Applications Solution Microsoft Sentinel pour SAP® : référence relative au contenu de sécurité
Cet article détaille le contenu de sécurité disponible pour la solution Microsoft Sentinel pour SAP.
Important
Bien que les applications Solution Microsoft Sentinel pour SAP® soient en disponibilité générale, certains composants spécifiques restent en PRÉVERSION. Cet article indique les composants qui sont en préversion dans les sections pertinentes ci-dessous. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Le contenu de sécurité disponible comprend des classeurs intégrés et des règles d’analyse. Vous pouvez également ajouter des watchlists liées à SAP à utiliser dans votre recherche, vos règles de détection, votre chasse des menaces et vos playbooks de réponse.
Workbooks intégrés
Utilisez les classeurs intégrés suivants pour visualiser et contrôler les données ingérées via le connecteur de données SAP. Après avoir déployé la solution SAP, vous pouvez trouver des classeurs SAP sous l’onglet Mes classeurs.
Nom du classeur | Description | Journaux d’activité |
---|---|---|
SAP - Navigateur du journal d’audit | Affiche des données telles que : - Intégrité générale du système, y compris les connexions utilisateur au fil du temps, les événements ingérés par le système, les classes de messages et les ID et les programmes ABAP s’exécutent -Gravité des événements se produisant dans votre système - Événements d’authentification et d’autorisation se produisant dans votre système |
Utilise les données du journal suivant : ABAPAuditLog_CL |
Contrôles d’audit SAP | Vous aide à case activée les contrôles de sécurité de votre environnement SAP pour la conformité avec votre infrastructure de contrôle choisie, à l’aide d’outils pour effectuer les opérations suivantes : - Affecter des règles d’analyse dans votre environnement à des contrôles de sécurité et des familles de contrôles spécifiques - Surveiller et classer les incidents générés par les règles d’analytique basées sur la solution SAP - Signaler votre conformité |
Utilise les données des tableaux suivants : - SecurityAlert - SecurityIncident |
Pour plus d’informations, consultez Tutoriel : Visualiser et surveiller vos données et Déployer des applications Solution Microsoft Sentinel pour SAP®.
Règles analytiques intégrées
Monitoring de la configuration des paramètres de sécurité SAP statiques (Préversion)
Pour sécuriser le système SAP, SAP a identifié les paramètres liés à la sécurité qui doivent être surveillés pour les modifications. Avec la règle « SAP – (préversion) Le paramètre statique sensible a changé », la solution Microsoft Sentinel pour les applications SAP® suit plus de 52 paramètres de sécurité statiques dans le système SAP, qui sont intégrés à Microsoft Sentinel.
Notes
Pour que la solution Microsoft Sentinel pour les applications SAP® supervise correctement les paramètres de sécurité SAP, elle doit superviser correctement la table SAP PAHI à intervalles réguliers. Vérifiez que la solution peut superviser correctement la table PAHI.
Pour comprendre les modifications de paramètres dans le système, la solution Microsoft Sentinel pour les applications SAP® utilise la table d’historique des paramètres, qui enregistre les modifications apportées aux paramètres système toutes les heures.
Les paramètres sont également reflétés dans la watchlist SAPSystemParameters. Cette watchlist permet aux utilisateurs d’ajouter de nouveaux paramètres, de désactiver les paramètres existants et de modifier les valeurs et les gravités par paramètre et rôle système dans des environnements de production ou hors production.
Lorsqu’une modification est apportée à l’un de ces paramètres, Microsoft Sentinel vérifie si la modification est liée à la sécurité et si la valeur est définie en fonction des valeurs recommandées. Si la modification est suspectée comme étant en dehors de la zone de sécurité, Microsoft Sentinel crée un incident détaillant la modification et identifie qui a apporté la modification.
Passez en revue la liste des paramètres que cette règle surveille.
Supervision du journal d’audit SAP
Les données du journal d’audit SAP sont utilisées dans de nombreuses règles d’analyse des applications Solution Microsoft Sentinel pour SAP®. Certaines règles d’analyse recherchent des événements spécifiques dans le journal, tandis que d’autres mettent en corrélation des indications de plusieurs journaux pour produire des alertes et des incidents haute fidélité.
En outre, il existe deux règles d’analyse conçues pour prendre en charge l’ensemble des événements de journal d’audit SAP standard (183 événements différents) et tous les autres événements personnalisés que vous pouvez choisir de journaliser à l’aide du journal d’audit SAP.
Les deux règles d’analyse des journaux d’audit SAP partagent les mêmes sources de données et la même configuration, mais diffèrent sur un aspect critique. Bien que « SAP - Moniteur de journal d’audit déterministe dynamique » nécessite des seuils d’alerte déterministes et des règles d’exclusion utilisateur, la règle « SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION) » applique des algorithmes de Machine Learning supplémentaires pour filtrer le bruit d’arrière-plan de manière non supervisée. Pour cette raison, par défaut, la plupart des types d’événements (ou ID de message SAP) du journal d’audit SAP sont envoyés à la règle d’analyse « basée sur les anomalies », tandis que les types d’événements plus faciles à définir sont envoyés à la règle d’analyse déterministe. Ce paramètre, ainsi que d’autres paramètres connexes, peuvent être configurés pour répondre à toutes les conditions système.
SAP - Moniteur de journal d’audit déterministe dynamique
Règle d’analyse dynamique destinée à couvrir l’ensemble des types d’événements du journal d’audit SAP qui ont une définition déterministe en matière de population utilisateur et de seuils d’événements.
- Configurer la règle avec la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration
- En savoir sur la façon de configurer la règle (procédure complète)
SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION)
Règle d’analytique dynamique conçue pour apprendre le comportement normal du système et alerter sur les activités observées dans le journal d’audit SAP considérées comme anormales. Appliquez cette règle aux types d’événements du journal d’audit SAP qui sont plus difficiles à définir en matière de population utilisateur, d’attributs réseau et de seuils.
En savoir plus :
- Configurer la règle avec les listes de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration et SAP_User_Config
- En savoir sur la façon de configurer la règle (procédure complète)
Les tableaux suivants répertorient les règles analytiques intégrées qui sont incluses dans les applications Solution Microsoft Sentinel pour SAP®, déployée à partir de la place de marché Microsoft Sentinel Solutions.
Accès initial
Nom de la règle | Description | Action source | Tactique |
---|---|---|---|
SAP - Connexion à partir d’un réseau inattendu | Identifie une connexion à partir d’un réseau inattendu. Gérez les réseaux dans la watchlist SAP - Réseaux. |
Connectez-vous au système principal à partir d’une adresse IP qui n’est pas affectée à l’un des réseaux. Source de données : SAPcon - Journal d'audit |
Accès initial |
SAP - Attaque SPNego | Identifie l’Attaque de relecture SPNego. | Source de données : SAPcon - Journal d'audit | Impact, mouvement latéral |
SAP - Tentative de connexion de boîte de dialogue à partir d’un utilisateur privilégié | Identifie les tentatives de connexion de boîte de dialogue, avec le type AUM, par des utilisateurs privilégiés dans un système SAP. Pour plus d’informations, consultez SAPUsersGetPrivileged. | Essayez de vous connecter à partir de la même IP à plusieurs systèmes ou clients dans l’intervalle de temps planifié Source de données : SAPcon - Journal d'audit |
Impact, mouvement latéral |
SAP - Attaques en force brute | Identifie les attaques par force brute sur le système SAP à l’aide des ouvertures de session RFC | Essayez de vous connecter à partir de la même adresse IP à plusieurs systèmes/clients dans l’intervalle de temps planifié au moyen de RFC Source de données : SAPcon - Journal d'audit |
Accès aux informations d’identification |
SAP - Plusieurs ouvertures de session à partir de la même adresse IP | Identifie la connexion de plusieurs utilisateurs à partir d’une même adresse IP dans un intervalle de temps planifié. Cas de sous-utilisation : Permanence |
Connectez-vous à l’aide de plusieurs utilisateurs via la même adresse IP. Source de données : SAPcon - Journal d'audit |
Accès initial |
SAP - Plusieurs connexions par utilisateur | Identifie les connexions du même utilisateur à partir de plusieurs terminaux dans un intervalle de temps planifié. Disponible uniquement via la méthode Audit SAL, pour les versions SAP 7.5 et ultérieures. |
Connectez-vous à l’aide du même utilisateur, en utilisant des adresses IP différentes. Source de données : SAPcon - Journal d'audit |
Pré-attaque, accès aux informations d’identification, accès initial, collection Cas de sous-utilisation : Persistance |
SAP - Informatif - Cycle de vie - les notes SAP ont été implémentées dans le système | Identifie l’implémentation des notes SAP dans le système. | Implémentez une note SAP à l’aide de SNOTE/TCI. Sources de données : SAPcon – Demandes de modification |
- |
Exfiltration de données
Nom de la règle | Description | Action source | Tactique |
---|---|---|---|
SAP - FTP pour les serveurs non autorisés | Identifie une connexion FTP pour un serveur non autorisé. | Créez une nouvelle connexion FTP, par exemple à l’aide du module de fonction FTP_CONNECT. Source de données : SAPcon - Journal d'audit |
Découverte, Accès initial, Commande et Contrôle |
SAP - Configuration des serveurs FTP non sécurisés | Identifie les configurations de serveur FTP non sécurisées, par exemple lorsqu’une liste d’autorisation FTP est vide ou contient des espaces réservés. | Ne conservez pas et ne gérez pas les valeurs qui contiennent des espaces réservés dans la SAPFTP_SERVERS table à l’aide de la SAPFTP_SERVERS_V vue de maintenance. (SM30) Source de données : SAPcon - Journal d'audit |
Accès initial, Commande et Contrôle |
SAP - Téléchargements de plusieurs fichiers | Identifie plusieurs téléchargements de fichiers pour un utilisateur dans un intervalle de temps spécifique. | Téléchargez plusieurs fichiers à l’aide du SAPGui pour Excel, des listes, etc. Source de données : SAPcon - Journal d'audit |
Regroupement, Exfiltration, Accès aux informations d’identification |
SAP - Plusieurs exécutions de spool | Identifie plusieurs spools pour un utilisateur dans un intervalle de temps spécifique. | Créer et exécuter plusieurs tâches de spools de n’importe quel type par un utilisateur. (SP01) Source de données : SAPcon - Journal de spool, SAPcon - Journal d’audit |
Regroupement, Exfiltration, Accès aux informations d’identification |
SAP - Plusieurs exécutions de sortie de spool | Identifie plusieurs spools pour un utilisateur dans un intervalle de temps spécifique. | Créer et exécuter plusieurs tâches de spools de n’importe quel type par un utilisateur. (SP01) Source de données : SAPcon - Journal de sortie de spool, SAPcon - Journal d’audit |
Regroupement, Exfiltration, Accès aux informations d’identification |
SAP - Accès direct aux tables sensibles avec connexion RFC | Identifie un accès de table générique par la connexion RFC. Conserve les tables dans la liste de surveillance SAP - Tables sensibles. Remarque : s’applique uniquement aux systèmes de production. |
Ouvrez le contenu de la table à l’aide de SE11/SE16/SE16N. Source de données : SAPcon - Journal d'audit |
Regroupement, Exfiltration, Accès aux informations d’identification |
SAP - Prise de contrôle de spool | Identifie un utilisateur qui imprime une demande de spool créée par une autre personne. | Créez une demande de spool à l’aide d’un utilisateur, puis exportez-la à l’aide d’un autre utilisateur. Sources de données : SAPcon – Journal de spool, SAPcon – Journal de sortie de spool, SAPcon – Journal d’audit |
Regroupement, Exfiltration, Commande et Contrôle |
SAP - Destination RFC dynamique | Identifie l’exécution de RFC à l’aide de destinations dynamiques. Cas de sous-utilisation : Tentatives de contournement des mécanismes de sécurité SAP |
Exécuter un rapport ABAP qui utilise des destinations dynamiques (cl_dynamic_destination). Par exemple, DEMO_RFC_DYNAMIC_DEST. Source de données : SAPcon - Journal d'audit |
Regroupement, Exfiltration |
SAP - Accès direct aux tables sensibles avec connexion par boîte de dialogue | Identifie l’accès à une table générique via une connexion par boîte de dialogue. | Ouvrez le contenu de la table à l’aide de SE11 /SE16 /SE16N . Source de données : SAPcon - Journal d'audit |
Découverte |
SAP - (préversion) Fichier téléchargé à partir d’une adresse IP malveillante | Identifie le téléchargement d’un fichier à partir d’un système SAP à l’aide d’une adresse IP connue pour être malveillante. Les adresses IP malveillantes sont obtenues à partir des services de renseignement sur les menaces. | Téléchargez un fichier à partir d’une adresse IP malveillante. Sources de données : Journal d’audit de sécurité SAP, renseignement sur les menaces |
Exfiltration |
SAP - (préversion) Données exportées à partir d’un système de production à l’aide d’un transport | Identifie l’exportation de données à partir d’un système de production à l’aide d’un transport. Les transports sont utilisés dans les systèmes de développement et sont similaires aux demandes de tirage. Cette règle d’alerte déclenche des incidents de gravité moyenne lorsqu’un transport qui inclut des données provenant d’une table sort d’un système de production. La règle crée un incident de gravité élevée lorsque l’exportation inclut des données provenant d’une table sensible. | Sortie d’un transport d’un système de production. Sources de données : journal SAP CR, SAP - Tables sensibles |
Exfiltration |
SAP - (préversion) Données sensibles enregistrées dans un lecteur USB | Identifie l’exportation des données SAP via des fichiers. La règle vérifie les données enregistrées dans un lecteur USB récemment monté à proximité de l’exécution d’une transaction sensible, d’un programme sensible ou d’un accès direct à une table sensible. | Exportation des données SAP via des fichiers et enregistrement sur un lecteur USB. Sources de données : Journal d’audit de sécurité SAP, DeviceFileEvents (Microsoft Defender for Endpoint), SAP - Tables sensibles, SAP - Transactions sensibles, SAP - Programmes sensibles |
Exfiltration |
SAP - (préversion) Impression de données potentiellement sensibles | Identifie une demande ou une impression réelle de données potentiellement sensibles. Les données sont considérées comme sensibles si l’utilisateur obtient les données dans le cadre d’une transaction sensible, de l’exécution d’un programme sensible ou d’un accès direct à une table sensible. | Impression ou demande d’impression de données sensibles. Sources de données : Journal d’audit de sécurité SAP, journaux du spool SAP, SAP - Tables sensibles, SAP - Programmes sensibles |
Exfiltration |
SAP - (préversion) Volume élevé de données potentiellement sensibles exportées | Identifie l’exportation d’un volume élevé de données via des fichiers à proximité d’une exécution de transaction sensible, d’un programme sensible ou d’un accès direct à une table sensible. | Exportation d’un volume élevé de données via des fichiers. Sources de données : Journal d’audit de sécurité SAP, SAP - Tables sensibles, SAP - Transactions sensibles, SAP - Programmes sensibles |
Exfiltration |
Persistance
Nom de la règle | Description | Action source | Tactique |
---|---|---|---|
SAP - Activation ou désactivation du Service ICF | Identifie l’activation ou la désactivation des Services ICF. | Activez un service à l’aide de SICF. Sources de données : SAPcon - Journal de données de table |
Commande et Contrôle, Mouvement latéral, Persistance |
SAP - Module de fonction testé | Identifie le test d’un module de fonction. | Testez un module de fonction à l’aide de SE37 / SE80 . Source de données : SAPcon - Journal d'audit |
Collection, évasion de défense, mouvement latéral |
SAP - (PRÉVERSION) HANA DB - Actions d’administration utilisateur | Identifie les actions d’administration de l’utilisateur. | Créez, mettez à jour ou supprimez un utilisateur de base de données. Sources de données : Agent Linux - Syslog* |
Réaffectation de privilèges |
SAP - Nouveaux gestionnaires de service ICF | Identifie la création de gestionnaires ICF. | Assigner un nouveau gestionnaire à un service à l’aide de SICF. Source de données : SAPcon - Journal d'audit |
Commande et Contrôle, Mouvement latéral, Persistance |
SAP - Nouveaux services ICF | Identifie la création de Services ICF. | Créez un service à l’aide de SICF. Sources de données : SAPcon - Journal de données de table |
Commande et Contrôle, Mouvement latéral, Persistance |
SAP - Exécution d’un module de fonction obsolète ou non sécurisé | Identifie l’exécution d’un module de fonction ABAP obsolète ou non sécurisé. Conserve des fonctions obsolètes dans la liste de surveillance SAP - Modules de fonction obsolète. Veillez à activer les modifications de journalisation de table pour la table EUFUNC dans le serveur principal. (SE13)Remarque : s’applique uniquement aux systèmes de production. |
Exécutez directement un module de fonction obsolète ou non sécurisé à l’aide de SE37. Sources de données : SAPcon - Journal de données de table |
Découverte, Commande et Contrôle |
SAP - Exécution d’un programme obsolète/non sécurisé | Identifie l’exécution d’un programme ABAP obsolète ou non sécurisé. Conserve des programmes obsolètes dans la liste de surveillance SAP - Programmes obsolètes. Remarque : s’applique uniquement aux systèmes de production. |
Exécutez un programme directement à l’aide de SE38/SA38/SE80, ou à l’aide d’une tâche en arrière-plan. Source de données : SAPcon - Journal d'audit |
Découverte, Commande et Contrôle |
SAP - Plusieurs modifications de mot de passe par l’utilisateur | Identifie plusieurs modifications de mot de passe par l’utilisateur. | Modifier le mot de passe de l'utilisateur Source de données : SAPcon - Journal d'audit |
Accès aux informations d’identification |
Tentatives de contournement des mécanismes de sécurité SAP
Nom de la règle | Description | Action source | Tactique |
---|---|---|---|
SAP - Modification de la configuration du client | Identifie les modifications apportées à la configuration du client, notamment le rôle du client ou le mode d’enregistrement des modifications. | Modifiez la configuration du client à l’aide du code de transaction SCC4 . Source de données : SAPcon - Journal d'audit |
Évasion de défense, exfiltration, persistance |
SAP - Données modifiées durant l’activité de débogage | Identifie les modifications des données du runtime pendant une activité de débogage. Cas de sous-utilisation : Persistance |
1. Activez le débogage (« /h »). 2. Sélectionnez un champ à modifier et mettre à jour sa valeur. Source de données : SAPcon - Journal d'audit |
Mouvement latéral, exécution |
SAP - Désactivation du journal d’audit de sécurité | Identifie la désactivation du journal d’audit de sécurité. | Désactivez le journal d’audit de sécurité à l’aide de SM19/RSAU_CONFIG . Source de données : SAPcon - Journal d'audit |
Exfiltration, évasion de défense, persistance |
SAP - Exécution d’un programme ABAP sensible | Identifie l’exécution directe d’un programme ABAP sensible. Gérez les programmes ABAP dans le watchlist SAP - Programmes ABAP sensibles. |
Exécutez un programme directement à l’aide de SE38 /SA38 /SE80 . Source de données : SAPcon - Journal d'audit |
Exfiltration, mouvement latéral, exécution |
SAP - Exécution d’un code de transaction sensible | Identifie l’exécution d’un code de transaction sensible. Gérez les codes de transaction dans la watchlist SAP - Codes de transactions sensibles. |
Exécutez un code de transaction sensible. Source de données : SAPcon - Journal d'audit |
Découverte, exécution |
SAP - Exécution d’un module de fonction sensible | Identifie l’exécution directe d’un module de fonction ABAP sensible. Cas de sous-utilisation : Persistance Remarque : s’applique uniquement aux systèmes de production. Conservez les fonctions sensibles dans la liste de surveillance SAP - Modules de fonction sensible et veillez à activer les modifications de journalisation de table sur le serveur principal pour la table EUFUNC. (SE13) |
Exécutez un module de fonction sensible directement à l’aide de SE37. Sources de données : SAPcon - Journal de données de table |
Découverte, Commande et Contrôle |
SAP - (PRÉVERSION) HANA DB - Modifications de la stratégie de piste d’audit | Identifie les modifications pour les stratégies de piste d’audit HANA DB. | Créez ou mettez à jour la stratégie d’audit existante dans les définitions de sécurité. Sources de données : Agent Linux - Syslog |
Mouvement latéral, évasion de la défense, persistance |
SAP - (PRÉVERSION) HANA DB - Désactivation de la piste d’audit | Identifie la désactivation du journal d’audit HANA DB. | Désactivez le journal d’audit dans la définition de sécurité HANA DB. Sources de données : Agent Linux - Syslog |
Persistance, mouvement latéral, évasion de défense |
SAP : Exécution RFC distante non autorisée d’un module de fonction sensible | Détecte les exécutions non autorisées de machines virtuelles sensibles en comparant l’activité avec le profil d’autorisation de l’utilisateur, tout en ignorant les autorisations récemment modifiées. Gérez les modules de fonction dans la watchlist Modules de fonction SAP sensibles. |
Exécutez un module de fonction à l’aide de RFC. Source de données : SAPcon - Journal d'audit |
Exécution, mouvement latéral, découverte |
SAP - Modification de la configuration système | Identifie les modifications apportées à la configuration système. | Adaptez les options de modification du système ou la modification des composants logiciels à l’aide du code de transaction SE06 .Source de données : SAPcon - Journal d'audit |
Exfiltration, évasion de défense, persistance |
SAP - Activités de débogage | Identifie toutes les activités associées au débogage. Cas de sous-utilisation : Persistance |
Activez le débogage (« /h ») dans le système, déboguez un processus actif, ajoutez un point d’arrêt au code source, etc. Source de données : SAPcon - Journal d'audit |
Découverte |
SAP - Modification de la configuration du journal d’audit de sécurité | Identifie les modifications apportées à la configuration du journal d’audit de sécurité | Modifiez la configuration du journal d’audit de sécurité à l’aide de SM19 /RSAU_CONFIG , comme les filtres, l’état, le mode d’enregistrement, etc. Source de données : SAPcon - Journal d'audit |
Persistence, exfiltration, évasion de défense |
SAP - La transaction est déverrouillée | Identifie le déverrouillage d’une transaction. | Déverrouillez un code de transaction à l’aide de SM01 /SM01_DEV /SM01_CUS . Source de données : SAPcon - Journal d'audit |
Persistance, exécution |
SAP - Programme ABAP dynamique | Identifie l’exécution de la programmation ABAP dynamique. Par exemple, lorsque le code ABAP a été créé, modifié ou supprimé dynamiquement. Conservez les codes de transaction exclus dans la liste de surveillance SAP - Transactions pour les générations ABAP. |
Créez un rapport ABAP qui utilise les commandes de génération de programme ABAP, telles que INSÉRER UN RAPPORT, puis exécutez le rapport. Source de données : SAPcon - Journal d'audit |
Découverte, Commande et Contrôle, Impact |
Opérations de privilèges suspectes
Nom de la règle | Description | Action source | Tactique |
---|---|---|---|
SAP - Modification d’un utilisateur sensible disposant de privilèges | Identifie les modifications d’utilisateurs sensibles disposant de privilèges. Gérez les utilisateurs disposant de privilèges dans la watchlist SAP - Utilisateurs disposant de privilèges. |
Modifiez les informations d’utilisateur et les autorisations à l’aide de SU01 . Source de données : SAPcon - Journal d'audit |
Réaffectation de privilèges, accès aux informations d’identification |
SAP - (PRÉVERSION) HANA DB - Attribuer des autorisations d’administrateur | Identifie des privilèges d’administrateur ou une attribution de rôle. | Affectez à un utilisateur un rôle d’administrateur ou des privilèges. Sources de données : Agent Linux - Syslog |
Réaffectation de privilèges |
SAP - Utilisateur sensible disposant de privilèges et connecté | Identifie la connexion d’un utilisateur sensible disposant de privilèges. Gérez les utilisateurs disposant de privilèges dans la watchlist SAP - Utilisateurs disposant de privilèges. |
Connectez-vous au système principal à l’aide de SAP* ou d’un autre utilisateur privilégié. Source de données : SAPcon - Journal d'audit |
Accès initial, accès aux informations d’identification |
SAP - Un utilisateur sensible disposant de privilèges apporte une modification à un autre utilisateur | Identifie les modifications d’utilisateurs sensibles disposant de privilèges dans d’autres utilisateurs. | Modifiez les informations d’utilisateur/autorisations à l’aide de SU01. Source de données : SAPcon – Journal d’audit |
Réaffectation de privilèges, accès aux informations d’identification |
SAP - Modification du mot de passe et connexion d’utilisateurs sensibles | Identifie les modifications de mot de passe pour les utilisateurs privilégiés. | Modifiez le mot de passe d’un utilisateur privilégié et connectez-vous au système. Gérez les utilisateurs disposant de privilèges dans la watchlist SAP - Utilisateurs disposant de privilèges. Source de données : SAPcon - Journal d'audit |
Impact, Commande et Contrôle, Escalade de privilèges |
SAP - Création et utilisation utilisateur d’un nouvel utilisateur | Identifie un utilisateur qui crée et utilise d’autres utilisateurs. Cas de sous-utilisation : Persistance |
Créez un utilisateur à l’aide de SU01, puis connectez-vous à l’aide du compte utilisateur nouvellement créé et de la même adresse IP. Source de données : SAPcon - Journal d'audit |
Découverte, Préattaque, Accès initial |
SAP - Déverrouillage et utilisation utilisateur d’autres utilisateurs | Identifie un utilisateur déverrouillé et utilisé par d’autres utilisateurs. Cas de sous-utilisation : Persistance |
Créez un utilisateur à l’aide de SU01, puis connectez-vous à l’aide de l’utilisateur déverrouillé et de la même adresse IP. Sources de données : SAPcon – Journal d’audit, SAPcon – Journal des documents de modification |
Découverte, Préattaque, Accès initial, Mouvement latéral |
SAP - Attribution d’un profil sensible | Identifie les nouvelles affectations d’un profil sensible à un utilisateur. Gérez les profils sensibles dans la watchlist SAP - Profils sensibles. |
Affectez un profil à un utilisateur à l’aide de SU01 . Sources de données : SAPcon - Journal des documents de modification |
Réaffectation de privilèges |
SAP - Affectation d’un rôle sensible | Identifie les nouvelles affectations pour un rôle sensible à un utilisateur. Gérez les rôles sensibles dans la watchlist SAP - Rôles sensibles. |
Affectez un rôle à un utilisateur à l’aide de SU01 / PFCG . Sources de données : SAPcon - Journal des documents de modification, journal d'audit |
Réaffectation de privilèges |
SAP - (PRÉVERSION) Affectation d’autorisations critiques - Nouvelle valeur d’autorisation | Identifie l’affectation d’une valeur d’objet d’autorisation critique à un nouvel utilisateur. Gérez les objets d’autorisation critiques dans la watchlist SAP - Objets d’autorisation critiques. |
Affectez un nouvel objet d’autorisation ou mettez à jour un objet existant dans un rôle à l’aide de PFCG . Sources de données : SAPcon - Journal des documents de modification |
Réaffectation de privilèges |
SAP - Affectation d’autorisations critiques - Nouvelle affectation d’utilisateur | Identifie l’affectation d’une valeur d’objet d’autorisation critique à un nouvel utilisateur. Gérez les objets d’autorisation critiques dans la watchlist SAP - Objets d’autorisation critiques. |
Affectez un nouvel utilisateur à un rôle qui contient des valeurs d’autorisation critiques, à l’aide de SU01 /PFCG . Sources de données : SAPcon - Journal des documents de modification |
Réaffectation de privilèges |
SAP - Changements de rôles sensibles | Identifie les modifications apportées aux rôles sensibles. Gérez les rôles sensibles dans la watchlist SAP - Rôles sensibles. |
Modifiez un rôle à l’aide de PFCG. Sources de données : SAPcon - Journal des documents de modification, SAPcon - Journal d’audit |
Impact, Escalade des privilèges, Persistance |
Watchlists disponibles
Le tableau suivant répertorie les watchlists disponibles pour les applications Solution Microsoft Sentinel pour SAP®, et les champs de chaque watchlist.
Ces watchlists fournissent la configuration des applications Solution Microsoft Sentinel pour SAP®. Les watchlists SAP sont disponibles dans le référentiel de GitHub Microsoft Sentinel.
Nom de la watchlist | Description et champs |
---|---|
SAP - Objets d’autorisation critiques | Objet d’autorisation critique pour lequel les affectations doivent être régies. - AuthorizationObject : objet d’autorisation SAP, par exemple S_DEVELOP , S_TCODE ou Table TOBJ - AuthorizationField : champ d’autorisation SAP, par exemple OBJTYP ou TCD - AuthorizationValue : valeur de champ d’autorisation SAP, par exemple DEBUG - ActivityField : champ d’activité SAP. Dans la plupart des cas, cette valeur est ACTVT . Pour les objets d’autorisation sans activité, ou avec un seul champ d’activité rempli avec NOT_IN_USE . - Activity : activité SAP, selon l’objet d’autorisation, par exemple : 01 : Créer ; 02 : Modifier ; 03 : Afficher, etc. - Description : description explicite d’un objet d’autorisation critique. |
SAP - Réseaux exclus | Pour la maintenance interne de réseaux exclus, par exemple pour ignorer les répartiteurs Web, les serveurs Terminal Server, etc. -Network : adresse ou plage d’adresses IP de réseau, par exemple 111.68.128.0/17 . -Description : description explicite du réseau. |
Utilisateurs SAP exclus | Utilisateurs système connectés au système et qui doivent être ignorés. Par exemple, les alertes pour plusieurs connexions par le même utilisateur. - User : utilisateur SAP -Description : description explicite de l’utilisateur. |
SAP - Réseaux | Réseaux internes et de maintenance pour l’identification des connexions non autorisées. - Réseau : adresse ou plage d’adresses IP de réseau, par exemple 111.68.128.0/17 - Description : description explicite du réseau. |
SAP - Utilisateurs disposant de privilèges | Utilisateurs disposant de privilèges et soumis à des restrictions supplémentaires. - User : l’utilisateur ABAP, par exemple DDIC ou SAP - Description : description explicite de l’utilisateur. |
SAP - Programmes ABAP sensibles | Programmes ABAP sensibles (rapports) pour lesquels l’exécution doit être régie. - ABAPProgram : programme ou rapport ABAP, par exemple RSPFLDOC - Description : description explicite du programme. |
SAP - Module de fonction sensible | Réseaux internes et de maintenance pour l’identification des connexions non autorisées. - FunctionModule : module de fonction ABAP, tel que RSAU_CLEAR_AUDIT_LOG - Description : description explicite du module. |
SAP - Profils sensibles | Profils sensibles pour lesquels les affectations doivent être régies. - Profile : profil d’autorisation SAP, par exemple SAP_ALL ou SAP_NEW - Description : description explicite du profil. |
SAP - Tables sensibles | Tables sensibles, où l’accès doit être régi. - Table : table de dictionnaires ABAP, par exemple USR02 ou PA008 - Description : description explicite de la table. |
SAP - Rôles sensibles | Rôles sensibles pour lesquels l’affectation doit être régie. - Role : rôle d’autorisation SAP, par exemple SAP_BC_BASIS_ADMIN - Description : description explicite du rôle. |
SAP - Transactions sensibles | Transactions sensibles pour lesquelles l’exécution doit être régie. - TransactionCode : code de transaction SAP, par exemple RZ11 - Description : description explicite du code. |
SAP - Systèmes | Décrit le paysage des systèmes SAP en fonction du rôle, de l’utilisation et de la configuration. - SystemID : ID du système SAP (SYSID) - SystemRole : rôle du système SAP, indiqué par l’une des valeurs suivantes : Sandbox , Development , Quality Assurance , Training , Production - SystemUsage : utilisation du système SAP, indiquée par l’une des valeurs suivantes : ERP , BW , Solman , Gateway , Enterprise Portal - InterfaceAttributes : paramètre dynamique facultatif à utiliser dans les playbooks. |
SAPSystemParameters | Paramètres à surveiller pour les modifications de configuration suspectes. Cette watchlist est préremplie avec les valeurs recommandées (conformément aux meilleures pratiques SAP), et vous pouvez l’étendre pour inclure d’autres paramètres. Si vous ne souhaitez pas recevoir d’alertes pour un paramètre, définissez EnableAlerts sur false .- ParameterName : nom du paramètre. - Comment : description du paramètre standard SAP. - EnableAlerts : définit s’il faut activer les alertes pour ce paramètre. Les valeurs sont true et false .- Option : définit dans quel cas déclencher une alerte : si la valeur du paramètre est supérieure ou égale ( GE ), inférieure ou égale (LE ), ou égale (EQ ).Par exemple, si le paramètre SAP login/fails_to_user_lock a la valeur LE (inférieure ou égale) et une valeur 5 , lorsque Microsoft Sentinel détecte une modification de ce paramètre spécifique, il compare la valeur qui vient d’être signalée et la valeur attendue. Si la nouvelle valeur est 4 , Microsoft Sentinel ne déclenche pas d’alerte. Si la nouvelle valeur est 6 , Microsoft Sentinel déclenche une alerte.- ProductionSeverity : gravité de l’incident pour les systèmes de production. - ProductionValues : valeurs autorisées pour les systèmes de production. - NonProdSeverity : gravité de l’incident pour les systèmes hors production. - NonProdValues : valeurs autorisées pour les systèmes hors production. |
SAP - Utilisateurs exclus | Les utilisateurs système connectés et devant être ignorés, par exemple pour l’alerte « Plusieurs ouvertures de session par l’utilisateur ». - User : utilisateur SAP - Description : description explicite de l’utilisateur |
SAP - Réseaux exclus | Conserver les réseaux internes et exclus pour ignorer les répartiteurs web, les serveurs Terminal Server, etc. - Réseau : adresse ou plage d’adresses IP de réseau, par exemple 111.68.128.0/17 - Description : description explicite du réseau |
SAP - Modules de fonction obsolètes | Modules de fonction obsolètes, dont l’exécution doit être régie. - FunctionModule : module de fonction ABAP, tel que TH_SAPREL - Description : description explicite du module de fonction |
SAP - Programmes obsolètes | Programmes ABAP obsolètes (rapports) pour lesquels l’exécution doit être régie. - ABAPProgram : programme ABAP, tel que TH_SAPREL - Description : description explicite du programme ABAP |
SAP -Transactions pour les générations ABAP | Transactions pour les générations ABAP dont l’exécution doit être régie. - TransactionCode : code de transaction, tel que SE11. - Description : description explicite du Code de transaction |
SAP - Serveurs FTP | Serveurs FTP pour l’identification des connexions non autorisées. - Client : tel que 100. - FTP_Server_Name: nom du serveur FTP, tel que http://contoso.com/ -FTP_Server_Port: port du serveur FTP, tel que 22. - Description : description explicite du Serveur FTP |
SAP_Dynamic_Audit_Log_Monitor_Configuration | Configurez les alertes du journal d’audit SAP en affectant chaque ID de message au niveau de gravité que vous exigez, par rôle système (production, non production). Cette liste de surveillance détaille tous les ID de message de journal d’audit standard SAP disponibles. Elle peut être étendue pour contenir des ID de message supplémentaires que vous pouvez créer par vous-même à l’aide d’améliorations ABAP sur leurs systèmes SAP NetWeaver. Cette liste de surveillance permet également de configurer une équipe désignée pour gérer chacun des types d’événements et d’exclure des utilisateurs par rôles SAP, par profils SAP ou par étiquettes de la liste de surveillance SAP_User_Config. Cette liste de surveillance est l’un des principaux composants utilisés pour configurer les règles d’analytique intégrées SAP pour surveiller le journal d’audit SAP. - MessageID : ID de message ou type d’événement SAP, comme AUD (modifications d’enregistrement principal utilisateur) ou AUB (modifications d’autorisation). - DetailedDescription : description en format Markdown à afficher dans le volet des incidents. - ProductionSeverity : La gravité souhaitée pour l’incident à créer pour les systèmes de production High , Medium . Peut être définie sur Disabled . - NonProdSeverity : La gravité souhaitée pour l’incident à créer pour les systèmes hors production High , Medium . Peut être définie sur Disabled . - ProductionThreshold nombre d’événements « Par heure » à considérer comme suspects pour les systèmes de production 60 . - NonProdThresholdProductionThreshold nombre d’événements « Par heure » à considérer comme suspects pour les systèmes hors production 10 . - RolesTagsToExclude : Ce champ accepte les noms de rôles SAP, les noms de profils SAP ou les étiquettes de la liste de surveillance SAP_User_Config. Ces règles sont ensuite utilisées pour exclure les utilisateurs associés de certains types d’événements. Consultez les options des étiquettes de rôle à la fin de cette liste. - RuleType : utilisez Deterministic pour le type d’événement à envoyer à SAP - Moniteur de journal d’audit déterministe dynamique, ou AnomaliesOnly pour que cet événement soit couvert par SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION).- TeamsChannelID : paramètre dynamique facultatif à utiliser dans les playbooks. - DestinationEmail : paramètre dynamique facultatif à utiliser dans les playbooks. Pour le champ RolesTagsToExclude : - Si vous répertoriez des rôles SAP ou des profils SAP, cela exclut tout utilisateur disposant des rôles ou profils répertoriés de ces types d’événements pour le même système SAP. Par exemple, la spécification du rôle ABAP BASIC_BO_USERS pour les types d’événements liés à RFC, les utilisateurs d’objets métier ne déclenchent pas d’incidents lors de l’établissement d’appels RFC massifs.- L’étiquetage d’un type d’événement est similaire à la spécification de rôles ou de profils SAP, mais des étiquettes peuvent être créées dans l’espace de travail, afin que les équipes SOC puissent exclure des utilisateurs par activité sans dépendre de l’équipe SAP. Par exemple, les ID de message d’audit AUB (modifications d’autorisation) et AUD (modifications d’enregistrement principal utilisateur) reçoivent l’étiquette MassiveAuthChanges . Les utilisateurs auxquels cette étiquette est attribuée sont exclus des vérifications de ces activités. L’exécution de la fonction SAPAuditLogConfigRecommend de l’espace de travail produit une liste d’étiquettes recommandées à attribuer aux utilisateurs, telles que Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist . |
SAP_User_Config | Permet d’affiner les alertes en excluant/incluant des utilisateurs dans des contextes spécifiques, et est également utilisé pour configurer les règles d’analytique intégrées SAP pour surveiller le journal d’audit SAP. - SAPUser : l’utilisateur SAP - Étiquettes : les étiquettes sont utilisées pour identifier les utilisateurs par rapport à certaines activités. Par exemple, l’ajout des balises ["GenericTablebyRFCOK"] à l’utilisateur SENTINEL_SRV empêchera la création d’incidents liés à RFC pour cet utilisateur spécifique Autres identificateurs d’utilisateur Active Directory - Identificateur d’utilisateur AD - Sid local de l’utilisateur - Nom d’utilisateur principal |
Playbooks disponibles
Nom du playbook | Paramètres | Connexions |
---|---|---|
Réponse aux incidents SAP - Verrouiller l’utilisateur à partir de Teams - De base | - Utilisateur-Mot de passe-SAP-SOAP - Nom d’utilisateur-SAP-SOAP - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
Réponse aux incidents SAP - Verrouiller l’utilisateur à partir de Teams - Avancé | - SAP-SOAP-KeyVault-Informations de connexion-Nom - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Journaux d’activité Azure Monitor - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
Réponse aux incidents SAP - Réactiver la journalisation d’audit une fois désactivée | - SAP-SOAP-KeyVault-Informations de connexion-Nom - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Journaux d’activité Azure Monitor - Microsoft Teams |
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Déployer des applications Solution Microsoft Sentinel pour SAP®
- Référence des journaux des applications Solution Microsoft Sentinel pour SAP®
- Surveiller l’intégrité de votre système SAP
- Déployer le connecteur de données des applications Microsoft Sentinel solution for SAP® avec SNC
- Informations de référence sur le fichier de configuration
- Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
- Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®