Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver säkerhetsinnehållet som är tillgängligt för de Microsoft Sentinel lösningarna för SAP.
Viktigt
Kända element som beskrivs i den här artikeln finns i förhandsversion. De kompletterande villkoren för Azure förhandsversion innehåller ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tillgängligt säkerhetsinnehåll innehåller inbyggda arbetsböcker och analysregler. Du kan också lägga till SAP-relaterade visningslistor som du kan använda i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.
Innehållet i den här artikeln är avsett för ditt säkerhetsteam .
Inbyggda arbetsböcker
Använd följande inbyggda arbetsböcker för att visualisera och övervaka data som matas in via SAP-dataanslutningen. När du har distribuerat SAP-lösningen hittar du SAP-arbetsböcker på fliken Mallar .
| Arbetsboksnamn | Beskrivning | Loggar |
|---|---|---|
| SAP – Granskningsloggwebbläsare | Visar data som: – Allmän systemhälsa, inklusive användarinloggningar över tid, händelser som matas in av systemet, meddelandeklasser och ID:t och ABAP-program körs -Allvarlighetsgrad för händelser som inträffar i systemet – Autentiserings- och auktoriseringshändelser som inträffar i systemet |
Använder data från följande logg: ABAPAuditLog |
| SAP-granskningskontroller | Hjälper dig att kontrollera sap-miljöns säkerhetskontroller för kompatibilitet med det valda kontrollramverket med hjälp av verktyg som du kan använda för att göra följande: – Tilldela analysregler i din miljö till specifika säkerhetskontroller och kontrollfamiljer – Övervaka och kategorisera de incidenter som genereras av SAP-lösningsbaserade analysregler – Rapportera om din efterlevnad |
Använder data från följande tabeller: - SecurityAlert- SecurityIncident |
Mer information finns i Självstudie: Visualisera och övervaka dina data och Distribuera Microsoft Sentinel lösning för SAP-program.
Inbyggda analysregler
I det här avsnittet beskrivs ett urval av inbyggda analysregler som tillhandahålls tillsammans med Microsoft Sentinel lösning för SAP-program. Den agentlösa dataanslutningen fungerar med en konsoliderad uppsättning källor. De senaste uppdateringarna finns i Microsoft Sentinel innehållshubben för nya och uppdaterade regler.
Övervaka konfigurationen av statiska SAP-säkerhetsparametrar (förhandsversion)
För att skydda SAP-systemet har SAP identifierat säkerhetsrelaterade parametrar som måste övervakas för ändringar. Med regeln "SAP – (förhandsversion) känslig statisk parameter har ändrats" spårar den Microsoft Sentinel lösningen för SAP-program över 52 statiska säkerhetsrelaterade parametrar i SAP-systemet, som är inbyggda i Microsoft Sentinel.
Obs!
För Microsoft Sentinel lösning för ATT SAP-program ska kunna övervaka SAP-säkerhetsparametrarna måste lösningen övervaka SAP PAHI-tabellen regelbundet. Mer information finns i Kontrollera att PAHI-tabellen uppdateras med jämna mellanrum.
För att förstå parameterändringar i systemet använder den Microsoft Sentinel lösningen för SAP-program parameterhistoriktabellen, som registrerar ändringar som görs i systemparametrar varje timme.
Parametrarna återspeglas också i bevakningslistan för SAPSystemParameters. Med den här visningslistan kan användare lägga till nya parametrar, inaktivera befintliga parametrar och ändra värden och allvarlighetsgrad per parameter och systemroll i produktions- eller icke-produktionsmiljöer.
När en ändring görs i någon av dessa parametrar kontrollerar Microsoft Sentinel om ändringen är säkerhetsrelaterad och om värdet anges enligt de rekommenderade värdena. Om ändringen misstänks vara utanför den säkra zonen skapar Microsoft Sentinel en incident som beskriver ändringen och identifierar vem som gjorde ändringen.
Granska listan över parametrar som den här regeln övervakar.
Övervaka SAP-granskningsloggen
Många av analysreglerna i Microsoft Sentinel lösning för SAP-program använder SAP-granskningsloggdata. Vissa analysregler letar efter specifika händelser i loggen, medan andra korrelerar indikationer från flera loggar för att skapa aviseringar och incidenter med hög återgivning.
Använd följande analysregler för att antingen övervaka alla granskningslogghändelser i DITT SAP-system eller utlösa aviseringar endast när avvikelser identifieras:
| Regelnamn | Beskrivning |
|---|---|
| SAP – Konfiguration saknas i övervakaren för granskningsloggar för dynamisk säkerhet | Körs som standard dagligen för att ge konfigurationsrekommendationer för SAP-granskningsloggmodulen. Använd regelmallen för att skapa och anpassa en regel för din arbetsyta. |
| SAP – Dynamisk deterministisk granskningsloggövervakare (FÖRHANDSVERSION) | Som standard körs var 10:e minut och fokuserar på SAP-granskningslogghändelserna som markerats som deterministiska. Använd regelmallen för att skapa och anpassa en regel för din arbetsyta, till exempel för en lägre falsk positiv frekvens. Den här regeln kräver deterministiska tröskelvärden för aviseringar och regler för användarundantag. |
| SAP – Dynamiska avvikelsebaserade aviseringar för övervakning av granskningsloggar (FÖRHANDSVERSION) | Som standard körs varje timme och fokuserar på SAP-händelser som markerats som AnomalierOnly, aviseringar om SAP-granskningslogghändelser när avvikelser identifieras. Den här regeln tillämpar extra maskininlärningsalgoritmer för att filtrera bort bakgrundsbrus på ett oövervakat sätt. |
Som standard skickas de flesta händelsetyper eller SAP-meddelande-ID:t i SAP-granskningsloggen till analysregeln för avvikelsebaserade analysregler för dynamisk avvikelsebaserad granskningsloggövervakare (FÖRHANDSVERSION), medan den enklare att definiera händelsetyper skickas till analysregeln deterministisk dynamisk deterministisk granskningsloggövervakare (FÖRHANDSVERSION). Den här inställningen, tillsammans med andra relaterade inställningar, kan konfigureras ytterligare så att den passar alla systemvillkor.
Övervakningsreglerna för SAP-granskningsloggar levereras som en del av Microsoft Sentinel för SAP-lösningssäkerhetsinnehåll och möjliggör ytterligare finjustering med hjälp av SAP_Dynamic_Audit_Log_Monitor_Configuration- och SAP_User_Config visningslistor.
I följande tabell visas till exempel flera exempel på hur du kan använda SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista för att konfigurera de typer av händelser som genererar incidenter, vilket minskar antalet incidenter som genereras.
| Alternativ | Beskrivning |
|---|---|
| Ange allvarlighetsgrad och inaktivera oönskade händelser | Som standard skapar både deterministiska regler och regler som baseras på avvikelser aviseringar för händelser som har markerats med medelhög och hög allvarlighetsgrad. Du kanske vill konfigurera allvarlighetsgrad separat i produktions- och icke-produktionsmiljöer. Du kan till exempel ange en felsökningsaktivitetshändelse som hög allvarlighetsgrad i produktionssystem och inaktivera samma händelser helt i icke-produktionssystem. |
| Exkludera användare efter deras SAP-roller eller SAP-profiler | Microsoft Sentinel för SAP matar in SAP-användarens auktoriseringsprofil, inklusive direkta och indirekta rolltilldelningar, grupper och profiler, så att du kan tala SAP-språket i din SIEM. Du kanske vill konfigurera en SAP-händelse för att exkludera användare baserat på deras SAP-roller och -profiler. I visningslistan lägger du till de roller eller profiler som grupperar dina RFC-gränssnittsanvändare i kolumnen RolesTagsToExclude bredvid händelsen Allmän tabellåtkomst via RFC . Den här konfigurationen utlöser endast aviseringar för användare som saknar dessa roller. |
| Exkludera användare efter deras SOC-taggar | Använd taggar för att skapa din egen gruppering, utan att förlita dig på komplicerade SAP-definitioner eller ens utan SAP-auktorisering. Den här metoden är användbar för SOC-team som vill skapa en egen gruppering för SAP-användare. Om du till exempel inte vill att specifika tjänstkonton ska aviseras för allmän tabellåtkomst av RFC-händelser , men inte kan hitta en SAP-roll eller en SAP-profil som grupperar dessa användare, använder du taggar på följande sätt: 1. Lägg till Taggen GenTableRFCReadOK bredvid relevant händelse i visningslistan. 2. Gå till SAP_User_Config visningslista och tilldela gränssnittsanvändare samma tagg. |
| Ange ett frekvenströskelvärde per händelsetyp och systemroll | Fungerar som en hastighetsbegränsning. Du kan till exempel konfigurera händelser för ändring av användarbakgrundsposter så att de bara utlöser aviseringar om fler än 12 aktiviteter observeras på en timme, av samma användare i ett produktionssystem. Om en användare överskrider gränsen på 12 per timme, till exempel 2 händelser i ett fönster på 10 minuter, utlöses en incident. |
| Determinism eller avvikelser | Om du känner till händelsens egenskaper använder du de deterministiska funktionerna. Om du inte är säker på hur händelsen ska konfigureras korrekt kan du låta maskininlärningsfunktionerna välja att starta och sedan göra efterföljande uppdateringar efter behov. |
| SOAR-funktioner | Använd Microsoft Sentinel för att ytterligare orkestrera, automatisera och svara på incidenter som skapats av dynamiska aviseringar i SAP-granskningsloggen. Mer information finns i Automation i Microsoft Sentinel: Säkerhetsorkestrering, automatisering och svar (SOAR). |
Mer information finns i Tillgängliga bevakningslistor och Microsoft Sentinel för SAP News – funktionen För dynamisk GRANSKNINGsloggövervakare för SAP-säkerhet tillgänglig nu! (blogg).
Inledande åtkomst
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – Logga in från oväntat nätverk | Identifierar en inloggning från ett oväntat nätverk. Underhålla nätverk i SAP - Networks-visningslistan . |
Logga in på serverdelssystemet från en IP-adress som inte är tilldelad till något av nätverken. Datakällor: SAPcon – granskningslogg |
Inledande åtkomst |
| SAP – SPNego-attack | Identifierar SPNego Replay Attack. | Datakällor: SAPcon – granskningslogg | Effekt, lateral förflyttning |
| SAP – Försök att logga in i dialogrutan från en privilegierad användare | Identifierar inloggningsförsök i dialogrutan, med AUM-typen , av privilegierade användare i ett SAP-system. Mer information finns i SAPUsersGetPrivileged. | Försök att logga in från samma IP-adress till flera system eller klienter inom det schemalagda tidsintervallet Datakällor: SAPcon – granskningslogg |
Effekt, lateral förflyttning |
| SAP – Brute force-attacker | Identifierar råstyrkeattacker på SAP-systemet med RFC-inloggningar | Försök att logga in från samma IP-adress till flera system/klienter inom det schemalagda tidsintervallet med hjälp av RFC Datakällor: SAPcon – granskningslogg |
Åtkomst till autentiseringsuppgifter |
| SAP – flera inloggningar efter IP | Identifierar inloggningen för flera användare från samma IP-adress inom ett schemalagt tidsintervall. Underanvändningsfall: Persistency |
Logga in med flera användare via samma IP-adress. Datakällor: SAPcon – granskningslogg |
Inledande åtkomst |
| SAP – flera inloggningar efter användare | Identifierar inloggningar för samma användare från flera terminaler inom ett schemalagt tidsintervall. Endast tillgängligt via metoden Audit SAL för SAP-versionerna 7.5 och senare. |
Logga in med samma användare med olika IP-adresser. Datakällor: SAPcon – granskningslogg |
Åtkomst före attack, åtkomst till autentiseringsuppgifter, inledande åtkomst, samling Underanvändningsfall: Persistency |
| SAP – Information – Livscykel – SAP-anteckningar implementerades i systemet | Identifierar SAP Note-implementering i systemet. | Implementera en SAP-anteckning med hjälp av SNOTE/TCI. Datakällor: SAPcon – ändringsbegäranden |
- |
| SAP – (förhandsversion) SOM JAVA – känslig privilegierad användare inloggad | Identifierar en inloggning från ett oväntat nätverk. Underhåll privilegierade användare i visningslistan SAP – Privilegierade användare . |
Logga in på serverdelssystemet med privilegierade användare. Datakällor: SAPJAVAFilesLog |
Inledande åtkomst |
| SAP – (förhandsversion) SOM JAVA – Sign-In från oväntat nätverk | Identifierar inloggningar från ett oväntat nätverk. Underhåll privilegierade användare i sap - networks-visningslistan . |
Logga in på serverdelssystemet från en IP-adress som inte är tilldelad till något av nätverken i SAP - Networks-visningslistan Datakällor: SAPJAVAFilesLog |
Initial Access, Defense Evasion |
Dataexfiltrering
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – FTP för icke-auktoriserade servrar | Identifierar en FTP-anslutning för en icke-auktoriserad server. | Skapa en ny FTP-anslutning, till exempel med hjälp av FTP_CONNECT-funktionsmodulen. Datakällor: SAPcon – granskningslogg |
Identifiering, inledande åtkomst, kommando och kontroll |
| SAP – Konfiguration av osäkra FTP-servrar | Identifierar osäkra FTP-serverkonfigurationer, till exempel när en FTP-lista är tom eller innehåller platshållare. | Underhåll inte värden som innehåller platshållare i SAPFTP_SERVERS tabellen med hjälp av SAPFTP_SERVERS_V underhållsvyn. (SM30) Datakällor: SAPcon – granskningslogg |
Inledande åtkomst, kommando och kontroll |
| SAP – Ladda ned flera Files | Identifierar flera filnedladdningar för en användare inom ett visst tidsintervall. | Ladda ned flera filer med hjälp av SAPGui för Excel, listor och så vidare. Datakällor: SAPcon – granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – flera körningar av buffert | Identifierar flera pooler för en användare inom ett visst tidsintervall. | Skapa och kör flera buffertjobb av valfri typ av användare. (SP01) Datakällor: SAPcon – Spool Log, SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – utdatakörningar för flera pooler | Identifierar flera pooler för en användare inom ett visst tidsintervall. | Skapa och kör flera buffertjobb av valfri typ av användare. (SP01) Datakällor: SAPcon – Spool Output Log, SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Känsliga tabeller direktåtkomst via RFC-inloggning | Identifierar en allmän tabellåtkomst via RFC-inloggning. Underhålla tabeller i bevakningslistan SAP – Känsliga tabeller . Endast relevant för produktionssystem. |
Öppna tabellinnehållet med SE11/SE16/SE16N. Datakällor: SAPcon – granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Spool Takeover | Identifierar en användare som skriver ut en buffertbegäran som har skapats av någon annan. | Skapa en begäran om pool med en användare och mata sedan ut den med hjälp av en annan användare. Datakällor: SAPcon – Spool Log, SAPcon – Spool Output Log, SAPcon – Granskningslogg |
Samling, exfiltrering, kommando och kontroll |
| SAP – Dynamiskt RFC-mål | Identifierar körningen av RFC med dynamiska mål. Underanvändningsfall: Försök att kringgå SAP-säkerhetsmekanismer |
Kör en ABAP-rapport som använder dynamiska mål (cl_dynamic_destination). Till exempel DEMO_RFC_DYNAMIC_DEST. Datakällor: SAPcon – granskningslogg |
Samling, exfiltrering |
| SAP – Direktåtkomst till känsliga tabeller efter dialoginloggning | Identifierar allmän tabellåtkomst via dialoginloggning. | Öppna tabellinnehållet med hjälp av SE11SE16N/SE16/. Datakällor: SAPcon – granskningslogg |
Identifiering |
| SAP – (förhandsversion) Fil som laddats ned från en skadlig IP-adress | Identifierar nedladdning av en fil från ett SAP-system med hjälp av en IP-adress som är känd för att vara skadlig. Skadliga IP-adresser hämtas från hotinformationstjänster. | Ladda ned en fil från en skadlig IP-adress. Datakällor: SAP-säkerhetsgranskningslogg, hotinformation |
Exfiltrering |
| SAP – (förhandsversion) Data som exporteras från ett produktionssystem med hjälp av en transport | Identifierar dataexport från ett produktionssystem med hjälp av en transport. Transporter används i utvecklingssystem och liknar pull-begäranden. Den här aviseringsregeln utlöser incidenter med medelhög allvarlighetsgrad när en transport som innehåller data från en tabell släpps från ett produktionssystem. Regeln skapar en incident med hög allvarlighetsgrad när exporten innehåller data från en känslig tabell. | Frisläpp en transport från ett produktionssystem. Datakällor: SAP CR-logg, SAP – känsliga tabeller |
Exfiltrering |
| SAP – (förhandsversion) Känsliga data som sparats på en USB-enhet | Identifierar export av SAP-data via filer. Regeln söker efter data som sparats i en nyligen monterad USB-enhet i närheten av en körning av en känslig transaktion, ett känsligt program eller direkt åtkomst till en känslig tabell. | Exportera SAP-data via filer och spara dem på en USB-enhet. Datakällor: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender för Endpoint), SAP – Känsliga tabeller, SAP – Känsliga transaktioner, SAP – Känsliga program |
Exfiltrering |
| SAP – (förhandsversion) Utskrift av potentiellt känsliga data | Identifierar en begäran eller faktisk utskrift av potentiellt känsliga data. Data anses vara känsliga om användaren hämtar data som en del av en känslig transaktion, körning av ett känsligt program eller direkt åtkomst till en känslig tabell. | Skriv ut eller begär att känsliga data ska skrivas ut. Datakällor: SAP Security Audit Log, SAP Spool-loggar, SAP – Känsliga tabeller, SAP – Känsliga program |
Exfiltrering |
| SAP – (förhandsversion) Hög volym potentiellt känsliga data exporteras | Identifierar export av en stor mängd data via filer i närheten av en körning av en känslig transaktion, ett känsligt program eller direkt åtkomst till känslig tabell. | Exportera stora mängder data via filer. Datakällor: SAP Security Audit Log, SAP – Känsliga tabeller, SAP – Känsliga transaktioner, SAP – Känsliga program |
Exfiltrering |
Persistens
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – aktivering eller inaktivering av ICF-tjänsten | Identifierar aktivering eller inaktivering av ICF-tjänster. | Aktivera en tjänst med HJÄLP av SICF. Datakällor: SAPcon – Tabelldatalogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – Funktionsmodul testad | Identifierar testningen av en funktionsmodul. | Testa en funktionsmodul med .SE37 / SE80 Datakällor: SAPcon – granskningslogg |
Samling, försvarsundandragande, lateral förflyttning |
| SAP – (FÖRHANDSVERSION) HANA DB – Åtgärder för Admin användare | Identifierar åtgärder för användaradministration. | Skapa, uppdatera eller ta bort en databasanvändare. Datakällor: Linux Agent – Syslog* |
Privilegieeskalering |
| SAP – Nya ICF-tjänsthanterare | Identifierar skapandet av ICF-hanterare. | Tilldela en ny hanterare till en tjänst med hjälp av SICF. Datakällor: SAPcon – granskningslogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – nya ICF-tjänster | Identifierar skapandet av ICF-tjänster. | Skapa en tjänst med HJÄLP av SICF. Datakällor: SAPcon – Tabelldatalogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – Körning av en föråldrad eller osäker funktionsmodul | Identifierar körningen av en föråldrad eller osäker ABAP-funktionsmodul. Behåll föråldrade funktioner i visningslistan SAP – Föråldrade funktionsmoduler . Se till att aktivera ändringar i tabellloggning för EUFUNC tabellen i serverdelen. (SE13)Endast relevant för produktionssystem. |
Kör en föråldrad eller osäker funktionsmodul direkt med HJÄLP av SE37. Datakällor: SAPcon – Tabelldatalogg |
Identifiering, kommando och kontroll |
| SAP – Körning av föråldrat/osäkert program | Identifierar körningen av ett föråldrat eller osäkert ABAP-program. Underhåll föråldrade program i bevakningslistan för SAP - Föråldrade program . Endast relevant för produktionssystem. |
Kör ett program direkt med SE38/SA38/SE80 eller med hjälp av ett bakgrundsjobb. Datakällor: SAPcon – granskningslogg |
Identifiering, kommando och kontroll |
| SAP – flera lösenordsändringar | Identifierar flera lösenordsändringar per användare. | Ändra användarlösenord Datakällor: SAPcon – granskningslogg |
Åtkomst till autentiseringsuppgifter |
| SAP – (förhandsversion) SOM JAVA – Användare skapar och använder ny användare | Identifierar skapande eller manipulering av användare av administratörer i SAP AS Java-miljön. | Logga in på serverdelssystemet med användare som du har skapat eller manipulerat. Datakällor: SAPJAVAFilesLog |
Ihärdighet |
Försök att kringgå SAP-säkerhetsmekanismer
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – Ändring av klientkonfiguration | Identifierar ändringar för klientkonfiguration, till exempel klientrollen eller ändringsinspelningsläget. | Utför ändringar i klientkonfigurationen med hjälp av transaktionskoden SCC4 . Datakällor: SAPcon – granskningslogg |
Defense Evasion, Exfiltration, Persistence |
| SAP – Data har ändrats under felsökningsaktiviteten | Identifierar ändringar för körningsdata under en felsökningsaktivitet. Underanvändningsfall: Persistency |
1. Aktivera felsökning ("/h"). 2. Välj ett fält för ändring och uppdatera dess värde. Datakällor: SAPcon – granskningslogg |
Körning, lateral förflyttning |
| SAP – Inaktivering av säkerhetsgranskningslogg | Identifierar inaktivering av säkerhetsgranskningsloggen, | Inaktivera säkerhetsgranskningsloggen med hjälp av SM19/RSAU_CONFIG. Datakällor: SAPcon – granskningslogg |
Exfiltrering, försvarsundandragande, beständighet |
| SAP – Körning av ett känsligt ABAP-program | Identifierar direktkörning av ett känsligt ABAP-program. Underhåll ABAP-program i bevakningslistan för SAP - Sensitive ABAP-program . |
Kör ett program direkt med .SE38/SA38/SE80 Datakällor: SAPcon – granskningslogg |
Exfiltrering, lateral förflyttning, körning |
| SAP – Körning av en känslig transaktionskod | Identifierar körningen av en känslig transaktionskod. Underhålla transaktionskoder i bevakningslistan SAP – Känsliga transaktionskoder . |
Kör en känslig transaktionskod. Datakällor: SAPcon – granskningslogg |
Identifiering, körning |
| SAP – Körning av modulen för känslig funktion | Identifierar körningen av en känslig ABAP-funktionsmodul. Underanvändningsfall: Persistency Endast relevant för produktionssystem. Underhåll känsliga funktioner i visningslistan för SAP - Sensitive Function Modules och se till att aktivera ändringar i tabellloggning i serverdelen för EUFUNC-tabellen. (SE13) |
Kör en modul för känslig funktion direkt med HJÄLP av SE37. Datakällor: SAPcon – Tabelldatalogg |
Identifiering, kommando och kontroll |
| SAP – (FÖRHANDSVERSION) HANA DB – Principändringar för spårningsloggar | Identifierar ändringar för HANA DB-spårningsprinciper. | Skapa eller uppdatera den befintliga granskningsprincipen i säkerhetsdefinitioner. Datakällor: Linux Agent – Syslog |
Lateral rörelse, försvarsundandragande, persistens |
| SAP – (FÖRHANDSVERSION) HANA DB – Inaktivering av spårningslogg | Identifierar inaktivering av HANA DB-granskningsloggen. | Inaktivera granskningsloggen i HANA DB-säkerhetsdefinitionen. Datakällor: Linux Agent – Syslog |
Persistence, Lateral Movement, Defense Evasion |
| SAP – Obehörig fjärrkörning av en modul för känslig funktion | Identifierar obehöriga körningar av känsliga FM:er genom att jämföra aktiviteten med användarens auktoriseringsprofil samtidigt som nyligen ändrade auktoriseringar ignoreras. Underhålla funktionsmoduler i bevakningslistan FÖR SAP – känsliga funktionsmoduler . |
Kör en funktionsmodul med RFC. Datakällor: SAPcon – granskningslogg |
Körning, lateral förflyttning, identifiering |
| SAP – Ändring av systemkonfiguration | Identifierar ändringar för systemkonfiguration. | Anpassa alternativ för systemändring eller ändring av programvarukomponenter med hjälp av transaktionskoden SE06 .Datakällor: SAPcon – granskningslogg |
Exfiltrering, försvarsundandragande, beständighet |
| SAP – Felsökningsaktiviteter | Identifierar alla felsökningsrelaterade aktiviteter. Underanvändningsfall: Persistency |
Aktivera Felsökning ("/h") i systemet, felsök en aktiv process, lägg till brytpunkt i källkoden och så vidare. Datakällor: SAPcon – granskningslogg |
Identifiering |
| SAP – Konfigurationsändring av säkerhetsgranskningslogg | Identifierar ändringar i konfigurationen av säkerhetsgranskningsloggen | Ändra konfigurationen av säkerhetsgranskningsloggen med , SM19/RSAU_CONFIGtill exempel filter, status, inspelningsläge och så vidare. Datakällor: SAPcon – granskningslogg |
Persistence, Exfiltration, Defense Evasion |
| SAP – Transaktionen är upplåst | Identifierar upplåsning av en transaktion. | Lås upp en transaktionskod med .SM01/SM01_DEV/SM01_CUS Datakällor: SAPcon – granskningslogg |
Persistence, Execution |
| SAP – Dynamiskt ABAP-program | Identifierar körningen av dynamisk ABAP-programmering. Till exempel när ABAP-kod skapades, ändrades eller togs bort dynamiskt. Behåll undantagna transaktionskoder i bevakningslistan SAP – Transaktioner för ABAP Generations . |
Skapa en ABAP-rapport som använder ABAP-programgenereringskommandon, till exempel INSERT REPORT, och kör sedan rapporten. Datakällor: SAPcon – granskningslogg |
Identifiering, kommando och kontroll, påverkan |
Åtgärder för misstänkta privilegier
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – Ändring i en känslig privilegierad användare | Identifierar ändringar av känsliga privilegierade användare. Underhåll privilegierade användare i visningslistan SAP – Privilegierade användare . |
Ändra användarinformation/auktoriseringar med .SU01 Datakällor: SAPcon – granskningslogg |
Behörighetseskalering, åtkomst till autentiseringsuppgifter |
| SAP – (FÖRHANDSVERSION) HANA DB – Tilldela Admin-auktoriseringar | Identifierar administratörsbehörighet eller rolltilldelning. | Tilldela en användare valfri administratörsroll eller behörighet. Datakällor: Linux Agent – Syslog |
Privilegieeskalering |
| SAP – Känslig privilegierad användare inloggad | Identifierar dialogrutans inloggning för en känslig privilegierad användare. Underhåll privilegierade användare i visningslistan SAP – Privilegierade användare . |
Logga in på serverdelssystemet med hjälp av SAP* eller en annan privilegierad användare. Datakällor: SAPcon – granskningslogg |
Initial åtkomst, åtkomst till autentiseringsuppgifter |
| SAP – Känslig privilegierad användare gör en ändring i andra användare | Identifierar ändringar av känsliga, privilegierade användare i andra användare. | Ändra användarinformation/auktoriseringar med SU01. Datakällor: SAPcon – granskningslogg |
Behörighetseskalering, åtkomst till autentiseringsuppgifter |
| SAP – Lösenordsändring och inloggning för känsliga användare | Identifierar lösenordsändringar för privilegierade användare. | Ändra lösenordet för en privilegierad användare och logga in på systemet. Underhåll privilegierade användare i visningslistan SAP – Privilegierade användare . Datakällor: SAPcon – granskningslogg |
Effekt, kommando och kontroll, behörighetseskalering |
| SAP – Användaren skapar och använder en ny användare | Identifierar en användare som skapar och använder andra användare. Underanvändningsfall: Persistency |
Skapa en användare med SU01 och logga sedan in med den nyligen skapade användaren och samma IP-adress. Datakällor: SAPcon – granskningslogg |
Identifiering, före attack, inledande åtkomst |
| SAP – Användaren låser upp och använder andra användare | Identifierar en användare som låss upp och används av andra användare. Underanvändningsfall: Persistency |
Lås upp en användare med SU01 och logga sedan in med den olåst användaren och samma IP-adress. Datakällor: SAPcon – Granskningslogg, SAPcon – Ändra dokumentlogg |
Identifiering, före attack, inledande åtkomst, lateral förflyttning |
| SAP – Tilldelning av en känslig profil | Identifierar nya tilldelningar av en känslig profil till en användare. Underhålla känsliga profiler i bevakningslistan SAP – Känsliga profiler . |
Tilldela en profil till en användare med hjälp av SU01. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Tilldelning av en känslig roll | Identifierar nya tilldelningar för en känslig roll för en användare. Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller . |
Tilldela en roll till en användare med hjälp av SU01 / PFCG. Datakällor: SAPcon – Ändringsdokumentlogg, granskningslogg |
Privilegieeskalering |
| SAP – (FÖRHANDSVERSION) Tilldelning av kritiska auktoriseringar – Nytt auktoriseringsvärde | Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare. Underhåll kritiska auktoriseringsobjekt i bevakningslistan SAP – Kritiska auktoriseringsobjekt . |
Tilldela ett nytt auktoriseringsobjekt eller uppdatera ett befintligt objekt i en roll med hjälp av PFCG. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Tilldelning av kritiska auktoriseringar – Ny användartilldelning | Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare. Underhåll kritiska auktoriseringsobjekt i bevakningslistan SAP – Kritiska auktoriseringsobjekt . |
Tilldela en ny användare till en roll som innehåller kritiska auktoriseringsvärden med hjälp av SU01/PFCG. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Ändringar av känsliga roller | Identifierar ändringar i känsliga roller. Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller . |
Ändra en roll med hjälp av PFCG. Datakällor: SAPcon – Ändra dokumentlogg, SAPcon – granskningslogg |
Impact, Privilege Escalation, Persistence |
Övervaka SAP-granskningsloggen
Många av analysreglerna i Microsoft Sentinel lösning för SAP-program använder SAP-granskningsloggdata. Vissa analysregler letar efter specifika händelser i loggen, medan andra korrelerar indikationer från flera loggar för att skapa aviseringar och incidenter med hög återgivning.
Använd följande analysregler för att antingen övervaka alla granskningslogghändelser i DITT SAP-system eller utlösa aviseringar endast när avvikelser identifieras:
| Regelnamn | Beskrivning |
|---|---|
| SAP – Konfiguration saknas i övervakaren för granskningsloggar för dynamisk säkerhet | Körs som standard dagligen för att ge konfigurationsrekommendationer för SAP-granskningsloggmodulen. Använd regelmallen för att skapa och anpassa en regel för din arbetsyta. |
| SAP – Dynamisk deterministisk granskningsloggövervakare (FÖRHANDSVERSION) | Som standard körs var 10:e minut och fokuserar på SAP-granskningslogghändelserna som markerats som deterministiska. Använd regelmallen för att skapa och anpassa en regel för din arbetsyta, till exempel för en lägre falsk positiv frekvens. Den här regeln kräver deterministiska tröskelvärden för aviseringar och regler för användarundantag. |
| SAP – Dynamiska avvikelsebaserade aviseringar för övervakning av granskningsloggar (FÖRHANDSVERSION) | Som standard körs varje timme och fokuserar på SAP-händelser som markerats som AnomalierOnly, aviseringar om SAP-granskningslogghändelser när avvikelser identifieras. Den här regeln tillämpar extra maskininlärningsalgoritmer för att filtrera bort bakgrundsbrus på ett oövervakat sätt. |
Som standard skickas de flesta händelsetyper eller SAP-meddelande-ID:t i SAP-granskningsloggen till analysregeln för avvikelsebaserade analysregler för dynamisk avvikelsebaserad granskningsloggövervakare (FÖRHANDSVERSION), medan den enklare att definiera händelsetyper skickas till analysregeln deterministisk dynamisk deterministisk granskningsloggövervakare (FÖRHANDSVERSION). Den här inställningen, tillsammans med andra relaterade inställningar, kan konfigureras ytterligare så att den passar alla systemvillkor.
Övervakningsreglerna för SAP-granskningsloggar levereras som en del av Microsoft Sentinel för SAP-lösningssäkerhetsinnehåll och möjliggör ytterligare finjustering med hjälp av SAP_Dynamic_Audit_Log_Monitor_Configuration- och SAP_User_Config visningslistor.
I följande tabell visas till exempel flera exempel på hur du kan använda SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista för att konfigurera de typer av händelser som genererar incidenter, vilket minskar antalet incidenter som genereras.
| Alternativ | Beskrivning |
|---|---|
| Ange allvarlighetsgrad och inaktivera oönskade händelser | Som standard skapar både deterministiska regler och regler som baseras på avvikelser aviseringar för händelser som har markerats med medelhög och hög allvarlighetsgrad. Du kanske vill konfigurera allvarlighetsgrad separat i produktions- och icke-produktionsmiljöer. Du kan till exempel ange en felsökningsaktivitetshändelse som hög allvarlighetsgrad i produktionssystem och inaktivera samma händelser helt i icke-produktionssystem. |
| Exkludera användare efter deras SAP-roller eller SAP-profiler | Microsoft Sentinel för SAP matar in SAP-användarens auktoriseringsprofil, inklusive direkta och indirekta rolltilldelningar, grupper och profiler, så att du kan tala SAP-språket i din SIEM. Du kanske vill konfigurera en SAP-händelse för att exkludera användare baserat på deras SAP-roller och -profiler. I visningslistan lägger du till de roller eller profiler som grupperar dina RFC-gränssnittsanvändare i kolumnen RolesTagsToExclude bredvid händelsen Allmän tabellåtkomst via RFC . Den här konfigurationen utlöser endast aviseringar för användare som saknar dessa roller. |
| Exkludera användare efter deras SOC-taggar | Använd taggar för att skapa din egen gruppering, utan att förlita dig på komplicerade SAP-definitioner eller ens utan SAP-auktorisering. Den här metoden är användbar för SOC-team som vill skapa en egen gruppering för SAP-användare. Om du till exempel inte vill att specifika tjänstkonton ska aviseras för allmän tabellåtkomst av RFC-händelser , men inte kan hitta en SAP-roll eller en SAP-profil som grupperar dessa användare, använder du taggar på följande sätt: 1. Lägg till Taggen GenTableRFCReadOK bredvid relevant händelse i visningslistan. 2. Gå till SAP_User_Config visningslista och tilldela gränssnittsanvändare samma tagg. |
| Ange ett frekvenströskelvärde per händelsetyp och systemroll | Fungerar som en hastighetsbegränsning. Du kan till exempel konfigurera händelser för ändring av användarbakgrundsposter så att de bara utlöser aviseringar om fler än 12 aktiviteter observeras på en timme, av samma användare i ett produktionssystem. Om en användare överskrider gränsen på 12 per timme, till exempel 2 händelser i ett fönster på 10 minuter, utlöses en incident. |
| Determinism eller avvikelser | Om du känner till händelsens egenskaper använder du de deterministiska funktionerna. Om du inte är säker på hur händelsen ska konfigureras korrekt kan du låta maskininlärningsfunktionerna välja att starta och sedan göra efterföljande uppdateringar efter behov. |
| SOAR-funktioner | Använd Microsoft Sentinel för att ytterligare orkestrera, automatisera och svara på incidenter som skapats av dynamiska aviseringar i SAP-granskningsloggen. Mer information finns i Automation i Microsoft Sentinel: Säkerhetsorkestrering, automatisering och svar (SOAR). |
Mer information finns i Tillgängliga bevakningslistor och Microsoft Sentinel för SAP News – funktionen För dynamisk GRANSKNINGsloggövervakare för SAP-säkerhet tillgänglig nu! (blogg).
Inledande åtkomst
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – Logga in från oväntat nätverk | Identifierar en inloggning från ett oväntat nätverk. Underhålla nätverk i SAP - Networks-visningslistan . |
Logga in på serverdelssystemet från en IP-adress som inte är tilldelad till något av nätverken. Datakällor: SAPcon – granskningslogg |
Inledande åtkomst |
| SAP – SPNego-attack | Identifierar SPNego Replay Attack. | Datakällor: SAPcon – granskningslogg | Effekt, lateral förflyttning |
| SAP – Försök att logga in i dialogrutan från en privilegierad användare | Identifierar inloggningsförsök i dialogrutan, med AUM-typen , av privilegierade användare i ett SAP-system. Mer information finns i SAPUsersGetPrivileged. | Försök att logga in från samma IP-adress till flera system eller klienter inom det schemalagda tidsintervallet Datakällor: SAPcon – granskningslogg |
Effekt, lateral förflyttning |
| SAP – Brute force-attacker | Identifierar råstyrkeattacker på SAP-systemet med RFC-inloggningar | Försök att logga in från samma IP-adress till flera system/klienter inom det schemalagda tidsintervallet med hjälp av RFC Datakällor: SAPcon – granskningslogg |
Åtkomst till autentiseringsuppgifter |
| SAP – flera inloggningar efter IP | Identifierar inloggningen för flera användare från samma IP-adress inom ett schemalagt tidsintervall. Underanvändningsfall: Persistency |
Logga in med flera användare via samma IP-adress. Datakällor: SAPcon – granskningslogg |
Inledande åtkomst |
| SAP – flera inloggningar efter användare | Identifierar inloggningar för samma användare från flera terminaler inom ett schemalagt tidsintervall. Endast tillgängligt via metoden Audit SAL för SAP-versionerna 7.5 och senare. |
Logga in med samma användare med olika IP-adresser. Datakällor: SAPcon – granskningslogg |
Åtkomst före attack, åtkomst till autentiseringsuppgifter, inledande åtkomst, samling Underanvändningsfall: Persistency |
Dataexfiltrering
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – FTP för icke-auktoriserade servrar | Identifierar en FTP-anslutning för en icke-auktoriserad server. | Skapa en ny FTP-anslutning, till exempel med hjälp av FTP_CONNECT-funktionsmodulen. Datakällor: SAPcon – granskningslogg |
Identifiering, inledande åtkomst, kommando och kontroll |
| SAP – Konfiguration av osäkra FTP-servrar | Identifierar osäkra FTP-serverkonfigurationer, till exempel när en FTP-lista är tom eller innehåller platshållare. | Underhåll inte värden som innehåller platshållare i SAPFTP_SERVERS tabellen med hjälp av SAPFTP_SERVERS_V underhållsvyn. (SM30) Datakällor: SAPcon – granskningslogg |
Inledande åtkomst, kommando och kontroll |
| SAP – Ladda ned flera Files | Identifierar flera filnedladdningar för en användare inom ett visst tidsintervall. | Ladda ned flera filer med hjälp av SAPGui för Excel, listor och så vidare. Datakällor: SAPcon – granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Känsliga tabeller direktåtkomst via RFC-inloggning | Identifierar en allmän tabellåtkomst via RFC-inloggning. Underhålla tabeller i bevakningslistan SAP – Känsliga tabeller . Endast relevant för produktionssystem. |
Öppna tabellinnehållet med SE11/SE16/SE16N. Datakällor: SAPcon – granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Dynamiskt RFC-mål | Identifierar körningen av RFC med dynamiska mål. Underanvändningsfall: Försök att kringgå SAP-säkerhetsmekanismer |
Kör en ABAP-rapport som använder dynamiska mål (cl_dynamic_destination). Till exempel DEMO_RFC_DYNAMIC_DEST. Datakällor: SAPcon – granskningslogg |
Samling, exfiltrering |
| SAP – Direktåtkomst till känsliga tabeller efter dialoginloggning | Identifierar allmän tabellåtkomst via dialoginloggning. | Öppna tabellinnehållet med hjälp av SE11SE16N/SE16/. Datakällor: SAPcon – granskningslogg |
Identifiering |
| SAP – (förhandsversion) Fil som laddats ned från en skadlig IP-adress | Identifierar nedladdning av en fil från ett SAP-system med hjälp av en IP-adress som är känd för att vara skadlig. Skadliga IP-adresser hämtas från hotinformationstjänster. | Ladda ned en fil från en skadlig IP-adress. Datakällor: SAP-säkerhetsgranskningslogg, hotinformation |
Exfiltrering |
| SAP – (förhandsversion) Känsliga data som sparats på en USB-enhet | Identifierar export av SAP-data via filer. Regeln söker efter data som sparats i en nyligen monterad USB-enhet i närheten av en körning av en känslig transaktion, ett känsligt program eller direkt åtkomst till en känslig tabell. | Exportera SAP-data via filer och spara dem på en USB-enhet. Datakällor: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender för Endpoint), SAP – Känsliga tabeller, SAP – Känsliga transaktioner, SAP – Känsliga program |
Exfiltrering |
| SAP – (förhandsversion) Hög volym potentiellt känsliga data exporteras | Identifierar export av en stor mängd data via filer i närheten av en körning av en känslig transaktion, ett känsligt program eller direkt åtkomst till känslig tabell. | Exportera stora mängder data via filer. Datakällor: SAP Security Audit Log, SAP – Känsliga tabeller, SAP – Känsliga transaktioner, SAP – Känsliga program |
Exfiltrering |
Persistens
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – Funktionsmodul testad | Identifierar testningen av en funktionsmodul. | Testa en funktionsmodul med .SE37 / SE80 Datakällor: SAPcon – granskningslogg |
Samling, försvarsundandragande, lateral förflyttning |
| SAP – (FÖRHANDSVERSION) HANA DB – Åtgärder för Admin användare | Identifierar åtgärder för användaradministration. | Skapa, uppdatera eller ta bort en databasanvändare. Datakällor: Linux Agent – Syslog* |
Privilegieeskalering |
| SAP – Körning av en föråldrad eller osäker funktionsmodul | Identifierar körningen av en föråldrad eller osäker ABAP-funktionsmodul. Behåll föråldrade funktioner i visningslistan SAP – Föråldrade funktionsmoduler . Se till att aktivera ändringar i tabellloggning för EUFUNC tabellen i serverdelen. (SE13)Endast relevant för produktionssystem. |
Kör en föråldrad eller osäker funktionsmodul direkt med HJÄLP av SE37. Datakällor: SAPcon – Tabelldatalogg |
Identifiering, kommando och kontroll |
| SAP – Körning av föråldrat/osäkert program | Identifierar körningen av ett föråldrat eller osäkert ABAP-program. Underhåll föråldrade program i bevakningslistan för SAP - Föråldrade program . Endast relevant för produktionssystem. |
Kör ett program direkt med SE38/SA38/SE80 eller med hjälp av ett bakgrundsjobb. Datakällor: SAPcon – granskningslogg |
Identifiering, kommando och kontroll |
| SAP – flera lösenordsändringar | Identifierar flera lösenordsändringar per användare. | Ändra användarlösenord Datakällor: SAPcon – granskningslogg |
Åtkomst till autentiseringsuppgifter |
Försök att kringgå SAP-säkerhetsmekanismer
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – Ändring av klientkonfiguration | Identifierar ändringar för klientkonfiguration, till exempel klientrollen eller ändringsinspelningsläget. | Utför ändringar i klientkonfigurationen med hjälp av transaktionskoden SCC4 . Datakällor: SAPcon – granskningslogg |
Defense Evasion, Exfiltration, Persistence |
| SAP – Data har ändrats under felsökningsaktiviteten | Identifierar ändringar för körningsdata under en felsökningsaktivitet. Underanvändningsfall: Persistency |
1. Aktivera felsökning ("/h"). 2. Välj ett fält för ändring och uppdatera dess värde. Datakällor: SAPcon – granskningslogg |
Körning, lateral förflyttning |
| SAP – Inaktivering av säkerhetsgranskningslogg | Identifierar inaktivering av säkerhetsgranskningsloggen, | Inaktivera säkerhetsgranskningsloggen med hjälp av SM19/RSAU_CONFIG. Datakällor: SAPcon – granskningslogg |
Exfiltrering, försvarsundandragande, beständighet |
| SAP – Körning av ett känsligt ABAP-program | Identifierar direktkörning av ett känsligt ABAP-program. Underhåll ABAP-program i bevakningslistan för SAP - Sensitive ABAP-program . |
Kör ett program direkt med .SE38/SA38/SE80 Datakällor: SAPcon – granskningslogg |
Exfiltrering, lateral förflyttning, körning |
| SAP – Körning av en känslig transaktionskod | Identifierar körningen av en känslig transaktionskod. Underhålla transaktionskoder i bevakningslistan SAP – Känsliga transaktionskoder . |
Kör en känslig transaktionskod. Datakällor: SAPcon – granskningslogg |
Identifiering, körning |
| SAP – Körning av modulen för känslig funktion | Identifierar körningen av en känslig ABAP-funktionsmodul. Underanvändningsfall: Persistency Endast relevant för produktionssystem. Underhåll känsliga funktioner i visningslistan för SAP - Sensitive Function Modules och se till att aktivera ändringar i tabellloggning i serverdelen för EUFUNC-tabellen. (SE13) |
Kör en modul för känslig funktion direkt med HJÄLP av SE37. Datakällor: SAPcon – Tabelldatalogg |
Identifiering, kommando och kontroll |
| SAP – (FÖRHANDSVERSION) HANA DB – Principändringar för spårningsloggar | Identifierar ändringar för HANA DB-spårningsprinciper. | Skapa eller uppdatera den befintliga granskningsprincipen i säkerhetsdefinitioner. Datakällor: Linux Agent – Syslog |
Lateral rörelse, försvarsundandragande, persistens |
| SAP – (FÖRHANDSVERSION) HANA DB – Inaktivering av spårningslogg | Identifierar inaktivering av HANA DB-granskningsloggen. | Inaktivera granskningsloggen i HANA DB-säkerhetsdefinitionen. Datakällor: Linux Agent – Syslog |
Persistence, Lateral Movement, Defense Evasion |
| SAP – Obehörig fjärrkörning av en modul för känslig funktion | Identifierar obehöriga körningar av känsliga FM:er genom att jämföra aktiviteten med användarens auktoriseringsprofil samtidigt som nyligen ändrade auktoriseringar ignoreras. Underhålla funktionsmoduler i bevakningslistan FÖR SAP – känsliga funktionsmoduler . |
Kör en funktionsmodul med RFC. Datakällor: SAPcon – granskningslogg |
Körning, lateral förflyttning, identifiering |
| SAP – Ändring av systemkonfiguration | Identifierar ändringar för systemkonfiguration. | Anpassa alternativ för systemändring eller ändring av programvarukomponenter med hjälp av transaktionskoden SE06 .Datakällor: SAPcon – granskningslogg |
Exfiltrering, försvarsundandragande, beständighet |
| SAP – Felsökningsaktiviteter | Identifierar alla felsökningsrelaterade aktiviteter. Underanvändningsfall: Persistency |
Aktivera Felsökning ("/h") i systemet, felsök en aktiv process, lägg till brytpunkt i källkoden och så vidare. Datakällor: SAPcon – granskningslogg |
Identifiering |
| SAP – Konfigurationsändring av säkerhetsgranskningslogg | Identifierar ändringar i konfigurationen av säkerhetsgranskningsloggen | Ändra konfigurationen av säkerhetsgranskningsloggen med , SM19/RSAU_CONFIGtill exempel filter, status, inspelningsläge och så vidare. Datakällor: SAPcon – granskningslogg |
Persistence, Exfiltration, Defense Evasion |
| SAP – Transaktionen är upplåst | Identifierar upplåsning av en transaktion. | Lås upp en transaktionskod med .SM01/SM01_DEV/SM01_CUS Datakällor: SAPcon – granskningslogg |
Persistence, Execution |
| SAP – Dynamiskt ABAP-program | Identifierar körningen av dynamisk ABAP-programmering. Till exempel när ABAP-kod skapades, ändrades eller togs bort dynamiskt. Behåll undantagna transaktionskoder i bevakningslistan SAP – Transaktioner för ABAP Generations . |
Skapa en ABAP-rapport som använder ABAP-programgenereringskommandon, till exempel INSERT REPORT, och kör sedan rapporten. Datakällor: SAPcon – granskningslogg |
Identifiering, kommando och kontroll, påverkan |
Åtgärder för misstänkta privilegier
| Regelnamn | Beskrivning | Källåtgärd | Taktik |
|---|---|---|---|
| SAP – Ändring i en känslig privilegierad användare | Identifierar ändringar av känsliga privilegierade användare. Underhåll privilegierade användare i visningslistan SAP – Privilegierade användare . |
Ändra användarinformation/auktoriseringar med .SU01 Datakällor: SAPcon – granskningslogg |
Behörighetseskalering, åtkomst till autentiseringsuppgifter |
| SAP – (FÖRHANDSVERSION) HANA DB – Tilldela Admin-auktoriseringar | Identifierar administratörsbehörighet eller rolltilldelning. | Tilldela en användare valfri administratörsroll eller behörighet. Datakällor: Linux Agent – Syslog |
Privilegieeskalering |
| SAP – Känslig privilegierad användare inloggad | Identifierar dialogrutans inloggning för en känslig privilegierad användare. Underhåll privilegierade användare i visningslistan SAP – Privilegierade användare . |
Logga in på serverdelssystemet med hjälp av SAP* eller en annan privilegierad användare. Datakällor: SAPcon – granskningslogg |
Initial åtkomst, åtkomst till autentiseringsuppgifter |
| SAP – Känslig privilegierad användare gör en ändring i andra användare | Identifierar ändringar av känsliga, privilegierade användare i andra användare. | Ändra användarinformation/auktoriseringar med SU01. Datakällor: SAPcon – granskningslogg |
Behörighetseskalering, åtkomst till autentiseringsuppgifter |
| SAP – Lösenordsändring och inloggning för känsliga användare | Identifierar lösenordsändringar för privilegierade användare. | Ändra lösenordet för en privilegierad användare och logga in på systemet. Underhåll privilegierade användare i visningslistan SAP – Privilegierade användare . Datakällor: SAPcon – granskningslogg |
Effekt, kommando och kontroll, behörighetseskalering |
| SAP – Användaren skapar och använder en ny användare | Identifierar en användare som skapar och använder andra användare. Underanvändningsfall: Persistency |
Skapa en användare med SU01 och logga sedan in med den nyligen skapade användaren och samma IP-adress. Datakällor: SAPcon – granskningslogg |
Identifiering, före attack, inledande åtkomst |
| SAP – Användaren låser upp och använder andra användare | Identifierar en användare som låss upp och används av andra användare. Underanvändningsfall: Persistency |
Lås upp en användare med SU01 och logga sedan in med den olåst användaren och samma IP-adress. Datakällor: SAPcon – Granskningslogg, SAPcon – Ändra dokumentlogg |
Identifiering, före attack, inledande åtkomst, lateral förflyttning |
| SAP – Tilldelning av en känslig profil | Identifierar nya tilldelningar av en känslig profil till en användare. Underhålla känsliga profiler i bevakningslistan SAP – Känsliga profiler . |
Tilldela en profil till en användare med hjälp av SU01. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Tilldelning av en känslig roll | Identifierar nya tilldelningar för en känslig roll för en användare. Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller . |
Tilldela en roll till en användare med hjälp av SU01 / PFCG. Datakällor: SAPcon – Ändringsdokumentlogg, granskningslogg |
Privilegieeskalering |
| SAP – (FÖRHANDSVERSION) Tilldelning av kritiska auktoriseringar – Nytt auktoriseringsvärde | Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare. Underhåll kritiska auktoriseringsobjekt i bevakningslistan SAP – Kritiska auktoriseringsobjekt . |
Tilldela ett nytt auktoriseringsobjekt eller uppdatera ett befintligt objekt i en roll med hjälp av PFCG. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Tilldelning av kritiska auktoriseringar – Ny användartilldelning | Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare. Underhåll kritiska auktoriseringsobjekt i bevakningslistan SAP – Kritiska auktoriseringsobjekt . |
Tilldela en ny användare till en roll som innehåller kritiska auktoriseringsvärden med hjälp av SU01/PFCG. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Ändringar av känsliga roller | Identifierar ändringar i känsliga roller. Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller . |
Ändra en roll med hjälp av PFCG. Datakällor: SAPcon – Ändra dokumentlogg, SAPcon – granskningslogg |
Impact, Privilege Escalation, Persistence |
Tillgängliga visningslistor
I följande tabell visas de visningslistor som är tillgängliga för den Microsoft Sentinel lösningen för SAP-program och fälten i varje visningslista.
Dessa visningslistor tillhandahåller konfigurationen för den Microsoft Sentinel lösningen för SAP-program. SAP-visningslistor är tillgängliga på Microsoft Sentinel GitHub-lagringsplats.
| Namn på visningslista | Beskrivning och fält |
|---|---|
| SAP – Kritiska auktoriseringar | Kritiskt auktoriseringsobjekt, där tilldelningar ska styras. - AuthorizationObject: Ett SAP-auktoriseringsobjekt, till exempel S_DEVELOP, S_TCODEeller Table TOBJ - AuthorizationField: Ett SAP-auktoriseringsfält, till exempel OBJTYP eller TCD - AuthorizationValue: Ett värde för SAP-auktoriseringsfält, till exempel DEBUG - ActivityField : SAP-aktivitetsfält. I de flesta fall är ACTVTdet här värdet . För auktoriseringsobjekt utan aktivitet, eller med endast ett aktivitetsfält , fyllt med NOT_IN_USE. - Aktivitet: SAP-aktivitet, enligt auktoriseringsobjektet, till exempel: 01: Skapa; 02: Ändra; 03: Visa och så vidare. - Beskrivning: En beskrivande beskrivning av kritiskt auktoriseringsobjekt. |
| SAP – undantagna nätverk | För internt underhåll av exkluderade nätverk, till exempel för att ignorera webbsändare, terminalservrar och så vidare. - Nätverk: En nätverks-IP-adress eller ett intervall, till exempel 111.68.128.0/17. - Beskrivning: En beskrivande nätverksbeskrivning. |
| SAP-undantagna användare | Systemanvändare som är inloggade i systemet och måste ignoreras. Till exempel aviseringar för flera inloggningar av samma användare. - Användare: SAP-användare - Beskrivning: En beskrivande användarbeskrivning. |
| SAP – Nätverk | Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar. - Nätverk: Nätverks-IP-adress eller intervall, till exempel 111.68.128.0/17 - Beskrivning: En beskrivande nätverksbeskrivning. |
| SAP – Privilegierade användare | Privilegierade användare som har extra begränsningar. - Användare: ABAP-användaren, till exempel DDIC eller SAP - Beskrivning: En beskrivande användarbeskrivning. |
| SAP – Känsliga ABAP-program | Känsliga ABAP-program (rapporter), där körningen ska styras. - ABAPProgram: ABAP-program eller rapport, till exempel RSPFLDOC - Beskrivning: En beskrivande programbeskrivning. |
| SAP – modul för känslig funktion | Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar. - FunctionModule: En ABAP-funktionsmodul, till exempel RSAU_CLEAR_AUDIT_LOG - Beskrivning: En beskrivande modulbeskrivning. |
| SAP – känsliga profiler | Känsliga profiler, där tilldelningar ska styras. - Profil: SAP-auktoriseringsprofil, till exempel SAP_ALL eller SAP_NEW - Beskrivning: En beskrivande profilbeskrivning. |
| SAP – känsliga tabeller | Känsliga tabeller, där åtkomst ska styras. - Tabell: ABAP-ordlistetabell, till exempel USR02 eller PA008 - Beskrivning: En beskrivande tabellbeskrivning. |
| SAP – känsliga roller | Känsliga roller, där tilldelningen ska styras. - Roll: SAP-auktoriseringsroll, till exempel SAP_BC_BASIS_ADMIN - Beskrivning: En beskrivande rollbeskrivning. |
| SAP – känsliga transaktioner | Känsliga transaktioner där körningen ska styras. - TransactionCode: SAP-transaktionskod, till exempel RZ11 - Beskrivning: En beskrivande kodbeskrivning. |
| SAP – System | Beskriver liggande SAP-system enligt roll, användning och konfiguration. - SystemID: SAP-system-ID (SYSID) - SystemRole: SAP-systemrollen, ett av följande värden: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: SAP-systemanvändningen, ett av följande värden: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: en valfri dynamisk parameter för användning i spelböcker. |
| SAPSystemParameters | Parametrar för att hålla utkik efter misstänkta konfigurationsändringar. Den här visningslistan är förfylld med rekommenderade värden (enligt SAP:s bästa praxis) och du kan utöka visningslistan så att den innehåller fler parametrar. Om du inte vill ta emot aviseringar för en parameter anger du EnableAlerts till false.- ParameterName: Namnet på parametern. - Kommentar: Beskrivning av SAP-standardparametern. - EnableAlerts: Definierar om du vill aktivera aviseringar för den här parametern. Värden är true och false.- Alternativ: Definierar i vilket fall en avisering ska utlösas: Om parametervärdet är större eller lika med ( GE), mindre eller lika med (LE) eller lika med (EQ)Om SAP-parametern till exempel login/fails_to_user_lock är inställd på LE (mindre eller lika) och värdet 5, när Microsoft Sentinel identifierar en ändring av den här specifika parametern, jämförs det nyligen rapporterade värdet och det förväntade värdet. Om det nya värdet är 4utlöser Microsoft Sentinel ingen avisering. Om det nya värdet är 6utlöser Microsoft Sentinel en avisering.- ProductionSeverity: Incidentens allvarlighetsgrad för produktionssystem. - ProductionValues: Tillåtna värden för produktionssystem. - NonProdSeverity: Incidentens allvarlighetsgrad för icke-produktionssystem. - NonProdValues: Tillåtna värden för icke-produktionssystem. |
| SAP – undantagna användare | Systemanvändare som är inloggade och måste ignoreras, till exempel för aviseringen Flera inloggningar per användare. - Användare: SAP-användare - Beskrivning: En beskrivande användarbeskrivning |
| SAP – undantagna nätverk | Underhåll interna, exkluderade nätverk för att ignorera webbsändare, terminalservrar och så vidare. - Nätverk: Nätverks-IP-adress eller intervall, till exempel 111.68.128.0/17 - Beskrivning: En beskrivande nätverksbeskrivning |
| SAP – föråldrade funktionsmoduler | Föråldrade funktionsmoduler, vars körning ska styras. - FunctionModule: ABAP-funktionsmodul, till exempel TH_SAPREL - Beskrivning: En beskrivande beskrivning av funktionsmodulen |
| SAP – föråldrade program | Föråldrade ABAP-program (rapporter), vars körning ska styras. - ABAPProgram:ABAP Program, till exempel TH_ RSPFLDOC - Beskrivning: En beskrivande beskrivning av ABAP-programmet |
| SAP – Transaktioner för ABAP-generationer | Transaktioner för ABAP-generationer vars körning ska styras. - TransactionCode: Transaktionskod, till exempel SE11. - Beskrivning: En beskrivande beskrivning av transaktionskoden |
| SAP – FTP-servrar | FTP-servrar för identifiering av obehöriga anslutningar. - Klient: till exempel 100. - FTP_Server_Name: FTP-servernamn, till exempel http://contoso.com/ - FTP_Server_Port:FTP-serverport, till exempel 22. - BeskrivningEn beskrivande FTP-serverbeskrivning |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurera SAP-granskningsloggaviseringar genom att tilldela varje meddelande-ID en allvarlighetsgrad som krävs av dig, per systemroll (produktion, icke-produktion). Den här visningslistan innehåller information om alla tillgängliga ID:t för SAP-standardgranskningsloggmeddelanden. Visningslistan kan utökas till att innehålla extra meddelande-ID:t som du kan skapa på egen hand med abap-förbättringar i deras SAP NetWeaver-system. Den här visningslistan gör det också möjligt att konfigurera ett utsett team för att hantera var och en av händelsetyperna och exkludera användare efter SAP-roller, SAP-profiler eller taggar från SAP_User_Config visningslista. Den här visningslistan är en av de viktigaste komponenterna som används för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen. Mer information finns i Övervaka SAP-granskningsloggen. - MessageID: SAP-meddelande-ID eller händelsetyp, till exempel AUD (ändringar i användarhuvudposten) eller AUB (auktoriseringsändringar). - DetailedDescription: En markdown-aktiverad beskrivning som ska visas i incidentfönstret. - ProductionSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för produktionssystem High, Medium. Kan anges som Disabled. - NonProdSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för icke-produktionssystem High, Medium. Kan anges som Disabled. - ProductionThreshold Antalet händelser per timme som ska betraktas som misstänkta för produktionssystem 60. - NonProdThreshold Antalet händelser per timme som ska betraktas som misstänkta för icke-produktionssystem 10. - RolesTagsToExclude: Det här fältet accepterar SAP-rollnamn, SAP-profilnamn eller taggar från SAP_User_Config visningslista. Dessa används sedan för att undanta associerade användare från specifika händelsetyper. Se alternativ för rolltaggar i slutet av den här listan. - RuleType: Används Deterministic för att händelsetypen ska skickas till regeln SAP – Dynamisk deterministisk övervakare av granskningsloggar , eller AnomaliesOnly för att låta den här händelsen omfattas av regeln SAP – Dynamisk avvikelsebaserad övervakning av granskningsloggövervakare (FÖRHANDSVERSION). Mer information finns i Övervaka SAP-granskningsloggen. - TeamsChannelID: en valfri dynamisk parameter för användning i spelböcker. - DestinationEmail: en valfri dynamisk parameter för användning i spelböcker. För fältet RolesTagsToExclude : – Om du listar SAP-roller eller SAP-profiler utesluter detta alla användare med de roller eller profiler som anges från dessa händelsetyper för samma SAP-system. Om du till exempel definierar BASIC_BO_USERS ABAP-rollen för RFC-relaterade händelsetyper utlöser Business Objects-användare inte incidenter när de gör massiva RFC-anrop.– Taggning av en händelsetyp liknar att ange SAP-roller eller -profiler, men taggar kan skapas på arbetsytan, så SOC-team kan exkludera användare efter aktivitet utan att beroende på SAP BASIS-teamet. Till exempel tilldelas granskningsmeddelande-ID:t AUB (auktoriseringsändringar) och AUD (ändringar av användarhuvudpost) taggen MassiveAuthChanges . Användare som tilldelats den här taggen undantas från kontrollerna för dessa aktiviteter. När du kör arbetsytefunktionen SAPAuditLogConfigRecommend skapas en lista över rekommenderade taggar som ska tilldelas till användare, till exempel Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Tillåter finjusteringsaviseringar genom att exkludera/inkludera användare i specifika kontexter och används även för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen. Mer information finns i Övervaka SAP-granskningsloggen. - SAPUser: SAP-användaren - Taggar: Taggar används för att identifiera användare mot viss aktivitet. Om du till exempel lägger till taggarna ["GenericTablebyRFCOK"] i användarens SENTINEL_SRV förhindras att RFC-relaterade incidenter skapas för den här specifika användaren Andra active directory-användaridentifierare – AD-användaridentifierare – Användarens lokala sid – Användarens huvudnamn |
| Namn på visningslista | Beskrivning och fält |
|---|---|
| SAP – Kritiska auktoriseringar | Kritiskt auktoriseringsobjekt, där tilldelningar ska styras. - AuthorizationObject: Ett SAP-auktoriseringsobjekt, till exempel S_DEVELOP, S_TCODEeller Table TOBJ - AuthorizationField: Ett SAP-auktoriseringsfält, till exempel OBJTYP eller TCD - AuthorizationValue: Ett värde för SAP-auktoriseringsfält, till exempel DEBUG - ActivityField : SAP-aktivitetsfält. I de flesta fall är ACTVTdet här värdet . För auktoriseringsobjekt utan aktivitet, eller med endast ett aktivitetsfält , fyllt med NOT_IN_USE. - Aktivitet: SAP-aktivitet, enligt auktoriseringsobjektet, till exempel: 01: Skapa; 02: Ändra; 03: Visa och så vidare. - Beskrivning: En beskrivande beskrivning av kritiskt auktoriseringsobjekt. |
| SAP – undantagna nätverk | För internt underhåll av exkluderade nätverk, till exempel för att ignorera webbsändare, terminalservrar och så vidare. - Nätverk: En nätverks-IP-adress eller ett intervall, till exempel 111.68.128.0/17. - Beskrivning: En beskrivande nätverksbeskrivning. |
| SAP-undantagna användare | Systemanvändare som är inloggade i systemet och måste ignoreras. Till exempel aviseringar för flera inloggningar av samma användare. - Användare: SAP-användare - Beskrivning: En beskrivande användarbeskrivning. |
| SAP – Nätverk | Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar. - Nätverk: Nätverks-IP-adress eller intervall, till exempel 111.68.128.0/17 - Beskrivning: En beskrivande nätverksbeskrivning. |
| SAP – Privilegierade användare | Privilegierade användare som har extra begränsningar. - Användare: ABAP-användaren, till exempel DDIC eller SAP - Beskrivning: En beskrivande användarbeskrivning. |
| SAP – Känsliga ABAP-program | Känsliga ABAP-program (rapporter), där körningen ska styras. - ABAPProgram: ABAP-program eller rapport, till exempel RSPFLDOC - Beskrivning: En beskrivande programbeskrivning. |
| SAP – modul för känslig funktion | Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar. - FunctionModule: En ABAP-funktionsmodul, till exempel RSAU_CLEAR_AUDIT_LOG - Beskrivning: En beskrivande modulbeskrivning. |
| SAP – känsliga profiler | Känsliga profiler, där tilldelningar ska styras. - Profil: SAP-auktoriseringsprofil, till exempel SAP_ALL eller SAP_NEW - Beskrivning: En beskrivande profilbeskrivning. |
| SAP – känsliga tabeller | Känsliga tabeller, där åtkomst ska styras. - Tabell: ABAP-ordlistetabell, till exempel USR02 eller PA008 - Beskrivning: En beskrivande tabellbeskrivning. |
| SAP – känsliga roller | Känsliga roller, där tilldelningen ska styras. - Roll: SAP-auktoriseringsroll, till exempel SAP_BC_BASIS_ADMIN - Beskrivning: En beskrivande rollbeskrivning. |
| SAP – känsliga transaktioner | Känsliga transaktioner där körningen ska styras. - TransactionCode: SAP-transaktionskod, till exempel RZ11 - Beskrivning: En beskrivande kodbeskrivning. |
| SAP – System | Beskriver liggande SAP-system enligt roll, användning och konfiguration. - SystemID: SAP-system-ID (SYSID) - SystemRole: SAP-systemrollen, ett av följande värden: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: SAP-systemanvändningen, ett av följande värden: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: en valfri dynamisk parameter för användning i spelböcker. |
| SAP – undantagna användare | Systemanvändare som är inloggade och måste ignoreras, till exempel för aviseringen Flera inloggningar per användare. - Användare: SAP-användare - Beskrivning: En beskrivande användarbeskrivning |
| SAP – undantagna nätverk | Underhåll interna, exkluderade nätverk för att ignorera webbsändare, terminalservrar och så vidare. - Nätverk: Nätverks-IP-adress eller intervall, till exempel 111.68.128.0/17 - Beskrivning: En beskrivande nätverksbeskrivning |
| SAP – föråldrade funktionsmoduler | Föråldrade funktionsmoduler, vars körning ska styras. - FunctionModule: ABAP-funktionsmodul, till exempel TH_SAPREL - Beskrivning: En beskrivande beskrivning av funktionsmodulen |
| SAP – föråldrade program | Föråldrade ABAP-program (rapporter), vars körning ska styras. - ABAPProgram:ABAP Program, till exempel TH_ RSPFLDOC - Beskrivning: En beskrivande beskrivning av ABAP-programmet |
| SAP – Transaktioner för ABAP-generationer | Transaktioner för ABAP-generationer vars körning ska styras. - TransactionCode: Transaktionskod, till exempel SE11. - Beskrivning: En beskrivande beskrivning av transaktionskoden |
| SAP – FTP-servrar | FTP-servrar för identifiering av obehöriga anslutningar. - Klient: till exempel 100. - FTP_Server_Name: FTP-servernamn, till exempel http://contoso.com/ - FTP_Server_Port:FTP-serverport, till exempel 22. - BeskrivningEn beskrivande FTP-serverbeskrivning |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurera SAP-granskningsloggaviseringar genom att tilldela varje meddelande-ID en allvarlighetsgrad som krävs av dig, per systemroll (produktion, icke-produktion). Den här visningslistan innehåller information om alla tillgängliga ID:t för SAP-standardgranskningsloggmeddelanden. Visningslistan kan utökas till att innehålla extra meddelande-ID:t som du kan skapa på egen hand med abap-förbättringar i deras SAP NetWeaver-system. Den här visningslistan gör det också möjligt att konfigurera ett utsett team för att hantera var och en av händelsetyperna och exkludera användare efter SAP-roller, SAP-profiler eller taggar från SAP_User_Config visningslista. Den här visningslistan är en av de viktigaste komponenterna som används för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen. Mer information finns i Övervaka SAP-granskningsloggen. - MessageID: SAP-meddelande-ID eller händelsetyp, till exempel AUD (ändringar i användarhuvudposten) eller AUB (auktoriseringsändringar). - DetailedDescription: En markdown-aktiverad beskrivning som ska visas i incidentfönstret. - ProductionSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för produktionssystem High, Medium. Kan anges som Disabled. - NonProdSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för icke-produktionssystem High, Medium. Kan anges som Disabled. - ProductionThreshold Antalet händelser per timme som ska betraktas som misstänkta för produktionssystem 60. - NonProdThreshold Antalet händelser per timme som ska betraktas som misstänkta för icke-produktionssystem 10. - RolesTagsToExclude: Det här fältet accepterar SAP-rollnamn, SAP-profilnamn eller taggar från SAP_User_Config visningslista. Dessa används sedan för att undanta associerade användare från specifika händelsetyper. Se alternativ för rolltaggar i slutet av den här listan. - RuleType: Används Deterministic för att händelsetypen ska skickas till regeln SAP – Dynamisk deterministisk övervakare av granskningsloggar , eller AnomaliesOnly för att låta den här händelsen omfattas av regeln SAP – Dynamisk avvikelsebaserad övervakning av granskningsloggövervakare (FÖRHANDSVERSION). Mer information finns i Övervaka SAP-granskningsloggen. - TeamsChannelID: en valfri dynamisk parameter för användning i spelböcker. - DestinationEmail: en valfri dynamisk parameter för användning i spelböcker. För fältet RolesTagsToExclude : – Om du listar SAP-roller eller SAP-profiler utesluter detta alla användare med de roller eller profiler som anges från dessa händelsetyper för samma SAP-system. Om du till exempel definierar BASIC_BO_USERS ABAP-rollen för RFC-relaterade händelsetyper utlöser Business Objects-användare inte incidenter när de gör massiva RFC-anrop.– Taggning av en händelsetyp liknar att ange SAP-roller eller -profiler, men taggar kan skapas på arbetsytan, så SOC-team kan exkludera användare efter aktivitet utan att beroende på SAP BASIS-teamet. Till exempel tilldelas granskningsmeddelande-ID:t AUB (auktoriseringsändringar) och AUD (ändringar av användarhuvudpost) taggen MassiveAuthChanges . Användare som tilldelats den här taggen undantas från kontrollerna för dessa aktiviteter. När du kör arbetsytefunktionen SAPAuditLogConfigRecommend skapas en lista över rekommenderade taggar som ska tilldelas till användare, till exempel Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Tillåter finjusteringsaviseringar genom att exkludera/inkludera användare i specifika kontexter och används även för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen. Mer information finns i Övervaka SAP-granskningsloggen. - SAPUser: SAP-användaren - Taggar: Taggar används för att identifiera användare mot viss aktivitet. Om du till exempel lägger till taggarna ["GenericTablebyRFCOK"] i användarens SENTINEL_SRV förhindras att RFC-relaterade incidenter skapas för den här specifika användaren Andra active directory-användaridentifierare – AD-användaridentifierare – Användarens lokala sid – Användarens huvudnamn |
Tillgängliga spelböcker
Spelböcker som tillhandahålls av Microsoft Sentinel lösning för SAP-program hjälper dig att automatisera arbetsbelastningar för SAP-incidenthantering, vilket förbättrar effektiviteten och effektiviteten i säkerhetsåtgärder.
I det här avsnittet beskrivs inbyggda analysspelböcker som tillhandahålls tillsammans med Microsoft Sentinel lösning för SAP-program.
| Spelboksnamn | Parametrar | Anslutningar |
|---|---|---|
| SAP Incident Response – Lås användare från Teams – Basic | – SAP-SOAP-User-Password – SAP-SOAP-Username – SOAPApiBasePath – DefaultEmail – TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP Incident Response – Lås användare från Teams – Avancerat | – SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail – TeamsChannel |
- Microsoft Sentinel – Azure Övervakarloggar - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| SAP-incidenthantering – Återaktiveringsbar granskningsloggning när den har inaktiverats | – SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail – TeamsChannel |
- Microsoft Sentinel - Azure Key Vault – Azure Övervakarloggar - Microsoft Teams |
I följande avsnitt beskrivs exempel på användningsfall för var och en av de tillhandahållna spelböckerna, i ett scenario där en incident varnade dig för misstänkt aktivitet i ett av SAP-systemen, där en användare försöker utföra en av dessa mycket känsliga transaktioner.
Under fasen för incidenttriage bestämmer du dig för att vidta åtgärder mot den här användaren och sparka ut den från dina SAP ERP- eller BTP-system eller till och med från Microsoft Entra ID.
Mer information finns i Automatisera hotsvar med spelböcker i Microsoft Sentinel
Processen för att distribuera standardlogikappar är vanligtvis mer komplex än för förbrukningslogikappar. Vi har skapat en serie genvägar som hjälper dig att snabbt distribuera dem från Microsoft Sentinel GitHub-lagringsplats. Mer information finns i Stegvis installationsguide.
Tips
Titta på mappen SAP-spelböcker på GitHub-lagringsplatsen för fler spelböcker när de blir tillgängliga. Det finns också en kort introduktionsvideo (extern länk) som hjälper dig att komma igång.
Låsa ut en användare från ett enda system
Skapa en automatiseringsregel för att anropa låsanvändaren från Teams – Basic-spelbok när en känslig transaktionskörning av en obehörig användare identifieras. Den här spelboken använder Teams funktion för adaptiva kort för att begära godkännande innan användaren ensidigt blockeras.
Mer information finns i Från noll till hero-säkerhetstäckning med Microsoft Sentinel för dina kritiska SAP-säkerhetssignaler – Du kommer att höra mig sväva! Del 1 (SAP-blogginlägg).
Låsanvändaren från Teams – Basic-spelboken är en standardspelbok och Standard-spelböcker är vanligtvis mer komplexa att distribuera än förbrukningsspelböcker.
Vi har skapat en serie genvägar som hjälper dig att snabbt distribuera dem från Microsoft Sentinel GitHub-lagringsplats. Mer information finns i Stegvis installationsguide och Logikapptyper som stöds.
Låsa ut en användare från flera system
Låsanvändaren från Teams – Avancerad spelbok uppnår samma mål, men är utformad för mer komplexa scenarier, vilket gör att en enda spelbok kan användas för flera SAP-system, var och en med sitt eget SAP SID.
Lås användare från Teams – Avancerad spelbok hanterar sömlöst anslutningarna till alla dessa system och deras autentiseringsuppgifter med hjälp av den valfria dynamiska parametern InterfaceAttributes i SAP - Systems-visningslistan och Azure Key Vault.
Med låsanvändaren från Teams – Avancerad spelbok kan du också kommunicera med parterna i godkännandeprocessen med hjälp av Outlook-åtgärdsbara meddelanden tillsammans med Teams, med hjälp av parametrarna TeamsChannelID och DestinationEmail i SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista.
Mer information finns i Från noll till hero-säkerhetstäckning med Microsoft Sentinel för dina kritiska SAP-säkerhetssignaler – del 2 (SAP-blogginlägg).
Förhindra inaktivering av granskningsloggning
Du kanske också är bekymrad över att SAP-granskningsloggen, som är en av dina säkerhetsdatakällor, inaktiveras. Vi rekommenderar att du skapar en automatiseringsregel baserad på sap - inaktivering av säkerhetsgranskningslogganalysregeln för att anropa återaktiveringsbar granskningsloggning när den inaktiverade spelboken har inaktiverats för att se till att SAP-granskningsloggen inte är inaktiverad.
Spelboken SAP – Inaktivering av säkerhetsgranskningsloggen använder också Teams, vilket informerar säkerhetspersonalen i efterhand. Brottets allvarlighetsgrad och hur brådskande åtgärden är tyder på att omedelbara åtgärder kan vidtas utan godkännande.
Eftersom spelboken SAP – Inaktivering av säkerhetsgranskningslogg också använder Azure Key Vault för att hantera autentiseringsuppgifter liknar spelbokens konfiguration den för låsanvändaren från Teams – Avancerad spelbok. Mer information finns i Från noll till hero-säkerhetstäckning med Microsoft Sentinel för dina kritiska SAP-säkerhetssignaler – del 3 (SAP-blogginlägg).
Relaterat innehåll
Mer information finns i Distribuera Microsoft Sentinel lösning för SAP-program.