Megosztás a következőn keresztül:

Felhasználói naplózási tevékenységek monitorozása és nyomon követése SAP-rendszereken

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ez a cikk az SAP - Security Audit log and Initial Access munkafüzetet ismerteti, amely a felhasználói naplózási tevékenységek figyelésére és nyomon követésére szolgál az SAP-rendszereken. A munkafüzet segítségével madártávlatból tekintheti meg a felhasználói naplózási tevékenységeket, hatékonyabban védheti sap-rendszereit, és gyorsan áttekintheti a gyanús műveleteket. Szükség szerint részletezheti a gyanús eseményeket.

Használja a munkafüzetet az SAP-rendszerek folyamatos figyeléséhez, vagy biztonsági incidenst vagy más gyanús tevékenységet követő rendszerek áttekintéséhez.

Példa:

Képernyőkép az SAP -Security Audit napló és az Initial Access munkafüzet tetejéről.

A cikkben szereplő tartalom a biztonsági csapatnak szól.

Előfeltételek

Mielőtt elkezdené használni az SAP – Security Audit naplót és az Initial Access munkafüzetet, a következővel kell rendelkeznie:

  • Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás telepítve van, és üzembe helyez egy adatösszekötő-ügynököt. További információ: Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz.

  • A Microsoft Sentinel számára engedélyezett Log Analytics-munkaterületen telepített SAP – Biztonsági naplózási napló és Initial Access munkafüzet. További információ: Adatok vizualizációja és monitorozása munkafüzetek használatával a Microsoft Sentinelben.

    Fontos

    Az SAP - Security Audit naplót és az Initial Access munkafüzetet az a munkaterület üzemelteti, ahol az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás telepítve volt. Alapértelmezés szerint az SAP és az SOC-adatok is a munkafüzetet üzemeltető munkaterületen lesznek.

    Ha az SOC-adatok más munkaterületen találhatók, mint a munkafüzetet üzemeltető munkaterület, ügyeljen arra, hogy az adott munkaterülethez tartozó előfizetést is tartalmazza, és válassza ki az SOC-munkaterületet az Azure audit- és tevékenység-munkaterületéről.

  • Legalább egy incidens a Microsoft Sentinel-munkaterületen, és legalább egy bejegyzés elérhető a SecurityIncident táblában. Ennek nem kell SAP-incidensnek lennie, és létrehozhat egy bemutató incidenst egy alapszintű elemzési szabály használatával, ha nincs másik.

  • Ha a Microsoft Entra-adatok egy másik Log Analytics-munkaterületen találhatók, győződjön meg arról, hogy a megfelelő előfizetéseket és munkaterületeket a munkafüzet tetején, az Azure-naplózás és -tevékenységek területen választja ki.

Támogatott szűrők

Az SAP – Biztonsági auditnapló és az Initial Access munkafüzet a következő szűrőket támogatja, amelyek segítenek a szükséges adatokra összpontosítani:

  • Időtartomány. Négy órától 90 napig.
  • Rendszerszerepkörök. Az SAP rendszerszerepkörei, például: Fejlesztés.
  • Rendszerhasználat. Például: SAP GTS.
  • SAP-rendszerek. Kiválaszthatja az összes rendszert, egy adott rendszert, vagy több rendszert is kiválaszthat.

Ha olyan rendszereket választ ki, amelyek nincsenek konfigurálva az SAP-rendszerek figyelőlistájában, a munkafüzet hibát jelenít meg, és megadja a problémákat tartalmazó rendszereket. Ebben az esetben konfigurálja a figyelőlistát úgy, hogy megfelelően tartalmazza ezeket a rendszereket.

Bejelentkezési elemzési jelentés adatai

Az SAP – Biztonsági auditnapló és az Initial Access munkafüzet Bejelentkezési elemzési jelentés lapja a bejelentkezési hibákra vonatkozó adatokat jeleníti meg, például a rendellenes adatokat, a Microsoft Entra-adatokat és egyebeket.

Az adatok az SAP-rendszerek figyelőlistáján alapulnak.

A Bejelentkezési elemzési jelentés lap a következő területeket tartalmazza:

Bejelentkezési elemzés

A bejelentkezési elemzési terület megjeleníti a felhasználói bejelentkezéseket. Például:

Képernyőkép az SAP Audit munkafüzet bejelentkezési elemzési területéről.

Az alábbi táblázat a bejelentkezési elemzési terület egyes metrikáit ismerteti:

Terület Leírás
Egyedi felhasználói bejelentkezések rendszerenként Megjeleníti az egyes SAP-rendszerek egyedi aláíróinak számát, valamint egy grafikont, amelyen a bejelentkezési trendek az egyes rendszerekhez megadott idő alatt láthatók.

Például: a 012 rendszer 1,4 K egyedi bejelentkezési kísérletekkel rendelkezik az elmúlt 14 napban, és ebben a 14 napban a grafikon viszonylag növekvő bejelentkezési trendet mutat.
Bejelentkezési típusok trendje A bejelentkezések számának trendje típus szerint, például bejelentkezés párbeszédpanelen keresztül.

Mutasson a gráfra a különböző dátumokhoz tartozó bejelentkezések számának megjelenítéséhez.
Bejelentkezési hibák és egyedi felhasználók sikeressége – trend A sikeres és sikertelen bejelentkezések trendje a kijelölt időszakban.

Mutasson a gráfra a sikeres és sikertelen bejelentkezések mennyiségének megjelenítéséhez a különböző dátumokhoz.

Bejelentkezési hibák – anomáliadetektálás

Az Anomáliadetektálási területek – a zajos sikertelen bejelentkezési kísérletek kiszűrése az SAP-rendszerek és a felhasználók bejelentkezési hibaadatait jeleníti meg. Ha csak a megjelölt adatokat szeretné megtekinteni, válassza az Anomalous (Csak a hibás bejelentkezések ) lehetőséget a jobb oldalon.

További információ: Az SAP naplózási naplójának figyelése.

Példa:

Képernyőkép az SAP Audit munkafüzet Bejelentkezési hibák területén található szakaszokról, amelyeket rendellenes adatok alapján szűrhet.

Az alábbi táblázat az Anomáliadetektálási terület egyes metrikáit ismerteti:

Terület Leírás
Bejelentkezési hibák gyakorisága>– Bejelentkezési hibák anomáliái>– Egyedi felhasználó sikertelen bejelentkezése SAP-rendszerenként Az egyes SAP-rendszerek egyedi sikertelen bejelentkezéseinek számát jeleníti meg.
Az SAP és az Active Directory együtt jobbak A rendellenes bejelentkezési hibák táblázata a Microsoft Sentinel és a Microsoft Entra adatok kombinációját jeleníti meg, a felhasználókat a kockázat szerint listázva, a legkockázatosabb felhasználókkal a tetején.

Minden felhasználó esetében a táblázat a következőt jeleníti meg:
– Sikertelen bejelentkezési kísérletek idővonala
- Egy idősor, amely azt mutatja, hogy melyik időpontban történt rendellenes sikertelen kísérlet
- Az anomália típusa
- A felhasználó e-mail-címe
- A Microsoft Entra kockázati mutatója
– Incidensek és riasztások száma a Microsoft Sentinelben

Válassza ki a felhasználó sorát a kapcsolódó riasztások és incidensek listájának megtekintéséhez. A Microsoft Entra kockázati eseményei az Azure naplózási és bejelentkezési kockázatainak listájában jelennek meg a felhasználó számára.
Bejelentkezési hibák gyakorisága rendszerenként A kiválasztott SAP-rendszereket jeleníti meg típus szerint csoportosítva, a kiválasztott időszakban előforduló hibák számával.

A rendszer színe a sikertelen kísérletek számát jelzi: Néhány gyanús bejelentkezési kísérlet esetén zöld, továbbiakért pedig piros.

Válasszon ki egy rendszert a sikertelen bejelentkezések listájának megtekintéséhez, a hibák részleteivel együtt.

Az alábbi képernyőképen jegyezze fel azokat az adatokat, amikor az első sor ki van jelölve a rendellenes bejelentkezési hibák táblában. Az adott riasztások és incidens URL-címek a felhasználói tábla Incidensek/riasztások áttekintésében jelennek meg.

Képernyőkép azokról az adatokról, amikor egy sor van kijelölve a rendellenes bejelentkezési hibák táblában.

Az alábbi képernyőképen az Azure naplózási és bejelentkezési kockázatai a felhasználóval kapcsolatos bejelentkezési kockázat adatait jelenítik meg.

Képernyőkép az audit- és bejelentkezési kockázati adatokról, amikor egy sor van kijelölve az Rendellenes bejelentkezési hibák táblában.

Az alábbi képernyőképen jegyezze fel a bejelentkezési hibák gyakoriságát rendszerterületenként, ahol a tesztcsoport alatti 84e rendszer van kiválasztva. A jobb oldali rendszerterület sikertelen bejelentkezései a rendszer meghibásodási eseményeit jelenítik meg.

Képernyőkép az SAP Audit-munkafüzet rendszerterületenkénti bejelentkezési hibaarányáról.

Bejelentkezési hibák – trendek

A bejelentkezési hibák trendjei terület a sikertelen bejelentkezések trendjeit és számát jeleníti meg, különböző típusú adatok szerint csoportosítva. Példa:

Képernyőkép az SAP Audit munkafüzet Bejelentkezési hibák trendjei területéről.

Az alábbi táblázat a bejelentkezési hibák trendjeinek területén található összes metrikát ismerteti:

Terület Leírás
Bejelentkezési hiba ok szerint A bejelentkezési hibák számának trendje a hiba okának megfelelően, például helytelen bejelentkezési adatok alapján.
Bejelentkezési hiba típus szerint A bejelentkezési hibák számának trendje típus szerint, például a bejelentkezés aktivált egy háttérfeladatot, vagy a bejelentkezés HTTP-en keresztül történt.
Bejelentkezési hiba módszer szerint A bejelentkezési hibák számának trendjét jeleníti meg módszer szerint, például SNC vagy bejelentkezési jegy szerint.

Naplóriasztások jelentésének lapja

A Naplóriasztások lap az SAP Auditnapló eseményeinek adatait jeleníti meg, amelyeket az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás figyel. Az adatok a SAP_Dynamic_Audit_Log_Monitor_Configuration figyelőlistán alapulnak.

A Naplóriasztások lap az egyes SAP-rendszerek és -felhasználók súlyossági és naplózási trendjeit jeleníti meg. A lap minden területén csak az anomáliadetektálással megjelölt adatok láthatók. Minden eseménynél válassza a jobb oldalon a Sikertelen bejelentkezések mellett található Összes lehetőséget.

További információ: Az SAP naplózási naplójának figyelése.

Példa:

Képernyőkép az SAP Audit munkafüzet Naplóriasztások területéről.

Az alábbi táblázat a Naplózási napló riasztások lapján található egyes metrikákat ismerteti:

Terület Leírás
Riasztás súlyossági trendjei rendszerazonosítónként Megjeleníti a rendszerek listáját, a rendszerenkénti közepes és nagy súlyosságú eseménytrendek grafikonjával.

A 012-rendszer például az egész időszakban számos nagy súlyossági eseményt és néhány közepes súlyossági eseményt észlelt, amelyeknél az időszak közepén több közepes súlyosságú esemény volt látható.
Naplózási trend felhasználónként A Microsoft Sentinel és a Microsoft Entra adatok kombinációját jeleníti meg, a felhasználókat a kockázat szerint listázva, a legkockázatosabb felhasználókkal a tetején.

Minden felhasználó esetében a munkafüzet a következő adatokat jeleníti meg:
- A magas és közepes súlyosságú események idővonala
- A felhasználó e-mail-címe
- A Microsoft Entra kockázati mutatója
– Incidensek és riasztások száma a Microsoft Sentinelben

Jelöljön ki egy sort az adott felhasználóhoz tartozó riasztások és incidensek listájának megtekintéséhez a felhasználó Incidensek/riasztások áttekintése területén.

Tekintse meg a Microsoft Entra kockázati eseményeit az Azure audit és a felhasználói bejelentkezési kockázatok alatt.
Rendszerenkénti kockázati pontszám Vizuálisan egy cellaalakzat minden rendszerét ábrázolja, és megjeleníti az egyes rendszerek kockázati pontszámát, és típus szerint csoportosítja a rendszereket.

A rendszer színe a rendszer kockázati pontszámát jelzi: Zöld az alacsonyabb kockázati pontszámhoz, piros a magasabb kockázati pontszámhoz.

Válasszon ki egy rendszert az SAP-események rendszerenkénti listájának megtekintéséhez.
MITRE ATT&CK-taktikák eseményei A MITRE ATT&CK-taktikák, például az Initial Access vagy a Defense Evasion által csoportosított SAP-események listáját jeleníti meg.

Mutasson a gráfra a különböző dátumokhoz tartozó bejelentkezések számának megjelenítéséhez.
Események kategória szerint Az SAP eseménytrendjeinek listája kategóriák szerint csoportosítva, például RFC Start vagy Bejelentkezés.

Vigye az egérmutatót a grafikonra a különböző dátumok bejelentkezési számának megjelenítéséhez.
Események engedélyezési csoport szerint Az SAP-eseménytrendek listáját jeleníti meg az SAP engedélyezési csoport szerint csoportosítva, például FELHASZNÁLÓ vagy SUPER.

Mutasson a gráfra a különböző dátumokhoz tartozó bejelentkezések számának megjelenítéséhez.
Események felhasználótípus szerint Az SAP-eseménytrendek listáját jeleníti meg az SAP-felhasználó típusa szerint csoportosítva, például a Párbeszédpanel vagy a Rendszer.

Mutasson a gráfra a különböző dátumokhoz tartozó bejelentkezések számának megjelenítéséhez.

Az alábbi képernyőképen jegyezze fel azokat az adatokat, amikor az első sor ki van jelölve a felhasználói táblák szerinti naplózási trendekben. Az adott riasztások és incidens URL-címek a felhasználói tábla Incidensek/riasztások áttekintésében jelennek meg.

Képernyőkép az adatokról, amikor egy sor van kijelölve a felhasználói táblánkénti naplózási trendekben.

Az alábbi képernyőképen jegyezze fel a rendszerterületenkénti kockázati pontszámot, ahol a UAT-csoport alatti cb7 rendszer van kiválasztva. A rendszervizualizáció alatti rendszerterület SAP-eseményei a rendszer SAP-eseményét jelenítik meg.

Képernyőkép az SAP Audit munkafüzet rendszerterületenkénti kockázati pontszámáról.

Az alábbi képernyőképen jegyezze fel az eseményeket és eseménytrendeket különböző típusú adatok szerint csoportosítva: MITRE ATT&CK-taktikák, SAP-engedélyezési csoport és felhasználói típus.

Képernyőkép az SAP Audit munkafüzet különböző eseményadatairól.

Kapcsolódó tartalom

További információ: A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz a tartalomközpontból és a Microsoft Sentinel-megoldás SAP-alkalmazásokhoz: biztonsági tartalomhivatkozás.