Solution Microsoft Sentinel pour SAP BTP : informations de référence sur le contenu de sécurité
Cet article détaille le contenu de sécurité disponible pour la solution Microsoft Sentinel pour SAP BTP.
Le contenu de sécurité disponible se compose actuellement d’un classeur et de règles analytiques intégrés. Vous pouvez également ajouter des watchlists liées à SAP à utiliser dans votre recherche, vos règles de détection, votre chasse des menaces et vos playbooks de réponse.
En savoir plus sur la solution.
Classeur SAP BTP
Le classeur d’activité BTP offre une vue d’ensemble de l’activité BTP sous la forme d’un tableau de bord.
L’onglet Vue d’ensemble affiche les éléments suivants :
- Une vue d’ensemble des sous-comptes BTP, ce qui aide les analystes à identifier les comptes les plus actifs et le type de données ingérées.
- Activité de connexion de sous-compte, aidant les analystes à identifier les pics et tendances susceptibles d’être associés à des échecs de connexion dans SAP Business Application Studio (BAS).
- La chronologie de l’activité BTP et le nombre d’alertes de sécurité BTP, ce qui aide les analystes à chercher une corrélation entre les deux.
L’onglet Identity Management présente une grille d’événements de gestion des identités, tels que les changements de rôle d’utilisateur et de sécurité, sous une forme explicite. La barre de recherche vous permet de trouver rapidement des changements spécifiques.
Pour plus d’informations, consultez Tutoriel : Visualiser et surveiller vos données et déployer la solution Microsoft Sentinel pour SAP BTP.
Règles analytiques intégrées
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| BTP – Failed access attempts across multiple BAS subaccounts | Identifie les tentatives d’accès Business Application Studio (BAS) ayant échoué pour un nombre prédéfini de sous-comptes. Seuil par défaut : 3 |
L’exécution de la connexion a échoué tente de bas sur le nombre de sous-comptes défini. Sources de données : SAPBTPAuditLog_CL |
Découverte, Reconnaissance |
| BTP – Malware detected in BAS dev space | Identifie les instances de programmes malveillants détectées par l’agent anti-programmes malveillants interne SAP au sein d’espaces de développement BAS. | Copiez ou créez un fichier de programme malveillant dans un espace de développeur BAS. Sources de données : SAPBTPAuditLog_CL |
Exécution, persistance, développement de la ressource |
| BTP – User added to sensitive privileged role collection | Identifie les actions de gestion des identités dans lesquelles un utilisateur est ajouté à un ensemble de collections de rôles privilégiés supervisés. | Attribuez l’une des collections de rôles suivantes à un utilisateur : - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Sources de données : SAPBTPAuditLog_CL |
Mouvement latéral, réaffectation de privilèges |
| BTP – Trust and authorization Identity Provider monitor | Identifie les opérations de création, lecture, mise à jour et suppression (CRUD) dans les paramètres du fournisseur d’identité d’un sous-compte. | Modifiez, lisez, mettez à jour ou supprimez les paramètres du fournisseur d’identité dans un sous-compte. Sources de données : SAPBTPAuditLog_CL |
accès aux informations d’identification réaffectation de privilèges |
| BTP : Suppression en masse d’utilisateurs dans un sous compte | Identifie les activités de suppression de comptes d’utilisateurs dans lesquelles le nombre d’utilisateurs supprimés dépasse un seuil prédéfini. Seuil par défaut : 10 |
Supprimez le nombre de comptes d’utilisateur au-delà du seuil défini. Sources de données : SAPBTPAuditLog_CL |
Impact |
Étapes suivantes
Dans cet article, vous avez découvert le contenu de sécurité fourni avec la solution Microsoft Sentinel pour SAP BTP.