حل Microsoft Sentinel لتطبيقات SAP®: مرجع محتوى الأمان
توضح هذه المقالة بالتفصيل محتوى الأمان المتوفر لحل Microsoft Sentinel لـ SAP.
هام
بينما يكون حل Microsoft Sentinel لتطبيقات SAP® في GA، تظل بعض المكونات المحددة في PREVIEW. تشير هذه المقالة إلى المكونات الموجودة في المعاينة في الأقسام ذات الصلة أدناه. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
يتضمن محتوى الأمان المتوفر المصنفات المضمنة وقواعد التحليلات. يمكنك أيضًا إضافة قوائم المشاهدة المتعلقة بـ SAP لاستخدامها في البحث وقواعد الكشف وتتبع التهديدات ودلائل المبادئ الخاصة بالاستجابة.
المصنفات المضمنة
استخدم المصنفات المدمجة التالية لتصور ومراقبة البيانات التي يتم يستوعبها موصل البيانات في SAP. بعد نشر حل SAP، يمكنك العثور على مصنفات SAP في علامة التبويب مصنفاتي .
| اسم المصنف | الوصف | السجلات |
|---|---|---|
| SAP - مستعرض سجل التدقيق | عرض بيانات مثل: - صحة النظام العامة، بما في ذلك عمليات تسجيل دخول المستخدم بمرور الوقت، والأحداث التي تناولها النظام، وفئات الرسائل والمعرفات، وبرامج ABAP التي يتم تشغيلها -خطورة الأحداث التي تحدث في النظام الخاص بك - أحداث المصادقة والتخويل التي تحدث في النظام الخاص بك |
يستخدم البيانات من السجل التالي: ABAPAuditLog_CL |
| عناصر تحكم تدقيق SAP | يساعدك على التحقق من عناصر تحكم الأمان الخاصة ببيئة SAP للامتثال لإطار عمل التحكم الذي اخترته، باستخدام أدوات للقيام بما يلي: - تعيين قواعد التحليلات في بيئتك لعناصر تحكم أمنية محددة وعائلات تحكم - مراقبة وتصنيف الحوادث التي تم إنشاؤها بواسطة قواعد التحليلات المستندة إلى حلول SAP - الإبلاغ عن التوافق الخاص بك |
يستخدم البيانات من الجداول التالية: - SecurityAlert- SecurityIncident |
لمزيد من المعلومات، راجع البرنامج التعليمي: تصور بياناتك ومراقبتها ونشر حل Microsoft Sentinel لتطبيقات SAP®.
قواعد التحليلات المدمجة
مراقبة تكوين معلمات أمان SAP الثابتة (معاينة)
لتأمين نظام SAP، حددت SAP المعلمات المتعلقة بالأمان التي تحتاج إلى مراقبة التغييرات. مع قاعدة "SAP - (معاينة) تم تغيير المعلمة الثابتة الحساسة"، يتعقب حل Microsoft Sentinel لتطبيقات SAP® أكثر من 52 معلمة ثابتة متعلقة بالأمان في نظام SAP، والتي تم تضمينها في Microsoft Sentinel.
إشعار
بالنسبة لحل Microsoft Sentinel لتطبيقات SAP® لمراقبة معلمات أمان SAP بنجاح، يحتاج الحل إلى مراقبة جدول SAP PAHI بنجاح على فترات منتظمة. تحقق من أن الحل يمكنه مراقبة جدول PAHI بنجاح.
لفهم تغييرات المعلمات في النظام، يستخدم حل Microsoft Sentinel لتطبيقات SAP® جدول محفوظات المعلمات، الذي يسجل التغييرات التي يتم إجراؤها على معلمات النظام كل ساعة.
تنعكس المعلمات أيضا في قائمة مراقبة SAPSystemParameters. تسمح قائمة المشاهدة هذه للمستخدمين بإضافة معلمات جديدة وتعطيل المعلمات الموجودة وتعديل القيم والخطورة لكل معلمة ودور النظام في بيئات الإنتاج أو غير الإنتاج.
عند إجراء تغيير على إحدى هذه المعلمات، يتحقق Microsoft Sentinel لمعرفة ما إذا كان التغيير متعلقا بالأمان وما إذا تم تعيين القيمة وفقا للقيم الموصى بها. إذا كان التغيير مشتبها به خارج المنطقة الآمنة، ينشئ Microsoft Sentinel حدثا يفصل التغيير، ويحدد من قام بالتغيير.
راجع قائمة المعلمات التي تراقبها هذه القاعدة.
مراقبة سجل تدقيق SAP
يتم استخدام بيانات سجل تدقيق SAP عبر العديد من قواعد التحليلات لحل Microsoft Sentinel لتطبيقات SAP®. تبحث بعض قواعد التحليلات عن أحداث معينة في السجل، بينما تربط قواعد أخرى مؤشرات من عدة سجلات لإنتاج تنبيهات وحوادث عالية الدقة.
بالإضافة إلى ذلك، هناك قاعدتان للتحليل تم تصميمهما لاستيعاب المجموعة الكاملة من أحداث سجل تدقيق SAP القياسية (183 حدثًا مختلفًا)، وأي أحداث مخصصة أخرى قد تختار تسجيلها باستخدام سجل تدقيق SAP.
تشترك كل من قواعد تحليلات مراقبة سجل تدقيق SAP في نفس مصادر البيانات والتكوين نفسه ولكنها تختلف في جانب واحد مهم. بينما تتطلب قاعدة "SAP - Dynamic Deterministic Audit Log Monitor" حدود التنبيه المحددة وقواعد استبعاد المستخدم، تطبق قاعدة "SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)" خوارزميات التعلم الآلي الإضافية لتصفية الضوضاء الخلفية بطريقة غير خاضعة للإشراف. لهذا السبب، بشكل افتراضي، يتم إرسال معظم أنواع الأحداث (أو معرفات رسائل SAP) لسجل تدقيق SAP إلى قاعدة التحليلات "المستندة إلى الحالات الشاذة"، بينما يتم إرسال أنواع الأحداث الأسهل لتحديدها إلى قاعدة التحليلات المحددة. يمكن تكوين هذا الإعداد، إلى جانب الإعدادات الأخرى ذات الصلة، بشكل أكبر ليناسب أي شروط للنظام.
SAP - مراقبة سجل التدقيق المحدد الديناميكي
قاعدة تحليلات ديناميكية مخصصة لتغطية المجموعة الكاملة لأنواع أحداث سجل تدقيق SAP والتي لها تعريف محدد من حيث عدد المستخدمين، وحدود الأحداث.
- تكوين القاعدة مع قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration
- تعرف على المزيد حول كيفية تكوين القاعدة (الإجراء الكامل)
SAP - تنبيهات مراقبة سجل التدقيق المستندة إلى الانحراف الديناميكي (معاينة)
قاعدة تحليلات ديناميكية مصممة لتعلم سلوك النظام العادي، والتنبيه إلى الأنشطة التي تمت ملاحظتها في سجل تدقيق SAP والتي تعتبر شاذة. تطبيق هذه القاعدة على أنواع أحداث سجل تدقيق SAP التي يصعب تحديدها من حيث عدد المستخدمين وسمات الشبكة والحدود.
اعرف المزيد:
- تكوين القاعدة باستخدام قوائم مشاهدة SAP_Dynamic_Audit_Log_Monitor_Configuration SAP_User_Config
- تعرف على المزيد حول كيفية تكوين القاعدة (الإجراء الكامل)
تسرد الجداول التالية قواعد التحليلات المضمنة المضمنة في حل Microsoft Sentinel لتطبيقات SAP®، المنشورة من سوق حلول Microsoft Sentinel.
الوصول الأولي
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| SAP - مرتفع - تسجيل الدخول من شبكة غير متوقعة | تحديد تسجيل الدخول من شبكة غير متوقعة. احتفظ بالشبكات في قائمة المشاهدة SAP - Networks. |
سجل الدخول إلى نظام الواجهة الخلفية من عنوان IP لم يتم تعيينه إلى إحدى الشبكات. مصادر البيانات: SAPcon - سجل التدقيق |
الوصول الأولي |
| SAP - SPNego Attack | يحدد SPNego Replay Attack. | مصادر البيانات: SAPcon - سجل التدقيق | التأثير، والحركة الجانبية |
| SAP - محاولة تسجيل الدخول إلى مربع الحوار من مستخدم متميز | يحدد محاولات تسجيل الدخول إلى مربع الحوار، باستخدام نوع AUM ، من قبل المستخدمين المميزين في نظام SAP. للمزيد من المعلومات، راجع SAPUsersGetPrivaleged. | محاولة تسجيل الدخول من نفس IP إلى العديد من الأنظمة أو العملاء خلال الفترة الزمنية المقررة مصادر البيانات: SAPcon - سجل التدقيق |
التأثير، والحركة الجانبية |
| SAP - هجمات القوة الغاشمة | يحدد هجمات القوة الغاشمة على نظام SAP باستخدام عمليات تسجيل دخول RFC | محاولة تسجيل الدخول من نفس IP إلى العديد من الأنظمة/العملاء خلال الفاصل الزمني المجدول باستخدام RFC مصادر البيانات: SAPcon - سجل التدقيق |
الوصول إلى بيانات تسجيل الدخول |
| SAP - تسجيلات دخول متعددة من نفس IP | يحدد تسجيل الدخول للعديد من المستخدمين من نفس عنوان IP خلال فترة زمنية مجدولة. حالة الاستخدام الفرعي: الاستمرارية |
قم بتسجيل الدخول باستخدام العديد من المستخدمين من خلال نفس عنوان IP. مصادر البيانات: SAPcon - سجل التدقيق |
الوصول الأولي |
| SAP - عمليات تسجيل دخول متعددة حسب المستخدم | يحدد عمليات تسجيل الدخول لنفس المستخدم من أجهزة طرفية مختلفة خلال الفترة الزمنية المقررة. متوفر فقط عبر أسلوب Audit SAL، لإصدارات SAP 7.5 والإصدارات الأحدث. |
قم بتسجيل الدخول باستخدام نفس المستخدم باستخدام عناوين IP مختلفة. مصادر البيانات: SAPcon - سجل التدقيق |
PreAttack، الوصول إلى بيانات الاعتماد، الوصول الأولي، المجموعة حالة الاستخدام الفرعي: الاستمرارية |
| SAP - توعوي - دورة الحياة - تم تطبيق ملاحظات SAP في النظام | يحدد تطبيق ملاحظة SAP في النظام. | تطبيق ملاحظة SAP باستخدام SNOTE/TCI. مصادر البيانات: SAPcon - طلبات التغيير |
- |
تسرب البيانات
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| SAP - FTP للخوادم غير المعتمدة | يحدد اتصال FTP لخادم غير مصرح به. | إنشاء اتصال FTP جديد، مثل استخدام وحدة وظيفة FTP_CONNECT. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف، والوصول الأولي، والقيادة، والتحكم |
| SAP - تكوين خوادم FTP غير الآمنة | يحدد تكوينات خادم FTP غير الآمنة، مثل عندما تكون قائمة السماح لـ FTP فارغة أو تحتوي على عناصر إضافية. | لا تحتفظ بالقيم التي تحتوي على عناصر نائبة في جدول SAPFTP_SERVERS أو تحتفظ بها، باستخدام طريقة عرض الصيانة SAPFTP_SERVERS_V. (SM30) مصادر البيانات: SAPcon - سجل التدقيق |
الوصول الأولي والأوامر والتحكم |
| SAP - تنزيل ملفات متعددة | يحدد تنزيلات الملفات المتعددة للمستخدم ضمن نطاق زمني محدد. | تنزيل ملفات متعددة باستخدام SAPGui لـ Excel والقوائم وما إلى ذلك. مصادر البيانات: SAPcon - سجل التدقيق |
المجموعة، والنقل غير المصرح به، والوصول لمعلومات تسجيل الدخول |
| SAP - عمليات تنفيذ مستودع متعددة | تحدد المحاولات المتعددة للتخزين لأحد المستخدمين في نطاق زمني محدد. | إنشاء وتشغيل مهام تخزين متعددة من أي نوع بواسطة مستخدم. (SP01) مصادر البيانات: SAPcon - سجل التخزين، SAPcon - سجل التدقيق |
المجموعة، والنقل غير المصرح به، والوصول لمعلومات تسجيل الدخول |
| SAP - عمليات تنفيذ إخراج مستودع متعدد | تحدد المحاولات المتعددة للتخزين لأحد المستخدمين في نطاق زمني محدد. | إنشاء وتشغيل مهام تخزين متعددة من أي نوع بواسطة مستخدم. (SP01) مصادر البيانات: SAPcon - سجل إخراج التخزين، SAPcon - سجل التدقيق |
المجموعة، والنقل غير المصرح به، والوصول لمعلومات تسجيل الدخول |
| SAP - الوصول المباشر للجداول الحساسة بواسطة تسجيل الدخول إلى RFC | يحدد الوصول إلى الجدول العام بواسطة تسجيل الدخول إلى RFC. احتفظ بالجداول في قائمة المشاهدة SAP - الجداول الحساسة . ملاحظة: ذات صلة بأنظمة الإنتاج فقط. |
افتح محتويات الجدول باستخدام SE11/SE16/SE16N. مصادر البيانات: SAPcon - سجل التدقيق |
المجموعة، والنقل غير المصرح به، والوصول لمعلومات تسجيل الدخول |
| SAP - Spool Takeover | يحدد المستخدم الذي يقوم بطباعة طلب تخزين تم إنشاؤه بواسطة شخص آخر. | قم بإنشاء طلب تخزين باستخدام مستخدم واحد، ثم قم بإخراجه باستخدام مستخدم مختلف. مصادر البيانات : SAPcon - سجل التخزين، SAPcon - سجل إخراج التخزين، SAPcon - سجل التدقيق |
التجميع، والنقل غير المصرح به، والأمر والتحكم |
| SAP - وجهة RFC الديناميكية | يحدد تنفيذ RFC باستخدام وجهات ديناميكية. حالة الاستخدام الفرعي: محاولات تجاوز آليات أمان SAP |
تنفيذ تقرير ABAP الذي يستخدم وجهات ديناميكية (cl_dynamic_destination). على سبيل المثال، DEMO_RFC_DYNAMIC_DEST. مصادر البيانات: SAPcon - سجل التدقيق |
المجموعة، النقل غير المصرح به |
| SAP - الوصول المباشر للجداول الحساسة حسب تسجيل الدخول إلى مربع الحوار | يحدد الوصول للجدول العام عن طريق مربع تسجيل الدخول. | فتح محتويات الجدول باستخدام SE11/SE16/SE16N. مصادر البيانات: SAPcon - سجل التدقيق |
اكتشاف |
| SAP - (معاينة) ملف تم تنزيله من عنوان IP ضار | تحديد تنزيل ملف من نظام SAP باستخدام عنوان IP معروف بأنه ضار. يتم الحصول على عناوين IP الضارة من خدمات التحليل الذكي للمخاطر. | قم بتنزيل ملف من عنوان IP ضار. مصادر البيانات: سجل تدقيق أمان SAP، التحليل الذكي للمخاطر |
النقل غير المصرَّح به |
| SAP - (معاينة) البيانات المصدرة من نظام إنتاج باستخدام النقل | تحديد تصدير البيانات من نظام إنتاج باستخدام النقل. تستخدم وسائل النقل في أنظمة التطوير وهي مشابهة لطلبات السحب. تؤدي قاعدة التنبيه هذه إلى تشغيل الحوادث ذات الخطورة المتوسطة عند إصدار نقل يتضمن بيانات من أي جدول من نظام إنتاج. تنشئ القاعدة حدثا شديد الخطورة عندما يتضمن التصدير بيانات من جدول حساس. | تحرير نقل من نظام إنتاج. مصادر البيانات: سجل SAP CR، SAP - الجداول الحساسة |
النقل غير المصرَّح به |
| SAP - (معاينة) البيانات الحساسة المحفوظة في محرك أقراص USB | تحديد تصدير بيانات SAP عبر الملفات. تتحقق القاعدة من البيانات المحفوظة في محرك أقراص USB مثبت مؤخرا بالقرب من تنفيذ معاملة حساسة أو برنامج حساس أو الوصول المباشر إلى جدول حساس. | تصدير بيانات SAP عبر الملفات وحفظها في محرك أقراص USB. مصادر البيانات: سجل تدقيق أمان SAP وDeviceFileEvents (Microsoft Defender لنقطة النهاية) وSAP - الجداول الحساسة وSAP - المعاملات الحساسة وSAP - البرامج الحساسة |
النقل غير المصرَّح به |
| SAP - (معاينة) طباعة البيانات التي يحتمل أن تكون حساسة | تحديد طلب أو طباعة فعلية للبيانات التي يحتمل أن تكون حساسة. تعتبر البيانات حساسة إذا حصل المستخدم على البيانات كجزء من معاملة حساسة أو تنفيذ برنامج حساس أو وصول مباشر إلى جدول حساس. | طباعة البيانات الحساسة أو طلب طباعتها. مصادر البيانات: سجل تدقيق أمان SAP، سجلات SAP Spool، SAP - الجداول الحساسة، SAP - البرامج الحساسة |
النقل غير المصرَّح به |
| SAP - (معاينة) حجم كبير من البيانات الحساسة المحتمل تصديرها | تحديد تصدير حجم كبير من البيانات عبر الملفات القريبة من تنفيذ معاملة حساسة أو برنامج حساس أو الوصول المباشر إلى جدول حساس. | تصدير حجم كبير من البيانات عبر الملفات. مصادر البيانات: سجل تدقيق أمان SAP، SAP - الجداول الحساسة، SAP - المعاملات الحساسة، SAP - البرامج الحساسة |
النقل غير المصرَّح به |
الثبات
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| SAP - تنشيط خدمة ICF أو إلغاء تنشيطها | يحدد تفعيل خدمات ICF أو تعطيلها. | تفعيل خدمة باستخدام SICF. مصادر البيانات : SAPcon - سجل بيانات الجدول |
الأوامر والتحكم، والحركة الجانبية، والاستمرار |
| SAP - الوحدة النمطية للدالة التي تم اختبارها | يحدد اختبار وحدة الوظيفة. | اختبر وحدة الوظيفة باستخدام SE37 / SE80. مصادر البيانات: SAPcon - سجل التدقيق |
التجميع، التهرب الدفاعي، الحركة الجانبية |
| SAP - (معاينة) HANA DB -إجراءات مسؤول المستخدم | يحدد إجراءات إدارة المستخدم. | إنشاء أو تحديث أو حذف مستخدم قاعدة بيانات. مصادر البيانات: عامل Linux - Syslog * |
زيادة الامتيازات |
| SAP - معالجات خدمة ICF الجديدة | يحدد إنشاء معالجات ICF. | تعيين معالج جديد لخدمة ما باستخدام SICF. مصادر البيانات: SAPcon - سجل التدقيق |
الأوامر والتحكم، والحركة الجانبية، والاستمرار |
| SAP - خدمات ICF الجديدة | يحدد إنشاء خدمات ICF. | إنشاء خدمة باستخدام SICF. مصادر البيانات : SAPcon - سجل بيانات الجدول |
الأوامر والتحكم، والحركة الجانبية، والاستمرار |
| SAP - تنفيذ وحدة دالة قديمة أو غير آمنة | يحدد تنفيذ وحدة وظيفة ABAP القديمة أو غير الآمنة. احتفظ بالوظائف القديمة في قائمة المشاهدة SAP - وحدات الوظيفة القديمة . تأكد من تنشيط تغييرات تسجيل الجدول لجدول EUFUNC في الخلفية. (SE13)ملاحظة: ذات صلة بأنظمة الإنتاج فقط. |
قم بتشغيل وحدة وظيفة قديمة أو غير آمنة باستخدام SE37 مباشرة. مصادر البيانات : SAPcon - سجل بيانات الجدول |
الاكتشاف والأوامر والتحكم |
| SAP - تنفيذ برنامج قديم/غير آمن | يحدد تنفيذ برنامج ABAP قديم أو غير آمن. حافظ على البرامج المتقادمة في قائمة المشاهدة SAP - البرامج المتقادمة. ملاحظة: ذات صلة بأنظمة الإنتاج فقط. |
قم بتشغيل برنامج باستخدام SE38/SA38/SE80 مباشرة، أو باستخدام مهمة في الخلفية. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف والأوامر والتحكم |
| SAP - تغييرات كلمة المرور المتعددة حسب المستخدم | يحدد العديد من تغييرات كلمة المرور حسب المستخدم. | تغيير كلمة مرور المستخدم مصادر البيانات: SAPcon - سجل التدقيق |
الوصول إلى بيانات تسجيل الدخول |
محاولات تجاوز آليات أمان SAP
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| SAP - تغيير تكوين العميل | يحدد التغييرات لتكوين العميل مثل دور العميل أو وضع تسجيل التغيير. | قم بإجراء تغييرات في تكوين العميل باستخدام التعليمة البرمجية للعملية SCC4. مصادر البيانات: SAPcon - سجل التدقيق |
التهرب الدفاعي والنقل غير المصرح به والاستمرار |
| SAP - تم تغيير البيانات أثناء نشاط تصحيح الأخطاء | يحدد التغييرات لبيانات وقت التشغيل أثناء نشاط تصحيح الأخطاء. حالة الاستخدام الفرعي: الاستمرارية |
1. تنشيط تتبع الأخطاء («/h»). 2. حدد حقلًا للتغيير وحدث قيمته. مصادر البيانات: SAPcon - سجل التدقيق |
التنفيذ والحركة الجانبية |
| SAP - إلغاء تنشيط سجل تدقيق الأمان | يحدد تعطيل سجل تدقيق الأمان | تعطيل سجل تدقيق الأمان باستخدام SM19/RSAU_CONFIG. مصادر البيانات: SAPcon - سجل التدقيق |
النقل غير المصرح به، والتهرب الدفاعي والاستمرار |
| SAP - تنفيذ برنامج ABAP حساس | يحدد التنفيذ المباشر لبرنامج ABAP الحساس. حافظ على برامج ABAP في قائمة المشاهدة SAP - برامج ABAP الحساسة. |
تشغيل برنامج مباشرة باستخدام SE38/SA38/SE80. مصادر البيانات: SAPcon - سجل التدقيق |
النقل غير المصرح به، الحركة الجانبية، التنفيذ |
| SAP - تنفيذ رمز المعاملة الحساسة | يحدد تنفيذ التعليمة البرمجية للعملية الحساسة. احتفظ بالتعليمة البرمجية للعملية في قائمة المشاهدة SAP - التعليمات البرمجية للعملية. |
قم بتشغيل التعليمة البرمجية للعملية الحساسة. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف، والتنفيذ |
| SAP - تنفيذ الوحدة النمطية للدالة الحساسة | يحدد تنفيذ وحدة وظيفة ABAP حساسة. حالة الاستخدام الفرعي: الاستمرارية ملاحظة: ذات صلة بأنظمة الإنتاج فقط. الحفاظ على الوظائف الحساسة في قائمة المشاهدة SAP - وحدات الوظيفة الحساسة والتأكد من تنشيط تغييرات تسجيل الجدول في الواجهة الخلفية لجدول EUFUNC. (SE13) |
تشغيل وحدة وظيفة حساسة مباشرة باستخدام SE37. مصادر البيانات : SAPcon - سجل بيانات الجدول |
الاكتشاف والأوامر والتحكم |
| SAP - (معاينة) HANA DB -تدقيق تغييرات نهج المسار | يحدد التغييرات في نُهج سجل التدقيق لقاعدة بيانات HANA. | إنشاء أو تحديث نهج التدقيق الحالية في التعريفات الأمنية. مصادر البيانات: عامل Linux - Syslog |
الحركة الجانبية، التهرب الدفاعي، الاستمرار |
| SAP - (معاينة) HANA DB -إلغاء تنشيط مسار التدقيق | يحدد تعطيل سجل التدقيق لـ HANA DB. | إلغاء تفعيل سجل مراجعة الحسابات في تعريف HANA DB الأمني. مصادر البيانات: عامل Linux - Syslog |
الاستمرار، والحركة الجانبية، التهرب الدفاعي |
| SAP - التنفيذ غير المصرح به عن بعد لوحدة وظيفية حساسة | يكتشف عمليات التنفيذ غير المصرح بها للأجهزة الظاهرية الحساسة عن طريق مقارنة النشاط بملف تعريف تخويل المستخدم مع تجاهل التخويلات التي تم تغييرها مؤخرا. احتفظ بوحدات الدالة في قائمة المشاهدة SAP - وحدات الوظيفة الحساسة . |
تشغيل وحدة وظيفة باستخدام RFC. مصادر البيانات: SAPcon - سجل التدقيق |
التنفيذ، الحركة الجانبية، الاكتشاف |
| SAP - تغيير تكوين النظام | يحدد التغييرات لتكوين النظام. | تكييف خيارات تغيير النظام أو تعديل مكون البرمجيات باستخدام التعليمة البرمجية للعملية SE06.مصادر البيانات: SAPcon - سجل التدقيق |
النقل غير المصرح به، والتهرب الدفاعي والاستمرار |
| SAP - أنشطة تصحيح الأخطاء | تحديد جميع الأنشطة المتعلقة بتصحيح الأخطاء. حالة الاستخدام الفرعي: الاستمرارية |
تنشيط تتبع الأخطاء («/h») في النظام، وتصحيح عملية نشطة، وإضافة نقطة فاصلة إلى رمز المصدر، وما إلى ذلك. مصادر البيانات: SAPcon - سجل التدقيق |
اكتشاف |
| SAP - تغيير تكوين سجل تدقيق الأمان | يحدد التغييرات في شكل سجل تدقيق حسابات الأمان | قم بتغيير أي تكوين سجل تدقيق الأمان باستخدام SM19/RSAU_CONFIG، مثل عوامل التصفية والحالة ووضع التسجيل وما إلى ذلك. مصادر البيانات: SAPcon - سجل التدقيق |
الاستمرار والنقل غير المصرح به، التهرب الدفاعي |
| SAP - المعاملة غير مؤمنة | يحدد إلغاء تأمين العملية. | فتح تعليمة برمجية للعملية باستخدام SM01/SM01_DEV/SM01_CUS. مصادر البيانات: SAPcon - سجل التدقيق |
الاستمرار والتنفيذ |
| SAP - برنامج ABAP الديناميكي | يحدد تنفيذ برمجة ABAP الديناميكية. على سبيل المثال، عندما تم إنشاء التعليمة البرمجية ABAP ديناميكيًا أو تغييرها أو حذفها. احتفظ بالتعليمات البرمجية للعمليات المستبعدة في قائمة المشاهدةSAP - العمليات الخاصة بأجيال ABAP. |
قم بإنشاء تقرير ABAP الذي يستخدم أوامر إنشاء برامج ABAP، مثل INSERT REPORT، ثم قم بتشغيل التقرير. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف والأوامر والتحكم والتأثير |
عمليات الامتيازات المشبوهة
| اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
|---|---|---|---|
| SAP - التغيير في المستخدم المميز الحساس | يحدد تغييرات المستخدمين المتميزين الحساسين. حافظ على المستخدمين المتميزين في قائمة المشاهدة SAP - المستخدمون المتميزون. |
قم بتغيير تفاصيل المستخدم/التخويلات باستخدام SU01. مصادر البيانات: SAPcon - سجل التدقيق |
تصعيد الامتياز والوصول إلى معلومات تسجيل الدخول |
| SAP - (معاينة) HANA DB -Assign مسؤول Authorizations | تحديد امتياز المسؤول أو تعيين الدور. | تعيين مستخدم له أي دور إداري أو امتيازات. مصادر البيانات: عامل Linux - Syslog |
زيادة الامتيازات |
| SAP - المستخدم المميز الحساس الذي قام بتسجيل الدخول | يحدد تسجيل دخول من مربع الحوار لمستخدم حساس متميز. حافظ على المستخدمين المتميزين في قائمة المشاهدة SAP - المستخدمون المتميزون. |
قم بتسجيل الدخول إلى نظام الواجهة الخلفية باستخدام SAP* أو مستخدم مميز آخر. مصادر البيانات: SAPcon - سجل التدقيق |
الوصول الأولي والوصول إلى معلومات تسجيل الدخول |
| SAP - يقوم المستخدم المميز الحساس بإجراء تغيير في مستخدم آخر | يحدد تغييرات المستخدمين الحساسين والمتميزين في المستخدمين الآخرين. | قم بتغيير تفاصيل المستخدم/التخويلات باستخدام SU01. مصادر البيانات: SAPcon - سجل التدقيق |
تصعيد الامتياز والوصول إلى معلومات تسجيل الدخول |
| SAP - تغيير كلمة مرور المستخدمين الحساسين وتسجيل الدخول | يحدد تغييرات كلمة المرور للمستخدمين المتميزين. | تغيير كلمة المرور لمستخدم متميز وقم بتسجيل الدخول إلى النظام. حافظ على المستخدمين المتميزين في قائمة المشاهدة SAP - المستخدمون المتميزون. مصادر البيانات: SAPcon - سجل التدقيق |
التأثير والأوامر والتحكم وتصعيد الامتياز |
| SAP - يقوم المستخدم بإنشاء مستخدم جديد واستخدامه | يحدد المستخدم الذي ينشئ مستخدمين آخرين ويستخدمهم. حالة الاستخدام الفرعي: الاستمرارية |
إنشاء مستخدم باستخدام SU01، ثم تسجيل الدخول باستخدام المستخدم الذي تم إنشاؤه حديثًا وبنفس عنوان IP. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف، والهجوم الاستباقي، والوصول الأولي |
| SAP - يقوم المستخدم بإلغاء تأمين المستخدمين الآخرين واستخدامهم | يحدد مستخدم يتم إلغاء تأمينه واستخدامه من قبل مستخدمين آخرين. حالة الاستخدام الفرعي: الاستمرارية |
قم بإلغاء تأمين مستخدم باستخدام SU01، ثم سجل الدخول باستخدام المستخدم غير المؤمن وعنوان IP نفسه. مصادر البيانات : SAPcon - سجل التدقيق، SAPcon - سجل مستندات التغيير |
الاكتشاف، الهجوم الاستباقي، الوصول الأولي، الحركة الجانبية |
| SAP - تعيين ملف تعريف حساس | يحدد المهام الجديدة لملف تعريف حساس للمستخدم. حافظ على الملفات الشخصية الحساسة في قائمة المشاهدة SAP - الملفات الشخصية الحساسة. |
قم بتعيين ملف تعريف للمستخدم باستخدام SU01. مصادر البيانات : SAPcon - سجل مستندات التغيير |
زيادة الامتيازات |
| SAP - تعيين دور حساس | يحدد مهام جديدة لدور حساس للمستخدم. الاحتفاظ بالأدوار الحساسة في قائمة المشاهدة SAP - الأدوار الحساسة. |
تعيين دور للمستخدم باستخدام SU01 / PFCG. مصادر البيانات : SAPcon - سجل مستندات التغيير، سجل التدقيق |
زيادة الامتيازات |
| SAP - (معاينة) تعيين التخويلات الهامة - قيمة تخويل جديدة | يحدد إسناد قيمة كائن التخويل المهم إلى مستخدم جديد. احتفظ بعناصر التخويل الحرجة في قائمة المشاهدة SAP - عناصر التخويل المهم. |
قم بتعيين عنصر تخويل جديد أو تحديث عنصر موجود في دور، عن طريق استخدام PFCG. مصادر البيانات : SAPcon - سجل مستندات التغيير |
زيادة الامتيازات |
| SAP - تعيين التخويلات الهامة - تعيين مستخدم جديد | يحدد إسناد قيمة كائن التخويل المهم إلى مستخدم جديد. احتفظ بعناصر التخويل الحرجة في قائمة المشاهدة SAP - عناصر التخويل المهم. |
قم بتعيين مستخدم جديد لدور يحمل قيم التخويل المهمة، باستخدام SU01/PFCG. مصادر البيانات : SAPcon - سجل مستندات التغيير |
زيادة الامتيازات |
| SAP - تغييرات الأدوار الحساسة | يحدد التغييرات في الأدوار الحساسة. الاحتفاظ بالأدوار الحساسة في قائمة المشاهدة SAP - الأدوار الحساسة. |
تغيير دور باستخدام PFCG. مصادر البيانات : SAPcon - سجل مستندات التغيير، SAPcon - سجل التدقيق |
التأثير، تصعيد الامتياز، الاستمرار |
قوائم المشاهدة المتاحة
يسرد الجدول التالي قوائم المشاهدة المتوفرة لحل Microsoft Sentinel لتطبيقات SAP® والحقول في كل قائمة مشاهدة.
توفر قوائم المشاهدة هذه التكوين لحل Microsoft Sentinel لتطبيقات SAP®. تتوفر قوائم مشاهدة SAP في مستودع Microsoft Azure Sentinel GitHub.
| اسم قائمة المشاهدة | الوصف والحقول |
|---|---|
| SAP - كائنات التخويل المهمة | عناصر التخويلات المهمة، حيث يتم التحكم في التعيينات. - AuthorizationObject: عنصر تخويل SAP، مثل S_DEVELOP، أو S_TCODE، أو Table TOBJ - AuthorizationField : حقل تخويل SAP، مثل OBJTYP أو TCD - AuthorizationValue: قيمة حقل تخويل SAP، مثل DEBUG - ActivityField : SAP حقل نشاط. بالنسبة إلى معظم الحالات، ستكون هذه القيمة ACTVT. لكائنات التخويلات بدون نشاط ، أو بنشاط حقل فحسب ، المعبئة بـ NOT_IN_USE. - النشاط : نشاط SAP، وفقًا لكائن التخويل، مثل: 01: إنشاء؛ 02: التغيير؛ 03: العرض، وما إلى ذلك. - الوصف: وصف كائن تخويل مهم ذو معنى. |
| SAP - الشبكات المستبعدة | للصيانة الداخلية للشبكات المستبعدة، مثل تجاهل مرسلي الويب، وخوادم الأجهزة الطرفية، وما إلى ذلك. -الشبكة: عنوان IP للشبكة أو النطاق الخاص بها، مثل 111.68.128.0/17. -وصف : وصف شبكة ذو معنى. |
| المستخدمون المستبعدون من SAP | مستخدمو النظام الذين سجلوا الدخول إلى النظام ويجب تجاهلهم. على سبيل المثال، تنبيهات محاولات تسجيل الدخول المتعدد من قبل نفس المستخدم. - المستخدم: مستخدم SAP -وصف : وصف مستخدم ذو معنى. |
| SAP - الشبكات | شبكات داخلية وشبكات صيانة لتحديد عمليات تسجيل الدخول غير المصرح بها. - الشبكة : عنوان أو نطاق بروتوكول الإنترنت الشبكي، مثل 111.68.128.0/17 - وصف : وصف شبكة ذو معنى. |
| SAP - المستخدمون المتميزون | المستخدمون المتميزون الذين يخضعون لقيود إضافية. - مستخدم : مستخدم ABAP، مثل DDIC أو SAP - وصف : وصف مستخدم ذو معنى. |
| SAP - برامج ABAP الحساسة | برامج ABAP الحساسة (التقارير)، عندما يتم تنظيم التنفيذ. - ABAPProgram: برنامج أو تقرير ABAP، مثل RSPFLDOC - وصف : وصف برنامج ذو معنى. |
| SAP - وحدة الوظيفة الحساسة | شبكات داخلية وشبكات صيانة لتحديد عمليات تسجيل الدخول غير المصرح بها. - FunctionModule: وحدة وظيفة ABAP، مثل RSAU_CLEAR_AUDIT_LOG - وصف : وصف وحدة نمطية ذو معنى. |
| SAP - ملفات تعريف حساسة | ملفات تعريف حساسة، حيث يتم تنظيم المهام. - ملف تعريف: ملف تعريف تخويل SAP، مثل SAP_ALL أو SAP_NEW - وصف : وصف ملف تعريف ذو معنى. |
| SAP - جداول حساسة | جداول حساسة، حيث يتم تنظيم الوصول. - الجدول : جدول ABAP Dictionary، مثل USR02 أو PA008 - وصف : وصف جدول ذو معنى. |
| SAP - الأدوار الحساسة | أدوار حساسة، حيث يتم تنظيم المهمة. - الدور : دور تخويل SAP، مثل SAP_BC_BASIS_ADMIN - وصف : وصف دور ذو معنى. |
| SAP - المعاملات الحساسة | العمليات الحساسة التي يتم تنظيم التنفيذ. - TransactionCode: تعليمة برمجية للعملية SAP، مثل RZ11 - وصف : وصف تعليمة برمجية ذو معنى. |
| SAP - الأنظمة | يصف مشهد أنظمة SAP وفقا للدور والاستخدام والتكوين. - SystemID: معرف نظام SAP (SYSID) - SystemRole: دور نظام SAP، إحدى القيم التالية: Sandbox، Development، Quality Assurance، Training، Production - استخدام النظام : استخدام نظام SAP، إحدى القيم التالية: ERP، BW، Solman، Gateway، Enterprise Portal - InterfaceAttributes: معلمة ديناميكية اختيارية للاستخدام في أدلة المبادئ. |
| SAPSystemParameters | معلمات لمشاهدة تغييرات التكوين المشبوهة. قائمة المشاهدة هذه معبأة مسبقا بالقيم الموصى بها (وفقا لأفضل ممارسات SAP)، ويمكنك توسيع قائمة المشاهدة لتشمل المزيد من المعلمات. إذا كنت لا تريد تلقي تنبيهات لمعلمة، فقم بتعيين EnableAlerts إلى false.- ParameterName: اسم المعلمة. - تعليق: وصف المعلمة القياسية SAP. - EnableAlerts: يحدد ما إذا كان يجب تمكين التنبيهات لهذه المعلمة. القيم هي true و false.- الخيار: يحدد في هذه الحالة تشغيل تنبيه: إذا كانت قيمة المعلمة أكبر أو متساوية ( GE)، أو أقل أو تساوي (LE)، أو تساوي (EQ).على سبيل المثال، إذا تم تعيين معلمة login/fails_to_user_lock SAP إلى LE (أقل أو يساوي)، وقيمة 5، بمجرد أن يكتشف Microsoft Sentinel تغييرا في هذه المعلمة المحددة، فإنه يقارن القيمة التي تم الإبلاغ عنها حديثا والقيمة المتوقعة. إذا كانت القيمة الجديدة هي 4، لا يقوم Microsoft Sentinel بتشغيل تنبيه. إذا كانت القيمة الجديدة هي 6، يقوم Microsoft Sentinel بتشغيل تنبيه.- ProductionSeverity: خطورة الحادث لأنظمة الإنتاج. - ProductionValues: القيم المسموح بها لأنظمة الإنتاج. - NonProdSeverity: خطورة الحادث للأنظمة غير الإنتاجية. - NonProdValues: القيم المسموح بها للأنظمة غير الإنتاجية. |
| SAP - المستخدمون المستبعدون | مستخدمو النظام الذين يتم تسجيل دخولهم ويلزم تجاهلهم، مثل تسجيل الدخول المتعدد عن طريق تنبيه المستخدم. - المستخدم: مستخدم SAP - وصف: وصف مستخدم ذو معنى |
| SAP - الشبكات المستبعدة | الاحتفاظ بشبكات داخلية مستبعدة لتجاهل مرسلي الويب وخوادم الأجهزة الطرفية وما إلى ذلك. - الشبكة : عنوان أو نطاق بروتوكول الإنترنت الشبكي، مثل 111.68.128.0/17 - وصف: وصف شبكة ذو معنى |
| SAP - وحدات وظيفة قديمة | وحدات وظيفة قديمة، حيث يتم تنظيم تنفيذها. - FunctionModule: وحدة دالة ABAP، مثل TH_SAPREL - الوصف: وصف وحدة وظيفة ذو معنى |
| SAP - البرامج القديمة | برامج (تقارير) ABAP القديمة التي يجب أن تنظيم تنفيذها. - ABAPProgram:ABAP Program، مثل TH_ RSPFLDOC - وصف : وصف برنامج ABAP ذو معنى |
| SAP - المعاملات لأجيال ABAP | العمليات الخاصة بأجيال ABAP التي يجب تنظيم تنفيذها. - TransactionCode: تعليمة برمجية للعملية مثل SE11. - الوصف: وصف للتعليمة البرمجية للعملية ذو معنى |
| SAP - خوادم FTP Server | خوادم FTP لتحديد الاتصالات غير المصرح بها. - العميل : مثل 100. - FTP_Server_Name: اسم خادم FTP، مثل http://contoso.com/ - FTP _ Server _ Port : منفذ خادم FTP، مثل 22. - الوصف وصف مفيد لخادم FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | قم بتكوين تنبيهات سجل تدقيق SAP عن طريق تعيين مستوى خطورة لكل معرّف رسالة كما هو مطلوب منك، لكل دور نظام (إنتاج، غير الإنتاج). توضح قائمة المشاهدة هذه تفاصيل جميع معرفات رسائل سجل التدقيق القياسي ل SAP المتوفرة. يمكن توسيع قائمة المشاهدة لتحتوي على معرفات رسائل إضافية قد تقوم بإنشائها بنفسك باستخدام تحسينات ABAP على أنظمة SAP NetWeaver الخاصة بهم. تسمح قائمة المشاهدة هذه أيضا بتكوين فريق معين للتعامل مع كل نوع من أنواع الأحداث، واستبعاد المستخدمين من خلال أدوار SAP أو ملفات تعريف SAP أو بواسطة علامات من قائمة مشاهدة SAP_User_Config . قائمة المراقبة هذه هي أحد المكونات الأساسية المستخدمة لتكوين قواعد تحليلات SAP المضمنة لمراقبة سجل تدقيق SAP. - MessageID: معرف رسالة SAP، أو نوع الحدث، مثل AUD (تغييرات سجل المستخدم الرئيسي)، أو AUB (تغييرات التخويل). - DetailedDescription: وصف ممكن عليه markdown ليتم عرضه في جزء الحدث. - ProductionSeverity: الخطورة المطلوبة للحادث الذي سيتم إنشاؤه مع لأنظمة الإنتاج High، Medium. يمكن تعيينه ك Disabled. - ProductionSeverity: الخطورة المطلوبة للحادث الذي سيتم إنشاؤه مع لأنظمة غير الإنتاج High، Medium. يمكن تعيينه ك Disabled. - ProductionThreshold عدد الأحداث "في الساعة" التي سيتم اعتبارها مريبة لأنظمة 60الإنتاج . - NonProdThreshold عدد الأحداث "لكل ساعة" التي سيتم اعتبارها مريبة للأنظمة 10غير الإنتاجية . - RolesTagsToExclude: يقبل هذا الحقل اسم دور SAP أو أسماء ملفات تعريف SAP أو العلامات من قائمة SAP_User_Config. ثم يتم استخدام هذه لاستبعاد المستخدمين المقترنين من أنواع أحداث معينة. راجع خيارات علامات الدور في نهاية هذه القائمة. - RuleType: استخدم Deterministic لنوع الحدث ليتم إرساله إلى SAP - مراقبة سجل التدقيق المحدد الديناميكي، أو AnomaliesOnly لتغطية هذا الحدث بواسطة SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW).- TeamsChannelID: معلمة ديناميكية اختيارية للاستخدام في أدلة المبادئ. - DestinationEmail: معلمة ديناميكية اختيارية للاستخدام في أدلة المبادئ. لحقل RolesTagsToExclude : - إذا قمت بإدراج أدوار SAP أو ملفات تعريف SAP، فهذا يستبعد أي مستخدم له الأدوار أو ملفات التعريف المدرجة من أنواع الأحداث هذه لنفس نظام SAP. على سبيل المثال، إذا قمت بتعريف BASIC_BO_USERS دور ABAP لنوع الأحداث ذات الصلة ب RFC، فلن يقوم مستخدمو كائنات الأعمال بتشغيل الحوادث عند إجراء مكالمات RFC ضخمة.- وضع علامات على نوع حدث يشبه تحديد أدوار أو ملفات تعريف SAP، ولكن يمكن إنشاء العلامات في مساحة العمل، بحيث يمكن لفرق SOC استبعاد المستخدمين حسب النشاط دون الاعتماد على فريق SAP. على سبيل المثال، يتم تعيين MassiveAuthChanges العلامة معرفات رسالة التدقيق AUB (تغييرات التخويل) و AUD (تغييرات السجل الرئيسي للمستخدم). يتم استبعاد المستخدمين المعينين لهذه العلامة من عمليات التحقق من هذه الأنشطة. يؤدي تشغيل دالة مساحة SAPAuditLogConfigRecommend العمل إلى إنتاج قائمة بالعلامات الموصى بها لتعيينها للمستخدمين، مثل Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | يسمح بضبط التنبيهات عن طريق استبعاد /تضمين المستخدمين في سياقات محددة ويستخدم أيضا لتكوين قواعد تحليلات SAP المضمنة لمراقبة سجل تدقيق SAP. - SAPUser: مستخدم SAP - العلامات: تستخدم العلامات لتحديد المستخدمين مقابل نشاط معين. على سبيل المثال، ستؤدي إضافة العلامات ["GenericTablebyRFCOK"] إلى SENTINEL_SRV المستخدم إلى منع إنشاء الحوادث ذات الصلة ب RFC لهذا المستخدم المحدد معرفات مستخدم Active Directory الأخرى - معرف مستخدم AD - Sid المحلي للمستخدم - اسم المستخدم الأساسي |
أدلة المبادئ المتوفرة
| اسم دليل المبادئ | المعلمات | الاتصالات |
|---|---|---|
| الاستجابة لحوادث SAP - تأمين المستخدم من Teams - أساسي | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - البريد الإلكتروني الافتراضي - TeamsChannel |
- Microsoft Sentinel - فرق Microsoft |
| SAP Incident Response - تأمين المستخدم من Teams - متقدم | - SAP-SOAP-KeyVault-Credential-Name - افتراضي مسؤول إعميل - TeamsChannel |
- Microsoft Sentinel - سجلات Azure Monitor - Office 365 Outlook - معرف Microsoft Entra - Azure Key Vault - فرق Microsoft |
| الاستجابة لحوادث SAP - تسجيل التدقيق القابل لإعادة التنشيط بمجرد إلغاء تنشيطه | - SAP-SOAP-KeyVault-Credential-Name - افتراضي مسؤول إعميل - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - سجلات Azure Monitor - فرق Microsoft |
الخطوات التالية
لمزيد من المعلومات، راجع:
- نشر حل Microsoft Sentinel لتطبيقات SAP®
- حل Microsoft Sentinel لمرجع سجلات تطبيقات SAP®
- مراقبة صحة نظام SAP الخاص بك
- نشر حل Microsoft Sentinel لموصل بيانات تطبيقات SAP® باستخدام SNC
- مرجع ملف التكوين
- المتطلبات الأساسية لنشر حل Microsoft Sentinel لتطبيقات SAP®
- استكشاف أخطاء حل Microsoft Sentinel الخاص بك وإصلاحها لنشر تطبيقات SAP®