Microsoft Sentinel Solution para SAP® BTP: referencia de contenido de seguridad
En este artículo se detalla el contenido de seguridad disponible para la solución Microsoft Sentinel para SAP® BTP.
Importante
La solución Microsoft Sentinel para SAP® BTP está actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
Por el momento, el contenido de seguridad disponible incluye un libro de trabajo integrado y reglas de análisis. También puede agregar listas de seguimiento relacionadas con SAP para usarlas en búsquedas, reglas de detección, búsqueda de amenazas y cuadernos de estrategias de respuesta.
Más información sobre la solución.
Libro de SAP BTP
El libro de actividad BTP proporciona información general sobre el panel de la actividad BTP.
La pestaña Información general muestra:
- Información general de las subcuentas de BTP, que ayuda a los analistas a identificar las cuentas más activas y el tipo de datos ingeridos.
- Actividad de inicio de sesión de subcuentas, que ayuda a los analistas a identificar picos y tendencias que pueden estar asociados a errores de inicio de sesión en SAP Business Application Studio (BAS).
- Escala de tiempo de la actividad BTP y el número de alertas de seguridad de BTP, lo que ayuda a los analistas a buscar cualquier correlación entre los dos.
La pestaña Administración de identidades muestra una cuadrícula de eventos de administración de identidades, como cambios de usuario y de rol de seguridad, en un formato legible. La barra de búsqueda le permite encontrar rápidamente cambios específicos.
Para obtener más información, consulte Tutorial: Visualización y supervisión de los datos e Implementación de Microsoft Sentinel para SAP® BTP.
Reglas de análisis integradas
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP - Intentos de acceso erróneos en varias subcuentas BAS | Identifica los intentos de acceso de Business Application Studio (BAS) con errores en un número predefinido de subcuentas. Umbral predeterminado: 3 |
La ejecución de intentos de inicio de sesión con errores en BAS supera el número de subcuentas definido del umbral. Orígenes de datos: SAPBTPAuditLog_CL |
Detección, reconocimiento |
| BTP - Malware detectado en el espacio de desarrollo BAS | Identifica las instancias de malware detectadas por el agente de malware interno de SAP en los espacios para desarrolladores de BAS. | Copie o cree un archivo de malware en un espacio para desarrolladores de BAS. Orígenes de datos: SAPBTPAuditLog_CL |
Ejecución, persistencia, desarrollo de recursos |
| BTP - Usuario agregado a la colección de roles privilegiados sensibles | Identifica las acciones de administración de identidades en las que se agrega un usuario a un conjunto de colecciones de funciones. | Asigne una de las siguientes colecciones de roles a un usuario: "Administrador de servicios de subcuentas", "Administrador de subcuentas", "Administrador de conectividad y destinos", "Administrador de destinos", "Administrador de Cloud Connector". Orígenes de datos: SAPBTPAuditLog_CL |
Movimiento lateral, elevación de privilegios |
| BTP - Supervisión del proveedor de identidades de confianza y autorización | Identifica las operaciones de creación, lectura, actualización y eliminación (CRUD) en la configuración del proveedor de identidades dentro de una subcuenta. | Cambie, lea, actualice o elimine cualquiera de las opciones de configuración del proveedor de identidades dentro de una subcuenta. Orígenes de datos: SAPBTPAuditLog_CL |
Acceso a credenciales, elevación de privilegios |
| BTP: eliminación masiva de usuarios en una subcuenta | Identifica la actividad de eliminación de cuentas de usuario en las que el número de usuarios eliminados supera un umbral predefinido. Umbral predeterminado: 10 |
Elimine el recuento de cuentas de usuario por encima del umbral definido. Orígenes de datos: SAPBTPAuditLog_CL |
Impacto |
Pasos siguientes
En este artículo, aprendió sobre el contenido de seguridad proporcionado con la solución Microsoft Sentinel para SAP® BTP.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de