تكوين قواعد مراقبة سجل تدقيق SAP
يسجل سجل تدقيق SAP إجراءات التدقيق والأمان على أنظمة SAP، مثل محاولات تسجيل الدخول الفاشلة أو الإجراءات المشبوهة الأخرى. توضح هذه المقالة كيفية مراقبة سجل تدقيق SAP باستخدام قواعد التحليلات المضمنة في Microsoft Sentinel.
باستخدام هذه القواعد، يمكنك مراقبة جميع أحداث سجل التدقيق، أو الحصول على تنبيهات فقط عند اكتشاف الحالات الشاذة. بهذه الطريقة، يمكنك إدارة سجلات SAP بشكل أفضل، وتقليل الضوضاء دون أي اختراق لقيمة الأمان الخاصة بك.
يمكنك استخدام قاعدتي تحليلات لمراقبة وتحليل بيانات سجل تدقيق SAP:
- SAP - مراقبة سجل التدقيق المحدد الديناميكي (معاينة). تنبيهات على أي أحداث سجل تدقيق SAP مع الحد الأدنى من التكوين. يمكنك تكوين القاعدة لمعدل إيجابي خاطئ أقل. تعرف على كيفية تكوين القاعدة.
- SAP - تنبيهات مراقبة سجل التدقيق المستندة إلى الانحراف الديناميكي (معاينة). التنبيهات على أحداث سجل تدقيق SAP عند الكشف عن الحالات الشاذة، باستخدام قدرات التعلم الآلي وبدون الحاجة إلى ترميز. تعرف على كيفية تكوين القاعدة.
يتم تسليم قاعدتي مراقبة سجل تدقيق SAP على أنها جاهزة لنفاد الصندوق، والسماح بمزيد من الضبط الدقيق باستخدام قوائم المراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration SAP_User_Config.
الكشف عن الحالات الشاذة
عند محاولة تحديد أحداث الأمان في سجل نشاط متنوع مثل سجل تدقيق SAP، تحتاج إلى موازنة جهد التكوين ومقدار الضوضاء التي تنتجها التنبيهات.
باستخدام وحدة سجل تدقيق SAP في حل Sentinel ل SAP، يمكنك اختيار:
- الأحداث التي تريد النظر إليها بشكل محدد، باستخدام حدود وعوامل تصفية مخصصة ومعرفة مسبقا.
- ما هي الأحداث التي تريد تركها، حتى يتمكن الجهاز من تعلم المعلمات من تلقاء نفسه.
بمجرد وضع علامة على نوع حدث سجل تدقيق SAP للكشف عن الحالات الشاذة، يتحقق محرك التنبيه من الأحداث التي تم دفقها مؤخرا من سجل تدقيق SAP. يتحقق المحرك من أن الأحداث تبدو طبيعية، مع الأخذ في الاعتبار التاريخ الذي تعلمه.
يتحقق Microsoft Sentinel من حدث أو مجموعة من الأحداث للبحث عن الحالات الشاذة. يحاول مطابقة الحدث أو مجموعة الأحداث مع الأنشطة التي تمت مشاهدتها مسبقا من نفس النوع، على مستوى المستخدم والنظام. تتعلم الخوارزمية خصائص الشبكة للمستخدم على مستوى قناع الشبكة الفرعية، ووفقا للموسمية.
باستخدام هذه القدرة، يمكنك البحث عن الحالات الشاذة في أنواع الأحداث الهادئة سابقا، مثل أحداث تسجيل دخول المستخدم. على سبيل المثال، إذا قام المستخدم JohnDoe بتسجيل الدخول مئات المرات في الساعة، يمكنك الآن السماح ل Microsoft Sentinel بتحديد ما إذا كان السلوك مريبا. هل هذا جون من المحاسبة، أو تحديث لوحة معلومات مالية بشكل متكرر مع مصدر بيانات متعدد، أو تشكيل هجوم DDoS؟
إعداد قاعدة SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) للكشف عن الحالات الشاذة
إذا لم تكن بيانات سجل تدقيق SAP الخاصة بك تقوم بالفعل ببث البيانات إلى مساحة عمل Microsoft Sentinel، فتعرف على كيفية نشر الحل.
- من قائمة التنقل في Microsoft Sentinel، ضمن إدارة المحتوى، حدد مركز المحتوى (معاينة).
- تحقق مما إذا كانت المراقبة المستمرة للمخاطر لتطبيق SAP تحتوي على تحديثات.
- من قائمة التنقل، ضمن Analytics، قم بتمكين تنبيهات سجل التدقيق 3 هذه:
- SAP - مراقبة سجل التدقيق المحدد الديناميكي. يتم تشغيله كل 10 دقائق ويركز على أحداث سجل تدقيق SAP التي تم وضع علامة عليها على أنها محددة.
- SAP - (معاينة) تنبيهات مراقبة سجل التدقيق المستندة إلى الانحراف الديناميكي. يعمل كل ساعة ويركز على أحداث SAP التي تم وضع علامة عليها على أنها AnomaliesOnly.
- SAP - التكوين المفقود في مراقبة سجل تدقيق الأمان الديناميكي. يتم تشغيله يوميا لتوفير توصيات التكوين لوحدة سجل تدقيق SAP.
يقوم Microsoft Sentinel الآن بفحص سجل تدقيق SAP بأكمله على فترات منتظمة، بحثا عن أحداث الأمان الحتمية والشذوذ. يمكنك عرض الحوادث التي ينشئها هذا السجل في صفحة الحوادث .
كما هو الحال مع كل حل للتعلم الآلي، فإنه سيعمل بشكل أفضل مع الوقت. يعمل الكشف عن الحالات الشاذة بشكل أفضل باستخدام سجل تدقيق SAP لمدة سبعة أيام أو أكثر.
تكوين أنواع الأحداث باستخدام قائمة المشاهدة SAP_Dynamic_Audit_Log_Monitor_Configuration
يمكنك تكوين أنواع الأحداث التي تنتج عددا كبيرا جدا من الحوادث باستخدام قائمة مشاهدة SAP_Dynamic_Audit_Log_Monitor_Configuration . فيما يلي بعض الخيارات لتقليل الحوادث.
| خيار | الوصف |
|---|---|
| تعيين الخطورة وتعطيل الأحداث غير المرغوب فيها | بشكل افتراضي، تنشئ كل من القواعد الحتمية والقواعد المستندة إلى الحالات الشاذة تنبيهات للأحداث التي تم وضع علامة عليها بخطورة متوسطة وعالية. يمكنك تعيين هذه الخطورة خصيصا للبيئات الإنتاجية وغير الإنتاجية. على سبيل المثال، يمكنك تعيين حدث نشاط تصحيح الأخطاء كخطورة عالية في أنظمة الإنتاج، وتعطيل هذه الأحداث في الأنظمة غير الإنتاجية. |
| استبعاد المستخدمين من خلال أدوار SAP أو ملفات تعريف SAP الخاصة بهم | يبتغى Microsoft Sentinel ل SAP ملف تعريف تخويل مستخدم SAP، بما في ذلك تعيينات الأدوار والمجموعات وملفات التعريف المباشرة وغير المباشرة، بحيث يمكنك التحدث بلغة SAP في SIEM الخاص بك. يمكنك تكوين حدث SAP لاستبعاد المستخدمين استنادا إلى أدوار SAP وملفات التعريف الخاصة بهم. في قائمة المشاهدة، أضف الأدوار أو ملفات التعريف التي تجمع مستخدمي واجهة RFC في العمود RolesTagsToExclude ، بجوار حدث الوصول إلى الجدول العام بواسطة RFC . من الآن فصاعدا، ستحصل على تنبيهات فقط للمستخدمين الذين يفتقدون هذه الأدوار. |
| استبعاد المستخدمين بواسطة علامات SOC الخاصة بهم | باستخدام العلامات، يمكنك التوصل إلى تجميع خاص بك، دون الاعتماد على تعريفات SAP المعقدة أو حتى بدون تخويل SAP. هذه الطريقة مفيدة لفرق SOC التي تريد إنشاء تجميع خاص بها لمستخدمي SAP. من الناحية المفاهيمية، يعمل استبعاد المستخدمين حسب العلامات مثل علامات الاسم: يمكنك تعيين أحداث متعددة في التكوين بعلامات متعددة. لا تحصل على تنبيهات لمستخدم لديه علامة مقترنة بحدث معين. على سبيل المثال، لا تريد تنبيه حسابات خدمة معينة للوصول العام إلى الجدول بواسطة أحداث RFC ، ولكن لا يمكنك العثور على دور SAP أو ملف تعريف SAP الذي يجمع هؤلاء المستخدمين. في هذه الحالة، يمكنك إضافة علامة GenTableRFCReadOK بجوار الحدث ذي الصلة في قائمة المشاهدة، ثم الانتقال إلى قائمة المشاهدة SAP_User_Config وتعيين نفس العلامة لمستخدمي الواجهة. |
| تحديد حد تردد لكل نوع حدث ودور النظام | يعمل مثل حد السرعة. على سبيل المثال، يمكنك أن تقرر أن أحداث تغيير السجل الرئيسي للمستخدم الصاخبة تؤدي فقط إلى تشغيل التنبيهات إذا تمت ملاحظة أكثر من 12 نشاطا في ساعة واحدة، من قبل نفس المستخدم في نظام إنتاج. إذا تجاوز المستخدم الحد الأقصى البالغ 12 في الساعة - على سبيل المثال، حدثان في نافذة مدتها 10 دقائق - يتم تشغيل حدث. |
| الحتمية أو الحالات الشاذة | إذا كنت تعرف خصائص الحدث، يمكنك استخدام الإمكانات الحتمية. إذا لم تكن متأكدا من كيفية تكوين الحدث بشكل صحيح، يمكن أن تقرر قدرات التعلم الآلي. |
| قدرات SOAR | يمكنك استخدام Microsoft Sentinel لزيادة تنسيق الحوادث التي يمكن تطبيقها على التنبيهات الديناميكية لسجل تدقيق SAP وأتمتتها والاستجابة لها. تعرف على تنسيق الأمان والأتمتة والاستجابة (SOAR). |
الخطوات التالية
في هذه المقالة، تعلمت كيفية مراقبة سجل تدقيق SAP باستخدام قواعد التحليلات المضمنة في Microsoft Sentinel.