Microsoft Sentinel-megoldás SAP-alkalmazásokhoz: biztonsági tartalomra vonatkozó referencia
Ez a cikk az SAP-hoz készült Microsoft Sentinel-megoldáshoz elérhető biztonsági tartalmakat ismerteti.
Fontos
Míg az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás a GA-ban található, bizonyos összetevők továbbra is előzetes verzióban maradnak. Ez a cikk azokat az összetevőket mutatja be, amelyek előzetes verzióban jelennek meg az alábbi szakaszokban. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az elérhető biztonsági tartalmak beépített munkafüzeteket és elemzési szabályokat tartalmaznak. Sap-tal kapcsolatos figyelőlistákat is hozzáadhat a keresési, észlelési szabályokhoz, fenyegetéskereséshez és válasz forgatókönyvekhez.
A cikkben szereplő tartalom a biztonsági csapatnak szól.
Beépített munkafüzetek
Az alábbi beépített munkafüzetekkel vizualizálhatja és figyelheti az SAP-adatösszekötőn keresztül betöltött adatokat. Az SAP-megoldás üzembe helyezése után az SAP-munkafüzetek a Sablonok lapon találhatók.
| Munkafüzet neve | Leírás | Naplók |
|---|---|---|
| SAP – Naplóböngésző naplózása | Olyan adatokat jelenít meg, mint például: – Általános rendszerállapot, beleértve a felhasználói bejelentkezéseket az idő függvényében, a rendszer által betöltött eseményeket, az üzenetosztályokat és azonosítókat, valamint az ABAP-programok futtatását -A rendszerben előforduló események súlyossága - A rendszerben előforduló hitelesítési és engedélyezési események |
A következő naplóból származó adatokat használja: ABAPAuditLog_CL |
| SAP-naplózási vezérlők | Segít ellenőrizni, hogy az SAP-környezet biztonsági vezérlői megfelelnek-e a választott szabályozási keretrendszernek, az alábbi eszközökkel: – Elemzési szabályok hozzárendelése a környezetben adott biztonsági vezérlőkhöz és vezérlőcsaládokhoz – Az SAP-megoldásalapú elemzési szabályok által generált incidensek monitorozása és kategorizálása - Jelentés a megfelelőségről |
A következő táblákból származó adatokat használja: - SecurityAlert- SecurityIncident |
További információ : Oktatóanyag: Az adatok vizualizációja és monitorozása, valamint a Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz.
Beépített elemzési szabályok
Ez a szakasz az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldással együtt biztosított beépített elemzési szabályokat ismerteti. A legújabb frissítésekért tekintse meg a Microsoft Sentinel tartalomközpontban az új és frissített szabályokat.
Statikus SAP biztonsági paraméterek konfigurációjának monitorozása (előzetes verzió)
Az SAP-rendszer biztonsága érdekében az SAP azonosította a biztonsági paramétereket, amelyeket a változások figyelésére kell figyelni. Az "SAP – (előzetes verzió) bizalmas statikus paraméter módosult" szabálysal az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás több mint 52 statikus biztonsági paramétert követ nyomon az SAP-rendszerben, amelyek a Microsoft Sentinelbe vannak beépítve.
Feljegyzés
Ahhoz, hogy az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás sikeresen monitorozza az SAP biztonsági paramétereit, a megoldásnak rendszeres időközönként sikeresen monitoroznia kell az SAP PAHI-táblát. További információ: Ellenőrizze, hogy a PAHI-tábla rendszeres időközönként frissül-e.
A rendszer paraméterváltozásainak megértéséhez az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás a paraméterelőzménytáblát használja, amely óránként rögzíti a rendszerparaméterek módosításait.
A paraméterek az SAPSystemParameters figyelőlistájában is megjelennek. Ez a figyelőlista lehetővé teszi, hogy a felhasználók új paramétereket adjanak hozzá, letiltsák a meglévő paramétereket, és módosíthassák a paraméterek és a rendszerszerepkörök értékeit és súlyosságait éles vagy nem termelési környezetekben.
Ezen paraméterek egyikének módosításakor a Microsoft Sentinel ellenőrzi, hogy a módosítás biztonsági vonatkozású-e, és hogy az érték az ajánlott értékek szerint van-e beállítva. Ha a módosítás a biztonságos zónán kívülre gyanús, a Microsoft Sentinel létrehoz egy incidenst, amely részletezi a módosítást, és azonosítja, hogy ki hajtotta végre a módosítást.
Tekintse át a szabály által figyelt paraméterek listáját.
Az SAP naplózási naplójának figyelése
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldásban található elemzési szabályok közül sok sap-auditnapló-adatokat használ. Egyes elemzési szabályok konkrét eseményeket keresnek a naplóban, míg mások több naplóból származó jelzéseket korrelálnak a magas megbízhatóságú riasztások és incidensek létrehozásához.
A következő elemzési szabályokkal monitorozhat minden naplózási naplóeseményt az SAP-rendszeren, vagy riasztásokat aktiválhat csak anomáliák észlelésekor:
| Szabály neve | Leírás |
|---|---|
| SAP – Hiányzó konfiguráció a dinamikus biztonsági auditnapló-figyelőben | Alapértelmezés szerint naponta fut, hogy konfigurációs javaslatokat adjon az SAP naplózási naplómodulhoz. A szabálysablon használatával létrehozhat és testre szabhat egy szabályt a munkaterülethez. |
| SAP – Dinamikus determinisztikus auditnapló-figyelő (ELŐZETES VERZIÓ) | Alapértelmezés szerint 10 percenként fut, és a determinisztikusként megjelölt SAP auditnapló-eseményekre összpontosít. A szabálysablon használatával létrehozhat és testre szabhat egy szabályt a munkaterületen, például alacsonyabb hamis pozitív arány érdekében. Ez a szabály determinisztikus riasztási küszöbértékeket és felhasználói kizárási szabályokat igényel. |
| SAP – Dinamikus anomálián alapuló auditnapló-monitorozási riasztások (ELŐZETES VERZIÓ) | Alapértelmezés szerint óránként fut, és az AnomaliesOnly címkével ellátott SAP-eseményekre összpontosít, és riasztást küld az SAP auditnapló-eseményeiről, amikor a rendellenességek észlelhetők. Ez a szabály további gépi tanulási algoritmusokat alkalmaz a háttérzaj felügyelet nélküli kiszűrésére. |
Alapértelmezés szerint az SAP-napló legtöbb eseménytípusa vagy SAP-üzenetazonosítója az anomálián alapuló dinamikus anomálián alapuló naplózási naplófigyelő riasztási (ELŐZETES VERZIÓ) elemzési szabályba kerül, míg az eseménytípusok egyszerűbb definiálása a determinisztikus dinamikus determinisztikus naplózási naplómonitorozási (ELŐZETES VERZIÓ) elemzési szabályba kerül. Ez a beállítás a többi kapcsolódó beállítással együtt további konfigurálható úgy, hogy megfeleljen a rendszerfeltételeknek.
Az SAP auditnapló monitorozási szabályai a Microsoft Sentinel részeként jelennek meg az SAP-megoldás biztonsági tartalmának részeként, és lehetővé teszik a további finomhangolást a SAP_Dynamic_Audit_Log_Monitor_Configuration és SAP_User_Config figyelőlisták használatával.
Az alábbi táblázat például számos példát sorol fel arra, hogyan konfigurálhatja a SAP_Dynamic_Audit_Log_Monitor_Configuration figyelőlistát az incidenseket létrehozó eseménytípusok konfigurálásához, csökkentve a létrehozott incidensek számát.
| Lehetőség | Leírás |
|---|---|
| Súlyosságok beállítása és a nemkívánatos események letiltása | Alapértelmezés szerint a determinisztikus szabályok és az anomáliákon alapuló szabályok is riasztásokat hoznak létre közepes és nagy súlyosságú eseményekhez. Érdemes lehet külön konfigurálni a súlyosságokat az éles és a nem termelési környezetekben. Előfordulhat például, hogy egy hibakeresési tevékenység eseményét nagy súlyosságúként állítja be az éles rendszerekben, és teljesen kikapcsolja ugyanazokat az eseményeket a nem termelési rendszerekben. |
| Felhasználók kizárása SAP-szerepkörök vagy SAP-profilok alapján | Az SAP-hoz készült Microsoft Sentinel betölti az SAP-felhasználó engedélyezési profilját, beleértve a közvetlen és közvetett szerepkör-hozzárendeléseket, csoportokat és profilokat, hogy az SAP nyelvét a SIEM-ben is el tudja mondani. Érdemes lehet konfigurálni egy SAP-eseményt, amely kizárja a felhasználókat az SAP-szerepköreik és profiljaik alapján. A figyelőlistában adja hozzá az RFC-felület felhasználóit csoportosító szerepköröket vagy profilokat a RolesTagsToExclude oszlopban az Általános táblahozzáférés RFC-esemény által elem mellett. Ez a konfiguráció csak azoknak a felhasználóknak aktiválja a riasztásokat, amelyekből hiányoznak ezek a szerepkörök. |
| Felhasználók kizárása SOC-címkék alapján | Címkék használatával létrehozhat saját csoportosítást anélkül, hogy bonyolult SAP-definíciókra támaszkodna, vagy akár SAP-engedélyezés nélkül is. Ez a módszer olyan SOC-csapatok számára hasznos, amelyek saját csoportosítást szeretnének létrehozni az SAP-felhasználók számára. Ha például nem szeretné, hogy bizonyos szolgáltatásfiókok RFC-események által történő általános táblahozzáférésről értesüljenek, de nem talál olyan SAP-szerepkört vagy SAP-profilt, amely ezeket a felhasználókat csoportosítja, használja a következő címkéket: 1. Adja hozzá a GenTableRFCReadOK címkét a megfelelő esemény mellé a figyelőlistában. 2. Lépjen a SAP_User_Config figyelőlistára, és rendelje hozzá a felület felhasználóit ugyanazzal a címkével. |
| Gyakorisági küszöbérték megadása eseménytípusonként és rendszerszerepkörenként | Úgy működik, mint egy sebességkorlátozás. Konfigurálhatja például a felhasználói főrekord-módosítási eseményeket úgy, hogy csak akkor aktiváljanak riasztásokat, ha egy órán belül 12-nél több tevékenységet figyel meg ugyanaz a felhasználó egy éles rendszerben. Ha egy felhasználó túllépi az óránkénti 12-et – például 2 eseményt egy 10 perces ablakban –, egy incidens aktiválódik. |
| Determinizmus vagy anomáliák | Ha ismeri az esemény jellemzőit, használja a determinisztikus képességeket. Ha nem tudja biztosan, hogyan konfigurálja megfelelően az eseményt, engedélyezze a gépi tanulási képességeknek, hogy elinduljanak, majd szükség szerint végezze el a további frissítéseket. |
| SOAR képességek | A Microsoft Sentinel használatával további vezénylést, automatizálást és reagálást végezhet az SAP auditnapló dinamikus riasztásai által létrehozott incidensekre. További információ: Automation in Microsoft Sentinel: Security vezénylés, automatizálás és válasz (SOAR). |
További információ: Elérhető figyelőlisták és Microsoft Sentinel for SAP News – Dynamic SAP Security Audit Log Monitor funkció! (blog).
Kezdeti hozzáférés
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – Bejelentkezés váratlan hálózatról | Azonosítja a váratlan hálózatból való bejelentkezést. Hálózatok karbantartása az SAP - Networks figyelőlistán. |
Jelentkezzen be a háttérrendszerbe egy olyan IP-címről, amely nincs hozzárendelve az egyik hálózathoz. Adatforrások: SAPcon – Naplózási napló |
Kezdeti hozzáférés |
| SAP – SPNego-támadás | Azonosítja az SPNego replay támadást. | Adatforrások: SAPcon – Naplózási napló | Hatás, oldalirányú mozgás |
| SAP – Jogosultsággal rendelkező felhasználó bejelentkezési kísérlete | Azonosítja az AUM típussal rendelkező párbeszédpanel-bejelentkezési kísérleteket az SAP rendszer kiemelt felhasználói által. További információ: SAPUsersGetPrivileged. | Kísérlet ugyanarról az IP-címről több rendszerre vagy ügyfélre való bejelentkezésre az ütemezett időintervallumon belül Adatforrások: SAPcon – Naplózási napló |
Hatás, oldalirányú mozgás |
| SAP – Találgatásos támadások | Találgatásos támadásokat azonosít az SAP-rendszeren RFC-bejelentkezések használatával | Kísérlet ugyanazon IP-címről több rendszerre/ügyfélre való bejelentkezésre az ütemezett időintervallumon belül az RFC használatával Adatforrások: SAPcon – Naplózási napló |
Hitelesítő adatok elérése |
| SAP – Több bejelentkezés ugyanarról az IP-címről | Több felhasználó bejelentkezését azonosítja ugyanazon IP-címről egy ütemezett időintervallumon belül. Alhasználati eset: Adatmegőrzés |
Jelentkezzen be több felhasználóval ugyanazon az IP-címen keresztül. Adatforrások: SAPcon – Naplózási napló |
Kezdeti hozzáférés |
| SAP – Több bejelentkezés felhasználó szerint | Azonos felhasználó bejelentkezéseit azonosítja több terminálról az ütemezett időintervallumon belül. Csak az Audit SAL metóduson keresztül érhető el az SAP 7.5-ös és újabb verzióihoz. |
Jelentkezzen be ugyanazzal a felhasználóval, különböző IP-címekkel. Adatforrások: SAPcon – Naplózási napló |
Támadás előtti, hitelesítő adatokhoz való hozzáférés, kezdeti hozzáférés, gyűjtemény Alhasználati eset: Adatmegőrzés |
| SAP – Információs – Életciklus – Az SAP-jegyzetek a rendszerben lettek implementálva | Azonosítja az SAP Note implementációt a rendszerben. | SAP-megjegyzés implementálása SNOTE/TCI használatával. Adatforrások: SAPcon – Kérések módosítása |
- |
| SAP – (előzetes verzió) MINT JAVA – Bizalmas jogosultságú felhasználó bejelentkezett | Azonosítja a váratlan hálózatból való bejelentkezést. Kiemelt felhasználók karbantartása az SAP - Privileged Users figyelőlistán. |
Jelentkezzen be a háttérrendszerbe kiemelt felhasználók használatával. Adatforrások: SAPJAVAFilesLog |
Kezdeti hozzáférés |
| SAP – (előzetes verzió) JAVA-ként – Bejelentkezés váratlan hálózatról | Azonosítja a váratlan hálózatból érkező bejelentkezéseket. Kiemelt felhasználók karbantartása az SAP – Networks figyelőlistán. |
Jelentkezzen be a háttérrendszerbe egy olyan IP-címről, amely nincs hozzárendelve az SAP egyik hálózatához – Hálózatok figyelőlistája Adatforrások: SAPJAVAFilesLog |
Kezdeti hozzáférés, Védelmi kijátszás |
Adatkiszivárgás
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – FTP nem engedélyezett kiszolgálókhoz | Azonosítja a nem aauthorizált kiszolgáló FTP-kapcsolatát. | Hozzon létre egy új FTP-kapcsolatot, például a FTP_CONNECT függvénymodul használatával. Adatforrások: SAPcon – Naplózási napló |
Felderítés, kezdeti hozzáférés, parancs és vezérlés |
| SAP – Nem biztonságos FTP-kiszolgálók konfigurálása | Azonosítja a nem biztonságos FTP-kiszolgáló konfigurációit, például ha egy FTP-engedélyezési lista üres, vagy helyőrzőket tartalmaz. | A karbantartási nézet használatával SAPFTP_SERVERS_V ne tartsa karban és ne tartsa karban a táblában helyőrzőket SAPFTP_SERVERS tartalmazó értékeket. (SM30) Adatforrások: SAPcon – Naplózási napló |
Kezdeti hozzáférés, parancs és vezérlés |
| SAP – Több fájl letöltése | Egy felhasználó több fájlletöltését azonosítja egy adott időtartományon belül. | Töltsön le több fájlt az SAPGui for Excel használatával, listák és így tovább. Adatforrások: SAPcon – Naplózási napló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Több spool-végrehajtás | Egy adott időtartományon belül több készletet azonosít egy felhasználó számára. | Hozzon létre és futtasson egy felhasználó által bármilyen típusú készletfeladatot. (SP01) Adatforrások: SAPcon – Spool Log, SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Több spool-kimenet végrehajtása | Egy adott időtartományon belül több készletet azonosít egy felhasználó számára. | Hozzon létre és futtasson egy felhasználó által bármilyen típusú készletfeladatot. (SP01) Adatforrások: SAPcon – Spool kimeneti napló, SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Bizalmas táblák közvetlen elérése RFC-bejelentkezéssel | Általános táblahozzáférést azonosít az RFC-bejelentkezéssel. Táblák karbantartása az SAP – Bizalmas táblák figyelőlistájában. Csak éles rendszerekre vonatkozik. |
Nyissa meg a tábla tartalmát az SE11/SE16/SE16N használatával. Adatforrások: SAPcon – Naplózási napló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Spool-átvétel | Azonosítja azt a felhasználót, aki más által létrehozott spool-kérelmet nyomtat. | Hozzon létre egy spool-kérelmet egy felhasználóval, majd adja ki egy másik felhasználóval. Adatforrások: SAPcon – Spool Log, SAPcon – Spool Output Log, SAPcon – Auditnapló |
Gyűjtemény, kiszűrés, parancs és vezérlés |
| SAP – Dinamikus RFC-célhely | Az RFC dinamikus célhelyekkel történő végrehajtását azonosítja. Alhasználati eset: Az SAP biztonsági mechanizmusainak megkerülésére tett kísérletek |
Dinamikus célhelyeket (cl_dynamic_destination) használó ABAP-jelentés végrehajtása. Például DEMO_RFC_DYNAMIC_DEST. Adatforrások: SAPcon – Naplózási napló |
Gyűjtemény, kiszűrés |
| SAP – Bizalmas táblák közvetlen hozzáférése párbeszédpanel-bejelentkezés alapján | Az általános táblahozzáférést azonosítja párbeszédpaneles bejelentkezéssel. | A táblázat tartalmának megnyitása a következővelSE11//SE16SE16N: . Adatforrások: SAPcon – Naplózási napló |
Felderítés |
| SAP – Rosszindulatú IP-címről letöltött (előzetes verziójú) fájl | Azonosítja a fájl SAP-rendszerből való letöltését egy olyan IP-cím használatával, amelyről ismert, hogy rosszindulatú. A rosszindulatú IP-címek a fenyegetésfelderítési szolgáltatásokból származnak. | Fájl letöltése rosszindulatú IP-címről. Adatforrások: SAP biztonsági auditnapló, fenyegetésfelderítés |
Adatok kinyerése |
| SAP – (előzetes verzió) Az éles rendszerből transzport használatával exportált adatok | Egy éles rendszerből történő adatexportálást azonosít egy átvitel használatával. A szállításokat fejlesztési rendszerekben használják, és hasonlóak a lekéréses kérelmekhez. Ez a riasztási szabály közepes súlyosságú incidenseket aktivál, amikor egy olyan átvitel, amely bármilyen táblából származó adatokat tartalmaz, egy éles rendszerből szabadul fel. A szabály akkor hoz létre nagy súlyosságú incidenst, ha az exportálás bizalmas táblából származó adatokat tartalmaz. | Szállítás felszabadítása éles rendszerből. Adatforrások: SAP CR-napló, SAP – Bizalmas táblák |
Adatok kinyerése |
| SAP – (előzetes verzió) USB-meghajtóba mentett bizalmas adatok | Az SAP-adatok fájlokon keresztüli exportálását azonosítja. A szabály ellenőrzi, hogy a közelmúltban csatlakoztatott USB-meghajtóra mentett adatok egy bizalmas tranzakció, egy bizalmas program végrehajtása vagy egy bizalmas tábla közvetlen elérése közelében kerülnek-e mentésre. | SAP-adatok exportálása fájlokon keresztül, és mentés USB-meghajtóra. Adatforrások: SAP biztonsági auditnapló, DeviceFileEvents (Végponthoz készült Microsoft Defender), SAP – Bizalmas táblák, SAP – Bizalmas tranzakciók, SAP – Bizalmas programok |
Adatok kinyerése |
| SAP – (előzetes verzió) Potenciálisan bizalmas adatok nyomtatása | Azonosítja a potenciálisan bizalmas adatok kérését vagy tényleges nyomtatását. Az adatok akkor minősülnek bizalmasnak, ha a felhasználó bizalmas tranzakció részeként, bizalmas program végrehajtása vagy bizalmas táblákhoz való közvetlen hozzáférés részeként szerzi be az adatokat. | Bizalmas adatok nyomtatása vagy kérése. Adatforrások: SAP biztonsági auditnapló, SAP Spool-naplók, SAP – Bizalmas táblák, SAP – Bizalmas programok |
Adatok kinyerése |
| SAP – (előzetes verzió) Nagy mennyiségű potenciálisan bizalmas adat exportálva | Nagy mennyiségű adat exportálását azonosítja olyan fájlokon keresztül, amelyek egy bizalmas tranzakció, egy bizalmas program vagy a bizalmas tábla közvetlen elérése közelében lévő fájlokon keresztül érhetők el. | Nagy mennyiségű adat exportálása fájlokon keresztül. Adatforrások: SAP biztonsági auditnapló, SAP – Bizalmas táblák, SAP – Bizalmas tranzakciók, SAP – Bizalmas programok |
Adatok kinyerése |
Adatmegőrzés
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – Az ICF-szolgáltatás aktiválása vagy inaktiválása | Azonosítja az ICF-szolgáltatások aktiválását vagy inaktiválását. | Szolgáltatás aktiválása SICF használatával. Adatforrások: SAPcon – Táblaadatnapló |
Command and Control, Lateral Movement, Persistence |
| SAP – Tesztelt függvénymodul | Egy függvénymodul tesztelését azonosítja. | Függvénymodul tesztelése a következő használatával SE37 / SE80: . Adatforrások: SAPcon – Naplózási napló |
Gyűjtemény, Defense Evasion, Lateral Movement |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Felhasználói rendszergazdai műveletek | Azonosítja a felhasználói adminisztrációs műveleteket. | Adatbázis-felhasználó létrehozása, frissítése vagy törlése. Adatforrások: Linux-ügynök – Syslog* |
Jogosultság eszkalációja |
| SAP – Új ICF szolgáltatáskezelők | Azonosítja az ICF-kezelők létrehozását. | Rendeljen hozzá egy új kezelőt egy szolgáltatáshoz az SICF használatával. Adatforrások: SAPcon – Naplózási napló |
Command and Control, Lateral Movement, Persistence |
| SAP – Új ICF-szolgáltatások | Azonosítja az ICF-szolgáltatások létrehozását. | Szolgáltatás létrehozása az SICF használatával. Adatforrások: SAPcon – Táblaadatnapló |
Command and Control, Lateral Movement, Persistence |
| SAP – Elavult vagy nem biztonságos függvénymodul végrehajtása | Egy elavult vagy nem biztonságos ABAP-függvénymodul végrehajtását azonosítja. Elavult függvények karbantartása az SAP – Elavult függvénymodulok figyelőlistájában. Mindenképpen aktiválja a tábla naplózási módosításait a EUFUNC háttérrendszerben. (SE13)Csak éles rendszerekre vonatkozik. |
Futtasson egy elavult vagy nem biztonságos függvénymodult közvetlenül az SE37 használatával. Adatforrások: SAPcon – Táblaadatnapló |
Felderítés, parancs és vezérlés |
| SAP – Elavult/nem biztonságos program végrehajtása | Egy elavult vagy nem biztonságos ABAP-program végrehajtását azonosítja. Elavult programok karbantartása az SAP - Elavult programok figyelőlistájában. Csak éles rendszerekre vonatkozik. |
Program futtatása közvetlenül SE38/SA38/SE80 használatával vagy háttérfeladat használatával. Adatforrások: SAPcon – Naplózási napló |
Felderítés, parancs és vezérlés |
| SAP – Több jelszómódosítás felhasználó szerint | Több jelszómódosítást azonosít felhasználónként. | Felhasználói jelszó módosítása Adatforrások: SAPcon – Naplózási napló |
Hitelesítő adatok elérése |
| SAP – (előzetes verzió) AS JAVA – A felhasználó új felhasználót hoz létre és használ | Azonosítja a felhasználók létrehozását vagy kezelését a rendszergazdák által az SAP AS Java-környezetben. | Jelentkezzen be a háttérrendszerbe a létrehozott vagy manipulált felhasználók használatával. Adatforrások: SAPJAVAFilesLog |
Kitartás |
Az SAP biztonsági mechanizmusainak megkerülésére tett kísérletek
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – Ügyfélkonfiguráció módosítása | Azonosítja az ügyfélkonfiguráció változásait, például az ügyfélszerepkört vagy a változásrögzítési módot. | Ügyfélkonfigurációs módosítások végrehajtása a SCC4 tranzakciókód használatával. Adatforrások: SAPcon – Naplózási napló |
Védelmi kijátszás, exfiltráció, megőrzés |
| SAP – Az adatok módosultak a hibakeresési tevékenység során | Azonosítja a futásidejű adatok hibakeresési tevékenység közbeni változásait. Alhasználati eset: Adatmegőrzés |
1. Hibakeresés aktiválása ("/h"). 2. Válasszon ki egy mezőt a módosításhoz, és frissítse annak értékét. Adatforrások: SAPcon – Naplózási napló |
Végrehajtás, oldalirányú mozgás |
| SAP – Biztonsági auditnapló inaktiválása | Azonosítja a biztonsági napló inaktiválását, | A biztonsági naplózási napló letiltása a következővel SM19/RSAU_CONFIG: . Adatforrások: SAPcon – Naplózási napló |
Exfiltration, Defense Evasion, Persistence |
| SAP – Bizalmas ABAP-program végrehajtása | Egy bizalmas ABAP-program közvetlen végrehajtását azonosítja. ABAP-programok karbantartása az SAP - Bizalmas ABAP-programok figyelőlistájában. |
Program futtatása közvetlenül a használatávalSE38//SA38SE80. Adatforrások: SAPcon – Naplózási napló |
Exfiltration, Lateral Movement, Execution |
| SAP – Bizalmas tranzakciókód végrehajtása | Egy bizalmas tranzakciókód végrehajtását azonosítja. Tranzakciókódok karbantartása az SAP – Bizalmas tranzakciókódok figyelőlistájában. |
Futtasson egy bizalmas tranzakciókódot. Adatforrások: SAPcon – Naplózási napló |
Felderítés, végrehajtás |
| SAP – Bizalmas függvénymodul végrehajtása | Egy bizalmas ABAP-függvénymodul végrehajtását azonosítja. Alhasználati eset: Adatmegőrzés Csak éles rendszerekre vonatkozik. Bizalmas függvények karbantartása az SAP – Bizalmas függvénymodulok figyelőlistájában, és győződjön meg arról, hogy aktiválja a táblanaplózás változásait az EUFUNC tábla háttérrendszerében. (SE13) |
Futtasson egy bizalmas függvénymodult közvetlenül az SE37 használatával. Adatforrások: SAPcon – Táblaadatnapló |
Felderítés, parancs és vezérlés |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Naplózási napló szabályzatának változásai | A HANA DB naplózási naplószabályzatainak módosításait azonosítja. | Hozza létre vagy frissítse a meglévő naplózási szabályzatot a biztonsági definíciókban. Adatforrások: Linux-ügynök – Syslog |
Oldalirányú mozgás, védelmi kijátszás, kitartás |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Az auditnapló inaktiválása | Azonosítja a HANA DB naplózási naplójának inaktiválását. | Inaktiválja a naplózási naplót a HANA DB biztonsági definíciójában. Adatforrások: Linux-ügynök – Syslog |
Megőrzés, oldalirányú mozgás, védelmi kitérés |
| SAP – Bizalmas függvénymodulok jogosulatlan távoli végrehajtása | Észleli a bizalmas FM-ek jogosulatlan végrehajtását úgy, hogy összehasonlítja a tevékenységet a felhasználó engedélyezési profiljával, miközben figyelmen kívül hagyja a nemrég módosított engedélyeket. Függvénymodulok karbantartása az SAP – Bizalmas függvénymodulok figyelőlistájában. |
Futtasson egy függvénymodult az RFC használatával. Adatforrások: SAPcon – Naplózási napló |
Végrehajtás, oldalirányú mozgás, felderítés |
| SAP – Rendszerkonfiguráció módosítása | A rendszerkonfiguráció változásait azonosítja. | A tranzakciókód használatával módosítsa a rendszermódosítási beállításokat vagy a SE06 szoftverösszetevő módosítását.Adatforrások: SAPcon – Naplózási napló |
Exfiltration, Defense Evasion, Persistence |
| SAP – Hibakeresési tevékenységek | Azonosítja az összes hibakereséssel kapcsolatos tevékenységet. Alhasználati eset: Adatmegőrzés |
Aktiválja a hibakeresést ("/h") a rendszerben, egy aktív folyamat hibakeresését, töréspont hozzáadását a forráskódhoz stb. Adatforrások: SAPcon – Naplózási napló |
Felderítés |
| SAP – Biztonsági naplózási napló konfigurációjának módosítása | A biztonsági naplózási napló konfigurációjának változásait azonosítja | Módosítsa a biztonsági naplózási napló konfigurációját a szűrők, az állapot, a rögzítési mód stb. használatával SM19/RSAU_CONFIG. Adatforrások: SAPcon – Naplózási napló |
Megőrzés, kiszivárgás, védelmi kijátszás |
| SAP – A tranzakció feloldva | Azonosítja a tranzakció zárolásának feloldását. | Tranzakciókód zárolásának feloldása a következővelSM01//SM01_DEVSM01_CUS: . Adatforrások: SAPcon – Naplózási napló |
Adatmegőrzés, végrehajtás |
| SAP – Dinamikus ABAP-program | A dinamikus ABAP-programozás végrehajtását azonosítja. Ha például az ABAP-kód dinamikusan lett létrehozva, módosítva vagy törölve. A kizárt tranzakciókódok karbantartása az SAP – ABAP-generációk tranzakciói figyelőlistájában. |
Hozzon létre egy ABAP-jelentést, amely ABAP-programgenerálási parancsokat (például INSERT REPORT) használ, majd futtassa a jelentést. Adatforrások: SAPcon – Naplózási napló |
Felderítés, parancs és vezérlés, hatás |
Gyanús jogosultsági műveletek
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – Változás bizalmas jogosultságú felhasználóban | Azonosítja a bizalmas jogosultsággal rendelkező felhasználók módosításait. Kiemelt felhasználók karbantartása az SAP - Privileged Users figyelőlistán. |
Felhasználói adatok és engedélyek módosítása a következő használatával SU01: . Adatforrások: SAPcon – Naplózási napló |
Jogosultságok eszkalálása, hitelesítő adatokhoz való hozzáférés |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Rendszergazdai engedélyek hozzárendelése | Azonosítja a rendszergazdai jogosultságot vagy a szerepkör-hozzárendelést. | Bármely rendszergazdai szerepkörrel vagy jogosultsággal rendelkező felhasználó hozzárendelése. Adatforrások: Linux-ügynök – Syslog |
Jogosultság eszkalációja |
| SAP – Bizalmas jogosultsággal rendelkező felhasználó bejelentkezett | Egy bizalmas jogosultsággal rendelkező felhasználó párbeszédpanel-bejelentkezését azonosítja. Kiemelt felhasználók karbantartása az SAP - Privileged Users figyelőlistán. |
Jelentkezzen be a háttérrendszerbe vagy egy másik kiemelt felhasználóval SAP* . Adatforrások: SAPcon – Naplózási napló |
Kezdeti hozzáférés, hitelesítő adatokhoz való hozzáférés |
| SAP – A bizalmas jogosultsággal rendelkező felhasználó módosítja a többi felhasználót | Azonosítja a más felhasználók bizalmas, kiemelt felhasználóinak változásait. | Módosítsa a felhasználói adatokat/ engedélyezéseket az SU01 használatával. Adatforrások: SAPcon – Naplózási napló |
Jogosultságok eszkalálása, hitelesítő adatokhoz való hozzáférés |
| SAP – Bizalmas felhasználók jelszómódosítása és bejelentkezése | A kiemelt felhasználók jelszómódosításait azonosítja. | Módosítsa egy kiemelt felhasználó jelszavát, és jelentkezzen be a rendszerbe. Kiemelt felhasználók karbantartása az SAP - Privileged Users figyelőlistán. Adatforrások: SAPcon – Naplózási napló |
Hatás, parancs és vezérlés, jogosultságok eszkalálása |
| SAP – A felhasználó új felhasználót hoz létre és használ | Azonosítja a más felhasználókat létrehozó és használó felhasználókat. Alhasználati eset: Adatmegőrzés |
Hozzon létre egy felhasználót az SU01 használatával, majd jelentkezzen be az újonnan létrehozott felhasználóval és ugyanazzal az IP-címmel. Adatforrások: SAPcon – Naplózási napló |
Felderítés, támadás előtti, kezdeti hozzáférés |
| SAP – A felhasználó feloldja és más felhasználókat használ | Azonosítja a más felhasználók által feloldott és használt felhasználókat. Alhasználati eset: Adatmegőrzés |
Oldja fel a felhasználó zárolását az SU01 használatával, majd jelentkezzen be a feloldott felhasználóval és ugyanazzal az IP-címmel. Adatforrások: SAPcon – Auditnapló, SAPcon – Dokumentumnapló módosítása |
Felderítés, támadás előtti, kezdeti hozzáférés, oldalirányú mozgás |
| SAP – Bizalmas profil hozzárendelése | Egy bizalmas profil új hozzárendeléseit azonosítja egy felhasználó számára. Bizalmas profilok karbantartása az SAP – Bizalmas profilok figyelőlistán. |
Profil hozzárendelése egy felhasználóhoz a következő használatával SU01: . Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Bizalmas szerepkör hozzárendelése | Egy felhasználó számára bizalmas szerepkör új hozzárendeléseit azonosítja. Bizalmas szerepkörök karbantartása az SAP – Bizalmas szerepkörök figyelőlistájában. |
Szerepkör hozzárendelése egy felhasználóhoz a következő használatával SU01 / PFCG: . Adatforrások: SAPcon – Dokumentumnapló módosítása, auditnapló |
Jogosultság eszkalációja |
| SAP – (ELŐZETES VERZIÓ) Kritikus engedélyek hozzárendelése – Új engedélyezési érték | Egy kritikus engedélyezési objektum új felhasználóhoz való hozzárendelését azonosítja. Kritikus engedélyezési objektumok karbantartása az SAP – Kritikus engedélyezési objektumok figyelőlistájában. |
Rendeljen hozzá egy új engedélyezési objektumot, vagy frissítsen egy meglévőt egy szerepkörben a következő használatával PFCG: . Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Kritikus engedélyek hozzárendelése – Új felhasználói hozzárendelés | Egy kritikus engedélyezési objektum új felhasználóhoz való hozzárendelését azonosítja. Kritikus engedélyezési objektumok karbantartása az SAP – Kritikus engedélyezési objektumok figyelőlistájában. |
Rendeljen hozzá egy új felhasználót a kritikus engedélyezési értékeket tartalmazó szerepkörhöz a következő használatával SU01/PFCG: . Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Bizalmas szerepkörök változásai | Azonosítja a bizalmas szerepkörök változásait. Bizalmas szerepkörök karbantartása az SAP – Bizalmas szerepkörök figyelőlistájában. |
Szerepkör módosítása a PFCG használatával. Adatforrások: SAPcon – Dokumentumnapló módosítása, SAPcon – Auditnapló |
Hatás, jogosultságok eszkalálása, megőrzése |
Elérhető figyelőlisták
Az alábbi táblázat az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldáshoz elérhető figyelőlistákat és az egyes figyelőlisták mezőit sorolja fel.
Ezek a figyelőlisták biztosítják a Microsoft Sentinel-megoldás konfigurációját SAP-alkalmazásokhoz. Az SAP-figyelőlisták a Microsoft Sentinel GitHub-adattárban érhetők el.
| Figyelőlista neve | Leírás és mezők |
|---|---|
| SAP – Kritikus engedélyezési objektumok | Kritikus engedélyezési objektum, ahol a hozzárendeléseket szabályozni kell. - AuthorizationObject: SAP engedélyezési objektum, például S_DEVELOP, S_TCODEvagy Table TOBJ - AuthorizationField: SAP engedélyezési mező, például OBJTYP vagy TCD - AuthorizationValue: SAP engedélyezési mező értéke, például DEBUG - ActivityField : SAP tevékenységmező. A legtöbb esetben ez az érték . ACTVT Tevékenység nélküli vagy csak tevékenységmezővel kitöltött NOT_IN_USEEngedélyezési objektumok esetén. - Tevékenység: SAP-tevékenység az engedélyezési objektumnak megfelelően, például: 01: Létrehozás; 02: Módosítás; 03: Megjelenítés stb. - Leírás: A kritikus engedélyezési objektum értelmezhető leírása. |
| SAP – Kizárt hálózatok | A kizárt hálózatok belső karbantartásához, például a webkonzolok, terminálkiszolgálók stb. figyelmen kívül hagyásához. -Hálózat: Hálózati IP-cím vagy tartomány, például 111.68.128.0/17. -Leírás: Jelentéssel bíró hálózati leírás. |
| SAP kizárt felhasználók | A rendszerbe bejelentkezett rendszerfelhasználókat figyelmen kívül kell hagyni. Például ugyanazon felhasználó több bejelentkezésére vonatkozó riasztások. - Felhasználó: SAP-felhasználó -Leírás: Jelentéssel bíró felhasználói leírás. |
| SAP – Hálózatok | Belső és karbantartási hálózatok a jogosulatlan bejelentkezések azonosításához. - Hálózat: Hálózati IP-cím vagy tartomány, például 111.68.128.0/17 - Leírás: Jelentéssel bíró hálózati leírás. |
| SAP – Kiemelt felhasználók | Kiemelt felhasználók, amelyekre további korlátozások vonatkoznak. - Felhasználó: az ABAP-felhasználó, például DDIC vagy SAP - Leírás: Jelentéssel bíró felhasználói leírás. |
| SAP – Bizalmas ABAP-programok | Bizalmas ABAP-programok (jelentések), ahol a végrehajtást szabályozni kell. - ABAPProgram: ABAP program vagy jelentés, például RSPFLDOC - Leírás: A program tartalmas leírása. |
| SAP – Bizalmas függvénymodul | Belső és karbantartási hálózatok a jogosulatlan bejelentkezések azonosításához. - FunctionModule: ABAP-függvénymodul, például RSAU_CLEAR_AUDIT_LOG - Leírás: A modul tartalmas leírása. |
| SAP – Bizalmas profilok | Bizalmas profilok, ahol a hozzárendeléseket szabályozni kell. - Profil: SAP engedélyezési profil, például SAP_ALL vagy SAP_NEW - Leírás: Jelentéssel bíró profilleírás. |
| SAP – Bizalmas táblák | Bizalmas táblák, ahol a hozzáférést szabályozni kell. - Táblázat: ABAP szótártábla, például USR02 vagy PA008 - Leírás: A táblázat tartalmas leírása. |
| SAP – Bizalmas szerepkörök | Bizalmas szerepkörök, ahol a hozzárendelést szabályozni kell. - Szerepkör: SAP-engedélyezési szerepkör, például SAP_BC_BASIS_ADMIN - Leírás: Jelentéssel bíró szerepkör-leírás. |
| SAP – Bizalmas tranzakciók | Olyan érzékeny tranzakciók, amelyeknél a végrehajtást szabályozni kell. - TransactionCode: SAP tranzakciókód, például RZ11 - Leírás: Jelentéssel bíró kódleírás. |
| SAP – Rendszerek | Az SAP-rendszerek szerepkör, használat és konfiguráció szerinti tájolását ismerteti. - SystemID: az SAP rendszerazonosítója (SYSID) - SystemRole: az SAP rendszerszerepkör, az alábbi értékek egyike: Sandbox, Development, , Quality Assurance, TrainingProduction - SystemUsage: Az SAP rendszerhasználata, az alábbi értékek egyike: ERP, BW, , Solman, GatewayEnterprise Portal - InterfaceAttributes: egy opcionális dinamikus paraméter a forgatókönyvekben való használatra. |
| SAPSystemParameters | Gyanús konfigurációs változások figyelésére szolgáló paraméterek. Ez a figyelőlista előre ki van töltve az ajánlott értékekkel (az SAP ajánlott eljárásának megfelelően), és kibővítheti a figyelőlistát, hogy további paramétereket is tartalmazzon. Ha nem szeretne riasztásokat kapni egy paraméterhez, állítsa a következőre EnableAlerts false: .- ParameterName: A paraméter neve. - Megjegyzés: Az SAP standard paraméter leírása. - EnableAlerts: Meghatározza, hogy engedélyezve legyenek-e a riasztások ehhez a paraméterhez. Az értékek és falsea true .- Beállítás: Meghatározza, hogy melyik esetben aktiváljon riasztást: Ha a paraméter értéke nagyobb vagy egyenlő ( GE), kisebb vagy egyenlő (LE) vagy egyenlő (EQ)Ha például az login/fails_to_user_lock SAP paraméter LE értéke (kisebb vagy egyenlő), és a 5Microsoft Sentinel az adott paraméter módosítását észleli, összehasonlítja az újonnan jelentett értéket és a várt értéket. Ha az új érték, a 4Microsoft Sentinel nem indít riasztást. Ha az új érték az, a 6Microsoft Sentinel riasztást aktivál.- ProductionSeverity: Az éles rendszerek incidenseinek súlyossága. - ProductionValues: Engedélyezett értékek éles rendszerekhez. - NonProdSeverity: A nem gyártási rendszerek incidenseinek súlyossága. - NonProdValues: A nem gyártási rendszerek engedélyezett értékei. |
| SAP – Kizárt felhasználók | A bejelentkezett rendszerfelhasználókat figyelmen kívül kell hagyni, például a felhasználói riasztások több bejelentkezését. - Felhasználó: SAP-felhasználó - Leírás: Jelentéssel bíró felhasználói leírás |
| SAP – Kizárt hálózatok | Belső, kizárt hálózatok fenntartása a webkonzolok, terminálkiszolgálók stb. figyelmen kívül hagyása érdekében. - Hálózat: Hálózati IP-cím vagy tartomány, például 111.68.128.0/17 - Leírás: A hálózat érthető leírása |
| SAP – Elavult függvénymodulok | Elavult függvénymodulok, amelyeknek a végrehajtását szabályozni kell. - FunctionModule: ABAP-függvénymodul, például TH_SAPREL - Leírás: Egy hasznos függvénymodul leírása |
| SAP – Elavult programok | Elavult ABAP-programok (jelentések), amelyek végrehajtását szabályozni kell. - ABAPProgram:ABAP Program, például TH_ RSPFLDOC - Leírás: Az ABAP-program tartalmas leírása |
| SAP – ABAP-generációk tranzakciói | Olyan ABAP-generációk tranzakciói, amelyeknek a végrehajtását szabályozni kell. - TransactionCode: Tranzakciókód, például SE11. - Leírás: Egy értelmezhető tranzakciókód leírása |
| SAP – FTP-kiszolgálók | FTP-kiszolgálók jogosulatlan kapcsolatok azonosításához. - Ügyfél: például 100. - FTP_Server_Name: FTP-kiszolgáló neve, például http://contoso.com/ -FTP_Server_Port:FTP-kiszolgáló portja, például 22. - LeírásAz FTP-kiszolgáló érthető leírása |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurálja az SAP auditnapló-riasztásokat úgy, hogy az egyes üzenetazonosítókhoz az Ön által megkövetelt súlyossági szintet rendeli hozzá rendszerszerepkörönként (éles üzem, nem termelés). Ez a figyelőlista részletesen ismerteti az SAP standard naplózási naplóüzenet-azonosítóit. A figyelőlista bővíthető további üzenetazonosítókkal, amelyek az SAP NetWeaver-rendszerek ABAP-fejlesztéseinek használatával önállóan hozhatók létre. Ez a figyelőlista lehetővé teszi egy kijelölt csapat konfigurálását is az egyes eseménytípusok kezelésére, és kizárhatja a felhasználókat SAP-szerepkörök, SAP-profilok vagy a SAP_User_Config figyelőlista címkéi alapján. Ez a figyelőlista a beépített SAP-elemzési szabályok konfigurálásához használt alapvető összetevők egyike az SAP auditnapló figyeléséhez. További információ: Az SAP naplózási naplójának figyelése. - MessageID: Az SAP üzenetazonosítója vagy eseménytípusa, például AUD (felhasználói főrekord módosításai) vagy AUB (engedélyezési módosítások). - DetailedDescription: Egy markdown-kompatibilis leírás jelenik meg az incidenspanelen. - ProductionSeverity: Az éles rendszerekhez Highlétrehozandó incidens kívánt súlyossága , Medium. A beállítás a következőként Disabledállítható be: . - NonProdSeverity: A nem gyártási rendszerekhez Highlétrehozandó incidens kívánt súlyossága , Medium. A beállítás a következőként Disabledállítható be: . - ProductionThreshold A "Óránként" azon események száma, amelyeket gyanúsnak kell tekinteni az éles rendszerek 60esetében. - NonProdThreshold Az "Óránként" azon események száma, amelyeket gyanúsnak kell tekinteni a nem gyártási rendszerek 10esetében. - RolesTagsToExclude: Ez a mező elfogadja az SAP-szerepkör nevét, az SAP-profilneveket vagy a címkéket a SAP_User_Config figyelőlistáról. Ezekkel a rendszer kizárja a társított felhasználókat bizonyos eseménytípusokból. A lista végén található szerepkörcímkék beállításainak megtekintése. - RuleType: Arra használható Deterministic , hogy az eseménytípust elküldje az SAP – Dinamikus determinisztikus naplózási naplófigyelő szabálynak, vagy AnomaliesOnly hogy ezt az eseményt az SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ) szabály fedje le. További információ: Az SAP naplózási naplójának figyelése. - TeamsChannelID: nem kötelező dinamikus paraméter forgatókönyvekben való használatra. - DestinationEmail: egy opcionális dinamikus paraméter a forgatókönyvekben való használatra. A RolesTagsToExclude mező esetében: – Ha SAP-szerepköröket vagy SAP-profilokat listáz, az kizár minden olyan felhasználót, aki rendelkezik a felsorolt szerepkörökkel vagy profilokkal ugyanazon SAP-rendszer ilyen eseménytípusaiból. Ha például az BASIC_BO_USERS RFC-hez kapcsolódó eseménytípusok ABAP-szerepkörét határozza meg, az Üzleti objektumok felhasználói nem váltanak ki incidenseket nagy mennyiségű RFC-hívás során.– Az eseménytípus címkézése hasonló az SAP-szerepkörök vagy -profilok megadásához, de címkék hozhatók létre a munkaterületen, így az SOC-csapatok tevékenység alapján kizárhatják a felhasználókat az SAP BASIS-csapattól függetlenül. A naplózási üzenet például az AUB azonosítókat (engedélyezési módosításokat) és az AUD-t (a felhasználói főrekord módosításait) rendeli hozzá a MassiveAuthChanges címkéhez. A címkéhez rendelt felhasználók nem szerepelnek a tevékenységek ellenőrzésében. A munkaterületfüggvény SAPAuditLogConfigRecommend futtatása létrehozza a felhasználókhoz rendelendő ajánlott címkék listáját, például Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Lehetővé teszi a riasztások finomhangolását azáltal, hogy kizárja /beleértve a felhasználókat bizonyos környezetekben, és a beépített SAP-elemzési szabályok konfigurálásához is használható az SAP auditnapló figyeléséhez. További információ: Az SAP naplózási naplójának figyelése. - SAPUser: Az SAP-felhasználó - Címkék: A címkék a felhasználók azonosítására szolgálnak bizonyos tevékenységekhez. Ha például hozzáadja a ["GenericTablebyRFCOK" címkét a felhasználói SENTINEL_SRV megakadályozza az RFC-hez kapcsolódó incidensek létrehozását az adott felhasználó számára Egyéb Active Directory-felhasználói azonosítók - AD felhasználói azonosító - Helyszíni felhasználói biztonsági azonosító - Egyszerű felhasználónév |
Elérhető forgatókönyvek
Az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldás által biztosított forgatókönyvek segítenek automatizálni az SAP incidenskezelési számítási feladatait, javítva a biztonsági műveletek hatékonyságát és hatékonyságát.
Ez a szakasz az SAP-alkalmazásokhoz készült Microsoft Sentinel-megoldással együtt biztosított beépített elemzési forgatókönyveket ismerteti.
| Forgatókönyv neve | Paraméterek | Kapcsolatok |
|---|---|---|
| SAP-incidens válasza – Felhasználó zárolása a Teamsből – Alapszintű | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP-incidens válasza – Felhasználó zárolása a Teamsből – Speciális | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Monitor-naplók – Office 365 Outlook - Microsoft Entra-azonosító - Azure Key Vault - Microsoft Teams |
| SAP-incidens válasza – Újravehető naplózás inaktiválás után | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitor-naplók - Microsoft Teams |
Az alábbi szakaszokban a minta az egyes forgatókönyvek használati eseteit ismerteti, olyan forgatókönyvekben, amikor egy incidens figyelmeztette Önt az sap-rendszerek egyik gyanús tevékenységére, ahol egy felhasználó egy ilyen rendkívül érzékeny tranzakciót próbál végrehajtani.
Az incidens-osztályozási fázisban ön úgy dönt, hogy lépéseket tesz a felhasználó ellen, kizárja azt az SAP ERP- vagy BTP-rendszerekből, vagy akár a Microsoft Entra-azonosítóból is.
További információ: Fenyegetéskezelés automatizálása forgatókönyvekkel a Microsoft Sentinelben
A Standard logikai alkalmazások üzembe helyezésének folyamata általában összetettebb, mint a Használat logikai alkalmazások esetében. Számos billentyűparancsot hoztunk létre, amelyekkel gyorsan üzembe helyezheti őket a Microsoft Sentinel GitHub-adattárból. További információ: Részletes telepítési útmutató.
Tipp.
A GitHub-adattár SAP-forgatókönyvek mappájában további forgatókönyvek érhetők el, amint elérhetővé válnak. Van egy rövid bevezető videó (külső hivatkozás) is, amely segít az első lépésekben.
Felhasználó kizárása egyetlen rendszerből
Hozzon létre egy automatizálási szabályt, amely meghívja a Felhasználó zárolását a Teamsből – Alapszintű forgatókönyvet, amikor egy jogosulatlan felhasználó érzékeny tranzakcióvégrehajtást észlel. Ez a forgatókönyv a Teams adaptív kártyák funkciójával kér jóváhagyást, mielőtt egyoldalúan letiltja a felhasználót.
További információkért tekintse meg a Kritikus SAP biztonsági jelzéseit a Microsoft Sentinellel a nullától a fő biztonsági lefedettségig – A szárnyalást fogja hallani! 1 . rész (SAP blogbejegyzés).
A Felhasználó zárolása a Teamsből – Alapszintű forgatókönyv egy Standard forgatókönyv, a Standard forgatókönyvek pedig általában összetettebbek, mint a Használat forgatókönyvek.
Számos billentyűparancsot hoztunk létre, amelyekkel gyorsan üzembe helyezheti őket a Microsoft Sentinel GitHub-adattárból. További információ: Részletes telepítési útmutató és támogatott logikai alkalmazástípusok.
Felhasználó kizárása több rendszerből
A Felhasználó zárolása a Teamsből – A speciális forgatókönyv ugyanezt a célt valósítja meg, de összetettebb forgatókönyvekhez készült, így egyetlen forgatókönyv több SAP-rendszerhez is használható, amelyek mindegyike saját SAP SID-vel rendelkezik.
A Felhasználó zárolása a Teamsből – Speciális forgatókönyv zökkenőmentesen kezeli az összes ilyen rendszerrel és hitelesítő adataikkal való kapcsolatot az SAP – Systems figyelőlistán és az Azure Key Vaultban az opcionális dinamikus paraméterrel.
A Felhasználó zárolása a Teamsből – Speciális forgatókönyv lehetővé teszi, hogy a jóváhagyási folyamatban részt vevő felekkel az Outlook végrehajtható üzeneteivel kommunikáljon a Teamsszel együtt, a TeamsChannelID és a DestinationEmail paraméterek használatával a SAP_Dynamic_Audit_Log_Monitor_Configuration figyelőlistában.
További információkért tekintse meg a Microsoft Sentinel zérótól fő biztonsági lefedettségét a kritikus SAP biztonsági jelzéseiért – 2 . rész (SAP-blogbejegyzés).
Naplózás inaktiválásának megakadályozása
Előfordulhat, hogy az SAP naplózási naplója, amely az egyik biztonsági adatforrása, inaktiválva van. Javasoljuk, hogy hozzon létre egy automatizálási szabályt az SAP – A biztonsági naplózási napló elemzési szabálya alapján, hogy az inaktivált forgatókönyvet követően meghívja az Újravehető naplózást, hogy meggyőződjön arról, hogy az SAP-napló nincs inaktiválva.
Az SAP – A biztonsági naplózási naplók inaktiválása forgatókönyv a Teamst is használja, amely a biztonsági személyzetet a tény után tájékoztatja. A bűncselekmény súlyossága és a kockázatcsökkentés sürgőssége azt jelzi, hogy azonnali intézkedésre nincs szükség jóváhagyás nélkül.
Mivel az SAP – Biztonsági naplózási naplók inaktiválása forgatókönyv az Azure Key Vaultot is használja a hitelesítő adatok kezeléséhez, a forgatókönyv konfigurációja hasonló a Teams - Advanced forgatókönyv zárolási felhasználóéhoz. További információkért tekintse meg a Microsoft Sentinel zérótól fő biztonsági lefedettségét a kritikus SAP biztonsági jelzéseiért – 3 . rész (SAP-blogbejegyzés).
Kapcsolódó tartalom
További információ: Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz.