Solusi Microsoft Azure Sentinel untuk aplikasi SAP® - SAP -Log Audit Keamanan dan buku kerja Akses Awal
Artikel ini menjelaskan log Audit SAP -Keamanan dan buku kerja Akses Awal, digunakan untuk memantau dan melacak aktivitas audit pengguna di seluruh sistem SAP Anda. Anda dapat menggunakan buku kerja untuk mendapatkan tampilan langsung aktivitas audit pengguna, untuk mengamankan sistem SAP Anda dengan lebih baik dan mendapatkan visibilitas cepat ke dalam tindakan yang mencurigakan. Anda dapat menelusuri paling detail peristiwa mencurigakan sesuai kebutuhan.
Anda dapat menggunakan buku kerja baik untuk pemantauan berkelanjutan sistem SAP Anda, atau untuk meninjau sistem setelah insiden keamanan atau aktivitas mencurigakan lainnya.
Mulai menggunakan buku kerja
Dari portal Microsoft Azure Sentinel, pilih Buku Kerja dari menu Manajemen ancaman.
Di galeri Buku Kerja, buka Templat dan masukkan SAP di bilah pencarian, dan pilih SAP -Log Audit Keamanan dan Akses Awal dari antara hasilnya.
Pilih Tampilkan templat untuk menggunakan buku kerja apa adanya, atau pilih Simpan untuk membuat salinan buku kerja yang dapat diedit. Ketika salinan dibuat, pilih Tampilkan buku kerja yang disimpan.
Penting
Log Audit SAP -Keamanan dan buku kerja Akses Awal dihosting oleh ruang kerja tempat solusi Microsoft Azure Sentinel untuk aplikasi SAP® diinstal. Secara default, data SAP dan SOC diasumsikan berada di ruang kerja yang menghosting buku kerja.
Jika data SOC berada di ruang kerja yang berbeda dari ruang kerja yang menghosting buku kerja, pastikan untuk menyertakan langganan untuk ruang kerja tersebut, dan pilih ruang kerja SOC dari audit Azure dan ruang kerja aktivitas.
Pilih bidang berikut untuk memfilter data sesuai dengan kebutuhan Anda:
- Rentang Waktu. Dari empat jam hingga 90 hari.
- Peran Sistem. Peran sistem SAP, misalnya: Pengembangan.
- Penggunaan Sistem. Misalnya: SAP GTS.
- Sistem SAP. Anda dapat memilih semua sistem, sistem tertentu, atau memilih beberapa sistem.
Jika Anda memilih sistem yang tidak dikonfigurasi dalam daftar pengawasan "sistem SAP", buku kerja menampilkan kesalahan, menentukan sistem dengan masalah. Dalam hal ini, konfigurasikan daftar pengawasan untuk menyertakan sistem ini dengan benar.
Gambaran umum buku kerja
Buku kerja dipisahkan menjadi dua tab:
- Laporan analisis masuk. Memperlihatkan berbagai jenis data mengenai kegagalan masuk. Data mencakup data anomali, data Microsoft Entra, dan banyak lagi. Data didasarkan pada daftar pengawasan "sistem SAP".
- Laporan pemberitahuan log audit. Menampilkan berbagai jenis data mengenai peristiwa log Audit SAP yang ditonton solusi Microsoft Azure Sentinel untuk aplikasi SAP®. Data didasarkan pada daftar pengawasan "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Tab laporan analisis log masuk
Termasuk area Analisis Masuk dan Kegagalan masuk.
Analisis Masuk
Memperlihatkan berbagai jenis data mengenai rincian masuk pengguna.
| Area | Deskripsi | Opsi |
|---|---|---|
| Logon pengguna unik per sistem | Menunjukkan jumlah masuk unik untuk setiap sistem SAP, dan grafik dengan tren masuk selama waktu yang dipilih untuk setiap sistem. Misalnya: sistem 012 memiliki upaya masuk unik 1,4 K dalam 14 hari terakhir, dan dalam 14 hari ini grafik menunjukkan tren masuk yang relatif meningkat. | |
| Tren jenis log masuk | Memperlihatkan tren jumlah masuk sesuai dengan jenis, misalnya, masuk melalui dialog. | Anda dapat mengarahkan mouse ke atas grafik untuk menampilkan jumlah logon untuk tanggal yang berbeda. |
| Kegagalan masuk Vs. keberhasilan oleh pengguna unik - tren | Memperlihatkan tren masuk yang berhasil dan gagal dalam periode yang dipilih. | Anda dapat mengarahkan mouse ke atas grafik untuk menunjukkan jumlah proses masuk yang berhasil dan gagal untuk tanggal yang berbeda. |
Kegagalan masuk - deteksi anomali
Area di bawah Deteksi anomali - memfilter upaya masuk yang gagal berisik menunjukkan data kegagalan masuk untuk sistem dan pengguna SAP. Untuk melihat hanya data yang ditandai oleh deteksi anomali, pilih Anomali hanya di samping Logon gagal di sebelah kanan.
| Area | Deskripsi | Data tertentu | Opsi/catatan |
|---|---|---|---|
| Anomali kegagalan log>masuk Anomali>kegagalan Pengguna Unik gagal masuk per sistem SAP | Menunjukkan jumlah proses masuk unik yang gagal untuk setiap sistem SAP. | ||
| SAP dan Direktori Aktif lebih baik bersama | Tabel Kegagalan masuk Anomali menunjukkan kombinasi data Microsoft Sentinel dan Microsoft Entra. Buku kerja menampilkan pengguna sesuai dengan risiko: Pengguna yang menunjukkan risiko paling besar berada di bagian atas daftar, dan pengguna dengan risiko keamanan yang lebih sedikit berada di bagian bawah. | Untuk setiap pengguna, menunjukkan: • Garis waktu upaya masuk yang gagal • Garis waktu yang menunjukkan pada titik mana upaya anomali gagal terjadi • Jenis anomali • Alamat email pengguna • Indikator risiko Microsoft Entra • Jumlah insiden dan pemberitahuan di Microsoft Azure Sentinel |
• Saat Anda memilih baris, Anda dapat melihat daftar pemberitahuan dan insiden untuk pengguna tersebut di bawah Ringkasan insiden/pemberitahuan untuk pengguna. Di bawah daftar ini, Anda juga dapat melihat peristiwa risiko Microsoft Entra di bawah audit Azure dan risiko masuk untuk pengguna. • Jika data Microsoft Entra Anda berada di ruang kerja Analitik Log yang berbeda, pastikan Anda memilih langganan dan ruang kerja yang relevan di bagian atas buku kerja, di bawah audit dan aktivitas Azure. |
| Tingkat kegagalan masuk per sistem | Secara visual mewakili sistem SAP yang dipilih. | • Untuk setiap sistem, menunjukkan jumlah kegagalan dalam periode yang dipilih • Sistem dikelompokkan menurut jenis. • Warna sistem menunjukkan jumlah upaya yang gagal: Hijau menunjukkan beberapa upaya masuk yang mencurigakan, di mana merah menunjukkan upaya masuk yang lebih mencurigakan. |
Anda dapat memilih sistem untuk melihat daftar masuk yang gagal dengan detail tentang kegagalan. |
Dalam cuplikan layar ini, Anda dapat melihat data yang ditampilkan saat baris pertama dipilih dalam tabel Kegagalan masuk Anomali. Pemberitahuan dan URL insiden tertentu ditampilkan dalam gambaran umum Insiden/pemberitahuan untuk tabel pengguna .
Dalam cuplikan layar ini, audit Azure dan risiko masuk untuk tabel pengguna memperlihatkan data untuk risiko masuk yang terkait dengan pengguna ini.
Dalam cuplikan layar ini, Anda dapat melihat tingkat kegagalan Masuk per area sistem , di mana sistem 84e di bawah Grup pengujian dipilih. Logon Gagal untuk area sistem di sebelah kanan menunjukkan peristiwa kegagalan untuk sistem ini.
Kegagalan masuk - tren
Area tren kegagalan Masuk menunjukkan tren dan jumlah rincian masuk yang gagal, dikelompokkan menurut berbagai jenis data.
| Area | Deskripsi |
|---|---|
| Kegagalan masuk karena penyebabnya | Memperlihatkan tren jumlah kegagalan masuk sesuai dengan penyebab kegagalan, misalnya: data masuk yang salah. |
| Kegagalan masuk menurut jenis | Menunjukkan tren jumlah kegagalan masuk sesuai dengan jenis, misalnya: rincian masuk memicu pekerjaan latar belakang, atau masuk melalui HTTP. |
| Kegagalan masuk menurut metode | Menunjukkan tren jumlah kegagalan masuk sesuai dengan metode, misalnya: SNC atau tiket masuk. |
Tab laporan pemberitahuan log audit
Tab ini menunjukkan tren tingkat keparahan dan audit untuk setiap sistem dan pengguna SAP. Semua area di tab ini hanya menampilkan data yang ditandai oleh deteksi anomali. Untuk semua peristiwa, pilih Semua di samping Gagal masuk di sebelah kanan.
| Area | Deskripsi | Data tertentu | Opsi/catatan |
|---|---|---|---|
| Tren tingkat keparahan pemberitahuan per ID Sistem | Menampilkan daftar sistem, dengan grafik tren peristiwa tingkat keparahan sedang dan tinggi per sistem. Misalnya, sistem 012 memiliki banyak peristiwa tingkat keparahan tinggi selama seluruh periode, dan beberapa peristiwa tingkat keparahan sedang dengan lonjakan yang menunjukkan peristiwa keparahan yang lebih menengah di tengah periode. | ||
| Tren audit per pengguna | Memperlihatkan kombinasi data Microsoft Azure Sentinel dan Microsoft Entra. Buku kerja menampilkan pengguna sesuai dengan risiko: Pengguna yang menunjukkan risiko paling besar berada di bagian atas daftar, dan pengguna dengan risiko keamanan yang lebih sedikit berada di bagian bawah. | Untuk setiap pengguna, menunjukkan: • Garis waktu peristiwa tingkat keparahan tinggi dan menengah • Alamat email pengguna • Indikator risiko Microsoft Entra • Jumlah insiden dan pemberitahuan di Microsoft Azure Sentinel |
Saat memilih baris, Anda dapat melihat daftar pemberitahuan dan insiden untuk pengguna tersebut di bawah Ringkasan insiden/pemberitahuan untuk pengguna. Di bawah daftar ini, Anda juga dapat melihat peristiwa risiko Microsoft Entra di bawah audit Azure dan risiko masuk untuk pengguna. |
| Skor risiko per sistem | Secara visual mewakili setiap sistem dalam bentuk sel. | • Menunjukkan skor risiko untuk setiap sistem. • Sistem dikelompokkan menurut jenis. • Warna sistem menunjukkan risiko: Hijau menunjukkan sistem dengan skor risiko yang lebih rendah, di mana merah menunjukkan skor risiko yang lebih tinggi. |
Anda dapat memilih sistem untuk melihat daftar peristiwa SAP per sistem. |
| Peristiwa berdasarkan taktik MITRE ATT&CK® | Memperlihatkan daftar peristiwa SAP yang dikelompokkan menurut taktik MITRE ATT&CK®, seperti Akses Awal atau Penggelapan Pertahanan. | Anda dapat mengarahkan mouse ke atas grafik untuk memperlihatkan jumlah rincian masuk untuk tanggal yang berbeda. | |
| Peristiwa menurut kategori | Menampilkan daftar tren peristiwa SAP yang dikelompokkan menurut kategori, seperti Mulai atau Masuk RFC. | Anda dapat mengarahkan mouse ke atas grafik untuk memperlihatkan nomor masuk untuk tanggal yang berbeda. | |
| Peristiwa menurut grup otorisasi | Menampilkan daftar tren peristiwa SAP yang dikelompokkan menurut grup otorisasi SAP, seperti USER atau SUPER. | Anda dapat mengarahkan mouse ke atas grafik untuk memperlihatkan jumlah rincian masuk untuk tanggal yang berbeda. | |
| Peristiwa menurut jenis pengguna | Menampilkan daftar tren peristiwa SAP yang dikelompokkan menurut jenis pengguna SAP, seperti Dialog atau sistem. | Anda dapat mengarahkan mouse ke atas grafik untuk memperlihatkan jumlah rincian masuk untuk tanggal yang berbeda. |
Dalam cuplikan layar ini, Anda dapat melihat data yang ditampilkan saat baris pertama dipilih dalam tren Audit per tabel pengguna . Pemberitahuan dan URL insiden tertentu ditampilkan dalam gambaran umum Insiden/pemberitahuan untuk tabel pengguna .
Dalam cuplikan layar ini, Anda dapat melihat skor Risiko per area sistem , di mana sistem cb7 di bawah grup UAT dipilih. Peristiwa SAP untuk area sistem di bawah visualisasi sistem menunjukkan peristiwa SAP untuk sistem ini.
Dalam cuplikan layar ini, Anda dapat melihat area dengan peristiwa dan tren peristiwa yang dikelompokkan berdasarkan berbagai jenis data: taktik MITRE ATT&CK®, grup otorisasi SAP, dan jenis pengguna.
Langkah berikutnya
Untuk informasi selengkapnya, lihat:
- Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Solusi Microsoft Azure Sentinel untuk referensi log aplikasi SAP®
- Memantau kesehatan sistem SAP Anda
- Menyebarkan solusi Microsoft Azure Sentinel untuk konektor data aplikasi SAP® dengan SNC
- Referensi file konfigurasi
- Prasyarat untuk menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Memecahkan masalah solusi Microsoft Azure Sentinel Anda untuk penyebaran aplikasi SAP®