Partage via


Surveiller et suivre l’activité d’audit des utilisateurs sur les systèmes SAP

Cet article décrit le classeur SAP - Audit de sécurité et accès initial, utilisé pour surveiller et suivre l’activité d’audit des utilisateurs sur vos systèmes SAP. Utilisez le classeur pour obtenir une vue d’ensemble de l’activité d’audit des utilisateurs, mieux sécuriser vos systèmes SAP et obtenir une visibilité rapide des actions suspectes. Explorez les événements suspects en fonction des besoins.

Utilisez le classeur soit pour la surveillance continue de vos systèmes SAP, soit pour examiner les systèmes qui suivent un incident de sécurité ou d’autres activités suspectes.

Par exemple :

Capture d’écran du haut du SAP - Journal d’audit de sécurité et classeur Accès initial.

Le contenu de cet article est destiné à votre équipe de sécurité .

Prérequis

Avant de commencer à utiliser le journal SAP - Audit de sécurité et le classeur Accès initial, vous devez disposer des options suivantes :

  • La solution Microsoft Sentinel pour la solution d’applications SAP installée et un agent de connecteur de données déployé. Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour les applications SAP.

  • Le journal SAP - Audit de sécurité et le classeur Accès initial installés dans votre espace de travail Log Analytics activé pour Microsoft Sentinel. Pour plus d’informations, consultez Visualiser et surveiller vos données à l’aide de classeurs dans Microsoft Sentinel.

    Important

    Le journal SAP - Audit de sécurité et le classeur Accès initial sont hébergés par l’espace de travail où la solution Microsoft Sentinel pour les applications SAP a été installée. Par défaut, les données SAP et SOC sont supposées se trouver dans l’espace de travail qui héberge le classeur.

    Si les données SOC se situent sur un espace de travail différent de l’espace de travail hébergeant le classeur, veillez à inclure l’abonnement de cet espace de travail, puis à sélectionner l’espace de travail SOC depuis l’espace de travail d’audit et d’activité Azure.

  • Au moins un incident dans votre espace de travail Microsoft Sentinel, avec au moins une entrée disponible dans la SecurityIncident table. Cela n’a pas besoin d’être un incident SAP et vous pouvez générer un incident de démonstration à l’aide d’une règle d’analyse de base si vous n’en avez pas un autre.

  • Si vos données Microsoft Entra se trouvent dans un autre espace de travail Log Analytics, veillez à sélectionner les abonnements et espaces de travail appropriés en haut du classeur, sous Audit Azure et activités.

Filtres pris en charge

Le journal SAP - Audit de sécurité et le classeur Accès initial prennent en charge les filtres suivants pour vous aider à vous concentrer sur les données dont vous avez besoin :

  • Intervalle de temps. De quatre heures à 90 jours.
  • Rôles système. Rôles système SAP, par exemple : Développement.
  • Utilisation du système. Par exemple : SAP GTS.
  • Systèmes SAP. Vous pouvez sélectionner tous les systèmes, un système spécifique ou plusieurs systèmes.

Si vous sélectionnez des systèmes qui ne sont pas configurés dans la liste de surveillance des systèmes SAP, le classeur affiche une erreur, en spécifiant les systèmes présentant des problèmes. Dans ce cas, configurez la watchlist pour inclure correctement ces systèmes.

Données du rapport d’analyse d’ouverture de session

L’onglet Rapport d’analyse de connexion dans le journal SAP - Audit de sécurité et le classeur Accès initial affiche des données sur les échecs de connexion, tels que les données anormales, les données Microsoft Entra, etc.

Les données sont basées sur la liste de surveillance des systèmes SAP.

L’onglet Rapport d’analyse de connexion comprend les zones suivantes :

Analyse de connexion

La zone d’analyse de connexion indique les connexions utilisateur. Par exemple:

Capture d’écran de la zone Analyse de connexion du classeur Audit SAP.

Le tableau suivant décrit chaque métrique dans la zone d’analyse de connexion :

Domaine Description
Connexions utilisateur uniques par système Affiche le nombre de signins uniques pour chaque système SAP et un graphique avec les tendances de connexion au fil du temps sélectionné pour chaque système.

Par exemple, le système 012 compte 1 400 tentatives de connexions uniques au cours des 14 derniers jours, et pendant ces 14 jours, le graphe dénote une tendance de connexion relativement à la hausse.
Tendance des types de connexion Présente la tendance du nombre de connexions en fonction de leur type, par exemple, une connexion par le biais d’une boîte de dialogue.

Pointez sur le graphique pour afficher le nombre de journaux pour différentes dates.
Tendance des échecs ou réussites de connexion par utilisateur unique Présente la tendance des connexions réussies et ayant échoué au cours de la période sélectionnée.

Pointez sur le graphique pour afficher la quantité de connexions réussies et ayant échoué pour différentes dates.

Échecs de connexion – Détection d’anomalie

Les zones situées sous Détection d’anomalie – filtrage des tentatives de connexion ayant échoué montrent des données sur les échecs de connexion des systèmes et utilisateurs SAP. Pour afficher uniquement les données marquées par un indicateur, sélectionnez Anormaux uniquement en regard des connexions ayant échoué à droite.

Pour plus d’informations, consultez Surveiller le journal d’audit SAP.

Par exemple :

Capture d’écran des sections de la zone Échecs de connexion du classeur Audit SAP que vous pouvez filtrer par données anormales.

Le tableau suivant décrit chaque métrique dans la zone de détection d’anomalie :

Domaine Description
Taux d’échec de connexion>Anomalies d’échec de connexion>Échecs de connexion d’utilisateur unique par système SAP Indique le nombre d’échecs de connexion uniques pour chaque système SAP.
SAP et Active Directory sont plus efficaces ensemble Le tableau des échecs de connexion anormales montre une combinaison de données Microsoft Sentinel et Microsoft Entra, répertoriant les utilisateurs en fonction des risques, avec les utilisateurs les plus risqués en haut.

Pour chaque utilisateur, le tableau affiche :
- Chronologie des tentatives de connexion ayant échoué
- Chronologie montrant à quel point une tentative anormale a échoué s’est produite
- Type d’anomalie
- Adresse e-mail de l’utilisateur
- Indicateur de risque Microsoft Entra
- Nombre d’incidents et d’alertes dans Microsoft Sentinel

Sélectionnez la ligne d’un utilisateur pour afficher la liste des alertes et incidents associés. Les événements à risque Microsoft Entra sont répertoriés sous Audit Azure et risques de connexion pour l’utilisateur.
Taux d’échec de connexion par système Affiche les systèmes SAP sélectionnés, regroupés par type, avec le nombre d’échecs au cours de la période sélectionnée.

La couleur du système indique le nombre de tentatives ayant échoué : vert pour quelques tentatives de connexion suspectes et rouge pour plus d’informations.

Sélectionnez un système pour afficher la liste des connexions ayant échoué, avec des détails sur les échecs.

Dans la capture d’écran suivante, notez les données affichées lorsque la première ligne est sélectionnée dans la table des échecs de connexion anormales. Les alertes et URL d’incident spécifiques figurent dans le tableau Vue d’ensemble des incidents/alertes pour l’utilisateur.

Capture d’écran des données qui s’affichent quand une ligne est sélectionnée dans le tableau Échecs de connexion anormaux.

Dans la capture d’écran suivante, les risques d’audit et de connexion Azure pour la table utilisateur affichent les données relatives aux risques de connexion liés à cet utilisateur.

Capture d’écran des données d’audit et de risques de connexion qui s’affichent quand une ligne est sélectionnée dans le tableau Échecs de connexion anormaux.

Dans la capture d’écran suivante, notez le taux d’échec de connexion par zone système , où le système 84e sous le groupe de tests est sélectionné. La zone Connexions ayant échoué pour le système à droite présente les événements d’échec pour ce système.

Capture d’écran de la zone Taux d’échec de connexion par système du classeur Audit SAP.

La zone Tendances des échecs de connexion montre les tendances et le nombre de connexions ayant échoué, regroupés par différents types de données. Par exemple :

Capture d’écran de la zone Tendances des échecs de connexion du classeur Audit SAP.

Le tableau suivant décrit chaque métrique dans la zone tendances des échecs d’ouverture de session :

Domaine Description
Échec de connexion par cause Affiche la tendance du nombre d’échecs de connexion en fonction de la cause de l’échec, par exemple des données de connexion incorrectes.
Échec de connexion par type Affiche la tendance du nombre d’échecs de connexion en fonction du type, comme la connexion déclenchée par un travail en arrière-plan, ou la connexion était via HTTP.
Échec de connexion par méthode Affiche la tendance du nombre d’échecs de connexion en fonction de la méthode, comme SNC ou un ticket de connexion.

Onglet Rapport d’alerte du journal d’audit

L’onglet Alertes du journal d’audit affiche des données sur les événements du journal d’audit SAP que la solution Microsoft Sentinel pour les applications SAP surveille. Les données sont basées sur la SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist.

L’onglet Alertes du journal d’audit affiche les tendances de gravité et d’audit pour chaque système ET utilisateur SAP. Toutes les zones de cet onglet présentent les données marquées par la détection d’anomalie uniquement. Pour tous les événements, sélectionnez Tous en regard d’Échecs de connexion à droite.

Pour plus d’informations, consultez Surveiller le journal d’audit SAP.

Par exemple :

Capture d’écran de la zone Alertes du journal d’audit du classeur Audit SAP.

Le tableau suivant décrit chaque métrique sous l’onglet Alertes du journal d’audit :

Domaine Description
Tendances de gravité des alertes par ID système Affiche une liste de systèmes, avec un graphique des tendances d’événements de gravité moyenne et élevée par système.

Par exemple, le système 012 avait de nombreux événements de gravité élevés au cours de la période entière, et quelques événements de gravité moyenne , avec un pic qui montre plus d’événements de gravité moyen au milieu de la période.
Tendance de l’audit par utilisateur Montre une combinaison de données Microsoft Sentinel et Microsoft Entra, répertoriant les utilisateurs en fonction du risque, avec les utilisateurs les plus risqués en haut.

Pour chaque utilisateur, le classeur affiche les données suivantes :
- Chronologie des événements de gravité élevée et moyenne
- Adresse e-mail de l’utilisateur
- Indicateur de risque Microsoft Entra
- Nombre d’incidents et d’alertes dans Microsoft Sentinel

Sélectionnez une ligne pour afficher une liste d’alertes et d’incidents pour cet utilisateur sous Incidents/alertes vue d’ensemble de l’utilisateur.

Affichez les événements de risque Microsoft Entra sous Audit Azure et risques de connexion pour l’utilisateur.
Indice de risque par système Représente visuellement chaque système dans une forme de cellule, montrant le score de risque pour chaque système et les systèmes de regroupement par type.

La couleur du système indique le score de risque du système : vert pour un score de risque inférieur et rouge pour un score de risque plus élevé.

Sélectionnez un système pour afficher la liste des événements SAP par système.
Événements par tactiques MITRE ATT&CK Affiche la liste des événements SAP regroupés par tactiques MITRE ATT&CK, comme l’accès initial ou l’évasion de défense.

Pointez sur le graphique pour afficher le nombre de connexions pour différentes dates.
Événements par catégorie Affiche la liste des tendances des événements SAP regroupées par catégorie, telles que le démarrage ou l’ouverture de session RFC.

Pointez sur le graphique pour afficher le numéro de connexion pour différentes dates.
Événements par groupe d’autorisation Affiche la liste des tendances des événements SAP regroupées par le groupe d’autorisations SAP, comme USER ou SUPER.

Pointez sur le graphique pour afficher le nombre de connexions pour différentes dates.
Événements par type d’utilisateur Affiche une liste des tendances d’événements SAP regroupées par type d’utilisateur SAP, comme Boîte de dialogue ou Système.

Pointez sur le graphique pour afficher le nombre de connexions pour différentes dates.

Dans la capture d’écran suivante, notez les données affichées lorsque la première ligne est sélectionnée dans les tendances d’audit par table utilisateur . Les alertes et URL d’incident spécifiques figurent dans le tableau Vue d’ensemble des incidents/alertes pour l’utilisateur.

Capture d’écran des données qui s’affichent lors de la sélection d’une ligne dans le tableau Tendances de l’audit par utilisateur.

Dans la capture d’écran suivante, notez le score de risque par zone système, où le système cb7 sous le groupe UAT est sélectionné. La zone Événements SAP pour le système située sous la visualisation du système montre l’événement SAP pour ce système.

Capture d’écran de la zone Indice de risque par système du classeur Audit SAP.

Dans la capture d’écran suivante, notez les zones avec des événements et des tendances d’événements regroupées par différents types de données : tactiques MITRE ATT&CK, groupe d’autorisations SAP et type d’utilisateur.

Capture d’écran des différentes données d’événement dans le classeur Audit SAP.

Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour les applications SAP à partir du hub de contenu et de la solution Microsoft Sentinel pour les applications SAP : référence de contenu de sécurité.