Microsoft Sentinel-Lösung für SAP BTP: Sicherheitsinhaltsreferenz
In diesem Artikel werden die Sicherheitsinhalte beschrieben, die für die Microsoft Sentinel-Lösung für SAP BTP verfügbar sind.
Verfügbare sicherheitsbezogene Inhalte umfassen derzeit eine integrierte Arbeitsmappe sowie integrierte Analyseregeln. Sie können auch SAP-bezogene Watchlists hinzufügen, um sie in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Playbooks für die Reaktion auf Bedrohungen zu verwenden.
Erfahren Sie mehr über die Lösung.
SAP BTP-Arbeitsmappe
Die „BTP-Aktivität“-Arbeitsmappe bietet eine Dashboardübersicht der BTP-Aktivitäten.
Die Registerkarte Übersicht zeigt Folgendes:
- Eine Übersicht über BTP-Unterkonten, die Analysten dabei hilft, die aktivsten Konten sowie den Typ der erfassten Daten zu identifizieren.
- Subaccount-Anmeldeaktivitäten, die Analysten helfen, Spitzen und Trends zu identifizieren, die mit Anmeldefehlern in SAP Business Application Studio (BAS) verknüpft sein können.
- Zeitachse der BTP-Aktivität und Anzahl von BTP-Sicherheitswarnungen, die Analysten bei der Suche nach einer Korrelation zwischen den beiden Werten helfen.
Auf der Registerkarte Identitätsverwaltung wird ein Raster der Identitätsverwaltungsereignisse wie Änderungen der Benutzer- und Sicherheitsrolle in einem lesbaren Format angezeigt. Über die Suchleiste lassen sich bestimmte Änderungen schnell finden.
Weitere Informationen finden Sie im Lernprogramm: Visualisieren und Überwachen Ihrer Daten und Bereitstellen der Microsoft Sentinel-Lösung für SAP BTP.
Integrierte Analyseregeln
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP: Fehlgeschlagene Zugriffsversuche für mehrere BAS-Unterkonten | Identifiziert fehlgeschlagene BAS-Zugriffsversuche (Business Application Studio) über eine vordefinierte Anzahl von Unterkonten. Standardschwellenwert: 3 |
Fehler beim Ausführen von Anmeldeversuchen bei BAS über der definierten Schwellenwertanzahl von Unterkonten. Datenquellen: SAPBTPAuditLog_CL |
Discovery, Reconnaissance |
| BTP: Schadsoftware im BAS-Entwicklungsbereich erkannt | Identifiziert Instanzen von Schadsoftware, die vom internen SAP-Schadsoftware-Agent in BAS-Entwicklerbereichen erkannt wurden. | Kopieren oder erstellen Sie eine Schadsoftwaredatei in einem BAS-Entwicklerbereich. Datenquellen: SAPBTPAuditLog_CL |
Execution, Persistence, Resource Development |
| BTP: Benutzer zu Sammlung vertraulicher privilegierter Rollen hinzugefügt | Identifiziert Identitätsverwaltungsaktionen, bei denen ein Benutzer einer Gruppe überwachter Sammlungen privilegierter Rollen hinzugefügt wird. | Weisen Sie einem Benutzer eine der folgenden Rollensammlungen zu: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Datenquellen: SAPBTPAuditLog_CL |
Lateral Movement, Privilege Escalation |
| BTP: Vertrauensstellungs- und Autorisierungsidentitätsanbieter-Monitor | Identifiziert CRUD-Vorgänge (Erstellen, Lesen, Aktualisieren und Löschen; Create, Read, Update, Delete) für Identitätsanbietereinstellungen in einem Unterkonto. | Ändern, lesen, aktualisieren oder löschen der Einstellungen des Identitätsanbieters in einem Unterkonto. Datenquellen: SAPBTPAuditLog_CL |
Credential Access, Privilege Escalation |
| BTP – Massenlöschung von Benutzern in einem Unterkonto | Identifiziert Löschaktivitäten von Benutzerkonten, bei denen die Anzahl der gelöschten Benutzer einen vordefinierten Schwellenwert überschreitet. Standardschwellenwert: 10 |
Löschen Sie die Anzahl der Benutzerkonten, die den definierten Schwellenwert überschreiten. Datenquellen: SAPBTPAuditLog_CL |
Wirkung |
Nächste Schritte
In diesem Artikel haben Sie mehr über den Sicherheitsinhalt erfahren, der mit der Microsoft Sentinel-Lösung für SAP BTP bereitgestellt wird.