Microsoft Sentinel-megoldás SAP-alkalmazásokhoz®: biztonsági tartalomra vonatkozó referencia
Ez a cikk az SAP-hoz készült Microsoft Sentinel-megoldáshoz elérhető biztonsági tartalmakat ismerteti.
Fontos
Míg az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás a GA-ban található, bizonyos összetevők továbbra is előzetes verzióban maradnak. Ez a cikk azokat az összetevőket mutatja be, amelyek előzetes verzióban jelennek meg az alábbi szakaszokban. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Az elérhető biztonsági tartalmak beépített munkafüzeteket és elemzési szabályokat tartalmaznak. Sap-tal kapcsolatos figyelőlistákat is hozzáadhat a keresési, észlelési szabályokhoz, fenyegetéskereséshez és válasz forgatókönyvekhez.
Beépített munkafüzetek
Az alábbi beépített munkafüzetekkel vizualizálhatja és figyelheti az SAP-adatösszekötőn keresztül betöltött adatokat. Az SAP-megoldás üzembe helyezése után az SAP-munkafüzetek a Saját munkafüzetek lapon találhatók.
| Munkafüzet neve | Leírás | Naplók |
|---|---|---|
| SAP – Naplóböngésző naplózása | Olyan adatokat jelenít meg, mint például: – Általános rendszerállapot, beleértve a felhasználói bejelentkezéseket az idő függvényében, a rendszer által betöltött eseményeket, az üzenetosztályokat és azonosítókat, valamint az ABAP-programok futtatását -A rendszerben előforduló események súlyossága - A rendszerben előforduló hitelesítési és engedélyezési események |
A következő naplóból származó adatokat használja: ABAPAuditLog_CL |
| SAP-naplózási vezérlők | Segít ellenőrizni, hogy az SAP-környezet biztonsági vezérlői megfelelnek-e a választott szabályozási keretrendszernek, az alábbi eszközökkel: – Elemzési szabályok hozzárendelése a környezetben adott biztonsági vezérlőkhöz és vezérlőcsaládokhoz – Az SAP-megoldásalapú elemzési szabályok által generált incidensek monitorozása és kategorizálása - Jelentés a megfelelőségről |
A következő táblákból származó adatokat használja: - SecurityAlert- SecurityIncident |
További információ : Oktatóanyag: Az adatok vizualizációja és monitorozása, valamint a Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®.
Beépített elemzési szabályok
Statikus SAP biztonsági paraméterek konfigurációjának monitorozása (előzetes verzió)
Az SAP-rendszer biztonsága érdekében az SAP azonosította a biztonsági paramétereket, amelyeket a változások figyelésére kell figyelni. Az "SAP – (előzetes verzió) bizalmas statikus paraméter módosult" szabálysal az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás több mint 52 statikus biztonsági paramétert követ nyomon az SAP-rendszerben, amelyek a Microsoft Sentinelbe vannak beépítve.
Feljegyzés
Ahhoz, hogy az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás sikeresen monitorozza az SAP biztonsági paramétereit, a megoldásnak rendszeres időközönként sikeresen monitoroznia kell az SAP PAHI-táblát. Ellenőrizze, hogy a megoldás képes-e a PAHI-tábla figyelésére.
A rendszer paraméterváltozásainak megértéséhez az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás a paraméterelőzménytáblát használja, amely óránként rögzíti a rendszerparaméterek módosításait.
A paraméterek az SAPSystemParameters figyelőlistájában is megjelennek. Ez a figyelőlista lehetővé teszi, hogy a felhasználók új paramétereket adjanak hozzá, letiltsák a meglévő paramétereket, és módosíthassák a paraméterek és a rendszerszerepkörök értékeit és súlyosságait éles vagy nem éles környezetben.
Ezen paraméterek egyikének módosításakor a Microsoft Sentinel ellenőrzi, hogy a módosítás biztonsági vonatkozású-e, és hogy az érték az ajánlott értékek szerint van-e beállítva. Ha a módosítás a biztonságos zónán kívülre gyanús, a Microsoft Sentinel létrehoz egy incidenst, amely részletezi a módosítást, és azonosítja, hogy ki hajtotta végre a módosítást.
Tekintse át a szabály által figyelt paraméterek listáját.
Az SAP auditnaplójának figyelése
Az SAP Audit naplóadatait a Microsoft Sentinel-megoldás sap-alkalmazásokhoz készült elemzési szabályainak számos része használja®. Egyes elemzési szabályok konkrét eseményeket keresnek a naplóban, míg mások több naplóból származó jelzéseket korrelálnak a magas megbízhatósági riasztások és incidensek létrehozásához.
Emellett két elemzési szabály is létezik, amelyek a szabványos SAP-naplóesemények teljes készletének (183 különböző esemény) és minden más egyéni eseménynek az SAP-naplózási napló használatával történő naplózására szolgálnak.
Mindkét SAP naplózási naplómonitorozási szabály ugyanazokkal az adatforrásokkal és konfigurációval rendelkezik, de egy kritikus szempontban különbözik. Míg az "SAP - Dynamic Deterministic Audit Log Monitor" szabály determinisztikus riasztási küszöbértékeket és felhasználói kizárási szabályokat igényel, az "SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ)" szabály további gépi tanulási algoritmusokat alkalmaz a háttérzaj felügyelet nélküli kiszűréséhez. Ezért alapértelmezés szerint az SAP auditnaplójának legtöbb eseménytípusa (vagy SAP-üzenetazonosítója) az "Anomálián alapuló" elemzési szabályba kerül, míg a determinisztikus elemzési szabályba kerül a könnyebben definiálható eseménytípusok. Ez a beállítás a többi kapcsolódó beállítással együtt további konfigurálható úgy, hogy megfeleljen a rendszerfeltételeknek.
SAP – Dinamikus determinisztikus naplózási naplófigyelő
Dinamikus elemzési szabály, amely az SAP auditnapló-eseménytípusok teljes halmazára vonatkozik, amelyek determinisztikus definícióval rendelkeznek a felhasználói sokaság, az esemény küszöbértékei tekintetében.
- A szabály konfigurálása a SAP_Dynamic_Audit_Log_Monitor_Configuration figyelőlistával
- További információ a szabály konfigurálásáról (teljes eljárás)
SAP – Dinamikus anomálián alapuló auditnapló-monitorozási riasztások (ELŐZETES VERZIÓ)
Dinamikus elemzési szabály, amely a rendszer normál viselkedésének megismerésére és az SAP auditnaplóban megfigyelt tevékenységek riasztására szolgál, amelyek rendellenesnek minősülnek. Alkalmazza ezt a szabályt az SAP auditnapló eseménytípusaira, amelyeket nehezebb meghatározni a felhasználói sokaság, a hálózati attribútumok és a küszöbértékek szempontjából.
További információ:
- A szabály konfigurálása a SAP_Dynamic_Audit_Log_Monitor_Configuration és SAP_User_Config figyelőlistával
- További információ a szabály konfigurálásáról (teljes eljárás)
Az alábbi táblázatok a Microsoft Sentinel Solutions piacteréről üzembe helyezett, SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldás beépített elemzési szabályait sorolják fel.
Kezdeti hozzáférés
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – Bejelentkezés váratlan hálózatról | Azonosítja a váratlan hálózatból való bejelentkezést. Hálózatok karbantartása az SAP - Networks figyelőlistán. |
Jelentkezzen be a háttérrendszerbe egy olyan IP-címről, amely nincs hozzárendelve az egyik hálózathoz. Adatforrások: SAPcon – Naplózási napló |
Kezdeti hozzáférés |
| SAP – SPNego-támadás | Azonosítja az SPNego replay támadást. | Adatforrások: SAPcon – Naplózási napló | Hatás, oldalirányú mozgás |
| SAP – Jogosultsággal rendelkező felhasználó bejelentkezési kísérlete | Azonosítja az AUM típussal rendelkező párbeszédpanel-bejelentkezési kísérleteket az SAP rendszer kiemelt felhasználói által. További információ: SAPUsersGetPrivileged. | Kísérlet ugyanarról az IP-címről több rendszerre vagy ügyfélre való bejelentkezésre az ütemezett időintervallumon belül Adatforrások: SAPcon – Naplózási napló |
Hatás, oldalirányú mozgás |
| SAP – Találgatásos támadások | Találgatásos támadásokat azonosít az SAP-rendszeren RFC-bejelentkezések használatával | Próbáljon meg bejelentkezni ugyanarról az IP-címről több rendszerre/ügyfélre az ütemezett időintervallumon belül az RFC használatával Adatforrások: SAPcon – Naplózási napló |
Hitelesítő adatok elérése |
| SAP – Több bejelentkezés ugyanarról az IP-címről | Több felhasználó bejelentkezését azonosítja ugyanazon IP-címről egy ütemezett időintervallumon belül. Alhasználati eset: Adatmegőrzés |
Jelentkezzen be több felhasználóval ugyanazon az IP-címen keresztül. Adatforrások: SAPcon – Naplózási napló |
Kezdeti hozzáférés |
| SAP – Több bejelentkezés felhasználó szerint | Azonos felhasználó bejelentkezéseit azonosítja több terminálról az ütemezett időintervallumon belül. Csak az Audit SAL metóduson keresztül érhető el az SAP 7.5-ös és újabb verzióihoz. |
Jelentkezzen be ugyanazzal a felhasználóval, különböző IP-címekkel. Adatforrások: SAPcon – Naplózási napló |
PreAttack, Credential Access, Initial Access, Collection Alhasználati eset: Adatmegőrzés |
| SAP – Információs – Életciklus – Az SAP-jegyzetek a rendszerben lettek implementálva | Azonosítja az SAP Note implementációt a rendszerben. | SAP-megjegyzés implementálása SNOTE/TCI használatával. Adatforrások: SAPcon – Kérések módosítása |
- |
Adatkiszivárgás
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – FTP nem engedélyezett kiszolgálókhoz | Egy nem engedélyezett kiszolgáló FTP-kapcsolatát azonosítja. | Hozzon létre egy új FTP-kapcsolatot, például a FTP_CONNECT függvénymodul használatával. Adatforrások: SAPcon – Naplózási napló |
Felderítés, kezdeti hozzáférés, parancs és vezérlés |
| SAP – Nem biztonságos FTP-kiszolgálók konfigurálása | Azonosítja a nem biztonságos FTP-kiszolgáló konfigurációit, például ha egy FTP-engedélyezési lista üres, vagy helyőrzőket tartalmaz. | A karbantartási nézet használatával SAPFTP_SERVERS_V ne tartsa karban a táblában SAPFTP_SERVERS helyőrzőket tartalmazó értékeket. (SM30) Adatforrások: SAPcon – Naplózási napló |
Kezdeti hozzáférés, parancs és vezérlés |
| SAP – Több fájl letöltése | Egy felhasználó több fájlletöltését azonosítja egy adott időtartományon belül. | Töltsön le több fájlt az SAPGui for Excel használatával, listák és így tovább. Adatforrások: SAPcon – Naplózási napló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Több spool-végrehajtás | Egy adott időtartományon belül több készletet azonosít egy felhasználó számára. | Hozzon létre és futtasson egy felhasználó által bármilyen típusú készletfeladatot. (SP01) Adatforrások: SAPcon – Spool Log, SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Több spool-kimenet végrehajtása | Egy adott időtartományon belül több készletet azonosít egy felhasználó számára. | Hozzon létre és futtasson egy felhasználó által bármilyen típusú készletfeladatot. (SP01) Adatforrások: SAPcon – Spool kimeneti napló, SAPcon – Auditnapló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Bizalmas táblák közvetlen elérése RFC-bejelentkezéssel | Általános táblahozzáférést azonosít az RFC-bejelentkezéssel. Táblák karbantartása az SAP – Bizalmas táblák figyelőlistájában. Megjegyzés: Csak éles rendszerekre vonatkozik. |
Nyissa meg a tábla tartalmát a Standard kiadás 11/Standard kiadás 16/Standard kiadás 16N használatával. Adatforrások: SAPcon – Naplózási napló |
Gyűjtemény, kiszivárgás, hitelesítő adatokhoz való hozzáférés |
| SAP – Spool-átvétel | Azonosítja azt a felhasználót, aki más által létrehozott spool-kérelmet nyomtat. | Hozzon létre egy spool-kérelmet egy felhasználóval, majd adja ki egy másik felhasználóval. Adatforrások: SAPcon – Spool Log, SAPcon – Spool Output Log, SAPcon – Auditnapló |
Gyűjtemény, kiszűrés, parancs és vezérlés |
| SAP – Dinamikus RFC-célhely | Az RFC dinamikus célhelyekkel történő végrehajtását azonosítja. Alhasználati eset: Az SAP biztonsági mechanizmusainak megkerülésére tett kísérletek |
Dinamikus célhelyeket (cl_dynamic_destination) használó ABAP-jelentés végrehajtása. Például DEMO_RFC_DYNAMIC_DEST. Adatforrások: SAPcon – Naplózási napló |
Gyűjtemény, kiszűrés |
| SAP – Bizalmas táblák közvetlen hozzáférése párbeszédpanel-bejelentkezés alapján | Az általános táblahozzáférést azonosítja párbeszédpaneles bejelentkezéssel. | A táblázat tartalmának megnyitása a következővelSE11//SE16SE16N: . Adatforrások: SAPcon – Naplózási napló |
Felderítés |
| SAP – Rosszindulatú IP-címről letöltött (előzetes verziójú) fájl | Azonosítja a fájl SAP-rendszerből való letöltését egy olyan IP-cím használatával, amelyről ismert, hogy rosszindulatú. A rosszindulatú IP-címek a fenyegetésfelderítési szolgáltatásokból származnak. | Fájl letöltése rosszindulatú IP-címről. Adatforrások: SAP biztonsági auditnapló, fenyegetésfelderítés |
Adatok kinyerése |
| SAP – (előzetes verzió) Az éles rendszerből transzport használatával exportált adatok | Egy éles rendszerből történő adatexportálást azonosít egy átvitel használatával. A szállításokat fejlesztési rendszerekben használják, és hasonlóak a lekéréses kérelmekhez. Ez a riasztási szabály közepes súlyosságú incidenseket aktivál, amikor egy olyan átvitel, amely bármilyen táblából származó adatokat tartalmaz, egy éles rendszerből szabadul fel. A szabály akkor hoz létre nagy súlyosságú incidenst, ha az exportálás bizalmas táblából származó adatokat tartalmaz. | Szállítás felszabadítása éles rendszerből. Adatforrások: SAP CR-napló, SAP – Bizalmas táblák |
Adatok kinyerése |
| SAP – (előzetes verzió) USB-meghajtóba mentett bizalmas adatok | Az SAP-adatok fájlokon keresztüli exportálását azonosítja. A szabály ellenőrzi, hogy a közelmúltban csatlakoztatott USB-meghajtóra mentett adatok egy bizalmas tranzakció, egy bizalmas program végrehajtása vagy egy bizalmas tábla közvetlen elérése közelében kerülnek-e mentésre. | SAP-adatok exportálása fájlokon keresztül, és mentés USB-meghajtóra. Adatforrások: SAP biztonsági auditnapló, DeviceFileEvents (Végponthoz készült Microsoft Defender), SAP – Bizalmas táblák, SAP – Bizalmas tranzakciók, SAP – Bizalmas programok |
Adatok kinyerése |
| SAP – (előzetes verzió) Potenciálisan bizalmas adatok nyomtatása | Azonosítja a potenciálisan bizalmas adatok kérését vagy tényleges nyomtatását. Az adatok akkor minősülnek bizalmasnak, ha a felhasználó bizalmas tranzakció részeként, bizalmas program végrehajtása vagy bizalmas táblákhoz való közvetlen hozzáférés részeként szerzi be az adatokat. | Bizalmas adatok nyomtatása vagy kérése. Adatforrások: SAP biztonsági auditnapló, SAP Spool-naplók, SAP – Bizalmas táblák, SAP – Bizalmas programok |
Adatok kinyerése |
| SAP – (előzetes verzió) Nagy mennyiségű potenciálisan bizalmas adat exportálva | Nagy mennyiségű adat exportálását azonosítja olyan fájlokon keresztül, amelyek egy bizalmas tranzakció, egy bizalmas program vagy a bizalmas tábla közvetlen elérése közelében lévő fájlokon keresztül érhetők el. | Nagy mennyiségű adat exportálása fájlokon keresztül. Adatforrások: SAP biztonsági auditnapló, SAP – Bizalmas táblák, SAP – Bizalmas tranzakciók, SAP – Bizalmas programok |
Adatok kinyerése |
Adatmegőrzés
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – Az ICF-szolgáltatás aktiválása vagy inaktiválása | Azonosítja az ICF-szolgáltatások aktiválását vagy inaktiválását. | Szolgáltatás aktiválása SICF használatával. Adatforrások: SAPcon – Táblaadatnapló |
Command and Control, Lateral Movement, Persistence |
| SAP – Tesztelt függvénymodul | Egy függvénymodul tesztelését azonosítja. | Függvénymodul tesztelése a következő használatával SE37 / SE80: . Adatforrások: SAPcon – Naplózási napló |
Gyűjtemény, Defense Evasion, Lateral Movement |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Felhasználói Rendszergazda műveletek | Azonosítja a felhasználói adminisztrációs műveleteket. | Adatbázis-felhasználó létrehozása, frissítése vagy törlése. Adatforrások: Linux-ügynök – Syslog* |
Jogosultság eszkalációja |
| SAP – Új ICF szolgáltatáskezelők | Azonosítja az ICF-kezelők létrehozását. | Rendeljen hozzá egy új kezelőt egy szolgáltatáshoz az SICF használatával. Adatforrások: SAPcon – Naplózási napló |
Command and Control, Lateral Movement, Persistence |
| SAP – Új ICF-szolgáltatások | Azonosítja az ICF-szolgáltatások létrehozását. | Szolgáltatás létrehozása az SICF használatával. Adatforrások: SAPcon – Táblaadatnapló |
Command and Control, Lateral Movement, Persistence |
| SAP – Elavult vagy nem biztonságos függvénymodul végrehajtása | Egy elavult vagy nem biztonságos ABAP-függvénymodul végrehajtását azonosítja. Elavult függvények karbantartása az SAP – Elavult függvénymodulok figyelőlistájában. Mindenképpen aktiválja a tábla naplózási módosításait a EUFUNC háttérrendszerben. (Standard kiadás 13)Megjegyzés: Csak éles rendszerekre vonatkozik. |
Futtasson egy elavult vagy nem biztonságos függvénymodult közvetlenül a Standard kiadás 37 használatával. Adatforrások: SAPcon – Táblaadatnapló |
Felderítés, parancs és vezérlés |
| SAP – Elavult/nem biztonságos program végrehajtása | Egy elavult vagy nem biztonságos ABAP-program végrehajtását azonosítja. Elavult programok karbantartása az SAP - Elavult programok figyelőlistájában. Megjegyzés: Csak éles rendszerekre vonatkozik. |
Program futtatása közvetlenül Standard kiadás 38/SA38/Standard kiadás 80 használatával vagy háttérfeladat használatával. Adatforrások: SAPcon – Naplózási napló |
Felderítés, parancs és vezérlés |
| SAP – Több jelszómódosítás felhasználó szerint | Több jelszómódosítást azonosít felhasználónként. | Felhasználói jelszó módosítása Adatforrások: SAPcon – Naplózási napló |
Hitelesítő adatok elérése |
Az SAP biztonsági mechanizmusainak megkerülésére tett kísérletek
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – Ügyfélkonfiguráció módosítása | Azonosítja az ügyfélkonfiguráció változásait, például az ügyfélszerepkört vagy a változásrögzítési módot. | Ügyfélkonfigurációs módosítások végrehajtása a SCC4 tranzakciókód használatával. Adatforrások: SAPcon – Naplózási napló |
Védelmi kijátszás, exfiltráció, megőrzés |
| SAP – Az adatok módosultak a hibakeresési tevékenység során | Azonosítja a futásidejű adatok hibakeresési tevékenység közbeni változásait. Alhasználati eset: Adatmegőrzés |
1. Hibakeresés aktiválása ("/h"). 2. Válasszon ki egy mezőt a módosításhoz, és frissítse annak értékét. Adatforrások: SAPcon – Naplózási napló |
Végrehajtás, oldalirányú mozgás |
| SAP – Biztonsági auditnapló inaktiválása | Azonosítja a biztonsági napló inaktiválását, | A biztonsági naplózási napló letiltása a következővel SM19/RSAU_CONFIG: . Adatforrások: SAPcon – Naplózási napló |
Exfiltration, Defense Evasion, Persistence |
| SAP – Bizalmas ABAP-program végrehajtása | Egy bizalmas ABAP-program közvetlen végrehajtását azonosítja. ABAP-programok karbantartása az SAP - Bizalmas ABAP-programok figyelőlistájában. |
Program futtatása közvetlenül a használatávalSE38//SA38SE80. Adatforrások: SAPcon – Naplózási napló |
Exfiltration, Lateral Movement, Execution |
| SAP – Bizalmas tranzakciókód végrehajtása | Egy bizalmas tranzakciókód végrehajtását azonosítja. Tranzakciókódok karbantartása az SAP – Bizalmas tranzakciókódok figyelőlistájában. |
Futtasson egy bizalmas tranzakciókódot. Adatforrások: SAPcon – Naplózási napló |
Felderítés, végrehajtás |
| SAP – Bizalmas függvénymodul végrehajtása | Egy bizalmas ABAP-függvénymodul végrehajtását azonosítja. Alhasználati eset: Adatmegőrzés Megjegyzés: Csak éles rendszerekre vonatkozik. Bizalmas függvények karbantartása az SAP – Bizalmas függvénymodulok figyelőlistájában, és győződjön meg arról, hogy aktiválja a táblanaplózás változásait az EUFUNC tábla háttérrendszerében. (Standard kiadás 13) |
Futtasson egy bizalmas függvénymodult közvetlenül Standard kiadás 37 használatával. Adatforrások: SAPcon – Táblaadatnapló |
Felderítés, parancs és vezérlés |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Naplózási napló szabályzatának változásai | A HANA DB naplózási naplószabályzatainak módosításait azonosítja. | Hozza létre vagy frissítse a meglévő naplózási szabályzatot a biztonsági definíciókban. Adatforrások: Linux-ügynök – Syslog |
Oldalirányú mozgás, védelmi kijátszás, kitartás |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Az auditnapló inaktiválása | Azonosítja a HANA DB naplózási naplójának inaktiválását. | Inaktiválja a naplózási naplót a HANA DB biztonsági definíciójában. Adatforrások: Linux-ügynök – Syslog |
Megőrzés, oldalirányú mozgás, védelmi kitérés |
| SAP – Bizalmas függvénymodulok jogosulatlan távoli végrehajtása | Észleli a bizalmas FM-ek jogosulatlan végrehajtását úgy, hogy összehasonlítja a tevékenységet a felhasználó engedélyezési profiljával, miközben figyelmen kívül hagyja a nemrég módosított engedélyeket. Függvénymodulok karbantartása az SAP – Bizalmas függvénymodulok figyelőlistájában. |
Futtasson egy függvénymodult az RFC használatával. Adatforrások: SAPcon – Naplózási napló |
Végrehajtás, oldalirányú mozgás, felderítés |
| SAP – Rendszerkonfiguráció módosítása | A rendszerkonfiguráció változásait azonosítja. | A tranzakciókód használatával módosítsa a rendszermódosítási beállításokat vagy a SE06 szoftverösszetevő módosítását.Adatforrások: SAPcon – Naplózási napló |
Exfiltration, Defense Evasion, Persistence |
| SAP – Hibakeresési tevékenységek | Azonosítja az összes hibakereséssel kapcsolatos tevékenységet. Alhasználati eset: Adatmegőrzés |
Aktiválja a hibakeresést ("/h") a rendszerben, egy aktív folyamat hibakeresését, töréspont hozzáadását a forráskódhoz stb. Adatforrások: SAPcon – Naplózási napló |
Felderítés |
| SAP – Biztonsági naplózási napló konfigurációjának módosítása | A biztonsági naplózási napló konfigurációjának változásait azonosítja | Módosítsa a biztonsági naplózási napló konfigurációját a szűrők, az állapot, a rögzítési mód stb. használatával SM19/RSAU_CONFIG. Adatforrások: SAPcon – Naplózási napló |
Megőrzés, kiszivárgás, védelmi kijátszás |
| SAP – A tranzakció feloldva | Azonosítja a tranzakció zárolásának feloldását. | Tranzakciókód zárolásának feloldása a következővelSM01//SM01_DEVSM01_CUS: . Adatforrások: SAPcon – Naplózási napló |
Adatmegőrzés, végrehajtás |
| SAP – Dinamikus ABAP-program | A dinamikus ABAP-programozás végrehajtását azonosítja. Ha például az ABAP-kód dinamikusan lett létrehozva, módosítva vagy törölve. A kizárt tranzakciókódok karbantartása az SAP – ABAP-generációk tranzakciói figyelőlistájában. |
Hozzon létre egy ABAP-jelentést, amely ABAP-programgenerálási parancsokat (például IN Standard kiadás RT REPORT) használ, majd futtassa a jelentést. Adatforrások: SAPcon – Naplózási napló |
Felderítés, parancs és vezérlés, hatás |
Gyanús jogosultsági műveletek
| Szabály neve | Leírás | Forrásművelet | Taktika |
|---|---|---|---|
| SAP – Változás bizalmas jogosultságú felhasználóban | Azonosítja a bizalmas jogosultsággal rendelkező felhasználók módosításait. Kiemelt felhasználók karbantartása az SAP - Privileged Users figyelőlistán. |
Felhasználói adatok és engedélyek módosítása a következő használatával SU01: . Adatforrások: SAPcon – Naplózási napló |
Jogosultságok eszkalálása, hitelesítő adatokhoz való hozzáférés |
| SAP – (ELŐZETES VERZIÓ) HANA DB – Rendszergazda-engedélyek hozzárendelése | Azonosítja a rendszergazdai jogosultságot vagy a szerepkör-hozzárendelést. | Bármely rendszergazdai szerepkörrel vagy jogosultsággal rendelkező felhasználó hozzárendelése. Adatforrások: Linux-ügynök – Syslog |
Jogosultság eszkalációja |
| SAP – Bizalmas jogosultsággal rendelkező felhasználó bejelentkezett | Egy bizalmas jogosultsággal rendelkező felhasználó párbeszédpanel-bejelentkezését azonosítja. Kiemelt felhasználók karbantartása az SAP - Privileged Users figyelőlistán. |
Jelentkezzen be a háttérrendszerbe vagy egy másik kiemelt felhasználóval SAP* . Adatforrások: SAPcon – Naplózási napló |
Kezdeti hozzáférés, hitelesítő adatokhoz való hozzáférés |
| SAP – A bizalmas jogosultsággal rendelkező felhasználó módosítja a többi felhasználót | Azonosítja a más felhasználók bizalmas, kiemelt felhasználóinak változásait. | Módosítsa a felhasználói adatokat/ engedélyezéseket az SU01 használatával. Adatforrások: SAPcon – Naplózási napló |
Jogosultságok eszkalálása, hitelesítő adatokhoz való hozzáférés |
| SAP – Bizalmas felhasználók jelszómódosítása és bejelentkezése | A kiemelt felhasználók jelszómódosításait azonosítja. | Módosítsa egy kiemelt felhasználó jelszavát, és jelentkezzen be a rendszerbe. Kiemelt felhasználók karbantartása az SAP - Privileged Users figyelőlistán. Adatforrások: SAPcon – Naplózási napló |
Hatás, parancs és vezérlés, jogosultságok eszkalálása |
| SAP – A felhasználó új felhasználót hoz létre és használ | Azonosítja a más felhasználókat létrehozó és használó felhasználókat. Alhasználati eset: Adatmegőrzés |
Hozzon létre egy felhasználót az SU01 használatával, majd jelentkezzen be az újonnan létrehozott felhasználóval és ugyanazzal az IP-címmel. Adatforrások: SAPcon – Naplózási napló |
Discovery, PreAttack, Initial Access |
| SAP – A felhasználó feloldja és más felhasználókat használ | Azonosítja a más felhasználók által feloldott és használt felhasználókat. Alhasználati eset: Adatmegőrzés |
Oldja fel a felhasználó zárolását az SU01 használatával, majd jelentkezzen be a feloldott felhasználóval és ugyanazzal az IP-címmel. Adatforrások: SAPcon – Auditnapló, SAPcon – Dokumentumnapló módosítása |
Discovery, PreAttack, Initial Access, Lateral Movement |
| SAP – Bizalmas profil hozzárendelése | Egy bizalmas profil új hozzárendeléseit azonosítja egy felhasználó számára. Bizalmas profilok karbantartása az SAP – Bizalmas profilok figyelőlistán. |
Profil hozzárendelése egy felhasználóhoz a következő használatával SU01: . Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Bizalmas szerepkör hozzárendelése | Egy felhasználó számára bizalmas szerepkör új hozzárendeléseit azonosítja. Bizalmas szerepkörök karbantartása az SAP – Bizalmas szerepkörök figyelőlistájában. |
Szerepkör hozzárendelése egy felhasználóhoz a következő használatával SU01 / PFCG: . Adatforrások: SAPcon – Dokumentumnapló módosítása, auditnapló |
Jogosultság eszkalációja |
| SAP – (ELŐZETES VERZIÓ) Kritikus engedélyek hozzárendelése – Új engedélyezési érték | Egy kritikus engedélyezési objektum új felhasználóhoz való hozzárendelését azonosítja. Kritikus engedélyezési objektumok karbantartása az SAP – Kritikus engedélyezési objektumok figyelőlistájában. |
Rendeljen hozzá egy új engedélyezési objektumot, vagy frissítsen egy meglévőt egy szerepkörben a következő használatával PFCG: . Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Kritikus engedélyek hozzárendelése – Új felhasználói hozzárendelés | Egy kritikus engedélyezési objektum új felhasználóhoz való hozzárendelését azonosítja. Kritikus engedélyezési objektumok karbantartása az SAP – Kritikus engedélyezési objektumok figyelőlistájában. |
Rendeljen hozzá egy új felhasználót a kritikus engedélyezési értékeket tartalmazó szerepkörhöz a következő használatával SU01/PFCG: . Adatforrások: SAPcon – Dokumentumnapló módosítása |
Jogosultság eszkalációja |
| SAP – Bizalmas szerepkörök változásai | Azonosítja a bizalmas szerepkörök változásait. Bizalmas szerepkörök karbantartása az SAP – Bizalmas szerepkörök figyelőlistájában. |
Szerepkör módosítása a PFCG használatával. Adatforrások: SAPcon – Dokumentumnapló módosítása, SAPcon – Auditnapló |
Hatás, jogosultságok eszkalálása, megőrzése |
Elérhető figyelőlisták
Az alábbi táblázat az SAP-alkalmazásokhoz® készült Microsoft Sentinel-megoldáshoz elérhető figyelőlistákat és az egyes figyelőlisták mezőit sorolja fel.
Ezek a figyelőlisták biztosítják a Microsoft Sentinel-megoldás konfigurációját SAP-alkalmazásokhoz®. Az SAP-figyelőlisták a Microsoft Sentinel GitHub-adattárban érhetők el.
| Figyelőlista neve | Leírás és mezők |
|---|---|
| SAP – Kritikus engedélyezési objektumok | Kritikus engedélyezési objektum, ahol a hozzárendeléseket szabályozni kell. - AuthorizationObject: SAP engedélyezési objektum, például S_DEVELOP, S_TCODEvagy Table TOBJ - AuthorizationField: SAP engedélyezési mező, például OBJTYP vagy TCD - AuthorizationValue: SAP engedélyezési mező értéke, például DEBUG - ActivityField : SAP tevékenységmező. A legtöbb esetben ez az érték lesz ACTVT. Tevékenység nélküli vagy csak tevékenységmezővel kitöltött NOT_IN_USEEngedélyezési objektumok esetén. - Tevékenység: SAP-tevékenység az engedélyezési objektumnak megfelelően, például: 01: Létrehozás; 02: Módosítás; 03: Megjelenítés stb. - Leírás: A kritikus engedélyezési objektum értelmezhető leírása. |
| SAP – Kizárt hálózatok | A kizárt hálózatok belső karbantartásához, például a webkonzolok, terminálkiszolgálók stb. figyelmen kívül hagyásához. -Hálózat: Hálózati IP-cím vagy tartomány, például 111.68.128.0/17. -Leírás: Jelentéssel bíró hálózati leírás. |
| SAP kizárt felhasználók | A rendszerbe bejelentkezett rendszerfelhasználókat figyelmen kívül kell hagyni. Például ugyanazon felhasználó több bejelentkezésére vonatkozó riasztások. - Felhasználó: SAP-felhasználó -Leírás: Jelentéssel bíró felhasználói leírás. |
| SAP – Hálózatok | Belső és karbantartási hálózatok a jogosulatlan bejelentkezések azonosításához. - Hálózat: Hálózati IP-cím vagy tartomány, például 111.68.128.0/17 - Leírás: Jelentéssel bíró hálózati leírás. |
| SAP – Kiemelt felhasználók | Kiemelt felhasználók, amelyekre további korlátozások vonatkoznak. - Felhasználó: az ABAP-felhasználó, például DDIC vagy SAP - Leírás: Jelentéssel bíró felhasználói leírás. |
| SAP – Bizalmas ABAP-programok | Bizalmas ABAP-programok (jelentések), ahol a végrehajtást szabályozni kell. - ABAPProgram: ABAP program vagy jelentés, például RSPFLDOC - Leírás: A program tartalmas leírása. |
| SAP – Bizalmas függvénymodul | Belső és karbantartási hálózatok a jogosulatlan bejelentkezések azonosításához. - FunctionModule: ABAP-függvénymodul, például RSAU_CLEAR_AUDIT_LOG - Leírás: A modul tartalmas leírása. |
| SAP – Bizalmas profilok | Bizalmas profilok, ahol a hozzárendeléseket szabályozni kell. - Profil: SAP engedélyezési profil, például SAP_ALL vagy SAP_NEW - Leírás: Jelentéssel bíró profilleírás. |
| SAP – Bizalmas táblák | Bizalmas táblák, ahol a hozzáférést szabályozni kell. - Táblázat: ABAP szótártábla, például USR02 vagy PA008 - Leírás: A táblázat tartalmas leírása. |
| SAP – Bizalmas szerepkörök | Bizalmas szerepkörök, ahol a hozzárendelést szabályozni kell. - Szerepkör: SAP-engedélyezési szerepkör, például SAP_BC_BASIS_ADMIN - Leírás: Jelentéssel bíró szerepkör-leírás. |
| SAP – Bizalmas tranzakciók | Olyan érzékeny tranzakciók, amelyeknél a végrehajtást szabályozni kell. - TransactionCode: SAP tranzakciókód, például RZ11 - Leírás: Jelentéssel bíró kódleírás. |
| SAP – Rendszerek | Az SAP-rendszerek szerepkör, használat és konfiguráció szerinti tájolását ismerteti. - SystemID: az SAP rendszerazonosítója (SYSID) - SystemRole: az SAP rendszerszerepkör, az alábbi értékek egyike: Sandbox, Development, , Quality Assurance, TrainingProduction - SystemUsage: Az SAP rendszerhasználata, az alábbi értékek egyike: ERP, BW, , Solman, GatewayEnterprise Portal - InterfaceAttributes: egy opcionális dinamikus paraméter a forgatókönyvekben való használatra. |
| SAPSystemParameters | Gyanús konfigurációs változások figyelésére szolgáló paraméterek. Ez a figyelőlista előre ki van töltve az ajánlott értékekkel (az SAP ajánlott eljárásának megfelelően), és kibővítheti a figyelőlistát, hogy további paramétereket is tartalmazzon. Ha nem szeretne riasztásokat kapni egy paraméterhez, állítsa a következőre EnableAlertsfalse: .- ParameterName: A paraméter neve. - Megjegyzés: Az SAP standard paraméter leírása. - EnableAlerts: Meghatározza, hogy engedélyezve legyenek-e a riasztások ehhez a paraméterhez. Az értékek és falsea true .- Beállítás: Meghatározza, hogy melyik esetben kell riasztást aktiválni: Ha a paraméter értéke nagyobb vagy egyenlő ( GE), kisebb vagy egyenlő (LE), vagy egyenlő (EQ).Ha például az login/fails_to_user_lock SAP paraméter LE értéke (kisebb vagy egyenlő), és a 5Microsoft Sentinel az adott paraméter módosítását észleli, összehasonlítja az újonnan jelentett értéket és a várt értéket. Ha az új érték, a 4Microsoft Sentinel nem indít riasztást. Ha az új érték az, a 6Microsoft Sentinel riasztást aktivál.- ProductionSeverity: Az éles rendszerek incidenseinek súlyossága. - ProductionValues: Engedélyezett értékek éles rendszerekhez. - NonProdSeverity: A nem éles rendszerek incidenseinek súlyossága. - NonProdValues: Nem éles rendszerek engedélyezett értékei. |
| SAP – Kizárt felhasználók | A bejelentkezett rendszerfelhasználókat figyelmen kívül kell hagyni, például a felhasználói riasztások több bejelentkezését. - Felhasználó: SAP-felhasználó - Leírás: Jelentéssel bíró felhasználói leírás |
| SAP – Kizárt hálózatok | Belső, kizárt hálózatok fenntartása a webkonzolok, terminálkiszolgálók stb. figyelmen kívül hagyása érdekében. - Hálózat: Hálózati IP-cím vagy tartomány, például 111.68.128.0/17 - Leírás: A hálózat érthető leírása |
| SAP – Elavult függvénymodulok | Elavult függvénymodulok, amelyeknek a végrehajtását szabályozni kell. - FunctionModule: ABAP-függvénymodul, például TH_SAPREL - Leírás: Egy hasznos függvénymodul leírása |
| SAP – Elavult programok | Elavult ABAP-programok (jelentések), amelyek végrehajtását szabályozni kell. - ABAPProgram:ABAP Program, például TH_ RSPFLDOC - Leírás: Az ABAP-program tartalmas leírása |
| SAP – ABAP-generációk tranzakciói | Olyan ABAP-generációk tranzakciói, amelyeknek a végrehajtását szabályozni kell. - TransactionCode:Transaction Code, például Standard kiadás 11. - Leírás: Egy értelmezhető tranzakciókód leírása |
| SAP – FTP-kiszolgálók | FTP-kiszolgálók jogosulatlan kapcsolatok azonosításához. - Ügyfél:például 100. - FTP_Server_Name: FTP-kiszolgáló neve, például http://contoso.com/ -FTP_Server_Port:FTP-kiszolgáló portja, például 22. - LeírásAz FTP-kiszolgáló érthető leírása |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurálja az SAP auditnapló-riasztásokat úgy, hogy az egyes üzenetazonosítókhoz az Ön által megkövetelt súlyossági szintet rendeli hozzá rendszerszerepkörönként (éles, nem éles). Ez a figyelőlista részletesen ismerteti az SAP standard naplózási naplóüzenet-azonosítóit. A figyelőlista kiterjeszthető további üzenetazonosítókra, amelyek az SAP NetWeaver-rendszerek ABAP-fejlesztéseinek használatával önállóan hozhatók létre. Ez a figyelőlista lehetővé teszi egy kijelölt csapat konfigurálását is az egyes eseménytípusok kezelésére, és kizárhatja a felhasználókat SAP-szerepkörök, SAP-profilok vagy a SAP_User_Config figyelőlista címkéi alapján. Ez a figyelőlista a beépített SAP-elemzési szabályok konfigurálásához használt alapvető összetevők egyike az SAP auditnapló figyeléséhez. - MessageID: Az SAP üzenetazonosítója vagy eseménytípusa, például AUD (felhasználói főrekord módosításai) vagy AUB (engedélyezési módosítások). - DetailedDescription: Egy markdown-kompatibilis leírás jelenik meg az incidenspanelen. - ProductionSeverity: Az éles rendszerekhez Highlétrehozandó incidens kívánt súlyossága , Medium. A beállítás a következőként Disabledállítható be: . - NonProdSeverity: A nem éles rendszerekhez Highlétrehozandó incidens kívánt súlyossága , Medium. A beállítás a következőként Disabledállítható be: . - ProductionThreshold A "Óránként" azon események száma, amelyeket gyanúsnak kell tekinteni az éles rendszerek 60esetében. - NonProdThreshold Az események óránkénti száma, amelyeket gyanúsnak kell tekinteni a nem éles rendszerek 10esetében. - RolesTagsToExclude: Ez a mező elfogadja az SAP-szerepkör nevét, az SAP-profilneveket vagy a címkéket a SAP_User_Config figyelőlistáról. Ezekkel a rendszer kizárja a társított felhasználókat bizonyos eseménytípusokból. A lista végén található szerepkörcímkék beállításainak megtekintése. - RuleType: Az Deterministic eseménytípust az SAP – Dinamikus determinisztikus naplózási naplófigyelőnek küldi el, vagy AnomaliesOnly ha ezt az eseményt az SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ) lefedik.- TeamsChannelID: nem kötelező dinamikus paraméter forgatókönyvekben való használatra. - DestinationEmail: egy opcionális dinamikus paraméter a forgatókönyvekben való használatra. A RolesTagsToExclude mező esetében: – Ha SAP-szerepköröket vagy SAP-profilokat listáz, az kizár minden olyan felhasználót, aki rendelkezik a felsorolt szerepkörökkel vagy profilokkal ugyanazon SAP-rendszer ilyen eseménytípusaiból. Ha például az BASIC_BO_USERS RFC-hez kapcsolódó eseménytípusok ABAP-szerepkörét határozza meg, az Üzleti objektumok felhasználói nem váltanak ki incidenseket nagy mennyiségű RFC-hívás során.– Az eseménytípus címkézése hasonló az SAP-szerepkörök vagy -profilok megadásához, de címkék hozhatók létre a munkaterületen, így az SOC-csapatok tevékenység alapján kizárhatják a felhasználókat az SAP-csapattól függetlenül. A naplózási üzenet például az AUB azonosítókat (engedélyezési módosításokat) és az AUD-t (a felhasználói főrekord módosításait) rendeli hozzá a MassiveAuthChanges címkéhez. A címkéhez rendelt felhasználók nem szerepelnek a tevékenységek ellenőrzésében. A munkaterületfüggvény SAPAuditLogConfigRecommend futtatása létrehozza a felhasználókhoz rendelendő ajánlott címkék listáját, például Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Lehetővé teszi a riasztások finomhangolását azáltal, hogy kizárja /beleértve a felhasználókat bizonyos környezetekben, és a beépített SAP-elemzési szabályok konfigurálásáhozis használható az SAP auditnapló figyeléséhez. - SAPUser: Az SAP-felhasználó - Címkék: A címkék a felhasználók azonosítására szolgálnak bizonyos tevékenységekhez. Ha például hozzáadja a ["GenericTablebyRFCOK" címkét a felhasználói Standard kiadás NTINEL_SRV megakadályozza az RFC-hez kapcsolódó incidensek létrehozását ehhez az adott felhasználóhoz Egyéb Active Directory-felhasználói azonosítók - AD felhasználói azonosító - Helyszíni felhasználói biztonsági azonosító - Egyszerű felhasználónév |
Elérhető forgatókönyvek
| Forgatókönyv neve | Paraméterek | Kapcsolatok |
|---|---|---|
| SAP-incidens válasza – Felhasználó zárolása a Teamsből – Alapszintű | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP-incidens válasza – Felhasználó zárolása a Teamsből – Speciális | - SAP-SOAP-KeyVault-Credential-Name - Alapértelmezett Rendszergazda Email - TeamsChannel |
- Microsoft Sentinel - Azure Monitor-naplók – Office 365 Outlook - Microsoft Entra-azonosító - Azure Key Vault - Microsoft Teams |
| SAP-incidens válasza – Újravehető naplózás inaktiválás után | - SAP-SOAP-KeyVault-Credential-Name - Alapértelmezett Rendszergazda Email - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitor-naplók - Microsoft Teams |
Következő lépések
További információkért lásd:
- Microsoft Sentinel-megoldás üzembe helyezése SAP-alkalmazásokhoz®
- Microsoft Sentinel-megoldás SAP-alkalmazások® naplóinak referenciáihoz
- Az SAP-rendszer állapotának monitorozása
- A Microsoft Sentinel megoldás üzembe helyezése SAP-alkalmazások® adatösszekötőjéhez az SNC-vel
- Konfigurációs fájlhivatkozás
- A Microsoft Sentinel-megoldás SAP-alkalmazásokhoz® való üzembe helyezésének előfeltételei
- Microsoft Sentinel-megoldás hibaelhárítása AZ SAP-alkalmazások® üzembe helyezéséhez