Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® – SAP -Security Auditnapló és Initial Access-munkafüzet
Ez a cikk az SAP -Security Audit naplóját és az Initial Access munkafüzetet ismerteti, amely az SAP-rendszerek felhasználói naplózási tevékenységeinek figyelésére és nyomon követésére szolgál. A munkafüzet segítségével madártávlatból tekintheti meg a felhasználói naplózási tevékenységeket, így hatékonyabban védheti sap-rendszereit, és gyorsan áttekintheti a gyanús műveleteket. Szükség szerint részletezheti a gyanús eseményeket.
A munkafüzetet használhatja az SAP-rendszerek folyamatos figyeléséhez, vagy biztonsági incidenst vagy más gyanús tevékenységet követő rendszerek áttekintéséhez.
A munkafüzet használatának megkezdése
A Microsoft Sentinel portálon válassza a Munkafüzetek lehetőséget a Fenyegetéskezelés menüben.
A Munkafüzetek gyűjteményben lépjen a Sablonok lapra, és írja be az SAP kifejezést a keresősávba, és válassza az SAP -Security Audit log and Initial Access lehetőséget az eredmények közül.
Válassza a Sablon megtekintése lehetőséget a munkafüzet adott állapotában történő használatához, vagy válassza a Mentés elemet a munkafüzet szerkeszthető másolatának létrehozásához. A másolat létrehozása után válassza a Mentett munkafüzet megtekintése lehetőséget.
Fontos
Az SAP -Security Audit naplót és az Initial Access munkafüzetet az a munkaterület üzemelteti, ahol az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás telepítve volt. Alapértelmezés szerint az SAP és az SOC-adatok is a munkafüzetet üzemeltető munkaterületen lesznek.
Ha az SOC-adatok más munkaterületen találhatók, mint a munkafüzetet üzemeltető munkaterület, ügyeljen arra, hogy az adott munkaterülethez tartozó előfizetést is tartalmazza, és válassza ki az SOC-munkaterületet az Azure audit- és tevékenység-munkaterületéről.
Válassza ki a következő mezőket az adatok igényei szerinti szűréséhez:
- Időtartomány. Négy órától 90 napig.
- Rendszerszerepkörök. Az SAP rendszerszerepkörei, például: Fejlesztés.
- Rendszerhasználat. Például: SAP GTS.
- SAP-rendszerek. Kiválaszthatja az összes rendszert, egy adott rendszert, vagy több rendszert is kiválaszthat.
Ha olyan rendszereket választ ki, amelyek nincsenek konfigurálva az "SAP-rendszerek" figyelőlistájában, a munkafüzet hibát jelenít meg, és megadja a problémákat okozó rendszereket. Ebben az esetben konfigurálja a figyelőlistát úgy, hogy megfelelően tartalmazza ezeket a rendszereket.
Munkafüzet áttekintése
A munkafüzet két lapra van osztva:
- Bejelentkezési elemzési jelentés. Különböző típusú adatokat jelenít meg a bejelentkezési hibákkal kapcsolatban. Az adatok közé tartoznak a rendellenes adatok, a Microsoft Entra-adatok és egyebek. Az adatok az "SAP-rendszerek" figyelőlistáján alapulnak.
- Naplóriasztások jelentése. Különböző típusú adatokat jelenít meg az SAP Auditnapló eseményeivel kapcsolatban, amelyeket az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás figyel. Az adatok a "SAP_Dynamic_Audit_Log_Monitor_Configuration" figyelőlistán alapulnak.
Bejelentkezési elemzési jelentés lap
Tartalmazza a bejelentkezési elemzési és bejelentkezési hibák területeit .
Bejelentkezési elemzés
Különböző típusú adatokat jelenít meg a felhasználói bejelentkezésekkel kapcsolatban.
| Terület | Leírás | Beállítások |
|---|---|---|
| Egyedi felhasználói bejelentkezések rendszerenként | Megjeleníti az egyes SAP-rendszerek egyedi bejelentkezéseinek számát, valamint egy grafikont, amelyen a bejelentkezési trendek láthatók az egyes rendszerekhez megadott idő alatt. Például: a 012 rendszer 1,4 K egyedi bejelentkezési kísérletekkel rendelkezik az elmúlt 14 napban, és ebben a 14 napban a grafikon viszonylag növekvő bejelentkezési trendet mutat. | |
| Bejelentkezési típusok trendje | A bejelentkezések számának trendje típus szerint, például bejelentkezés párbeszédpanelen keresztül. | A diagramra rámutatva megjelenítheti a különböző dátumokhoz tartozó bejelentkezések számát. |
| Bejelentkezési hibák és egyedi felhasználók sikeressége – trend | A sikeres és sikertelen bejelentkezések trendje a kijelölt időszakban. | A gráfra rámutatva megjelenítheti a sikeres és sikertelen bejelentkezések mennyiségét a különböző dátumokhoz. |
Bejelentkezési hibák – anomáliadetektálás
Az Anomáliadetektálási területek – a zajos sikertelen bejelentkezési kísérletek kiszűrése az SAP-rendszerek és a felhasználók bejelentkezési hibaadatait jeleníti meg. Ha csak az anomáliadetektálással megjelölt adatokat szeretné látni, válassza az Anomália lehetőséget a jobb oldalon található Sikertelen bejelentkezések mellett.
| Terület | Leírás | Konkrét adatok | Beállítások/jegyzetek |
|---|---|---|---|
| Bejelentkezési hibák gyakorisága>– Bejelentkezési hibák anomáliái>– Egyedi felhasználó sikertelen bejelentkezése SAP-rendszerenként | Az egyes SAP-rendszerek egyedi sikertelen bejelentkezéseinek számát jeleníti meg. | ||
| Az SAP és az Active Directory együtt jobbak | A rendellenes bejelentkezési hibák táblázata a Microsoft Sentinel és a Microsoft Entra adatok kombinációját mutatja. A munkafüzet a kockázatnak megfelelően jeleníti meg a felhasználókat: A legnagyobb kockázatot jelző felhasználók a lista tetején, a kisebb biztonsági kockázattal rendelkező felhasználók pedig alul találhatók. | Minden felhasználó esetében a következőt jeleníti meg: • Sikertelen bejelentkezési kísérletek idővonala • Egy idősor, amely azt mutatja, hogy melyik időpontban történt rendellenes sikertelen kísérlet • Az anomália típusa • A felhasználó e-mail-címe • A Microsoft Entra kockázati mutatója • Az incidensek és riasztások száma a Microsoft Sentinelben |
• Amikor kiválaszt egy sort, megjelenik az adott felhasználóhoz tartozó riasztások és incidensek listája a felhasználó incidenseinek/riasztásainak áttekintése alatt. A lista alatt a Microsoft Entra kockázati eseményeit is láthatja az Azure-naplózás és a felhasználói bejelentkezési kockázatok alatt. • Ha a Microsoft Entra-adatok egy másik Log Analytics-munkaterületen találhatók, győződjön meg arról, hogy a megfelelő előfizetéseket és munkaterületeket a munkafüzet tetején, az Azure-naplózás és -tevékenységek területen választja ki. |
| Bejelentkezési hibák gyakorisága rendszerenként | Vizuálisan a kiválasztott SAP-rendszereket jelöli. | • Az egyes rendszereknél a kiválasztott időszakban előforduló hibák számát jeleníti meg • A rendszerek típus szerint vannak csoportosítva. • A rendszer színe a sikertelen kísérletek számát jelzi: a zöld néhány gyanús bejelentkezési kísérletet jelez, ahol a piros a gyanúsabb bejelentkezési kísérleteket jelzi. |
A rendszer kiválasztásával megtekintheti a sikertelen bejelentkezések listáját a hibák részleteivel. |
Ebben a képernyőképen láthatja azokat az adatokat, amikor az első sor ki van jelölve a rendellenes bejelentkezési hibák táblában. Az adott riasztások és incidens URL-címek a felhasználói tábla Incidensek/riasztások áttekintésében jelennek meg.
Ebben a képernyőképen a felhasználói tábla Azure-naplózási és bejelentkezési kockázatainak adatai láthatók a felhasználóval kapcsolatos bejelentkezési kockázattal kapcsolatban.
Ebben a képernyőképen láthatja a bejelentkezési hibák gyakoriságát rendszerterületenként, ahol a Teszt csoport alatti 84e rendszer van kiválasztva. A jobb oldali rendszerterület sikertelen bejelentkezései a rendszer meghibásodási eseményeit jelenítik meg.
Bejelentkezési hibák – trendek
A bejelentkezési hibák trendjei terület a sikertelen bejelentkezések trendjeit és számát jeleníti meg, különböző típusú adatok szerint csoportosítva.
| Terület | Leírás |
|---|---|
| Bejelentkezési hiba ok szerint | A bejelentkezési hibák számának trendje a hiba okának megfelelően, például helytelen bejelentkezési adatok. |
| Bejelentkezési hiba típus szerint | A bejelentkezési hibák számának trendje típus szerint, például: a bejelentkezés háttérfeladatot váltott ki, vagy a bejelentkezés HTTP-en keresztül történt. |
| Bejelentkezési hiba módszer szerint | A bejelentkezési hibák számának trendjét jeleníti meg módszer szerint, például: SNC vagy bejelentkezési jegy. |
Naplóriasztások jelentésének lapja
Ez a lap az egyes SAP-rendszerek és -felhasználók súlyossági és naplózási trendjeit mutatja be. A lap minden területén csak az anomáliadetektálással megjelölt adatok láthatók. Minden eseménynél válassza a jobb oldalon a Sikertelen bejelentkezések mellett található Összes lehetőséget.
| Terület | Leírás | Konkrét adatok | Beállítások/jegyzetek |
|---|---|---|---|
| Riasztás súlyossági trendjei rendszerazonosítónként | A rendszerek listáját jeleníti meg, a rendszerenkénti közepes és nagy súlyosságú eseménytrendek grafikonjával. A 012-rendszer például számos nagy súlyosságú eseményt észlelt az egész időszakban, és néhány közepes súlyossági eseményt, amelyeknél kiugróan magas volt a közepes súlyosságú események száma az időszak közepén. | ||
| Naplózási trend felhasználónként | A Microsoft Sentinel és a Microsoft Entra adatok kombinációját jeleníti meg. A munkafüzet kockázatnak megfelelően jeleníti meg a felhasználókat: A legnagyobb kockázatot jelző felhasználók a lista tetején, a kisebb biztonsági kockázattal rendelkező felhasználók pedig alul találhatók. | Minden felhasználó esetében a következőt jeleníti meg: • A magas és közepes súlyosságú események idővonala • A felhasználó e-mail-címe • A Microsoft Entra kockázati mutatója • Az incidensek és riasztások száma a Microsoft Sentinelben |
Amikor kiválaszt egy sort, megjelenik az adott felhasználóhoz tartozó riasztások és incidensek listája a felhasználó incidenseinek/riasztásainak áttekintése alatt. A lista alatt a Microsoft Entra kockázati eseményeit is láthatja az Azure-naplózás és a felhasználói bejelentkezési kockázatok alatt. |
| Rendszerenkénti kockázati pontszám | Vizuálisan egy cellaalakzat minden rendszerét ábrázolja. | • Megjeleníti az egyes rendszerek kockázati pontszámát. • A rendszerek típus szerint vannak csoportosítva. • A rendszer színe a kockázatot jelzi: A zöld az alacsonyabb kockázati pontszámú rendszert jelöli, ahol a piros magasabb kockázati pontszámot jelez. |
Kiválaszthat egy rendszert az SAP-események rendszerenkénti listájának megtekintéséhez. |
| MITRE ATT&CK-taktikák® eseményei | A MITRE ATT&CK-taktikák®, például az Initial Access vagy a Defense Evasion által csoportosított SAP-események listáját jeleníti meg. | A gráfra rámutatva megjelenítheti a különböző dátumokhoz tartozó bejelentkezések számát. | |
| Események kategória szerint | Az SAP eseménytrendjeinek listája kategóriák szerint csoportosítva, például RFC Start vagy Bejelentkezés. | A gráfra rámutatva megjelenítheti a bejelentkezési számot a különböző dátumok esetében. | |
| Események engedélyezési csoport szerint | Megjeleníti az SAP-eseménytrendek listáját az SAP engedélyezési csoport szerint csoportosítva, például U Standard kiadás R vagy SUPER. | A gráfra rámutatva megjelenítheti a különböző dátumokhoz tartozó bejelentkezések számát. | |
| Események felhasználótípus szerint | Az SAP-eseménytrendek listáját jeleníti meg az SAP-felhasználó típusa szerint csoportosítva, például a Párbeszédpanel vagy a rendszer szerint. | A gráfra rámutatva megjelenítheti a különböző dátumokhoz tartozó bejelentkezések számát. |
Ebben a képernyőképen láthatja azokat az adatokat, amikor az első sor ki van jelölve a felhasználói táblánkénti naplózási trendekben. Az adott riasztások és incidens URL-címek a felhasználói tábla Incidensek/riasztások áttekintésében jelennek meg.
Ebben a képernyőképen láthatja a rendszerterületenkénti kockázati pontszámot, ahol az UAT-csoport alatti cb7 rendszer van kiválasztva. A rendszervizualizáció alatti rendszerterület SAP-eseményei a rendszer SAP-eseményét jelenítik meg.
Ebben a képernyőképen különböző típusú adatok szerint csoportosított eseményeket és eseménytrendeket tartalmazó területek láthatók: MITRE ATT&CK-taktikák®, SAP-engedélyezési csoport és felhasználói típus.
További lépések
For more information, see:
- Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- Microsoft Sentinel-megoldás SAP-alkalmazások® naplóinak referenciáihoz
- Az SAP-rendszer állapotának monitorozása
- A Microsoft Sentinel megoldás üzembe helyezése SAP-alkalmazások® adatösszekötőjéhez az SNC-vel
- Konfigurációs fájlhivatkozás
- A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
- Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások® üzembe helyezéséhez