Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird die Arbeitsmappe SAP – Sicherheitsüberwachungsprotokoll und Initial Access beschrieben, die für die Überwachung und Nachverfolgung von Benutzerüberwachungsaktivitäten in Ihren SAP-Systemen verwendet wird. Verwenden Sie die Arbeitsmappe, um eine Vogelperspektive der Benutzerüberwachungsaktivitäten zu erhalten, Ihre SAP-Systeme besser zu schützen und einen schnellen Einblick in verdächtige Aktionen zu erhalten. Führen Sie bei Bedarf einen Drilldown zu verdächtigen Ereignissen durch.
Verwenden Sie die Arbeitsmappe entweder für die fortlaufende Überwachung Ihrer SAP-Systeme oder um die Systeme nach einem Sicherheitsvorfall oder einer anderen verdächtigen Aktivität zu überprüfen.
Zum Beispiel:
Inhalte in diesem Artikel sind für Ihr Sicherheitsteam vorgesehen.
Voraussetzungen
Bevor Sie mit der Verwendung des SAP - Sicherheitsüberwachungsprotokolls und der Arbeitsmappe für den anfänglichen Zugriff beginnen können, müssen Sie folgendes haben:
Eine Microsoft Sentinel-Lösung für SAP muss installiert und ein Datenconnector muss konfiguriert sein. Weitere Informationen finden Sie unter Bereitstellen einer Microsoft Sentinel-Lösung für SAP-Anwendungen.
Das SAP - Sicherheitsüberwachungsprotokoll und die Arbeitsmappe "Initial Access ", die in Ihrem Log Analytics-Arbeitsbereich installiert ist, der für Microsoft Sentinel aktiviert ist. Weitere Informationen finden Sie unter Visualisieren und Überwachen Ihrer Daten mithilfe von Arbeitsmappen in Microsoft Sentinel.
Wichtig
Das SAP - Sicherheitsüberwachungsprotokoll und die Arbeitsmappe "Initial Access " werden vom Arbeitsbereich gehostet, in dem die Microsoft Sentinel-Lösung für SAP-Anwendungen installiert wurde. Standardmäßig wird davon ausgegangen, dass sich sowohl die SAP- als auch die SOC-Daten in dem Arbeitsbereich befinden, in dem sich die Arbeitsmappe befindet.
Wenn sich die SOC-Daten in einem anderen Arbeitsbereich befinden als der Arbeitsbereich, in dem die Arbeitsmappe gehostet wird, stellen Sie sicher, dass Sie das Abonnement für diesen Arbeitsbereich einschließen und den SOC-Arbeitsbereich aus dem Azure-Überwachungs- und Aktivitätsarbeitsbereich auswählen.
Mindestens ein Vorfall in Ihrem Microsoft Sentinel-Arbeitsbereich mit mindestens einem Eintrag in der
SecurityIncidentTabelle. Dies muss kein SAP-Vorfall sein, und Sie können mithilfe einer grundlegenden Analyseregel einen Demovorfall generieren, wenn Sie nicht über einen anderen verfügen.Wenn sich Ihre Microsoft Entra-Daten in einem anderen Log Analytics-Arbeitsbereich befinden, stellen Sie sicher, dass Sie die relevanten Abonnements und Arbeitsbereiche oben in der Arbeitsmappe unter Azure-Überwachung und -Aktivitäten auswählen.
Es wird empfohlen, die Überwachung für alle Nachrichten aus dem Überwachungsprotokoll statt nur für bestimmte Protokolle zu konfigurieren. Die Kostenunterschiede bei der Erfassung sind im Allgemeinen minimal, die Daten sind aber nützlich für Microsoft Sentinel-Erkennungen und der Untersuchung und dem Hunting nach einer Kompromittierung. Weitere Informationen finden Sie unter Konfigurieren der SAP-Überwachung.
Unterstützte Filter
Das SAP - Sicherheitsüberwachungsprotokoll und die Arbeitsmappe "Initial Access " unterstützen die folgenden Filter, die Ihnen helfen, sich auf die benötigten Daten zu konzentrieren:
- Zeitbereich. Von vier Stunden bis zu 90 Tagen.
- Systemrollen. Beispiel für SAP-Systemrollen: Entwicklung.
- Systemverwendung. Beispiel: SAP GTS.
- SAP-Systeme. Sie können alle Systeme, ein bestimmtes System oder mehrere Systeme auswählen.
Wenn Sie Systeme auswählen, die in der SAP-Systemüberwachungsliste nicht konfiguriert sind, wird in der Arbeitsmappe ein Fehler angezeigt, wobei die Systeme mit Problemen angegeben werden. Konfigurieren Sie in diesem Fall die Watchlist so, dass diese Systeme korrekt eingeschlossen werden.
Anmeldeanalyseberichtsdaten
Auf der Registerkarte " Anmeldeanalysebericht " im SAP - Sicherheitsüberwachungsprotokoll und in der Arbeitsmappe "Initial Access " werden Daten zu Anmeldefehlern angezeigt, z. B. anomaliende Daten, Microsoft Entra-Daten und vieles mehr.
Die Daten basieren auf der Watchlist der SAP-Systeme.
Die Registerkarte "Anmeldeanalysebericht " enthält die folgenden Bereiche:
Anmeldeanalyse
Der Anmeldeanalysebereich zeigt die Benutzeranmeldungen an. Zum Beispiel:
In der folgenden Tabelle werden die einzelnen Metriken im Anmeldeanalysebereich beschrieben:
| Bereich | Beschreibung |
|---|---|
| Eindeutige Benutzeranmeldungen pro System | Zeigt die Anzahl eindeutiger Anmeldungen für jedes SAP-System und ein Diagramm mit den Anmeldetrends über die ausgewählte Zeit für jedes System an. Beispiel: Das System „012“ hat in den letzten 14 Tagen 1,4 K an eindeutigen Anmeldeversuchen, und für diese 14 Tage zeigt das Diagramm einen relativ steigenden Anmeldetrend. |
| Trend der Anmeldetypen | Zeigt einen Trend der Anzahl von Anmeldungen je nach Typ an, z. B. Anmeldung über das Dialogfeld. Zeigen Sie mit der Maus auf das Diagramm, um die Anzahl der Anmeldungen für unterschiedliche Datumsangaben anzuzeigen. |
| Anmeldefehler vs. Erfolg durch eindeutige Benutzer - Trend | Zeigt den Trend erfolgreicher und fehlgeschlagener Anmeldungen im ausgewählten Zeitraum an. Zeigen Sie mit der Maus auf das Diagramm, um die Anzahl der erfolgreichen und fehlgeschlagenen Anmeldungen für verschiedene Datumsangaben anzuzeigen. |
Anmeldefehler – Anomalieerkennung
Die Bereiche unter Anomalieerkennung – Das Filtern von lauten fehlgeschlagenen Anmeldeversuchen zeigt Anmeldefehlerdaten für SAP-Systeme und -Benutzer an. Wenn Sie nur Daten anzeigen möchten, die von " Anomalous" gekennzeichnet sind, wählen Sie "Anomalous" nur neben " Fehlgeschlagene Anmeldungen " auf der rechten Seite aus.
Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls.
Zum Beispiel:
In der folgenden Tabelle werden die einzelnen Metriken im Anomalieerkennungsbereich beschrieben:
| Bereich | Beschreibung |
|---|---|
| Anmeldefehlerrate>Anomalien bei Anmeldefehlern>Einmalige Benutzeranmeldungen pro SAP-System fehlgeschlagen | Zeigt die Anzahl der eindeutigen fehlerhaften Anmeldungen für jedes SAP-System an. |
| SAP und Active Directory sind besser zusammen | Die Tabelle "Anomalien bei Anmeldefehlern " zeigt eine Kombination aus Microsoft Sentinel- und Microsoft Entra-Daten, die Benutzer nach Risiko auflisten, wobei die riskanten Benutzer am anfang stehen. Für jeden Benutzer zeigt die Tabelle Folgendes: – Eine Zeitachse mit fehlgeschlagenen Anmeldeversuchen - Eine Zeitachse, die zeigt, an welchem Punkt ein anomales fehlgeschlagener Versuch aufgetreten ist - Der Typ der Anomalie - Die E-Mail-Adresse des Benutzers – Der Microsoft Entra-Risikoindikator – Die Anzahl der Vorfälle und Warnungen in Microsoft Sentinel Wählen Sie die Zeile eines Benutzers aus, um eine Liste verwandter Warnungen und Vorfälle anzuzeigen. Microsoft Entra-Risikoereignisse werden unter Azure-Überwachungs- und Anmelderisiken für Benutzer aufgeführt. |
| Anmeldefehlerrate pro System | Zeigt die ausgewählten SAP-Systeme, gruppiert nach Typ, mit der Anzahl der Fehler im ausgewählten Zeitraum an. Die Farbe des Systems gibt die Anzahl der fehlgeschlagenen Versuche an: Grün für einige verdächtige Anmeldeversuche und rot für mehr. Wählen Sie ein System aus, um eine Liste der fehlgeschlagenen Anmeldungen mit Details zu den Fehlern anzuzeigen. |
Beachten Sie im folgenden Screenshot die Daten, die angezeigt werden, wenn die erste Zeile in der Tabelle "Anomale Anmeldefehler " ausgewählt ist. Die spezifischen Warnungen und Vorfall-URLs werden in der Übersicht über Vorfälle/Warnungen für die Benutzertabelle angezeigt.
Im folgenden Screenshot zeigt die Azure-Überwachungs- und Anmelderisiken für die Benutzertabelle Daten für das Anmelderisiko im Zusammenhang mit diesem Benutzer.
Beachten Sie im folgenden Screenshot die Anmeldefehlerrate pro Systembereich , wobei das 84e-Systemunter der Testgruppe ausgewählt ist. Die fehlgeschlagenen Anmeldungen für den Systembereich auf der rechten Seite zeigen Fehlerereignisse für dieses System an.
Anmeldefehler – Trends
Im Bereich " Anmeldefehlertrends " werden die Trends und die Anzahl der fehlgeschlagenen Anmeldungen angezeigt, gruppiert nach verschiedenen Datentypen. Zum Beispiel:
In der folgenden Tabelle werden die einzelnen Metriken im Bereich " Anmeldefehlertrends" beschrieben:
| Bereich | Beschreibung |
|---|---|
| Anmeldefehler nach Ursache | Zeigt den Trend der Anzahl der Anmeldefehler entsprechend der Fehlerursache an, z. B. falsche Anmeldedaten. |
| Anmeldefehler nach Typ | Zeigt den Trend der Anzahl von Anmeldefehlern nach Typ an, z. B. die Anmeldung, die einen Hintergrundauftrag ausgelöst hat, oder die Anmeldung war über HTTP. |
| Anmeldefehler nach Methode | Zeigt den Trend der Anzahl von Anmeldefehlern entsprechend der Methode an, z. B. SNC oder ein Anmeldeticket. |
Registerkarte „Überwachungsprotokollwarnungen“
Auf der Registerkarte " Warnungen im Überwachungsprotokoll " werden Daten zu den SAP-Überwachungsprotokollereignissen angezeigt, die die Microsoft Sentinel-Lösung für SAP-Anwendungen überwacht. Die Daten basieren auf der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist.
Auf der Registerkarte " Warnungen im Überwachungsprotokoll " werden der Schweregrad und die Überwachungstrends für jedes SAP-System und jeden Benutzer angezeigt. In allen Bereichen auf dieser Registerkarte werden nur Daten angezeigt, die durch Anomalieerkennung gekennzeichnet sind. Wählen Sie für alle Ereignisse auf der rechten Seite "Alle " neben " Fehlgeschlagene Anmeldungen " aus.
Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls.
Zum Beispiel:
In der folgenden Tabelle werden die einzelnen Metriken auf der Registerkarte " Warnungen im Überwachungsprotokoll " beschrieben:
| Bereich | Beschreibung |
|---|---|
| Warnungsschweregradtrends pro System-ID | Zeigt eine Liste der Systeme mit einem Diagramm der Ereignisse im mittleren und hohen Schweregrad pro System an. Beispielsweise hatte das 012-Systemviele Ereignisse mit hohem Schweregrad im gesamten Zeitraum und ein paar Ereignisse mit mittlerem Schweregrad mit einer Spitze, die mehr Mittlere Schweregradereignisse in der Mitte des Zeitraums anzeigt. |
| Überwachungstrend pro Benutzer | Zeigt eine Kombination aus Microsoft Sentinel- und Microsoft Entra-Daten, die Benutzer nach Risiko auflisten, mit den riskantsten Benutzern oben. Für jeden Benutzer zeigt die Arbeitsmappe die folgenden Daten an: – Eine Zeitachse mit Ereignissen mit hohem und mittlerem Schweregrad - Die E-Mail-Adresse des Benutzers – Der Microsoft Entra-Risikoindikator – Die Anzahl der Vorfälle und Warnungen in Microsoft Sentinel Wählen Sie eine Zeile aus, um eine Liste der Warnungen und Vorfälle für diesen Benutzer unter "Vorfälle/Warnungen" für den Benutzer anzuzeigen. Anzeigen von Microsoft Entra-Risikoereignissen unter Azure-Überwachungs- und Anmelderisiken für Benutzer. |
| Risikobewertung pro System | Stellt jedes System in einem Zell-Shape visuell dar und zeigt die Risikobewertung für jedes System und die Gruppierung von Systemen nach Typ an. Die Farbe des Systems gibt die Risikobewertung des Systems an: Grün für eine niedrigere Risikobewertung und Rot für eine höhere Risikobewertung. Wählen Sie ein System aus, um eine Liste der SAP-Ereignisse pro System anzuzeigen. |
| Ereignisse von MITRE ATT&CK Taktiken | Zeigt eine Liste der SAP-Ereignisse, die nach MITRE ATT&CK-Taktiken gruppiert sind, z. B. Initial Access oder Defense Evasion. Zeigen Sie mit der Maus auf das Diagramm, um die Anzahl der Anmeldungen für unterschiedliche Datumsangaben anzuzeigen. |
| Ereignisse nach Kategorie | Zeigt eine Liste der SAP-Ereignistrends nach Kategorie gruppiert, z. B. RFC Start oder Anmeldung. Zeigen Sie mit der Maus auf das Diagramm, um die Anmeldenummer für unterschiedliche Datumsangaben anzuzeigen. |
| Ereignisse nach Autorisierungsgruppe | Zeigt eine Liste der SAP-Ereignistrends an, die nach der SAP-Autorisierungsgruppe gruppiert sind, z. B. USER oder SUPER. Zeigen Sie mit der Maus auf das Diagramm, um die Anzahl der Anmeldungen für unterschiedliche Datumsangaben anzuzeigen. |
| Ereignisse nach Benutzertyp | Zeigt eine Liste der SAP-Ereignistrends an, die nach dem SAP-Benutzertyp gruppiert sind, z. B. Dialog oder System. Zeigen Sie mit der Maus auf das Diagramm, um die Anzahl der Anmeldungen für unterschiedliche Datumsangaben anzuzeigen. |
Beachten Sie im folgenden Screenshot die Daten, die angezeigt werden, wenn die erste Zeile in den Überwachungstrends pro Benutzertabelle ausgewählt ist. Die spezifischen Warnungen und Vorfall-URLs werden in der Übersicht über Vorfälle/Warnungen für die Benutzertabelle angezeigt.
Beachten Sie im folgenden Screenshot die Risikobewertung pro Systembereich , in dem das cb7-System unter der UAT-Gruppe ausgewählt ist. Die SAP-Ereignisse für den Systembereich unterhalb der Systemvisualisierung zeigen das SAP-Ereignis für dieses System an.
Beachten Sie im folgenden Screenshot Bereiche mit Ereignissen und Ereignistrends, die nach verschiedenen Datentypen gruppiert sind: MITRE ATT&CK-Taktiken, SAP-Autorisierungsgruppe und Benutzertyp.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen aus dem Content Hub und der Microsoft Sentinel-Lösung für SAP-Anwendungen: Referenz zu Sicherheitsinhalten.