Solution Microsoft Sentinel pour les applications SAP : informations de référence sur le contenu de sécurité
Cet article détaille le contenu de sécurité disponible pour la solution Microsoft Sentinel pour SAP.
Important
Bien que la solution Microsoft Sentinel pour les applications SAP soit en disponibilité générale, certains composants spécifiques restent en préversion. Cet article indique les composants qui sont en préversion dans les sections pertinentes ci-dessous. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.
Le contenu de sécurité disponible comprend des classeurs intégrés et des règles d’analyse. Vous pouvez également ajouter des watchlists liées à SAP à utiliser dans votre recherche, vos règles de détection, votre chasse des menaces et vos playbooks de réponse.
Le contenu de cet article est destiné à votre équipe de sécurité .
Workbooks intégrés
Utilisez les classeurs intégrés suivants pour visualiser et contrôler les données ingérées via le connecteur de données SAP. Après avoir déployé la solution SAP, vous pouvez trouver des classeurs SAP sous l’onglet Modèles .
| Nom du classeur | Description | Journaux d’activité |
|---|---|---|
| SAP - Navigateur du journal d’audit | Affiche des données telles que : - Intégrité générale du système, y compris les connexions utilisateur au fil du temps, les événements ingérés par le système, les classes de messages et les ID et les programmes ABAP s’exécutent -Gravité des événements se produisant dans votre système - Événements d’authentification et d’autorisation se produisant dans votre système |
Utilise les données du journal suivant : ABAPAuditLog_CL |
| Contrôles d’audit SAP | Vous aide à vérifier que les contrôles de sécurité de votre environnement SAP sont conformes à votre infrastructure de contrôle choisie, à l’aide d’outils pour vous permettre d’effectuer les opérations suivantes : - Affecter des règles d’analyse dans votre environnement à des contrôles de sécurité et des familles de contrôles spécifiques - Surveiller et classer les incidents générés par les règles d’analytique basées sur la solution SAP - Signaler votre conformité |
Utilise les données des tableaux suivants : - SecurityAlert- SecurityIncident |
Pour plus d’informations, consultez Tutoriel : Visualiser et surveiller vos données et déployer la solution Microsoft Sentinel pour les applications SAP.
Règles analytiques intégrées
Cette section décrit une sélection de règles d’analytique intégrées fournies avec la solution Microsoft Sentinel pour les applications SAP. Pour connaître les mises à jour les plus récentes, consultez le hub de contenu Microsoft Sentinel pour connaître les règles nouvelles et mises à jour.
Surveiller la configuration des paramètres de sécurité SAP statiques (préversion)
Pour sécuriser le système SAP, SAP a identifié les paramètres liés à la sécurité qui doivent être surveillés pour les modifications. Avec la règle « Paramètre statique sensible SAP - (préversion) a changé », la solution Microsoft Sentinel pour les applications SAP effectue le suivi de plus de 52 paramètres de sécurité statiques dans le système SAP, qui sont intégrés à Microsoft Sentinel.
Remarque
Pour que la solution Microsoft Sentinel pour les applications SAP surveille correctement les paramètres de sécurité SAP, la solution doit surveiller correctement la table SAP PAHI à intervalles réguliers. Pour plus d’informations, consultez Vérifier que la table PAHI est mise à jour à intervalles réguliers.
Pour comprendre les modifications de paramètres dans le système, la solution Microsoft Sentinel pour les applications SAP utilise la table d’historique des paramètres, qui enregistre les modifications apportées aux paramètres système toutes les heures.
Les paramètres sont également reflétés dans la watchlist SAPSystemParameters. Cette liste de surveillance permet aux utilisateurs d’ajouter de nouveaux paramètres, de désactiver les paramètres existants et de modifier les valeurs et les gravités par paramètre et rôle système dans les environnements de production ou de non-production.
Lorsqu’une modification est apportée à l’un de ces paramètres, Microsoft Sentinel vérifie si la modification est liée à la sécurité et si la valeur est définie en fonction des valeurs recommandées. Si la modification est suspectée comme étant en dehors de la zone de sécurité, Microsoft Sentinel crée un incident détaillant la modification et identifie qui a apporté la modification.
Passez en revue la liste des paramètres que cette règle surveille.
Surveiller le journal d’audit SAP
La plupart des règles d’analyse de la solution Microsoft Sentinel pour les applications SAP utilisent les données du journal d’audit SAP. Certaines règles d’analyse recherchent des événements spécifiques dans le journal, tandis que d’autres mettent en corrélation des indications de plusieurs journaux pour créer des alertes et des incidents haute fidélité.
Utilisez les règles d’analyse suivantes pour surveiller tous les événements du journal d’audit sur votre système SAP ou déclencher des alertes uniquement lorsque des anomalies sont détectées :
| Nom de la règle | Description |
|---|---|
| SAP - Configuration manquante dans le moniteur du journal d’audit de sécurité dynamique | Par défaut, s’exécute quotidiennement pour fournir des recommandations de configuration pour le module de journal d’audit SAP. Utilisez le modèle de règle pour créer et personnaliser une règle pour votre espace de travail. |
| SAP - Moniteur de journal d’audit déterministe dynamique (PRÉVERSION) | Par défaut, il s’exécute toutes les 10 minutes et se concentre sur les événements du journal d’audit SAP marqués comme déterministes. Utilisez le modèle de règle pour créer et personnaliser une règle pour votre espace de travail, par exemple pour un taux de faux positif inférieur. Cette règle nécessite des seuils d’alerte déterministes et des règles d’exclusion utilisateur. |
| SAP - Alertes du moniteur de journal d’audit basé sur des anomalies dynamiques (PRÉVERSION) | Par défaut, s’exécute toutes les heures et se concentre sur les événements SAP marqués comme AnomaliesOnly, en alertant sur les événements du journal d’audit SAP lorsque des anomalies sont détectées. Cette règle applique des algorithmes d’apprentissage automatique supplémentaires pour filtrer le bruit d’arrière-plan de manière non supervisée. |
Par défaut, la plupart des types d’événements ou des ID de message SAP dans le journal d’audit SAP sont envoyés à la règle d’analyse d’analyse du journal d’audit basé sur des anomalies dynamiques basée sur les anomalies (PRÉVERSION), tandis que les types d’événements plus faciles à définir sont envoyés à la règle d’analyse déterministe du journal d’audit déterministe (PRÉVERSION ). Ce paramètre, ainsi que d’autres paramètres connexes, peuvent être configurés pour répondre à toutes les conditions système.
Les règles de surveillance des journaux d’audit SAP sont fournies dans le cadre du contenu de sécurité de la solution Microsoft Sentinel pour SAP et permettent un réglage plus précis à l’aide des SAP_Dynamic_Audit_Log_Monitor_Configuration et SAP_User_Config watchlists.
Par exemple, le tableau suivant répertorie plusieurs exemples de la façon dont vous pouvez utiliser la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration pour configurer les types d’événements qui produisent des incidents, ce qui réduit le nombre d’incidents générés.
| Option | Description |
|---|---|
| Définir les gravités et désactiver les événements indésirables | Par défaut, les règles déterministes et les règles basées sur des anomalies créent des alertes pour les événements de gravités moyenne et élevée. Vous pouvez configurer des niveaux de gravité séparément des environnements de production et de non-production. Par exemple, vous pouvez définir un événement d’activité de débogage comme gravité élevée dans les systèmes de production, et désactiver entièrement les mêmes événements dans les systèmes hors production. |
| Exclure les utilisateurs par leurs rôles SAP ou profils SAP | Microsoft Sentinel pour SAP ingère le profil d’autorisation de l’utilisateur SAP, y compris les attributions de rôles directes et indirectes, les groupes et les profils, afin de pouvoir parler la langue SAP dans votre SIEM. Vous pouvez configurer un événement SAP pour exclure les utilisateurs en fonction de leurs rôles et profils SAP. Dans la liste de surveillance, ajoutez les rôles ou profils qui regroupent les utilisateurs de votre interface RFC dans la colonne RolesTagsToExclude, en regard de l’événement d’accès à une table générique par RFC. Cette configuration déclenche des alertes uniquement pour les utilisateurs qui ne disposent pas de ces rôles. |
| Exclure les utilisateurs par leurs balises SOC | Utilisez des balises pour créer votre propre regroupement, sans compter sur des définitions SAP complexes ou même sans autorisation SAP. Cette méthode est utile pour les équipes SOC désireuses de créer leur propre regroupement pour des utilisateurs SAP. Par exemple, si vous ne souhaitez pas que des comptes de service spécifiques soient alertés pour l’accès aux tables génériques par les événements RFC , mais que vous ne trouvez pas de rôle SAP ou d’un profil SAP qui regroupe ces utilisateurs, utilisez des balises comme suit : 1. Ajoutez la balise GenTableRFCReadOK en regard de l’événement approprié dans la liste de surveillance. 2. Accédez à la SAP_User_Config watchlist et attribuez aux utilisateurs de l’interface la même balise. |
| Spécifier un seuil de fréquence par type d’événement et rôle système | Fonctionne comme une limite de vitesse. Par exemple, vous pouvez configurer les événements user Master Record Change pour déclencher uniquement des alertes si plus de 12 activités sont observées en une heure, par le même utilisateur dans un système de production. Si un utilisateur dépasse la limite de 12 activités par heure (par exemple, 2 événements dans une fenêtre de 10 minutes), un incident est déclenché. |
| Déterminisme ou anomalies | Si vous connaissez les caractéristiques de l’événement, utilisez les fonctionnalités déterministes. Si vous ne savez pas comment configurer correctement l’événement, autorisez les fonctionnalités de Machine Learning à décider de démarrer, puis effectuez les mises à jour suivantes en fonction des besoins. |
| Fonctionnalités SOAR | Utilisez Microsoft Sentinel pour orchestrer, automatiser et répondre aux incidents créés par les alertes dynamiques du journal d’audit SAP. Pour plus d’informations, consultez Automatisation dans Microsoft Sentinel : orchestration, automatisation et réponse dans le domaine de la sécurité (SOAR). |
Pour plus d’informations, consultez Les watchlists disponibles et La fonctionnalité Microsoft Sentinel pour SAP News - Dynamic SAP Security Audit Log Monitor disponible maintenant ! (blog).
Accès initial
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| SAP - Connexion à partir d’un réseau inattendu | Identifie une connexion à partir d’un réseau inattendu. Gérez les réseaux dans la watchlist SAP - Réseaux. |
Connectez-vous au système principal à partir d’une adresse IP qui n’est pas affectée à l’un des réseaux. Source de données : SAPcon - Journal d'audit |
Accès initial |
| SAP - Attaque SPNego | Identifie l’Attaque de relecture SPNego. | Source de données : SAPcon - Journal d'audit | Impact, mouvement latéral |
| SAP - Tentative de connexion de boîte de dialogue à partir d’un utilisateur privilégié | Identifie les tentatives de connexion de boîte de dialogue, avec le type AUM, par des utilisateurs privilégiés dans un système SAP. Pour plus d’informations, consultez SAPUsersGetPrivileged. | Essayez de vous connecter à partir de la même IP à plusieurs systèmes ou clients dans l’intervalle de temps planifié Source de données : SAPcon - Journal d'audit |
Impact, mouvement latéral |
| SAP - Attaques en force brute | Identifie les attaques par force brute sur le système SAP à l’aide des ouvertures de session RFC | Tentative de connexion à partir de la même adresse IP à plusieurs systèmes/clients dans l’intervalle de temps planifié à l’aide de RFC Source de données : SAPcon - Journal d'audit |
Accès aux informations d’identification |
| SAP - Plusieurs ouvertures de session à partir de la même adresse IP | Identifie la connexion de plusieurs utilisateurs à partir d’une même adresse IP dans un intervalle de temps planifié. Cas de sous-utilisation : Permanence |
Connectez-vous à l’aide de plusieurs utilisateurs via la même adresse IP. Source de données : SAPcon - Journal d'audit |
Accès initial |
| SAP - Plusieurs connexions par utilisateur | Identifie les connexions du même utilisateur à partir de plusieurs terminaux dans un intervalle de temps planifié. Disponible uniquement via la méthode Audit SAL, pour les versions SAP 7.5 et ultérieures. |
Connectez-vous à l’aide du même utilisateur, en utilisant des adresses IP différentes. Source de données : SAPcon - Journal d'audit |
Pré-attaque, accès aux informations d’identification, accès initial, collection Cas de sous-utilisation : Persistance |
| SAP - Informatif - Cycle de vie - les notes SAP ont été implémentées dans le système | Identifie l’implémentation des notes SAP dans le système. | Implémentez une note SAP à l’aide de SNOTE/TCI. Sources de données : SAPcon – Demandes de modification |
- |
| SAP - (préversion) AS JAVA - Utilisateur privilégié sensible connecté | Identifie une connexion à partir d’un réseau inattendu. Gérez les utilisateurs disposant de privilèges dans la watchlist SAP - Utilisateurs disposant de privilèges. |
Connectez-vous au système principal à l’aide des utilisateurs privilégiés. Sources de données : SAPJAVAFilesLog |
Accès initial |
| SAP - (préversion) AS JAVA - Connexion à partir d’un réseau inattendu | Identifie les connexions à partir d’un réseau inattendu. Maintenez les utilisateurs privilégiés dans la liste de surveillance SAP - Networks . |
Connectez-vous au système principal à partir d’une adresse IP qui n’est pas affectée à l’un des réseaux dans la liste de surveillance SAP - Réseaux Sources de données : SAPJAVAFilesLog |
Accès initial, évasion de défense |
Exfiltration de données
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| SAP - FTP pour les serveurs non autorisés | Identifie une connexion FTP pour un serveur non autorisé. | Créez une nouvelle connexion FTP, par exemple à l’aide du module de fonction FTP_CONNECT. Source de données : SAPcon - Journal d'audit |
Découverte, Accès initial, Commande et Contrôle |
| SAP - Configuration des serveurs FTP non sécurisés | Identifie les configurations de serveur FTP non sécurisées, par exemple lorsqu’une liste d’autorisation FTP est vide ou contient des espaces réservés. | Ne conservez pas ou conservez des valeurs qui contiennent des espaces réservés dans la SAPFTP_SERVERS table, à l’aide de la SAPFTP_SERVERS_V vue maintenance. (SM30) Source de données : SAPcon - Journal d'audit |
Accès initial, Commande et Contrôle |
| SAP - Téléchargements de plusieurs fichiers | Identifie plusieurs téléchargements de fichiers pour un utilisateur dans un intervalle de temps spécifique. | Téléchargez plusieurs fichiers à l’aide du SAPGui pour Excel, des listes, etc. Source de données : SAPcon - Journal d'audit |
Regroupement, Exfiltration, Accès aux informations d’identification |
| SAP - Plusieurs exécutions de spool | Identifie plusieurs spools pour un utilisateur dans un intervalle de temps spécifique. | Créer et exécuter plusieurs tâches de spools de n’importe quel type par un utilisateur. (SP01) Source de données : SAPcon - Journal de spool, SAPcon - Journal d’audit |
Regroupement, Exfiltration, Accès aux informations d’identification |
| SAP - Plusieurs exécutions de sortie de spool | Identifie plusieurs spools pour un utilisateur dans un intervalle de temps spécifique. | Créer et exécuter plusieurs tâches de spools de n’importe quel type par un utilisateur. (SP01) Source de données : SAPcon - Journal de sortie de spool, SAPcon - Journal d’audit |
Regroupement, Exfiltration, Accès aux informations d’identification |
| SAP - Accès direct aux tables sensibles avec connexion RFC | Identifie un accès de table générique par la connexion RFC. Conserve les tables dans la liste de surveillance SAP - Tables sensibles. Pertinent uniquement pour les systèmes de production. |
Ouvrez le contenu de la table à l’aide de SE11/SE16/SE16N. Source de données : SAPcon - Journal d'audit |
Regroupement, Exfiltration, Accès aux informations d’identification |
| SAP - Prise de contrôle de spool | Identifie un utilisateur qui imprime une demande de spool créée par une autre personne. | Créez une demande de spool à l’aide d’un utilisateur, puis exportez-la à l’aide d’un autre utilisateur. Sources de données : SAPcon – Journal de spool, SAPcon – Journal de sortie de spool, SAPcon – Journal d’audit |
Regroupement, Exfiltration, Commande et Contrôle |
| SAP - Destination RFC dynamique | Identifie l’exécution de RFC à l’aide de destinations dynamiques. Cas de sous-utilisation : Tentatives de contournement des mécanismes de sécurité SAP |
Exécuter un rapport ABAP qui utilise des destinations dynamiques (cl_dynamic_destination). Par exemple, DEMO_RFC_DYNAMIC_DEST. Source de données : SAPcon - Journal d'audit |
Regroupement, Exfiltration |
| SAP - Accès direct aux tables sensibles avec connexion par boîte de dialogue | Identifie l’accès à une table générique via une connexion par boîte de dialogue. | Ouvrez le contenu de la table à l’aide de SE11/SE16/SE16N. Source de données : SAPcon - Journal d'audit |
Découverte |
| SAP - (préversion) Fichier téléchargé à partir d’une adresse IP malveillante | Identifie le téléchargement d’un fichier à partir d’un système SAP à l’aide d’une adresse IP connue pour être malveillante. Les adresses IP malveillantes sont obtenues à partir des services de renseignement sur les menaces. | Téléchargez un fichier à partir d’une adresse IP malveillante. Sources de données : Journal d’audit de sécurité SAP, renseignement sur les menaces |
Exfiltration |
| SAP - (préversion) Données exportées à partir d’un système de production à l’aide d’un transport | Identifie l’exportation de données à partir d’un système de production à l’aide d’un transport. Les transports sont utilisés dans les systèmes de développement et sont similaires aux demandes de tirage. Cette règle d’alerte déclenche des incidents de gravité moyenne lorsqu’un transport qui inclut des données provenant d’une table sort d’un système de production. La règle crée un incident de gravité élevée lorsque l’exportation inclut des données provenant d’une table sensible. | Sortie d’un transport d’un système de production. Sources de données : journal SAP CR, SAP - Tables sensibles |
Exfiltration |
| SAP - (préversion) Données sensibles enregistrées dans un lecteur USB | Identifie l’exportation des données SAP via des fichiers. La règle vérifie les données enregistrées dans un lecteur USB récemment monté à proximité de l’exécution d’une transaction sensible, d’un programme sensible ou d’un accès direct à une table sensible. | Exportation des données SAP via des fichiers et enregistrement sur un lecteur USB. Sources de données : Journal d’audit de sécurité SAP, DeviceFileEvents (Microsoft Defender for Endpoint), SAP - Tables sensibles, SAP - Transactions sensibles, SAP - Programmes sensibles |
Exfiltration |
| SAP - (préversion) Impression de données potentiellement sensibles | Identifie une demande ou une impression réelle de données potentiellement sensibles. Les données sont considérées comme sensibles si l’utilisateur obtient les données dans le cadre d’une transaction sensible, de l’exécution d’un programme sensible ou d’un accès direct à une table sensible. | Impression ou demande d’impression de données sensibles. Sources de données : Journal d’audit de sécurité SAP, journaux du spool SAP, SAP - Tables sensibles, SAP - Programmes sensibles |
Exfiltration |
| SAP - (préversion) Volume élevé de données potentiellement sensibles exportées | Identifie l’exportation d’un volume élevé de données via des fichiers à proximité d’une exécution de transaction sensible, d’un programme sensible ou d’un accès direct à une table sensible. | Exportation d’un volume élevé de données via des fichiers. Sources de données : Journal d’audit de sécurité SAP, SAP - Tables sensibles, SAP - Transactions sensibles, SAP - Programmes sensibles |
Exfiltration |
Persistance
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| SAP - Activation ou désactivation du Service ICF | Identifie l’activation ou la désactivation des Services ICF. | Activez un service à l’aide de SICF. Sources de données : SAPcon - Journal de données de table |
Commande et Contrôle, Mouvement latéral, Persistance |
| SAP - Module de fonction testé | Identifie le test d’un module de fonction. | Testez un module de fonction à l’aide de SE37 / SE80. Source de données : SAPcon - Journal d'audit |
Collection, évasion de défense, mouvement latéral |
| SAP - (PRÉVERSION) HANA DB - Actions d’administration utilisateur | Identifie les actions d’administration de l’utilisateur. | Créez, mettez à jour ou supprimez un utilisateur de base de données. Sources de données : Agent Linux - Syslog* |
Réaffectation de privilèges |
| SAP - Nouveaux gestionnaires de service ICF | Identifie la création de gestionnaires ICF. | Assigner un nouveau gestionnaire à un service à l’aide de SICF. Source de données : SAPcon - Journal d'audit |
Commande et Contrôle, Mouvement latéral, Persistance |
| SAP - Nouveaux services ICF | Identifie la création de Services ICF. | Créez un service à l’aide de SICF. Sources de données : SAPcon - Journal de données de table |
Commande et Contrôle, Mouvement latéral, Persistance |
| SAP - Exécution d’un module de fonction obsolète ou non sécurisé | Identifie l’exécution d’un module de fonction ABAP obsolète ou non sécurisé. Conserve des fonctions obsolètes dans la liste de surveillance SAP - Modules de fonction obsolète. Veillez à activer les modifications de journalisation de table pour la table EUFUNC dans le serveur principal. (SE13)Pertinent uniquement pour les systèmes de production. |
Exécutez directement un module de fonction obsolète ou non sécurisé à l’aide de SE37. Sources de données : SAPcon - Journal de données de table |
Découverte, Commande et Contrôle |
| SAP - Exécution d’un programme obsolète/non sécurisé | Identifie l’exécution d’un programme ABAP obsolète ou non sécurisé. Conserve des programmes obsolètes dans la liste de surveillance SAP - Programmes obsolètes. Pertinent uniquement pour les systèmes de production. |
Exécutez un programme directement à l’aide de SE38/SA38/SE80, ou à l’aide d’une tâche en arrière-plan. Source de données : SAPcon - Journal d'audit |
Découverte, Commande et Contrôle |
| SAP - Plusieurs modifications de mot de passe par l’utilisateur | Identifie plusieurs modifications de mot de passe par l’utilisateur. | Modifier le mot de passe de l'utilisateur Source de données : SAPcon - Journal d'audit |
Accès aux informations d’identification |
| SAP - (préversion) AS JAVA - L’utilisateur crée et utilise un nouvel utilisateur | Identifie la création ou la manipulation d’utilisateurs par les administrateurs au sein de l’environnement Java SAP AS. | Connectez-vous au système principal à l’aide d’utilisateurs que vous avez créés ou manipulés. Sources de données : SAPJAVAFilesLog |
Persistance |
Tentatives de contournement des mécanismes de sécurité SAP
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| SAP - Modification de la configuration du client | Identifie les modifications apportées à la configuration du client, notamment le rôle du client ou le mode d’enregistrement des modifications. | Modifiez la configuration du client à l’aide du code de transaction SCC4. Source de données : SAPcon - Journal d'audit |
Évasion de défense, exfiltration, persistance |
| SAP - Données modifiées durant l’activité de débogage | Identifie les modifications des données du runtime pendant une activité de débogage. Cas de sous-utilisation : Persistance |
1. Activez le débogage (« /h »). 2. Sélectionnez un champ à modifier et mettre à jour sa valeur. Source de données : SAPcon - Journal d'audit |
Mouvement latéral, exécution |
| SAP - Désactivation du journal d’audit de sécurité | Identifie la désactivation du journal d’audit de sécurité. | Désactivez le journal d’audit de sécurité à l’aide de SM19/RSAU_CONFIG. Source de données : SAPcon - Journal d'audit |
Exfiltration, évasion de défense, persistance |
| SAP - Exécution d’un programme ABAP sensible | Identifie l’exécution directe d’un programme ABAP sensible. Gérez les programmes ABAP dans le watchlist SAP - Programmes ABAP sensibles. |
Exécutez un programme directement à l’aide de SE38/SA38/SE80. Source de données : SAPcon - Journal d'audit |
Exfiltration, mouvement latéral, exécution |
| SAP - Exécution d’un code de transaction sensible | Identifie l’exécution d’un code de transaction sensible. Gérez les codes de transaction dans la watchlist SAP - Codes de transactions sensibles. |
Exécutez un code de transaction sensible. Source de données : SAPcon - Journal d'audit |
Découverte, exécution |
| SAP - Exécution d’un module de fonction sensible | Identifie l’exécution directe d’un module de fonction ABAP sensible. Cas de sous-utilisation : Persistance Pertinent uniquement pour les systèmes de production. Conservez les fonctions sensibles dans la liste de surveillance SAP - Modules de fonction sensible et veillez à activer les modifications de journalisation de table sur le serveur principal pour la table EUFUNC. (SE13) |
Exécutez un module de fonction sensible directement à l’aide de SE37. Sources de données : SAPcon - Journal de données de table |
Découverte, Commande et Contrôle |
| SAP - (PRÉVERSION) HANA DB - Modifications de la stratégie de piste d’audit | Identifie les modifications pour les stratégies de piste d’audit HANA DB. | Créez ou mettez à jour la stratégie d’audit existante dans les définitions de sécurité. Sources de données : Agent Linux - Syslog |
Mouvement latéral, évasion de la défense, persistance |
| SAP - (PRÉVERSION) HANA DB - Désactivation de la piste d’audit | Identifie la désactivation du journal d’audit HANA DB. | Désactivez le journal d’audit dans la définition de sécurité HANA DB. Sources de données : Agent Linux - Syslog |
Persistance, mouvement latéral, évasion de défense |
| SAP : Exécution RFC distante non autorisée d’un module de fonction sensible | Détecte les exécutions non autorisées de machines virtuelles sensibles en comparant l’activité avec le profil d’autorisation de l’utilisateur, tout en ignorant les autorisations récemment modifiées. Gérez les modules de fonction dans la watchlist Modules de fonction SAP sensibles. |
Exécutez un module de fonction à l’aide de RFC. Source de données : SAPcon - Journal d'audit |
Exécution, mouvement latéral, découverte |
| SAP - Modification de la configuration système | Identifie les modifications apportées à la configuration système. | Adaptez les options de modification du système ou la modification des composants logiciels à l’aide du code de transaction SE06.Source de données : SAPcon - Journal d'audit |
Exfiltration, évasion de défense, persistance |
| SAP - Activités de débogage | Identifie toutes les activités associées au débogage. Cas de sous-utilisation : Persistance |
Activez le débogage (« /h ») dans le système, déboguez un processus actif, ajoutez un point d’arrêt au code source, etc. Source de données : SAPcon - Journal d'audit |
Découverte |
| SAP - Modification de la configuration du journal d’audit de sécurité | Identifie les modifications apportées à la configuration du journal d’audit de sécurité | Modifiez la configuration du journal d’audit de sécurité à l’aide de SM19/RSAU_CONFIG, comme les filtres, l’état, le mode d’enregistrement, etc. Source de données : SAPcon - Journal d'audit |
Persistence, exfiltration, évasion de défense |
| SAP - La transaction est déverrouillée | Identifie le déverrouillage d’une transaction. | Déverrouillez un code de transaction à l’aide de SM01/SM01_DEV/SM01_CUS. Source de données : SAPcon - Journal d'audit |
Persistance, exécution |
| SAP - Programme ABAP dynamique | Identifie l’exécution de la programmation ABAP dynamique. Par exemple, lorsque le code ABAP a été créé, modifié ou supprimé dynamiquement. Conservez les codes de transaction exclus dans la liste de surveillance SAP - Transactions pour les générations ABAP. |
Créez un rapport ABAP qui utilise les commandes de génération de programme ABAP, telles que INSÉRER UN RAPPORT, puis exécutez le rapport. Source de données : SAPcon - Journal d'audit |
Découverte, Commande et Contrôle, Impact |
Opérations de privilèges suspectes
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| SAP - Modification d’un utilisateur sensible disposant de privilèges | Identifie les modifications d’utilisateurs sensibles disposant de privilèges. Gérez les utilisateurs disposant de privilèges dans la watchlist SAP - Utilisateurs disposant de privilèges. |
Modifiez les informations d’utilisateur et les autorisations à l’aide de SU01. Source de données : SAPcon - Journal d'audit |
Réaffectation de privilèges, accès aux informations d’identification |
| SAP - (PRÉVERSION) HANA DB - Attribuer des autorisations d’administrateur | Identifie des privilèges d’administrateur ou une attribution de rôle. | Affectez à un utilisateur un rôle d’administrateur ou des privilèges. Sources de données : Agent Linux - Syslog |
Réaffectation de privilèges |
| SAP - Utilisateur sensible disposant de privilèges et connecté | Identifie la connexion d’un utilisateur sensible disposant de privilèges. Gérez les utilisateurs disposant de privilèges dans la watchlist SAP - Utilisateurs disposant de privilèges. |
Connectez-vous au système principal à l’aide de SAP* ou d’un autre utilisateur privilégié. Source de données : SAPcon - Journal d'audit |
Accès initial, accès aux informations d’identification |
| SAP - Un utilisateur sensible disposant de privilèges apporte une modification à un autre utilisateur | Identifie les modifications d’utilisateurs sensibles disposant de privilèges dans d’autres utilisateurs. | Modifiez les informations d’utilisateur/autorisations à l’aide de SU01. Source de données : SAPcon – Journal d’audit |
Réaffectation de privilèges, accès aux informations d’identification |
| SAP - Modification du mot de passe et connexion d’utilisateurs sensibles | Identifie les modifications de mot de passe pour les utilisateurs privilégiés. | Modifiez le mot de passe d’un utilisateur privilégié et connectez-vous au système. Gérez les utilisateurs disposant de privilèges dans la watchlist SAP - Utilisateurs disposant de privilèges. Source de données : SAPcon - Journal d'audit |
Impact, Commande et Contrôle, Escalade de privilèges |
| SAP - Création et utilisation utilisateur d’un nouvel utilisateur | Identifie un utilisateur qui crée et utilise d’autres utilisateurs. Cas de sous-utilisation : Persistance |
Créez un utilisateur à l’aide de SU01, puis connectez-vous à l’aide du compte utilisateur nouvellement créé et de la même adresse IP. Source de données : SAPcon - Journal d'audit |
Découverte, pré-attaque, accès initial |
| SAP - Déverrouillage et utilisation utilisateur d’autres utilisateurs | Identifie un utilisateur déverrouillé et utilisé par d’autres utilisateurs. Cas de sous-utilisation : Persistance |
Créez un utilisateur à l’aide de SU01, puis connectez-vous à l’aide de l’utilisateur déverrouillé et de la même adresse IP. Sources de données : SAPcon – Journal d’audit, SAPcon – Journal des documents de modification |
Découverte, pré-attaque, accès initial, mouvement latéral |
| SAP - Attribution d’un profil sensible | Identifie les nouvelles affectations d’un profil sensible à un utilisateur. Gérez les profils sensibles dans la watchlist SAP - Profils sensibles. |
Affectez un profil à un utilisateur à l’aide de SU01. Sources de données : SAPcon - Journal des documents de modification |
Réaffectation de privilèges |
| SAP - Affectation d’un rôle sensible | Identifie les nouvelles affectations pour un rôle sensible à un utilisateur. Gérez les rôles sensibles dans la watchlist SAP - Rôles sensibles. |
Affectez un rôle à un utilisateur à l’aide de SU01 / PFCG. Sources de données : SAPcon - Journal des documents de modification, journal d'audit |
Réaffectation de privilèges |
| SAP - (PRÉVERSION) Affectation d’autorisations critiques - Nouvelle valeur d’autorisation | Identifie l’affectation d’une valeur d’objet d’autorisation critique à un nouvel utilisateur. Gérez les objets d’autorisation critiques dans la watchlist SAP - Objets d’autorisation critiques. |
Affectez un nouvel objet d’autorisation ou mettez à jour un objet existant dans un rôle à l’aide de PFCG. Sources de données : SAPcon - Journal des documents de modification |
Réaffectation de privilèges |
| SAP - Affectation d’autorisations critiques - Nouvelle affectation d’utilisateur | Identifie l’affectation d’une valeur d’objet d’autorisation critique à un nouvel utilisateur. Gérez les objets d’autorisation critiques dans la watchlist SAP - Objets d’autorisation critiques. |
Affectez un nouvel utilisateur à un rôle qui contient des valeurs d’autorisation critiques, à l’aide de SU01/PFCG. Sources de données : SAPcon - Journal des documents de modification |
Réaffectation de privilèges |
| SAP - Changements de rôles sensibles | Identifie les modifications apportées aux rôles sensibles. Gérez les rôles sensibles dans la watchlist SAP - Rôles sensibles. |
Modifiez un rôle à l’aide de PFCG. Sources de données : SAPcon - Journal des documents de modification, SAPcon - Journal d’audit |
Impact, Escalade des privilèges, Persistance |
Watchlists disponibles
Le tableau suivant répertorie les watchlists disponibles pour la solution Microsoft Sentinel pour les applications SAP et les champs de chaque liste de surveillance.
Ces watchlists fournissent la configuration de la solution Microsoft Sentinel pour les applications SAP. Les watchlists SAP sont disponibles dans le référentiel de GitHub Microsoft Sentinel.
| Nom de la watchlist | Description et champs |
|---|---|
| SAP - Objets d’autorisation critiques | Objet d’autorisation critique pour lequel les affectations doivent être régies. - AuthorizationObject : objet d’autorisation SAP, par exemple S_DEVELOP, S_TCODE ou Table TOBJ - AuthorizationField : champ d’autorisation SAP, par exemple OBJTYP ou TCD - AuthorizationValue : valeur de champ d’autorisation SAP, par exemple DEBUG - ActivityField : champ d’activité SAP. Dans la plupart des cas, cette valeur est ACTVT. Pour les objets d’autorisation sans activité, ou avec un seul champ d’activité rempli avec NOT_IN_USE. - Activity : activité SAP, selon l’objet d’autorisation, par exemple : 01: Créer ; 02 : Modifier ; 03: Afficher, etc. - Description : description explicite d’un objet d’autorisation critique. |
| SAP - Réseaux exclus | Pour la maintenance interne de réseaux exclus, par exemple pour ignorer les répartiteurs Web, les serveurs Terminal Server, etc. -Network : adresse ou plage d’adresses IP de réseau, par exemple 111.68.128.0/17. -Description : description explicite du réseau. |
| Utilisateurs SAP exclus | Utilisateurs système connectés au système et qui doivent être ignorés. Par exemple, les alertes pour plusieurs connexions par le même utilisateur. - User : utilisateur SAP -Description : description explicite de l’utilisateur. |
| SAP - Réseaux | Réseaux internes et de maintenance pour l’identification des connexions non autorisées. - Réseau : adresse ou plage d’adresses IP de réseau, par exemple 111.68.128.0/17 - Description : description explicite du réseau. |
| SAP - Utilisateurs disposant de privilèges | Utilisateurs disposant de privilèges et soumis à des restrictions supplémentaires. - User : l’utilisateur ABAP, par exemple DDIC ou SAP - Description : description explicite de l’utilisateur. |
| SAP - Programmes ABAP sensibles | Programmes ABAP sensibles (rapports) pour lesquels l’exécution doit être régie. - ABAPProgram : programme ou rapport ABAP, par exemple RSPFLDOC - Description : description explicite du programme. |
| SAP - Module de fonction sensible | Réseaux internes et de maintenance pour l’identification des connexions non autorisées. - FunctionModule : module de fonction ABAP, tel que RSAU_CLEAR_AUDIT_LOG - Description : description explicite du module. |
| SAP - Profils sensibles | Profils sensibles pour lesquels les affectations doivent être régies. - Profile : profil d’autorisation SAP, par exemple SAP_ALL ou SAP_NEW - Description : description explicite du profil. |
| SAP - Tables sensibles | Tables sensibles, où l’accès doit être régi. - Table : table de dictionnaires ABAP, par exemple USR02 ou PA008 - Description : description explicite de la table. |
| SAP - Rôles sensibles | Rôles sensibles pour lesquels l’affectation doit être régie. - Role : rôle d’autorisation SAP, par exemple SAP_BC_BASIS_ADMIN - Description : description explicite du rôle. |
| SAP - Transactions sensibles | Transactions sensibles pour lesquelles l’exécution doit être régie. - TransactionCode : code de transaction SAP, par exemple RZ11 - Description : description explicite du code. |
| SAP - Systèmes | Décrit le paysage des systèmes SAP en fonction du rôle, de l’utilisation et de la configuration. - SystemID : ID du système SAP (SYSID) - SystemRole : rôle du système SAP, indiqué par l’une des valeurs suivantes : Sandbox, Development, Quality Assurance, Training, Production - SystemUsage : utilisation du système SAP, indiquée par l’une des valeurs suivantes : ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes : paramètre dynamique facultatif à utiliser dans les playbooks. |
| SAPSystemParameters | Paramètres à surveiller pour les modifications de configuration suspectes. Cette watchlist est préremplie avec les valeurs recommandées (conformément aux meilleures pratiques SAP), et vous pouvez l’étendre pour inclure d’autres paramètres. Si vous ne souhaitez pas recevoir d’alertes pour un paramètre, définissez EnableAlerts sur false.- ParameterName : nom du paramètre. - Comment : description du paramètre standard SAP. - EnableAlerts : définit s’il faut activer les alertes pour ce paramètre. Les valeurs sont true et false.- Option : définit dans ce cas de déclencher une alerte : si la valeur du paramètre est supérieure ou égale ( GE), inférieure ou égale (LE) ou égale (EQ)Par exemple, si le paramètre SAP login/fails_to_user_lock a la valeur LE (inférieure ou égale) et une valeur 5, lorsque Microsoft Sentinel détecte une modification de ce paramètre spécifique, il compare la valeur qui vient d’être signalée et la valeur attendue. Si la nouvelle valeur est 4, Microsoft Sentinel ne déclenche pas d’alerte. Si la nouvelle valeur est 6, Microsoft Sentinel déclenche une alerte.- ProductionSeverity : gravité de l’incident pour les systèmes de production. - ProductionValues : valeurs autorisées pour les systèmes de production. - NonProdSeverity : gravité de l’incident pour les systèmes hors production. - NonProdValues : valeurs autorisées pour les systèmes hors production. |
| SAP - Utilisateurs exclus | Les utilisateurs système connectés et devant être ignorés, par exemple pour l’alerte « Plusieurs ouvertures de session par l’utilisateur ». - User : utilisateur SAP - Description : description explicite de l’utilisateur |
| SAP - Réseaux exclus | Conserver les réseaux internes et exclus pour ignorer les répartiteurs web, les serveurs Terminal Server, etc. - Réseau : adresse ou plage d’adresses IP de réseau, par exemple 111.68.128.0/17 - Description : description explicite du réseau |
| SAP - Modules de fonction obsolètes | Modules de fonction obsolètes, dont l’exécution doit être régie. - FunctionModule : module de fonction ABAP, tel que TH_SAPREL - Description : description explicite du module de fonction |
| SAP - Programmes obsolètes | Programmes ABAP obsolètes (rapports) pour lesquels l’exécution doit être régie. - ABAPProgram : programme ABAP, tel que TH_SAPREL - Description : description explicite du programme ABAP |
| SAP -Transactions pour les générations ABAP | Transactions pour les générations ABAP dont l’exécution doit être régie. - TransactionCode : code de transaction, tel que SE11. - Description : description explicite du Code de transaction |
| SAP - Serveurs FTP | Serveurs FTP pour l’identification des connexions non autorisées. - Client : tel que 100. - FTP_Server_Name: nom du serveur FTP, tel que http://contoso.com/ -FTP_Server_Port: port du serveur FTP, tel que 22. - Description : description explicite du Serveur FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configurez les alertes du journal d’audit SAP en affectant à chaque ID de message un niveau de gravité, selon vos besoins, par rôle système (production, non-production). Cette liste de surveillance détaille tous les ID de message de journal d’audit standard SAP disponibles. La liste de surveillance peut être étendue pour contenir des ID de message supplémentaires que vous pouvez créer par vous-même à l’aide d’améliorations ABAP sur leurs systèmes SAP NetWeaver. Cette liste de surveillance permet également de configurer une équipe désignée pour gérer chacun des types d’événements et d’exclure des utilisateurs par rôles SAP, par profils SAP ou par étiquettes de la liste de surveillance SAP_User_Config. Cette liste de surveillance est l’un des principaux composants utilisés pour configurer les règles d’analytique SAP intégrées pour surveiller le journal d’audit SAP. Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - MessageID : ID de message ou type d’événement SAP, comme AUD (modifications d’enregistrement principal utilisateur) ou AUB (modifications d’autorisation). - DetailedDescription : description en format Markdown à afficher dans le volet des incidents. - ProductionSeverity : La gravité souhaitée pour l’incident à créer pour les systèmes de production High, Medium. Peut être définie sur Disabled. - NonProdSeverity : gravité souhaitée pour l’incident à créer pour les systèmes Highhors production , Medium. Peut être définie sur Disabled. - ProductionThreshold nombre d’événements « Par heure » à considérer comme suspects pour les systèmes de production 60. - NonProdThreshold Le nombre d’événements « par heure » à considérer comme suspect pour les systèmes 10hors production . - RolesTagsToExclude : Ce champ accepte les noms de rôles SAP, les noms de profils SAP ou les étiquettes de la liste de surveillance SAP_User_Config. Ces règles sont ensuite utilisées pour exclure les utilisateurs associés de certains types d’événements. Consultez les options des étiquettes de rôle à la fin de cette liste. - RuleType : utilisez Deterministic pour que le type d’événement soit envoyé à la règle SAP - Dynamic Deterministic Audit Log Monitor , ou AnomaliesOnly pour que cet événement soit couvert par la règle SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - TeamsChannelID : paramètre dynamique facultatif à utiliser dans les playbooks. - DestinationEmail : paramètre dynamique facultatif à utiliser dans les playbooks. Pour le champ RolesTagsToExclude : - Si vous répertoriez des rôles SAP ou des profils SAP, cela exclut tout utilisateur disposant des rôles ou profils répertoriés de ces types d’événements pour le même système SAP. Par exemple, la spécification du rôle ABAP BASIC_BO_USERS pour les types d’événements liés à RFC, les utilisateurs d’objets métier ne déclenchent pas d’incidents lors de l’établissement d’appels RFC massifs.- L’étiquetage d’un type d’événement est similaire à la spécification de rôles ou de profils SAP, mais les balises peuvent être créées dans l’espace de travail, de sorte que les équipes SOC peuvent exclure les utilisateurs par activité sans dépendre de l’équipe SAP BASIS. Par exemple, les ID de message d’audit AUB (modifications d’autorisation) et AUD (modifications d’enregistrement principal utilisateur) reçoivent l’étiquette MassiveAuthChanges. Les utilisateurs auxquels cette étiquette est attribuée sont exclus des vérifications de ces activités. L’exécution de la fonction SAPAuditLogConfigRecommend de l’espace de travail produit une liste d’étiquettes recommandées à attribuer aux utilisateurs, telles que Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permet d’affiner les alertes en excluant /notamment les utilisateurs dans des contextes spécifiques et est également utilisé pour configurer les règles d’analyse SAP intégrées pour surveiller le journal d’audit SAP. Pour plus d’informations, consultez Surveiller le journal d’audit SAP. - SAPUser : l’utilisateur SAP - Étiquettes : les étiquettes sont utilisées pour identifier les utilisateurs par rapport à certaines activités. Par exemple, l’ajout des balises ["GenericTablebyRFCOK"] à l’utilisateur SENTINEL_SRV empêchera la création d’incidents liés à RFC pour cet utilisateur spécifique Autres identificateurs d’utilisateur Active Directory - Identificateur d’utilisateur AD - Sid local de l’utilisateur - Nom d’utilisateur principal |
Playbooks disponibles
Les playbooks fournis par la solution Microsoft Sentinel pour les applications SAP vous aident à automatiser les charges de travail de réponse aux incidents SAP, ce qui améliore l’efficacité et l’efficacité des opérations de sécurité.
Cette section décrit les playbooks d’analytique intégrés fournis avec la solution Microsoft Sentinel pour les applications SAP.
| Nom du playbook | Paramètres | Connexions |
|---|---|---|
| Réponse aux incidents SAP - Verrouiller l’utilisateur à partir de Teams - De base | - Utilisateur-Mot de passe-SAP-SOAP - Nom d’utilisateur-SAP-SOAP - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Réponse aux incidents SAP - Verrouiller l’utilisateur à partir de Teams - Avancé | - SAP-SOAP-KeyVault-Informations de connexion-Nom - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Journaux d’activité Azure Monitor - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| Réponse aux incidents SAP - Réactiver la journalisation d’audit une fois désactivée | - SAP-SOAP-KeyVault-Informations de connexion-Nom - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Journaux d’activité Azure Monitor - Microsoft Teams |
Les sections suivantes décrivent des exemples de cas d’utilisation pour chacun des playbooks fournis, dans un scénario où un incident vous a averti d’une activité suspecte dans l’un des systèmes SAP, où un utilisateur tente d’exécuter l’une de ces transactions hautement sensibles.
Au cours de la phase de triage des incidents, vous décidez de prendre des mesures contre cet utilisateur, de le lancer hors de vos systèmes SAP ERP ou BTP ou même à partir de l’ID Microsoft Entra.
Pour plus d’informations, consultez Automatiser la réponse aux menaces avec des playbooks dans Microsoft Sentinel
Le processus de déploiement d’applications logiques standard est généralement plus complexe que celui des applications logiques consommation. Nous avons créé une série de raccourcis pour vous aider à les déployer rapidement à partir du dépôt GitHub Microsoft Sentinel. Pour plus d’informations, consultez guide d’installation pas à pas.
Conseil
Regardez le dossier des playbooks SAP dans le référentiel GitHub pour plus de playbooks dès qu’ils deviennent disponibles. Vous trouverez également une courte vidéo de présentation (lien externe) pour vous aider à vous lancer.
Bloquer un utilisateur à partir d’un système unique
Créez une règle d’automatisation pour appeler l’utilisateur Lock à partir de Teams - Playbook de base chaque fois qu’une transaction sensible exécutée par un utilisateur non autorisé est détectée. Ce guide opérationnel utilise la fonctionnalité des cartes adaptatives de Teams pour demander une approbation avant de bloquer unilatéralement l’utilisateur.
Pour plus d’informations, consultez De zéro à la couverture de sécurité héros avec Microsoft Sentinel pour vos signaux de sécurité SAP critiques - Vous allez m’entendre SOAR ! Partie 1 (billet de blog SAP).
L’utilisateur Lock de Teams - Playbook de base est un playbook Standard, et les playbooks Standard sont généralement plus complexes à déployer que les playbooks Consommation.
Nous avons créé une série de raccourcis pour vous aider à les déployer rapidement à partir du dépôt GitHub Microsoft Sentinel. Pour plus d’informations, consultez le Guide d’installation pas à pas et les types d’applications logiques pris en charge.
Bloquer un utilisateur à partir de plusieurs systèmes
Le guide opérationnel Bloquer un utilisateur à partir de Teams (avancé) fait la même chose, mais il est conçu pour des scénarios plus complexes, ce qui permet d’utiliser un seul guide opérationnel pour plusieurs systèmes SAP, chacun avec son propre SID SAP.
L’utilisateur Lock de Teams - Playbook avancé gère en toute transparence les connexions à tous ces systèmes, ainsi que leurs informations d’identification, à l’aide du paramètre dynamique facultatif InterfaceAttributes dans la liste de surveillance SAP - Systems et Azure Key Vault.
L’utilisateur Lock from Teams - Advanced playbook vous permet également de communiquer aux parties du processus d’approbation à l’aide de messages actionnables Outlook avec Teams, à l’aide des paramètres TeamsChannelID et DestinationEmail dans la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration .
Pour plus d’informations, consultez De zéro à la couverture de sécurité héros avec Microsoft Sentinel pour vos signaux de sécurité SAP critiques – Partie 2 (billet de blog SAP).
Empêcher la désactivation du journal d’audit
Vous pouvez également vous soucier du journal d’audit SAP, qui est l’une de vos sources de données de sécurité, en cours de désactivation. Nous vous recommandons de créer une règle d’automatisation basée sur la règle SAP - Désactivation de la règle d’analyse des journaux d’audit de sécurité pour appeler la journalisation d’audit reenable une fois le playbook désactivé pour vous assurer que le journal d’audit SAP n’est pas désactivé.
Le playbook SAP - Désactivation du journal d’audit de sécurité utilise également Teams, informant le personnel de sécurité après le fait. La gravité de l’infraction et l’urgence de son atténuation indiquent que des mesures immédiates peuvent être prises sans approbation requise.
Étant donné que le playbook SAP - Désactivation du journal d’audit de sécurité utilise également Azure Key Vault pour gérer les informations d’identification, la configuration du playbook est similaire à celle de l’utilisateur Lock à partir de Teams - Playbook avancé . Pour plus d’informations, consultez De zéro à la couverture de sécurité héros avec Microsoft Sentinel pour vos signaux de sécurité SAP critiques – Partie 3 (billet de blog SAP).
Contenu connexe
Pour plus d’informations, consultez Déploiement de la solution Microsoft Sentinel pour les applications SAP.