Microsoft Sentinel-Playbooks zur Reaktion auf Incidents in SAP
In diesem Artikel wird beschrieben, wie Sie die Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionsfunktionen (Security Orchestration, Automation and Response, SOAR) von Microsoft Sentinel in Verbindung mit SAP nutzen. In diesem Artikel werden speziell erstellte Playbooks vorgestellt, die in der Microsoft Sentinel-Lösung für SAP®-Anwendungen enthalten sind. Sie können diese Playbooks verwenden, um automatisch auf verdächtige Benutzeraktivitäten in SAP-Systemen zu reagieren und Abhilfemaßnahmen in SAP RISE, SAP ERP, SAP Business Technology Platform (BTP) sowie in Microsoft Entra ID zu automatisieren.
Die Microsoft Sentinel-Lösung für SAP ermöglicht es Ihrer Organisation, ihre SAP-Umgebung zu schützen. Eine vollständige und detaillierte Übersicht über die Sentinel-Lösung für SAP finden Sie in den folgenden Artikeln:
- Übersicht über die Microsoft Sentinel-Lösung für SAP®-Anwendungen
- Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen
- Microsoft Sentinel-Lösung für SAP®-Anwendungen: Referenz zu sicherheitsbezogenen Inhalten
Durch das Hinzufügen dieser Playbooks zur Lösung können Sie nicht nur sicherheitsrelevante Ereignisse in Echtzeit überwachen und analysieren, sondern auch SAP-Workflows zur Reaktion auf Vorfälle automatisieren, um die Effizienz und Effektivität von Sicherheitsvorgängen zu verbessern.
Die Microsoft Sentinel-Lösung für SAP®-Anwendungen umfasst die folgenden Playbooks:
- SAP Incident Response: Sperren von Benutzern aus Teams – Basic
- SAP Incident Response: Sperren von Benutzern in Teams – Erweitert
- SAP Incident Response: Erneutes Aktivieren der Überwachungsprotokollierung nach Deaktivierung
Anwendungsfälle
Ihnen wurde die Aufgabe übertragen, die SAP-Umgebung Ihrer Organisation zu schützen. Sie haben die Microsoft Sentinel-Lösung für SAP®-Anwendungen implementiert. Sie haben die Analyseregel „SAP: Ausführung eines vertraulichen Transaktionscodes“ der Lösung aktiviert und möglicherweise ihre Watchlist „Vertrauliche Transaktionen“ so angepasst, dass sie bestimmte Transaktionscodes enthält, die Sie angezeigt bekommen möchten. Ein Incident warnt Sie vor verdächtigen Aktivitäten in Ihren SAP-Systemen. Ein Benutzer versucht, eine dieser hochsensiblen Transaktionen auszuführen. Sie müssen diesen Vorfall untersuchen und auf ihn reagieren.
Während der Triagephase entscheiden Sie sich, gegen diesen Benutzer vorzugehen und ihn aus Ihren SAP ERP- oder BTP-Systemen oder sogar aus Microsoft Entra ID zu entfernen.
Sperren eines Benutzers für ein einzelnes System
Als Beispiel für Orchestrierung und Automatisierung innnerhalb dieses Prozesses erstellen wir eine Automatisierungsregel , um das Playbook Sperren von Benutzern aus Teams – Basic aufzurufen, wenn die Ausführung einer vertraulichen Transaktionsau durch einen nicht autorisierten Benutzer erkannt wird. Dieses Playbook verwendet das Teams-Feature „Adaptive Karte“, um die Genehmigung anzufordern, bevor der Benutzer einseitig blockiert wird.
Weitere Informationen zum Konfigurieren dieses Playbooks finden Sie in diesem SAP-Blogbeitrag.
Sperren eines Benutzers für mehrere Systemen
Das Playbook Sperren von Benutzern aus Teams – Erweitert erreicht das gleiche Ziel, ist aber für komplexere Szenarien konzipiert, in denen ein einzelnes Playbook für mehrere SAP-Systeme mit jeweils eigener SAP-SID verwendet werden kann. Das Playbook verwaltet nahtlos die Verbindungen mit all diesen Systemen und deren Anmeldeinformationen mithilfe des optionalen dynamischen Parameters InterfaceAttributes in der Watchlist SAP-Systeme (enthalten in der Microsoft Sentinel-Lösung für SAP®-Anwendungen) und von Azure Key Vault. Mit dem Playbook können Sie auch mit den Parteien im Genehmigungsprozess kommunizieren, indem Sie erfordernde Nachrichten in Outlook in und synchronisiert mit Teams und zusätzlich die Parameter TeamsChanellID und DestinationEmail in der Watchlist SAP_Dynamic-Audit_Log_Monitor_Configuration verwenden.
Weitere Informationen zum Konfigurieren dieses Playbooks und insbesondere zur Verwendung dynamischer Parameter in Watchlists zum Verwalten von Verbindungen mit all Ihren SAP-Systemen finden Sie in diesem SAP-Blogbeitrag.
Verhindern der Deaktivierung der Überwachungsprotokollierung
Da Ihr Ziel darin besteht, sicherzustellen, dass die Sicherheitsabdeckung Ihrer SAP-Umgebung umfassend und unterbrechungsfrei bleibt, sehen Sie möglicherweise die Gefahr, dass das SAP-Überwachungsprotokoll – eine wichtige Quelle Ihrer Sicherheitsinformationen – deaktiviert wird. Sie möchten basierend auf der Analyseregel SAP: Deaktivierung des Sicherheitsüberwachungsprotokolls eine Automatisierungsregel erstellen, die das Playbook Erneutes Aktivieren der Überwachungsprotokollierung nach Deaktivierung aufruft, um sicherzustellen, dass dies nicht geschieht. Dieses Playbook verwendet ebenfalls Teams, allerdings nur, um das Sicherheitspersonal im Nachhinein zu informieren, da angesichts der Schwere des Verstoßes und der Dringlichkeit seiner Entschärfung sofortige Maßnahmen ergriffen werden müssen, ohne dass eine Genehmigung erforderlich ist. Da dieses Playbook auch Azure Key Vault zum Verwalten von Anmeldeinformationen verwendet, ähnelt die Konfiguration des Playbooks der vorherigen. Weitere Informationen zu diesem Playbook und seiner Konfiguration finden Sie in diesem SAP-Blogbeitrag.
„Standard“- im Vergleich zu „Verbrauch“-Playbooks
jMit Microsoft Sentinel können Sie Instanzen dieser Playbooks direkt aus Vorlagen erstellen, wenn Sie Playbooks verwenden, die auf dem Verbrauchsplan von Azure Logic Apps basieren. Wenn Sie bestimmte Anforderungen an die Unterstützung bei der VNet-Injektion haben, müssen Sie entweder Azure API Management in Verbindung mit Ihrer Verbrauchs-Logik-App verwenden, wie hier beschrieben, oder Logik-Apps mit Standard-Plan verwenden.
Lesen Sie hierzu auch die vollständige Erklärung der verschiedenen Arten von Playbooks. Außerdem finden Sie in diesem SAP-Blogbeitrag in der Tabelle unter der Überschrift „Erstellen einer Sichtverbindung zu Ihrem SAP-System für die SOAP-Anforderung" die Auswirkungen, die die Auswahl bestimmter Logik-App-Typen haben.
Der Prozess für die Bereitstellung von Standard-Logik-Apps ist im Allgemeinen komplexer als für Verbrauchs-Logik-Apps. Wir haben aber eine Reihe von Abkürzungen zur Verfügung gestellt, mit deren Hilfe Sie sie schnell über das Microsoft Sentinel GitHub-Repository bereitstellen können. Führen Sie das dort beschriebene Verfahren aus, um die Playbooks bereitzustellen.
Derzeit verfügbare Standard-Playbooks auf GitHub:
Behalten Sie den Ordner „SAP-Playbooks“ im GitHub-Repository im Auge, um weitere Playbooks zu erhalten, sobald sie verfügbar werden. Es gibt auch ein kurzes Einführungsvideo (externer Link), das Ihnen den Einstieg erleichtert.
Nächste Schritte
In diesem Artikel haben Sie mehr über die in der Microsoft Sentinel-Lösung verfügbaren Playbooks für SAP®-Anwendungen erfahren.
- Erfahren Sie mehr über die Microsoft Sentinel-Lösung für SAP®-Anwendungen.
- Erfahren Sie, wie Sie die Microsoft Sentinel-Lösung für SAP®-Anwendungen bereitstellen.
- Erfahren Sie mehr über die sicherheitsbezogenen Inhalte, die in der Microsoft Sentinel-Lösung für SAP®-Anwendungen verfügbar sind.
- Erfahren Sie mehr über Automatisierungsregeln und Playbooks.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für