/SE16N. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, exfiltratie, toegang tot referenties |
| SAP - Spool Overname | Identificeert een gebruiker die een spoolaanvraag afdrukt die door iemand anders is gemaakt. | Maak een spoolaanvraag met één gebruiker en voer deze vervolgens uit met behulp van een andere gebruiker. Gegevensbronnen: SAPcon - Spoollogboek, SAPcon - Spool Output Log, SAPcon - Auditlogboek |
Verzameling, exfiltratie, opdracht en beheer |
| SAP - Dynamische RFC-bestemming | Identificeert de uitvoering van RFC met behulp van dynamische bestemmingen. Subgebruiksvoorbeeld: Pogingen om SAP-beveiligingsmechanismen te omzeilen |
Voer een ABAP-rapport uit dat gebruikmaakt van dynamische bestemmingen (cl_dynamic_destination). Bijvoorbeeld DEMO_RFC_DYNAMIC_DEST. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, Exfiltratie |
| SAP - Gevoelige tabellen Directe toegang per dialoogvenster | Identificeert algemene tabeltoegang via aanmelding via dialoogvenster. | Open de inhoud van de tabel met behulp van SE11SE16N/SE16/. Gegevensbronnen: SAPcon - Auditlogboek |
Ontdekken |
| SAP - (preview) bestand gedownload van een schadelijk IP-adres | Identificeert het downloaden van een bestand van een SAP-systeem met behulp van een IP-adres dat bekend staat als schadelijk. Schadelijke IP-adressen worden verkregen van bedreigingsinformatieservices. | Download een bestand van een schadelijk IP-adres. Gegevensbronnen: AUDITlogboek voor SAP-beveiliging, Bedreigingsinformatie |
Exfiltratie |
| SAP - (preview) gegevens geëxporteerd uit een productiesysteem met behulp van een transport | Identificeert gegevensexport vanuit een productiesysteem met behulp van een transport. Transporten worden gebruikt in ontwikkelingssystemen en zijn vergelijkbaar met pull-aanvragen. Deze waarschuwingsregel activeert incidenten met gemiddelde ernst wanneer een transport dat gegevens uit een tabel bevat, wordt vrijgegeven vanuit een productiesysteem. Met de regel wordt een incident met hoge ernst gemaakt wanneer de export gegevens uit een gevoelige tabel bevat. | Een transport van een productiesysteem vrijgeven. Gegevensbronnen: SAP CR-logboek, SAP - Gevoelige tabellen |
Exfiltratie |
| SAP - (preview) gevoelige gegevens die zijn opgeslagen op een USB-station | Identificeert het exporteren van SAP-gegevens via bestanden. De regel controleert op gegevens die zijn opgeslagen in een onlangs gekoppeld USB-station in de buurt van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot een gevoelige tabel. | Sap-gegevens exporteren via bestanden en opslaan in een USB-station. Gegevensbronnen: SAP-beveiligingscontrolelogboek, DeviceFileEvents (Microsoft Defender voor Eindpunt), SAP - gevoelige tabellen, SAP - gevoelige transacties, SAP - gevoelige programma's |
Exfiltratie |
| SAP - (preview) Afdrukken van mogelijk gevoelige gegevens | Identificeert een aanvraag of het daadwerkelijk afdrukken van mogelijk gevoelige gegevens. Gegevens worden als gevoelig beschouwd als de gebruiker de gegevens verkrijgt als onderdeel van een gevoelige transactie, uitvoering van een gevoelig programma of directe toegang tot een gevoelige tabel. | Afdrukken of aanvragen om gevoelige gegevens af te drukken. Gegevensbronnen: SAP Security Audit Log, SAP Spool-logboeken, SAP - Gevoelige tabellen, SAP - Gevoelige programma's |
Exfiltratie |
| SAP - (preview) groot volume van mogelijk gevoelige gegevens geëxporteerd | Identificeert de export van een grote hoeveelheid gegevens via bestanden in de nabijheid van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot gevoelige tabel. | Grote hoeveelheden gegevens exporteren via bestanden. Gegevensbronnen: SAP Security Audit Log, SAP - Gevoelige tabellen, SAP - Gevoelige transacties, SAP - Gevoelige programma's |
Exfiltratie |
Persistentie
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - Activering of deactivering van ICF-service | Hiermee wordt de activering of deactivering van ICF-services geïdentificeerd. | Activeer een service met behulp van SICF. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Functiemodule getest | Identificeert het testen van een functiemodule. | Test een functiemodule met behulp van SE37 / SE80. Gegevensbronnen: SAPcon - Auditlogboek |
Collectie, Verdedigingsontduiking, Lateral Movement |
| SAP - (PREVIEW) HANA DB - Gebruikers Beheer acties | Identificeert acties voor gebruikersbeheer. | Een databasegebruiker maken, bijwerken of verwijderen. Gegevensbronnen: Linux Agent - Syslog* |
Escalatie van bevoegdheden |
| SAP - Nieuwe ICF-servicehandlers | Identificeert het maken van ICF-handlers. | Wijs een nieuwe handler toe aan een service met behulp van SICF. Gegevensbronnen: SAPcon - Auditlogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Nieuwe ICF-services | Identificeert het maken van ICF-services. | Een service maken met behulp van SICF. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Uitvoering van een verouderde of onveilige functiemodule | Identificeert de uitvoering van een verouderde of onveilige ABAP-functiemodule. Behoud verouderde functies in de volglijst sap - verouderde functiemodules . Zorg ervoor dat u wijzigingen in tabellogboeken activeert voor de EUFUNC tabel in de back-end. (SE13)Alleen relevant voor productiesystemen. |
Voer een verouderde of onveilige functiemodule rechtstreeks uit met behulp van SE37. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Detectie, opdracht en beheer |
| SAP - Uitvoering van verouderd/onveilig programma | Identificeert de uitvoering van een verouderd of onveilig ABAP-programma. Behoud verouderde programma's in de volglijst sap - verouderde programma's . Alleen relevant voor productiesystemen. |
Voer een programma rechtstreeks uit met SE38/SA38/SE80 of met behulp van een achtergrondtaak. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, opdracht en beheer |
| SAP - Meerdere wachtwoordwijzigingen | Identificeert meerdere wachtwoordwijzigingen per gebruiker. | Gebruikerswachtwoord wijzigen Gegevensbronnen: SAPcon - Auditlogboek |
Toegang tot referenties |
| SAP - (preview) AS JAVA - Gebruiker maakt en gebruikt nieuwe gebruiker | Identificeert het maken of bewerken van gebruikers door beheerders binnen de SAP AS Java-omgeving. | Meld u aan bij het back-endsysteem met gebruikers die u hebt gemaakt of gemanipuleerd. Gegevensbronnen: SAPJAVAFilesLog |
Persistentie |
Pogingen om SAP-beveiligingsmechanismen te omzeilen
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - Clientconfiguratie wijzigen | Identificeert wijzigingen voor clientconfiguratie, zoals de clientrol of de opnamemodus voor wijzigingen. | Voer wijzigingen in de clientconfiguratie uit met behulp van de SCC4 transactiecode. Gegevensbronnen: SAPcon - Auditlogboek |
Defensieontduiking, exfiltratie, persistentie |
| SAP - Gegevens zijn gewijzigd tijdens foutopsporingsactiviteit | Identificeert wijzigingen voor runtimegegevens tijdens een foutopsporingsactiviteit. Subgebruiksvoorbeeld: Persistentie |
1. Activeer foutopsporing ("/h"). 2. Selecteer een veld voor wijziging en werk de waarde ervan bij. Gegevensbronnen: SAPcon - Auditlogboek |
Uitvoering, laterale beweging |
| SAP - Deactivering van beveiligingscontrolelogboek | Identificeert deactivering van het beveiligingscontrolelogboek, | Schakel beveiligingscontrolelogboek uit met behulp van SM19/RSAU_CONFIG. Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, defensieontduiking, persistentie |
| SAP - Uitvoering van een gevoelig ABAP-programma | Identificeert de directe uitvoering van een gevoelig ABAP-programma. Behoud ABAP-programma's in de volglijst sap - gevoelige ABAP-programma's . |
Voer een programma rechtstreeks uit met behulp van SE38SE80/SA38/. Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, laterale beweging, uitvoering |
| SAP - Uitvoering van een gevoelige transactiecode | Identificeert de uitvoering van een gevoelige transactiecode. Houd transactiecodes bij in de volglijst sap - gevoelige transactiecodes . |
Voer een gevoelige transactiecode uit. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, uitvoering |
| SAP - Uitvoering van gevoelige functiemodule | Identificeert de uitvoering van een gevoelige ABAP-functiemodule. Subgebruiksvoorbeeld: Persistentie Alleen relevant voor productiesystemen. Behoud gevoelige functies in de volglijst sap - gevoelige functiemodules en zorg ervoor dat u wijzigingen in tabellogboekregistratie activeert in de back-end voor de EUFUNC-tabel. (SE13) |
Voer een gevoelige functiemodule rechtstreeks uit met behulp van SE37. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Detectie, opdracht en beheer |
| SAP - (PREVIEW) HANA DB - Wijzigingen in audittrailbeleid | Identificeert wijzigingen voor het audittrailbeleid van HANA DB. | Het bestaande controlebeleid in beveiligingsdefinities maken of bijwerken. Gegevensbronnen: Linux Agent - Syslog |
Lateral Movement, Defense Evasion, Persistentie |
| SAP - (PREVIEW) HANA DB - Deactivering van audittrail | Hiermee wordt de deactivering van het HANA DB-auditlogboek geïdentificeerd. | Deactiveer het auditlogboek in de HANA DB-beveiligingsdefinitie. Gegevensbronnen: Linux Agent - Syslog |
Persistentie, Lateral Movement, Defense Evasion |
| SAP - Niet-geautoriseerde externe uitvoering van een gevoelige functiemodule | Detecteert niet-geautoriseerde uitvoeringen van gevoelige VM's door de activiteit te vergelijken met het autorisatieprofiel van de gebruiker, terwijl recent gewijzigde autorisaties worden genegeerd. Houd functiemodules in de volglijst sap - gevoelige functiemodules bij. |
Voer een functiemodule uit met behulp van RFC. Gegevensbronnen: SAPcon - Auditlogboek |
Uitvoering, laterale verplaatsing, detectie |
| SAP - Systeemconfiguratiewijziging | Identificeert wijzigingen voor systeemconfiguratie. | Pas opties voor systeemwijziging of aanpassing van softwareonderdelen aan met behulp van de SE06 transactiecode.Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, defensieontduiking, persistentie |
| SAP - Activiteiten voor foutopsporing | Identificeert alle gerelateerde activiteiten voor foutopsporing. Subgebruiksvoorbeeld: Persistentie |
Activeer foutopsporing (/h) in het systeem, debug een actief proces, voeg onderbrekingspunt toe aan broncode, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Ontdekken |
| SAP - Configuratie van beveiligingscontrolelogboek wijzigen | Identificeert wijzigingen in de configuratie van het beveiligingscontrolelogboek | Wijzig de configuratie van beveiligingscontrolelogboeken met behulp van SM19/RSAU_CONFIG, zoals de filters, status, opnamemodus, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Persistentie, exfiltratie, defensieontduiking |
| SAP - Transactie is ontgrendeld | Identificeert ontgrendeling van een transactie. | Ontgrendel een transactiecode met behulp van SM01SM01_CUS/SM01_DEV/. Gegevensbronnen: SAPcon - Auditlogboek |
Persistentie, uitvoering |
| SAP - Dynamisch ABAP-programma | Identificeert de uitvoering van dynamische ABAP-programmering. Bijvoorbeeld wanneer ABAP-code dynamisch is gemaakt, gewijzigd of verwijderd. Houd uitgesloten transactiecodes bij in de volglijst SAP - Transacties voor ABAP Generations . |
Maak een ABAP-rapport met opdrachten voor het genereren van ABAP-programma's, zoals RAPPORT INVOEGEN, en voer het rapport vervolgens uit. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, opdracht en controle, impact |
Verdachte bevoegdhedenbewerkingen
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - Wijzigen in een gebruiker met gevoelige bevoegdheden | Identificeert wijzigingen van gevoelige bevoegde gebruikers. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . |
Wijzig gebruikersgegevens/autorisaties met behulp van SU01. Gegevensbronnen: SAPcon - Auditlogboek |
Escalatie van bevoegdheden, toegang tot referenties |
| SAP - (PREVIEW) HANA DB - Beheer-autorisaties toewijzen | Identificeert beheerdersbevoegdheden of roltoewijzing. | Wijs een gebruiker toe met een beheerdersrol of -bevoegdheden. Gegevensbronnen: Linux Agent - Syslog |
Escalatie van bevoegdheden |
| SAP - Gevoelige bevoegde gebruiker die is aangemeld | Hiermee wordt de aanmelding in dialoogvenster van een gevoelige bevoegde gebruiker geïdentificeerd. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . |
Meld u aan bij het back-endsysteem met of SAP* een andere bevoegde gebruiker. Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang, referentietoegang |
| SAP - Gevoelige bevoegde gebruiker brengt een wijziging aan in andere gebruiker | Identificeert wijzigingen van gevoelige, bevoegde gebruikers in andere gebruikers. | Gebruikersgegevens/autorisaties wijzigen met SU01. Gegevensbronnen: SAPcon - Auditlogboek |
Escalatie van bevoegdheden, toegang tot referenties |
| SAP - Wachtwoord voor gevoelige gebruikers wijzigen en aanmelden | Identificeert wachtwoordwijzigingen voor bevoegde gebruikers. | Wijzig het wachtwoord voor een bevoegde gebruiker en meld u aan bij het systeem. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . Gegevensbronnen: SAPcon - Auditlogboek |
Impact, Command and Control, Escalatie van bevoegdheden |
| SAP - Gebruiker maakt en gebruikt nieuwe gebruiker | Identificeert een gebruiker die andere gebruikers maakt en gebruikt. Subgebruiksvoorbeeld: Persistentie |
Maak een gebruiker met SU01 en meld u vervolgens aan met de zojuist gemaakte gebruiker en hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, pre-aanval, initiële toegang |
| SAP - Gebruiker ontgrendelt en gebruikt andere gebruikers | Identificeert een gebruiker die wordt ontgrendeld en gebruikt door andere gebruikers. Subgebruiksvoorbeeld: Persistentie |
Ontgrendel een gebruiker met SU01 en meld u vervolgens aan met de ontgrendelde gebruiker en hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek, SAPcon - Logboek van wijzigingsdocumenten |
Detectie, pre-aanval, initiële toegang, laterale beweging |
| SAP - Toewijzing van een gevoelig profiel | Identificeert nieuwe toewijzingen van een gevoelig profiel aan een gebruiker. Onderhoud gevoelige profielen in de volglijst sap - gevoelige profielen . |
Wijs een profiel toe aan een gebruiker met behulp van SU01. Gegevensbronnen: SAPcon - Logboek documenten wijzigen |
Escalatie van bevoegdheden |
| SAP - Toewijzing van een gevoelige rol | Identificeert nieuwe toewijzingen voor een gevoelige rol aan een gebruiker. Behoud gevoelige rollen in de volglijst sap - gevoelige rollen . |
Wijs een rol toe aan een gebruiker met behulp van SU01 / PFCG. Gegevensbronnen: SAPcon - Logboek van wijzigingsdocumenten, auditlogboek |
Escalatie van bevoegdheden |
| SAP - (PREVIEW) Toewijzing van kritieke autorisaties - Nieuwe autorisatiewaarde | Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker. Behoud kritieke autorisatieobjecten in de volglijst sap - kritieke autorisatieobjecten . |
Wijs een nieuw autorisatieobject toe of werk een bestaand object in een rol bij met behulp van PFCG. Gegevensbronnen: SAPcon - Logboek documenten wijzigen |
Escalatie van bevoegdheden |
| SAP - Toewijzing van kritieke autorisaties - Nieuwe gebruikerstoewijzing | Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker. Behoud kritieke autorisatieobjecten in de volglijst sap - kritieke autorisatieobjecten . |
Wijs een nieuwe gebruiker toe aan een rol die kritieke autorisatiewaarden bevat, met behulp van SU01/PFCG. Gegevensbronnen: SAPcon - Logboek documenten wijzigen |
Escalatie van bevoegdheden |
| SAP - Wijzigingen in gevoelige rollen | Identificeert wijzigingen in gevoelige rollen. Behoud gevoelige rollen in de volglijst sap - gevoelige rollen . |
Een rol wijzigen met behulp van PFCG. Gegevensbronnen: SAPcon - Change Documents Log, SAPcon – auditlogboek |
Impact, Escalatie van bevoegdheden, Persistentie |
Het SAP-auditlogboek bewaken
Veel van de analyseregels in de Microsoft Sentinel-oplossing voor SAP-toepassingen gebruiken SAP-auditlogboekgegevens. Sommige analyseregels zoeken naar specifieke gebeurtenissen in het logboek, terwijl andere indicaties uit verschillende logboeken correleren om waarschuwingen en incidenten met hoge kwaliteit te maken.
Gebruik de volgende analyseregels om alle auditlogboekgebeurtenissen op uw SAP-systeem te bewaken of alleen waarschuwingen te activeren wanneer afwijkingen worden gedetecteerd:
| Regelnaam | Beschrijving |
|---|---|
| SAP - Ontbrekende configuratie in de controlelogboekcontrole voor dynamische beveiliging | Standaard wordt dagelijks uitgevoerd om configuratieaanbeveling te doen voor de SAP-auditlogboekmodule. Gebruik de regelsjabloon om een regel voor uw werkruimte te maken en aan te passen. |
| SAP - Dynamische deterministische controlelogboekmonitor (PREVIEW) | Wordt standaard elke 10 minuten uitgevoerd en richt zich op de sap-auditlogboekgebeurtenissen die zijn gemarkeerd als Deterministisch. Gebruik de regelsjabloon om een regel voor uw werkruimte te maken en aan te passen, bijvoorbeeld voor een lager fout-positief percentage. Deze regel vereist deterministische waarschuwingsdrempels en uitsluitingsregels voor gebruikers. |
| SAP - Waarschuwingen voor controlelogboeken op basis van dynamische anomalie (PREVIEW) | Wordt standaard elk uur uitgevoerd en is gericht op SAP-gebeurtenissen die zijn gemarkeerd als AnomaliesOnly, waarbij waarschuwingen worden weergegeven voor sap-auditlogboekgebeurtenissen wanneer afwijkingen worden gedetecteerd. Met deze regel worden extra machine learning-algoritmen toegepast om achtergrondruis op een manier zonder supervisie te filteren. |
Standaard worden de meeste gebeurtenistypen of SAP-bericht-id's in het SAP-auditlogboek verzonden naar de op anomalie gebaseerde analyseregel Op basis van dynamische anomaly auditlogboekmonitorwaarschuwingen (PREVIEW), terwijl de eenvoudiger te definiëren gebeurtenistypen worden verzonden naar de deterministische dynamische deterministische analyseregel voor controlelogboekcontrole (PREVIEW). Deze instelling kan, samen met andere gerelateerde instellingen, verder worden geconfigureerd om aan alle systeemvoorwaarden te voldoen.
De controleregels voor sap-auditlogboeken worden geleverd als onderdeel van de Microsoft Sentinel voor beveiligingsinhoud van SAP-oplossingen en maken verdere afstemming mogelijk met behulp van de SAP_Dynamic_Audit_Log_Monitor_Configuration en SAP_User_Config volglijsten.
De volgende tabel bevat bijvoorbeeld verschillende voorbeelden van hoe u de volglijst SAP_Dynamic_Audit_Log_Monitor_Configuration kunt gebruiken om de typen gebeurtenissen te configureren die incidenten produceren, waardoor het aantal gegenereerde incidenten wordt verminderd.
| Optie | Beschrijving |
|---|---|
| Ernst instellen en ongewenste gebeurtenissen uitschakelen | Zowel de deterministische regels als de regels op basis van afwijkingen maken standaard waarschuwingen voor gebeurtenissen die zijn gemarkeerd met gemiddelde en hoge ernst. Mogelijk wilt u de ernst afzonderlijk configureren van productie- en niet-productieomgevingen. U kunt bijvoorbeeld een foutopsporingsactiviteit instellen als een hoge ernst in productiesystemen en dezelfde gebeurtenissen volledig uitschakelen in niet-productiesystemen. |
| Gebruikers uitsluiten op basis van hun SAP-rollen of SAP-profielen | Microsoft Sentinel voor SAP neemt het autorisatieprofiel van de SAP-gebruiker op, inclusief directe en indirecte roltoewijzingen, groepen en profielen, zodat u de SAP-taal in uw SIEM kunt spreken. U kunt een SAP-gebeurtenis configureren om gebruikers uit te sluiten op basis van hun SAP-rollen en -profielen. Voeg in de volglijst de rollen of profielen toe die uw RFC-interfacegebruikers groeperen in de kolom RolesTagsToExclude , naast de gebeurtenis Algemene tabeltoegang per RFC . Deze configuratie activeert alleen waarschuwingen voor gebruikers die deze rollen missen. |
| Gebruikers uitsluiten op basis van hun SOC-tags | Gebruik tags om uw eigen groepering te maken, zonder te vertrouwen op ingewikkelde SAP-definities of zelfs zonder SAP-autorisatie. Deze methode is handig voor SOC-teams die hun eigen groepering willen maken voor SAP-gebruikers. Als u bijvoorbeeld niet wilt dat specifieke serviceaccounts worden gewaarschuwd voor algemene toegang tot tabellen door RFC-gebeurtenissen , maar geen SAP-rol of SAP-profiel kunt vinden waarmee deze gebruikers worden gegroepeerd, gebruikt u tags als volgt: 1. Voeg de tag GenTableRFCReadOK toe naast de relevante gebeurtenis in de volglijst. 2. Ga naar de SAP_User_Config volglijst en wijs de interfacegebruikers dezelfde tag toe. |
| Een frequentiedrempel per gebeurtenistype en systeemrol opgeven | Werkt als een snelheidslimiet. U kunt bijvoorbeeld gebeurtenissen voor het wijzigen van gebruikersmasterrecords configureren om alleen waarschuwingen te activeren als er meer dan 12 activiteiten in een uur worden waargenomen door dezelfde gebruiker in een productiesysteem. Als een gebruiker de limiet van 12 per uur overschrijdt, bijvoorbeeld 2 gebeurtenissen in een venster van 10 minuten, wordt er een incident geactiveerd. |
| Determinisme of afwijkingen | Als u de kenmerken van de gebeurtenis kent, gebruikt u de deterministische mogelijkheden. Als u niet zeker weet hoe u de gebeurtenis correct moet configureren, laat u de machine learning-mogelijkheden besluiten om te starten en voert u vervolgens zo nodig volgende updates uit. |
| SOAR-mogelijkheden | Gebruik Microsoft Sentinel om incidenten die zijn gemaakt door dynamische waarschuwingen voor sap-auditlogboeken verder te organiseren, te automatiseren en erop te reageren. Zie Automation in Microsoft Sentinel: Security orchestration, automation, and response (SOAR) voor meer informatie. |
Zie Beschikbare volglijsten en Microsoft Sentinel voor SAP-nieuws - Dynamische sap-beveiligingscontrolelogboekfunctie is nu beschikbaar voor meer informatie. (blog).
Initiële toegang
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - Aanmelden vanuit onverwacht netwerk | Identificeert een aanmelding vanuit een onverwacht netwerk. Netwerken onderhouden in de volglijst van SAP - Netwerken . |
Meld u aan bij het back-endsysteem vanaf een IP-adres dat niet is toegewezen aan een van de netwerken. Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang |
| SAP - SPNego-aanval | Identificeert SPNego Replay-aanval. | Gegevensbronnen: SAPcon - Auditlogboek | Impact, laterale beweging |
| SAP - Aanmeldingspoging in dialoogvenster van een bevoegde gebruiker | Identificeert aanmeldingspogingen in dialoogvensters, met het type AUM , door bevoegde gebruikers in een SAP-systeem. Zie SAPUsersGetPrivileged voor meer informatie. | Probeer u binnen het geplande tijdsinterval vanaf hetzelfde IP-adres aan te melden bij verschillende systemen of clients Gegevensbronnen: SAPcon - Auditlogboek |
Impact, laterale beweging |
| SAP - Brute force-aanvallen | Identificeert brute force-aanvallen op het SAP-systeem met behulp van RFC-aanmeldingen | Probeer u binnen het geplande tijdsinterval vanaf hetzelfde IP-adres aan te melden bij verschillende systemen/clients met behulp van RFC Gegevensbronnen: SAPcon - Auditlogboek |
Toegang tot referenties |
| SAP - Meerdere aanmeldingen per IP | Identificeert de aanmelding van meerdere gebruikers vanaf hetzelfde IP-adres binnen een gepland tijdsinterval. Subgebruiksvoorbeeld: Persistentie |
Meld u aan met meerdere gebruikers via hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang |
| SAP - Meerdere aanmeldingen per gebruiker | Identificeert aanmeldingen van dezelfde gebruiker vanuit verschillende terminals binnen het geplande tijdsinterval. Alleen beschikbaar via de Audit SAL-methode, voor SAP-versies 7.5 en hoger. |
Meld u aan met dezelfde gebruiker, met verschillende IP-adressen. Gegevensbronnen: SAPcon - Auditlogboek |
Pre-aanval, referentietoegang, initiële toegang, verzameling Subgebruiksvoorbeeld: Persistentie |
Gegevensexfiltratie
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - FTP voor niet-geautoriseerde servers | Identificeert een FTP-verbinding voor een niet-geverifieerde server. | Maak een nieuwe FTP-verbinding, bijvoorbeeld met behulp van de functiemodule FTP_CONNECT. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, initiële toegang, opdracht en beheer |
| SAP - Configuratie van onveilige FTP-servers | Identificeert onveilige FTP-serverconfiguraties, zoals wanneer een FTP-acceptatielijst leeg is of tijdelijke aanduidingen bevat. | Behoud geen waarden die tijdelijke aanduidingen in de SAPFTP_SERVERS tabel bevatten, met behulp van de SAPFTP_SERVERS_V onderhoudsweergave. (SM30) Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang, opdracht en beheer |
| SAP - Meerdere Files downloaden | Identificeert meerdere bestandsdownloads voor een gebruiker binnen een specifiek tijdsbereik. | Download meerdere bestanden met behulp van de SAPGui voor Excel, lijsten, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, exfiltratie, toegang tot referenties |
| SAP - Gevoelige tabellen Directe toegang via RFC-aanmelding | Identificeert een algemene tabeltoegang via RFC-aanmelding. Houd tabellen in de volglijst sap - gevoelige tabellen bij. Alleen relevant voor productiesystemen. |
Open de inhoud van de tabel met SE11/SE16/SE16N. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, exfiltratie, toegang tot referenties |
| SAP - Dynamische RFC-bestemming | Identificeert de uitvoering van RFC met behulp van dynamische bestemmingen. Subgebruiksvoorbeeld: Pogingen om SAP-beveiligingsmechanismen te omzeilen |
Voer een ABAP-rapport uit dat gebruikmaakt van dynamische bestemmingen (cl_dynamic_destination). Bijvoorbeeld DEMO_RFC_DYNAMIC_DEST. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, Exfiltratie |
| SAP - Gevoelige tabellen Directe toegang per dialoogvenster | Identificeert algemene tabeltoegang via aanmelding via dialoogvenster. | Open de inhoud van de tabel met behulp van SE11SE16N/SE16/. Gegevensbronnen: SAPcon - Auditlogboek |
Ontdekken |
| SAP - (preview) bestand gedownload van een schadelijk IP-adres | Identificeert het downloaden van een bestand van een SAP-systeem met behulp van een IP-adres dat bekend staat als schadelijk. Schadelijke IP-adressen worden verkregen van bedreigingsinformatieservices. | Download een bestand van een schadelijk IP-adres. Gegevensbronnen: AUDITlogboek voor SAP-beveiliging, Bedreigingsinformatie |
Exfiltratie |
| SAP - (preview) gevoelige gegevens die zijn opgeslagen op een USB-station | Identificeert het exporteren van SAP-gegevens via bestanden. De regel controleert op gegevens die zijn opgeslagen in een onlangs gekoppeld USB-station in de buurt van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot een gevoelige tabel. | Sap-gegevens exporteren via bestanden en opslaan in een USB-station. Gegevensbronnen: SAP-beveiligingscontrolelogboek, DeviceFileEvents (Microsoft Defender voor Eindpunt), SAP - gevoelige tabellen, SAP - gevoelige transacties, SAP - gevoelige programma's |
Exfiltratie |
| SAP - (preview) groot volume van mogelijk gevoelige gegevens geëxporteerd | Identificeert de export van een grote hoeveelheid gegevens via bestanden in de nabijheid van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot gevoelige tabel. | Grote hoeveelheden gegevens exporteren via bestanden. Gegevensbronnen: SAP Security Audit Log, SAP - Gevoelige tabellen, SAP - Gevoelige transacties, SAP - Gevoelige programma's |
Exfiltratie |
Persistentie
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - Functiemodule getest | Identificeert het testen van een functiemodule. | Test een functiemodule met behulp van SE37 / SE80. Gegevensbronnen: SAPcon - Auditlogboek |
Collectie, Verdedigingsontduiking, Lateral Movement |
| SAP - (PREVIEW) HANA DB - Gebruikers Beheer acties | Identificeert acties voor gebruikersbeheer. | Een databasegebruiker maken, bijwerken of verwijderen. Gegevensbronnen: Linux Agent - Syslog* |
Escalatie van bevoegdheden |
| SAP - Uitvoering van een verouderde of onveilige functiemodule | Identificeert de uitvoering van een verouderde of onveilige ABAP-functiemodule. Behoud verouderde functies in de volglijst sap - verouderde functiemodules . Zorg ervoor dat u wijzigingen in tabellogboeken activeert voor de EUFUNC tabel in de back-end. (SE13)Alleen relevant voor productiesystemen. |
Voer een verouderde of onveilige functiemodule rechtstreeks uit met behulp van SE37. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Detectie, opdracht en beheer |
| SAP - Uitvoering van verouderd/onveilig programma | Identificeert de uitvoering van een verouderd of onveilig ABAP-programma. Behoud verouderde programma's in de volglijst sap - verouderde programma's . Alleen relevant voor productiesystemen. |
Voer een programma rechtstreeks uit met SE38/SA38/SE80 of met behulp van een achtergrondtaak. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, opdracht en beheer |
| SAP - Meerdere wachtwoordwijzigingen | Identificeert meerdere wachtwoordwijzigingen per gebruiker. | Gebruikerswachtwoord wijzigen Gegevensbronnen: SAPcon - Auditlogboek |
Toegang tot referenties |
Pogingen om SAP-beveiligingsmechanismen te omzeilen
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - Clientconfiguratie wijzigen | Identificeert wijzigingen voor clientconfiguratie, zoals de clientrol of de opnamemodus voor wijzigingen. | Voer wijzigingen in de clientconfiguratie uit met behulp van de SCC4 transactiecode. Gegevensbronnen: SAPcon - Auditlogboek |
Defensieontduiking, exfiltratie, persistentie |
| SAP - Gegevens zijn gewijzigd tijdens foutopsporingsactiviteit | Identificeert wijzigingen voor runtimegegevens tijdens een foutopsporingsactiviteit. Subgebruiksvoorbeeld: Persistentie |
1. Activeer foutopsporing ("/h"). 2. Selecteer een veld voor wijziging en werk de waarde ervan bij. Gegevensbronnen: SAPcon - Auditlogboek |
Uitvoering, laterale beweging |
| SAP - Deactivering van beveiligingscontrolelogboek | Identificeert deactivering van het beveiligingscontrolelogboek, | Schakel beveiligingscontrolelogboek uit met behulp van SM19/RSAU_CONFIG. Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, defensieontduiking, persistentie |
| SAP - Uitvoering van een gevoelig ABAP-programma | Identificeert de directe uitvoering van een gevoelig ABAP-programma. Behoud ABAP-programma's in de volglijst sap - gevoelige ABAP-programma's . |
Voer een programma rechtstreeks uit met behulp van SE38SE80/SA38/. Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, laterale beweging, uitvoering |
| SAP - Uitvoering van een gevoelige transactiecode | Identificeert de uitvoering van een gevoelige transactiecode. Houd transactiecodes bij in de volglijst sap - gevoelige transactiecodes . |
Voer een gevoelige transactiecode uit. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, uitvoering |
| SAP - Uitvoering van gevoelige functiemodule | Identificeert de uitvoering van een gevoelige ABAP-functiemodule. Subgebruiksvoorbeeld: Persistentie Alleen relevant voor productiesystemen. Behoud gevoelige functies in de volglijst sap - gevoelige functiemodules en zorg ervoor dat u wijzigingen in tabellogboekregistratie activeert in de back-end voor de EUFUNC-tabel. (SE13) |
Voer een gevoelige functiemodule rechtstreeks uit met behulp van SE37. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Detectie, opdracht en beheer |
| SAP - (PREVIEW) HANA DB - Wijzigingen in audittrailbeleid | Identificeert wijzigingen voor het audittrailbeleid van HANA DB. | Het bestaande controlebeleid in beveiligingsdefinities maken of bijwerken. Gegevensbronnen: Linux Agent - Syslog |
Lateral Movement, Defense Evasion, Persistentie |
| SAP - (PREVIEW) HANA DB - Deactivering van audittrail | Hiermee wordt de deactivering van het HANA DB-auditlogboek geïdentificeerd. | Deactiveer het auditlogboek in de HANA DB-beveiligingsdefinitie. Gegevensbronnen: Linux Agent - Syslog |
Persistentie, Lateral Movement, Defense Evasion |
| SAP - Niet-geautoriseerde externe uitvoering van een gevoelige functiemodule | Detecteert niet-geautoriseerde uitvoeringen van gevoelige VM's door de activiteit te vergelijken met het autorisatieprofiel van de gebruiker, terwijl recent gewijzigde autorisaties worden genegeerd. Houd functiemodules in de volglijst sap - gevoelige functiemodules bij. |
Voer een functiemodule uit met behulp van RFC. Gegevensbronnen: SAPcon - Auditlogboek |
Uitvoering, laterale verplaatsing, detectie |
| SAP - Systeemconfiguratiewijziging | Identificeert wijzigingen voor systeemconfiguratie. | Pas opties voor systeemwijziging of aanpassing van softwareonderdelen aan met behulp van de SE06 transactiecode.Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, defensieontduiking, persistentie |
| SAP - Activiteiten voor foutopsporing | Identificeert alle gerelateerde activiteiten voor foutopsporing. Subgebruiksvoorbeeld: Persistentie |
Activeer foutopsporing (/h) in het systeem, debug een actief proces, voeg onderbrekingspunt toe aan broncode, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Ontdekken |
| SAP - Configuratie van beveiligingscontrolelogboek wijzigen | Identificeert wijzigingen in de configuratie van het beveiligingscontrolelogboek | Wijzig de configuratie van beveiligingscontrolelogboeken met behulp van SM19/RSAU_CONFIG, zoals de filters, status, opnamemodus, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Persistentie, exfiltratie, defensieontduiking |
| SAP - Transactie is ontgrendeld | Identificeert ontgrendeling van een transactie. | Ontgrendel een transactiecode met behulp van SM01SM01_CUS/SM01_DEV/. Gegevensbronnen: SAPcon - Auditlogboek |
Persistentie, uitvoering |
| SAP - Dynamisch ABAP-programma | Identificeert de uitvoering van dynamische ABAP-programmering. Bijvoorbeeld wanneer ABAP-code dynamisch is gemaakt, gewijzigd of verwijderd. Houd uitgesloten transactiecodes bij in de volglijst SAP - Transacties voor ABAP Generations . |
Maak een ABAP-rapport met opdrachten voor het genereren van ABAP-programma's, zoals RAPPORT INVOEGEN, en voer het rapport vervolgens uit. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, opdracht en controle, impact |
Verdachte bevoegdhedenbewerkingen
| Regelnaam | Beschrijving | Bronactie | Tactiek |
|---|---|---|---|
| SAP - Wijzigen in een gebruiker met gevoelige bevoegdheden | Identificeert wijzigingen van gevoelige bevoegde gebruikers. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . |
Wijzig gebruikersgegevens/autorisaties met behulp van SU01. Gegevensbronnen: SAPcon - Auditlogboek |
Escalatie van bevoegdheden, toegang tot referenties |
| SAP - (PREVIEW) HANA DB - Beheer-autorisaties toewijzen | Identificeert beheerdersbevoegdheden of roltoewijzing. | Wijs een gebruiker toe met een beheerdersrol of -bevoegdheden. Gegevensbronnen: Linux Agent - Syslog |
Escalatie van bevoegdheden |
| SAP - Gevoelige bevoegde gebruiker die is aangemeld | Hiermee wordt de aanmelding in dialoogvenster van een gevoelige bevoegde gebruiker geïdentificeerd. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . |
Meld u aan bij het back-endsysteem met of SAP* een andere bevoegde gebruiker. Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang, referentietoegang |
| SAP - Gevoelige bevoegde gebruiker brengt een wijziging aan in andere gebruiker | Identificeert wijzigingen van gevoelige, bevoegde gebruikers in andere gebruikers. | Gebruikersgegevens/autorisaties wijzigen met SU01. Gegevensbronnen: SAPcon - Auditlogboek |
Escalatie van bevoegdheden, toegang tot referenties |
| SAP - Wachtwoord voor gevoelige gebruikers wijzigen en aanmelden | Identificeert wachtwoordwijzigingen voor bevoegde gebruikers. | Wijzig het wachtwoord voor een bevoegde gebruiker en meld u aan bij het systeem. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . Gegevensbronnen: SAPcon - Auditlogboek |
Impact, Command and Control, Escalatie van bevoegdheden |
| SAP - Gebruiker maakt en gebruikt nieuwe gebruiker | Identificeert een gebruiker die andere gebruikers maakt en gebruikt. Subgebruiksvoorbeeld: Persistentie |
Maak een gebruiker met SU01 en meld u vervolgens aan met de zojuist gemaakte gebruiker en hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, pre-aanval, initiële toegang |
| SAP - Gebruiker ontgrendelt en gebruikt andere gebruikers | Identificeert een gebruiker die wordt ontgrendeld en gebruikt door andere gebruikers. Subgebruiksvoorbeeld: Persistentie |
Ontgrendel een gebruiker met SU01 en meld u vervolgens aan met de ontgrendelde gebruiker en hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek, SAPcon - Logboek van wijzigingsdocumenten |
Detectie, pre-aanval, initiële toegang, laterale beweging |
| SAP - Toewijzing van een gevoelig profiel | Identificeert nieuwe toewijzingen van een gevoelig profiel aan een gebruiker. Onderhoud gevoelige profielen in de volglijst sap - gevoelige profielen . |
Wijs een profiel toe aan een gebruiker met behulp van SU01. Gegevensbronnen: SAPcon - Logboek documenten wijzigen |
Escalatie van bevoegdheden |
| SAP - Toewijzing van een gevoelige rol | Identificeert nieuwe toewijzingen voor een gevoelige rol aan een gebruiker. Behoud gevoelige rollen in de volglijst sap - gevoelige rollen . |
Wijs een rol toe aan een gebruiker met behulp van SU01 / PFCG. Gegevensbronnen: SAPcon - Logboek van wijzigingsdocumenten, auditlogboek |
Escalatie van bevoegdheden |
| SAP - (PREVIEW) Toewijzing van kritieke autorisaties - Nieuwe autorisatiewaarde | Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker. Behoud kritieke autorisatieobjecten in de volglijst sap - kritieke autorisatieobjecten . |
Wijs een nieuw autorisatieobject toe of werk een bestaand object in een rol bij met behulp van PFCG. Gegevensbronnen: SAPcon - Logboek documenten wijzigen |
Escalatie van bevoegdheden |
| SAP - Toewijzing van kritieke autorisaties - Nieuwe gebruikerstoewijzing | Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker. Behoud kritieke autorisatieobjecten in de volglijst sap - kritieke autorisatieobjecten . |
Wijs een nieuwe gebruiker toe aan een rol die kritieke autorisatiewaarden bevat, met behulp van SU01/PFCG. Gegevensbronnen: SAPcon - Logboek documenten wijzigen |
Escalatie van bevoegdheden |
| SAP - Wijzigingen in gevoelige rollen | Identificeert wijzigingen in gevoelige rollen. Behoud gevoelige rollen in de volglijst sap - gevoelige rollen . |
Een rol wijzigen met behulp van PFCG. Gegevensbronnen: SAPcon - Change Documents Log, SAPcon – auditlogboek |
Impact, Escalatie van bevoegdheden, Persistentie |
Beschikbare volglijsten
De volgende tabel bevat de volglijsten die beschikbaar zijn voor de Microsoft Sentinel-oplossing voor SAP-toepassingen en de velden in elke volglijst.
Deze volglijsten bieden de configuratie voor de Microsoft Sentinel-oplossing voor SAP-toepassingen. De SAP-watchlists zijn beschikbaar in de Microsoft Sentinel GitHub-opslagplaats.
| Volglijstnaam | Beschrijving en velden |
|---|---|
| SAP - Kritieke autorisaties | Het object Kritieke autorisaties, waarbij toewijzingen moeten worden beheerd. - AuthorizationObject: een SAP-autorisatieobject, zoals S_DEVELOP, S_TCODEof Table TOBJ - AuthorizationField: een SAP-autorisatieveld, zoals OBJTYP of TCD - AuthorizationValue: een waarde van een SAP-autorisatieveld, zoals DEBUG - ActivityField : veld SAP-activiteit. In de meeste gevallen is ACTVTdeze waarde . Voor autorisatieobjecten zonder een activiteit, of met alleen een activiteitsveld , gevuld met NOT_IN_USE. - Activiteit: SAP-activiteit, op basis van het autorisatieobject, zoals: 01: Maken; 02: Wijzigen; 03: Weergeven, enzovoort. - Beschrijving: een zinvolle beschrijving van het kritieke autorisatieobject. |
| SAP - Uitgesloten netwerken | Voor intern onderhoud van uitgesloten netwerken, zoals het negeren van web-dispatchers, terminalservers, enzovoort. - Netwerk: een NETWERK-IP-adres of -bereik, zoals 111.68.128.0/17. - Beschrijving: een zinvolle netwerkbeschrijving. |
| Uitgesloten SAP-gebruikers | Systeemgebruikers die zijn aangemeld bij het systeem en moeten worden genegeerd. Bijvoorbeeld waarschuwingen voor meerdere aanmeldingen door dezelfde gebruiker. - Gebruiker: SAP-gebruiker - Beschrijving: een zinvolle gebruikersbeschrijving. |
| SAP - Netwerken | Interne en onderhoudsnetwerken voor het identificeren van onbevoegde aanmeldingen. - Netwerk: IP-adres of -bereik van het netwerk, zoals 111.68.128.0/17 - Beschrijving: een zinvolle netwerkbeschrijving. |
| SAP - bevoegde gebruikers | Bevoegde gebruikers waarvoor extra beperkingen gelden. - Gebruiker: de ABAP-gebruiker, zoals DDIC of SAP - Beschrijving: een zinvolle gebruikersbeschrijving. |
| SAP - Gevoelige ABAP-programma's | Gevoelige ABAP-programma's (rapporten), waarbij de uitvoering moet worden beheerd. - ABAPProgram: ABAP-programma of -rapport, zoals RSPFLDOC - Beschrijving: een zinvolle programmabeschrijving. |
| SAP - Module gevoelige functie | Interne en onderhoudsnetwerken voor het identificeren van onbevoegde aanmeldingen. - FunctionModule: een ABAP-functiemodule, zoals RSAU_CLEAR_AUDIT_LOG - Beschrijving: een zinvolle modulebeschrijving. |
| SAP - Gevoelige profielen | Gevoelige profielen, waar toewijzingen moeten worden beheerd. - Profiel: SAP-autorisatieprofiel, zoals SAP_ALL of SAP_NEW - Beschrijving: een zinvolle profielbeschrijving. |
| SAP - Gevoelige tabellen | Gevoelige tabellen, waar toegang moet worden beheerd. - Tabel: ABAP-woordenlijsttabel, zoals USR02 of PA008 - Beschrijving: een zinvolle tabelbeschrijving. |
| SAP - Gevoelige rollen | Gevoelige rollen, waarbij toewijzing moet worden beheerd. - Rol: SAP-autorisatierol, zoals SAP_BC_BASIS_ADMIN - Beschrijving: een zinvolle rolbeschrijving. |
| SAP - Gevoelige transacties | Gevoelige transacties waarbij de uitvoering moet worden beheerd. - TransactionCode: SAP-transactiecode, zoals RZ11 - Beschrijving: een zinvolle codebeschrijving. |
| SAP - Systemen | Beschrijft het landschap van SAP-systemen op basis van rol, gebruik en configuratie. - SystemID: de SAP-systeem-id (SYSID) - SystemRole: de SAP-systeemrol, een van de volgende waarden: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: Het SAP-systeemgebruik, een van de volgende waarden: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: een optionele dynamische parameter voor gebruik in playbooks. |
| SAPSystemParameters | Parameters om te controleren op verdachte configuratiewijzigingen. Deze volglijst is vooraf gevuld met aanbevolen waarden (volgens de best practice van SAP) en u kunt de volglijst uitbreiden met meer parameters. Als u geen waarschuwingen voor een parameter wilt ontvangen, stelt u in EnableAlerts op false.- ParameterName: de naam van de parameter. - Opmerking: de beschrijving van de standaardparameter van SAP. - EnableAlerts: hiermee wordt gedefinieerd of waarschuwingen voor deze parameter moeten worden ingeschakeld. Waarden zijn true en false.- Optie: definieert in welk geval een waarschuwing moet worden geactiveerd: als de parameterwaarde groter of gelijk is aan ( GE), kleiner of gelijk (LE) of gelijk (EQ)Als de login/fails_to_user_lock SAP-parameter bijvoorbeeld is ingesteld op LE (kleiner of gelijk) en een waarde van 5, zodra Microsoft Sentinel een wijziging in deze specifieke parameter detecteert, worden de zojuist gerapporteerde waarde en de verwachte waarde vergeleken. Als de nieuwe waarde is4, wordt Microsoft Sentinel geen waarschuwing geactiveerd. Als de nieuwe waarde is6, activeert Microsoft Sentinel een waarschuwing.- ProductionSeverity: de ernst van het incident voor productiesystemen. - ProductionValues: Toegestane waarden voor productiesystemen. - NonProdSeverity: de ernst van het incident voor niet-productiesystemen. - NonProdValues: Toegestane waarden voor niet-productiesystemen. |
| SAP - Uitgesloten gebruikers | Systeemgebruikers die zijn aangemeld en moeten worden genegeerd, bijvoorbeeld voor de waarschuwing Meerdere aanmeldingen door gebruikers. - Gebruiker: SAP-gebruiker - Beschrijving: een zinvolle gebruikersbeschrijving |
| SAP - Uitgesloten netwerken | Onderhoud interne, uitgesloten netwerken voor het negeren van web-dispatchers, terminalservers, enzovoort. - Netwerk: IP-adres of -bereik van het netwerk, zoals 111.68.128.0/17 - Beschrijving: een zinvolle netwerkbeschrijving |
| SAP - Verouderde functiemodules | Verouderde functiemodules, waarvan de uitvoering moet worden beheerd. - FunctionModule: ABAP-functiemodule, zoals TH_SAPREL - Beschrijving: Beschrijving van een zinvolle functiemodule |
| SAP - Verouderde programma's | Verouderde ABAP-programma's (rapporten), waarvan de uitvoering moet worden beheerd. - ABAPProgram:ABAP Programma, zoals TH_ RSPFLDOC - Beschrijving: Een zinvolle beschrijving van het ABAP-programma |
| SAP - Transacties voor ABAP-generaties | Transacties voor ABAP-generaties waarvan de uitvoering moet worden beheerd. - TransactionCode: Transactiecode, zoals SE11. - Beschrijving: een zinvolle beschrijving van transactiecode |
| SAP - FTP-servers | FTP-servers voor het identificeren van niet-geautoriseerde verbindingen. - Client: bijvoorbeeld 100. - FTP_Server_Name: FTP-servernaam, zoals http://contoso.com/ - FTP_Server_Port:FTP-serverpoort, zoals 22. - BeschrijvingEen zinvolle FTP-serverbeschrijving |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configureer de sap-auditlogboekwaarschuwingen door elke bericht-id een ernstniveau toe te wijzen zoals vereist door u, per systeemrol (productie, niet-productie). Deze volglijst bevat alle beschikbare sap-standaard auditlogboekbericht-id's. De volglijst kan worden uitgebreid met extra bericht-id's die u zelf kunt maken met ABAP-verbeteringen op hun SAP NetWeaver-systemen. Met deze volglijst kunt u ook een aangewezen team configureren om elk van de gebeurtenistypen af te handelen en gebruikers uit te sluiten op SAP-rollen, SAP-profielen of tags uit de SAP_User_Config volglijst. Deze volglijst is een van de belangrijkste onderdelen die worden gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. Zie Het SAP-auditlogboek bewaken voor meer informatie. - MessageID: de SAP-bericht-id of het gebeurtenistype, zoals AUD (wijzigingen in de hoofdrecord van de gebruiker) of AUB (autorisatiewijzigingen). - DetailedDescription: een markdown-beschrijving die moet worden weergegeven in het incidentvenster. - ProductionSeverity: de gewenste ernst voor het incident dat moet worden gemaakt met voor productiesystemen High, Medium. Kan worden ingesteld als Disabled. - NonProdSeverity: de gewenste ernst voor het incident dat moet worden gemaakt met voor niet-productiesystemen High, Medium. Kan worden ingesteld als Disabled. - ProductionThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor productiesystemen 60. - NonProdThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor niet-productiesystemen 10. - RolesTagsToExclude: In dit veld worden de SAP-rolnaam, sap-profielnamen of -tags uit de volglijst SAP_User_Config geaccepteerd. Deze worden vervolgens gebruikt om de gekoppelde gebruikers uit te sluiten van specifieke gebeurtenistypen. Zie opties voor roltags aan het einde van deze lijst. - RuleType: gebruik Deterministic dit voor het gebeurtenistype dat moet worden verzonden naar de regel SAP - Dynamic Deterministic Audit Log Monitor of AnomaliesOnly om deze gebeurtenis te laten gedekt door de regel SAP - Dynamic Anomaly-gebaseerde controlelogboekmonitorwaarschuwingen (PREVIEW). Zie Het SAP-auditlogboek bewaken voor meer informatie. - TeamsChannelID: een optionele dynamische parameter voor gebruik in playbooks. - DestinationEmail: een optionele dynamische parameter voor gebruik in playbooks. Voor het veld RolesTagsToExclude : - Als u SAP-rollen of SAP-profielen opgeeft, sluit dit elke gebruiker met de vermelde rollen of profielen uit van deze gebeurtenistypen voor hetzelfde SAP-systeem. Als u bijvoorbeeld de BASIC_BO_USERS ABAP-rol definieert voor de RFC-gerelateerde gebeurtenistypen, activeren gebruikers van Bedrijfsobjecten geen incidenten bij het maken van enorme RFC-aanroepen.- Het taggen van een gebeurtenistype is vergelijkbaar met het opgeven van SAP-rollen of -profielen, maar tags kunnen worden gemaakt in de werkruimte, zodat SOC-teams gebruikers kunnen uitsluiten op basis van activiteit zonder afhankelijk te zijn van het SAP BASIS-team. Aan de auditbericht-id's AUB (autorisatiewijzigingen) en AUD (wijzigingen in de hoofdrecord van de gebruiker) wordt bijvoorbeeld de MassiveAuthChanges tag toegewezen. Gebruikers waaraan deze tag is toegewezen, worden uitgesloten van de controles voor deze activiteiten. Als u de werkruimtefunctie SAPAuditLogConfigRecommend uitvoert, wordt een lijst met aanbevolen tags gegenereerd die moeten worden toegewezen aan gebruikers, zoals Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Hiermee kunt u waarschuwingen verfijnen door gebruikers in specifieke contexten uit te sluiten en wordt ook gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. Zie Het SAP-auditlogboek bewaken voor meer informatie. - SAPUser: de SAP-gebruiker - Tags: tags worden gebruikt om gebruikers te identificeren op basis van bepaalde activiteiten. Als u bijvoorbeeld de tags ["GenericTablebyRFCOK"] toevoegt aan gebruikers SENTINEL_SRV, voorkomt u dat rfc-gerelateerde incidenten worden gemaakt voor deze specifieke gebruiker Andere Active Directory-gebruikers-id's - AD-gebruikers-id - On-premises sid van gebruiker - User Principal Name |
| Volglijstnaam | Beschrijving en velden |
|---|---|
| SAP - Kritieke autorisaties | Het object Kritieke autorisaties, waarbij toewijzingen moeten worden beheerd. - AuthorizationObject: een SAP-autorisatieobject, zoals S_DEVELOP, S_TCODEof Table TOBJ - AuthorizationField: een SAP-autorisatieveld, zoals OBJTYP of TCD - AuthorizationValue: een waarde van een SAP-autorisatieveld, zoals DEBUG - ActivityField : veld SAP-activiteit. In de meeste gevallen is ACTVTdeze waarde . Voor autorisatieobjecten zonder een activiteit, of met alleen een activiteitsveld , gevuld met NOT_IN_USE. - Activiteit: SAP-activiteit, op basis van het autorisatieobject, zoals: 01: Maken; 02: Wijzigen; 03: Weergeven, enzovoort. - Beschrijving: een zinvolle beschrijving van het kritieke autorisatieobject. |
| SAP - Uitgesloten netwerken | Voor intern onderhoud van uitgesloten netwerken, zoals het negeren van web-dispatchers, terminalservers, enzovoort. - Netwerk: een NETWERK-IP-adres of -bereik, zoals 111.68.128.0/17. - Beschrijving: een zinvolle netwerkbeschrijving. |
| Uitgesloten SAP-gebruikers | Systeemgebruikers die zijn aangemeld bij het systeem en moeten worden genegeerd. Bijvoorbeeld waarschuwingen voor meerdere aanmeldingen door dezelfde gebruiker. - Gebruiker: SAP-gebruiker - Beschrijving: een zinvolle gebruikersbeschrijving. |
| SAP - Netwerken | Interne en onderhoudsnetwerken voor het identificeren van onbevoegde aanmeldingen. - Netwerk: IP-adres of -bereik van het netwerk, zoals 111.68.128.0/17 - Beschrijving: een zinvolle netwerkbeschrijving. |
| SAP - bevoegde gebruikers | Bevoegde gebruikers waarvoor extra beperkingen gelden. - Gebruiker: de ABAP-gebruiker, zoals DDIC of SAP - Beschrijving: een zinvolle gebruikersbeschrijving. |
| SAP - Gevoelige ABAP-programma's | Gevoelige ABAP-programma's (rapporten), waarbij de uitvoering moet worden beheerd. - ABAPProgram: ABAP-programma of -rapport, zoals RSPFLDOC - Beschrijving: een zinvolle programmabeschrijving. |
| SAP - Module gevoelige functie | Interne en onderhoudsnetwerken voor het identificeren van onbevoegde aanmeldingen. - FunctionModule: een ABAP-functiemodule, zoals RSAU_CLEAR_AUDIT_LOG - Beschrijving: een zinvolle modulebeschrijving. |
| SAP - Gevoelige profielen | Gevoelige profielen, waar toewijzingen moeten worden beheerd. - Profiel: SAP-autorisatieprofiel, zoals SAP_ALL of SAP_NEW - Beschrijving: een zinvolle profielbeschrijving. |
| SAP - Gevoelige tabellen | Gevoelige tabellen, waar toegang moet worden beheerd. - Tabel: ABAP-woordenlijsttabel, zoals USR02 of PA008 - Beschrijving: een zinvolle tabelbeschrijving. |
| SAP - Gevoelige rollen | Gevoelige rollen, waarbij toewijzing moet worden beheerd. - Rol: SAP-autorisatierol, zoals SAP_BC_BASIS_ADMIN - Beschrijving: een zinvolle rolbeschrijving. |
| SAP - Gevoelige transacties | Gevoelige transacties waarbij de uitvoering moet worden beheerd. - TransactionCode: SAP-transactiecode, zoals RZ11 - Beschrijving: een zinvolle codebeschrijving. |
| SAP - Systemen | Beschrijft het landschap van SAP-systemen op basis van rol, gebruik en configuratie. - SystemID: de SAP-systeem-id (SYSID) - SystemRole: de SAP-systeemrol, een van de volgende waarden: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: Het SAP-systeemgebruik, een van de volgende waarden: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: een optionele dynamische parameter voor gebruik in playbooks. |
| SAP - Uitgesloten gebruikers | Systeemgebruikers die zijn aangemeld en moeten worden genegeerd, bijvoorbeeld voor de waarschuwing Meerdere aanmeldingen door gebruikers. - Gebruiker: SAP-gebruiker - Beschrijving: een zinvolle gebruikersbeschrijving |
| SAP - Uitgesloten netwerken | Onderhoud interne, uitgesloten netwerken voor het negeren van web-dispatchers, terminalservers, enzovoort. - Netwerk: IP-adres of -bereik van het netwerk, zoals 111.68.128.0/17 - Beschrijving: een zinvolle netwerkbeschrijving |
| SAP - Verouderde functiemodules | Verouderde functiemodules, waarvan de uitvoering moet worden beheerd. - FunctionModule: ABAP-functiemodule, zoals TH_SAPREL - Beschrijving: Beschrijving van een zinvolle functiemodule |
| SAP - Verouderde programma's | Verouderde ABAP-programma's (rapporten), waarvan de uitvoering moet worden beheerd. - ABAPProgram:ABAP Programma, zoals TH_ RSPFLDOC - Beschrijving: Een zinvolle beschrijving van het ABAP-programma |
| SAP - Transacties voor ABAP-generaties | Transacties voor ABAP-generaties waarvan de uitvoering moet worden beheerd. - TransactionCode: Transactiecode, zoals SE11. - Beschrijving: een zinvolle beschrijving van transactiecode |
| SAP - FTP-servers | FTP-servers voor het identificeren van niet-geautoriseerde verbindingen. - Client: bijvoorbeeld 100. - FTP_Server_Name: FTP-servernaam, zoals http://contoso.com/ - FTP_Server_Port:FTP-serverpoort, zoals 22. - BeschrijvingEen zinvolle FTP-serverbeschrijving |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configureer de sap-auditlogboekwaarschuwingen door elke bericht-id een ernstniveau toe te wijzen zoals vereist door u, per systeemrol (productie, niet-productie). Deze volglijst bevat alle beschikbare sap-standaard auditlogboekbericht-id's. De volglijst kan worden uitgebreid met extra bericht-id's die u zelf kunt maken met ABAP-verbeteringen op hun SAP NetWeaver-systemen. Met deze volglijst kunt u ook een aangewezen team configureren om elk van de gebeurtenistypen af te handelen en gebruikers uit te sluiten op SAP-rollen, SAP-profielen of tags uit de SAP_User_Config volglijst. Deze volglijst is een van de belangrijkste onderdelen die worden gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. Zie Het SAP-auditlogboek bewaken voor meer informatie. - MessageID: de SAP-bericht-id of het gebeurtenistype, zoals AUD (wijzigingen in de hoofdrecord van de gebruiker) of AUB (autorisatiewijzigingen). - DetailedDescription: een markdown-beschrijving die moet worden weergegeven in het incidentvenster. - ProductionSeverity: de gewenste ernst voor het incident dat moet worden gemaakt met voor productiesystemen High, Medium. Kan worden ingesteld als Disabled. - NonProdSeverity: de gewenste ernst voor het incident dat moet worden gemaakt met voor niet-productiesystemen High, Medium. Kan worden ingesteld als Disabled. - ProductionThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor productiesystemen 60. - NonProdThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor niet-productiesystemen 10. - RolesTagsToExclude: In dit veld worden de SAP-rolnaam, sap-profielnamen of -tags uit de volglijst SAP_User_Config geaccepteerd. Deze worden vervolgens gebruikt om de gekoppelde gebruikers uit te sluiten van specifieke gebeurtenistypen. Zie opties voor roltags aan het einde van deze lijst. - RuleType: gebruik Deterministic dit voor het gebeurtenistype dat moet worden verzonden naar de regel SAP - Dynamic Deterministic Audit Log Monitor of AnomaliesOnly om deze gebeurtenis te laten gedekt door de regel SAP - Dynamic Anomaly-gebaseerde controlelogboekmonitorwaarschuwingen (PREVIEW). Zie Het SAP-auditlogboek bewaken voor meer informatie. - TeamsChannelID: een optionele dynamische parameter voor gebruik in playbooks. - DestinationEmail: een optionele dynamische parameter voor gebruik in playbooks. Voor het veld RolesTagsToExclude : - Als u SAP-rollen of SAP-profielen opgeeft, sluit dit elke gebruiker met de vermelde rollen of profielen uit van deze gebeurtenistypen voor hetzelfde SAP-systeem. Als u bijvoorbeeld de BASIC_BO_USERS ABAP-rol definieert voor de RFC-gerelateerde gebeurtenistypen, activeren gebruikers van Bedrijfsobjecten geen incidenten bij het maken van enorme RFC-aanroepen.- Het taggen van een gebeurtenistype is vergelijkbaar met het opgeven van SAP-rollen of -profielen, maar tags kunnen worden gemaakt in de werkruimte, zodat SOC-teams gebruikers kunnen uitsluiten op basis van activiteit zonder afhankelijk te zijn van het SAP BASIS-team. Aan de auditbericht-id's AUB (autorisatiewijzigingen) en AUD (wijzigingen in de hoofdrecord van de gebruiker) wordt bijvoorbeeld de MassiveAuthChanges tag toegewezen. Gebruikers waaraan deze tag is toegewezen, worden uitgesloten van de controles voor deze activiteiten. Als u de werkruimtefunctie SAPAuditLogConfigRecommend uitvoert, wordt een lijst met aanbevolen tags gegenereerd die moeten worden toegewezen aan gebruikers, zoals Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Hiermee kunt u waarschuwingen verfijnen door gebruikers in specifieke contexten uit te sluiten en wordt ook gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. Zie Het SAP-auditlogboek bewaken voor meer informatie. - SAPUser: de SAP-gebruiker - Tags: tags worden gebruikt om gebruikers te identificeren op basis van bepaalde activiteiten. Als u bijvoorbeeld de tags ["GenericTablebyRFCOK"] toevoegt aan gebruikers SENTINEL_SRV, voorkomt u dat rfc-gerelateerde incidenten worden gemaakt voor deze specifieke gebruiker Andere Active Directory-gebruikers-id's - AD-gebruikers-id - On-premises sid van gebruiker - User Principal Name |
Beschikbare playbooks
Playbooks van Microsoft Sentinel oplossing voor SAP-toepassingen helpen u bij het automatiseren van sap-incidentresponsworkloads, waardoor de efficiëntie en effectiviteit van beveiligingsbewerkingen worden verbeterd.
In deze sectie worden ingebouwde analyse-playbooks beschreven die samen met de Microsoft Sentinel-oplossing voor SAP-toepassingen worden geleverd.
| Playbook-naam | Parameters | Verbindingen |
|---|---|---|
| SAP Incident Response - Gebruiker vergrendelen van Teams - Basic | - SAP-SOAP-User-Password - SAP-SOAP-gebruikersnaam - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel Microsoft Teams |
| SAP-incidentrespons - Gebruiker vergrendelen vanuit Teams - Geavanceerd | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminemail - TeamsChannel |
- Microsoft Sentinel - logboeken Azure bewaken - Outlook Office 365 - Microsoft Entra ID - Azure Key Vault Microsoft Teams |
| SAP-incidentrespons : controlelogboekregistratie opnieuw inschakelen nadat deze is gedeactiveerd | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminemail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - logboeken Azure bewaken Microsoft Teams |
In de volgende secties worden voorbeeldscenario's beschreven voor elk van de opgegeven playbooks, in een scenario waarin een incident u waarschuwde voor verdachte activiteiten in een van de SAP-systemen, waarbij een gebruiker een van deze zeer gevoelige transacties probeert uit te voeren.
Tijdens de incident triagefase besluit u actie te ondernemen tegen deze gebruiker, waarbij u deze uit uw SAP ERP- of BTP-systemen of zelfs uit Microsoft Entra ID schopt.
Zie Reactie op bedreigingen automatiseren met playbooks in Microsoft Sentinel voor meer informatie
Het proces voor het implementeren van logische standaard-apps is over het algemeen complexer dan voor logische verbruiksapps. We hebben een reeks snelkoppelingen gemaakt om u te helpen ze snel te implementeren vanuit de Microsoft Sentinel GitHub-opslagplaats. Zie Stapsgewijze installatiehandleiding voor meer informatie.
Tip
Bekijk de map SAP-playbooks in de GitHub-opslagplaats voor meer playbooks zodra deze beschikbaar zijn. Er is ook een korte inleidende video (externe koppeling) om u op weg te helpen.
Een gebruiker vergrendelen van één systeem
Bouw een automatiseringsregel om de gebruiker vergrendelen vanuit Teams - Basic-playbook aan te roepen wanneer een gevoelige transactie-uitvoering door een onbevoegde gebruiker wordt gedetecteerd. Dit playbook maakt gebruik van de functie adaptieve kaarten van Teams om goedkeuring aan te vragen voordat de gebruiker eenzijdig wordt geblokkeerd.
Zie Van nul tot hero-beveiligingsdekking met Microsoft Sentinel voor uw kritieke SAP-beveiligingssignalen - U hoort me SOAR voor meer informatie. Deel 1 (SAP-blogbericht).
De gebruiker Vergrendelen van Teams - Basic-playbook is een Standard-playbook en standard-playbooks zijn over het algemeen complexer te implementeren dan playbooks voor verbruik.
We hebben een reeks snelkoppelingen gemaakt om u te helpen ze snel te implementeren vanuit de Microsoft Sentinel GitHub-opslagplaats. Zie Stapsgewijze installatiehandleiding en Ondersteunde typen logische apps voor meer informatie.
Een gebruiker van meerdere systemen vergrendelen
De gebruiker vergrendelen van Teams - Geavanceerd playbook bereikt hetzelfde doel, maar is ontworpen voor complexere scenario's, waardoor één playbook kan worden gebruikt voor meerdere SAP-systemen, elk met een eigen SAP SID.
De gebruiker vergrendelen van Teams - Geavanceerd playbook beheert naadloos de verbindingen met al deze systemen en hun referenties, met behulp van de optionele dynamische parameter InterfaceAttributes in de volglijst van SAP - Systemen en Azure Key Vault.
Met het playbook Gebruiker vergrendelen van Teams - Geavanceerd kunt u ook communiceren met de partijen in het goedkeuringsproces met behulp van outlook-berichten die kunnen worden uitgevoerd in combinatie met Teams, met behulp van de parameters TeamsChannelID en DestinationEmail in de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst.
Zie Van nul tot hero-beveiligingsdekking met Microsoft Sentinel voor uw essentiële SAP-beveiligingssignalen – deel 2 (SAP-blogbericht) voor meer informatie.
Deactivering van auditlogboekregistratie voorkomen
U kunt zich ook zorgen maken over het feit dat het SAP-auditlogboek, dat een van uw beveiligingsgegevensbronnen is, wordt gedeactiveerd. U wordt aangeraden een automatiseringsregel te maken op basis van de sap- deactivering van de analyseregel beveiligingscontrolelogboek om het playbook Opnieuw inschakelen van auditlogboeken aan te roepen nadat het playbook is gedeactiveerd om ervoor te zorgen dat het SAP-auditlogboek niet is gedeactiveerd.
Het playbook SAP - Deactivation of Security Audit Log maakt ook gebruik van Teams, waardoor beveiligingspersoneel achteraf wordt geïnformeerd. De ernst van de overtreding en de urgentie van de beperking ervan geven aan dat onmiddellijk actie kan worden ondernomen zonder dat goedkeuring vereist is.
Omdat het playbook SAP - Deactivation of Security Audit Log ook gebruikmaakt van Azure Key Vault om referenties te beheren, is de configuratie van het playbook vergelijkbaar met die van de gebruiker Vergrendelen van Teams - Advanced playbook. Zie Van nul tot hero-beveiligingsdekking met Microsoft Sentinel voor uw essentiële SAP-beveiligingssignalen – deel 3 (SAP-blogbericht) voor meer informatie.
Verwante onderwerpen
Zie Implementatie van Microsoft Sentinel oplossing voor SAP-toepassingen voor meer informatie.