Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo detalha o conteúdo de segurança disponível para a Solução Microsoft Sentinel para SAP BTP.
O conteúdo de segurança disponível inclui atualmente um livro incorporado e regras de análise. Também pode adicionar listas de observação relacionadas com SAP para utilizar nos manuais de procedimentos de pesquisa, deteção, investigação de ameaças e resposta.
Livro DO SAP BTP
O Livro de Atividade BTP fornece uma descrição geral dashboard da atividade BTP.
O separador Descrição Geral mostra:
- Uma descrição geral das subcontas btp, ajudando os analistas a identificar as contas mais ativas e o tipo de dados ingeridos.
- Atividade de início de sessão de subconta, ajudando os analistas a identificar picos e tendências que podem estar associados a falhas de início de sessão no SAP Business Application Studio (BAS).
- Linha cronológica da atividade BTP e número de alertas de segurança BTP, ajudando os analistas a procurar qualquer correlação entre os dois.
O separador Gestão de Identidades mostra uma grelha de eventos de gestão de identidades, como alterações de função de utilizador e segurança, num formato legível por humanos. A barra de pesquisa permite-lhe encontrar rapidamente alterações específicas.
Para obter mais informações, veja Tutorial: Visualizar e monitorizar os seus dados e Implementar a Solução Microsoft Sentinel para SAP BTP.
Regras de análise incorporadas
Estas regras de análise detetam atividades suspeitas com registos de auditoria do SAP BTP. As regras são organizadas por serviço SAP ou área de produto. Para obter mais informações, veja a documentação oficial do SAP sobre Eventos de Segurança Registados pelos Serviços Cloud Foundry no SAP BTP.
Origens de dados: SAPBTPAuditLog_CL
SAP Cloud Integration - Integration Suite
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| BTP – Adulteração da política de acesso à Integração na Cloud | Deteta modificações não autorizadas de políticas de acesso que podem permitir que os atacantes obtenham acesso a artefactos de integração confidenciais ou escapem aos controlos de segurança. | Criar, alterar ou eliminar políticas de acesso ou referências de artefactos na Integração do SAP Cloud. | Evasão à Defesa, Escalamento de Privilégios |
| BTP – Implementação de artefactos da Integração na Cloud | Deteta a implementação de fluxos de integração potencialmente maliciosos que podem ser utilizados para a transferência de dados, persistência ou execução de código não autorizado no ambiente de integração. | Implementar ou anular a implementação de artefactos de integração no SAP Cloud Integration. | Execução, Persistência |
| BTP – Alterações à origem de dados JDBC de Integração na Cloud | Deteta a manipulação de conexões de banco de dados que podem permitir o acesso não autorizado a sistemas de back-end ou roubo de credenciais a partir de cadeias de ligação armazenadas. | Implementar ou anular a implementação de origens de dados JDBC no SAP Cloud Integration. | Acesso a Credenciais, Movimento Lateral |
| BTP – Importação ou transporte do pacote de Integração na Cloud | Deteta importações de pacotes potencialmente maliciosas que podem introduzir backdoors, comprometimentos da cadeia de fornecimento ou código não autorizado no ambiente de integração. | Importar ou transportar pacotes/artefactos de integração no SAP Cloud Integration. | Acesso Inicial, Persistência |
| BTP – Adulteração da Integração na Cloud com material de segurança | Deteta o acesso não autorizado a credenciais, certificados e chaves de encriptação que podem permitir aos atacantes comprometer sistemas externos ou intercetar comunicações encriptadas. | Crie, atualize ou elimine credenciais, certificados X.509 ou chaves PGP no SAP Cloud Integration. | Acesso a Credenciais, Evasão à Defesa |
SAP Cloud Identity Service – Autenticação de Identidade
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| BTP – Monitor de configuração de aplicações do Cloud Identity Service | Deteta a criação ou modificação de aplicações federadas (SAML/OIDC) que podem permitir que os atacantes estabeleçam acesso persistente à backdoor através de configurações de SSO não autorizadas. | Crie, atualize ou elimine configurações de domínios/fornecedores de serviços SSO no SAP Cloud Identity Service. | Acesso a Credenciais, Escalamento de Privilégios |
| BTP – Eliminação de utilizadores em massa no Serviço de Identidade na Cloud | Deteta a eliminação de conta de utilizador em grande escala que pode indicar um ataque destrutivo, tentativa de encobrimento de atividade não autorizada ou negação de serviço contra utilizadores legítimos. Limiar predefinido: 10 |
Elimine a contagem de contas de utilizador acima do limiar definido no SAP Cloud Identity Service. | Impacto |
| BTP – Utilizador adicionado à lista de Administradores com privilégios | Deteta o escalamento de privilégios através da atribuição de permissões de gestão de identidades avançadas que podem permitir que os atacantes criem contas backdoor ou modifiquem controlos de autenticação. | Conceda permissões de administrador com privilégios a um utilizador no SAP Cloud Identity Service. | Movimento Lateral, Escalamento de Privilégios |
SAP Business Application Studio (BAS)
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| BTP – Tentativas de acesso falhadas em várias subcontas bas | Deteta ataques de spray de credenciais ou atividade de reconhecimento destinados a ambientes de desenvolvimento em várias subcontas, o que indica uma preparação potencial para um compromisso mais amplo. Limiar predefinido: 3 |
Executar tentativas de início de sessão falhadas para BAS através do número de limiar definido de subcontas. | Deteção, Reconhecimento |
| BTP – Software maligno detetado no espaço de programador BAS | Deteta código malicioso em áreas de trabalho de desenvolvimento que podem ser utilizadas para comprometer a cadeia de fornecimento de software, injetar backdoors em aplicações ou estabelecer persistência no ambiente de desenvolvimento. | Copie ou crie um ficheiro de software maligno num espaço de programador BAS. | Execução, Persistência, Desenvolvimento de Recursos |
SAP Build Work Zone
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| BTP – Criar acesso não autorizado à Zona de Trabalho e adulteração de funções | Deteta tentativas de acesso a recursos de portal restritos ou eliminação em massa de controlos de acesso que podem indicar que um atacante está a remover limites de segurança ou a cobrir faixas após atividades não autorizadas. | Detetar o acesso não autorizado ao serviço OData ou a eliminação em massa de funções/utilizadores na Zona de Trabalho de Criação do SAP. | Acesso Inicial, Persistência, Evasão à Defesa |
Plataforma e subcontas SAP BTP
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| BTP – Serviço de registo de auditoria indisponível | Deteta uma potencial adulteração do registo de auditoria que pode indicar que um atacante está a tentar operar sem deteção ao desativar a monitorização de segurança ou ao ocultar atividades maliciosas. | A subconta não comunica registos de auditoria que excedam o limiar configurado (predefinição: 60 minutos). | Evasão de defesa |
| BTP – Eliminação de utilizadores em massa numa subconta | Deteta a eliminação de utilizadores em grande escala que pode indicar um ataque destrutivo, uma tentativa de sabotagem ou um esforço para interromper as operações empresariais ao remover o acesso do utilizador. Limiar predefinido: 10 |
Elimine a contagem de contas de utilizador acima do limiar definido. | Impacto |
| BTP – Monitorização do Fornecedor de Identidade de Fidedignidade e autorização | Deteta modificações nas definições de federação e autenticação que podem permitir aos atacantes estabelecer caminhos de autenticação alternativos, ignorar controlos de segurança ou obter acesso não autorizado através da manipulação do fornecedor de identidade. | Altere, leia, atualize ou elimine qualquer uma das definições do fornecedor de identidade numa subconta. | Acesso a Credenciais, Escalamento de Privilégios |
| BTP – Utilizador adicionado à coleção de funções com privilégios confidenciais | Deteta tentativas de escalamento de privilégios através da atribuição de funções administrativas poderosas que podem permitir o controlo total sobre subcontas, conectividade e configurações de segurança. | Atribua uma das seguintes coleções de funções a um utilizador: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Movimento Lateral, Escalamento de Privilégios |
Próximas etapas
Neste artigo, ficou a conhecer os conteúdos de segurança fornecidos com a Solução Microsoft Sentinel para SAP BTP.