Konfigurace pravidel monitorování protokolu auditu SAP
Protokol auditu SAP zaznamenává akce auditu a zabezpečení v systémech SAP, jako jsou neúspěšné pokusy o přihlášení nebo jiné podezřelé akce. Tento článek popisuje, jak monitorovat protokol auditu SAP pomocí integrovaných analytických pravidel služby Microsoft Sentinel.
Pomocí těchto pravidel můžete monitorovat všechny události protokolu auditu nebo dostávat upozornění pouze v případě, že jsou zjištěny anomálie. Tímto způsobem můžete lépe spravovat protokoly SAP a snížit tak šum bez ohrožení hodnoty zabezpečení.
K monitorování a analýze dat protokolu auditu SAP používáte dvě analytická pravidla:
- SAP – Dynamic Deterministic Audit Log Monitor (PREVIEW) Upozornění na všechny události protokolu auditu SAP s minimální konfigurací Pravidlo můžete nakonfigurovat pro ještě nižší míru falešně pozitivních výsledků. Zjistěte, jak nakonfigurovat pravidlo.
- SAP – Upozornění monitorování protokolu auditu na základě dynamických anomálií (PREVIEW) Upozornění na události protokolu auditu SAP při zjištění anomálií, s využitím možností strojového učení a bez nutnosti kódování Zjistěte, jak nakonfigurovat pravidlo.
Dvě pravidla monitorování protokolu AUDITU SAP jsou připravená k běhu a umožňují další doladění pomocí SAP_Dynamic_Audit_Log_Monitor_Configuration a SAP_User_Config konsolidovaných seznamů.
Detekce anomálií
Při pokusu o identifikaci událostí zabezpečení v různorodých protokolech aktivit, jako je protokol auditu SAP, je potřeba vyvážit úsilí při konfiguraci a množství šumu, který výstrahy produkují.
S modulem protokolu auditu SAP v řešení Sentinel pro SAP můžete zvolit:
- Na které události se chcete podívat deterministicky pomocí přizpůsobených předdefinovaných prahových hodnot a filtrů
- Které události chcete vynechat, aby se počítač mohl naučit parametry sám.
Jakmile označíte typ události protokolu auditování SAP pro detekci anomálií, modul pro výstrahy zkontroluje události nedávno streamované z protokolu auditu SAP. Modul zkontroluje, jestli se události zdají být normální, s ohledem na historii, na které se naučil.
Microsoft Sentinel kontroluje anomálie u události nebo skupiny událostí. Pokouší se spárovat událost nebo skupinu událostí s dříve zaznamenanými aktivitami stejného druhu na úrovni uživatele a systému. Algoritmus se učí charakteristiky sítě uživatele na úrovni masky podsítě a v závislosti na sezónnosti.
Díky této možnosti můžete hledat anomálie v dříve ztišovaných typech událostí, jako jsou například události přihlášení uživatele. Pokud se například uživatel JohnDoe přihlašuje stokrát za hodinu, můžete nechat službu Microsoft Sentinel, aby se rozhodla, jestli je chování podezřelé. Jedná se o Jana z účetnictví, opakované aktualizace finančního řídicího panelu s více zdroji dat, nebo útok DDoS?
Nastavení pravidla UPOZORNĚNÍ monitorování protokolu auditu (PREVIEW) založených na dynamických anomáliích SAP pro detekci anomálií
Pokud data protokolu auditu SAP ještě nestreamuje data do pracovního prostoru služby Microsoft Sentinel, přečtěte si, jak řešení nasadit.
- V navigační nabídce služby Microsoft Sentinel v části Správa obsahu vyberte Centrum obsahu (Preview).
- Zkontrolujte, jestli vaše průběžné monitorování hrozeb pro aplikaci SAP obsahuje aktualizace.
- V navigační nabídce v části Analýza povolte tyto 3 upozornění protokolu auditu:
- SAP – Dynamické deterministické monitorování protokolu auditu. Spouští se každých 10 minut a zaměřuje se na události protokolu auditu SAP označené jako deterministické.
- Sap – (Preview) – Upozornění monitorování protokolu auditu na základě dynamických anomálií Spouští se každou hodinu a zaměřuje se na události SAP označené jako AnomaliesOnly.
- SAP – Chybějící konfigurace v monitorování protokolu auditu dynamického zabezpečení Spouští se každý den a poskytuje doporučení ke konfiguraci pro modul protokolu auditu SAP.
Microsoft Sentinel teď v pravidelných intervalech prohledává celý protokol auditu SAP z hlediska deterministických událostí zabezpečení a anomálií. Incidenty, které tento protokol generuje, si můžete prohlédnout na stránce Incidenty .
Stejně jako u každého řešení strojového učení bude i řešení časem fungovat lépe. Detekce anomálií funguje nejlépe s využitím historie protokolu auditu SAP se sedmi nebo více dny.
Konfigurace typů událostí pomocí seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration
Pomocí seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration můžete dále nakonfigurovat typy událostí, které generují příliš mnoho incidentů. Tady je několik možností, jak omezit počet incidentů.
| Možnost | Popis |
|---|---|
| Nastavení závažnosti a zakázání nežádoucích událostí | Deterministická pravidla i pravidla založená na anomáliích ve výchozím nastavení vytvářejí výstrahy pro události označené střední a vysokou závažností. Tyto závažnosti můžete nastavit speciálně pro produkční a neprodukční prostředí. Můžete například nastavit událost aktivity ladění na vysokou závažnost v produkčních systémech a zakázat tyto události v neprodukčních systémech. |
| Vyloučení uživatelů podle jejich rolí SAP nebo profilů SAP | Microsoft Sentinel pro SAP ingestuje autorizační profil uživatele SAP, včetně přímých a nepřímých přiřazení rolí, skupin a profilů, abyste mohli v SYSTÉMU SIEM mluvit jazykem SAP. Událost SAP můžete nakonfigurovat tak, aby vyloučila uživatele na základě jejich rolí a profilů SAP. V seznamu ke zhlédnutí přidejte role nebo profily, které seskupují uživatele rozhraní RFC, do sloupce RolesTagsToExclude vedle události Obecný přístup k tabulce podle RFC . Od této chvíle budete dostávat upozornění jenom pro uživatele, kterým tyto role chybí. |
| Vyloučení uživatelů pomocí značek SOC | Se značkami můžete vytvořit vlastní seskupení, aniž byste museli spoléhat na složité definice SAP nebo dokonce bez autorizace SAP. Tato metoda je užitečná pro týmy SOC, které chtějí vytvořit vlastní seskupení pro uživatele SAP. Vynětí uživatelů pomocí značek funguje podobně jako značky názvů: v konfiguraci můžete nastavit více událostí s více značkami. Nedostanou se upozornění na uživatele se značkou přidruženou ke konkrétní události. Například nechcete, aby události RFC upozorňovaly na obecný přístup k tabulce pro konkrétní účty služeb, ale nemůžete najít roli SAP nebo profil SAP, který tyto uživatele seskupuje. V takovém případě můžete přidat značku GenTableRFCReadOK vedle příslušné události do seznamu ke zhlédnutí a pak přejít na SAP_User_Config konsolidovaný seznam a přiřadit uživatelům rozhraní stejnou značku. |
| Zadání prahové hodnoty četnosti podle typu události a systémové role | Funguje to jako rychlostní limit. Můžete se například rozhodnout, že hlučné události změny hlavního záznamu uživatele aktivují upozornění pouze v případě, že stejný uživatel v produkčním systému zaznamená více než 12 aktivit za hodinu. Pokud uživatel překročí limit 12 za hodinu – například 2 události v 10minutovém intervalu – aktivuje se incident. |
| Determinismus nebo anomálie | Pokud znáte charakteristiky události, můžete použít deterministické schopnosti. Pokud si nejste jistí, jak událost správně nakonfigurovat, můžou o tom rozhodnout možnosti strojového učení. |
| Možnosti SOAR | Službu Microsoft Sentinel můžete použít k další orchestraci, automatizaci a reakci na incidenty, které je možné použít u dynamických upozornění protokolu auditu SAP. Další informace o orchestraci, automatizaci a reakci zabezpečení (SOAR) |
Další kroky
V tomto článku jste zjistili, jak monitorovat protokol auditu SAP pomocí integrovaných analytických pravidel služby Microsoft Sentinel.