Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalom referenciája
Ez a cikk az SAP-hoz készült Microsoft Sentinel-megoldáshoz elérhető biztonsági tartalmakat ismerteti.
Fontos
Bár az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás általánosan elérhető, egyes összetevők előzetes verzióban maradnak. Ez a cikk azokat az összetevőket mutatja be, amelyek előzetes verzióban jelennek meg az alábbi szakaszokban. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az elérhető biztonsági tartalmak beépített munkafüzeteket és elemzési szabályokat tartalmaznak. Sap-jal kapcsolatos figyelőlistákat is hozzáadhat a kereséshez, az észlelési szabályokhoz, a veszélyforrás-kereséshez és a válaszforgatókönyvekhez.
Beépített munkafüzetek
Az alábbi beépített munkafüzetekkel megjelenítheti és monitorozhatja az SAP-adatösszekötőn keresztül betöltött adatokat. Az SAP-megoldás üzembe helyezése után az SAP-munkafüzeteket a Saját munkafüzetek lapon találja.
| Munkafüzet neve | Leírás | Naplók |
|---|---|---|
| SAP – Naplóböngésző | Az alábbi adatokat jeleníti meg: A rendszer általános állapota, beleértve a felhasználói bejelentkezéseket az idő múlásával, a rendszer által betöltött eseményeket, az üzenetosztályokat és azonosítókat, valamint az ABAP-programokat A rendszerben előforduló események súlyossága A rendszerben előforduló hitelesítési és engedélyezési események |
A következő naplóból származó adatokat használja: ABAPAuditLog_CL |
További információ : Oktatóanyag: Az adatok vizualizációja és monitorozása , valamint a Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®.
Beépített elemzési szabályok
Statikus SAP biztonsági paraméterek konfigurációjának monitorozása (előzetes verzió)
Az SAP-rendszer védelme érdekében az SAP azonosította azokat a biztonsági paramétereket, amelyeket figyelni kell a változásokra. Az "SAP – (előzetes verzió) Bizalmas statikus paraméter módosult" szabvánnyal az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás több mint 52, a Microsoft Sentinelbe beépített statikus biztonsági paramétert követ nyomon az SAP rendszerben.
Megjegyzés
Ahhoz, hogy az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás sikeresen monitorozza az SAP biztonsági paramétereit, a megoldásnak rendszeres időközönként sikeresen monitoroznia kell az SAP PAHI-táblát. Ellenőrizze, hogy a megoldás képes-e a PAHI-tábla figyelésére.
A rendszer paraméterváltozásainak megértéséhez az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás a paraméterelőzmények tábláját használja, amely óránként rögzíti a rendszerparaméterek módosításait.
A paraméterek az SAPSystemParameters figyelőlistán is megjelennek. Ez a figyelőlista lehetővé teszi, hogy a felhasználók új paramétereket adjanak hozzá, letiltsák a meglévő paramétereket, és módosítsák az értékeket és súlyosságokat paraméterenként és rendszerszerepkörenként éles vagy nem éles környezetben.
A paraméterek egyikének módosításakor a Microsoft Sentinel ellenőrzi, hogy a módosítás biztonsági vonatkozású-e, és hogy az érték az ajánlott értékek szerint van-e beállítva. Ha a módosítás a biztonságos zónán kívülre gyanús, a Microsoft Sentinel létrehoz egy incidenst, amely részletezi a módosítást, és azonosítja, hogy ki hajtotta végre a módosítást.
Tekintse át a szabály által figyelt paraméterek listáját .
Az SAP-auditnapló monitorozása
Az SAP auditnapló-adatai a Microsoft Sentinel-megoldás sap-alkalmazásokhoz® készült elemzési szabályainak számos területén használhatók. Egyes elemzési szabályok konkrét eseményeket keresnek a naplóban, míg mások több napló jelzéseit korrelálják a magas megbízhatóságú riasztások és incidensek létrehozásához.
Emellett két elemzési szabály is létezik, amelyek a szabványos SAP-naplóesemények teljes készletének (183 különböző eseménynek) és minden más egyéni eseménynek a tárolására szolgálnak, amelyeket az SAP-napló használatával naplózhat.
Az SAP naplómonitorozási elemzési szabályai ugyanazt az adatforrást és konfigurációt használják, de egy kritikus szempontban különböznek egymástól. Bár az "SAP – Dinamikus determinisztikus auditnapló-figyelő" szabály determinisztikus riasztási küszöbértékeket és felhasználókizárási szabályokat igényel, az "SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ)" szabály további gépi tanulási algoritmusokat alkalmaz a háttérzaj felügyelet nélküli kiszűréséhez. Ezért alapértelmezés szerint az SAP-auditnapló legtöbb eseménytípusa (vagy SAP-üzenetazonosítója) az "Anomálián alapuló" elemzési szabályba kerül, míg az eseménytípusok egyszerűbb definiálása a determinisztikus elemzési szabályba kerül. Ez a beállítás a többi kapcsolódó beállítással együtt további konfigurálható úgy, hogy megfeleljen a rendszerfeltételeknek.
SAP – Dinamikus determinisztikus auditnapló-figyelő
Dinamikus elemzési szabály, amely az SAP auditnapló-eseménytípusok teljes készletének lefedésére szolgál, amelyek determinisztikus definícióval rendelkeznek a felhasználói sokaság, az esemény küszöbértékei tekintetében.
- A szabály konfigurálása a SAP_Dynamic_Audit_Log_Monitor_Configuration figyelőlistával
- További információ a szabály konfigurálásáról (teljes eljárás)
SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ)
Dinamikus elemzési szabály, amely a rendszer normál viselkedésének megismerésére, valamint az SAP auditnaplójában megfigyelt tevékenységek riasztására szolgál, amelyek rendellenesnek minősülnek. Alkalmazza ezt a szabályt az SAP auditnapló eseménytípusaira, amelyeket nehezebb meghatározni a felhasználói sokaság, a hálózati attribútumok és a küszöbértékek tekintetében.
További információ:
- A szabály konfigurálása a SAP_Dynamic_Audit_Log_Monitor_Configuration és a SAP_User_Config figyelőlistával
- További információ a szabály konfigurálásáról (teljes eljárás)
Az alábbi táblázatok a Microsoft Sentinel Solutions piacteréről üzembe helyezett SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás beépített elemzési szabályait sorolják fel.
Kezdeti hozzáférés
| Szabály neve | Leírás | Forrásművelet | Taktikák |
|---|---|---|---|
| SAP – Bejelentkezés váratlan hálózatról | Azonosítja a váratlan hálózatról való bejelentkezést. Hálózatok karbantartása az SAP – Hálózatok figyelőlistán. |
Jelentkezzen be a háttérrendszerbe egy olyan IP-címről, amely nincs hozzárendelve az egyik hálózathoz. Adatforrások: SAPcon – Auditnapló |
Kezdeti hozzáférés |
| SAP – SPNego-támadás | Azonosítja az SPNego visszajátszási támadást. | Adatforrások: SAPcon – Auditnapló | Hatás, oldalirányú mozgás |
| SAP – Párbeszédpanel-bejelentkezési kísérlet egy kiemelt felhasználótól | Az SAP-rendszer kiemelt felhasználói által az AUM-típussal rendelkező párbeszédpanel-bejelentkezési kísérleteket azonosítja. További információ: SAPUsersGetPrivileged. | Kísérlet ugyanarról az IP-címről több rendszerre vagy ügyfélre való bejelentkezésre az ütemezett időintervallumon belül Adatforrások: SAPcon – Auditnapló |
Hatás, oldalirányú mozgás |
| SAP – Találgatásos támadások | Találgatásos támadásokat azonosít az SAP-rendszeren RFC-bejelentkezések használatával | Kísérlet ugyanazon IP-címről több rendszerre/ügyfélre való bejelentkezésre az ütemezett időintervallumon belül az RFC használatával Adatforrások: SAPcon – Auditnapló |
Hitelesítő adatok elérése |
| SAP – Több bejelentkezés ugyanarról az IP-címről | Több felhasználó bejelentkezését azonosítja ugyanabból az IP-címről egy ütemezett időintervallumon belül. Alhasználati eset: Adatmegőrzés |
Jelentkezzen be több felhasználóval ugyanazon az IP-címen keresztül. Adatforrások: SAPcon – Auditnapló |
Kezdeti hozzáférés |
| SAP – Több bejelentkezés felhasználónként | Azonos felhasználó bejelentkezéseit azonosítja több terminálról az ütemezett időintervallumon belül. Csak az Audit SAL metódussal érhető el az SAP 7.5-ös és újabb verzióihoz. |
Jelentkezzen be ugyanazzal a felhasználóval, különböző IP-címekkel. Adatforrások: SAPcon – Auditnapló |
PreAttack, Hitelesítő adatok elérése, Kezdeti hozzáférés, Gyűjtemény Alhasználati eset: Adatmegőrzés |
| SAP – Tájékoztató – Életciklus – Sap Notes implementálása a rendszerben | Azonosítja az SAP Note implementációját a rendszerben. | SAP-jegyzet implementálása SNOTE/TCI használatával. Adatforrások: SAPcon – Változáskérések |
- |
Adatkiszivárgás
| Szabály neve | Leírás | Forrásművelet | Taktikák |
|---|---|---|---|
| SAP – FTP nem engedélyezett kiszolgálókhoz | Egy nem engedélyezett kiszolgáló FTP-kapcsolatát azonosítja. | Hozzon létre egy új FTP-kapcsolatot, például a FTP_CONNECT függvénymodul használatával. Adatforrások: SAPcon – Auditnapló |
Felderítés, kezdeti hozzáférés, parancs és vezérlés |
| SAP – Nem biztonságos FTP-kiszolgálók konfigurálása | Azonosítja a nem biztonságos FTP-kiszolgáló konfigurációit, például ha egy FTP-engedélyezési lista üres vagy helyőrzőket tartalmaz. | A karbantartási nézet használatával ne tartson fenn és ne tartson fenn olyan értékeket, amelyek helyőrzőket tartalmaznak a SAPFTP_SERVERSSAPFTP_SERVERS_V táblában. (SM30)Adatforrások: SAPcon – Auditnapló |
Kezdeti hozzáférés, parancs és vezérlés |
| SAP – Több fájl letöltése | Egy felhasználó több fájlletöltését azonosítja egy adott időtartományon belül. | Töltsön le több fájlt az Excel SAPGui-jában, listákban stb. Adatforrások: SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Több spool-végrehajtás | Egy felhasználó több készletét azonosítja egy adott időtartományon belül. | Hozzon létre és futtasson egy felhasználó által bármilyen típusú készletfeladatot. (SP01) Adatforrások: SAPcon – Spool Log, SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Több spool-kimenet végrehajtása | Egy felhasználó több készletét azonosítja egy adott időtartományon belül. | Hozzon létre és futtasson egy felhasználó által bármilyen típusú készletfeladatot. (SP01) Adatforrások: SAPcon – Spool kimeneti napló, SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Bizalmas táblák közvetlen elérése RFC-bejelentkezéssel | Általános táblahozzáférést azonosít az RFC-bejelentkezéssel. Táblák karbantartása az SAP – Bizalmas táblák figyelőlistájában. Megjegyzés: Csak éles rendszerekre vonatkozik. |
Nyissa meg a táblázat tartalmát az SE11/SE16/SE16N használatával. Adatforrások: SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Spool-átvétel | Azonosítja azt a felhasználót, aki más által létrehozott készletkérelmet nyomtat. | Hozzon létre egy készletkérelmet egy felhasználóval, majd adja ki egy másik felhasználóval. Adatforrások: SAPcon – Spool Log, SAPcon – Spool Output Log, SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, parancs és vezérlés |
| SAP – Dinamikus RFC-célhely | Az RFC dinamikus célhelyekkel történő végrehajtását azonosítja. Alhasználati eset: Az SAP biztonsági mechanizmusainak megkerülésére tett kísérletek |
Dinamikus célhelyeket (cl_dynamic_destination) használó ABAP-jelentés végrehajtása. Például DEMO_RFC_DYNAMIC_DEST. Adatforrások: SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás |
| SAP – Bizalmas táblák közvetlen hozzáférése párbeszédpanel-bejelentkezéssel | A párbeszédpaneles bejelentkezéssel azonosítja az általános táblahozzáférést. | Nyissa meg a tartalomjegyzéket a paranccsalSE11SE16N/SE16/. Adatforrások: SAPcon – Auditnapló |
Felderítés |
| SAP – Rosszindulatú IP-címről letöltött (előzetes verziójú) fájl | Egy fájl SAP-rendszerből való letöltését azonosítja egy ismerten rosszindulatú IP-cím használatával. A rosszindulatú IP-címek a fenyegetésfelderítési szolgáltatásokból származnak. | Fájl letöltése rosszindulatú IP-címről. Adatforrások: SAP security Audit log, Threat Intelligence |
Exfiltration |
| SAP – (előzetes verzió) Az éles rendszerből átvitellel exportált adatok | Egy éles rendszerből történő adatexportálást azonosít átvitel használatával. A szállításokat fejlesztési rendszerekben használják, és hasonlóak a lekéréses kérelmekhez. Ez a riasztási szabály közepes súlyosságú incidenseket aktivál, amikor egy olyan átvitel, amely bármilyen táblából származó adatokat tartalmaz, egy éles rendszerből szabadul fel. A szabály nagy súlyosságú incidenst hoz létre, amikor az exportálás bizalmas táblából származó adatokat tartalmaz. | Szállítás felszabadítása éles rendszerből. Adatforrások: SAP CR-napló, SAP – Bizalmas táblák |
Exfiltration |
| SAP – (előzetes verzió) USB-meghajtóba mentett bizalmas adatok | Az SAP-adatok fájlokon keresztüli exportálását azonosítja. A szabály ellenőrzi, hogy a legutóbb csatlakoztatott USB-meghajtóra mentett adatok egy bizalmas tranzakció, egy bizalmas program végrehajtása vagy egy bizalmas tábla közvetlen elérése közelében vannak-e. | SAP-adatok exportálása fájlokon keresztül, és mentés USB-meghajtóra. Adatforrások: SAP biztonsági auditnapló, DeviceFileEvents (Végponthoz készült Microsoft Defender), SAP – Bizalmas táblák, SAP – Bizalmas tranzakciók, SAP – Bizalmas programok |
Exfiltration |
| SAP – (előzetes verzió) Potenciálisan bizalmas adatok nyomtatása | Azonosítja a potenciálisan bizalmas adatok kérését vagy tényleges nyomtatását. Az adatok akkor minősülnek bizalmasnak, ha a felhasználó bizalmas tranzakció, bizalmas program végrehajtása vagy egy bizalmas táblához való közvetlen hozzáférés részeként szerzi be az adatokat. | Bizalmas adatok nyomtatása vagy kérése. Adatforrások: SAP biztonsági auditnapló, SAP Spool-naplók, SAP – Bizalmas táblák, SAP – Bizalmas programok |
Exfiltration |
| SAP – (előzetes verzió) Nagy mennyiségű potenciálisan bizalmas adat exportálva | Nagy mennyiségű adat exportálását azonosítja a bizalmas tranzakciók végrehajtásához, egy bizalmas programhoz vagy a bizalmas táblához való közvetlen hozzáféréshez közeli fájlokon keresztül. | Nagy mennyiségű adat exportálása fájlokon keresztül. Adatforrások: SAP biztonsági auditnapló, SAP – Bizalmas táblák, SAP – Bizalmas tranzakciók, SAP – Bizalmas programok |
Exfiltration |
Adatmegőrzés
| Szabály neve | Leírás | Forrásművelet | Taktikák |
|---|---|---|---|
| SAP – ICF-szolgáltatás aktiválása vagy inaktiválása | Azonosítja az ICF-szolgáltatások aktiválását vagy inaktiválását. | Szolgáltatás aktiválása az SICF használatával. Adatforrások: SAPcon – Táblaadatnapló |
Command and Control, Lateral Movement, Persistence |
| SAP – Tesztelt függvénymodul | Egy függvénymodul tesztelését azonosítja. | Függvénymodul tesztelése a használatával SE37 / SE80. Adatforrások: SAPcon – Auditnapló |
Gyűjtemény, Defense Evasion, Lateral Movement |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Felhasználói Rendszergazda műveletek | Azonosítja a felhasználói adminisztrációs műveleteket. | Adatbázis-felhasználó létrehozása, frissítése vagy törlése. Adatforrások: Linux-ügynök – Syslog* |
Jogosultság eszkalációja |
| SAP – Új ICF-szolgáltatáskezelők | Azonosítja az ICF-kezelők létrehozását. | Rendeljen hozzá egy új kezelőt egy szolgáltatáshoz az SICF használatával. Adatforrások: SAPcon – Auditnapló |
Command and Control, Lateral Movement, Persistence |
| SAP – Új ICF-szolgáltatások | Azonosítja az ICF-szolgáltatások létrehozását. | Szolgáltatás létrehozása az SICF használatával. Adatforrások: SAPcon – Táblaadatnapló |
Command and Control, Lateral Movement, Persistence |
| SAP – Elavult vagy nem biztonságos függvénymodul végrehajtása | Egy elavult vagy nem biztonságos ABAP-függvénymodul végrehajtását azonosítja. Elavult függvények karbantartása az SAP – Elavult függvénymodulok figyelőlistájában. Győződjön meg arról, hogy aktiválja a tábla naplózási módosításait a EUFUNC háttérrendszerben lévő táblához. (SE13)Megjegyzés: Csak éles rendszerekre vonatkozik. |
Futtasson egy elavult vagy nem biztonságos függvénymodult közvetlenül az SE37 használatával. Adatforrások: SAPcon – Táblaadatnapló |
Felderítés, parancs és vezérlés |
| SAP – Elavult/nem biztonságos program végrehajtása | Egy elavult vagy nem biztonságos ABAP-program végrehajtását azonosítja. Elavult programok karbantartása az SAP – Elavult programok figyelőlistán. Megjegyzés: Csak éles rendszerekre vonatkozik. |
Futtasson egy programot közvetlenül az SE38/SA38/SE80 használatával, vagy egy háttérfeladat használatával. Adatforrások: SAPcon – Auditnapló |
Felderítés, parancs és vezérlés |
| SAP – Több jelszómódosítás felhasználó szerint | Több jelszómódosítást azonosít felhasználónként. | Felhasználói jelszó módosítása Adatforrások: SAPcon – Auditnapló |
Hitelesítő adatok elérése |
Az SAP biztonsági mechanizmusainak megkerülésére tett kísérletek
| Szabály neve | Leírás | Forrásművelet | Taktikák |
|---|---|---|---|
| SAP – Ügyfélkonfiguráció módosítása | Azonosítja az ügyfélkonfiguráció változásait, például az ügyfélszerepkört vagy a változásrögzítési módot. | Ügyfélkonfigurációs módosítások végrehajtása a SCC4 tranzakciókód használatával. Adatforrások: SAPcon – Auditnapló |
Védelmi kijátszás, kiszivárgás, megőrzés |
| SAP – Az adatok módosultak a hibakeresési tevékenység során | Azonosítja a futásidejű adatok hibakeresési tevékenység közbeni változásait. Alhasználati eset: Adatmegőrzés |
1. Hibakeresés aktiválása ("/h"). 2. Válasszon ki egy mezőt a módosításhoz, és frissítse annak értékét. Adatforrások: SAPcon – Auditnapló |
Végrehajtás, oldalirányú mozgás |
| SAP – Biztonsági auditnapló inaktiválása | Azonosítja a biztonsági auditnapló inaktiválását, | Tiltsa le a biztonsági auditnaplót a paranccsal SM19/RSAU_CONFIG. Adatforrások: SAPcon – Auditnapló |
Exfiltration, Defense Evasion, Persistence |
| SAP – Bizalmas ABAP-program végrehajtása | Azonosítja egy bizalmas ABAP-program közvetlen végrehajtását. ABAP-programok karbantartása az SAP – Bizalmas ABAP-programok figyelőlistájában. |
Futtasson egy programot közvetlenül a használatávalSE38SE80/SA38/. Adatforrások: SAPcon – Auditnapló |
Exfiltration, Lateral Movement, Execution |
| SAP – Bizalmas tranzakciókód végrehajtása | Egy bizalmas tranzakciókód végrehajtását azonosítja. Tranzakciókódok karbantartása az SAP – Bizalmas tranzakciókódok figyelőlistájában. |
Futtasson egy bizalmas tranzakciókódot. Adatforrások: SAPcon – Auditnapló |
Felderítés, végrehajtás |
| SAP – Bizalmas függvénymodul végrehajtása | Azonosítja egy bizalmas ABAP-függvénymodul végrehajtását. Alhasználati eset: Adatmegőrzés Megjegyzés: Csak éles rendszerekre vonatkozik. Bizalmas függvények karbantartása az SAP – Bizalmas függvénymodulok figyelőlistájában, és győződjön meg arról, hogy aktiválja a táblanaplózás módosításait az EUFUNC tábla háttérrendszerében. (SE13) |
Futtasson egy bizalmas függvénymodult közvetlenül az SE37 használatával. Adatforrások: SAPcon – Táblaadatnapló |
Felderítés, parancs és vezérlés |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Naplózási napló szabályzatának változásai | Azonosítja a HANA DB auditnapló-szabályzatainak módosításait. | Hozza létre vagy frissítse a meglévő naplózási szabályzatot a biztonsági definíciókban. Adatforrások: Linux-ügynök – Syslog |
Lateral Movement, Defense Evasion, Persistence |
| SAP – (ELŐZETES VERZIÓ) HANA-ADATBÁZIS – Auditnapló inaktiválása | Azonosítja a HANA DB auditnaplójának inaktiválását. | Inaktiválja a naplózási naplót a HANA DB biztonsági definíciójában. Adatforrások: Linux-ügynök – Syslog |
Megőrzés, oldalirányú mozgás, védelmi kijátszás |
| SAP – Bizalmas függvénymodulok jogosulatlan távoli végrehajtása | Észleli a bizalmas FM-ek jogosulatlan végrehajtását úgy, hogy összehasonlítja a tevékenységet a felhasználó engedélyezési profiljával, miközben figyelmen kívül hagyja a nemrég módosított engedélyeket. Függvénymodulok karbantartása az SAP – Bizalmas függvénymodulok figyelőlistájában. |
Futtasson egy függvénymodult az RFC használatával. Adatforrások: SAPcon – Auditnapló |
Végrehajtás, oldalirányú mozgás, felderítés |
| SAP – Rendszerkonfiguráció módosítása | A rendszerkonfiguráció változásait azonosítja. | A tranzakciókód használatával adaptálhatja a rendszerváltozási beállításokat vagy a SE06 szoftverösszetevő módosítását.Adatforrások: SAPcon – Auditnapló |
Exfiltration, Defense Evasion, Persistence |
| SAP – Hibakeresési tevékenységek | Azonosítja az összes hibakereséssel kapcsolatos tevékenységet. Alhasználati eset: Adatmegőrzés |
Aktiválja a hibakeresést ("/h") a rendszerben, egy aktív folyamat hibakeresését, töréspont hozzáadását a forráskódhoz stb. Adatforrások: SAPcon – Auditnapló |
Felderítés |
| SAP – Biztonsági auditnapló konfigurációjának módosítása | Azonosítja a biztonsági auditnapló konfigurációjának változásait | Módosítsa a biztonsági napló konfigurációját a használatával SM19/RSAU_CONFIG, például a szűrőkkel, az állapottal, a rögzítési móddal stb. Adatforrások: SAPcon – Auditnapló |
Megőrzés, kiszivárgás, védelmi kijátszás |
| SAP – A tranzakció feloldva | Azonosítja egy tranzakció zárolásának feloldását. | Tranzakciókód zárolásának feloldása a használatávalSM01SM01_CUS/SM01_DEV/. Adatforrások: SAPcon – Auditnapló |
Adatmegőrzés, végrehajtás |
| SAP – Dinamikus ABAP-program | A dinamikus ABAP-programozás végrehajtását azonosítja. Például amikor az ABAP-kód dinamikusan lett létrehozva, módosítva vagy törölve. A kizárt tranzakciókódok karbantartása az SAP – Tranzakciók ABAP-generációk számára figyelőlistában. |
Hozzon létre egy ABAP-jelentést, amely ABAP-programgenerálási parancsokat (például INSERT REPORT) használ, majd futtassa a jelentést. Adatforrások: SAPcon – Auditnapló |
Felderítés, parancs és vezérlés, hatás |
Gyanús jogosultsági műveletek
| Szabály neve | Leírás | Forrásművelet | Taktikák |
|---|---|---|---|
| SAP – Változás bizalmas jogosultságú felhasználóban | Azonosítja a bizalmas jogosultságú felhasználók változásait. Emelt szintű felhasználók karbantartása az SAP – Privileged Users figyelőlistában. |
Módosítsa a felhasználói adatokat/engedélyeket a paranccsal SU01. Adatforrások: SAPcon – Auditnapló |
Jogosultságok eszkalálása, hitelesítő adatokhoz való hozzáférés |
| SAP – (ELŐZETES VERZIÓ) HANA-ADATBÁZIS – Rendszergazda-engedélyek hozzárendelése | Rendszergazdai jogosultságot vagy szerepkör-hozzárendelést azonosít. | Bármely rendszergazdai szerepkörrel vagy jogosultsággal rendelkező felhasználó hozzárendelése. Adatforrások: Linux-ügynök – Syslog |
Jogosultság eszkalációja |
| SAP – Bizalmas jogosultságú felhasználó bejelentkezett | Azonosítja egy bizalmas jogosultsággal rendelkező felhasználó párbeszédpanel-bejelentkezését. Emelt szintű felhasználók karbantartása az SAP – Privileged Users figyelőlistában. |
Jelentkezzen be a háttérrendszerbe vagy egy másik kiemelt felhasználóval SAP* . Adatforrások: SAPcon – Auditnapló |
Kezdeti hozzáférés, hitelesítő adatok elérése |
| SAP – A bizalmas jogosultsággal rendelkező felhasználó módosít egy másik felhasználót | Azonosítja a más felhasználók bizalmas, kiemelt felhasználóinak változásait. | Módosítsa a felhasználói adatokat/ engedélyeket az SU01 használatával. Adatforrások: SAPcon – Auditnapló |
Jogosultságok eszkalálása, hitelesítő adatokhoz való hozzáférés |
| SAP – Bizalmas felhasználók jelszómódosítása és bejelentkezése | Azonosítja az emelt szintű felhasználók jelszómódosításait. | Módosítsa egy kiemelt felhasználó jelszavát, és jelentkezzen be a rendszerbe. Emelt szintű felhasználók karbantartása az SAP – Privileged Users figyelőlistában. Adatforrások: SAPcon – Auditnapló |
Hatás, parancs és vezérlés, jogosultságok eszkalálása |
| SAP – A felhasználó új felhasználót hoz létre és használ | Azonosítja a más felhasználókat létrehozó és használó felhasználót. Alhasználati eset: Adatmegőrzés |
Hozzon létre egy felhasználót az SU01 használatával, majd jelentkezzen be az újonnan létrehozott felhasználóval és ugyanazzal az IP-címmel. Adatforrások: SAPcon – Auditnapló |
Discovery, PreAttack, Initial Access |
| SAP – A felhasználó feloldja és más felhasználókat használ | Azonosítja a feloldott és a többi felhasználó által használt felhasználót. Alhasználati eset: Adatmegőrzés |
Oldja fel a felhasználó zárolását a SU01 használatával, majd jelentkezzen be a feloldott felhasználóval és ugyanazzal az IP-címmel. Adatforrások: SAPcon – Auditnapló, SAPcon – Dokumentumnapló módosítása |
Discovery, PreAttack, Initial Access, Lateral Movement |
| SAP – Bizalmas profil hozzárendelése | Azonosítja egy bizalmas profil új hozzárendeléseit egy felhasználóhoz. Bizalmas profilok karbantartása az SAP – Bizalmas profilok figyelőlistában. |
Profil hozzárendelése egy felhasználóhoz a használatával SU01. Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Bizalmas szerepkör hozzárendelése | Azonosítja egy felhasználó bizalmas szerepkörének új hozzárendeléseit. Bizalmas szerepkörök karbantartása az SAP – Bizalmas szerepkörök figyelőlistában. |
Szerepkör hozzárendelése egy felhasználóhoz a használatával SU01 / PFCG. Adatforrások: SAPcon – Dokumentumnapló módosítása, auditnapló |
Jogosultság eszkalációja |
| SAP – (ELŐZETES VERZIÓ) Kritikus engedélyezési hozzárendelés – Új engedélyezési érték | Egy kritikus engedélyezési objektum értékének új felhasználóhoz való hozzárendelését azonosítja. Kritikus engedélyezési objektumok karbantartása az SAP – Kritikus engedélyezési objektumok figyelőlistájában. |
Rendeljen hozzá egy új engedélyezési objektumot, vagy frissítsen egy meglévőt egy szerepkörben a használatával PFCG. Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Kritikus engedélyek hozzárendelése – Új felhasználó-hozzárendelés | Egy kritikus engedélyezési objektum értékének új felhasználóhoz való hozzárendelését azonosítja. Kritikus engedélyezési objektumok karbantartása az SAP – Kritikus engedélyezési objektumok figyelőlistájában. |
Rendeljen hozzá egy új felhasználót egy kritikus engedélyezési értékeket tartalmazó szerepkörhöz a használatával SU01/PFCG. Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Bizalmas szerepkörök változásai | Azonosítja a bizalmas szerepkörök változásait. Bizalmas szerepkörök karbantartása az SAP – Bizalmas szerepkörök figyelőlistában. |
Szerepkör módosítása a PFCG használatával. Adatforrások: SAPcon – Dokumentumnapló módosítása, SAPcon – Auditnapló |
Hatás, jogosultságeszkaláció, adatmegőrzés |
Elérhető figyelőlisták
Az alábbi táblázat az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldáshoz elérhető figyelőlistákat és az egyes figyelőlisták mezőit sorolja fel.
Ezek a figyelőlisták biztosítják az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás konfigurációját. Az SAP-figyelőlisták a Microsoft Sentinel GitHub-adattárban érhetők el.
| Figyelőlista neve | Leírás és mezők |
|---|---|
| SAP – Kritikus engedélyezési objektumok | Kritikus engedélyezési objektum, ahol a hozzárendeléseket szabályozni kell. - AuthorizationObject: Sap engedélyezési objektum, például S_DEVELOP, S_TCODEvagy Table TOBJ - AuthorizationField: Sap engedélyezési mező, például OBJTYP vagy TCD - AuthorizationValue: SAP engedélyezési mező értéke, például DEBUG - ActivityField : SAP tevékenységmező. A legtöbb esetben ez az érték lesz ACTVT. Tevékenység nélküli, vagy csak tevékenységmezővel rendelkező Engedélyezési objektumok esetén a következővel NOT_IN_USEkitöltve: . - Tevékenység: SAP-tevékenység az engedélyezési objektumnak megfelelően, például: 01: Létrehozás; 02: Módosítás; 03: Megjelenítés stb. - Leírás: Jelentéssel bíró kritikus engedélyezési objektum leírása. |
| SAP – Kizárt hálózatok | A kizárt hálózatok belső karbantartásához, például a webes kézbesítők, terminálkiszolgálók stb. figyelmen kívül hagyásához. -Hálózat: Hálózati IP-cím vagy -tartomány, például 111.68.128.0/17. -Leírás: A hálózat érthető leírása. |
| SAP kizárt felhasználók | A rendszerbe bejelentkezett rendszerfelhasználókat figyelmen kívül kell hagyni. Például ugyanaz a felhasználó több bejelentkezésre vonatkozó riasztásokat is küld. - Felhasználó: SAP-felhasználó -Leírás: Jelentéssel bíró felhasználói leírás. |
| SAP – Hálózatok | Belső és karbantartási hálózatok a jogosulatlan bejelentkezések azonosításához. - Hálózat: Hálózati IP-cím vagy -tartomány, például 111.68.128.0/17 - Leírás: A hálózat érthető leírása. |
| SAP – Kiemelt felhasználók | Kiemelt felhasználók, amelyekre további korlátozások vonatkoznak. - Felhasználó: az ABAP-felhasználó, például DDIC vagy SAP - Leírás: Jelentéssel bíró felhasználói leírás. |
| SAP – Bizalmas ABAP-programok | Bizalmas ABAP-programok (jelentések), ahol a végrehajtást szabályozni kell. - ABAPProgram: ABAP-program vagy jelentés, például RSPFLDOC - Leírás: Jelentéssel bíró programleírás. |
| SAP – Bizalmas függvénymodul | Belső és karbantartási hálózatok a jogosulatlan bejelentkezések azonosításához. - FunctionModule: Egy ABAP-függvénymodul, például RSAU_CLEAR_AUDIT_LOG - Leírás: A modul érthető leírása. |
| SAP – Bizalmas profilok | Bizalmas profilok, ahol a hozzárendeléseket szabályozni kell. - Profil: SAP engedélyezési profil, például SAP_ALL vagy SAP_NEW - Leírás: Jelentéssel bíró profilleírás. |
| SAP – Bizalmas táblák | Bizalmas táblák, ahol a hozzáférést szabályozni kell. - Táblázat: ABAP szótártábla, például USR02 vagy PA008 - Leírás: Jelentéssel bíró táblaleírás. |
| SAP – Bizalmas szerepkörök | Bizalmas szerepkörök, ahol a hozzárendelést szabályozni kell. - Szerepkör: SAP-engedélyezési szerepkör, például SAP_BC_BASIS_ADMIN - Leírás: Jelentéssel bíró szerepkör-leírás. |
| SAP – Bizalmas tranzakciók | Érzékeny tranzakciók, amelyeknél a végrehajtást szabályozni kell. - TransactionCode: SAP-tranzakció kódja, például RZ11 - Leírás: Jelentéssel bíró kódleírás. |
| SAP – Rendszerek | Az SAP-rendszerek szerepkör és használat szerinti tájolását ismerteti. - SystemID: az SAP rendszerazonosítója (SYSID) - SystemRole: az SAP rendszerszerepkör, a következő értékek egyike: Sandbox, Development, , Quality Assurance, TrainingProduction - SystemUsage: Az SAP rendszerhasználata, a következő értékek egyike: ERP, BW, Solman, , GatewayEnterprise Portal |
| SAPSystemParameters | A gyanús konfigurációs módosításokhoz watch paraméterek. Ez a figyelőlista előre ki van töltve az ajánlott értékekkel (az SAP ajánlott eljárásának megfelelően), és a figyelőlistát további paraméterekkel bővítheti. Ha nem szeretne riasztásokat kapni egy paraméterhez, állítsa a következőre EnableAlerts : false.- ParameterName: A paraméter neve. - Megjegyzés: Az SAP standard paraméter leírása. - EnableAlerts: Meghatározza, hogy engedélyezve legyenek-e riasztások ehhez a paraméterhez. Az értékek a következők: true és false.- Beállítás: Meghatározza, hogy melyik esetben kell riasztást aktiválni: Ha a paraméter értéke nagyobb vagy egyenlő ( GE), kisebb vagy egyenlő (LE) vagy egyenlő (EQ).Ha például az login/fails_to_user_lock SAP paraméter LE értéke (kisebb vagy egyenlő), és értéke 5, miután a Microsoft Sentinel észleli az adott paraméter módosítását, összehasonlítja az újonnan jelentett értéket és a várt értéket. Ha az új érték , a 4Microsoft Sentinel nem aktivál riasztást. Ha az új érték , a 6Microsoft Sentinel riasztást aktivál.- ProductionSeverity: Az éles rendszerek incidensének súlyossága. - ProductionValues: Engedélyezett értékek éles rendszerekhez. - NonProdSeverity: Az incidens súlyossága nem éles rendszerek esetében. - NonProdValues: Nem éles rendszerek engedélyezett értékei. |
| SAP – Kizárt felhasználók | A bejelentkezett rendszerfelhasználókat figyelmen kívül kell hagyni, például a Több bejelentkezés felhasználónként riasztás esetén. - Felhasználó: SAP-felhasználó - Leírás: Jelentéssel bíró felhasználói leírás |
| SAP – Kizárt hálózatok | Belső, kizárt hálózatokat tart fenn, amelyek figyelmen kívül hagyják a webes kézbesítőket, a terminálkiszolgálókat stb. - Hálózat: Hálózati IP-cím vagy -tartomány, például 111.68.128.0/17 - Leírás: A hálózat érthető leírása |
| SAP – Elavult függvénymodulok | Elavult függvénymodulok, amelyeknek a végrehajtását szabályozni kell. - FunctionModule: ABAP függvénymodul, például TH_SAPREL - Leírás: A függvénymodul érthető leírása |
| SAP – Elavult programok | Elavult ABAP-programok (jelentések), amelyeknek a végrehajtását szabályozni kell. - ABAPProgram:ABAP Program, például TH_ RSPFLDOC - Leírás: Az ABAP-program érthető leírása |
| SAP – ABAP-generációk tranzakciói | Olyan ABAP-generációk tranzakciói, amelyeknek a végrehajtását szabályozni kell. - TransactionCode:Transaction Code, például SE11. - Leírás: Értelmezhető tranzakciókód-leírás |
| SAP – FTP-kiszolgálók | FTP-kiszolgálók a jogosulatlan kapcsolatok azonosításához. - Ügyfél:például 100. - FTP_Server_Name: FTP-kiszolgáló neve, például http://contoso.com/ -FTP_Server_Port:FTP-kiszolgáló portja, például 22. - Leírás Az FTP-kiszolgáló érthető leírása |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurálja az SAP auditnapló-riasztásokat úgy, hogy az egyes üzenetazonosítóknak az Ön által megkövetelt súlyossági szintet rendeli hozzá rendszerszerepkörönként (éles, nem éles). Ez a figyelőlista részletesen ismerteti az SAP standard auditnapló-üzenetének összes rendelkezésre álló azonosítóit. A figyelőlista kibővíthető további üzenetazonosítókra, amelyek önállóan hozhatók létre az SAP NetWeaver-rendszerek ABAP-fejlesztéseinek használatával. Ez a figyelőlista egy kijelölt csapat konfigurálását is lehetővé teszi az egyes eseménytípusok kezelésére, és kizárja a felhasználókat SAP-szerepkörök, SAP-profilok vagy címkék alapján a SAP_User_Config figyelőlistából. Ez a figyelőlista a beépített SAP Analytics-szabályok konfigurálásához használt egyik alapvető összetevő az SAP auditnapló figyeléséhez. - MessageID: Az SAP üzenetazonosítója vagy eseménytípusa, például AUD (Felhasználói főrekord módosításai) vagy AUB (engedélyezési módosítások). - Részletes leírás: Az incidens panelen egy markdown-kompatibilis leírás jelenik meg. - ProductionSeverity: Az éles rendszerekhez Highlétrehozandó incidens kívánt súlyossága. Medium A következőként állítható be: Disabled. - NonProdSeverity: A nem éles rendszerekhez Highlétrehozandó incidens kívánt súlyossága, Medium. A következőként állítható be: Disabled. - ProductionThreshold Az éles rendszerek 60esetében gyanúsnak ítélt események "Óránkénti" száma. - NonProdThreshold A nem éles rendszerek 10esetében gyanúsnak ítélt események "óránkénti" száma. - RolesTagsToExclude: Ez a mező elfogadja az SAP-szerepkör nevét, az SAP-profilneveket vagy -címkéket a SAP_User_Config figyelőlistából. Ezekkel a rendszer kizárja a társított felhasználókat az adott eseménytípusokból. A lista végén a szerepkörcímkék beállításainak megtekintése. - RuleType: Az Deterministic eseménytípussal elküldhető az SAP – Dinamikus determinisztikus auditnapló-figyelőnek, vagy AnomaliesOnly ha az eseményt az SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ) lefedik.A RolesTagsToExclude mező esetében: – Ha SAP-szerepköröket vagy SAP-profilokat listáz, az kizár minden olyan felhasználót, aki rendelkezik a felsorolt szerepkörökkel vagy profilokkal ugyanazon SAP-rendszer ilyen eseménytípusaiból. Ha például az BASIC_BO_USERS RFC-hez kapcsolódó eseménytípusokhoz definiálja az ABAP-szerepkört, az Üzleti objektumok felhasználói nem aktiválnak incidenseket nagy mennyiségű RFC-hívás során.– Az eseménytípus címkézése hasonló az SAP-szerepkörök vagy -profilok megadásához, de címkék hozhatók létre a munkaterületen, így a SOC-csapatok tevékenység szerint kizárhatják a felhasználókat az SAP-csapattól függetlenül. A rendszer például az AUB azonosítókat (engedélyezési módosításokat) és az AUD -t (felhasználói főrekord-módosításokat) tartalmazó naplóüzenethez rendeli hozzá a MassiveAuthChanges címkét. A címke által hozzárendelt felhasználók nem szerepelnek az ilyen tevékenységek ellenőrzésében. A munkaterületi SAPAuditLogConfigRecommend függvény futtatása a felhasználókhoz rendelendő ajánlott címkék listáját állítja elő, például Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist: . |
| SAP_User_Config | Lehetővé teszi a riasztások finomhangolását azáltal, hogy kizárja a /including users in specific contexts (Felhasználók belefoglalása adott környezetekbe) lehetőséget, és a beépített SAP Analytics-szabályok konfigurálására is használható az SAP auditnapló figyeléséhez. - SAPUser: Az SAP-felhasználó - Címkék: A címkék a felhasználók azonosítására szolgálnak bizonyos tevékenységekhez. Ha például hozzáadja a ["GenericTablebyRFCOK" címkéket a felhasználói SENTINEL_SRV megakadályozza, hogy az RFC-hez kapcsolódó incidensek létre legyenek hozva ehhez az adott felhasználóhoz Egyéb Active Directory-felhasználói azonosítók - AD felhasználói azonosító – Helyszíni felhasználói azonosító – Egyszerű felhasználónév |
Következő lépések
További információkért lásd:
- A Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- Microsoft Sentinel-megoldás SAP-alkalmazások® naplóihoz – referencia
- A Microsoft Sentinel megoldás üzembe helyezése SAP-alkalmazások® adatösszekötőjéhez az SNC-vel
- Konfigurációs fájl referenciája
- A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
- A Microsoft Sentinel-megoldás hibaelhárítása SAP-alkalmazások® üzembe helyezéséhez