Freigeben über

Konfigurieren von Überwachungsregeln für SAP-Überwachungsprotokolle

  • Artikel

Das SAP-Überwachungsprotokoll zeichnet Überwachungs- und Sicherheitsereignisse auf SAP-Systemen auf, z. B. fehlgeschlagene Anmeldeversuche oder andere verdächtige Aktionen. In diesem Artikel wird beschrieben, wie Sie das SAP-Überwachungsprotokoll mithilfe integrierter Analyseregeln von Microsoft Sentinel überwachen.

Mit diesen Regeln können Sie alle Überwachungsprotokollereignisse überwachen oder nur dann Warnungen erhalten, wenn Anomalien erkannt werden. Auf diese Weise können Sie Ihre SAP-Protokolle besser verwalten und Störungen verringern, ohne den Sicherheitswert zu beeinträchtigen.

Sie verwenden zwei Analyseregeln, um Ihre SAP-Überwachungsprotokolldaten zu überwachen und zu analysieren:

  • SAP – Dynamische deterministische Überwachung des Überwachungsprotokolls (VORSCHAU): Diese Regel bietet Warnungen bei allen SAP-Überwachungsprotokollereignissen mit minimaler Konfiguration. Sie können die Regel so konfigurieren, dass die Falsch-Positiv-Rate noch niedriger ist. So konfigurieren Sie die Regel.
  • SAP – Dynamische anomaliebasierte Überwachungswarnungen für das Überwachungsprotokoll (VORSCHAU): Diese Regel bietet Warnungen bei SAP-Überwachungsprotokollereignissen, wenn Anomalien unter Einsatz von Machine Learning-Funktionen und ohne Codierung erkannt werden. So konfigurieren Sie die Regel.

Die beiden Überwachungsregeln für SAP-Überwachungsprotokolle werden vorkonfiguriert bereitgestellt, können jedoch mithilfe der Watchlists „SAP_Dynamic_Audit_Log_Monitor_Configuration“ und „SAP_User_Config“ angepasst werden.

Anomalieerkennung

Wenn Sie versuchen, Sicherheitsereignisse in einem vielfältigen Aktivitätsprotokoll wie dem SAP-Überwachungsprotokoll zu identifizieren, müssen Sie den Konfigurationsaufwand und das Ausmaß der Störungen abwägen, die die Warnungen verursachen.

Mit dem SAP-Überwachungsprotokollmodul in der Sentinel-Lösung für SAP können Sie Folgendes auswählen:

  • Welche Ereignisse Sie deterministisch betrachten möchten, indem Sie angepasste, vordefinierte Schwellenwerte und Filter verwenden
  • Welche Ereignisse Sie auslassen möchten, so dass der Computer die Parameter selbst lernen kann

Nachdem Sie einen Ereignistyp in einem SAP-Überwachungsprotokoll für die Anomalieerkennung markiert haben, überprüft die Warnungs-Engine die Ereignisse, die kürzlich aus dem SAP-Überwachungsprotokoll gestreamt wurden. Die Engine überprüft, ob die Ereignisse in Anbetracht der erfassten Daten normal erscheinen.

Microsoft Sentinel überprüft ein Ereignis oder eine Gruppe von Ereignissen auf Anomalien. Der Dienst versucht, das Ereignis oder die Gruppe von Ereignissen mit zuvor beobachteten Aktivitäten der gleichen Art auf Benutzer- und Systemebene abzugleichen. Der Algorithmus lernt die Netzwerkeigenschaften des Benutzers in Bezug auf die Subnetzmaske und die Saisonalität.

Mit dieser Funktion können Sie nach Anomalien in zuvor unterdrückten Ereignistypen suchen, z. B. in Benutzeranmeldeereignissen. Wenn sich der Benutzer „JohnDoe“ beispielsweise hunderte Male in einer Stunde anmeldet, können Sie Microsoft Sentinel jetzt entscheiden lassen, ob dieses Verhalten verdächtig ist. Arbeitet John in der Buchhaltung und aktualisiert wiederholt ein Finanzdashboard mit mehreren Datenquellen, oder handelt es sich um den Beginn eines DDoS-Angriffs?

Einrichten der Regel „SAP – Dynamische anomaliebasierte Überwachungswarnungen für das Überwachungsprotokoll (VORSCHAU)“ zur Anomalieerkennung

Wenn Ihre SAP-Überwachungsprotokolldaten noch nicht in den Microsoft Sentinel-Arbeitsbereich gestreamt werden, erfahren Sie hier, wie Sie die Lösung bereitstellen.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü unter Inhaltsverwaltung die Option Content Hub (Vorschau) aus.
  2. Überprüfen Sie, ob für die Anwendung Continuous Threat Monitoring for SAP Updates verfügbar sind.
  3. Aktivieren Sie im Navigationsmenü unter Analysen diese drei Überwachungsprotokollwarnungen:
    • SAP – Dynamische deterministische Überwachung des Überwachungsprotokolls: Diese Regel wird alle zehn Minuten ausgeführt und verarbeitet SAP-Überwachungsprotokollereignisse, die als Deterministisch gekennzeichnet sind.
    • SAP – Dynamische anomaliebasierte Überwachungswarnungen für das Überwachungsprotokoll (VORSCHAU): Diese Regel wird stündlich ausgeführt und verarbeitet SAP-Ereignisse, die als AnomaliesOnly gekennzeichnet sind.
    • SAP – Fehlende Konfiguration im dynamischen Sicherheitsüberwachungsprotokoll-Monitor: Diese Regel wird täglich ausgeführt, um Konfigurationsempfehlungen für das Modul für die SAP-Protokollüberwachung bereitzustellen.

Microsoft Sentinel überprüft jetzt das gesamte SAP-Überwachungsprotokoll in regelmäßigen Abständen auf deterministische Sicherheitsereignisse und Anomalien. Sie können die von diesem Protokoll generierten Incidents auf der Seite Incidents anzeigen.

Wie bei jeder Machine Learning-Lösung wird die Leistung mit der Zeit besser. Die Anomalieerkennung funktioniert am besten mit einem SAP-Überwachungsprotokollverlauf mit einer Länge von sieben Tagen oder mehr.

Konfigurieren von Ereignistypen mit der Watchlist „SAP_Dynamic_Audit_Log_Monitor_Configuration“

Sie können Ereignistypen weiter konfigurieren, die zu viele Incidents mit der Watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration erzeugen. Im Folgenden finden Sie einige Optionen zum Verringern von Incidents.

Option BESCHREIBUNG
Festlegen von Schweregraden und Deaktivieren unerwünschter Ereignisse Standardmäßig erstellen sowohl die deterministischen Regeln als auch die anomaliebasierten Regeln Warnungen für Ereignisse, die mit einem mittleren und hohen Schweregrad gekennzeichnet sind. Sie können diese Schweregrade speziell für Produktions- und Nichtproduktionsumgebungen festlegen. Sie können beispielsweise für ein Debugaktivitätsereignis in Produktionssystemen einen hohen Schweregrad festlegen und diese Ereignisse in Nichtproduktionssystemen deaktivieren.
Ausschließen von Benutzern durch ihre SAP-Rollen oder SAP-Profile Microsoft Sentinel für SAP erfasst das Autorisierungsprofil des SAP-Benutzers ein, einschließlich der direkten und indirekten Rollenzuweisungen sowie der Gruppen und Profile, damit Sie SAP-Daten in Ihrer SIEM-Lösung verarbeiten können.

Sie können ein SAP-Ereignis konfigurieren, um Benutzer anhand ihrer SAP-Rollen und -Profile auszuschließen. Fügen Sie in der Watchlist die Rollen oder Profile, die Ihre RFC-Schnittstellenbenutzer gruppieren, in der Spalte RolesTagsToExclude neben dem Ereignis Generic table access by RFC (Generische Tabellenzugriff durch RFC) hinzu. Ab sofort werden nur Warnungen zu Benutzern angezeigt, die diese Rollen nicht innehaben.
Ausschließen von Benutzern durch ihre SOC-Tags Mit Tags können Sie Ihre eigene Gruppierung erstellen, ohne auf komplizierte SAP-Definitionen angewiesen zu sein oder überhaupt eine SAP-Autorisierung zu benötigen. Diese Methode ist nützlich für SOC-Teams, die ihre eigene Gruppierung für SAP-Benutzer erstellen möchten.

Im Prinzip funktioniert das Ausschließen von Benutzern durch Tags wie die Namenstags: Sie können in der Konfiguration mehrere Ereignisse mit mehreren Tags festlegen. Sie erhalten keine Warnungen zu einem Benutzer mit einem Tag, das mit einem bestimmten Ereignis zusammenhängt. Sie möchten beispielsweise nicht, dass bestimmte Dienstkonten bei Generic table access by RFC-Ereignissen benachrichtigt werden, können aber keine SAP-Rolle oder kein SAP-Profil finden, das diese Benutzer gruppiert. In diesem Fall können Sie das Tag GenTableRFCReadOK neben dem relevanten Ereignis in der Watchlist hinzufügen und dann zur Watchlist SAP_User_Config wechseln und den Schnittstellenbenutzern das gleiche Tag zuweisen.
Angeben eines Häufigkeitsschwellenwerts pro Ereignistyp und Systemrolle Dies funktioniert wie ein Geschwindigkeitslimit. Sie können beispielsweise entscheiden, dass die störenden Ereignisse zu Änderungen des Benutzermasterdatensatzes nur dann Warnungen auslösen, wenn in einer Stunde mehr als 12 Aktivitäten von demselben Benutzer in einem Produktionssystem festgestellt werden. Wenn ein Benutzer den Grenzwert von 12 pro Stunde überschreitet (z. B. wenn zwei Ereignisse innerhalb von zehn Minuten auftreten), wird ein Incident ausgelöst.
Determinismus oder Anomalien Wenn Sie die Merkmale des Ereignisses kennen, können Sie die deterministischen Funktionen verwenden. Wenn Sie nicht sicher sind, wie Sie das Ereignis richtig konfigurieren sollen, können die Machine Learning-Funktionen dies entscheiden.
SOAR-Funktionen Sie können Microsoft Sentinel verwenden, um Incidents zu orchestrieren, zu automatisieren und auf Incidents zu reagieren, die auf die dynamischen Warnungen des SAP-Überwachungsprotokolls angewendet werden können. Hier erfahren Sie mehr über die Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR).

Nächste Schritte

In diesem Artikel haben Sie gelernt, wie Sie das SAP-Überwachungsprotokoll mithilfe der in Microsoft Sentinel integrierten Analyseregeln überwachen können.