Řešení Microsoft Sentinel pro aplikace SAP: Referenční informace k obsahu zabezpečení
Tento článek podrobně popisuje obsah zabezpečení dostupný pro řešení Microsoft Sentinel pro SAP.
Důležité
I když je řešení Microsoft Sentinel pro aplikace SAP ve verzi GA, některé konkrétní komponenty zůstávají ve verzi PREVIEW. Tento článek označuje komponenty, které jsou ve verzi Preview, v příslušných částech níže. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Dostupný obsah zabezpečení zahrnuje předdefinované sešity a analytická pravidla. Můžete také přidat seznamy ke zhlédnutí související se SAP, které se použijí v playbookech vyhledávání, pravidel detekce, proaktivního vyhledávání hrozeb a odpovědí.
Obsah v tomto článku je určený pro váš bezpečnostní tým.
Předdefinované sešity
Pomocí následujících předdefinovaných sešitů můžete vizualizovat a monitorovat ingestovaná data prostřednictvím datového konektoru SAP. Po nasazení řešení SAP najdete sešity SAP na kartě Šablony .
| Název sešitu | Popis | Protokoly |
|---|---|---|
| SAP – Prohlížeč protokolů auditu | Zobrazí data, například: - Obecný stav systému, včetně přihlašování uživatelů v průběhu času, události ingestované systémem, třídy zpráv a ID a programy ABAP běží -Závažnosti událostí, ke kterým dochází ve vašem systému – Události ověřování a autorizace, ke kterým dochází ve vašem systému |
Používá data z následujícího protokolu: ABAPAuditLog_CL |
| SAP Audit Controls | Pomůže vám zkontrolovat kontrolní mechanismy prostředí SAP, které vyhovují zvolenému řídicímu rozhraní, a to pomocí nástrojů, které vám umožní provést následující akce: – Přiřazení analytických pravidel ve vašem prostředí ke konkrétním kontrolním mechanismům zabezpečení a rodinám kontrol – Monitorování a kategorizace incidentů generovaných analytickými pravidly založenými na řešeníCH SAP – Hlášení o dodržování předpisů |
Používá data z následujících tabulek: - SecurityAlert- SecurityIncident |
Další informace najdete v tématu Kurz: Vizualizace a monitorování dat a nasazení řešení Microsoft Sentinel pro aplikace SAP.
Integrovaná analytická pravidla
Tato část popisuje výběr předdefinovaných analytických pravidel poskytovaných společně s řešením Microsoft Sentinel pro aplikace SAP. Nejnovější aktualizace najdete v centru obsahu Služby Microsoft Sentinel pro nová a aktualizovaná pravidla.
Monitorování konfigurace statických parametrů zabezpečení SAP (Preview)
Pro zabezpečení systému SAP společnost SAP identifikovala parametry související se zabezpečením, které je potřeba monitorovat u změn. S pravidlem "SAP – (Preview) Citlivý statický parametr se změnil", řešení Microsoft Sentinel pro aplikace SAP sleduje v systému SAP více než 52 statických parametrů souvisejících se zabezpečením, které jsou integrované do Microsoft Sentinelu.
Poznámka:
Aby bylo řešení Microsoft Sentinelu pro aplikace SAP úspěšně monitorováno parametry zabezpečení SAP, musí řešení v pravidelných intervalech úspěšně monitorovat tabulku SAP PAHI. Další informace naleznete v tématu Ověření, zda je tabulka PAHI aktualizována v pravidelných intervalech.
K pochopení změn parametrů v systému používá řešení Microsoft Sentinel pro aplikace SAP tabulku historie parametrů, která zaznamenává změny parametrů provedené každou hodinu.
Parametry se také projeví v seznamu ke zhlédnutí SAPSystemParameters. Tento seznam ke zhlédnutí umožňuje uživatelům přidávat nové parametry, zakázat existující parametry a upravovat hodnoty a závažnosti na parametr a roli systému v produkčním nebo neprodukčním prostředí.
Když dojde ke změně některého z těchto parametrů, Microsoft Sentinel zkontroluje, jestli tato změna nesouvisí se zabezpečením a jestli je hodnota nastavená podle doporučených hodnot. Pokud je změna podezřelá mimo bezpečnou zónu, Vytvoří Microsoft Sentinel incident s podrobnostmi o změně a identifikuje, kdo změnu provedl.
Zkontrolujte seznam parametrů, které toto pravidlo monitoruje.
Monitorování protokolu auditu SAP
Mnoho analytických pravidel v řešení Microsoft Sentinel pro aplikace SAP používá data protokolu auditu SAP. Některá analytická pravidla hledají v protokolu konkrétní události, zatímco jiné korelují indikace z několika protokolů a vytvářejí vysoce věrné výstrahy a incidenty.
Následující analytická pravidla použijte k monitorování všech událostí protokolu auditu v systému SAP nebo aktivaci upozornění pouze v případech, kdy jsou zjištěny anomálie:
| Název pravidla | Popis |
|---|---|
| SAP – Chybějící konfigurace v monitorování protokolu auditu dynamického zabezpečení | Ve výchozím nastavení se spouští každý den, aby poskytovala doporučení konfigurace pro modul protokolu auditu SAP. Pomocí šablony pravidla můžete vytvořit a přizpůsobit pravidlo pro váš pracovní prostor. |
| SAP – Dynamic Deterministic Audit Log Monitor (PREVIEW) | Ve výchozím nastavení se spouští každých 10 minut a zaměřuje se na události protokolu auditu SAP označené jako Deterministické. Pomocí šablony pravidla můžete vytvořit a přizpůsobit pravidlo pro váš pracovní prostor, například pro nižší falešně pozitivní míru. Toto pravidlo vyžaduje deterministické prahové hodnoty upozornění a pravidla vyloučení uživatelů. |
| SAP – Upozornění monitorování protokolu auditu na základě dynamických anomálií (PREVIEW) | Ve výchozím nastavení se spouští každou hodinu a zaměřuje se na události SAP označené jako AnomálieOnly a upozorňují na události protokolu auditu SAP při zjištění anomálií. Toto pravidlo používá další algoritmy strojového učení k filtrování šumu na pozadí bez dohledu. |
Ve výchozím nastavení se většina typů událostí nebo ID zpráv SAP v protokolu auditu SAP odesílají do analytického pravidla monitorování protokolů auditu založeného na anomáliích založených na dynamických anomáliích (PREVIEW), zatímco do analytického pravidla monitorování protokolu dynamického deterministického auditu (PREVIEW) se odesílají snadněji definované typy událostí. Toto nastavení spolu s dalšími souvisejícími nastaveními lze dále nakonfigurovat tak, aby vyhovovalo jakýmkoli systémovým podmínkám.
Pravidla monitorování protokolu auditu SAP se doručují jako součást obsahu zabezpečení řešení SAP pro Microsoft Sentinel a umožňují další vyladění pomocí SAP_Dynamic_Audit_Log_Monitor_Configuration a SAP_User_Config kontrolních seznamů.
Následující tabulka například uvádí několik příkladů použití seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration ke konfiguraci typů událostí, které generují incidenty, což snižuje počet vygenerovaných incidentů.
| Možnost | Popis |
|---|---|
| Nastavení závažností a zakázání nežádoucích událostí | Ve výchozím nastavení vytvářejí deterministická pravidla i pravidla založená na anomáliích výstrahy pro události označené střední a vysokou závažností. Možná budete chtít nakonfigurovat závažnosti samostatně v produkčním a neprodukčním prostředí. Můžete například nastavit událost aktivity ladění jako vysokou závažnost v produkčních systémech a vypnout stejné události zcela v neprodukčních systémech. |
| Vyloučení uživatelů podle jejich rolí SAP nebo profilů SAP | Microsoft Sentinel pro SAP ingestuje profil autorizace uživatele SAP, včetně přiřazení přímých a nepřímých rolí, skupin a profilů, abyste mohli v SYSTÉMU SIEM mluvit jazykEM SAP. Můžete chtít nakonfigurovat událost SAP tak, aby vyloučila uživatele na základě jejich rolí a profilů SAP. V seznamu ke zhlédnutí přidejte role nebo profily, které seskupují uživatele rozhraní RFC ve sloupci RolesTagsToExclude vedle obecné tabulky přístup podle události RFC . Tato konfigurace aktivuje výstrahy pouze pro uživatele, kteří tyto role nemají. |
| Vyloučení uživatelů podle jejich značek SOC | Pomocí značek můžete vytvářet vlastní seskupení, aniž byste museli spoléhat na složité definice SAP nebo dokonce bez autorizace SAP. Tato metoda je užitečná pro týmy SOC, které chtějí vytvořit vlastní seskupení pro uživatele SAP. Pokud například nechcete, aby konkrétní účty služeb upozorňovaly na obecné přístup k tabulce událostmi RFC , ale nemůžete najít roli SAP nebo profil SAP, který tyto uživatele seskupí, použijte značky takto: 1. Přidejte značku GenTableRFCReadOK vedle příslušné události v seznamu ke zhlédnutí. 2. Přejděte na SAP_User_Config seznam ke zhlédnutí a přiřaďte uživatelům rozhraní stejnou značku. |
| Určení prahové hodnoty četnosti na typ události a roli systému | Funguje jako limit rychlosti. Můžete například nakonfigurovat události změny hlavního záznamu uživatele tak, aby aktivovaly pouze výstrahy, pokud se za hodinu zaznamená více než 12 aktivit stejného uživatele v produkčním systému. Pokud uživatel překročí limit 12 za hodinu , například 2 události v 10minutovém intervalu, aktivuje se incident. |
| Determinismus nebo anomálie | Pokud znáte charakteristiky události, použijte deterministické funkce. Pokud si nejste jistí, jak správně nakonfigurovat událost, povolte, aby se funkce strojového učení rozhodly spustit, a podle potřeby proveďte následné aktualizace. |
| Možnosti SOAR | Pomocí Služby Microsoft Sentinel můžete dále orchestrovat, automatizovat a reagovat na incidenty vytvořené dynamickými upozorněními protokolu auditu SAP. Další informace najdete v tématu Automatizace v Microsoft Sentinelu: Orchestrace zabezpečení, automatizace a odezva (SOAR). |
Další informace najdete v tématu Dostupné seznamy ke zhlédnutí a Microsoft Sentinel pro ZPRÁVY SAP – Funkce monitorování protokolů dynamického auditu zabezpečení SAP je nyní k dispozici. (blog).
Počáteční přístup
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| SAP – Přihlášení z neočekávané sítě | Identifikuje přihlášení z neočekávané sítě. Udržujte sítě v seznamu ke zhlédnutí SAP – Networks . |
Přihlaste se k back-endovému systému z IP adresy, která není přiřazená k jedné ze sítí. Zdroje dat: SAPcon – Protokol auditu |
Počáteční přístup |
| SAP – Útok SPNego | Identifikuje útok SPNego Replay. | Zdroje dat: SAPcon – Protokol auditu | Dopad, laterální pohyb |
| SAP – Pokus o přihlášení dialogového okna od privilegovaného uživatele | Identifikuje pokusy o přihlášení k dialogu s typem AUM privilegovanými uživateli v systému SAP. Další informace naleznete v SAPUsersGetPrivileged. | Pokus o přihlášení ze stejné IP adresy do několika systémů nebo klientů v naplánovaném časovém intervalu Zdroje dat: SAPcon – Protokol auditu |
Dopad, laterální pohyb |
| SAP – Útoky hrubou silou | Identifikuje útoky hrubou silou na systém SAP pomocí přihlášení RFC. | Pokus o přihlášení ze stejné IP adresy k několika systémům nebo klientům v rámci naplánovaného časového intervalu pomocí RFC Zdroje dat: SAPcon – Protokol auditu |
Přístup k přihlašovacím údajům |
| SAP – Více přihlášení ze stejné IP adresy | Identifikuje přihlášení několika uživatelů ze stejné IP adresy v naplánovaném časovém intervalu. Případ dílčího použití: Zachování |
Přihlaste se pomocí několika uživatelů prostřednictvím stejné IP adresy. Zdroje dat: SAPcon – Protokol auditu |
Počáteční přístup |
| SAP – Více přihlášení podle uživatele | Identifikuje přihlášení stejného uživatele z několika terminálů v rámci naplánovaného časového intervalu. K dispozici pouze prostřednictvím metody Audit SAL pro SAP verze 7.5 a vyšší. |
Přihlaste se pomocí stejného uživatele pomocí různých IP adres. Zdroje dat: SAPcon – Protokol auditu |
Před útokem, přístup k přihlašovacím údajům, počáteční přístup, kolekce Případ dílčího použití: Zachování |
| SAP – Informační – Životní cyklus – Poznámky SAP byly implementovány v systému | Identifikuje implementaci SAP Note v systému. | Implementujte poznámku SAP pomocí SNOTE/TCI. Zdroje dat: SAPcon – Žádosti o změnu |
- |
| SAP – (Preview) AS JAVA – Přihlášení citlivého privilegovaného uživatele | Identifikuje přihlášení z neočekávané sítě. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Privileged Users . |
Přihlaste se k back-endovému systému pomocí privilegovaných uživatelů. Zdroje dat: SAPJAVAFilesLog |
Počáteční přístup |
| SAP – (Preview) AS JAVA – Přihlášení z neočekávané sítě | Identifikuje přihlášení z neočekávané sítě. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Sítě . |
Přihlaste se k back-endovému systému z IP adresy, která není přiřazená k jedné ze sítí v seznamu ke zhlédnutí SAP – Sítě Zdroje dat: SAPJAVAFilesLog |
Počáteční přístup, obrana před únikem |
Exfiltrace dat
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| SAP – FTP pro neautorizované servery | Identifikuje připojení FTP pro neověřené server. | Vytvořte nové připojení FTP, například pomocí modulu funkce FTP_CONNECT. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, počáteční přístup, příkaz a řízení |
| SAP – Nezabezpečená konfigurace FTP serverů | Identifikuje nezabezpečené konfigurace serveru FTP, například když je seznam povolených ftp prázdný nebo obsahuje zástupné symboly. | Pomocí zobrazení údržby neudržujte ani neudržujte hodnoty, SAPFTP_SERVERS_V které obsahují zástupné symboly v SAPFTP_SERVERS tabulce. (SM30) Zdroje dat: SAPcon – Protokol auditu |
Počáteční přístup, příkaz a řízení |
| SAP – Stažení více souborů | Identifikuje více souborů ke stažení pro uživatele v určitém časovém rozsahu. | Stáhněte si více souborů pomocí SAPGui pro Excel, seznamy atd. Zdroje dat: SAPcon – Protokol auditu |
Kolekce, Exfiltrace, Přístup k přihlašovacím údajům |
| SAP – Více spuštění fondu | Identifikuje více fondů pro uživatele v určitém časovém rozsahu. | Vytvořte a spusťte více úloh zařazování libovolného typu uživatelem. (SP01) Zdroje dat: SAPcon – Protokol fondu, SAPcon – Protokol auditu |
Kolekce, Exfiltrace, Přístup k přihlašovacím údajům |
| SAP – Provádění výstupu s několika fondy | Identifikuje více fondů pro uživatele v určitém časovém rozsahu. | Vytvořte a spusťte více úloh zařazování libovolného typu uživatelem. (SP01) Zdroje dat: SAPcon – Protokol výstupu fondu, SAPcon – Protokol auditu |
Kolekce, Exfiltrace, Přístup k přihlašovacím údajům |
| SAP – Citlivé tabulky s přímým přístupem prostřednictvím přihlášení RFC | Identifikuje obecný přístup k tabulce přihlášením RFC. Udržujte tabulky v seznamu pro sap – citlivé tabulky . Relevantní pouze pro produkční systémy. |
Otevřete obsah tabulky pomocí SE11/SE16/SE16N. Zdroje dat: SAPcon – Protokol auditu |
Kolekce, Exfiltrace, Přístup k přihlašovacím údajům |
| SAP – Převzetí fondu | Identifikuje uživatele, který tiskl žádost o zařazování, kterou vytvořil někdo jiný. | Vytvořte žádost o zařazování pomocí jednoho uživatele a pak ji vypište pomocí jiného uživatele. Zdroje dat: SAPcon – Protokol fondu, SAPcon – Protokol výstupu fondu, SAPcon – Protokol auditu |
Kolekce, exfiltrace, příkaz a ovládací prvek |
| SAP – Dynamický cíl RFC | Identifikuje provádění RFC pomocí dynamických cílů. Případ dílčího použití: Pokusy o obejití mechanismů zabezpečení SAP |
Spusťte sestavu ABAP, která používá dynamické cíle (cl_dynamic_destination). Například DEMO_RFC_DYNAMIC_DEST. Zdroje dat: SAPcon – Protokol auditu |
Kolekce, exfiltrace |
| SAP – Citlivé tabulky s přímým přístupem pomocí dialogového okna Přihlášení | Identifikuje obecný přístup k tabulce prostřednictvím přihlášení dialogového okna. | Otevřete obsah tabulky pomocí .SE11/SE16/SE16N Zdroje dat: SAPcon – Protokol auditu |
Zjišťování |
| SAP – (Preview) soubor stažený ze škodlivé IP adresy | Identifikuje stažení souboru ze systému SAP pomocí IP adresy známé jako škodlivé. Škodlivé IP adresy se získávají ze služeb analýzy hrozeb. | Stáhněte si soubor ze škodlivé IP adresy. Zdroje dat: Protokol auditu zabezpečení SAP, Analýza hrozeb |
Exfiltrace |
| SAP – (Preview) Data exportovaná z produkčního systému pomocí přenosu | Identifikuje export dat z produkčního systému pomocí přenosu. Přenosy se používají ve vývojových systémech a jsou podobné žádostem o přijetí změn. Toto pravidlo upozornění aktivuje incidenty se střední závažností, když se z produkčního systému uvolní přenos obsahující data z libovolné tabulky. Pravidlo vytvoří incident s vysokou závažností, když export obsahuje data z citlivé tabulky. | Uvolněte přenos z produkčního systému. Zdroje dat: Protokol SAP CR, SAP – Citlivé tabulky |
Exfiltrace |
| SAP – (Preview) Citlivá data uložená na USB disku | Identifikuje export dat SAP prostřednictvím souborů. Pravidlo kontroluje data uložená do nedávno připojené jednotky USB v blízkosti provádění citlivé transakce, citlivého programu nebo přímého přístupu k citlivé tabulce. | Exportujte data SAP prostřednictvím souborů a uložte je na USB disk. Zdroje dat: Protokol auditu zabezpečení SAP, DeviceFileEvents (Microsoft Defender for Endpoint), SAP – Citlivé tabulky, SAP – Citlivé transakce, SAP – Citlivé programy |
Exfiltrace |
| SAP – (Preview) Tisk potenciálně citlivých dat | Identifikuje požadavek nebo skutečný tisk potenciálně citlivých dat. Data se považují za citlivá, pokud uživatel získá data jako součást citlivé transakce, spuštění citlivého programu nebo přímý přístup k citlivé tabulce. | Tisk nebo žádost o tisk citlivých dat Zdroje dat: Protokol auditu zabezpečení SAP, protokoly fondu SAP, SAP – Citlivé tabulky, SAP – Citlivé programy |
Exfiltrace |
| SAP – (Preview) Velký objem potenciálně citlivých dat exportovaných | Identifikuje export velkého objemu dat prostřednictvím souborů v blízkosti provádění citlivé transakce, citlivého programu nebo přímého přístupu k citlivé tabulce. | Export velkého objemu dat prostřednictvím souborů Zdroje dat: Protokol auditu zabezpečení SAP, SAP – Citlivé tabulky, SAP – Citlivé transakce, SAP – Citlivé programy |
Exfiltrace |
Umíněnost
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| SAP – Aktivace nebo deaktivace služby ICF | Identifikuje aktivaci nebo deaktivaci služeb ICF. | Aktivujte službu pomocí SICF. Zdroje dat: SAPcon – Protokol dat tabulky |
Příkazy a řízení, laterální pohyb, trvalost |
| SAP – Testovaný modul funkcí | Identifikuje testování modulu funkce. | Otestujte modul funkce pomocí SE37 / SE80. Zdroje dat: SAPcon – Protokol auditu |
Kolekce, obrana před únikem, laterální pohyb |
| SAP – (PREVIEW) HANA DB – Akce správy uživatelů | Identifikuje akce správy uživatelů. | Vytvoření, aktualizace nebo odstranění uživatele databáze Zdroje dat: Agent Pro Linux – Syslog* |
Elevace oprávnění |
| SAP – Nové obslužné rutiny služeb ICF | Identifikuje vytváření obslužných rutin ICF. | Přiřaďte službě novou obslužnou rutinu pomocí SICF. Zdroje dat: SAPcon – Protokol auditu |
Příkazy a řízení, laterální pohyb, trvalost |
| SAP – Nové služby ICF | Identifikuje vytváření služeb ICF. | Vytvořte službu pomocí SICF. Zdroje dat: SAPcon – Protokol dat tabulky |
Příkazy a řízení, laterální pohyb, trvalost |
| SAP – Spuštění zastaralého nebo nezabezpečeného modulu funkcí | Identifikuje spuštění zastaralého nebo nezabezpečeného modulu funkce ABAP. Udržujte zastaralé funkce v seznamu ke zhlédnutí sap – zastaralé moduly funkcí. Nezapomeňte aktivovat změny protokolování tabulky pro EUFUNC tabulku v back-endu. (SE13)Relevantní pouze pro produkční systémy. |
Přímo pomocí SE37 spusťte zastaralý nebo nezabezpečený modul funkcí. Zdroje dat: SAPcon – Protokol dat tabulky |
Zjišťování, příkazy a řízení |
| SAP – provádění zastaralého nebo nezabezpečeného programu | Identifikuje spuštění zastaralého nebo nezabezpečeného programu ABAP. Udržujte zastaralé programy v seznamu ke zhlédnutí SAP – Zastaralé programy . Relevantní pouze pro produkční systémy. |
Spusťte program přímo pomocí SE38/SA38/SE80 nebo pomocí úlohy na pozadí. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, příkazy a řízení |
| SAP – Více změn hesel podle uživatele | Identifikuje několik změn hesel podle uživatele. | Změna hesla uživatele Zdroje dat: SAPcon – Protokol auditu |
Přístup k přihlašovacím údajům |
| SAP – (Preview) AS JAVA – Uživatel vytvoří a použije nového uživatele | Identifikuje vytváření nebo manipulaci s uživateli správci v prostředí SAP AS Java. | Přihlaste se k back-endovému systému pomocí uživatelů, které jste vytvořili nebo s nimi manipulovali. Zdroje dat: SAPJAVAFilesLog |
Uchování |
Pokusy o obejití mechanismů zabezpečení SAP
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| SAP – Změna konfigurace klienta | Identifikuje změny konfigurace klienta, jako je role klienta nebo režim záznamu změn. | Pomocí kódu transakce proveďte změny SCC4 konfigurace klienta. Zdroje dat: SAPcon – Protokol auditu |
Obrana před únikem, exfiltrace, trvalost |
| SAP – Data se během aktivity ladění změnila | Identifikuje změny dat modulu runtime během aktivity ladění. Případ dílčího použití: Zachování |
1. Aktivace ladění ("/h"). 2. Vyberte pole pro změnu a aktualizujte jeho hodnotu. Zdroje dat: SAPcon – Protokol auditu |
Provádění, laterální pohyb |
| SAP – Deaktivace protokolu auditu zabezpečení | Identifikuje deaktivaci protokolu auditu zabezpečení, | Zakažte protokol auditu zabezpečení pomocí SM19/RSAU_CONFIG. Zdroje dat: SAPcon – Protokol auditu |
Exfiltrace, obrana před únikem, trvalost |
| SAP – provádění citlivého programu ABAP | Identifikuje přímé spuštění citlivého programu ABAP. Udržujte programy ABAP v seznamu ke zhlédnutí programu SAP - Sensitive ABAP Programs . |
Spusťte program přímo pomocí SE38//SA38SE80. Zdroje dat: SAPcon – Protokol auditu |
Exfiltrace, laterální pohyb, spuštění |
| SAP – Spuštění citlivého kódu transakce | Identifikuje spuštění citlivého kódu transakce. Udržujte kódy transakcí v seznamu kódů citlivých transakcí SAP. |
Spusťte citlivý kód transakce. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, spouštění |
| SAP – provádění modulu citlivých funkcí | Identifikuje spuštění citlivého modulu funkce ABAP. Případ dílčího použití: Zachování Relevantní pouze pro produkční systémy. Udržujte citlivé funkce v seznamu ke zhlédnutí modulů citlivých funkcí SAP a nezapomeňte aktivovat změny protokolování tabulek v back-endu pro tabulku EUFUNC. (SE13) |
Spusťte modul citlivých funkcí přímo pomocí SE37. Zdroje dat: SAPcon – Protokol dat tabulky |
Zjišťování, příkazy a řízení |
| SAP – (PREVIEW) HANA DB –Audit Trail Policy Changes | Identifikuje změny zásad auditu databáze HANA. | Vytvořte nebo aktualizujte existující zásady auditu v definicích zabezpečení. Zdroje dat: Agent Pro Linux – Syslog |
Laterální pohyb, obrana před únikem, trvalost |
| SAP – (PREVIEW) HANA DB – Deaktivace záznamu auditu | Identifikuje deaktivaci protokolu auditu databáze HANA. | Deaktivujte protokol auditu v definici zabezpečení databáze HANA. Zdroje dat: Agent Pro Linux – Syslog |
Trvalost, laterální pohyb, obranná úniky |
| SAP – Neoprávněné vzdálené spuštění modulu citlivé funkce | Detekuje neoprávněné spuštění citlivých FM pomocí porovnání aktivity s autorizačním profilem uživatele při ignorování nedávno změněných autorizací. Udržujte moduly funkcí v seznamu ke zhlédnutí modulů citlivých funkcí SAP. |
Spusťte modul funkce pomocí RFC. Zdroje dat: SAPcon – Protokol auditu |
Provádění, laterální pohyb, zjišťování |
| SAP – Změna konfigurace systému | Identifikuje změny konfigurace systému. | Přizpůsobte možnosti změny systému nebo úpravu softwarových SE06 komponent pomocí kódu transakce.Zdroje dat: SAPcon – Protokol auditu |
Exfiltrace, obrana před únikem, trvalost |
| SAP – Aktivity ladění | Identifikuje všechny aktivity související s laděním. Případ dílčího použití: Zachování |
Aktivace ladění ("/h") v systému, ladění aktivního procesu, přidání zarážky do zdrojového kódu atd. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování |
| SAP – Změna konfigurace protokolu auditu zabezpečení | Identifikuje změny v konfiguraci protokolu auditu zabezpečení. | Změňte libovolnou konfiguraci protokolu auditu zabezpečení pomocí SM19/RSAU_CONFIGfiltrů, stavu, režimu záznamu atd. Zdroje dat: SAPcon – Protokol auditu |
Trvalost, Exfiltrace, Úniky před obranou |
| SAP – Transakce je odemknutá | Identifikuje odemčení transakce. | Odemkněte kód transakce pomocí SM01//SM01_DEVSM01_CUS. Zdroje dat: SAPcon – Protokol auditu |
Trvalost, provádění |
| SAP – Dynamický program ABAP | Identifikuje provádění dynamického programování ABAP. Například při dynamickém vytvoření, změně nebo odstranění kódu ABAP. Udržovat vyloučené kódy transakcí v SAP - Transakce pro ABAP Generace ke zhlédnutí . |
Vytvořte sestavu ABAP, která používá příkazy generování programu ABAP, například INSERT REPORT, a pak sestavu spusťte. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, řízení a řízení, dopad |
Operace podezřelých oprávnění
| Název pravidla | Popis | Zdrojová akce | Taktika |
|---|---|---|---|
| SAP – Změna citlivého privilegovaného uživatele | Identifikuje změny citlivých privilegovaných uživatelů. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Privileged Users . |
Změna podrobností o uživateli nebo autorizací pomocí .SU01 Zdroje dat: SAPcon – Protokol auditu |
Eskalace oprávnění, přístup k přihlašovacím údajům |
| SAP – (PREVIEW) HANA DB – Přiřazení autorizací pro správce | Identifikuje oprávnění správce nebo přiřazení role. | Přiřaďte uživatele s libovolnou rolí nebo oprávněními správce. Zdroje dat: Agent Pro Linux – Syslog |
Elevace oprávnění |
| SAP – Citlivý privilegovaný uživatel přihlášený | Identifikuje přihlášení dialogového okna citlivého privilegovaného uživatele. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Privileged Users . |
Přihlaste se k back-endovému systému pomocí SAP* jiného privilegovaného uživatele. Zdroje dat: SAPcon – Protokol auditu |
Počáteční přístup, přístup k přihlašovacím údajům |
| SAP – Citlivý privilegovaný uživatel provede změnu v jiném uživateli | Identifikuje změny citlivých privilegovaných uživatelů v jiných uživatelích. | Změna podrobností o uživateli nebo autorizací pomocí SU01 Zdroje dat: SAPcon – Protokol auditu |
Eskalace oprávnění, přístup k přihlašovacím údajům |
| SAP – Změna a přihlášení citlivých uživatelů | Identifikuje změny hesel pro privilegované uživatele. | Změňte heslo pro privilegovaného uživatele a přihlaste se do systému. Udržujte privilegované uživatele v seznamu ke zhlédnutí SAP – Privileged Users . Zdroje dat: SAPcon – Protokol auditu |
Dopad, příkaz a řízení, eskalace oprávnění |
| SAP – Uživatel vytvoří a použije nového uživatele | Identifikuje uživatele, který vytváří a používá jiné uživatele. Případ dílčího použití: Zachování |
Vytvořte uživatele pomocí SU01 a pak se přihlaste pomocí nově vytvořeného uživatele a stejné IP adresy. Zdroje dat: SAPcon – Protokol auditu |
Zjišťování, před útokem, počáteční přístup |
| SAP – Odemknutí uživatele a použití jiných uživatelů | Identifikuje uživatele, který je odemčený a používán jinými uživateli. Případ dílčího použití: Zachování |
Odemkněte uživatele pomocí SU01 a pak se přihlaste pomocí odemčeného uživatele a stejné IP adresy. Zdroje dat: SAPcon – Protokol auditu, SAPcon – Protokol změn dokumentů |
Zjišťování, před útokem, počáteční přístup, laterální pohyb |
| SAP – Přiřazení citlivého profilu | Identifikuje nová přiřazení citlivého profilu uživateli. Udržujte citlivé profily v seznamu ke zhlédnutí citlivých profilů SAP – Citlivé profily . |
Přiřazení profilu uživateli pomocí SU01. Zdroje dat: SAPcon – Protokol změn dokumentů |
Elevace oprávnění |
| SAP – Přiřazení citlivé role | Identifikuje nová přiřazení pro citlivou roli pro uživatele. Udržujte citlivé role v seznamu ke zhlédnutí citlivých rolí v SAP – citlivé role . |
Přiřaďte uživateli roli pomocí SU01 / PFCG. Zdroje dat: SAPcon – Protokol změn dokumentů, protokol auditu |
Elevace oprávnění |
| Přiřazení kritických autorizací SAP – (PREVIEW) – Nová hodnota autorizace | Identifikuje přiřazení kritické hodnoty objektu autorizace novému uživateli. Udržujte kritické autorizační objekty v seznamu ke zhlédnutí sap – kritické autorizační objekty . |
Přiřaďte nový autorizační objekt nebo aktualizujte existující objekt v roli pomocí PFCG. Zdroje dat: SAPcon – Protokol změn dokumentů |
Elevace oprávnění |
| SAP – Přiřazení kritických autorizací – Přiřazení nového uživatele | Identifikuje přiřazení kritické hodnoty objektu autorizace novému uživateli. Udržujte kritické autorizační objekty v seznamu ke zhlédnutí sap – kritické autorizační objekty . |
Přiřaďte novému uživateli roli, která obsahuje kritické hodnoty autorizace pomocí .SU01/PFCG Zdroje dat: SAPcon – Protokol změn dokumentů |
Elevace oprávnění |
| SAP – Změny citlivých rolí | Identifikuje změny v citlivých rolích. Udržujte citlivé role v seznamu ke zhlédnutí citlivých rolí v SAP – citlivé role . |
Změňte roli pomocí PFCG. Zdroje dat: SAPcon – Protokol změn dokumentů, SAPcon – Protokol auditu |
Dopad, eskalace oprávnění, trvalost |
Dostupné seznamy ke zhlédnutí
Následující tabulka uvádí seznamy ke zhlédnutí, které jsou k dispozici pro řešení Microsoft Sentinel pro aplikace SAP, a pole v každém seznamu ke zhlédnutí.
Tyto seznamy ke zhlédnutí poskytují konfiguraci řešení Microsoft Sentinel pro aplikace SAP. Seznamy ke zhlédnutí SAP jsou k dispozici v úložišti Microsoft Sentinel Na GitHubu.
| Název seznamu ke zhlédnutí | Popis a pole |
|---|---|
| SAP – Kritické objekty autorizace | Objekt kritické autorizace, kde by se přiřazení měla řídit. - AuthorizationObject: Objekt autorizace SAP, například S_DEVELOP, S_TCODEnebo Table TOBJ - AuthorizationField: Pole autorizace SAP, například OBJTYP nebo TCD - AuthorizationValue: Hodnota pole autorizace SAP, například DEBUG - ActivityField : Pole aktivity SAP. Ve většině případů je ACTVTtato hodnota . Pro objekty autorizace bez aktivity nebo pouze s polem Aktivita , vyplněno NOT_IN_USE. - Aktivita: Aktivita SAP podle autorizačního objektu, například: 01: Vytvořit; 02: Změnit; 03: Zobrazit atd. - Popis: Smysluplný popis kritického autorizačního objektu. |
| SAP – Vyloučené sítě | Pro interní údržbu vyloučených sítí, jako je ignorování webových dispečerů, terminálových serverů atd. -Síť: Síťová IP adresa nebo rozsah, například 111.68.128.0/17. -Popis: Smysluplný popis sítě. |
| Vyloučení uživatelé SAP | Systémoví uživatelé, kteří jsou přihlášení k systému a musí být ignorováni. Například výstrahy pro více přihlášení stejného uživatele. - Uživatel: Uživatel SAP -Popis: Smysluplný popis uživatele. |
| SAP – Sítě | Interní sítě a sítě údržby pro identifikaci neautorizovaných přihlášení. - Síť: Síťová IP adresa nebo rozsah, například 111.68.128.0/17 - Popis: Smysluplný popis sítě. |
| SAP – Privilegovaní uživatelé | Privilegovaní uživatelé, kteří jsou pod dodatečnými omezeními. - Uživatel: uživatel ABAP, například DDIC nebo SAP - Popis: Smysluplný popis uživatele. |
| SAP – Citlivé programy ABAP | Citlivé programy ABAP (sestavy), kde by se mělo řídit provádění. - ABAPProgram: program ABAP nebo zpráva, například RSPFLDOC - Popis: Smysluplný popis programu. |
| SAP – Modul citlivých funkcí | Interní sítě a sítě údržby pro identifikaci neautorizovaných přihlášení. - FunctionModule: Modul funkce ABAP, například RSAU_CLEAR_AUDIT_LOG - Popis: Smysluplný popis modulu. |
| SAP – Citlivé profily | Citlivé profily, kde by se měla řídit přiřazení. - Profil: Profil autorizace SAP, například SAP_ALL nebo SAP_NEW - Popis: Smysluplný popis profilu. |
| SAP – Citlivé tabulky | Citlivé tabulky, ve kterých by se měl řídit přístup. - Tabulka: Tabulka slovníku ABAP, například USR02 nebo PA008 - Popis: Smysluplný popis tabulky. |
| SAP – Citlivé role | Citlivé role, kde by se mělo řídit přiřazení. - Role: Role autorizace SAP, například SAP_BC_BASIS_ADMIN - Popis: Smysluplný popis role. |
| SAP – Citlivé transakce | Citlivé transakce, ve kterých by se mělo řídit provádění. - TransactionCode: Kód transakce SAP, například RZ11 - Popis: Smysluplný popis kódu. |
| SAP – Systémy | Popisuje krajinu systémů SAP podle rolí, využití a konfigurace. - SystemID: ID systému SAP (SYSID) - SystemRole: role systému SAP, jedna z následujících hodnot: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: Využití systému SAP, jedna z následujících hodnot: ERP, BW, Solman, GatewayEnterprise Portal - InterfaceAttributes: volitelný dynamický parametr pro použití v playbookech. |
| SAPSystemParameters | Parametry pro sledování podezřelých změn konfigurace Tento seznam ke zhlédnutí je předem vyplněný doporučenými hodnotami (podle osvědčených postupů SAP) a seznam ke zhlédnutí můžete rozšířit tak, aby obsahoval další parametry. Pokud nechcete dostávat upozornění pro parametr, nastavte na falsehodnotu EnableAlerts .- ParameterName: Název parametru. - Komentář: Popis standardního parametru SAP. - EnableAlerts: Definuje, jestli se mají pro tento parametr povolit výstrahy. Hodnoty jsou true a false.- Možnost: Definuje, v jakém případě se má aktivovat výstraha: Pokud je hodnota parametru větší nebo rovna ( GE), menší nebo rovno (LE) nebo rovno (EQ).Pokud login/fails_to_user_lock je například parametr SAP nastavený na LE hodnotu (menší nebo rovno) a hodnota 5, jakmile Microsoft Sentinel zjistí změnu tohoto konkrétního parametru, porovná nově hlášenou hodnotu a očekávanou hodnotu. Pokud je 4nová hodnota, Microsoft Sentinel neaktivuje upozornění. Pokud je 6nová hodnota, Microsoft Sentinel aktivuje upozornění.- ProductionSeverity: Závažnost incidentu pro produkční systémy. - ProductionValues: Povolené hodnoty pro produkční systémy. - NonProdSeverity: Závažnost incidentu pro neprodukční systémy. - NonProdValues: Povolené hodnoty pro neprodukční systémy. |
| SAP – vyloučení uživatelé | Systémoví uživatelé, kteří jsou přihlášeni a je třeba je ignorovat, například pro více přihlášení uživatelem výstraha uživatele. - Uživatel: Uživatel SAP - Popis: Smysluplný popis uživatele |
| SAP – Vyloučené sítě | Udržujte interní, vyloučené sítě pro ignorování webových dispečerů, terminálových serverů atd. - Síť: Síťová IP adresa nebo rozsah, například 111.68.128.0/17 - Popis: Smysluplný popis sítě |
| SAP – zastaralé moduly funkcí | Zastaralé moduly funkcí, jejichž spouštění by mělo být řízeno. - FunctionModule: Modul funkce ABAP, například TH_SAPREL - Popis: Smysluplný popis modulu funkce |
| SAP – zastaralé programy | Zastaralé programy ABAP (sestavy), jejichž provádění by mělo být řízeno. - ABAPProgram:ABAP Program, například TH_ RSPFLDOC - Popis: Smysluplný popis programu ABAP |
| SAP – Transakce pro generace ABAP | Transakce pro generace ABAP, jejichž provádění by mělo být řízeno. - TransactionCode: Kód transakce, například SE11. - Popis: Smysluplný popis kódu transakce |
| SAP – SERVERY FTP | Servery FTP pro identifikaci neautorizovaných připojení. - Klient: například 100. - FTP_Server_Name: název serveru FTP, například http://contoso.com/ -FTP_Server_Port:port serveru FTP, například 22. - PopisSmysluplný popis serveru FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Nakonfigurujte upozornění protokolu auditu SAP tak, že každému ID zprávy přiřadíte úroveň závažnosti podle potřeby podle role systému (produkční, neprodukční). Tento seznam ke zhlédnutí podrobně popisuje všechna dostupná ID zpráv protokolu auditu SAP úrovně Standard. Seznam ke zhlédnutí můžete rozšířit tak, aby obsahoval další ID zpráv, která můžete vytvořit sami pomocí vylepšení ABAP v systémech SAP NetWeaver. Tento seznam ke zhlédnutí také umožňuje konfigurovat určený tým pro zpracování jednotlivých typů událostí a vyloučení uživatelů podle rolí SAP, profilů SAP nebo značek ze seznamu ke zhlédnutí SAP_User_Config . Tento seznam ke zhlédnutí je jednou ze základních komponent používaných ke konfiguraci integrovaných analytických pravidel SAP pro monitorování protokolu auditu SAP. Další informace najdete v tématu Monitorování protokolu auditu SAP. - MessageID: ID zprávy SAP nebo typ události, například AUD (změny hlavního záznamu uživatele) nebo AUB (změny autorizace). - Podrobný popis: Popis povolený markdownu, který se má zobrazit v podokně incidentu. - ProductionSeverity: Požadovaná závažnost incidentu, která se má vytvořit pro produkční systémy High, Medium. Lze nastavit jako Disabled. - NonProdSeverity: Požadovaná závažnost incidentu, která se má vytvořit pro neprodukční systémy High, Medium. Lze nastavit jako Disabled. - ProductionThreshold Počet "za hodinu" událostí, které se mají považovat za podezřelé pro produkční systémy 60. - NonProdThreshold Počet událostí za hodinu, které mají být považovány za podezřelé pro neprodukční systémy 10. - RolesTagsToExclude: Toto pole přijímá název role SAP, názvy profilů SAP nebo značky ze seznamu ke zhlédnutí SAP_User_Config. Ty se pak používají k vyloučení přidružených uživatelů z konkrétních typů událostí. Podívejte se na možnosti značek rolí na konci tohoto seznamu. - RuleType: Používá Deterministic se pro typ události, který se má odeslat do sap – pravidlo monitorování dynamického deterministického protokolu auditování nebo AnomaliesOnly aby se na tuto událost vztahuje pravidlo MONITOROVÁNÍ protokolu auditu založeného na dynamické anomálii (PREVIEW). Další informace najdete v tématu Monitorování protokolu auditu SAP. - TeamsChannelID: volitelný dynamický parametr pro použití v playbookech. - DestinationEmail: volitelný dynamický parametr pro použití v playbookech. Pole RolesTagsToExclude: – Pokud vypíšete seznam rolí SAP nebo profilů SAP, vyloučíte všechny uživatele s uvedenými rolemi nebo profily z těchto typů událostí pro stejný systém SAP. Pokud například definujete BASIC_BO_USERS roli ABAP pro typy událostí souvisejících s RFC, uživatelé obchodních objektů neaktivují incidenty při provádění rozsáhlých volání RFC.– Označení typu události je podobné zadání rolí nebo profilů SAP, ale značky je možné vytvořit v pracovním prostoru, takže týmy SOC můžou uživatele vyloučit podle aktivity bez závislosti na týmu SAP BASIS. Například ID auditovaných zpráv AUB (změny autorizace) a AUD (změny hlavního záznamu uživatele) jsou přiřazeny značky MassiveAuthChanges . Uživatelé přiřazení této značky jsou vyloučeni z kontrol těchto aktivit. Spuštění funkce pracovního prostoru SAPAuditLogConfigRecommend vytvoří seznam doporučených značek, které se mají přiřadit uživatelům, například Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Umožňuje doladit upozornění vyloučením /včetně uživatelů v konkrétních kontextech a slouží také ke konfiguraci integrovaných analytických pravidel SAP pro monitorování protokolu auditu SAP. Další informace najdete v tématu Monitorování protokolu auditu SAP. - SAPUser: Uživatel SAP - Značky: Značky slouží k identifikaci uživatelů proti určité aktivitě. Například přidání značek ["GenericTablebyRFCOK"] pro uživatele SENTINEL_SRV zabrání vytvoření incidentů souvisejících s dokumentem RFC pro tohoto konkrétního uživatele. Další identifikátory uživatelů služby Active Directory – Identifikátor uživatele AD – Místní sid uživatele – Hlavní název uživatele |
Dostupné playbooky
Playbooky poskytované řešením Microsoft Sentinel pro aplikace SAP pomáhají automatizovat úlohy reakce na incidenty SAP a zlepšit efektivitu a efektivitu operací zabezpečení.
Tato část popisuje integrované analytické playbooky poskytované společně s řešením Microsoft Sentinel pro aplikace SAP.
| Název playbooku | Parametry | Propojení |
|---|---|---|
| Reakce na incident SAP – Uzamčení uživatele z Teams – Základní | – SAP-SOAP-User-Password – UŽIVATELSKÉ JMÉNO SAP-SOAP – SOAPApiBasePath - DefaultEmail - TeamsChannel |
– Microsoft Sentinel – Microsoft Teams |
| Reakce na incident SAP – Uzamčení uživatele z Teams – Pokročilé | – SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
– Microsoft Sentinel – Protokoly služby Azure Monitor – Office 365 Outlook – Microsoft Entra ID – Azure Key Vault – Microsoft Teams |
| Reakce na incidenty SAP – Opětovné povolení protokolování auditu po deaktivaci | – SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
– Microsoft Sentinel – Azure Key Vault – Protokoly služby Azure Monitor – Microsoft Teams |
Následující části popisují ukázkové případy použití jednotlivých zadaných playbooků ve scénáři, ve kterém vás incident upozornil na podezřelou aktivitu v některém ze systémů SAP, kde se uživatel pokouší provést jednu z těchto vysoce citlivých transakcí.
Během fáze třídění incidentů se rozhodnete provést akci proti tomuto uživateli, vykopnout ji ze systémů SAP ERP nebo BTP nebo dokonce z Microsoft Entra ID.
Další informace najdete v tématu Automatizace reakcí na hrozby pomocí playbooků v Microsoft Sentinelu.
Proces nasazení aplikací logiky Standard je obecně složitější než u aplikací logiky Consumption. Vytvořili jsme řadu zástupců, které vám pomůžou je rychle nasadit z úložiště GitHub pro Microsoft Sentinel. Další informace najdete v podrobném průvodci instalací.
Tip
Sledujte složku playbooků SAP v úložišti GitHub, kde najdete další playbooky, jakmile budou k dispozici. K dispozici je také krátké úvodní video (externí odkaz), které vám pomůže začít.
Uzamčení uživatele z jednoho systému
Vytvořte pravidlo automatizace pro vyvolání uživatele Lock z Teams – Základní playbook při zjištění citlivé transakce neoprávněným uživatelem. Tento playbook používá funkci adaptivních karet Teams k vyžádání schválení před jednostranným blokováním uživatele.
Další informace najdete v tématu Od nuly až po pokrytí zabezpečení hero v Microsoft Sentinelu pro důležité bezpečnostní signály SAP – uslyšíte mě SOAR! Část 1 (blogový příspěvek SAP)
Lock user from Teams - Basic playbook is a Standard playbook are generally complex to deploy than Consumption playbook.
Vytvořili jsme řadu zástupců, které vám pomůžou je rychle nasadit z úložiště GitHub pro Microsoft Sentinel. Další informace najdete v podrobném průvodci instalací a podporovaných typech aplikací logiky.
Uzamčení uživatele z více systémů
Uživatel Lock z Teams – pokročilý playbook dosahuje stejného cíle, ale je navržený pro složitější scénáře, což umožňuje použití jednoho playbooku pro více systémů SAP, z nichž každý má vlastní SYSTÉM SAP SID.
Uživatel Lock z Teams – pokročilý playbook bezproblémově spravuje připojení ke všem těmto systémům a jejich přihlašovací údaje pomocí volitelného dynamického parametru InterfaceAttributes v seznamu ke zhlédnutí SAP – Systems a Azure Key Vaultu.
Uživatel Lock from Teams - Advanced playbook také umožňuje komunikovat se stranami v procesu schvalování pomocí zpráv s akcemi Outlooku společně s Teams pomocí parametrů TeamsChannelID a DestinationEmail v seznamu ke zhlédnutí SAP_Dynamic_Audit_Log_Monitor_Configuration .
Další informace najdete v tématu Od nuly po zabezpečení hero pro Microsoft Sentinel pro důležité signály zabezpečení SAP – část 2 (blogový příspěvek SAP).
Zabránění deaktivaci protokolování auditu
Může vás také zajímat protokol auditu SAP, který je jedním z vašich zdrojů dat zabezpečení, které se deaktivují. Doporučujeme vytvořit pravidlo automatizace založené na SAP – deaktivaci pravidla analýzy protokolů auditu zabezpečení, které po deaktivaci playbooku znovu aktivuje protokolování auditování s možností opětovného povolení , aby se zajistilo, že protokol auditu SAP není deaktivovaný.
Playbook SAP – Deaktivace protokolu auditu zabezpečení používá také Teams a informuje pracovníky zabezpečení po faktu. Závažnost trestného činu a naléhavost jejího zmírnění značí, že je možné provést okamžitou akci bez nutnosti schválení.
Vzhledem k tomu, že playbook SAP – Deaktivace protokolu auditování zabezpečení používá ke správě přihlašovacích údajů službu Azure Key Vault, konfigurace playbooku je podobná konfiguraci playbooku Lock z Teams – advanced playbook. Další informace najdete v tématu Od nuly až po pokrytí zabezpečení hero v Microsoft Sentinelu pro důležité signály zabezpečení SAP – část 3 (příspěvek na blogu SAP).
Související obsah
Další informace najdete v tématu Nasazení řešení Microsoft Sentinel pro aplikace SAP.