Share via

Řešení Microsoft Sentinel pro aplikace SAP® – Protokol auditu zabezpečení a sešit počátečního přístupu

  • Článek

Tento článek popisuje protokol auditu zabezpečení SAP a sešit počátečního přístupu, který se používá k monitorování a sledování aktivit auditu uživatelů v systémech SAP. Pomocí sešitu můžete získat pohled na aktivitu auditu uživatelů a lépe zabezpečit systémy SAP a získat rychlý přehled opodezřelých Podle potřeby můžete přejít k podrobnostem o podezřelých událostech.

Sešit můžete použít buď k průběžnému monitorování systémů SAP, nebo ke kontrole systémů po incidentu zabezpečení nebo jiné podezřelé aktivitě.

Začínáme používat sešit

  1. Na portálu Microsoft Sentinel vyberte v nabídce Správa hrozeb sešity.

  2. V galerii Sešity přejděte na Šablony a do vyhledávacího panelu zadejte SAP a z výsledků vyberte protokol auditu zabezpečení a počáteční přístup.

  3. Pokud chcete sešit použít tak, jak je, vyberte Zobrazit šablonu. Pokud však chcete vytvořit upravitelnou kopii sešitu, vyberte Uložit. Po vytvoření kopie vyberte Zobrazit uložený sešit.

    Screenshot of the top of the SAP -Security Audit log and Initial Access workbook.

    Důležité

    Pracovní prostor, kde se nainstalovalo řešení Microsoft Sentinel pro aplikace SAP®, je hostovaný sešit protokolu auditu zabezpečení a počátečního přístupu. Ve výchozím nastavení se předpokládá, že data SAP i SOC jsou v pracovním prostoru, který je hostitelem sešitu.

    Pokud jsou data SOC v jiném pracovním prostoru než pracovní prostor, který je hostitelem sešitu, nezapomeňte zahrnout předplatné pro tento pracovní prostor a vybrat pracovní prostor SOC z pracovního prostoru auditu a aktivity Azure.

  4. Výběrem následujících polí můžete filtrovat data podle svých potřeb:

    • Časový rozsah. Od čtyř hodin do 90 dnů.
    • Systémové role. Systémové role SAP, například: Vývoj.
    • Využití systému. Příklad: SAP GTS.
    • Systémy SAP. Můžete vybrat všechny systémy, konkrétní systém nebo vybrat více systémů.

    Pokud vyberete systémy, které nejsou nakonfigurované v seznamu ke zhlédnutí "systémy SAP", zobrazí se v sešitě chyba, která určuje systémy s problémy. V takovém případě nakonfigurujte seznam ke zhlédnutí tak, aby tyto systémy správně zahrnoval.

Přehled sešitu

Sešit je rozdělený na dvě karty:

  • Sestava analýzy přihlášení. Zobrazuje různé typy dat týkajících se selhání přihlášení. Data zahrnují neobvyklá data, data Microsoft Entra a další. Data jsou založená na seznamu ke zhlédnutí systémů SAP.
  • Sestava upozornění protokolu auditu Zobrazuje různé typy dat týkající se událostí protokolu auditu SAP, které sleduje řešení Microsoft Sentinel pro aplikace SAP®. Data jsou založená na seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration.

Karta Sestava analýzy přihlášení

Zahrnuje oblasti selhání analýzy přihlášení a přihlášení.

Analýza přihlášení

Zobrazuje různé typy dat týkajících se přihlašování uživatelů.

Screenshot of the Logon Analysis area of the SAP Audit workbook.

Oblast Popis Možnosti
Jedinečná přihlášení uživatelů na systém Zobrazuje počet jedinečných přihlášení pro každý systém SAP a graf s trendy přihlašování v průběhu vybraného času pro každý systém. Příklad: Systém 012 má v posledních 14 dnech 1,4 K jedinečných pokusů o přihlášení a v těchto 14 dnech graf zobrazuje relativně rostoucí trend přihlašování.
Trend typů přihlášení Zobrazuje trend počtu přihlášení podle typu, například přihlášení prostřednictvím dialogového okna. Najeďte myší na graf, abyste zobrazili počet přihlášení pro různá data.
Selhání přihlášení Vs. úspěch jedinečných uživatelů – trend Zobrazuje trend úspěšných a neúspěšných přihlášení ve vybraném období. Najeďte myší na graf, aby se zobrazilo množství úspěšných a neúspěšných přihlášení pro různá data.

Selhání přihlášení – detekce anomálií

Oblasti detekce anomálií – vyfiltrováním neúspěšných pokusů o přihlášení se zobrazují data o selhání přihlášení pro systémy a uživatele SAP. Pokud chcete zobrazit pouze data označená detekcí anomálií, vyberte na pravé straně pouze neobvyklé přihlášení.

Screenshot of the sections in the Logon failures area of the SAP Audit workbook that you can filter by anomalous data.

Oblast Popis Konkrétní data Možnosti/poznámky
Anomálie selhání přihlášení kvůli selhání>přihlášení jedinečným uživatelům selhal přihlášení na systém SAP> Zobrazuje počet jedinečných neúspěšných přihlášení pro každý systém SAP.
SAP a Active Directory jsou společně lepší Tabulka neobvyklých selhání přihlášení ukazuje kombinaci dat Microsoft Sentinelu a Microsoft Entra. Sešit zobrazuje uživatele podle rizika: Uživatelé, kteří označují největší riziko, jsou v horní části seznamu a uživatelé s menším bezpečnostním rizikem jsou v dolní části. Pro každého uživatele se zobrazí:
• Časová osa neúspěšných pokusů o přihlášení
• Časová osa znázorňující, kdy došlo k neobvyklému neúspěšném pokusu
• Typ anomálie
• E-mailová adresa uživatele
• Ukazatel rizika Microsoft Entra
• Počet incidentů a upozornění v Microsoft Sentinelu		 • Když vyberete řádek, zobrazí se seznam výstrah a incidentů pro daného uživatele v části Přehled incidentů/výstrah pro uživatele. Pod tímto seznamem se také můžete podívat na rizikové události Microsoft Entra v rámci auditu Azure a rizika přihlašování pro uživatele.
• Pokud jsou vaše data Microsoft Entra v jiném pracovním prostoru služby Log Analytics, ujistěte se, že v části Audit a aktivity Azure vyberete příslušná předplatná a pracovní prostory v horní části sešitu.
Míra selhání přihlášení na systém Vizuálně představuje vybrané systémy SAP. • U každého systému se zobrazuje počet selhání ve vybraném období.
• Systémy jsou seskupené podle typu.
• Barva systému označuje počet neúspěšných pokusů: Zelená označuje několik podezřelých pokusů o přihlášení, kde červená označuje více podezřelých pokusů o přihlášení.		 Výběrem systému můžete zobrazit seznam neúspěšných přihlášení s podrobnostmi o chybách.

Na tomto snímku obrazovky uvidíte data zobrazená při výběru prvního řádku v tabulce Neobvyklých selhání přihlášení. Konkrétní výstrahy a adresy URL incidentů se zobrazují v přehledu incidentů a výstrah pro tabulku uživatelů .

Screenshot of data shown when a line is selected in the Anomalous login failures table.

Na tomto snímku obrazovky se v tabulce uživatelů zobrazují rizika auditu a přihlašování v Azure pro rizika přihlašování související s tímto uživatelem.

Screenshot of audit and sign-in risk data shown when a line is selected in the Anomalous login failures table.

Na tomto snímku obrazovky vidíte míru selhání přihlášení pro každou systémovou oblast, kde je vybraný systém 84e ve skupině Test . Neúspěšná přihlášení k systémové oblasti vpravo zobrazují události selhání pro tento systém.

Screenshot of the Login failure rate per system area of the SAP Audit workbook.

Selhání přihlášení – trendy

Oblast trendů selhání přihlášení zobrazuje trendy a počet neúspěšných přihlášení seskupených podle různých typů dat.

Screenshot of the Logon failures trends area of the SAP Audit workbook.

Oblast Popis
Selhání přihlášení podle příčiny Zobrazuje trend počtu neúspěšných přihlášení v závislosti na příčině selhání, například: nesprávná přihlašovací data.
Selhání přihlášení podle typu Zobrazuje trend počtu neúspěšných přihlášení podle typu, například: přihlášení aktivované úlohou na pozadí nebo přihlášení bylo prostřednictvím protokolu HTTP.
Selhání přihlášení podle metody Zobrazuje trend počtu neúspěšných přihlášení podle metody, například SNC nebo lístku přihlášení.

Karta Sestava upozornění protokolu auditu

Tato karta zobrazuje trendy závažnosti a auditu pro každý systém a uživatele SAP. Všechny oblasti na této kartě zobrazují jenom data označená detekcí anomálií. U všech událostí vyberte na pravé straně možnost Vše vedle neúspěšných přihlášení.

Screenshot of the Audit Log Alerts area of the SAP Audit workbook.

Oblast Popis Konkrétní data Možnosti/poznámky
Trendy závažnosti upozornění na ID systému Zobrazuje seznam systémů s grafem trendů událostí střední a vysoké závažnosti na systém. Například systém 012 měl v průběhu celého období mnoho událostí s vysokou závažností a několik středně závažných událostí se špičkou, která zobrazuje více středně závažných událostí uprostřed období.
Trend auditu na uživatele Zobrazuje kombinaci dat Microsoft Sentinelu a Microsoft Entra. Sešit zobrazuje uživatele podle rizika: Uživatelé, kteří označují největší riziko, jsou v horní části seznamu a uživatelé s menším bezpečnostním rizikem jsou v dolní části. Pro každého uživatele se zobrazí:
• Časová osa událostí s vysokou a střední závažností
• E-mailová adresa uživatele
• Ukazatel rizika Microsoft Entra
• Počet incidentů a upozornění v Microsoft Sentinelu		 Když vyberete řádek, zobrazí se seznam výstrah a incidentů pro daného uživatele v části Přehled incidentů a výstrah pro uživatele. Pod tímto seznamem se také můžete podívat na rizikové události Microsoft Entra v rámci auditu Azure a rizika přihlašování pro uživatele.
Skóre rizika na systém Vizuálně představuje každý systém v obrazci buňky. • Zobrazuje skóre rizika pro každý systém.
• Systémy jsou seskupené podle typu.
• Barva systému označuje riziko: Zelená označuje systém s nižším skóre rizika, kde červená označuje vyšší rizikové skóre.		 Výběrem systému zobrazíte seznam událostí SAP na systém.
Události podle taktiky MITRE ATT&CK® Zobrazuje seznam událostí SAP seskupených podle taktiky MITRE ATT&CK®, jako je počáteční přístup nebo úniky od obrany. Najeďte myší na graf, abyste zobrazili počet přihlášení pro různá data.
Události podle kategorie Zobrazuje seznam trendů událostí SAP seskupených podle kategorie, jako je zahájení nebo přihlášení RFC. Když na graf najedete myší, zobrazí se přihlašovací číslo pro různá kalendářní data.
Události podle skupiny autorizace Zobrazuje seznam trendů událostí SAP seskupených podle skupiny autorizace SAP, jako je UŽIVATEL nebo SUPER. Najeďte myší na graf, abyste zobrazili počet přihlášení pro různá data.
Události podle typu uživatele Zobrazuje seznam trendů událostí SAP seskupených podle typu uživatele SAP, jako je dialogové okno nebo systém. Najeďte myší na graf, abyste zobrazili počet přihlášení pro různá data.

Na tomto snímku obrazovky uvidíte data zobrazená při výběru prvního řádku v tabulce Trendů auditu na uživatele . Konkrétní výstrahy a adresy URL incidentů se zobrazují v přehledu incidentů a výstrah pro tabulku uživatelů .

Screenshot of data shown when a line is selected in the Audit trends per user table.

Na tomto snímku obrazovky vidíte skóre rizika na oblast systému , kde je vybraný systém CB7 ve skupině UAT . Události SAP pro oblast systému pod vizualizací systému zobrazují událost SAP pro tento systém.

Screenshot of the Risk score per system area of the SAP Audit workbook.

Na tomto snímku obrazovky můžete zobrazit oblasti s událostmi a trendy událostí seskupené podle různých typů dat: taktika MITRE ATT&CK®, skupina autorizace SAP a typ uživatele.

Screenshot of the different event data in the SAP Audit workbook.

Další kroky

Další informace naleznete v tématu: