Řešení Microsoft Sentinel pro aplikace SAP®: Referenční informace k obsahu zabezpečení
Tento článek podrobně popisuje obsah zabezpečení dostupný pro řešení Microsoft Sentinel pro SAP.
Důležité
I když je řešení Microsoft Sentinel pro aplikace SAP® ve verzi GA, některé konkrétní komponenty zůstávají ve verzi PREVIEW. Tento článek označuje komponenty, které jsou ve verzi Preview, v příslušných částech níže. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Dostupný obsah zabezpečení zahrnuje předdefinované sešity a analytická pravidla. Můžete také přidat seznamy ke zhlédnutí související se SAP, které se použijí v playbookech vyhledávání, pravidel detekce, proaktivního vyhledávání hrozeb a odpovědí.
Předdefinované sešity
Pomocí následujících předdefinovaných sešitů můžete vizualizovat a monitorovat ingestovaná data prostřednictvím datového konektoru SAP. Po nasazení řešení SAP najdete sešity SAP na kartě Moje sešity .
Název sešitu | Popis | Protokoly |
---|---|---|
SAP – Prohlížeč protokolů auditu | Zobrazí data, například: - Obecný stav systému, včetně přihlašování uživatelů v průběhu času, události ingestované systémem, třídy zpráv a ID a programy ABAP běží -Závažnosti událostí, ke kterým dochází ve vašem systému – Události ověřování a autorizace, ke kterým dochází ve vašem systému |
Používá data z následujícího protokolu: ABAPAuditLog_CL |
SAP Audit Controls | Pomůže vám zkontrolovat kontrolní mechanismy prostředí SAP, které vyhovují zvolenému řídicímu rozhraní, a to pomocí nástrojů, které vám umožní provést následující akce: – Přiřazení analytických pravidel ve vašem prostředí ke konkrétním kontrolním mechanismům zabezpečení a rodinám kontrol – Monitorování a kategorizace incidentů generovaných analytickými pravidly založenými na řešeníCH SAP – Hlášení o dodržování předpisů |
Používá data z následujících tabulek: - SecurityAlert - SecurityIncident |
Další informace najdete v tématu Kurz: Vizualizace a monitorování dat a nasazení řešení Microsoft Sentinel pro aplikace SAP®.
Integrovaná analytická pravidla
Monitorování konfigurace statických parametrů zabezpečení SAP (Preview)
Pro zabezpečení systému SAP společnost SAP identifikovala parametry související se zabezpečením, které je potřeba monitorovat u změn. S pravidlem "SAP – (Preview) Citlivý statický parametr se změnil", řešení Microsoft Sentinel pro aplikace SAP® sleduje v systému SAP více než 52 statických parametrů souvisejících se zabezpečením, které jsou integrované do Microsoft Sentinelu.
Poznámka:
Aby bylo řešení Microsoft Sentinelu pro aplikace SAP® úspěšně monitorováno parametry zabezpečení SAP, musí řešení v pravidelných intervalech úspěšně monitorovat tabulku SAP PAHI. Ověřte, že řešení může úspěšně monitorovat tabulku PAHI.
K pochopení změn parametrů v systému používá řešení Microsoft Sentinel pro aplikace SAP® tabulku historie parametrů, která zaznamenává změny parametrů provedené každou hodinu.
Parametry se také projeví v seznamu ke zhlédnutí SAPSystemParameters. Tento seznam ke zhlédnutí umožňuje uživatelům přidávat nové parametry, zakázat existující parametry a upravovat hodnoty a závažnosti na parametr a roli systému v produkčním nebo neprodukčním prostředí.
Když dojde ke změně některého z těchto parametrů, Microsoft Sentinel zkontroluje, jestli tato změna nesouvisí se zabezpečením a jestli je hodnota nastavená podle doporučených hodnot. Pokud je změna podezřelá mimo bezpečnou zónu, Vytvoří Microsoft Sentinel incident s podrobnostmi o změně a identifikuje, kdo změnu provedl.
Zkontrolujte seznam parametrů, které toto pravidlo monitoruje.
Monitorování protokolu auditu SAP
Data protokolu auditu SAP se používají v mnoha analytických pravidlech řešení Microsoft Sentinel pro aplikace SAP®. Některá analytická pravidla hledají konkrétní události v protokolu, zatímco jiné korelují indikace z několika protokolů a vytvářejí vysoce věrná upozornění a incidenty.
Kromě toho existují dvě analytická pravidla, která jsou navržená tak, aby vyhovovala celé sadě standardních událostí protokolu auditu SAP (183 různých událostí) a všechny další vlastní události, které se můžete rozhodnout protokolovat pomocí protokolu auditu SAP.
Pravidla analýzy monitorování protokolů auditu SAP sdílejí stejné zdroje dat a stejnou konfiguraci, ale liší se v jednom důležitém aspektu. I když pravidlo SAP – Dynamic Deterministic Audit Log Monitor (Dynamic Deterministic Audit Log Monitor) vyžaduje deterministické prahové hodnoty upozornění a pravidla vyloučení uživatelů, pravidlo SAP – Dynamic Anomaly-based Audit Log Monitor (PREVIEW) používá další algoritmy strojového učení k odfiltrování šumu na pozadí bez dohledu. Z tohoto důvodu se většina typů událostí (nebo ID zpráv SAP) protokolu auditu SAP odesílá do analytického pravidla založeného na anomáliích, zatímco do deterministického analytického pravidla se odesílají jednodušší typy událostí. Toto nastavení spolu s dalšími souvisejícími nastaveními lze dále nakonfigurovat tak, aby vyhovovalo jakýmkoli systémovým podmínkám.
SAP – Dynamic Deterministic Audit Log Monitor
Pravidlo dynamické analýzy, které je určené pro pokrytí celé sady typů událostí protokolu auditu SAP, které mají deterministický definici z hlediska populace uživatelů, prahových hodnot událostí.
- Konfigurace pravidla pomocí seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration
- Další informace o konfiguraci pravidla (úplná procedura)
SAP – Upozornění monitorování protokolu auditu na základě dynamických anomálií (PREVIEW)
Pravidlo dynamické analýzy navržené tak, aby se naučilo normální chování systému a upozorňovalo na aktivity pozorované v protokolu auditu SAP, které jsou považovány za neobvyklé. Toto pravidlo použijte u typů událostí protokolu auditu SAP, které se obtížně definují z hlediska populace uživatelů, atributů sítě a prahových hodnot.
Další informace:
- Konfigurace pravidla pomocí SAP_Dynamic_Audit_Log_Monitor_Configuration a seznamu ke zhlédnutí SAP_User_Config
- Další informace o konfiguraci pravidla (úplná procedura)
Následující tabulky uvádějí předdefinovaná analytická pravidla , která jsou součástí řešení Microsoft Sentinel pro aplikace SAP® nasazená z marketplace řešení Microsoft Sentinel.
Počáteční přístup
Název pravidla | Popis | Zdrojová akce | Taktika |
---|---|---|---|
SAP – Přihlášení z neočekávané sítě | Identifikuje přihlášení z neočekávané sítě. Udržujte sítě v seznamu ke zhlédnutí SAP – Networks . |
Přihlaste se k back-endovému systému z IP adresy, která není přiřazená k jedné ze sítí. Zdroje dat: SAPcon – Protokol auditu |
Počáteční přístup |
SAP – Útok SPNego | Identifikuje útok SPNego Replay. | Zdroje dat: SAPcon – Protokol auditu | Dopad, laterální pohyb |
SAP – Pokus o přihlášení dialogového okna od privilegovaného uživatele | Identifikuje pokusy o přihlášení k dialogu s typem AUM privilegovanými uživateli v systému SAP. Další informace naleznete v SAPUsersGetPrivileged. | Pokus o přihlášení ze stejné IP adresy do několika systémů nebo klientů v naplánovaném časovém intervalu Zdroje dat: SAPcon – Protokol auditu |
Dopad, laterální pohyb |
SAP – Útoky hrubou silou | Identifikuje útoky hrubou silou na systém SAP pomocí přihlášení RFC. | Pokus o přihlášení ze stejné IP adresy k několika systémům nebo klientům v rámci naplánovaného časového intervalu pomocí RFC Zdroje dat: SAPcon – Protokol auditu |
Přístup k přihlašovacím údajům |
SAP – Více přihlášení ze stejné IP adresy | Identifikuje přihlášení několika uživatelů ze stejné IP adresy v naplánovaném časovém intervalu. Případ dílčího použití: Zachování |
Přihlaste se pomocí několika uživatelů prostřednictvím stejné IP adresy. Zdroje dat: SAPcon – Protokol auditu |
Počáteční přístup |
SAP – Více přihlášení podle uživatele | Identifikuje přihlášení stejného uživatele z několika terminálů v rámci naplánovaného časového intervalu. K dispozici pouze prostřednictvím metody Audit SAL pro SAP verze 7.5 a vyšší. |
Přihlaste se pomocí stejného uživatele pomocí různých IP adres. Zdroje dat: SAPcon – Protokol auditu |
Předběžné připojení, Přístup k přihlašovacím údajům, Počáteční přístup, Kolekce Případ dílčího použití: Zachování |
SAP – Informační – Životní cyklus – Poznámky SAP byly implementovány v systému | Identifikuje implementaci SAP Note v systému. | Implementujte poznámku SAP pomocí SNOTE/TCI. Zdroje dat: SAPcon – Žádosti o změnu |
- |
SAP – (Preview) AS JAVA – Přihlášení citlivého privilegovaného uživatele | Identifikuje přihlášení z neočekávané sítě. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Privileged Users . |
Přihlaste se k back-endovému systému pomocí privilegovaných uživatelů. Zdroje dat: SAPJAVAFilesLog |
Počáteční přístup |
SAP – (Preview) AS JAVA – Přihlášení z neočekávané sítě | Identifikuje přihlášení z neočekávané sítě. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Sítě . |
Přihlaste se k back-endovému systému z IP adresy, která není přiřazená k jedné ze sítí v seznamu ke zhlédnutí SAP – Sítě Zdroje dat: SAPJAVAFilesLog |
Počáteční přístup, obrana před únikem |
Exfiltrace dat
Název pravidla | Popis | Zdrojová akce | Taktika |
---|---|---|---|
SAP – FTP pro neautorizované servery | Identifikuje připojení FTP pro neautorizovaný server. | Vytvořte nové připojení FTP, například pomocí modulu funkce FTP_CONNECT. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, počáteční přístup, příkaz a řízení |
SAP – Nezabezpečená konfigurace FTP serverů | Identifikuje nezabezpečené konfigurace serveru FTP, například když je seznam povolených ftp prázdný nebo obsahuje zástupné symboly. | Pomocí zobrazení údržby neudržujte ani neudržujte hodnoty, SAPFTP_SERVERS_V které obsahují zástupné symboly v SAPFTP_SERVERS tabulce. (SM30) Zdroje dat: SAPcon – Protokol auditu |
Počáteční přístup, příkaz a řízení |
SAP – Stažení více souborů | Identifikuje více souborů ke stažení pro uživatele v určitém časovém rozsahu. | Stáhněte si více souborů pomocí SAPGui pro Excel, seznamy atd. Zdroje dat: SAPcon – Protokol auditu |
Kolekce, Exfiltrace, Přístup k přihlašovacím údajům |
SAP – Více spuštění fondu | Identifikuje více fondů pro uživatele v určitém časovém rozsahu. | Vytvořte a spusťte více úloh zařazování libovolného typu uživatelem. (SP01) Zdroje dat: SAPcon – Protokol fondu, SAPcon – Protokol auditu |
Kolekce, Exfiltrace, Přístup k přihlašovacím údajům |
SAP – Provádění výstupu s několika fondy | Identifikuje více fondů pro uživatele v určitém časovém rozsahu. | Vytvořte a spusťte více úloh zařazování libovolného typu uživatelem. (SP01) Zdroje dat: SAPcon – Protokol výstupu fondu, SAPcon – Protokol auditu |
Kolekce, Exfiltrace, Přístup k přihlašovacím údajům |
SAP – Citlivé tabulky s přímým přístupem prostřednictvím přihlášení RFC | Identifikuje obecný přístup k tabulce přihlášením RFC. Udržujte tabulky v seznamu pro sap – citlivé tabulky . Poznámka: Relevantní pouze pro produkční systémy. |
Otevřete obsah tabulky pomocí SE11/SE16/SE16N. Zdroje dat: SAPcon – Protokol auditu |
Kolekce, Exfiltrace, Přístup k přihlašovacím údajům |
SAP – Převzetí fondu | Identifikuje uživatele, který tiskl žádost o zařazování, kterou vytvořil někdo jiný. | Vytvořte žádost o zařazování pomocí jednoho uživatele a pak ji vypište pomocí jiného uživatele. Zdroje dat: SAPcon – Protokol fondu, SAPcon – Protokol výstupu fondu, SAPcon – Protokol auditu |
Kolekce, exfiltrace, příkaz a ovládací prvek |
SAP – Dynamický cíl RFC | Identifikuje provádění RFC pomocí dynamických cílů. Případ dílčího použití: Pokusy o obejití mechanismů zabezpečení SAP |
Spusťte sestavu ABAP, která používá dynamické cíle (cl_dynamic_destination). Například DEMO_RFC_DYNAMIC_DEST. Zdroje dat: SAPcon – Protokol auditu |
Kolekce, exfiltrace |
SAP – Citlivé tabulky s přímým přístupem pomocí dialogového okna Přihlášení | Identifikuje obecný přístup k tabulce prostřednictvím přihlášení dialogového okna. | Otevřete obsah tabulky pomocí .SE11 /SE16 /SE16N Zdroje dat: SAPcon – Protokol auditu |
Zjišťování |
SAP – (Preview) soubor stažený ze škodlivé IP adresy | Identifikuje stažení souboru ze systému SAP pomocí IP adresy známé jako škodlivé. Škodlivé IP adresy se získávají ze služeb analýzy hrozeb. | Stáhněte si soubor ze škodlivé IP adresy. Zdroje dat: Protokol auditu zabezpečení SAP, Analýza hrozeb |
Exfiltrace |
SAP – (Preview) Data exportovaná z produkčního systému pomocí přenosu | Identifikuje export dat z produkčního systému pomocí přenosu. Přenosy se používají ve vývojových systémech a jsou podobné žádostem o přijetí změn. Toto pravidlo upozornění aktivuje incidenty se střední závažností, když se z produkčního systému uvolní přenos obsahující data z libovolné tabulky. Pravidlo vytvoří incident s vysokou závažností, když export obsahuje data z citlivé tabulky. | Uvolněte přenos z produkčního systému. Zdroje dat: Protokol SAP CR, SAP – Citlivé tabulky |
Exfiltrace |
SAP – (Preview) Citlivá data uložená na USB disku | Identifikuje export dat SAP prostřednictvím souborů. Pravidlo kontroluje data uložená do nedávno připojené jednotky USB v blízkosti provádění citlivé transakce, citlivého programu nebo přímého přístupu k citlivé tabulce. | Exportujte data SAP prostřednictvím souborů a uložte je na USB disk. Zdroje dat: Protokol auditu zabezpečení SAP, DeviceFileEvents (Microsoft Defender for Endpoint), SAP – Citlivé tabulky, SAP – Citlivé transakce, SAP – Citlivé programy |
Exfiltrace |
SAP – (Preview) Tisk potenciálně citlivých dat | Identifikuje požadavek nebo skutečný tisk potenciálně citlivých dat. Data se považují za citlivá, pokud uživatel získá data jako součást citlivé transakce, spuštění citlivého programu nebo přímý přístup k citlivé tabulce. | Tisk nebo žádost o tisk citlivých dat Zdroje dat: Protokol auditu zabezpečení SAP, protokoly fondu SAP, SAP – Citlivé tabulky, SAP – Citlivé programy |
Exfiltrace |
SAP – (Preview) Velký objem potenciálně citlivých dat exportovaných | Identifikuje export velkého objemu dat prostřednictvím souborů v blízkosti provádění citlivé transakce, citlivého programu nebo přímého přístupu k citlivé tabulce. | Export velkého objemu dat prostřednictvím souborů Zdroje dat: Protokol auditu zabezpečení SAP, SAP – Citlivé tabulky, SAP – Citlivé transakce, SAP – Citlivé programy |
Exfiltrace |
Umíněnost
Název pravidla | Popis | Zdrojová akce | Taktika |
---|---|---|---|
SAP – Aktivace nebo deaktivace služby ICF | Identifikuje aktivaci nebo deaktivaci služeb ICF. | Aktivujte službu pomocí SICF. Zdroje dat: SAPcon – Protokol dat tabulky |
Příkazy a řízení, laterální pohyb, trvalost |
SAP – Testovaný modul funkcí | Identifikuje testování modulu funkce. | Otestujte modul funkce pomocí SE37 / SE80 . Zdroje dat: SAPcon – Protokol auditu |
Kolekce, obrana před únikem, laterální pohyb |
SAP – (PREVIEW) HANA DB – Akce správy uživatelů | Identifikuje akce správy uživatelů. | Vytvoření, aktualizace nebo odstranění uživatele databáze Zdroje dat: Agent Pro Linux – Syslog* |
Elevace oprávnění |
SAP – Nové obslužné rutiny služeb ICF | Identifikuje vytváření obslužných rutin ICF. | Přiřaďte službě novou obslužnou rutinu pomocí SICF. Zdroje dat: SAPcon – Protokol auditu |
Příkazy a řízení, laterální pohyb, trvalost |
SAP – Nové služby ICF | Identifikuje vytváření služeb ICF. | Vytvořte službu pomocí SICF. Zdroje dat: SAPcon – Protokol dat tabulky |
Příkazy a řízení, laterální pohyb, trvalost |
SAP – Spuštění zastaralého nebo nezabezpečeného modulu funkcí | Identifikuje spuštění zastaralého nebo nezabezpečeného modulu funkce ABAP. Udržujte zastaralé funkce v seznamu ke zhlédnutí sap – zastaralé moduly funkcí. Nezapomeňte aktivovat změny protokolování tabulky pro EUFUNC tabulku v back-endu. (SE13)Poznámka: Relevantní pouze pro produkční systémy. |
Přímo pomocí SE37 spusťte zastaralý nebo nezabezpečený modul funkcí. Zdroje dat: SAPcon – Protokol dat tabulky |
Zjišťování, příkazy a řízení |
SAP – provádění zastaralého nebo nezabezpečeného programu | Identifikuje spuštění zastaralého nebo nezabezpečeného programu ABAP. Udržujte zastaralé programy v seznamu ke zhlédnutí SAP – Zastaralé programy . Poznámka: Relevantní pouze pro produkční systémy. |
Spusťte program přímo pomocí SE38/SA38/SE80 nebo pomocí úlohy na pozadí. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, příkazy a řízení |
SAP – Více změn hesel podle uživatele | Identifikuje několik změn hesel podle uživatele. | Změna hesla uživatele Zdroje dat: SAPcon – Protokol auditu |
Přístup k přihlašovacím údajům |
SAP – (Preview) AS JAVA – Uživatel vytvoří a použije nového uživatele | Identifikuje vytváření nebo manipulaci s uživateli správci v prostředí SAP AS Java. | Přihlaste se k back-endovému systému pomocí uživatelů, které jste vytvořili nebo s nimi manipulovali. Zdroje dat: SAPJAVAFilesLog |
Uchování |
Pokusy o obejití mechanismů zabezpečení SAP
Název pravidla | Popis | Zdrojová akce | Taktika |
---|---|---|---|
SAP – Změna konfigurace klienta | Identifikuje změny konfigurace klienta, jako je role klienta nebo režim záznamu změn. | Pomocí kódu transakce proveďte změny SCC4 konfigurace klienta. Zdroje dat: SAPcon – Protokol auditu |
Obrana před únikem, exfiltrace, trvalost |
SAP – Data se během aktivity ladění změnila | Identifikuje změny dat modulu runtime během aktivity ladění. Případ dílčího použití: Zachování |
1. Aktivace ladění ("/h"). 2. Vyberte pole pro změnu a aktualizujte jeho hodnotu. Zdroje dat: SAPcon – Protokol auditu |
Provádění, laterální pohyb |
SAP – Deaktivace protokolu auditu zabezpečení | Identifikuje deaktivaci protokolu auditu zabezpečení, | Zakažte protokol auditu zabezpečení pomocí SM19/RSAU_CONFIG . Zdroje dat: SAPcon – Protokol auditu |
Exfiltrace, obrana před únikem, trvalost |
SAP – provádění citlivého programu ABAP | Identifikuje přímé spuštění citlivého programu ABAP. Udržujte programy ABAP v seznamu ke zhlédnutí programu SAP - Sensitive ABAP Programs . |
Spusťte program přímo pomocí SE38 //SA38 SE80 . Zdroje dat: SAPcon – Protokol auditu |
Exfiltrace, laterální pohyb, spuštění |
SAP – Spuštění citlivého kódu transakce | Identifikuje spuštění citlivého kódu transakce. Udržujte kódy transakcí v seznamu kódů citlivých transakcí SAP. |
Spusťte citlivý kód transakce. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, spouštění |
SAP – provádění modulu citlivých funkcí | Identifikuje spuštění citlivého modulu funkce ABAP. Případ dílčího použití: Zachování Poznámka: Relevantní pouze pro produkční systémy. Udržujte citlivé funkce v seznamu ke zhlédnutí modulů citlivých funkcí SAP a nezapomeňte aktivovat změny protokolování tabulek v back-endu pro tabulku EUFUNC. (SE13) |
Spusťte modul citlivých funkcí přímo pomocí SE37. Zdroje dat: SAPcon – Protokol dat tabulky |
Zjišťování, příkazy a řízení |
SAP – (PREVIEW) HANA DB –Audit Trail Policy Changes | Identifikuje změny zásad auditu databáze HANA. | Vytvořte nebo aktualizujte existující zásady auditu v definicích zabezpečení. Zdroje dat: Agent Pro Linux – Syslog |
Laterální pohyb, obrana před únikem, trvalost |
SAP – (PREVIEW) HANA DB – Deaktivace záznamu auditu | Identifikuje deaktivaci protokolu auditu databáze HANA. | Deaktivujte protokol auditu v definici zabezpečení databáze HANA. Zdroje dat: Agent Pro Linux – Syslog |
Trvalost, laterální pohyb, obranná úniky |
SAP – Neoprávněné vzdálené spuštění modulu citlivé funkce | Detekuje neoprávněné spuštění citlivých FM pomocí porovnání aktivity s autorizačním profilem uživatele při ignorování nedávno změněných autorizací. Udržujte moduly funkcí v seznamu ke zhlédnutí modulů citlivých funkcí SAP. |
Spusťte modul funkce pomocí RFC. Zdroje dat: SAPcon – Protokol auditu |
Provádění, laterální pohyb, zjišťování |
SAP – Změna konfigurace systému | Identifikuje změny konfigurace systému. | Přizpůsobte možnosti změny systému nebo úpravu softwarových SE06 komponent pomocí kódu transakce.Zdroje dat: SAPcon – Protokol auditu |
Exfiltrace, obrana před únikem, trvalost |
SAP – Aktivity ladění | Identifikuje všechny aktivity související s laděním. Případ dílčího použití: Zachování |
Aktivace ladění ("/h") v systému, ladění aktivního procesu, přidání zarážky do zdrojového kódu atd. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování |
SAP – Změna konfigurace protokolu auditu zabezpečení | Identifikuje změny v konfiguraci protokolu auditu zabezpečení. | Změňte libovolnou konfiguraci protokolu auditu zabezpečení pomocí SM19 /RSAU_CONFIG filtrů, stavu, režimu záznamu atd. Zdroje dat: SAPcon – Protokol auditu |
Trvalost, Exfiltrace, Úniky před obranou |
SAP – Transakce je odemknutá | Identifikuje odemčení transakce. | Odemkněte kód transakce pomocí SM01 //SM01_DEV SM01_CUS . Zdroje dat: SAPcon – Protokol auditu |
Trvalost, provádění |
SAP – Dynamický program ABAP | Identifikuje provádění dynamického programování ABAP. Například při dynamickém vytvoření, změně nebo odstranění kódu ABAP. Udržovat vyloučené kódy transakcí v SAP - Transakce pro ABAP Generace ke zhlédnutí . |
Vytvořte sestavu ABAP, která používá příkazy generování programu ABAP, například INSERT REPORT, a pak sestavu spusťte. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, řízení a řízení, dopad |
Operace podezřelých oprávnění
Název pravidla | Popis | Zdrojová akce | Taktika |
---|---|---|---|
SAP – Změna citlivého privilegovaného uživatele | Identifikuje změny citlivých privilegovaných uživatelů. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Privileged Users . |
Změna podrobností o uživateli nebo autorizací pomocí .SU01 Zdroje dat: SAPcon – Protokol auditu |
Eskalace oprávnění, přístup k přihlašovacím údajům |
SAP – (PREVIEW) HANA DB – Přiřazení autorizací pro správce | Identifikuje oprávnění správce nebo přiřazení role. | Přiřaďte uživatele s libovolnou rolí nebo oprávněními správce. Zdroje dat: Agent Pro Linux – Syslog |
Elevace oprávnění |
SAP – Citlivý privilegovaný uživatel přihlášený | Identifikuje přihlášení dialogového okna citlivého privilegovaného uživatele. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Privileged Users . |
Přihlaste se k back-endovému systému pomocí SAP* jiného privilegovaného uživatele. Zdroje dat: SAPcon – Protokol auditu |
Počáteční přístup, přístup k přihlašovacím údajům |
SAP – Citlivý privilegovaný uživatel provede změnu v jiném uživateli | Identifikuje změny citlivých privilegovaných uživatelů v jiných uživatelích. | Změna podrobností o uživateli nebo autorizací pomocí SU01 Zdroje dat: SAPcon – Protokol auditu |
Eskalace oprávnění, přístup k přihlašovacím údajům |
SAP – Změna a přihlášení citlivých uživatelů | Identifikuje změny hesel pro privilegované uživatele. | Změňte heslo pro privilegovaného uživatele a přihlaste se do systému. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Privileged Users . Zdroje dat: SAPcon – Protokol auditu |
Dopad, příkaz a řízení, eskalace oprávnění |
SAP – Uživatel vytvoří a použije nového uživatele | Identifikuje uživatele, který vytváří a používá jiné uživatele. Případ dílčího použití: Zachování |
Vytvořte uživatele pomocí SU01 a pak se přihlaste pomocí nově vytvořeného uživatele a stejné IP adresy. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, předběžné připojení, počáteční přístup |
SAP – Odemknutí uživatele a použití jiných uživatelů | Identifikuje uživatele, který je odemčený a používán jinými uživateli. Případ dílčího použití: Zachování |
Odemkněte uživatele pomocí SU01 a pak se přihlaste pomocí odemčeného uživatele a stejné IP adresy. Zdroje dat: SAPcon – Protokol auditu, SAPcon – Protokol změn dokumentů |
Zjišťování, předběžné připojení, počáteční přístup, laterální pohyb |
SAP – Přiřazení citlivého profilu | Identifikuje nová přiřazení citlivého profilu uživateli. Udržujte citlivé profily v seznamu ke zhlédnutí citlivých profilů SAP – Citlivé profily . |
Přiřazení profilu uživateli pomocí SU01 . Zdroje dat: SAPcon – Protokol změn dokumentů |
Elevace oprávnění |
SAP – Přiřazení citlivé role | Identifikuje nová přiřazení pro citlivou roli pro uživatele. Udržujte citlivé role v seznamu ke zhlédnutí citlivých rolí v SAP – citlivé role . |
Přiřaďte uživateli roli pomocí SU01 / PFCG . Zdroje dat: SAPcon – Protokol změn dokumentů, protokol auditu |
Elevace oprávnění |
Přiřazení kritických autorizací SAP – (PREVIEW) – Nová hodnota autorizace | Identifikuje přiřazení kritické hodnoty objektu autorizace novému uživateli. Udržujte kritické autorizační objekty v seznamu ke zhlédnutí sap – kritické autorizační objekty . |
Přiřaďte nový autorizační objekt nebo aktualizujte existující objekt v roli pomocí PFCG . Zdroje dat: SAPcon – Protokol změn dokumentů |
Elevace oprávnění |
SAP – Přiřazení kritických autorizací – Přiřazení nového uživatele | Identifikuje přiřazení kritické hodnoty objektu autorizace novému uživateli. Udržujte kritické autorizační objekty v seznamu ke zhlédnutí sap – kritické autorizační objekty . |
Přiřaďte novému uživateli roli, která obsahuje kritické hodnoty autorizace pomocí .SU01 /PFCG Zdroje dat: SAPcon – Protokol změn dokumentů |
Elevace oprávnění |
SAP – Změny citlivých rolí | Identifikuje změny v citlivých rolích. Udržujte citlivé role v seznamu ke zhlédnutí citlivých rolí v SAP – citlivé role . |
Změňte roli pomocí PFCG. Zdroje dat: SAPcon – Protokol změn dokumentů, SAPcon – Protokol auditu |
Dopad, eskalace oprávnění, trvalost |
Dostupné seznamy ke zhlédnutí
Následující tabulka uvádí seznamy ke zhlédnutí, které jsou k dispozici pro řešení Microsoft Sentinel pro aplikace SAP®, a pole v každém seznamu ke zhlédnutí.
Tyto seznamy ke zhlédnutí poskytují konfiguraci řešení Microsoft Sentinel pro aplikace SAP®. Seznamy ke zhlédnutí SAP jsou k dispozici v úložišti Microsoft Sentinel Na GitHubu.
Název seznamu ke zhlédnutí | Popis a pole |
---|---|
SAP – Kritické objekty autorizace | Objekt kritické autorizace, kde by se přiřazení měla řídit. - AuthorizationObject: Objekt autorizace SAP, například S_DEVELOP , S_TCODE nebo Table TOBJ - AuthorizationField: Pole autorizace SAP, například OBJTYP nebo TCD - AuthorizationValue: Hodnota pole autorizace SAP, například DEBUG - ActivityField : Pole aktivity SAP. Ve většině případů bude ACTVT tato hodnota . Pro objekty autorizace bez aktivity nebo pouze s polem Aktivita , vyplněno NOT_IN_USE . - Aktivita: Aktivita SAP podle autorizačního objektu, například: 01 : Vytvořit; 02 : Změnit; 03 : Zobrazit atd. - Popis: Smysluplný popis kritického autorizačního objektu. |
SAP – Vyloučené sítě | Pro interní údržbu vyloučených sítí, jako je ignorování webových dispečerů, terminálových serverů atd. -Síť: Síťová IP adresa nebo rozsah, například 111.68.128.0/17 . -Popis: Smysluplný popis sítě. |
Vyloučení uživatelé SAP | Systémoví uživatelé, kteří jsou přihlášení k systému a musí být ignorováni. Například výstrahy pro více přihlášení stejného uživatele. - Uživatel: Uživatel SAP -Popis: Smysluplný popis uživatele. |
SAP – Sítě | Interní sítě a sítě údržby pro identifikaci neautorizovaných přihlášení. - Síť: Síťová IP adresa nebo rozsah, například 111.68.128.0/17 - Popis: Smysluplný popis sítě. |
SAP – Privilegovaní uživatelé | Privilegovaní uživatelé, kteří jsou pod dodatečnými omezeními. - Uživatel: uživatel ABAP, například DDIC nebo SAP - Popis: Smysluplný popis uživatele. |
SAP – Citlivé programy ABAP | Citlivé programy ABAP (sestavy), kde by se mělo řídit provádění. - ABAPProgram: program ABAP nebo zpráva, například RSPFLDOC - Popis: Smysluplný popis programu. |
SAP – Modul citlivých funkcí | Interní sítě a sítě údržby pro identifikaci neautorizovaných přihlášení. - FunctionModule: Modul funkce ABAP, například RSAU_CLEAR_AUDIT_LOG - Popis: Smysluplný popis modulu. |
SAP – Citlivé profily | Citlivé profily, kde by se měla řídit přiřazení. - Profil: Profil autorizace SAP, například SAP_ALL nebo SAP_NEW - Popis: Smysluplný popis profilu. |
SAP – Citlivé tabulky | Citlivé tabulky, ve kterých by se měl řídit přístup. - Tabulka: Tabulka slovníku ABAP, například USR02 nebo PA008 - Popis: Smysluplný popis tabulky. |
SAP – Citlivé role | Citlivé role, kde by se mělo řídit přiřazení. - Role: Role autorizace SAP, například SAP_BC_BASIS_ADMIN - Popis: Smysluplný popis role. |
SAP – Citlivé transakce | Citlivé transakce, ve kterých by se mělo řídit provádění. - TransactionCode: Kód transakce SAP, například RZ11 - Popis: Smysluplný popis kódu. |
SAP – Systémy | Popisuje krajinu systémů SAP podle rolí, využití a konfigurace. - SystemID: ID systému SAP (SYSID) - SystemRole: role systému SAP, jedna z následujících hodnot: Sandbox , Development , Quality Assurance , , Training Production - SystemUsage: Využití systému SAP, jedna z následujících hodnot: ERP , BW , Solman , Gateway Enterprise Portal - InterfaceAttributes: volitelný dynamický parametr pro použití v playbookech. |
SAPSystemParameters | Parametry pro sledování podezřelých změn konfigurace Tento seznam ke zhlédnutí je předem vyplněný doporučenými hodnotami (podle osvědčených postupů SAP) a seznam ke zhlédnutí můžete rozšířit tak, aby obsahoval další parametry. Pokud nechcete dostávat upozornění pro parametr, nastavte na false hodnotu EnableAlerts .- ParameterName: Název parametru. - Komentář: Popis standardního parametru SAP. - EnableAlerts: Definuje, jestli se mají pro tento parametr povolit výstrahy. Hodnoty jsou true a false .- Možnost: Definuje, v jakém případě se má aktivovat výstraha: Pokud je hodnota parametru větší nebo rovna ( GE ), menší nebo rovna (LE ) nebo rovná (EQ ).Pokud login/fails_to_user_lock je například parametr SAP nastavený na LE hodnotu (menší nebo rovno) a hodnota 5 , jakmile Microsoft Sentinel zjistí změnu tohoto konkrétního parametru, porovná nově hlášenou hodnotu a očekávanou hodnotu. Pokud je 4 nová hodnota, Microsoft Sentinel neaktivuje upozornění. Pokud je 6 nová hodnota, Microsoft Sentinel aktivuje upozornění.- ProductionSeverity: Závažnost incidentu pro produkční systémy. - ProductionValues: Povolené hodnoty pro produkční systémy. - NonProdSeverity: Závažnost incidentu pro neprodukční systémy. - NonProdValues: Povolené hodnoty pro neprodukční systémy. |
SAP – vyloučení uživatelé | Systémoví uživatelé, kteří jsou přihlášeni a je třeba je ignorovat, například pro více přihlášení uživatelem výstraha uživatele. - Uživatel: Uživatel SAP - Popis: Smysluplný popis uživatele |
SAP – Vyloučené sítě | Udržujte interní, vyloučené sítě pro ignorování webových dispečerů, terminálových serverů atd. - Síť: Síťová IP adresa nebo rozsah, například 111.68.128.0/17 - Popis: Smysluplný popis sítě |
SAP – zastaralé moduly funkcí | Zastaralé moduly funkcí, jejichž spouštění by mělo být řízeno. - FunctionModule: Modul funkce ABAP, například TH_SAPREL - Popis: Smysluplný popis modulu funkce |
SAP – zastaralé programy | Zastaralé programy ABAP (sestavy), jejichž provádění by mělo být řízeno. - ABAPProgram:ABAP Program, například TH_ RSPFLDOC - Popis: Smysluplný popis programu ABAP |
SAP – Transakce pro generace ABAP | Transakce pro generace ABAP, jejichž provádění by mělo být řízeno. - TransactionCode:Transaction Code, například SE11. - Popis: Smysluplný popis kódu transakce |
SAP – SERVERY FTP | Servery FTP pro identifikaci neautorizovaných připojení. - Klient: například 100. - FTP_Server_Name: název serveru FTP, například http://contoso.com/ -FTP_Server_Port:port serveru FTP, například 22. - PopisSmysluplný popis serveru FTP |
SAP_Dynamic_Audit_Log_Monitor_Configuration | Nakonfigurujte upozornění protokolu auditu SAP tak, že každému ID zprávy přiřadíte úroveň závažnosti podle potřeby podle role systému (produkční, neprodukční). Tento seznam ke zhlédnutí podrobně popisuje všechna dostupná ID zpráv protokolu auditu SAP úrovně Standard. Seznam ke zhlédnutí můžete rozšířit tak, aby obsahoval další ID zpráv, která můžete vytvořit sami pomocí vylepšení ABAP v systémech SAP NetWeaver. Tento seznam ke zhlédnutí také umožňuje konfigurovat určený tým pro zpracování jednotlivých typů událostí a vyloučení uživatelů podle rolí SAP, profilů SAP nebo značek ze seznamu ke zhlédnutí SAP_User_Config . Tento seznam ke zhlédnutí je jednou ze základních komponent používaných ke konfiguraci integrovaných analytických pravidel SAP pro monitorování protokolu auditu SAP. - MessageID: ID zprávy SAP nebo typ události, například AUD (změny hlavního záznamu uživatele) nebo AUB (změny autorizace). - Podrobný popis: Popis povolený markdownu, který se má zobrazit v podokně incidentu. - ProductionSeverity: Požadovaná závažnost incidentu, která se má vytvořit pro produkční systémy High , Medium . Lze nastavit jako Disabled . - NonProdSeverity: Požadovaná závažnost incidentu, která má být vytvořena pro neprodukční systémy High , Medium . Lze nastavit jako Disabled . - ProductionThreshold Počet "za hodinu" událostí, které se mají považovat za podezřelé pro produkční systémy 60 . - NonProdThreshold Počet událostí za hodinu, které mají být považovány za podezřelé pro neprodukční systémy 10 . - RolesTagsToExclude: Toto pole přijímá název role SAP, názvy profilů SAP nebo značky ze seznamu ke zhlédnutí SAP_User_Config. Ty se pak používají k vyloučení přidružených uživatelů z konkrétních typů událostí. Podívejte se na možnosti značek rolí na konci tohoto seznamu. - RuleType: Používá Deterministic se pro odesílání typu události do SAP – Dynamic Deterministic Audit Log Monitor nebo AnomaliesOnly k tomu, aby se na tuto událost vztahuje SAP – Dynamická anomálie založená na upozorněních monitorování protokolu auditu (PREVIEW).- TeamsChannelID: volitelný dynamický parametr pro použití v playbookech. - DestinationEmail: volitelný dynamický parametr pro použití v playbookech. Pole RolesTagsToExclude: – Pokud vypíšete seznam rolí SAP nebo profilů SAP, vyloučíte všechny uživatele s uvedenými rolemi nebo profily z těchto typů událostí pro stejný systém SAP. Pokud například definujete BASIC_BO_USERS roli ABAP pro typy událostí souvisejících s RFC, uživatelé obchodních objektů neaktivují incidenty při provádění rozsáhlých volání RFC.– Označení typu události je podobné zadání rolí nebo profilů SAP, ale značky je možné vytvořit v pracovním prostoru, takže týmy SOC můžou uživatele vyloučit podle aktivity bez závislosti na týmu SAP. Například ID auditovaných zpráv AUB (změny autorizace) a AUD (změny hlavního záznamu uživatele) jsou přiřazeny značky MassiveAuthChanges . Uživatelé přiřazení této značky jsou vyloučeni z kontrol těchto aktivit. Spuštění funkce pracovního prostoru SAPAuditLogConfigRecommend vytvoří seznam doporučených značek, které se mají přiřadit uživatelům, například Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist . |
SAP_User_Config | Umožňuje doladit upozornění vyloučením /včetně uživatelů v konkrétních kontextech a slouží také ke konfiguraci integrovaných analytických pravidel SAP pro monitorování protokolu auditu SAP. - SAPUser: Uživatel SAP - Značky: Značky slouží k identifikaci uživatelů proti určité aktivitě. Například přidání značek ["GenericTablebyRFCOK"] pro uživatele SENTINEL_SRV zabrání vytvoření incidentů souvisejících s dokumentem RFC pro tohoto konkrétního uživatele. Další identifikátory uživatelů služby Active Directory – Identifikátor uživatele AD – Místní sid uživatele – Hlavní název uživatele |
Dostupné playbooky
Název playbooku | Parametry | Propojení |
---|---|---|
Reakce na incident SAP – Uzamčení uživatele z Teams – Základní | – SAP-SOAP-User-Password – UŽIVATELSKÉ JMÉNO SAP-SOAP – SOAPApiBasePath - DefaultEmail - TeamsChannel |
– Microsoft Sentinel – Microsoft Teams |
Reakce na incident SAP – Uzamčení uživatele z Teams – Pokročilé | – SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
– Microsoft Sentinel – Protokoly služby Azure Monitor – Office 365 Outlook – Microsoft Entra ID – Azure Key Vault – Microsoft Teams |
Reakce na incidenty SAP – Opětovné povolení protokolování auditu po deaktivaci | – SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
– Microsoft Sentinel – Azure Key Vault – Protokoly služby Azure Monitor – Microsoft Teams |
Další kroky
Další informace naleznete v tématu:
- Nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Referenční informace k řešení Microsoft Sentinel pro protokoly aplikací SAP®
- Monitorování stavu systému SAP
- Nasazení řešení Microsoft Sentinel pro datový konektor aplikací SAP® pomocí SNC
- Referenční informace ke konfiguračnímu souboru
- Požadavky pro nasazení řešení Microsoft Sentinel pro aplikace SAP®
- Řešení potíží s řešením Microsoft Sentinel pro nasazení aplikací SAP®