Microsoft Sentinel-Lösung für SAP-Anwendungen: Referenz zu Sicherheitsinhalten
In diesem Artikel werden die sicherheitsbezogenen Inhalte für die Microsoft Sentinel-Lösung für SAP detailliert beschrieben.
Wichtig
Während sich die Microsoft Sentinel-Lösung für SAP-Anwendungen in GA befindet, bleiben einige bestimmte Komponenten in der VORSCHAU. In diesem Artikel werden die Komponenten angegeben, die sich in den entsprechenden Abschnitten unten in der Vorschauversion befinden. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Zu verfügbaren Sicherheitsinhalten gehören integrierte Arbeitsmappen und Analyseregeln. Sie können auch SAP-bezogene Watchlists hinzufügen, um sie in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Playbooks für die Reaktion auf Bedrohungen zu verwenden.
Inhalte in diesem Artikel sind für Ihr Sicherheitsteam vorgesehen.
Integrierte Arbeitsmappen
Verwenden Sie die folgenden integrierten Arbeitsmappen zur Visualisierung und Überwachung von Daten, die über den SAP-Datenconnector erfasst wurden. Nachdem Sie die SAP-Lösung bereitgestellt haben, finden Sie SAP-Arbeitsmappen auf der Registerkarte "Vorlagen ".
| Arbeitsmappenname | Beschreibung | Protokolle |
|---|---|---|
| SAP: Überwachungsprotokollbrowser | Zeigt Daten an wie z. B.: – Allgemeine Systemintegrität, einschließlich Benutzeranmeldungen im Laufe der Zeit, vom System aufgenommene Ereignisse, Nachrichtenklassen und IDs und USERS-Programme -Schweregrade von Ereignissen, die in Ihrem System auftreten – Authentifizierungs- und Autorisierungsereignisse in Ihrem System |
Nutzt Daten aus dem folgenden Protokoll: ABAPAuditLog_CL |
| SAP-Überwachungskontrollen | Unterstützt Sie bei der Überprüfung der Sicherheitskontrollen Ihrer SAP-Umgebung auf die Einhaltung Des gewählten Steuerelementframeworks, indem Sie Tools verwenden, um Folgendes auszuführen: – Zuweisen von Analyseregeln in Ihrer Umgebung zu bestimmten Sicherheitssteuerelementen und Steuerelementfamilien - Überwachen und Kategorisieren der Vorfälle, die von den sap lösungsbasierten Analyseregeln generiert werden – Bericht über Ihre Compliance |
Verwendet Daten aus den folgenden Tabellen: - SecurityAlert- SecurityIncident |
Weitere Informationen finden Sie im Lernprogramm: Visualisieren und Überwachen Ihrer Daten und Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen.
Integrierte Analyseregeln
In diesem Abschnitt wird eine Auswahl integrierter Analyseregeln beschrieben, die zusammen mit der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden. Überprüfen Sie für die neuesten Updates den Microsoft Sentinel-Inhaltshub auf neue und aktualisierte Regeln.
Überwachen der Konfiguration statischer SAP-Sicherheitsparameter (Vorschau)
Um das SAP-System zu sichern, hat SAP sicherheitsrelevante Parameter identifiziert, die auf Änderungen überwacht werden müssen. Mit der Regel "SAP - (Vorschau) Sensitive Static Parameter has Changed" verfolgt die Microsoft Sentinel-Lösung für SAP-Anwendungen mehr als 52 statische sicherheitsbezogene Parameter im SAP-System, die in Microsoft Sentinel integriert sind.
Hinweis
Damit die Microsoft Sentinel-Lösung für SAP-Anwendungen die SAP-Sicherheitsparameter erfolgreich überwachen kann, muss die Lösung die SAP PAHI-Tabelle in regelmäßigen Abständen erfolgreich überwachen. Weitere Informationen finden Sie unter Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird.
Um Parameteränderungen im System zu verstehen, verwendet die Microsoft Sentinel-Lösung für SAP-Anwendungen die Parameterverlaufstabelle, in der Änderungen an Systemparametern jede Stunde aufgezeichnet werden.
Die Parameter werden auch in der SAPSystemParameters-Watchlist angezeigt. Mit dieser Watchlist können Benutzer neue Parameter hinzufügen, vorhandene Parameter deaktivieren und die Werte und Schweregrade pro Parameter und Systemrolle in Produktions- oder Nichtproduktionsumgebungen ändern.
Bei der Änderung eines dieser Parameter prüft Microsoft Sentinel, ob die Änderung sicherheitsrelevant ist und ob der Wert entsprechend den empfohlenen Werten eingestellt ist. Falls der Verdacht besteht, dass die Änderung außerhalb der Sicherheitszone liegt, erstellt Microsoft Sentinel einen Vorfall, in dem die Änderung detailliert beschrieben wird, und ermittelt, wer die Änderung vorgenommen hat.
Überprüfen Sie die Liste der Parameter, die von dieser Regel überwacht werden.
Überwachen des SAP-Überwachungsprotokolls
Viele der Analyseregeln in der Microsoft Sentinel-Lösung für SAP-Anwendungen verwenden SAP-Überwachungsprotokolldaten. Einige Analyseregeln suchen nach bestimmten Ereignissen im Protokoll, während andere Indikationen aus mehreren Protokollen korrelieren, um Warnungen und Vorfälle mit hoher Genauigkeit zu erstellen.
Verwenden Sie die folgenden Analyseregeln, um entweder alle Überwachungsprotokollereignisse in Ihrem SAP-System zu überwachen oder Warnungen nur auszulösen, wenn Anomalien erkannt werden:
| Regelname | Beschreibung |
|---|---|
| SAP – Fehlende Konfiguration im Dynamic Security Audit Log Monitor | Wird standardmäßig täglich ausgeführt, um Konfigurationsempfehlungen für das SAP-Überwachungsprotokollmodul bereitzustellen. Verwenden Sie die Regelvorlage, um eine Regel für Ihren Arbeitsbereich zu erstellen und anzupassen. |
| SAP - Dynamic Deterministic Audit Log Monitor (PREVIEW) | Wird standardmäßig alle 10 Minuten ausgeführt und konzentriert sich auf die SAP-Überwachungsprotokollereignisse, die als deterministisch gekennzeichnet sind. Verwenden Sie die Regelvorlage, um eine Regel für Ihren Arbeitsbereich zu erstellen und anzupassen, z. B. für eine niedrigere falsch positive Rate. Für diese Regel sind deterministische Warnungsschwellenwerte und Benutzerausschlüsse erforderlich. |
| SAP – Dynamische Anomaliebasierte Überwachungsprotokollüberwachungsbenachrichtigungen (VORSCHAU) | Wird standardmäßig stündlich ausgeführt und konzentriert sich auf SAP-Ereignisse, die als AnomalienOnly gekennzeichnet sind, und benachrichtigt sie bei Erkennung von Anomalien bei SAP-Überwachungsprotokollereignissen. Diese Regel wendet zusätzliche Machine Learning-Algorithmen an, um Hintergrundgeräusche auf nicht überwachte Weise herauszufiltern. |
Standardmäßig werden die meisten Ereignistypen oder SAP-Nachrichten-IDs im SAP-Überwachungsprotokoll an die anomaliebasierte Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) -Analyseregel gesendet, während die einfacher zu definierenden Ereignistypen an die Analyseregel des deterministischen Dynamischen Deterministischen Überwachungsprotokollmonitors (PREVIEW) gesendet werden. Diese Einstellung kann zusammen mit anderen verwandten Einstellungen noch weiter so konfiguriert werden, dass alle Systembedingungen abgedeckt werden.
Die SAP-Überwachungsprotokollüberwachungsregeln werden als Teil des Sicherheitsinhalts von Microsoft Sentinel für SAP-Lösungen bereitgestellt und ermöglichen eine weitere Feinabstimmung mithilfe der SAP_Dynamic_Audit_Log_Monitor_Configuration und SAP_User_Config Watchlists.
In der folgenden Tabelle werden beispielsweise mehrere Beispiele aufgeführt, wie Sie die SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist verwenden können, um die Arten von Ereignissen zu konfigurieren, die Vorfälle erzeugen, wodurch die Anzahl der generierten Vorfälle reduziert wird.
| Option | BESCHREIBUNG |
|---|---|
| Festlegen von Schweregraden und Deaktivieren unerwünschter Ereignisse | Standardmäßig erstellen sowohl die deterministischen Regeln als auch die anomaliebasierten Regeln Warnungen für Ereignisse, die mit einem mittleren und hohen Schweregrad gekennzeichnet sind. Möglicherweise möchten Sie schweregrade separat produktions- und nichtproduktionsumgebungen konfigurieren. Sie können z. B. ein Debugaktivitätsereignis als hohen Schweregrad in Produktionssystemen festlegen und die gleichen Ereignisse vollständig in Nichtproduktionssystemen deaktivieren. |
| Ausschließen von Benutzern durch ihre SAP-Rollen oder SAP-Profile | Microsoft Sentinel für SAP nimmt das Autorisierungsprofil des SAP-Benutzers ein, einschließlich direkter und indirekter Rollenzuweisungen, Gruppen und Profile, sodass Sie die SAP-Sprache in Ihrem SIEM sprechen können. Möglicherweise möchten Sie ein SAP-Ereignis so konfigurieren, dass Benutzer basierend auf ihren SAP-Rollen und -Profilen ausgeschlossen werden. Fügen Sie in der Watchlist die Rollen oder Profile, die Ihre RFC-Schnittstellenbenutzer gruppieren, in der Spalte RolesTagsToExclude neben dem Ereignis Generic table access by RFC (Generische Tabellenzugriff durch RFC) hinzu. Diese Konfiguration löst Warnungen nur für Benutzer aus, die diese Rollen fehlen. |
| Ausschließen von Benutzern durch ihre SOC-Tags | Verwenden Sie Tags, um eine eigene Gruppierung zu erstellen, ohne sich auf komplizierte SAP-Definitionen oder sogar ohne SAP-Autorisierung zu verlassen. Diese Methode ist nützlich für SOC-Teams, die ihre eigene Gruppierung für SAP-Benutzer erstellen möchten. Wenn Sie beispielsweise nicht möchten, dass bestimmte Dienstkonten für den generischen Tabellenzugriff durch RFC-Ereignisse benachrichtigt werden, aber keine SAP-Rolle oder ein SAP-Profil finden können, das diese Benutzer gruppiert, verwenden Sie Tags wie folgt: 1. Fügen Sie das GenTableRFCReadOK-Tag neben dem relevanten Ereignis in der Watchlist hinzu. 2. Wechseln Sie zur SAP_User_Config Watchlist, und weisen Sie den Benutzer der Benutzeroberfläche dasselbe Tag zu. |
| Angeben eines Häufigkeitsschwellenwerts pro Ereignistyp und Systemrolle | Dies funktioniert wie ein Geschwindigkeitslimit. Sie können beispielsweise Benutzermasterdatensatzänderungsereignisse so konfigurieren, dass nur Warnungen ausgelöst werden, wenn mehr als 12 Aktivitäten in einer Stunde von demselben Benutzer in einem Produktionssystem beobachtet werden. Wenn ein Benutzer den Grenzwert von 12 pro Stunde überschreitet (z. B. wenn zwei Ereignisse innerhalb von zehn Minuten auftreten), wird ein Incident ausgelöst. |
| Determinismus oder Anomalien | Wenn Sie die Merkmale des Ereignisses kennen, verwenden Sie die deterministischen Funktionen. Wenn Sie nicht sicher sind, wie Sie das Ereignis ordnungsgemäß konfigurieren, lassen Sie die Machine Learning-Funktionen zu, zu starten, und nehmen Sie dann bei Bedarf nachfolgende Updates vor. |
| SOAR-Funktionen | Verwenden Sie Microsoft Sentinel, um dynamische Warnungen im SAP-Überwachungsprotokoll weiter zu koordinieren, zu automatisieren und auf Vorfälle zu reagieren. Weitere Informationen zur Automatisierung in Microsoft Sentinel in Form von Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Orchestration, Automation and Response, SOAR) finden Sie hier. |
Weitere Informationen finden Sie unter Verfügbare Watchlists und Microsoft Sentinel für SAP News – Dynamic SAP Security Audit Log Monitor Feature jetzt verfügbar! (Blog).
Erstzugriff
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Anmeldung über unerwartetes Netzwerk | Identifiziert eine Anmeldung über ein unerwartetes Netzwerk. Verwalten Sie Netzwerke in der Watchlist SAP – Netzwerke. |
Melden Sie sich über eine IP-Adresse, die keinem der Netzwerke zugewiesen ist, beim Back-End-System an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff |
| SAP – SPNego-Angriff | Identifiziert einen SPNego-Replay-Angriff. | Datenquellen: SAPcon – Überwachungsprotokoll | Auswirkung, Lateral Movement |
| SAP – Anmeldeversuch im Dialogfeld von einem privilegierten Benutzer | Identifiziert Anmeldeversuche im Dialogfeld vom Typ AUM durch privilegierte Benutzer in einem SAP-System. Weitere Informationen finden Sie unter SAPUsersGetPrivileged. | Versuchen Sie, sich innerhalb des geplanten Zeitintervalls mit derselben IP-Adresse bei mehreren Systemen bzw. Clients anzumelden. Datenquellen: SAPcon – Überwachungsprotokoll |
Auswirkung, Lateral Movement |
| SAP – Brute-Force-Angriffe | Identifiziert Brute-Force-Angriffe auf das SAP-System durch RFC-Anmeldung. | Versuchen Sie, sich innerhalb des geplanten Zeitintervalls mithilfe von RFC von derselben IP bei mehreren Systemen/Clients anzumelden. Datenquellen: SAPcon – Überwachungsprotokoll |
Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Anmeldungen über dieselbe IP-Adresse | Identifiziert die Anmeldung mehrerer Benutzer über dieselbe IP-Adresse innerhalb eines geplanten Zeitintervalls. Untergeordneter Anwendungsfall: Persistenz |
Melden Sie mehrere Benutzer über die gleiche IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff |
| SAP – Mehrere Anmeldungen durch Benutzer | Identifiziert Anmeldungen desselben Benutzers an mehreren Terminals innerhalb des geplanten Zeitintervalls. Bei SAP-Versionen ab 7.5 nur über die Methode „SAL überwachen“ verfügbar. |
Melden Sie sich mit demselben Benutzer und verschiedenen IP-Adressen an. Datenquellen: SAPcon – Überwachungsprotokoll |
Vorabangriff, Zugriff auf Anmeldeinformationen, Anfänglicher Zugriff, Sammlung Untergeordneter Anwendungsfall: Persistenz |
| SAP – Information – Lebenszyklus – SAP-Hinweise wurden im System implementiert | Identifiziert die Implementierungen von SAP-Hinweisen im System. | Implementieren Sie einen SAP-Hinweis mithilfe von SNOTE/TCI. Datenquellen: SAPcon - Change Requests |
- |
| SAP - (Vorschau) AS JAVA – Vertraulicher privilegierter Benutzer angemeldet | Identifiziert eine Anmeldung über ein unerwartetes Netzwerk. Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer. |
Melden Sie sich mit privilegierten Benutzern beim Back-End-System an. Datenquellen: SAPJAVAFilesLog |
Erstzugriff |
| SAP - (Vorschau) AS JAVA - Anmeldung aus unerwartetem Netzwerk | Identifiziert Anmeldungen aus einem unerwarteten Netzwerk. Verwalten Von privilegierten Benutzern in der SAP - Networks-Watchlist . |
Melden Sie sich bei dem Back-End-System von einer IP-Adresse an, die keinem der Netzwerke in der SAP - Networks Watchlist zugewiesen ist Datenquellen: SAPJAVAFilesLog |
Anfänglicher Zugriff, Verteidigungshinterziehung |
Datenexfiltration
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – FTP für nicht autorisierte Server | Identifiziert eine FTP-Verbindung für einen nicht authentifizierten Server. | Erstellen Sie eine neue FTP-Verbindung, z. B. mithilfe des Funktionsmoduls FTP_CONNECT. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Erstzugriff, Command-and-Control |
| SAP – Konfiguration unsicherer FTP-Server | Identifiziert unsichere FTP-Serverkonfigurationen, z. B. wenn eine FTP-Positivliste leer ist oder Platzhalter enthält. | Verwalten oder verwalten Sie keine Werte, die Platzhalter in der SAPFTP_SERVERS Tabelle enthalten, mithilfe der SAPFTP_SERVERS_V Wartungsansicht. (SM30) Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff, Command-and-Control |
| SAP – Download mehrerer Dateien | Identifiziert Downloads mehrerer Dateien für einen Benutzer innerhalb einer bestimmten Zeitspanne. | Laden Sie mithilfe von SAPGui für Excel, Listen usw. mehrere Dateien herunter. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Spoolausführungen | Identifiziert mehrere Spools für einen Benutzer innerhalb einer bestimmten Zeitspanne. | Erstellen und führen Sie mehrere Spoolaufträge eines beliebigen Typs durch einen Benutzer aus. (SP01) Datenquellen: SAPcon – Spoolprotokoll, SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Spoolausgabeausführungen | Identifiziert mehrere Spools für einen Benutzer innerhalb einer bestimmten Zeitspanne. | Erstellen und führen Sie mehrere Spoolaufträge eines beliebigen Typs durch einen Benutzer aus. (SP01) Datenquellen: SAPcon – Spoolprotokoll, SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Vertrauliche Tabellen – Direktzugriff durch RFC-Anmeldung | Identifiziert den Zugriff auf eine generische Tabelle per RFC-Anmeldung. Verwalten Sie Tabellen in der Watchlist SAP – Sensible Tabellen. Nur für Produktionssysteme relevant. |
Öffnen Sie den Tabelleninhalt mit SE11/SE16/SE16N. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Spool-Übernahme | Identifiziert einen Benutzer, der eine Spoolanforderung druckt, die von einer anderen Person erstellt wurde. | Erstellen Sie eine Spoolanforderung mit einem Benutzer, und geben Sie sie dann in als ein anderer Benutzer aus. Datenquellen: SAPcon - Spool Log, SAPcon - Spool Output Log, SAPcon - Audit Log |
Sammlung, Exfiltration, Command-and-Control |
| SAP – Dynamisches RFC-Ziel | Identifiziert die Ausführung von RFC mithilfe dynamischer Ziele. Untergeordneter Anwendungsfall: Erstzugriff und Versuche zum Umgehen von SAP-Sicherheitsmechanismen |
Führen Sie einen ABAP-Bericht aus, der dynamische Ziele (cl_dynamic_destination) verwendet. Beispiel: DEMO_RFC_DYNAMIC_DEST. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration |
| SAP – Vertrauliche Tabellen– Direktzugriff per Dialoganmeldung | Identifiziert den Zugriff auf generische Tabellen per Dialoganmeldung. | Öffnen Sie den Tabelleninhalt mit SE11/SE16/SE16N. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung |
| SAP: Datei, die von einer schädlichen IP-Adresse heruntergeladen wurde (Vorschau) | Identifiziert das Herunterladen einer Datei aus einem SAP-System mithilfe einer IP-Adresse, die als schädlich bekannt ist. Schädliche IP-Adressen werden von Threat Intelligence-Diensten abgerufen. | Herunterladen einer Datei von einer schädlichen IP-Adresse. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, Threat Intelligence |
Exfiltration |
| SAP: Mithilfe eines Datentransports aus einem Produktionssystem exportierte Daten (Vorschau) | Identifiziert den Datenexport aus einem Produktionssystem mithilfe eines Datentransports. Datentransporte werden in Entwicklungssystemen verwendet und ähneln Pull Requests. Diese Warnungsregel löst Vorfälle mit mittlerem Schweregrad aus, wenn ein Datentransport, der Daten aus einer beliebigen Tabelle enthält, aus einem Produktionssystem freigegeben wird. Die Regel erstellt einen Vorfall mit hohem Schweregrad, wenn der Export Daten aus einer vertraulichen Tabelle enthält. | Freigeben eines Datentransports aus einem Produktionssystem. Datenquellen: SAP CR-Protokoll, SAP: Vertrauliche Tabellen |
Exfiltration |
| SAP: Vertrauliche Daten werden auf einem USB-Laufwerk gespeichert (Vorschau) | Identifiziert den Export von SAP-Daten über Dateien. Die Regel überprüft, ob in der Umgebung einer Ausführung einer vertraulichen Transaktion, eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle Daten auf einem kürzlich eingebundenen USB-Laufwerk gespeichert wurden. | Exportieren von SAP-Daten über Dateien und Speichern auf einem USB-Laufwerk. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, DeviceFileEvents (Microsoft Defender for Endpoint), SAP: Vertrauliche Tabellen, SAP: Vertrauliche Transaktionen, SAP: Vertrauliche Programme |
Exfiltration |
| SAP: Drucken potenziell vertraulicher Daten (Vorschau) | Identifiziert eine Anforderung zum Drucken oder den tatsächlichen Druck potenziell vertraulicher Daten. Daten gelten als vertraulich, wenn der Benutzer die Daten im Rahmen einer vertraulichen Transaktion, Ausführung eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle erhält. | Drucken oder Anfordern des Druckens vertraulicher Daten. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP-Spoolprotokolle, SAP: Vertrauliche Tabellen, SAP: Vertrauliche Programme |
Exfiltration |
| SAP: Export großer Mengen potenziell vertraulicher Daten (Vorschau) | Identifiziert den Export einer großen Datenmenge über Dateien in der Umgebung einer Ausführung einer vertraulichen Transaktion, eines vertraulichen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle. | Exportieren einer großen Menge an Daten über Dateien. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP: Vertrauliche Tabellen, SAP: Vertrauliche Transaktionen, SAP: Vertrauliche Programme |
Exfiltration |
Persistenz
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Aktivierung oder Deaktivierung des ICF-Diensts | Identifiziert die Aktivierung oder Deaktivierung des ICF-Diensts. | Aktivieren Sie einen Dienst mithilfe von SICF. Datenquellen: SAPcon – Tabellendatenprotokoll |
Command-and-Control, Lateral Movement, Persistenz |
| SAP – Funktionsmodul getestet | Identifiziert das Testen eines Funktionsmoduls. | Testen Sie ein Funktionsmodul mit SE37 / SE80. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Umgehen von Verteidigungsmaßnahmen, Lateral Movement |
| SAP – (VORSCHAU) HANA DB – Benutzeradministratoraktionen | Identifiziert Benutzerverwaltungsaktionen. | Erstellen, Aktualisieren oder Löschen Sie einen Datenbankbenutzer. Datenquellen: Linux-Agent – Syslog* |
Berechtigungsausweitung |
| SAP – Neue ICF-Diensthandler | Identifiziert die Erstellung von ICF-Handlern. | Weisen Sie einem Dienst mithilfe von SICF einen neuen Handler zu. Datenquellen: SAPcon – Überwachungsprotokoll |
Command-and-Control, Lateral Movement, Persistenz |
| SAP – Neue ICF-Dienste | Identifiziert die Erstellung von ICF-Diensten. | Erstellen Sie einen Dienst mithilfe von SICF. Datenquellen: SAPcon – Tabellendatenprotokoll |
Command-and-Control, Lateral Movement, Persistenz |
| SAP – Ausführung eines veralteten oder unsicheren Funktionsmoduls | Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Funktionsmoduls. Verwalten Sie veraltete Funktionen in der Watchlist SAP – Veraltete Funktionsmodule. Stellen Sie sicher, dass Sie im Back-End Änderungen an der Tabellenprotokollierung für die Tabelle EUFUNC aktivieren. (SE13)Nur für Produktionssysteme relevant. |
Führen Sie ein veraltetes oder unsicheres Funktionsmodul direkt mit SE37 aus. Datenquellen: SAPcon – Tabellendatenprotokoll |
Ermittlung, Command-and-Control |
| SAP – Ausführung eines veralteten/unsicheren Programms | Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Programms. Verwalten Sie veraltete Programme in der Watchlist SAP – Veraltete Programme. Nur für Produktionssysteme relevant. |
Führen Sie ein Programm direkt mithilfe von SE38/SA38/SE80 oder eines Hintergrundauftrags aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Command-and-Control |
| SAP – Mehrere Kennwortänderungen durch Benutzer | Identifiziert mehrere Kennwortänderungen durch Benutzer. | Benutzerkennwort ändern Datenquellen: SAPcon – Überwachungsprotokoll |
Zugriff auf Anmeldeinformationen |
| SAP - (Vorschau) AS JAVA - Benutzer erstellt und verwendet neuen Benutzer | Identifiziert die Erstellung oder Manipulation von Benutzern durch Administratoren innerhalb der SAP AS Java-Umgebung. | Melden Sie sich mit Benutzern, die Sie erstellt oder bearbeitet haben, beim Back-End-System an. Datenquellen: SAPJAVAFilesLog |
Persistenz |
Versuche, die SAP-Sicherheitsmechanismen zu umgehen
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Ändern der Clientkonfiguration | Identifiziert Änderungen an der Clientkonfiguration, z. B. Clientrolle oder Änderungsaufzeichnungsmodus. | Führen Sie Clientkonfigurationsänderungen mithilfe des Transaktionscodes SCC4 aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Umgehen von Verteidigungsmaßnahmen, Exfiltration, Persistenz |
| Ändern der ClientkonfigurationSAP – Daten haben sich während der Debugaktivität geändert | Identifiziert Änderungen an Laufzeitdaten während einer Debugaktivität. Untergeordneter Anwendungsfall: Persistenz |
1. Aktivieren Sie das Debuggen (/h). 2. Wählen Sie ein zu änderndes Feld aus, und aktualisieren Sie dessen Wert. Datenquellen: SAPcon – Überwachungsprotokoll |
Ausführung/Lateral Movement |
| SAP – Deaktivierung des Sicherheitsüberwachungsprotokolls | Identifiziert die Deaktivierung des Sicherheitsüberwachungsprotokolls. | Deaktivieren Sie das Sicherheitsüberwachungsprotokoll mit SM19/RSAU_CONFIG. Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Umgehen von Verteidigungsmaßnahmen, Persistenz |
| SAP – Ausführung eines vertraulichen ABAP-Programms | Identifiziert die direkte Ausführung eines sensiblen ABAP-Programms. Verwalten Sie ABAP-Programme in der Watchlist SAP – Sensible ABAP-Programme. |
Führen Sie ein Programm direkt mithilfe von SE38/SA38/SE80 aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Lateral Movement, Ausführung |
| SAP – Ausführung eines vertraulichen Transaktionscodes | Identifiziert die Ausführung eines sensiblen Transaktionscodes. Verwalten Sie Transaktionscodes in der Watchlist SAP – Sensible Transaktionscodes. |
Führen Sie einen sensiblen Transaktionscode aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Ausführung |
| SAP – Ausführung eines vertraulichen Funktionsmoduls | Identifiziert die Ausführung eines sensiblen ABAP-Funktionsmoduls. Untergeordneter Anwendungsfall: Persistenz Nur für Produktionssysteme relevant. Verwalten Sie sensible Funktionen in der Watchlist SAP – Sensible Funktionsmodule, und aktivieren Sie Tabellenprotokollierungsänderungen im Back-End für die Tabelle EUFUNC. (SE13) |
Führen Sie ein sensibles Funktionsmodul direkt mit SE37 aus. Datenquellen: SAPcon – Tabellendatenprotokoll |
Ermittlung, Command-and-Control |
| SAP – (VORSCHAU) HANA DB – Änderungen an Überwachungsprotokollrichtlinien | Identifiziert Änderungen an Überwachungsprotokollrichtlinien für HANA DB. | Erstellen oder aktualisieren Sie die vorhandene Überwachungsrichtlinie in Sicherheitsdefinitionen. Datenquellen: Linux-Agent – Syslog |
Lateral Movement, Umgehen von Verteidigungsmaßnahmen, Persistenz |
| SAP – (VORSCHAU) HANA DB – Deaktivierung des Überwachungsprotokolls | Identifiziert die Deaktivierung des HANA DB-Überwachungsprotokolls. | Deaktivieren Sie das Überwachungsprotokoll in der HANA DB-Sicherheitsdefinition. Datenquellen: Linux-Agent – Syslog |
Persistenz, Lateral Movement, Umgehen von Verteidigungsmaßnahmen |
| SAP – Nicht autorisierte Remoteausführung eines vertraulichen Funktionsmoduls | Erkennt nicht autorisierte Ausführungen vertraulicher Funktionsmodule, indem die Aktivität mit dem Autorisierungsprofil des Benutzers verglichen wird, während kürzlich geänderte Autorisierungen ignoriert werden. Verwalten Sie Funktionsmodule in der Watchlist SAP – Sensible Funktionsmodelle. |
Führen Sie ein Funktionsmodul mit RFC aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ausführung, Lateral Movement, Ermittlung |
| SAP – Ändern der Systemkonfiguration | Identifiziert Änderungen der Systemkonfiguration. | Passen Sie Systemänderungsoptionen oder Änderungen an Softwarekomponenten mithilfe des Transaktionscodes SE06 an.Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Umgehen von Verteidigungsmaßnahmen, Persistenz |
| SAP – Debugaktivitäten | Identifiziert alle auf das Debuggen bezogenen Aktivitäten. Untergeordneter Anwendungsfall: Persistenz |
Aktivieren Sie das Debuggen (/h) im System, debuggen Sie einen aktiven Prozess, fügen Sie dem Quellcode Haltepunkte hinzu usw. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung |
| SAP – Änderung der Konfiguration des Sicherheitsüberwachungsprotokolls | Identifiziert Änderungen an der Konfiguration des Sicherheitsüberwachungsprotokolls. | Ändern Sie mit SM19/RSAU_CONFIG beliebige Konfigurationseinstellungen des Überwachungsprotokolls, z. B. Filter, Status, Aufzeichnungsmodus usw. Datenquellen: SAPcon – Überwachungsprotokoll |
Persistenz, Exfiltration, Umgehen von Verteidigungsmaßnahmen |
| SAP – Transaktion ist entsperrt | Identifiziert das Entsperren einer Transaktion. | Entsperren Sie einen Transaktionscode mit SM01/SM01_DEV/SM01_CUS. Datenquellen: SAPcon – Überwachungsprotokoll |
Persistenz, Ausführung |
| SAP – Dynamisches ABAP-Programm | Identifiziert die Ausführung dynamischer ABAP-Programmierung. Beispielsweise, wenn ABAP-Code dynamisch erstellt, geändert oder gelöscht wurde. Verwalten Sie ausgeschlossene Transaktionscodes in der Watchlist SAP – Transaktionen für Generierungen von ABAP-Code. |
Erstellen Sie einen ABAP-Bericht, der ABAP-Programmgenerierungsbefehle wie INSERT REPORT verwendet, und führen Sie den Bericht dann aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Command-and-Control, Auswirkung |
Verdächtige Berechtigungsoperationen
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Ändern des vertraulichen privilegierten Benutzers | Identifiziert Änderungen an sensiblen privilegierten Benutzern. Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer. |
Ändern Sie Benutzerdetails/Autorisierungen mithilfe von SU01. Datenquellen: SAPcon – Überwachungsprotokoll |
Rechteausweitung, Zugriff auf Anmeldeinformationen |
| SAP – (VORSCHAU) HANA DB – Zuweisen von Administratorautorisierungen | Identifiziert Administratorrechte oder Rollenzuweisungen. | Weisen Sie einen Benutzer mit Administratorrolle oder -berechtigungen zu. Datenquellen: Linux-Agent – Syslog |
Berechtigungsausweitung |
| SAP – Angemeldeter vertraulicher privilegierter Benutzer | Identifiziert die Dialoganmeldung eines sensiblen privilegierten Benutzers. Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer. |
Melden Sie sich mit SAP* oder einem anderen privilegierten Benutzer am Back-End-System an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff, Zugriff auf Anmeldeinformationen |
| SAP – Vertraulicher privilegierter Benutzer nimmt eine Änderung bei anderem Benutzer vor | Identifiziert Änderungen des sensiblen privilegierten Benutzers bei anderen Benutzern. | Ändern Sie Benutzerdetails/Autorisierungen mithilfe von SU01. Datenquellen: SAPcon - Audit Log |
Rechteausweitung, Zugriff auf Anmeldeinformationen |
| SAP – Vertrauliche Benutzer– Kennwortänderung und Anmeldung | Identifiziert Kennwortänderungen privilegierter Benutzer. | Ändern Sie das Kennwort eines privilegierten Benutzers, und melden Sie sich beim System an. Verwalten Sie privilegierte Benutzer in der Watchlist SAP – Privilegierte Benutzer. Datenquellen: SAPcon – Überwachungsprotokoll |
Auswirkung, Command-and-Control, Rechteausweitung |
| SAP – Benutzer erstellt und verwendet neuen Benutzer | Identifiziert einen Benutzer, der andere Benutzer erstellt und verwendet. Untergeordneter Anwendungsfall: Persistenz |
Erstellen Sie einen Benutzer mit SU01, und melden Sie sich dann mit dem neu erstellten Benutzer und derselben IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll |
Discovery, Pre-Attack, Initial Access |
| SAP – Benutzer entsperrt und verwendet andere Benutzer | Identifiziert einen Benutzer, der entsperrt und von anderen Benutzern verwendet wird. Untergeordneter Anwendungsfall: Persistenz |
Entsperren Sie einen Benutzer mit SU01, und melden Sie sich dann mit dem entsperrten Benutzer und derselben IP-Adresse an. Datenquellen: SAPcon - Audit Log, SAPcon - Change Documents Log |
Discovery, Pre-Attack, Initial Access, Lateral Movement |
| SAP – Zuweisung eines vertraulichen Profils | Identifiziert neue Zuweisungen eines sensiblen Profils zu einem Benutzer. Verwalten Sie sensible Profile in der Watchlist SAP – Sensible Profile. |
Weisen Sie mit SU01 einem Benutzer ein Profil zu. Datenquellen: SAPcon – Dokumentänderungsprotokoll |
Berechtigungsausweitung |
| SAP – Zuweisung einer vertraulichen Rolle | Identifiziert neue Zuweisungen für eine sensible Rolle für einen Benutzer. Verwalten Sie sensible Rollen in der Watchlist SAP – Sensible Rollen. |
Weisen Sie mit SU01 / PFCG einem Benutzer eine Rolle zu. Datenquellen: SAPcon – Dokumentänderungsprotokoll, Überwachungsprotokoll |
Berechtigungsausweitung |
| SAP – (VORSCHAU) Kritische Autorisierungszuweisung – Neuer Autorisierungswert | Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer. Verwalten Sie kritische Autorisierungsobjekte in der Watchlist SAP – Kritische Autorisierungsobjekte. |
Weisen Sie mithilfe von PFCG ein neues Autorisierungsobjekt zu, oder aktualisieren Sie ein vorhandenes in einer Rolle. Datenquellen: SAPcon – Dokumentänderungsprotokoll |
Berechtigungsausweitung |
| SAP – Kritische Autorisierungszuweisung – Neue Benutzerzuweisung | Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer. Verwalten Sie kritische Autorisierungsobjekte in der Watchlist SAP – Kritische Autorisierungsobjekte. |
Weisen Sie mithilfe von SU01/PFCG einen neuen Benutzer einer Rolle zu, die kritische Autorisierungswerte enthält. Datenquellen: SAPcon – Dokumentänderungsprotokoll |
Berechtigungsausweitung |
| SAP – Änderungen an vertraulichen Rollen | Identifiziert Änderungen an sensiblen Rollen. Verwalten Sie sensible Rollen in der Watchlist SAP – Sensible Rollen. |
Ändern Sie eine Rolle mithilfe von PFCG. Datenquellen: SAPcon – Dokumentänderungsprotokoll, SAPcon – Überwachungsprotokoll |
Auswirkung, Rechteausweitung, Persistenz |
Verfügbare Watchlists
In der folgenden Tabelle sind die Watchlists aufgeführt, die für die Microsoft Sentinel-Lösung für SAP-Anwendungen und die Felder in jeder Watchlist verfügbar sind.
Diese Watchlists stellen die Konfiguration für die Microsoft Sentinel-Lösung für SAP-Anwendungen bereit. Die SAP-Watchlists sind im Microsoft Sentinel-GitHub verfügbar.
| Name der Watchlist | Beschreibung und Felder |
|---|---|
| SAP – Kritische Autorisierungsobjekte | Kritisches Autorisierungsobjekt, für das Zuweisungen gesteuert werden sollen. - AuthorizationObject: Ein SAP-Autorisierungsobjekt wie S_DEVELOP, S_TCODE oder Table TOBJ - AuthorizationField: Ein SAP-Autorisierungsfeld wie OBJTYP oder TCD - AuthorizationValue: Ein SAP-Autorisierungsfeldwert wie DEBUG - ActivityField: SAP-Aktivitätsfeld. In den meisten Fällen lautet ACTVTdieser Wert . Für Autorisierungsobjekte ohne Aktivität oder mit nur einem Feld Aktivität, das mit NOT_IN_USE gefüllt ist. - Aktivität: SAP-Aktivität gemäß dem Autorisierungsobjekt, z. B.: 01: Erstellen; 02: Ändern; 03: Anzeigen usw. - Beschreibung: eine aussagekräftige Beschreibung des kritischen Autorisierungsobjekts. |
| SAP – Ausgeschlossene Netzwerke | Für die interne Wartung ausgeschlossener Netzwerke, z. B. zum Ignorieren von Webdispatchern, Terminalservern usw. -Netzwerk: eine Netzwerk-IP-Adresse oder ein IP-Adressbereich, z. B. 111.68.128.0/17. -Beschreibung: eine aussagekräftige Netzwerkbeschreibung. |
| SAP – Ausgeschlossene Benutzer | Systembenutzer, die am System angemeldet sind und ignoriert werden müssen. Beispielsweise Warnungen bei mehreren Anmeldungen durch denselben Benutzer. - Benutzer: SAP-Benutzer -Beschreibung: eine aussagekräftige Benutzerbeschreibung. |
| SAP – Netzwerke | Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen. - Netzwerk: Netzwerk-IP-Adresse oder IP-Adressbereich, z. B. 111.68.128.0/17 - Beschreibung: eine aussagekräftige Netzwerkbeschreibung. |
| SAP – Privilegierte-Benutzer | Privilegierte Benutzer, für die zusätzliche Einschränkungen gelten. - Benutzer: der ABAP-Benutzer, z. B. DDIC oder SAP - Beschreibung: eine aussagekräftige Benutzerbeschreibung. |
| SAP – Sensible ABAP-Programme | Sensible ABAP-Programme (Berichte), in denen die Ausführung gesteuert werden soll. - ABAPProgram: ABAP-Programm oder -Bericht, z. B. RSPFLDOC - Beschreibung: Eine aussagekräftige Programmbeschreibung. |
| SAP – Sensibles Funktionsmodul | Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen. - FunctionModule: Ein ABAP-Funktionsmodul, z. B. RSAU_CLEAR_AUDIT_LOG - Beschreibung: eine aussagekräftige Modulbeschreibung. |
| SAP – Sensible Profile | Sensible Profile, bei denen Zuweisungen gesteuert werden sollen. - Profil: SAP-Autorisierungsprofil, z. B. SAP_ALL oder SAP_NEW - Beschreibung: Eine aussagekräftige Profilbeschreibung. |
| SAP – Sensible Tabellen | Sensible Tabellen, bei denen der Zugriff gesteuert werden soll. - Tabelle: ABAP-Wörterbuchtabelle, z. B. USR02 oder PA008 - Beschreibung: eine aussagekräftige Tabellenbeschreibung. |
| SAP – Sensible Rollen | Sensible Rollen, bei denen die Zuweisung gesteuert werden soll. - Rolle: SAP-Autorisierungsrolle, z. B. SAP_BC_BASIS_ADMIN - Beschreibung: eine aussagekräftige Rollenbeschreibung. |
| SAP – Sensible Transaktionen | Sensible Transaktionen, bei denen die Ausführung gesteuert werden soll. - TransactionCode: SAP-Transaktionscode, z. B. RZ11 - Beschreibung: eine aussagekräftige Codebeschreibung. |
| SAP – Systeme | Beschreibt die Landschaft von SAP-Systemen je nach Rolle, Nutzung und Konfiguration. - SystemID: die SAP-System-ID (SYSID) - SystemRole: die SAP-Systemrolle, einer der folgenden Werte: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: die SAP-Systemnutzung, einer der folgenden Werte: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. |
| SAPSystemParameters | Parameter, die auf verdächtige Konfigurationsänderungen überwacht werden sollen. Diese Watchlist ist mit empfohlenen Werten vorausgefüllt (gemäß den SAP bewährten Methoden), und Sie können die Watchlist erweitern, um weitere Parameter aufzunehmen. Wenn Sie keine Benachrichtigungen für einen Parameter erhalten möchten, setzen Sie EnableAlerts auf false.- ParameterName: Der Name des Parameters. - Kommentar: Die SAP-Standardparameterbeschreibung. - EnableAlerts: Definiert, ob Warnungen für diesen Parameter aktiviert werden sollen. Gültige Werte sind true und false.- Option: Definiert, in welchem Fall eine Warnung ausgelöst werden soll: Wenn der Parameterwert größer oder gleich ( GE), kleiner oder gleich () ist oder gleich (LEEQ)Wenn der login/fails_to_user_lock SAP-Parameter beispielsweise auf LE (kleiner oder gleich) und auf den Wert 5 festgelegt ist, sobald Microsoft Sentinel eine Änderung an diesem spezifischen Parameter erkennt, werden der neu gemeldete Wert und der erwartete Wert verglichen. Wenn der neue Wert 4 lautet, löst Microsoft Sentinel keine Warnung aus. Wenn der neue Wert 6 ist, löst Microsoft Sentinel eine Warnung aus.- ProductionSeverity: Der Incidentschweregrad für Produktionssysteme. - ProductionValues: Zulässige Werte für Produktionssysteme. - NonProdSeverity: Der Schweregrad des Vorfalls für Nichtproduktionssysteme. - NonProdValues: Zulässige Werte für Nichtproduktionssysteme. |
| SAP – Ausgeschlossene Benutzer | Systembenutzer, die angemeldet sind und ignoriert werden müssen, z. B. für die Warnung „Mehrere Anmeldungen durch Benutzer“. - Benutzer: SAP-Benutzer - Beschreibung: eine aussagekräftige Benutzerbeschreibung |
| SAP – Ausgeschlossene Netzwerke | Verwalten Sie interne, ausgeschlossene Netzwerke zum Ignorieren von Webdispatchern, Terminalservern usw. - Netzwerk: Netzwerk-IP-Adresse oder IP-Adressbereich, z. B. 111.68.128.0/17 - Beschreibung: eine aussagekräftige Netzwerkbeschreibung |
| SAP – Veraltete Funktionsmodule | Veraltete Funktionsmodule, deren Ausführung gesteuert werden soll. - FunctionModule: ABAP-Funktionsmodul, z. B. TH_SAPREL - Beschreibung: eine aussagekräftige Funktionsmodulbeschreibung |
| SAP – Veraltete Programme | Sensible ABAP-Programme (Berichte), in denen die Ausführung gesteuert werden soll. - ABAPProgram: ABAP-Programm, z. B. TH_ RSPFLDOC - Beschreibung: eine aussagekräftige ABAP-Programmbeschreibung |
| SAP – Transaktionen für ABAP-Generierungen | Transaktionen für ABAP-Generierungen, deren Ausführung gesteuert werden soll. - TransactionCode: Transaktionscode, z. B. SE11. - Beschreibung: eine aussagekräftige Transaktionscodebeschreibung |
| SAP – FTP-Server | FTP-Server zur Identifizierung nicht autorisierter Verbindungen. - Client: z. B. 100. - FTP_Server_Name: FTP-Servername, z. B. http://contoso.com/ -FTP_Server_Port: FTP-Serverport, z. B. 22. - Beschreibung: eine aussagekräftige FTP-Serverbeschreibung |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurieren Sie die SAP-Überwachungsprotokollwarnungen, indem Sie jede Nachrichten-ID nach Bedarf pro Systemrolle (Produktion, Nichtproduktion) einen Schweregrad zuweisen. Diese Überwachungsliste enthält alle verfügbaren Standardüberwachungsprotokoll-IDs von SAP. Die Watchlist kann erweitert werden, um zusätzliche Nachrichten-IDs zu enthalten, die Sie selbst erstellen können, indem Sie SUPPORTS-Erweiterungen auf ihren SAP NetWeaver-Systemen verwenden. Diese Watchlist ermöglicht außerdem das Konfigurieren eines bestimmten Teams, das alle Ereignistypen verarbeitet, sowie das Ausschließen von Benutzer*innen nach SAP-Rollen, SAP-Profilen oder Tags aus der Watchlist SAP_User_Config. Diese Watchlist ist eine der Kernkomponenten, die zum Konfigurieren der integrierten SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls verwendet werden. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - MessageID: Die SAP-MessageID oder der Ereignistyp wie z. B. AUD (Benutzermasterdatensatz-Änderungen) oder AUB (Autorisierungsänderungen) - DetailedDescription: Eine Markdown-aktivierte Beschreibung, die im Incidentbereich angezeigt werden soll - ProductionSeverity: Der gewünschte Schweregrad für den Vorfall, mit dem dieser für Produktionssysteme erstellt werden soll, High, Medium. Kann auf Disabled festgelegt werden - NonProdSeverity: Der gewünschte Schweregrad für den Vorfall, der für Nichtproduktionssysteme Higherstellt werden soll , Medium. Kann auf Disabled festgelegt werden - ProductionThreshold: Die Anzahl der Ereignisse „pro Stunde“, die als verdächtig für Produktionssysteme betrachtet werden sollen 60 - NonProdThreshold Die Anzahl der Ereignisse pro Stunde, die als verdächtig für Nichtproduktionssysteme 10betrachtet werden sollen. - RolesTagsToExclude: Dieses Feld akzeptiert SAP-Rollennamen, SAP-Profilnamen oder Tags aus der SAP_User_Config-Watchlist. Diese werden dann verwendet, um die zugeordneten Benutzer*innen von bestimmten Ereignistypen auszuschließen. Sehen Sie sich auch die Optionen für Rollentags am Ende dieser Liste an. - RuleType: Wird Deterministic verwendet, um den Ereignistyp an die SAP-Regel "Dynamic Deterministic Deterministic Audit Log Monitor " zu senden, oder AnomaliesOnly um dieses Ereignis von der SAP -Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW)-Regel abgedeckt zu lassen. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - TeamsChannelID: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. - DestinationEmail: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. Für das Feld RolesTagsToExclude: – Wenn Sie SAP-Rollen oder SAP-Profile auflisten, schließt dies alle Benutzer*innen mit den aufgelisteten Rollen oder Profilen von diesen Ereignistypen für das gleiche SAP-System aus. Wenn Sie z. B. die ABAP-Rolle BASIC_BO_USERS für RFC-bezogene Ereignistypen angeben, lösen Business Objects-Benutzer*innen keine Vorfälle aus, wenn sie umfangreiche RFC-Aufrufe ausführen.- Das Kategorisieren eines Ereignistyps ähnelt der Angabe von SAP-Rollen oder -Profilen, aber Tags können im Arbeitsbereich erstellt werden, sodass SOC-Teams Benutzer nach Aktivitäten ausschließen können, ohne je nach SAP BASIS-Team. Beispielsweise werden den Überwachungsmeldungs-IDs „AUB“ (Autorisierungsänderungen) und „AUD“ (Benutzermasterdatensatz-Änderungen) das Tag MassiveAuthChanges zugewiesen. Benutzer*innen, denen dieses Tag zugewiesen ist, werden von den Prüfungen für diese Aktivitäten ausgeschlossen. Beim Ausführen der Arbeitsbereichsfunktion SAPAuditLogConfigRecommend wird eine Liste der empfohlenen Tags erstellt, die Benutzer*innen zugewiesen werden sollen, z. B. Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Ermöglicht die Feinabstimmung von Warnungen, indem Benutzer in bestimmten Kontexten ausgeschlossen und auch zum Konfigurieren der integrierten SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls verwendet werden. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - SAPUser: Der oder die SAP-Benutzer*in - Tags: Tags werden verwendet, um Benutzer*innen im Zusammenhang mit bestimmten Aktivitäten zu identifizieren. Das Hinzufügen der Tags ["GenericTablebyRFCOK"] zum Benutzer SENTINEL_SRV verhindert beispielsweise, dass RFC-bezogene Vorfälle für diesen bestimmten Benutzer erstellt werden. Andere Active Directory-Benutzer-IDs - AD-Benutzer-ID - Lokale SID des Benutzers - Benutzerprinzipalname |
Verfügbare Playbooks
Playbooks, die von der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden, helfen Ihnen bei der Automatisierung von SAP-Vorfallreaktionsworkloads, die Effizienz und Effektivität von Sicherheitsvorgängen zu verbessern.
In diesem Abschnitt werden integrierte Analyse-Playbooks beschrieben, die zusammen mit der Microsoft Sentinel-Lösung für SAP-Anwendungen bereitgestellt werden.
| Playbook-Name | Parameter | Verbindungen |
|---|---|---|
| SAP Incident Response: Sperren von Benutzern aus Teams – Basic | - SAP-SOAP-User-Password - SAP-SOAP-Username – SOAPApiBasePath - DefaultEmail - TeamsChannel |
– Microsoft Sentinel – Microsoft Teams |
| SAP Incident Response: Sperren von Benutzern in Teams – Erweitert | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
– Microsoft Sentinel - Azure Monitor-Protokolle - Office 365 Outlook – Microsoft Entra ID – Azure Key Vault – Microsoft Teams |
| SAP Incident Response: Erneutes Aktivieren der Überwachungsprotokollierung nach Deaktivierung | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
– Microsoft Sentinel – Azure Key Vault - Azure Monitor-Protokolle – Microsoft Teams |
In den folgenden Abschnitten werden Beispiele für jeden der bereitgestellten Playbooks verwendet, in einem Szenario, in dem ein Vorfall Sie vor verdächtiger Aktivität in einem der SAP-Systeme warnte, in dem ein Benutzer versucht, eine dieser streng vertraulichen Transaktionen auszuführen.
Während der Vorfall-Triage-Phase entscheiden Sie sich, gegen diesen Benutzer Maßnahmen zu ergreifen, es aus Ihren SAP ERP- oder BTP-Systemen oder sogar aus Microsoft Entra ID zu starten.
Weitere Informationen finden Sie unter Automatisieren der Bedrohungsreaktion mit Playbooks in Microsoft Sentinel
Der Prozess für die Bereitstellung von Standardlogik-Apps ist im Allgemeinen komplexer als für Verbrauchslogik-Apps. Wir haben eine Reihe von Verknüpfungen erstellt, mit denen Sie diese schnell aus dem GitHub-Repository von Microsoft Sentinel bereitstellen können. Weitere Informationen finden Sie in der Schrittweisen Installationsanleitung.
Tipp
Sehen Sie sich den SAP-Playbooks-Ordner im GitHub-Repository an, um weitere Playbooks zu erhalten, sobald sie verfügbar sind. Es gibt auch ein kurzes Einführungsvideo (externer Link), das Ihnen den Einstieg erleichtert.
Sperren eines Benutzers für ein einzelnes System
Erstellen Sie eine Automatisierungsregel, um den Sperrbenutzer aus Teams aufzurufen – einfaches Playbook, wenn eine vertrauliche Transaktionsausführung durch einen nicht autorisierten Benutzer erkannt wird. Dieses Playbook verwendet das Teams-Feature „Adaptive Karte“, um die Genehmigung anzufordern, bevor der Benutzer einseitig blockiert wird.
Weitere Informationen finden Sie unter "Von 0 bis zur Hero-Sicherheitsabdeckung" mit Microsoft Sentinel für Ihre kritischen SAP-Sicherheitssignale – Sie werden mich SOAR hören! Teil 1 (SAP-Blogbeitrag).
Der Sperrbenutzer von Teams – Einfaches Playbook ist ein Standard-Playbook, und Standard-Playbooks sind in der Regel komplexer bereitzustellen als Verbrauchs-Playbooks.
Wir haben eine Reihe von Verknüpfungen erstellt, mit denen Sie diese schnell aus dem GitHub-Repository von Microsoft Sentinel bereitstellen können. Weitere Informationen finden Sie in der Schrittweisen Installationsanleitung und unterstützten Logik-App-Typen.
Sperren eines Benutzers für mehrere Systemen
Das Playbook Sperren von Benutzern aus Teams – Erweitert erreicht das gleiche Ziel, ist aber für komplexere Szenarien konzipiert, in denen ein einzelnes Playbook für mehrere SAP-Systeme mit jeweils eigener SAP-SID verwendet werden kann.
Der Benutzer von Teams – Advanced Playbook verwaltet nahtlos die Verbindungen zu all diesen Systemen und deren Anmeldeinformationen unter Verwendung der Optionalen dynamischen Parameter InterfaceAttributes in der SAP - Systems Watchlist und Azure Key Vault.
Der Sperrbenutzer von Teams – Erweitertes Playbook ermöglicht ihnen auch die Kommunikation mit den Parteien im Genehmigungsprozess mithilfe von Nachrichten mit Aktionen in Outlook zusammen mit Teams, wobei die Parameter "TeamsChannelID " und "DestinationEmail " in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist verwendet werden.
Weitere Informationen finden Sie unter "Von null" bis "Hero Security Coverage" mit Microsoft Sentinel für Ihre kritischen SAP-Sicherheitssignale – Teil 2 (SAP-Blogbeitrag).
Verhindern der Deaktivierung der Überwachungsprotokollierung
Möglicherweise sind Sie auch besorgt über das SAP-Überwachungsprotokoll, das eine Ihrer Sicherheitsdatenquellen ist, die deaktiviert werden. Es wird empfohlen, eine Automatisierungsregel basierend auf der SAP -Deaktivierung der Analyseregel für Sicherheitsüberwachungsprotokolle zu erstellen, um die reaktivierbare Überwachungsprotokollierung nach dem Deaktivieren des Playbook aufzurufen, um sicherzustellen, dass das SAP-Überwachungsprotokoll nicht deaktiviert ist.
Das SAP - Deaktivierung des Sicherheitsüberwachungsprotokoll-Playbook verwendet auch Teams und informiert das Sicherheitspersonal nach der Tatsache. Der Schweregrad der Straftat und die Dringlichkeit ihrer Entschärfung deuten darauf hin, dass sofortige Maßnahmen ohne Genehmigung erfolgen können.
Da das Playbook SAP - Deaktivierung des Sicherheitsüberwachungsprotokolls auch Azure Key Vault zum Verwalten von Anmeldeinformationen verwendet, ähnelt die Konfiguration des Playbook dem des Sperrbenutzers von Teams – Erweitertes Playbook. Weitere Informationen finden Sie unter "Von null" bis "Hero Security Coverage" mit Microsoft Sentinel für Ihre kritischen SAP-Sicherheitssignale – Teil 3 (SAP-Blogbeitrag).
Zugehöriger Inhalt
Weitere Informationen finden Sie unter Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen.