حل Microsoft Sentinel لتطبيقات SAP: مرجع محتوى الأمان
توضح هذه المقالة بالتفصيل محتوى الأمان المتوفر لحل Microsoft Sentinel لـ SAP.
هام
بينما يكون حل Microsoft Sentinel لتطبيقات SAP في GA، تظل بعض المكونات المحددة في PREVIEW. تشير هذه المقالة إلى المكونات الموجودة في المعاينة في الأقسام ذات الصلة أدناه. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
يتضمن محتوى الأمان المتوفر المصنفات المضمنة وقواعد التحليلات. يمكنك أيضًا إضافة قوائم المشاهدة المتعلقة بـ SAP لاستخدامها في البحث وقواعد الكشف وتتبع التهديدات ودلائل المبادئ الخاصة بالاستجابة.
المحتوى الوارد في هذه المقالة مخصص لفريق الأمان الخاص بك.
المصنفات المضمنة
استخدم المصنفات المدمجة التالية لتصور ومراقبة البيانات التي يتم يستوعبها موصل البيانات في SAP. بعد نشر حل SAP، يمكنك العثور على مصنفات SAP في علامة التبويب قوالب .
اسم المصنف | الوصف | السجلات |
---|---|---|
SAP - مستعرض سجل التدقيق | عرض بيانات مثل: - صحة النظام العامة، بما في ذلك عمليات تسجيل دخول المستخدم بمرور الوقت، والأحداث التي تناولها النظام، وفئات الرسائل والمعرفات، وبرامج ABAP التي يتم تشغيلها -خطورة الأحداث التي تحدث في النظام الخاص بك - أحداث المصادقة والتخويل التي تحدث في النظام الخاص بك |
يستخدم البيانات من السجل التالي: ABAPAuditLog_CL |
عناصر تحكم تدقيق SAP | يساعدك على التحقق من عناصر تحكم الأمان الخاصة ببيئة SAP للامتثال لإطار عمل التحكم الذي اخترته، باستخدام أدوات للقيام بما يلي: - تعيين قواعد التحليلات في بيئتك لعناصر تحكم أمنية محددة وعائلات تحكم - مراقبة وتصنيف الحوادث التي تم إنشاؤها بواسطة قواعد التحليلات المستندة إلى حلول SAP - الإبلاغ عن التوافق الخاص بك |
يستخدم البيانات من الجداول التالية: - SecurityAlert - SecurityIncident |
لمزيد من المعلومات، راجع البرنامج التعليمي: تصور بياناتك ومراقبتها ونشر حل Microsoft Sentinel لتطبيقات SAP.
قواعد التحليلات المدمجة
يصف هذا القسم مجموعة مختارة من قواعد التحليلات المضمنة المقدمة مع حل Microsoft Sentinel لتطبيقات SAP. للحصول على آخر التحديثات، تحقق من مركز محتوى Microsoft Sentinel للحصول على قواعد جديدة ومحدثة.
مراقبة تكوين معلمات أمان SAP الثابتة (معاينة)
لتأمين نظام SAP، حددت SAP المعلمات المتعلقة بالأمان التي تحتاج إلى مراقبة التغييرات. مع قاعدة "SAP - (معاينة) تم تغيير المعلمة الثابتة الحساسة"، يتعقب حل Microsoft Sentinel لتطبيقات SAP أكثر من 52 معلمة ثابتة متعلقة بالأمان في نظام SAP، والتي تم تضمينها في Microsoft Sentinel.
إشعار
بالنسبة لحل Microsoft Sentinel لتطبيقات SAP لمراقبة معلمات أمان SAP بنجاح، يحتاج الحل إلى مراقبة جدول SAP PAHI بنجاح على فترات منتظمة. لمزيد من المعلومات، راجع التحقق من تحديث جدول PAHI على فترات منتظمة.
لفهم تغييرات المعلمات في النظام، يستخدم حل Microsoft Sentinel لتطبيقات SAP جدول محفوظات المعلمات، الذي يسجل التغييرات التي يتم إجراؤها على معلمات النظام كل ساعة.
تنعكس المعلمات أيضا في قائمة مراقبة SAPSystemParameters. تسمح قائمة المراقبة هذه للمستخدمين بإضافة معلمات جديدة وتعطيل المعلمات الموجودة وتعديل القيم والخطورة لكل معلمة ودور النظام في بيئات الإنتاج أو غير الإنتاج.
عند إجراء تغيير على إحدى هذه المعلمات، يتحقق Microsoft Sentinel لمعرفة ما إذا كان التغيير متعلقا بالأمان وما إذا تم تعيين القيمة وفقا للقيم الموصى بها. إذا كان التغيير مشتبها به خارج المنطقة الآمنة، ينشئ Microsoft Sentinel حدثا يفصل التغيير، ويحدد من قام بالتغيير.
راجع قائمة المعلمات التي تراقبها هذه القاعدة.
مراقبة سجل تدقيق SAP
تستخدم العديد من قواعد التحليلات في حل Microsoft Sentinel لتطبيقات SAP بيانات سجل تدقيق SAP. تبحث بعض قواعد التحليلات عن أحداث محددة في السجل، بينما تربط قواعد أخرى مؤشرات من عدة سجلات لإنشاء تنبيهات وحوادث عالية الدقة.
استخدم قواعد التحليلات التالية إما لمراقبة جميع أحداث سجل التدقيق على نظام SAP أو تشغيل التنبيهات فقط عند اكتشاف حالات شاذة:
اسم القاعدة | الوصف |
---|---|
SAP - التكوين المفقود في مراقب سجل تدقيق الأمان الديناميكي | بشكل افتراضي، يتم تشغيله يوميا لتوفير توصيات التكوين لوحدة سجل تدقيق SAP. استخدم قالب القاعدة لإنشاء قاعدة وتخصيصها لمساحة العمل الخاصة بك. |
SAP - مراقبة سجل التدقيق المحدد الديناميكي (معاينة) | بشكل افتراضي، يتم تشغيله كل 10 دقائق ويركز على أحداث سجل تدقيق SAP التي تم وضع علامة عليها على أنها محددة. استخدم قالب القاعدة لإنشاء قاعدة وتخصيصها لمساحة العمل الخاصة بك، مثل معدل إيجابي خاطئ أقل. تتطلب هذه القاعدة حدود تنبيه محددة وقواعد استبعاد المستخدم. |
SAP - تنبيهات مراقبة سجل التدقيق المستندة إلى الشذوذ الديناميكي (معاينة) | بشكل افتراضي، يتم تشغيله كل ساعة ويركز على أحداث SAP التي تم وضع علامة عليها على أنها AnomaliesOnly، والتنبيه إلى أحداث سجل تدقيق SAP عند اكتشاف حالات شاذة. تطبق هذه القاعدة خوارزميات التعلم الآلي الإضافية لتصفية ضوضاء الخلفية بطريقة غير خاضعة للإشراف. |
بشكل افتراضي، يتم إرسال معظم أنواع الأحداث أو معرفات رسائل SAP في سجل تدقيق SAP إلى قاعدة تحليلات تنبيهات سجل التدقيق المستندة إلى الانحراف الديناميكي (PREVIEW)، بينما يتم إرسال قاعدة تحليلات سجل التدقيق المحدد الديناميكي المحدد (PREVIEW) إلى قاعدة التحليلات الأسهل لتحديد أنواع الأحداث. يمكن تكوين هذا الإعداد، إلى جانب الإعدادات الأخرى ذات الصلة، بشكل أكبر ليناسب أي شروط للنظام.
يتم تسليم قواعد مراقبة سجل تدقيق SAP كجزء من Microsoft Sentinel لمحتوى أمان حل SAP، وتسمح بمزيد من الضبط الدقيق باستخدام قوائم مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration SAP_User_Config.
على سبيل المثال، يسرد الجدول التالي العديد من الأمثلة حول كيفية استخدام قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration لتكوين أنواع الأحداث التي تنتج الحوادث، ما يقلل من عدد الحوادث التي تم إنشاؤها.
خيار | الوصف |
---|---|
تعيين الخطورة وتعطيل الأحداث غير المرغوب فيها | بشكل افتراضي، تنشئ كل من القواعد الحتمية والقواعد المستندة إلى الحالات الشاذة تنبيهات للأحداث التي تم وضع علامة عليها بخطورة متوسطة وعالية. قد تحتاج إلى تكوين الخطورة بشكل منفصل بيئات الإنتاج وغير الإنتاج. على سبيل المثال، قد تقوم بتعيين حدث نشاط تصحيح الأخطاء كخطورة عالية في أنظمة الإنتاج، وإيقاف تشغيل نفس الأحداث بالكامل في الأنظمة غير المنتجة. |
استبعاد المستخدمين من خلال أدوار SAP أو ملفات تعريف SAP الخاصة بهم | يتعرف Microsoft Sentinel ل SAP على ملف تعريف تخويل مستخدم SAP، بما في ذلك تعيينات الأدوار والمجموعات وملفات التعريف المباشرة وغير المباشرة، بحيث يمكنك التحدث بلغة SAP في SIEM. قد تحتاج إلى تكوين حدث SAP لاستبعاد المستخدمين استنادا إلى أدوار وملفات تعريف SAP الخاصة بهم. في قائمة المشاهدة، أضف الأدوار أو ملفات التعريف التي تجمع مستخدمي واجهة RFC في العمود RolesTagsToExclude ، بجوار حدث الوصول العام إلى الجدول بواسطة RFC . يؤدي هذا التكوين إلى تشغيل التنبيهات فقط للمستخدمين الذين يفتقدون هذه الأدوار. |
استبعاد المستخدمين بواسطة علامات SOC الخاصة بهم | استخدم العلامات لإنشاء التجميع الخاص بك، دون الاعتماد على تعريفات SAP المعقدة أو حتى بدون تخويل SAP. هذه الطريقة مفيدة لفرق SOC التي ترغب في إنشاء تجميع خاص بها لمستخدمي SAP. على سبيل المثال، إذا كنت لا تريد تنبيه حسابات خدمة معينة للوصول العام إلى الجدول بواسطة أحداث RFC ، ولكن لا يمكنك العثور على دور SAP أو ملف تعريف SAP الذي يجمع هؤلاء المستخدمين، فاستخدم العلامات كما يلي: 1. أضف علامة GenTableRFCReadOK بجوار الحدث ذي الصلة في قائمة المشاهدة. 2. انتقل إلى قائمة المشاهدة SAP_User_Config وقم بتعيين نفس العلامة لمستخدمي الواجهة. |
تحديد حد التردد لكل نوع حدث ودور النظام | يعمل مثل حد السرعة. على سبيل المثال، قد تقوم بتكوين أحداث تغيير سجل المستخدم الرئيسي لتشغيل التنبيهات فقط إذا تمت ملاحظة أكثر من 12 نشاطا في ساعة، من قبل نفس المستخدم في نظام إنتاج. إذا تجاوز المستخدم الحد الأقصى البالغ 12 في الساعة - على سبيل المثال، حدثين في نافذة مدتها 10 دقائق - يتم تشغيل حدث. |
الحتمية أو الحالات الشاذة | إذا كنت تعرف خصائص الحدث، فاستخدم القدرات الحتمية. إذا لم تكن متأكدا من كيفية تكوين الحدث بشكل صحيح، فاسمح لقدرات التعلم الآلي بأن تقرر البدء، ثم قم بإجراء التحديثات اللاحقة حسب الحاجة. |
قدرات SOAR | استخدم Microsoft Sentinel لتنسيق الحوادث التي تم إنشاؤها بواسطة التنبيهات الديناميكية لسجل تدقيق SAP وأتمتتها والاستجابة لها. لمزيد من المعلومات، راجع التنفيذ التلقائي في Microsoft Sentinel: تزامن الأمان والأتمتة والاستجابة (SOAR). |
لمزيد من المعلومات، راجع قوائم المشاهدة المتوفرة وMicrosoft Sentinel لأخبار SAP - ميزة مراقبة سجل تدقيق أمان SAP الديناميكي المتوفرة الآن! (مدونة).
الوصول الأولي
اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
---|---|---|---|
SAP - مرتفع - تسجيل الدخول من شبكة غير متوقعة | تحديد تسجيل الدخول من شبكة غير متوقعة. احتفظ بالشبكات في قائمة المشاهدة SAP - Networks. |
سجل الدخول إلى نظام الواجهة الخلفية من عنوان IP لم يتم تعيينه إلى إحدى الشبكات. مصادر البيانات: SAPcon - سجل التدقيق |
الوصول الأولي |
SAP - SPNego Attack | يحدد SPNego Replay Attack. | مصادر البيانات: SAPcon - سجل التدقيق | التأثير، والحركة الجانبية |
SAP - محاولة تسجيل الدخول إلى مربع الحوار من مستخدم متميز | يحدد محاولات تسجيل الدخول إلى مربع الحوار، باستخدام نوع AUM ، من قبل المستخدمين المميزين في نظام SAP. للمزيد من المعلومات، راجع SAPUsersGetPrivaleged. | محاولة تسجيل الدخول من نفس IP إلى العديد من الأنظمة أو العملاء خلال الفترة الزمنية المقررة مصادر البيانات: SAPcon - سجل التدقيق |
التأثير، والحركة الجانبية |
SAP - هجمات القوة الغاشمة | يحدد هجمات القوة الغاشمة على نظام SAP باستخدام عمليات تسجيل دخول RFC | محاولة تسجيل الدخول من نفس IP إلى العديد من الأنظمة/العملاء ضمن الفاصل الزمني المجدول باستخدام RFC مصادر البيانات: SAPcon - سجل التدقيق |
الوصول إلى بيانات تسجيل الدخول |
SAP - تسجيلات دخول متعددة من نفس IP | يحدد تسجيل الدخول للعديد من المستخدمين من نفس عنوان IP خلال فترة زمنية مجدولة. حالة الاستخدام الفرعي: الاستمرارية |
قم بتسجيل الدخول باستخدام العديد من المستخدمين من خلال نفس عنوان IP. مصادر البيانات: SAPcon - سجل التدقيق |
الوصول الأولي |
SAP - عمليات تسجيل دخول متعددة حسب المستخدم | يحدد عمليات تسجيل الدخول لنفس المستخدم من أجهزة طرفية مختلفة خلال الفترة الزمنية المقررة. متوفر فقط عبر أسلوب Audit SAL، لإصدارات SAP 7.5 والإصدارات الأحدث. |
قم بتسجيل الدخول باستخدام نفس المستخدم باستخدام عناوين IP مختلفة. مصادر البيانات: SAPcon - سجل التدقيق |
ما قبل الهجوم، الوصول إلى بيانات الاعتماد، الوصول الأولي، المجموعة حالة الاستخدام الفرعي: الاستمرارية |
SAP - توعوي - دورة الحياة - تم تطبيق ملاحظات SAP في النظام | يحدد تطبيق ملاحظة SAP في النظام. | تطبيق ملاحظة SAP باستخدام SNOTE/TCI. مصادر البيانات: SAPcon - طلبات التغيير |
- |
SAP - (معاينة) AS JAVA - المستخدم المميز الحساس الذي سجل الدخول | تحديد تسجيل الدخول من شبكة غير متوقعة. حافظ على المستخدمين المتميزين في قائمة المشاهدة SAP - المستخدمون المتميزون. |
سجل الدخول إلى نظام الواجهة الخلفية باستخدام مستخدمين متميزين. مصادر البيانات: SAPJAVAFilesLog |
الوصول الأولي |
SAP - (معاينة) AS JAVA - تسجيل الدخول من شبكة غير متوقعة | تعريف عمليات تسجيل الدخول من شبكة غير متوقعة. الاحتفاظ بالمستخدمين المتميزين في قائمة مراقبة SAP - الشبكات . |
سجل الدخول إلى نظام الواجهة الخلفية من عنوان IP لم يتم تعيينه إلى إحدى الشبكات في قائمة مراقبة SAP - Networks مصادر البيانات: SAPJAVAFilesLog |
الوصول الأولي، التهرب الدفاعي |
تسرب البيانات
اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
---|---|---|---|
SAP - FTP للخوادم غير المعتمدة | تعريف اتصال FTP لخادم غير مصرح به. | إنشاء اتصال FTP جديد، مثل استخدام وحدة وظيفة FTP_CONNECT. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف، والوصول الأولي، والقيادة، والتحكم |
SAP - تكوين خوادم FTP غير الآمنة | يحدد تكوينات خادم FTP غير الآمنة، مثل عندما تكون قائمة السماح لـ FTP فارغة أو تحتوي على عناصر إضافية. | لا تحتفظ بالقيم التي تحتوي على عناصر نائبة SAPFTP_SERVERS في الجدول أو تحتفظ بها، باستخدام طريقة عرض الصيانة SAPFTP_SERVERS_V . (SM30) مصادر البيانات: SAPcon - سجل التدقيق |
الوصول الأولي والأوامر والتحكم |
SAP - تنزيل ملفات متعددة | يحدد تنزيلات الملفات المتعددة للمستخدم ضمن نطاق زمني محدد. | تنزيل ملفات متعددة باستخدام SAPGui لـ Excel والقوائم وما إلى ذلك. مصادر البيانات: SAPcon - سجل التدقيق |
المجموعة، والنقل غير المصرح به، والوصول لمعلومات تسجيل الدخول |
SAP - عمليات تنفيذ مستودع متعددة | تحدد المحاولات المتعددة للتخزين لأحد المستخدمين في نطاق زمني محدد. | إنشاء وتشغيل مهام تخزين متعددة من أي نوع بواسطة مستخدم. (SP01) مصادر البيانات: SAPcon - سجل التخزين، SAPcon - سجل التدقيق |
المجموعة، والنقل غير المصرح به، والوصول لمعلومات تسجيل الدخول |
SAP - عمليات تنفيذ إخراج مستودع متعدد | تحدد المحاولات المتعددة للتخزين لأحد المستخدمين في نطاق زمني محدد. | إنشاء وتشغيل مهام تخزين متعددة من أي نوع بواسطة مستخدم. (SP01) مصادر البيانات: SAPcon - سجل إخراج التخزين، SAPcon - سجل التدقيق |
المجموعة، والنقل غير المصرح به، والوصول لمعلومات تسجيل الدخول |
SAP - الوصول المباشر للجداول الحساسة بواسطة تسجيل الدخول إلى RFC | يحدد الوصول إلى الجدول العام بواسطة تسجيل الدخول إلى RFC. احتفظ بالجداول في قائمة المشاهدة SAP - الجداول الحساسة . ذات صلة بأنظمة الإنتاج فقط. |
افتح محتويات الجدول باستخدام SE11/SE16/SE16N. مصادر البيانات: SAPcon - سجل التدقيق |
المجموعة، والنقل غير المصرح به، والوصول لمعلومات تسجيل الدخول |
SAP - Spool Takeover | يحدد المستخدم الذي يقوم بطباعة طلب تخزين تم إنشاؤه بواسطة شخص آخر. | قم بإنشاء طلب تخزين باستخدام مستخدم واحد، ثم قم بإخراجه باستخدام مستخدم مختلف. مصادر البيانات : SAPcon - سجل التخزين، SAPcon - سجل إخراج التخزين، SAPcon - سجل التدقيق |
التجميع، والنقل غير المصرح به، والأمر والتحكم |
SAP - وجهة RFC الديناميكية | يحدد تنفيذ RFC باستخدام وجهات ديناميكية. حالة الاستخدام الفرعي: محاولات تجاوز آليات أمان SAP |
تنفيذ تقرير ABAP الذي يستخدم وجهات ديناميكية (cl_dynamic_destination). على سبيل المثال، DEMO_RFC_DYNAMIC_DEST. مصادر البيانات: SAPcon - سجل التدقيق |
المجموعة، النقل غير المصرح به |
SAP - الوصول المباشر للجداول الحساسة حسب تسجيل الدخول إلى مربع الحوار | يحدد الوصول للجدول العام عن طريق مربع تسجيل الدخول. | فتح محتويات الجدول باستخدام SE11 / SE16 / SE16N . مصادر البيانات: SAPcon - سجل التدقيق |
اكتشاف |
SAP - (معاينة) ملف تم تنزيله من عنوان IP ضار | تحديد تنزيل ملف من نظام SAP باستخدام عنوان IP معروف بأنه ضار. يتم الحصول على عناوين IP الضارة من خدمات التحليل الذكي للمخاطر. | قم بتنزيل ملف من عنوان IP ضار. مصادر البيانات: سجل تدقيق أمان SAP، التحليل الذكي للمخاطر |
النقل غير المصرَّح به |
SAP - (معاينة) البيانات المصدرة من نظام إنتاج باستخدام النقل | تحديد تصدير البيانات من نظام إنتاج باستخدام النقل. تستخدم وسائل النقل في أنظمة التطوير وهي مشابهة لطلبات السحب. تؤدي قاعدة التنبيه هذه إلى تشغيل الحوادث ذات الخطورة المتوسطة عند إصدار نقل يتضمن بيانات من أي جدول من نظام إنتاج. تنشئ القاعدة حدثا شديد الخطورة عندما يتضمن التصدير بيانات من جدول حساس. | تحرير نقل من نظام إنتاج. مصادر البيانات: سجل SAP CR، SAP - الجداول الحساسة |
النقل غير المصرَّح به |
SAP - (معاينة) البيانات الحساسة المحفوظة في محرك أقراص USB | تحديد تصدير بيانات SAP عبر الملفات. تتحقق القاعدة من البيانات المحفوظة في محرك أقراص USB مثبت مؤخرا بالقرب من تنفيذ معاملة حساسة أو برنامج حساس أو الوصول المباشر إلى جدول حساس. | تصدير بيانات SAP عبر الملفات وحفظها في محرك أقراص USB. مصادر البيانات: سجل تدقيق أمان SAP وDeviceFileEvents (Microsoft Defender لنقطة النهاية) وSAP - الجداول الحساسة وSAP - المعاملات الحساسة وSAP - البرامج الحساسة |
النقل غير المصرَّح به |
SAP - (معاينة) طباعة البيانات التي يحتمل أن تكون حساسة | تحديد طلب أو طباعة فعلية للبيانات التي يحتمل أن تكون حساسة. تعتبر البيانات حساسة إذا حصل المستخدم على البيانات كجزء من معاملة حساسة أو تنفيذ برنامج حساس أو وصول مباشر إلى جدول حساس. | طباعة البيانات الحساسة أو طلب طباعتها. مصادر البيانات: سجل تدقيق أمان SAP، سجلات SAP Spool، SAP - الجداول الحساسة، SAP - البرامج الحساسة |
النقل غير المصرَّح به |
SAP - (معاينة) حجم كبير من البيانات الحساسة المحتمل تصديرها | تحديد تصدير حجم كبير من البيانات عبر الملفات القريبة من تنفيذ معاملة حساسة أو برنامج حساس أو الوصول المباشر إلى جدول حساس. | تصدير حجم كبير من البيانات عبر الملفات. مصادر البيانات: سجل تدقيق أمان SAP، SAP - الجداول الحساسة، SAP - المعاملات الحساسة، SAP - البرامج الحساسة |
النقل غير المصرَّح به |
الثبات
اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
---|---|---|---|
SAP - تنشيط خدمة ICF أو إلغاء تنشيطها | يحدد تفعيل خدمات ICF أو تعطيلها. | تفعيل خدمة باستخدام SICF. مصادر البيانات : SAPcon - سجل بيانات الجدول |
الأوامر والتحكم، والحركة الجانبية، والاستمرار |
SAP - الوحدة النمطية للدالة التي تم اختبارها | يحدد اختبار وحدة الوظيفة. | اختبر وحدة الوظيفة باستخدام SE37 / SE80 . مصادر البيانات: SAPcon - سجل التدقيق |
التجميع، التهرب الدفاعي، الحركة الجانبية |
SAP - (معاينة) HANA DB -إجراءات مسؤول المستخدم | يحدد إجراءات إدارة المستخدم. | إنشاء أو تحديث أو حذف مستخدم قاعدة بيانات. مصادر البيانات: عامل Linux - Syslog * |
زيادة الامتيازات |
SAP - معالجات خدمة ICF الجديدة | يحدد إنشاء معالجات ICF. | تعيين معالج جديد لخدمة ما باستخدام SICF. مصادر البيانات: SAPcon - سجل التدقيق |
الأوامر والتحكم، والحركة الجانبية، والاستمرار |
SAP - خدمات ICF الجديدة | يحدد إنشاء خدمات ICF. | إنشاء خدمة باستخدام SICF. مصادر البيانات : SAPcon - سجل بيانات الجدول |
الأوامر والتحكم، والحركة الجانبية، والاستمرار |
SAP - تنفيذ وحدة دالة قديمة أو غير آمنة | يحدد تنفيذ وحدة وظيفة ABAP القديمة أو غير الآمنة. احتفظ بالوظائف القديمة في قائمة المشاهدة SAP - وحدات الوظيفة القديمة . تأكد من تنشيط تغييرات تسجيل الجدول لجدول EUFUNC في الخلفية. (SE13)ذات صلة بأنظمة الإنتاج فقط. |
قم بتشغيل وحدة وظيفة قديمة أو غير آمنة باستخدام SE37 مباشرة. مصادر البيانات : SAPcon - سجل بيانات الجدول |
الاكتشاف والأوامر والتحكم |
SAP - تنفيذ برنامج قديم/غير آمن | يحدد تنفيذ برنامج ABAP قديم أو غير آمن. حافظ على البرامج المتقادمة في قائمة المشاهدة SAP - البرامج المتقادمة. ذات صلة بأنظمة الإنتاج فقط. |
قم بتشغيل برنامج باستخدام SE38/SA38/SE80 مباشرة، أو باستخدام مهمة في الخلفية. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف والأوامر والتحكم |
SAP - تغييرات كلمة المرور المتعددة حسب المستخدم | يحدد العديد من تغييرات كلمة المرور حسب المستخدم. | تغيير كلمة مرور المستخدم مصادر البيانات: SAPcon - سجل التدقيق |
الوصول إلى بيانات تسجيل الدخول |
SAP - (معاينة) AS JAVA - يقوم المستخدم بإنشاء مستخدم جديد واستخدامه | تحديد إنشاء المستخدمين أو التلاعب بهم من قبل المسؤولين داخل بيئة SAP AS Java. | سجل الدخول إلى نظام الواجهة الخلفية باستخدام المستخدمين الذين قمت بإنشائها أو معالجتها. مصادر البيانات: SAPJAVAFilesLog |
استمرار |
محاولات تجاوز آليات أمان SAP
اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
---|---|---|---|
SAP - تغيير تكوين العميل | يحدد التغييرات لتكوين العميل مثل دور العميل أو وضع تسجيل التغيير. | قم بإجراء تغييرات في تكوين العميل باستخدام التعليمة البرمجية للعملية SCC4 . مصادر البيانات: SAPcon - سجل التدقيق |
التهرب الدفاعي والنقل غير المصرح به والاستمرار |
SAP - تم تغيير البيانات أثناء نشاط تصحيح الأخطاء | يحدد التغييرات لبيانات وقت التشغيل أثناء نشاط تصحيح الأخطاء. حالة الاستخدام الفرعي: الاستمرارية |
1. تنشيط تتبع الأخطاء («/h»). 2. حدد حقلًا للتغيير وحدث قيمته. مصادر البيانات: SAPcon - سجل التدقيق |
التنفيذ والحركة الجانبية |
SAP - إلغاء تنشيط سجل تدقيق الأمان | يحدد تعطيل سجل تدقيق الأمان | تعطيل سجل تدقيق الأمان باستخدام SM19/RSAU_CONFIG . مصادر البيانات: SAPcon - سجل التدقيق |
النقل غير المصرح به، والتهرب الدفاعي والاستمرار |
SAP - تنفيذ برنامج ABAP حساس | يحدد التنفيذ المباشر لبرنامج ABAP الحساس. حافظ على برامج ABAP في قائمة المشاهدة SAP - برامج ABAP الحساسة. |
تشغيل برنامج مباشرة باستخدام SE38 / SA38 / SE80 . مصادر البيانات: SAPcon - سجل التدقيق |
النقل غير المصرح به، الحركة الجانبية، التنفيذ |
SAP - تنفيذ رمز المعاملة الحساسة | يحدد تنفيذ التعليمة البرمجية للعملية الحساسة. احتفظ بالتعليمة البرمجية للعملية في قائمة المشاهدة SAP - التعليمات البرمجية للعملية. |
قم بتشغيل التعليمة البرمجية للعملية الحساسة. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف، والتنفيذ |
SAP - تنفيذ الوحدة النمطية للدالة الحساسة | يحدد تنفيذ وحدة وظيفة ABAP حساسة. حالة الاستخدام الفرعي: الاستمرارية ذات صلة بأنظمة الإنتاج فقط. الحفاظ على الوظائف الحساسة في قائمة المشاهدة SAP - وحدات الوظيفة الحساسة والتأكد من تنشيط تغييرات تسجيل الجدول في الواجهة الخلفية لجدول EUFUNC. (SE13) |
تشغيل وحدة وظيفة حساسة مباشرة باستخدام SE37. مصادر البيانات : SAPcon - سجل بيانات الجدول |
الاكتشاف والأوامر والتحكم |
SAP - (معاينة) HANA DB -تدقيق تغييرات نهج المسار | يحدد التغييرات في نُهج سجل التدقيق لقاعدة بيانات HANA. | إنشاء أو تحديث نهج التدقيق الحالية في التعريفات الأمنية. مصادر البيانات: عامل Linux - Syslog |
الحركة الجانبية، التهرب الدفاعي، الاستمرار |
SAP - (معاينة) HANA DB -إلغاء تنشيط مسار التدقيق | يحدد تعطيل سجل التدقيق لـ HANA DB. | إلغاء تفعيل سجل مراجعة الحسابات في تعريف HANA DB الأمني. مصادر البيانات: عامل Linux - Syslog |
الاستمرار، والحركة الجانبية، التهرب الدفاعي |
SAP - التنفيذ غير المصرح به عن بعد لوحدة وظيفية حساسة | يكتشف عمليات التنفيذ غير المصرح بها للأجهزة الظاهرية الحساسة عن طريق مقارنة النشاط بملف تعريف تخويل المستخدم مع تجاهل التخويلات التي تم تغييرها مؤخرا. احتفظ بوحدات الدالة في قائمة المشاهدة SAP - وحدات الوظيفة الحساسة . |
تشغيل وحدة وظيفة باستخدام RFC. مصادر البيانات: SAPcon - سجل التدقيق |
التنفيذ، الحركة الجانبية، الاكتشاف |
SAP - تغيير تكوين النظام | يحدد التغييرات لتكوين النظام. | تكييف خيارات تغيير النظام أو تعديل مكون البرمجيات باستخدام التعليمة البرمجية للعملية SE06 .مصادر البيانات: SAPcon - سجل التدقيق |
النقل غير المصرح به، والتهرب الدفاعي والاستمرار |
SAP - أنشطة تصحيح الأخطاء | تحديد جميع الأنشطة المتعلقة بتصحيح الأخطاء. حالة الاستخدام الفرعي: الاستمرارية |
تنشيط تتبع الأخطاء («/h») في النظام، وتصحيح عملية نشطة، وإضافة نقطة فاصلة إلى رمز المصدر، وما إلى ذلك. مصادر البيانات: SAPcon - سجل التدقيق |
اكتشاف |
SAP - تغيير تكوين سجل تدقيق الأمان | يحدد التغييرات في شكل سجل تدقيق حسابات الأمان | قم بتغيير أي تكوين سجل تدقيق الأمان باستخدام SM19 / RSAU_CONFIG ، مثل عوامل التصفية والحالة ووضع التسجيل وما إلى ذلك. مصادر البيانات: SAPcon - سجل التدقيق |
الاستمرار والنقل غير المصرح به، التهرب الدفاعي |
SAP - المعاملة غير مؤمنة | يحدد إلغاء تأمين العملية. | فتح تعليمة برمجية للعملية باستخدام SM01 / SM01_DEV / SM01_CUS . مصادر البيانات: SAPcon - سجل التدقيق |
الاستمرار والتنفيذ |
SAP - برنامج ABAP الديناميكي | يحدد تنفيذ برمجة ABAP الديناميكية. على سبيل المثال، عندما تم إنشاء التعليمة البرمجية ABAP ديناميكيًا أو تغييرها أو حذفها. احتفظ بالتعليمات البرمجية للعمليات المستبعدة في قائمة المشاهدةSAP - العمليات الخاصة بأجيال ABAP. |
قم بإنشاء تقرير ABAP الذي يستخدم أوامر إنشاء برامج ABAP، مثل INSERT REPORT، ثم قم بتشغيل التقرير. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف والأوامر والتحكم والتأثير |
عمليات الامتيازات المشبوهة
اسم القاعدة | الوصف | الإجراء المصدر | الخطط |
---|---|---|---|
SAP - التغيير في المستخدم المميز الحساس | يحدد تغييرات المستخدمين المتميزين الحساسين. حافظ على المستخدمين المتميزين في قائمة المشاهدة SAP - المستخدمون المتميزون. |
قم بتغيير تفاصيل المستخدم/التخويلات باستخدام SU01 . مصادر البيانات: SAPcon - سجل التدقيق |
تصعيد الامتياز والوصول إلى معلومات تسجيل الدخول |
SAP - (معاينة) HANA DB -Assign مسؤول Authorizations | تحديد امتياز المسؤول أو تعيين الدور. | تعيين مستخدم له أي دور إداري أو امتيازات. مصادر البيانات: عامل Linux - Syslog |
زيادة الامتيازات |
SAP - المستخدم المميز الحساس الذي قام بتسجيل الدخول | يحدد تسجيل دخول من مربع الحوار لمستخدم حساس متميز. حافظ على المستخدمين المتميزين في قائمة المشاهدة SAP - المستخدمون المتميزون. |
قم بتسجيل الدخول إلى نظام الواجهة الخلفية باستخدام SAP* أو مستخدم مميز آخر. مصادر البيانات: SAPcon - سجل التدقيق |
الوصول الأولي والوصول إلى معلومات تسجيل الدخول |
SAP - يقوم المستخدم المميز الحساس بإجراء تغيير في مستخدم آخر | يحدد تغييرات المستخدمين الحساسين والمتميزين في المستخدمين الآخرين. | قم بتغيير تفاصيل المستخدم/التخويلات باستخدام SU01. مصادر البيانات: SAPcon - سجل التدقيق |
تصعيد الامتياز والوصول إلى معلومات تسجيل الدخول |
SAP - تغيير كلمة مرور المستخدمين الحساسين وتسجيل الدخول | يحدد تغييرات كلمة المرور للمستخدمين المتميزين. | تغيير كلمة المرور لمستخدم متميز وقم بتسجيل الدخول إلى النظام. حافظ على المستخدمين المتميزين في قائمة المشاهدة SAP - المستخدمون المتميزون. مصادر البيانات: SAPcon - سجل التدقيق |
التأثير والأوامر والتحكم وتصعيد الامتياز |
SAP - يقوم المستخدم بإنشاء مستخدم جديد واستخدامه | يحدد المستخدم الذي ينشئ مستخدمين آخرين ويستخدمهم. حالة الاستخدام الفرعي: الاستمرارية |
إنشاء مستخدم باستخدام SU01، ثم تسجيل الدخول باستخدام المستخدم الذي تم إنشاؤه حديثًا وبنفس عنوان IP. مصادر البيانات: SAPcon - سجل التدقيق |
الاكتشاف، ما قبل الهجوم، الوصول الأولي |
SAP - يقوم المستخدم بإلغاء تأمين المستخدمين الآخرين واستخدامهم | يحدد مستخدم يتم إلغاء تأمينه واستخدامه من قبل مستخدمين آخرين. حالة الاستخدام الفرعي: الاستمرارية |
قم بإلغاء تأمين مستخدم باستخدام SU01، ثم سجل الدخول باستخدام المستخدم غير المؤمن وعنوان IP نفسه. مصادر البيانات : SAPcon - سجل التدقيق، SAPcon - سجل مستندات التغيير |
الاكتشاف، ما قبل الهجوم، الوصول الأولي، الحركة الجانبية |
SAP - تعيين ملف تعريف حساس | يحدد المهام الجديدة لملف تعريف حساس للمستخدم. حافظ على الملفات الشخصية الحساسة في قائمة المشاهدة SAP - الملفات الشخصية الحساسة. |
قم بتعيين ملف تعريف للمستخدم باستخدام SU01 . مصادر البيانات : SAPcon - سجل مستندات التغيير |
زيادة الامتيازات |
SAP - تعيين دور حساس | يحدد مهام جديدة لدور حساس للمستخدم. الاحتفاظ بالأدوار الحساسة في قائمة المشاهدة SAP - الأدوار الحساسة. |
تعيين دور للمستخدم باستخدام SU01 / PFCG . مصادر البيانات : SAPcon - سجل مستندات التغيير، سجل التدقيق |
زيادة الامتيازات |
SAP - (معاينة) تعيين التخويلات الهامة - قيمة تخويل جديدة | يحدد إسناد قيمة كائن التخويل المهم إلى مستخدم جديد. احتفظ بعناصر التخويل الحرجة في قائمة المشاهدة SAP - عناصر التخويل المهم. |
قم بتعيين عنصر تخويل جديد أو تحديث عنصر موجود في دور، عن طريق استخدام PFCG . مصادر البيانات : SAPcon - سجل مستندات التغيير |
زيادة الامتيازات |
SAP - تعيين التخويلات الهامة - تعيين مستخدم جديد | يحدد إسناد قيمة كائن التخويل المهم إلى مستخدم جديد. احتفظ بعناصر التخويل الحرجة في قائمة المشاهدة SAP - عناصر التخويل المهم. |
قم بتعيين مستخدم جديد لدور يحمل قيم التخويل المهمة، باستخدام SU01 /PFCG . مصادر البيانات : SAPcon - سجل مستندات التغيير |
زيادة الامتيازات |
SAP - تغييرات الأدوار الحساسة | يحدد التغييرات في الأدوار الحساسة. الاحتفاظ بالأدوار الحساسة في قائمة المشاهدة SAP - الأدوار الحساسة. |
تغيير دور باستخدام PFCG. مصادر البيانات : SAPcon - سجل مستندات التغيير، SAPcon - سجل التدقيق |
التأثير، تصعيد الامتياز، الاستمرار |
قوائم المشاهدة المتاحة
يسرد الجدول التالي قوائم المشاهدة المتوفرة لحل Microsoft Sentinel لتطبيقات SAP والحقول في كل قائمة مشاهدة.
توفر قوائم المشاهدة هذه التكوين لحل Microsoft Sentinel لتطبيقات SAP. تتوفر قوائم مشاهدة SAP في مستودع Microsoft Azure Sentinel GitHub.
اسم قائمة المشاهدة | الوصف والحقول |
---|---|
SAP - كائنات التخويل المهمة | عناصر التخويلات المهمة، حيث يتم التحكم في التعيينات. - AuthorizationObject: عنصر تخويل SAP، مثل S_DEVELOP ، أو S_TCODE ، أو Table TOBJ - AuthorizationField : حقل تخويل SAP، مثل OBJTYP أو TCD - AuthorizationValue: قيمة حقل تخويل SAP، مثل DEBUG - ActivityField : SAP حقل نشاط. بالنسبة لمعظم الحالات، تكون هذه القيمة هي ACTVT . لكائنات التخويلات بدون نشاط ، أو بنشاط حقل فحسب ، المعبئة بـ NOT_IN_USE . - النشاط : نشاط SAP، وفقًا لكائن التخويل، مثل: 01 : إنشاء؛ 02 : التغيير؛ 03 : العرض، وما إلى ذلك. - الوصف: وصف كائن تخويل مهم ذو معنى. |
SAP - الشبكات المستبعدة | للصيانة الداخلية للشبكات المستبعدة، مثل تجاهل مرسلي الويب، وخوادم الأجهزة الطرفية، وما إلى ذلك. -الشبكة: عنوان IP للشبكة أو النطاق الخاص بها، مثل 111.68.128.0/17 . -وصف : وصف شبكة ذو معنى. |
المستخدمون المستبعدون من SAP | مستخدمو النظام الذين سجلوا الدخول إلى النظام ويجب تجاهلهم. على سبيل المثال، تنبيهات محاولات تسجيل الدخول المتعدد من قبل نفس المستخدم. - المستخدم: مستخدم SAP -وصف : وصف مستخدم ذو معنى. |
SAP - الشبكات | شبكات داخلية وشبكات صيانة لتحديد عمليات تسجيل الدخول غير المصرح بها. - الشبكة : عنوان أو نطاق بروتوكول الإنترنت الشبكي، مثل 111.68.128.0/17 - وصف : وصف شبكة ذو معنى. |
SAP - المستخدمون المتميزون | المستخدمون المتميزون الذين يخضعون لقيود إضافية. - مستخدم : مستخدم ABAP، مثل DDIC أو SAP - وصف : وصف مستخدم ذو معنى. |
SAP - برامج ABAP الحساسة | برامج ABAP الحساسة (التقارير)، عندما يتم تنظيم التنفيذ. - ABAPProgram: برنامج أو تقرير ABAP، مثل RSPFLDOC - وصف : وصف برنامج ذو معنى. |
SAP - وحدة الوظيفة الحساسة | شبكات داخلية وشبكات صيانة لتحديد عمليات تسجيل الدخول غير المصرح بها. - FunctionModule: وحدة وظيفة ABAP، مثل RSAU_CLEAR_AUDIT_LOG - وصف : وصف وحدة نمطية ذو معنى. |
SAP - ملفات تعريف حساسة | ملفات تعريف حساسة، حيث يتم تنظيم المهام. - ملف تعريف: ملف تعريف تخويل SAP، مثل SAP_ALL أو SAP_NEW - وصف : وصف ملف تعريف ذو معنى. |
SAP - جداول حساسة | جداول حساسة، حيث يتم تنظيم الوصول. - الجدول : جدول ABAP Dictionary، مثل USR02 أو PA008 - وصف : وصف جدول ذو معنى. |
SAP - الأدوار الحساسة | أدوار حساسة، حيث يتم تنظيم المهمة. - الدور : دور تخويل SAP، مثل SAP_BC_BASIS_ADMIN - وصف : وصف دور ذو معنى. |
SAP - المعاملات الحساسة | العمليات الحساسة التي يتم تنظيم التنفيذ. - TransactionCode: تعليمة برمجية للعملية SAP، مثل RZ11 - وصف : وصف تعليمة برمجية ذو معنى. |
SAP - الأنظمة | يصف مشهد أنظمة SAP وفقا للدور والاستخدام والتكوين. - SystemID: معرف نظام SAP (SYSID) - SystemRole: دور نظام SAP، إحدى القيم التالية: Sandbox ، Development ، Quality Assurance ، Training ، Production - استخدام النظام : استخدام نظام SAP، إحدى القيم التالية: ERP ، BW ، Solman ، Gateway ، Enterprise Portal - InterfaceAttributes: معلمة ديناميكية اختيارية للاستخدام في أدلة المبادئ. |
SAPSystemParameters | معلمات لمشاهدة تغييرات التكوين المشبوهة. قائمة المشاهدة هذه معبأة مسبقا بالقيم الموصى بها (وفقا لأفضل ممارسات SAP)، ويمكنك توسيع قائمة المشاهدة لتشمل المزيد من المعلمات. إذا كنت لا تريد تلقي تنبيهات لمعلمة، فقم بتعيين EnableAlerts إلى false .- ParameterName: اسم المعلمة. - تعليق: وصف المعلمة القياسية SAP. - EnableAlerts: يحدد ما إذا كان يجب تمكين التنبيهات لهذه المعلمة. القيم هي true و false .- الخيار: يحدد في هذه الحالة تشغيل تنبيه: إذا كانت قيمة المعلمة أكبر أو متساوية ( GE )، أو أقل أو تساوي (LE )، أو تساوي (EQ )على سبيل المثال، إذا تم تعيين معلمة login/fails_to_user_lock SAP إلى LE (أقل أو يساوي)، وقيمة 5 ، بمجرد أن يكتشف Microsoft Sentinel تغييرا في هذه المعلمة المحددة، فإنه يقارن القيمة التي تم الإبلاغ عنها حديثا والقيمة المتوقعة. إذا كانت القيمة الجديدة هي 4 ، لا يقوم Microsoft Sentinel بتشغيل تنبيه. إذا كانت القيمة الجديدة هي 6 ، يقوم Microsoft Sentinel بتشغيل تنبيه.- ProductionSeverity: خطورة الحادث لأنظمة الإنتاج. - ProductionValues: القيم المسموح بها لأنظمة الإنتاج. - NonProdSeverity: خطورة الحادث للأنظمة غير الإنتاجية. - NonProdValues: القيم المسموح بها للأنظمة غير المنتجة. |
SAP - المستخدمون المستبعدون | مستخدمو النظام الذين يتم تسجيل دخولهم ويلزم تجاهلهم، مثل تسجيل الدخول المتعدد عن طريق تنبيه المستخدم. - المستخدم: مستخدم SAP - وصف: وصف مستخدم ذو معنى |
SAP - الشبكات المستبعدة | الاحتفاظ بشبكات داخلية مستبعدة لتجاهل مرسلي الويب وخوادم الأجهزة الطرفية وما إلى ذلك. - الشبكة : عنوان أو نطاق بروتوكول الإنترنت الشبكي، مثل 111.68.128.0/17 - وصف: وصف شبكة ذو معنى |
SAP - وحدات وظيفة قديمة | وحدات وظيفة قديمة، حيث يتم تنظيم تنفيذها. - FunctionModule: وحدة دالة ABAP، مثل TH_SAPREL - الوصف: وصف وحدة وظيفة ذو معنى |
SAP - البرامج القديمة | برامج (تقارير) ABAP القديمة التي يجب أن تنظيم تنفيذها. - ABAPProgram:ABAP Program، مثل TH_ RSPFLDOC - وصف : وصف برنامج ABAP ذو معنى |
SAP - المعاملات لأجيال ABAP | العمليات الخاصة بأجيال ABAP التي يجب تنظيم تنفيذها. - TransactionCode: رمز المعاملة، مثل SE11. - الوصف: وصف للتعليمة البرمجية للعملية ذو معنى |
SAP - خوادم FTP Server | خوادم FTP لتحديد الاتصالات غير المصرح بها. - العميل: مثل 100. - FTP_Server_Name: اسم خادم FTP، مثل http://contoso.com/ - FTP _ Server _ Port : منفذ خادم FTP، مثل 22. - الوصف وصف مفيد لخادم FTP |
SAP_Dynamic_Audit_Log_Monitor_Configuration | قم بتكوين تنبيهات سجل تدقيق SAP عن طريق تعيين مستوى خطورة لكل معرف رسالة كما هو مطلوب من قبلك، لكل دور نظام (الإنتاج، عدم الإنتاج). توضح قائمة المشاهدة هذه تفاصيل جميع معرفات رسائل سجل التدقيق القياسي ل SAP المتوفرة. يمكن توسيع قائمة المشاهدة لتحتوي على معرفات رسائل إضافية قد تقوم بإنشائها بنفسك باستخدام تحسينات ABAP على أنظمة SAP NetWeaver الخاصة بهم. تسمح قائمة المشاهدة هذه أيضا بتكوين فريق معين للتعامل مع كل نوع من أنواع الأحداث، واستبعاد المستخدمين من خلال أدوار SAP أو ملفات تعريف SAP أو بواسطة علامات من قائمة مشاهدة SAP_User_Config . قائمة المراقبة هذه هي أحد المكونات الأساسية المستخدمة لتكوين قواعد تحليلات SAP المضمنة لمراقبة سجل تدقيق SAP. لمزيد من المعلومات، راجع مراقبة سجل تدقيق SAP. - MessageID: معرف رسالة SAP، أو نوع الحدث، مثل AUD (تغييرات سجل المستخدم الرئيسي)، أو AUB (تغييرات التخويل). - DetailedDescription: وصف ممكن عليه markdown ليتم عرضه في جزء الحدث. - ProductionSeverity: الخطورة المطلوبة للحادث الذي سيتم إنشاؤه مع لأنظمة الإنتاج High ، Medium . يمكن تعيينه ك Disabled . - NonProdSeverity: الخطورة المطلوبة للحادث الذي سيتم إنشاؤه مع للأنظمة High غير المنتجة ، . Medium يمكن تعيينه ك Disabled . - ProductionThreshold عدد الأحداث "في الساعة" التي سيتم اعتبارها مريبة لأنظمة 60 الإنتاج . - NonProdThreshold عدد الأحداث "لكل ساعة" التي سيتم اعتبارها مريبة للأنظمة 10 غير المنتجة . - RolesTagsToExclude: يقبل هذا الحقل اسم دور SAP أو أسماء ملفات تعريف SAP أو العلامات من قائمة SAP_User_Config. ثم يتم استخدام هذه لاستبعاد المستخدمين المقترنين من أنواع أحداث معينة. راجع خيارات علامات الدور في نهاية هذه القائمة. - RuleType: استخدم Deterministic لنوع الحدث لإرساله إلى قاعدة SAP - Dynamic Deterministic Audit Log Monitor ، أو AnomaliesOnly لتغطية هذا الحدث بواسطة قاعدة SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). لمزيد من المعلومات، راجع مراقبة سجل تدقيق SAP. - TeamsChannelID: معلمة ديناميكية اختيارية للاستخدام في أدلة المبادئ. - DestinationEmail: معلمة ديناميكية اختيارية للاستخدام في أدلة المبادئ. لحقل RolesTagsToExclude : - إذا قمت بإدراج أدوار SAP أو ملفات تعريف SAP، فهذا يستبعد أي مستخدم له الأدوار أو ملفات التعريف المدرجة من أنواع الأحداث هذه لنفس نظام SAP. على سبيل المثال، إذا قمت بتعريف BASIC_BO_USERS دور ABAP لنوع الأحداث ذات الصلة ب RFC، فلن يقوم مستخدمو كائنات الأعمال بتشغيل الحوادث عند إجراء مكالمات RFC ضخمة.- وضع علامات على نوع حدث مشابه لتحديد أدوار أو ملفات تعريف SAP، ولكن يمكن إنشاء العلامات في مساحة العمل، بحيث يمكن لفرق SOC استبعاد المستخدمين حسب النشاط دون الاعتماد على فريق SAP BASIS. على سبيل المثال، يتم تعيين MassiveAuthChanges العلامة معرفات رسالة التدقيق AUB (تغييرات التخويل) و AUD (تغييرات السجل الرئيسي للمستخدم). يتم استبعاد المستخدمين المعينين لهذه العلامة من عمليات التحقق من هذه الأنشطة. يؤدي تشغيل دالة مساحة SAPAuditLogConfigRecommend العمل إلى إنتاج قائمة بالعلامات الموصى بها لتعيينها للمستخدمين، مثل Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist . |
SAP_User_Config | يسمح بضبط التنبيهات عن طريق استبعاد /تضمين المستخدمين في سياقات محددة ويستخدم أيضا لتكوين قواعد تحليلات SAP المضمنة لمراقبة سجل تدقيق SAP. لمزيد من المعلومات، راجع مراقبة سجل تدقيق SAP. - SAPUser: مستخدم SAP - العلامات: تستخدم العلامات لتحديد المستخدمين مقابل نشاط معين. على سبيل المثال، ستؤدي إضافة العلامات ["GenericTablebyRFCOK"] إلى SENTINEL_SRV المستخدم إلى منع إنشاء الحوادث ذات الصلة ب RFC لهذا المستخدم المحدد معرفات مستخدم Active Directory الأخرى - معرف مستخدم AD - Sid المحلي للمستخدم - اسم المستخدم الأساسي |
أدلة المبادئ المتوفرة
تساعدك أدلة المبادئ التي يوفرها حل Microsoft Sentinel لتطبيقات SAP على أتمتة أحمال عمل الاستجابة لحوادث SAP، وتحسين كفاءة وفعالية عمليات الأمان.
يصف هذا القسم أدلة مبادئ التحليلات المضمنة المقدمة مع حل Microsoft Sentinel لتطبيقات SAP.
اسم دليل المبادئ | المعلمات | الاتصالات |
---|---|---|
الاستجابة لحوادث SAP - تأمين المستخدم من Teams - أساسي | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - البريد الإلكتروني الافتراضي - TeamsChannel |
- Microsoft Sentinel - فرق Microsoft |
SAP Incident Response - تأمين المستخدم من Teams - متقدم | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - سجلات Azure Monitor - Office 365 Outlook - معرف Microsoft Entra - Azure Key Vault - فرق Microsoft |
الاستجابة لحوادث SAP - تسجيل التدقيق القابل لإعادة التنشيط بمجرد إلغاء تنشيطه | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - سجلات Azure Monitor - فرق Microsoft |
تصف الأقسام التالية حالات استخدام العينة لكل من أدلة المبادئ المقدمة، في سيناريو حذرك فيه حادث من نشاط مشبوه في أحد أنظمة SAP، حيث يحاول المستخدم تنفيذ إحدى هذه المعاملات الحساسة للغاية.
أثناء مرحلة فرز الحوادث، تقرر اتخاذ إجراء ضد هذا المستخدم، وطرده من أنظمة SAP ERP أو BTP أو حتى من Microsoft Entra ID.
لمزيد من المعلومات، راجع أتمتة الاستجابة للمخاطر باستخدام أدلة المبادئ في Microsoft Sentinel
عملية نشر تطبيقات المنطق القياسية بشكل عام أكثر تعقيدا مما هي عليه بالنسبة لتطبيقات منطق الاستهلاك. لقد أنشأنا سلسلة من الاختصارات لمساعدتك في نشرها بسرعة من مستودع Microsoft Sentinel GitHub. لمزيد من المعلومات، راجع دليل التثبيت خطوة بخطوة.
تلميح
شاهد مجلد أدلة مبادئ SAP في مستودع GitHub لمزيد من أدلة المبادئ عند توفرها. هناك أيضا فيديو تمهيدي قصير (ارتباط خارجي) لمساعدتك على البدء.
تأمين مستخدم من نظام واحد
إنشاء قاعدة أتمتة لاستدعاء تأمين المستخدم من Teams - دليل المبادئ الأساسي كلما تم الكشف عن تنفيذ معاملة حساسة من قبل مستخدم غير مصرح به. يستخدم دليل المبادئ هذا ميزة البطاقات التكيفية الخاصة ب Teams لطلب الموافقة قبل حظر المستخدم من جانب واحد.
لمزيد من المعلومات، راجع من الصفر إلى تغطية الأمان الرئيسية باستخدام Microsoft Sentinel لإشارات أمان SAP الهامة - ستسمعني SOAR! الجزء الأول (منشور مدونة SAP).
إن مستخدم التأمين من Teams - دليل المبادئ الأساسي هو دليل مبادئ قياسي، ودلائل المبادئ القياسية عادة ما تكون أكثر تعقيدا للنشر من أدلة مبادئ الاستهلاك.
لقد أنشأنا سلسلة من الاختصارات لمساعدتك في نشرها بسرعة من مستودع Microsoft Sentinel GitHub. لمزيد من المعلومات، راجع دليل التثبيت خطوة بخطوة وأنواع تطبيقات المنطق المدعومة.
تأمين مستخدم من أنظمة متعددة
يحقق مستخدم القفل من Teams - دليل المبادئ المتقدم نفس الهدف، ولكنه مصمم لسيناريوهات أكثر تعقيدا، ما يسمح باستخدام دليل مبادئ واحد لأنظمة SAP متعددة، لكل منها SAP SID الخاص به.
يدير مستخدم القفل من Teams - دليل المبادئ المتقدم بسلاسة الاتصالات بجميع هذه الأنظمة وبيانات الاعتماد الخاصة به، باستخدام المعلمة الديناميكية الاختيارية InterfaceAttributes في SAP - Systems watchlist وAzure Key Vault.
يسمح لك تأمين المستخدم من Teams - دليل المبادئ المتقدم أيضا بالاتصال بالأطراف في عملية الموافقة باستخدام رسائل Outlook القابلة للتنفيذ مع Teams، باستخدام معلمات TeamsChannelID و DestinationEmail في قائمة مشاهدة SAP_Dynamic_Audit_Log_Monitor_Configuration.
لمزيد من المعلومات، راجع من الصفر إلى تغطية الأمان الرئيسية باستخدام Microsoft Sentinel لإشارات أمان SAP الهامة - الجزء 2 (منشور مدونة SAP).
منع إلغاء تنشيط تسجيل التدقيق
قد تكون قلقا أيضا بشأن إلغاء تنشيط سجل تدقيق SAP، وهو أحد مصادر بيانات الأمان الخاصة بك. نوصي بإنشاء قاعدة أتمتة استنادا إلى SAP - إلغاء تنشيط قاعدة تحليلات سجل تدقيق الأمان لاستدعاء تسجيل التدقيق القابل لإعادة التعيين بمجرد إلغاء تنشيط دليل المبادئ للتأكد من عدم إلغاء تنشيط سجل تدقيق SAP.
يستخدم دليل مبادئ SAP - إلغاء تنشيط سجل تدقيق الأمان أيضا Teams، لإعلام موظفي الأمان بعد وقوعها. تشير شدة الجريمة وإلحاح التخفيف من حدتها إلى أنه يمكن اتخاذ إجراء فوري دون الحاجة إلى موافقة.
نظرا لأن SAP - إلغاء تنشيط دليل مبادئ سجل تدقيق الأمان يستخدم أيضا Azure Key Vault لإدارة بيانات الاعتماد، فإن تكوين دليل المبادئ مشابه لتكوين مستخدم التأمين من Teams - دليل المبادئ المتقدم. لمزيد من المعلومات، راجع من الصفر إلى تغطية الأمان الرئيسية باستخدام Microsoft Sentinel لإشارات أمان SAP الهامة - الجزء 3 (منشور مدونة SAP).
المحتوى ذو الصلة
لمزيد من المعلومات، راجع نشر حل Microsoft Sentinel لتطبيقات SAP.