Solusi Microsoft Sentinel untuk SAP: referensi konten keamanan

Catatan

Azure Sentinel sekarang disebut Microsoft Sentinel, dan kami akan memperbarui halaman ini dalam beberapa minggu mendatang. Pelajari selengkapnyatentang peningkatan keamanan Microsoft terbaru.

Artikel ini memerinci konten keamanan yang tersedia untuk Solusi Microsoft Sentinel untuk SAP.

Penting

Sementara Solusi Microsoft Sentinel untuk SAP berada di GA, beberapa komponen tertentu tetap dalam PRATINJAU. Artikel ini menunjukkan komponen yang ada dalam pratinjau di bagian yang relevan di bawah ini. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Konten keamanan yang tersedia menyertakan buku kerja dan aturan analitik bawaan. Anda juga dapat menambahkan daftar tonton terkait SAP untuk digunakan dalam playbook pencarian, aturan deteksi, perburuan ancaman, dan respons Anda.

Buku kerja bawaan

Gunakan buku kerja bawaan berikut untuk memvisualisasikan dan memantau data yang diserap melalui konektor data SAP. Setelah menyebarkan solusi SAP, buku kerja SAP ditemukan di tab Buku kerja saya.

Nama buku kerja Deskripsi Log
SAP - Browser Log Audit Menampilkan data seperti:

Kesehatan sistem umum, termasuk rincian masuk pengguna dari waktu ke waktu, peristiwa yang diserap oleh sistem, kelas pesan dan ID, dan program ABAP berjalan

Tingkat keparahan peristiwa yang terjadi di sistem Anda

Peristiwa autentikasi dan otorisasi yang terjadi di sistem Anda
Menggunakan data dari log berikut:

ABAPAuditLog_CL
SAP - Operasi Hak Istimewa yang Mencurigakan Menampilkan data seperti:

Tugas sensitif dan kritis

Tindakan dan perubahan yang dilakukan kepada pengguna istimewa yang sensitif

Perubahan yang dilakukan pada peran
Menggunakan data dari log berikut:

ABAPAuditLog_CL

ABAPChangeDocsLog_CL
SAP - Akses Awal & Upaya untuk Melewati Mekanisme Keamanan SAP Menampilkan data seperti:

Eksekusi program sensitif, kode, dan modul fungsi

Perubahan konfigurasi, termasuk penonaktifan log

Perubahan yang dilakukan dalam mode debug
Menggunakan data dari log berikut:

ABAPAuditLog_CL

ABAPTableDataLog_CL

Syslog
SAP - Persistensi & Penyelundupan Data Menampilkan data seperti:

Layanan Internet Communication Framework (ICF), termasuk aktivasi dan penonaktifan dan data tentang layanan dan penangan layanan baru

Operasi yang tidak aman, termasuk modul dan program fungsi

Akses langsung ke tabel sensitif
Menggunakan data dari log berikut:

ABAPAuditLog_CL

ABAPTableDataLog_CL

ABAPSpoolLog_CL

ABAPSpoolOutputLog_CL

Syslog

Untuk informasi selengkapnya, lihat Tutorial: Memvisualisasikan dan memantau data Anda dan Menyebarkan Solusi Microsoft Sentinel untuk SAP.

Aktifkan aturan analitik bawaan

Aturan analitik SAP bawaan untuk memantau log audit SAP

Data log Audit SAP digunakan di banyak aturan analitik Solusi Microsoft Sentinel untuk SAP. Beberapa aturan analitik mencari peristiwa tertentu pada log, sementara yang lain menghubungkan indikasi dari beberapa log untuk menghasilkan peringatan dan insiden keakuratan tinggi. Selain itu, ada dua aturan analitik yang dirancang untuk mengakomodasi seluruh set peristiwa log audit SAP standar (183 peristiwa berbeda), dan peristiwa kustom lainnya yang dapat Anda pilih untuk dicatat menggunakan log audit SAP.

Kedua aturan analitik pemantauan log audit SAP memiliki sumber data yang sama dan konfigurasi yang sama tetapi berbeda dalam satu aspek penting. Sementara "SAP - Pemantauan Log Audit Deterministik Dinamis" memerlukan ambang peringatan deterministik dan aturan pengecualian pengguna, "SAP - Peringatan Pemantauan Log Audit berbasis Anomali Dinamis (PRATINJAU)" menerapkan algoritma pembelajaran mesin tambahan untuk memfilter kebisingan latar belakang dengan cara yang tidak diawasi. Untuk alasan ini, secara default, sebagian besar jenis peristiwa (atau ID pesan SAP) dari log audit SAP dikirim ke aturan analitik "Berbasis anomali", sementara semakin mudah untuk menentukan jenis peristiwa dikirim ke aturan analitik deterministik. Pengaturan ini, bersama dengan pengaturan terkait lainnya, dapat dikonfigurasi lebih lanjut agar sesuai dengan kondisi sistem apa pun.

SAP - Pemantauan Log Audit Deterministik Dinamis

Aturan analitik dinamis yang dimaksudkan untuk mencakup seluruh set jenis peristiwa log audit SAP yang memiliki definisi deterministik dalam hal populasi pengguna, ambang peristiwa.

SAP - Peringatan Pemantauan Log Audit berbasis Anomali Dinamis (PRATINJAU)

Aturan analitik dinamis yang dirancang untuk mempelajari perilaku sistem normal, dan memperingatkan aktivitas yang diamati pada log audit SAP yang dianggap anomali. Terapkan aturan ini pada jenis peristiwa log audit SAP yang lebih sulit ditentukan dalam hal populasi pengguna, atribut jaringan, dan ambang.

Pelajari lebih lanjut:

Tabel berikut ini mencantumkan aturan analitik bawaan yang disertakan di dalam Solusi Microsoft Sentinel untuk SAP, yang disebarkan dari marketplace Solusi Microsoft Sentinel.

Aturan analitik SAP bawaan untuk akses awal

Nama aturan Deskripsi Tindakan sumber Taktik
SAP - Masuk dari jaringan tak terduga Mengidentifikasi masuk dari jaringan tak terduga.

Pertahankan jaringan di daftar pengawasan SAP - Networks.
Masuk ke sistem backend dari alamat IP yang tidak ditetapkan ke salah satu jaringan.

Sumber data: SAPcon - Jejak Audit
Akses Awal
SAP - SPNego Attack Mengidentifikasi Serangan Putar Ulang SPNego. Sumber data: SAPcon - Jejak Audit Dampak, Gerakan Lateral
SAP - Upaya masuk dialog dari pengguna istimewa Mengidentifikasi upaya masuk dialog, dengan jenis AUM, oleh pengguna istimewa dalam sistem SAP. Untuk informasi selengkapnya, lihat SAPUsersGetPrivileged. Mencoba masuk dari alamat IP yang sama ke beberapa sistem atau klien dalam interval waktu yang dijadwalkan

Sumber data: SAPcon - Jejak Audit
Dampak, Gerakan Lateral
SAP - Serangan brute force Mengidentifikasi serangan brute force pada sistem SAP menggunakan masuk RFC Percobaan untuk masuk dari IP yang sama ke beberapa sistem/klien dalam interval waktu yang dijadwalkan menggunakan RFC

Sumber data: SAPcon - Jejak Audit
Akses Info Masuk
SAP - Beberapa Upaya Masuk dari IP yang sama Mengidentifikasi masuknya beberapa pengguna dari alamat IP yang sama dalam interval waktu yang dijadwalkan.

Kasus sub-penggunaan: Persistensi
Masuk menggunakan beberapa pengguna melalui alamat IP yang sama.

Sumber data: SAPcon - Jejak Audit
Akses Awal
SAP - Beberapa Upaya Masuk oleh Pengguna Mengidentifikasi masuk pengguna yang sama dari beberapa terminal dalam interval waktu yang dijadwalkan.

Hanya tersedia melalui metode Audit SAL, untuk versi SAP 7.5 dan yang lebih tinggi.
Masuk menggunakan pengguna yang sama, menggunakan alamat IP yang berbeda.

Sumber data: SAPcon - Jejak Audit
PreAttack, Akses Kredensial, Akses Awal, Kumpulan

Kasus sub-penggunaan: Persistensi
SAP - Informasi - Siklus Hidup - SAP Notes diimplementasikan dalam sistem Mengidentifikasi implementasi SAP Note dalam sistem. Menerapkan SAP Note menggunakan SNOTE/TCI.

Sumber data: SAPcon - Permintaan Pengubahan
-

Aturan analitik SAP bawaan untuk eksfiltrasi data

Nama aturan Deskripsi Tindakan sumber Taktik
SAP - FTP untuk server yang tidak diotorisasi Mengidentifikasi koneksi FTP untuk server yang tidak berwenang. Buat koneksi FTP baru, seperti dengan menggunakan modul FTP_CONNECT Modul Fungsi.

Sumber data: SAPcon - Jejak Audit
Penemuan, Akses Awal, Perintah dan Kontrol
SAP - Konfigurasi server FTP tidak aman Mengidentifikasi konfigurasi server FTP yang tidak aman, seperti ketika daftar perbolehkan FTP kosong atau berisi tempat penampung. Jangan pertahankan atau pertahankan nilai yang berisi tempat penampung SAPFTP_SERVERS dalam tabel, menggunakan SAPFTP_SERVERS_V tampilan pemeliharaan. (SM30)

Sumber data: SAPcon - Jejak Audit
Akses Awal, Perintah, dan Kontrol
SAP - Beberapa Unduhan File Mengidentifikasi beberapa unduhan file untuk pengguna dalam rentang waktu tertentu. Unduh beberapa file menggunakan SAPGui untuk Excel, daftar, dan sebagainya.

Sumber data: SAPcon - Jejak Audit
Kumpulan, Eksfiltrasi, Akses Info Masuk
SAP - Beberapa Eksekusi Penampung Mengidentifikasi beberapa penampung untuk pengguna dalam rentang waktu tertentu. Buat dan jalankan beberapa pekerjaan penampung dari jenis apa pun oleh pengguna. (SP01)

Sumber data: SAPcon - Log Penampung, SAPcon - Jejak Audit
Kumpulan, Eksfiltrasi, Akses Info Masuk
SAP - Beberapa Eksekusi Output Penampung Mengidentifikasi beberapa penampung untuk pengguna dalam rentang waktu tertentu. Buat dan jalankan beberapa pekerjaan penampung dari jenis apa pun oleh pengguna. (SP01)

Sumber data: SAPcon - Log Output Penampung, SAPcon - Jejak Audit
Kumpulan, Eksfiltrasi, Akses Info Masuk
SAP - Tabel Sensitif Akses Langsung Menurut Masuk RFC Mengidentifikasi akses tabel generik dengan masuk RFC.

Pertahankan tabel di daftar pengawasan SAP - Tabel Sensitif.

Catatan: Relevan hanya untuk sistem produksi.
Buka konten tabel menggunakan SE11/SE16/SE16N.

Sumber data: SAPcon - Jejak Audit
Kumpulan, Eksfiltrasi, Akses Info Masuk
SAP - Pengambilalihan Penampung Mengidentifikasi pengguna yang mencetak permintaan penampung yang dibuat oleh orang lain. Buat permintaan penampung menggunakan satu pengguna, lalu keluarkan dalam menggunakan pengguna lain.

Sumber data: SAPcon - Log Penampung, SAPcon - Log Output Penampung, SAPcon - Jejak Audit
Kumpulan, Eksfiltrasi, Perintah, dan Kontrol
SAP - Tujuan RFC Dinamis Mengidentifikasi eksekusi RFC menggunakan tujuan dinamis.

Kasus sub-penggunaan: Upaya untuk melewati mekanisme keamanan SAP
Jalankan laporan ABAP yang menggunakan tujuan dinamis (cl_dynamic_destination). Misalnya, DEMO_RFC_DYNAMIC_DEST.

Sumber data: SAPcon - Jejak Audit
Kumpulan, Eksfiltrasi
SAP - Tabel Sensitif Akses Langsung Menurut Masuk Dialog Mengidentifikasi akses tabel generik melalui masuk dialog. Buka konten tabel menggunakan SE11/SE16/SE16N.

Sumber data: SAPcon - Jejak Audit
Penemuan

Aturan analitik SAP bawaan untuk persistensi

Nama aturan Deskripsi Tindakan sumber Taktik
SAP - Pengaktifan atau Penonaktifan Layanan ICF Mengidentifikasi aktivasi atau penonaktifan Layanan ICF. Mengaktifkan layanan menggunakan SICF.

Sumber data: SAPcon - Log Data Tabel
Komando dan Kontrol, Gerakan Lateral, Kegigihan
SAP - Modul Fungsi teruji Mengidentifikasi pengujian modul fungsi. Uji modul fungsi menggunakan SE37 / SE80.

Sumber data: SAPcon - Jejak Audit
Kumpulan, Penghindaran Pertahanan, Gerakan Lateral
SAP - (PRATINJAU) HANA DB -tindakan Admin Pengguna Mengidentifikasi tindakan administrasi pengguna. Membuat, memperbarui, atau menghapus pengguna database.

Sumber Data: Agen Linux - Syslog*
Eskalasi Hak Istimewa
SAP - Penghandel Layanan ICF Baru Mengidentifikasi penciptaan Peng-handel ICF. Tetapkan peng-handel baru ke layanan menggunakan SICF.

Sumber data: SAPcon - Jejak Audit
Komando dan Kontrol, Gerakan Lateral, Kegigihan
SAP - Layanan ICF Baru Mengidentifikasi pembuatan Layanan ICF. Buat layanan menggunakan SICF.

Sumber data: SAPcon - Log Data Tabel
Komando dan Kontrol, Gerakan Lateral, Kegigihan
SAP - Eksekusi Modul Fungsi Usang atau Tidak Aman Mengidentifikasi pelaksanaan modul fungsi ABAP yang usang atau tidak aman.

Pertahankan fungsi usang dalam daftar tonton SAP - Modul Fungsi Usang. Pastikan untuk mengaktifkan perubahan pembuatan log tabel untuk tabel EUFUNC di backend. (SE13)

Catatan: Relevan hanya untuk sistem produksi.
Jalankan modul fungsi usang atau tidak aman langsung menggunakan SE37.

Sumber data: SAPcon - Log Data Tabel
Penemuan, Perintah, dan Kontrol
SAP - Eksekusi Program Usang/Tidak Aman Mengidentifikasi pelaksanaan program ABAP yang usang atau tidak aman.

Pertahankan program usang dalam daftar pengawasan SAP - Program Usang.

Catatan: Relevan hanya untuk sistem produksi.
Jalankan program langsung menggunakan SE38/SA38/SE80, atau dengan menggunakan pekerjaan latar belakang.

Sumber data: SAPcon - Jejak Audit
Penemuan, Perintah, dan Kontrol
SAP - Beberapa Perubahan Kata Sandi oleh Pengguna Mengidentifikasi beberapa perubahan kata sandi oleh pengguna. Mengubah kata sandi pengguna

Sumber data: SAPcon - Jejak Audit
Akses Info Masuk

Aturan analitik SAP bawaan untuk upaya melewati mekanisme keamanan SAP

Nama aturan Deskripsi Tindakan sumber Taktik
SAP - Perubahan Konfigurasi Klien Mengidentifikasi perubahan untuk konfigurasi klien seperti peran klien atau mode perekaman perubahan. Lakukan perubahan konfigurasi klien menggunakan kode transaksi SCC4.

Sumber data: SAPcon - Jejak Audit
Penghindaran Pertahanan, Eksfiltrasi, Kegigihan
SAP - Data telah Berubah selama Aktivitas Penelusuran Kesalahan Mengidentifikasi perubahan untuk data runtime selama aktivitas debugging.

Kasus sub-penggunaan: Persistensi
1. Aktifkan Debug ("/h").
2. Pilih bidang untuk perubahan dan perbarui nilainya.

Sumber data: SAPcon - Jejak Audit
Eksekusi, Gerakan Lateral
SAP - Penonaktifan Log Audit Keamanan Mengidentifikasi penonaktifan Jejak Audit Keamanan, Nonaktifkan Jejak Audit keamanan menggunakan SM19/RSAU_CONFIG.

Sumber data: SAPcon - Jejak Audit
Eksfiltrasi, Penghindaran Pertahanan, Kegigihan
SAP - Eksekusi Program ABAP Sensitif Mengidentifikasi eksekusi langsung dari program ABAP yang sensitif.

Pertahankan Program ABAP dalam daftar tonton SAP - Program ABAP Sensitif.
Jalankan program secara langsung menggunakan SE38/SA38/SE80.

Sumber data: SAPcon - Jejak Audit
Eksfiltrasi, Gerakan Lateral, Eksekusi
SAP - Eksekusi Kode Transaksi Sensitif Mengidentifikasi eksekusi Kode Transaksi sensitif.

Pertahankan kode transaksi dalam daftar tontonSAP - Kode Transaksi Sensitif.
Jalankan kode transaksi sensitif.

Sumber data: SAPcon - Jejak Audit
Penemuan, Eksekusi
SAP - Eksekusi Modul Fungsi Sensitif Mengidentifikasi eksekusi modul fungsi ABAP yang sensitif.

Kasus sub-penggunaan: Persistensi

Catatan: Relevan hanya untuk sistem produksi.

Pertahankan fungsi sensitif dalam daftar tonton SAP - Modul Fungsi Sensitif, dan pastikan untuk mengaktifkan perubahan pencatatan tabel di backend untuk tabel EUFUNC. (SE13)
Jalankan modul fungsi sensitif secara langsung menggunakan SE37.

Sumber data: SAPcon - Log Data Tabel
Penemuan, Perintah, dan Kontrol
SAP - (PRATINJAU) HANA DB - Perubahan Policy Jejak Audit Mengidentifikasi perubahan untuk kebijakan jejak audit HANA DB. Membuat atau memperbarui kebijakan audit yang ada dalam definisi keamanan.

Sumber data: Agen Linux - Syslog
Gerakan Lateral, Penghindaran Pertahanan
SAP - (PRATINJAU) HANA DB - Penonaktifan Jejak Audit Mengidentifikasi penonaktifan log audit HANA DB. Menonaktifkan log audit dalam definisi keamanan HANA DB.

Sumber data: Agen Linux - Syslog
Kegigihan, Gerakan Lateral, Penghindaran Pertahanan
SAP - RFC Eksekusi Modul Fungsi Sensitif Model fungsi sensitif yang akan digunakan dalam deteksi yang relevan.

Pertahankan modul fungsi dalam daftar pengawasan SAP - Modul Fungsi Sensitif.
Jalankan modul fungsi menggunakan RFC.

Sumber data: SAPcon - Jejak Audit
Eksekusi, Gerakan Lateral, Penemuan
SAP - Perubahan Konfigurasi Sistem Mengidentifikasi perubahan untuk konfigurasi sistem. Menyesuaikan opsi perubahan sistem atau modifikasi komponen perangkat lunak menggunakan kode transaksi SE06.

Sumber data: SAPcon - Jejak Audit
Eksfiltrasi, Penghindaran Pertahanan, Kegigihan
SAP - Aktivitas Penelusuran Kesalahan Mengidentifikasi semua aktivitas terkait debugging.

Kasus sub-penggunaan: Persistensi
Aktifkan Debug ("/h") dalam sistem, debug proses aktif, tambahkan titik henti ke kode sumber, dan sebagainya.

Sumber data: SAPcon - Jejak Audit
Penemuan
SAP - Perubahan Konfigurasi Log Audit Keamanan Mengidentifikasi perubahan dalam konfigurasi Jejak Audit Keamanan Ubah Konfigurasi Jejak Audit Keamanan apa pun menggunakan SM19/RSAU_CONFIG, seperti filter, status, mode perekaman, dan sebagainya.

Sumber data: SAPcon - Jejak Audit
Kegigihan, Eksfiltrasi, Penghindaran Pertahanan
SAP - Transaksi tidak terkunci Mengidentifikasi pembukaan kunci transaksi. Buka kunci kode transaksi menggunakan SM01/SM01_DEV/SM01_CUS.

Sumber data: SAPcon - Jejak Audit
Kegigihan,Eksekusi
SAP - Program ABAP Dinamis Mengidentifikasi eksekusi pemrograman ABAP dinamis. Misalnya, ketika kode ABAP dibuat, diubah, atau dihapus secara dinamis.

Pertahankan kode transaksi yang dikecualikan dalam daftar tonton SAP - Transaksi untuk Pembuatan ABAP.
Buat Laporan ABAP yang menggunakan perintah pembuatan program ABAP, seperti INSERT REPORT, lalu jalankan laporan.

Sumber data: SAPcon - Jejak Audit
Penemuan, Perintah dan Kontrol, Dampak

Aturan analitik SAP bawaan untuk operasi hak istimewa yang mencurigakan

Nama aturan Deskripsi Tindakan sumber Taktik
SAP - Perubahan bagi pengguna istimewa Sensitif Mengidentifikasi perubahan pengguna hak istimewa yang sensitif.

Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa.
Ubah detail/otorisasi pengguna menggunakan SU01.

Sumber data: SAPcon - Jejak Audit
Eskalasi Hak Istimewa, Akses Info Masuk
SAP - (PARTINJAU) HANA DB - Tetapkan Otorisasi Admin Mengidentifikasi hak istimewa admin atau penetapan peran. Tetapkan pengguna dengan peran atau hak istimewa admin apa pun.

Sumber data: Agen Linux - Syslog
Eskalasi Hak Istimewa
SAP - Pengguna istimewa sensitif masuk Mengidentifikasi dialog masuk dari pengguna istimewa yang sensitif.

Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa.
Masuk ke sistem backend menggunakan SAP* atau pengguna istimewa lainnya.

Sumber data: SAPcon - Jejak Audit
Akses Awal, Akses Info Masuk
SAP - Pengguna istimewa sensitif membuat perubahan pada pengguna lain Mengidentifikasi perubahan pengguna yang sensitif dan istimewa pada pengguna lain. Ubah detail/otorisasi pengguna menggunakan SU01.

Sumber data: SAPcon - Log Audit
Eskalasi Hak Istimewa, Akses Info Masuk
SAP - Perubahan Kata Sandi Pengguna Sensitif dan Masuk Mengidentifikasi perubahan kata sandi untuk pengguna istimewa. Ubah kata sandi untuk pengguna hak istimewa dan masuk ke sistem.
Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa.

Sumber data: SAPcon - Jejak Audit
Dampak, Komando dan Kontrol, Eskalasi Hak Istimewa
SAP - Pengguna Membuat dan menggunakan pengguna baru Mengidentifikasi pengguna yang membuat dan menggunakan pengguna lain.

Kasus sub-penggunaan: Persistensi
Buat pengguna menggunakan SU01, lalu masuk dengan pengguna yang baru dibuat dan alamat IP yang sama.

Sumber data: SAPcon - Jejak Audit
Penemuan, PreAttack, Akses Awal
SAP - Pengguna Membuka Kunci dan menggunakan pengguna lain Mengidentifikasi pengguna yang sedang tidak terkunci dan digunakan oleh pengguna lain.

Kasus sub-penggunaan: Persistensi
Buka kunci pengguna menggunakan SU01, lalu masuk menggunakan pengguna yang tidak terkunci dan alamat IP yang sama.

Sumber data: SAPcon - Audit Log, SAPcon - Log Perubahan Dokumen
Penemuan, PreAttack, Akses Awal, Gerakan Lateral
SAP - Penugasan profil sensitif Mengidentifikasi tugas baru profil sensitif kepada pengguna.

Pertahankan profil sensitif di daftar tonton SAP - Profil Sensitif.
Tetapkan profil untuk pengguna menggunakan SU01.

Sumber data: SAPcon - Ubah Log Dokumen
Eskalasi Hak Istimewa
SAP - Penetapan peran sensitif Mengidentifikasi tugas baru untuk peran sensitif kepada pengguna.

Pertahankan peran sensitif dalam daftar tonton SAP - Peran Sensitif.
Menetapkan peran kepada pengguna menggunakan SU01 / PFCG.

Sumber data: SAPcon - Ubah Log Dokumen, Log Audit
Eskalasi Hak Istimewa
SAP - (PRATINJAU) Penugasan otorisasi kritis - Nilai Otorisasi Baru Mengidentifikasi penetapan nilai objek otorisasi kritis kepada pengguna baru.

Pertahankan objek otorisasi kritis dalam daftar tonton SAP - Objek Otorisasi Kritis.
Tetapkan objek otorisasi baru atau perbarui objek yang sudah ada dalam peran, menggunakan PFCG.

Sumber data: SAPcon - Ubah Log Dokumen
Eskalasi Hak Istimewa
SAP - Penugasan otorisasi kritis - Penugasan Pengguna Baru Mengidentifikasi penetapan nilai objek otorisasi kritis kepada pengguna baru.

Pertahankan objek otorisasi kritis dalam daftar tonton SAP - Objek Otorisasi Kritis.
Tetapkan pengguna baru ke peran yang memegang nilai otorisasi penting, menggunakan SU01/PFCG.

Sumber data: SAPcon - Ubah Log Dokumen
Eskalasi Hak Istimewa
SAP - Perubahan Peran Sensitif Mengidentifikasi perubahan dalam peran sensitif.

Pertahankan peran sensitif dalam daftar tonton SAP - Peran Sensitif.
Ubah peran menggunakan PFCG.

Sumber data: SAPcon - Ubah Log Dokumen, SAPcon – Jejak Audit
Dampak, Eskalasi Hak Istimewa, Kegigihan

Daftar tonton yang tersedia

Tabel berikut mencantumkan daftar tonton yang tersedia untuk Solusi Microsoft Sentinel untuk SAP, dan bidang di setiap daftar tonton.

Daftar tonton ini menyediakan konfigurasi untuk Solusi Microsoft Sentinel untuk SAP. Daftar tonton SAP tersedia di repositori GitHub Microsoft Sentinel.

Nama daftar tonton Deskripsi dan bidang
SAP - Objek Otorisasi Kritis Otorisasi Kritis keberatan, di mana penugasan harus diatur.

- AuthorizationObject: Objek otorisasi SAP, seperti S_DEVELOP, S_TCODE, atau Table TOBJ
- AuthorizationField: Bidang otorisasi SAP, seperti OBJTYP atau TCD
- AuthorizationValue: Nilai bidang otorisasi SAP, seperti DEBUG
- ActivityField : Bidang aktivitas SAP. Untuk sebagian besar kasus, nilai ini akan menjadi ACTVT. Untuk objek Otorisasi tanpa Aktivitas, atau hanya dengan bidang Aktivitas, diisi dengan NOT_IN_USE.
- Aktivitas: Aktivitas SAP, sesuai dengan objek otorisasi, seperti: 01 : Buat; 02 : Ubah; : 03 Tampilan, dan sebagainya.
- Deskripsi: Deskripsi Objek Otorisasi Kritis yang bermakna.
SAP - Jaringan Yang Dikecualikan Untuk pemeliharaan internal jaringan yang dikecualikan, seperti mengabaikan dispatcher web, server terminal, dan sebagainya.

-Jaringan: Alamat atau rentang IP jaringan, seperti 111.68.128.0/17.
-Deskripsi: Deskripsi jaringan yang bermakna.
Pengguna Yang Dikecualikan SAP Pengguna sistem yang masuk ke sistem dan harus diabaikan. Misalnya, pemberitahuan untuk beberapa masuk oleh pengguna yang sama.

- Pengguna: Pengguna SAP
-Deskripsi: Deskripsi pengguna yang bermakna.
SAP - Jaringan Jaringan internal dan pemeliharaan untuk identifikasi login yang tidak sah.

- Jaringan: Alamat IP jaringan atau jangkauan, seperti 111.68.128.0/17
- Deskripsi: Deskripsi jaringan yang bermakna.
SAP - Pengguna Hak Istimewa Pengguna istimewa yang berada di bawah batasan tambahan.

- Pengguna: pengguna ABAP, DDIC seperti atau SAP
- Deskripsi: Deskripsi pengguna yang bermakna.
SAP - Program ABAP Sensitif Program ABAP sensitif (laporan), tempat eksekusi harus diatur.

- ABAPProgram: Program atau laporan ABAP, seperti RSPFLDOC
- Deskripsi: Deskripsi program yang bermakna.
SAP - Modul Fungsi Sensitif Jaringan internal dan pemeliharaan untuk identifikasi login yang tidak sah.

- FunctionModule: Modul fungsi ABAP, seperti RSAU_CLEAR_AUDIT_LOG
- Deskripsi: Deskripsi modul yang bermakna.
SAP - Profil Sensitif Profil sensitif, di mana tugas harus diatur.

- Profile: Profil otorisasi SAP, seperti SAP_ALL atau SAP_NEW
- Deskripsi: Deskripsi profil yang bermakna.
SAP - Tabel Sensitif Tabel sensitif, di mana akses harus diatur.

- Tabel: Tabel Kamus ABAP, seperti USR02 atau PA008
- Deskripsi: Deskripsi tabel yang bermakna.
SAP - Peran Sensitif Peran sensitif, di mana penugasan harus diatur.

- Peran: Peran otorisasi SAP, seperti SAP_BC_BASIS_ADMIN
- Deskripsi: Deskripsi peran yang bermakna.
SAP - Transaksi Sensitif Transaksi sensitif di mana eksekusi harus diatur.

- Kode Transaksi: Kode transaksi SAP, seperti RZ11
- Deskripsi: Deskripsi kode yang bermakna.
SAP - Sistem Menjelaskan lanskap sistem SAP sesuai dengan peran dan penggunaan.

- SYSTEMID: ID sistem SAP (SYSID)
- SystemRole: peran sistem SAP, salah satu nilai berikut: Sandbox, Development, Quality Assurance, Training, Production
- SystemUsage: Penggunaan sistem SAP, salah satu nilai berikut: ERP, BW, Solman, Gateway, Enterprise Portal
SAP - Pengguna yang Dikecualikan Pengguna sistem yang masuk dan perlu diabaikan, seperti untuk Beberapa log masuk menurut pemberitahuan pengguna.

- Pengguna: Pengguna SAP
- Deskripsi: Deskripsi pengguna yang bermakna
SAP - Jaringan Yang Dikecualikan Pertahankan jaringan internal yang dikecualikan untuk mengabaikan dispatcher web, server terminal, dan sebagainya.

- Jaringan: Alamat IP jaringan atau jangkauan, seperti 111.68.128.0/17
- Deskripsi: Deskripsi jaringan yang bermakna
SAP - Modul Fungsi Usang Modul fungsi usang, yang eksekusinya harus diatur.

- FunctionModule: Modul Fungsi ABAP, seperti TH_SAPREL
- Deskripsi: Deskripsi modul fungsi yang bermakna
SAP - Program Usang Program ABAP usang (laporan), yang eksekusinya harus diatur.

- Program ABAPProgram:ABAP, seperti TH_ RSPFLDOC
- Deskripsi: Deskripsi program ABAP yang bermakna
SAP - Transaksi untuk Generasi ABAP Transaksi untuk generasi ABAP yang eksekusinya harus diatur.

- TransactionCode:Kode Transaksi, seperti SE11.
- Deskripsi: Deskripsi Kode Transaksi yang bermakna
SAP - Server FTP Server FTP untuk identifikasi koneksi yang tidak sah.

- Klien:seperti 100.
- FTP_Server_Name: Nama server FTP, seperti http://contoso.com/
-FTP_Server_Port:FTP server port, seperti 22.
- Deskripsi Deskripsi Server FTP yang bermakna
SAP_Dynamic_Audit_Log_Monitor_Configuration Konfigurasikan peringatan log audit SAP dengan menetapkan setiap ID pesan tingkat keparahan seperti yang Anda perlukan, per peran sistem (produksi, non-produksi). Daftar pengawasan ini merinci semua ID pesan log audit standar SAP yang tersedia. Daftar pengawasan dapat diperluas untuk berisi ID pesan tambahan yang mungkin Anda buat sendiri menggunakan peningkatan ABAP pada sistem SAP NetWeaver mereka. Daftar pengawasan ini juga memungkinkan konfigurasi tim yang ditunjuk untuk menangani setiap jenis peristiwa, dan mengecualikan pengguna dengan peran SAP, profil SAP, atau dengan tag dari daftar pengawasan SAP_User_Config . Daftar tonton ini adalah salah satu komponen inti yang digunakan untuk mengonfigurasiaturan analitik SAP bawaan untuk memantau log audit SAP.

- MessageID: ID Pesan SAP, atau jenis peristiwa, seperti AUD (Perubahan rekaman master pengguna), atau AUB (perubahan otorisasi).
- DetailedDescription: Deskripsi yang diaktifkan markdown untuk ditampilkan di panel insiden.
- ProductionSeverity: Tingkat keparahan yang diinginkan untuk insiden yang akan dibuat dengan untuk sistem produksi High, Medium. Dapat diatur sebagai Disabled.
- NonProdSeverity: Tingkat keparahan yang diinginkan untuk insiden yang akan dibuat dengan untuk sistem non-produksi High, Medium. Dapat diatur sebagai Disabled.
- ProductionThreshold Jumlah peristiwa "Per jam" dianggap mencurigakan untuk sistem 60produksi .
- NonProdThreshold Jumlah peristiwa "Per jam" dianggap mencurigakan untuk sistem 10non-produksi .
- RolesTagsToExclude: Bidang ini menerima nama peran SAP, nama profil SAP, atau tag dari daftar pengawasan SAP_User_Config. Ini kemudian digunakan untuk mengecualikan pengguna terkait dari jenis peristiwa tertentu. Lihat opsi untuk tag peran di akhir daftar ini.
- RuleType: Gunakan Deterministic untuk jenis peristiwa yang akan dikirim ke SAP - Monitor Log Audit Deterministik Dinamis, atau AnomaliesOnly untuk mencakup peristiwa ini oleh SAP - Pemberitahuan Monitor Log Audit berbasis Anomali Dinamis (PRATINJAU).

Untuk bidang RolesTagsToExclude :
- Jika Anda mencantumkan peran SAP atau profil SAP, ini mengecualikan setiap pengguna dengan peran atau profil yang tercantum dari jenis peristiwa ini untuk sistem SAP yang sama. Misalnya, jika Anda menentukan BASIC_BO_USERS peran ABAP untuk jenis peristiwa terkait RFC, pengguna Objek Bisnis tidak akan memicu insiden saat melakukan panggilan RFC besar-besaran.
- Menandai jenis peristiwa mirip dengan menentukan peran atau profil SAP, tetapi tag dapat dibuat di ruang kerja, sehingga tim SOC dapat mengecualikan pengguna berdasarkan aktivitas tanpa bergantung pada tim SAP. Misalnya, ID pesan audit AUB (perubahan otorisasi) dan AUD (perubahan catatan master pengguna) diberi MassiveAuthChanges tag . Pengguna yang diberi tag ini dikecualikan dari pemeriksaan untuk aktivitas ini. Menjalankan fungsi ruang SAPAuditLogConfigRecommend kerja menghasilkan daftar tag yang direkomendasikan untuk ditetapkan kepada pengguna, seperti Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist.
SAP_User_Config Memungkinkan untuk menyempurnakan pemberitahuan dengan mengecualikan /termasuk pengguna dalam konteks tertentu dan juga digunakan untuk mengonfigurasiaturan analitik SAP bawaan untuk memantau log audit SAP.

- SAPUser: Pengguna SAP
- Tag: Tag digunakan untuk mengidentifikasi pengguna terhadap aktivitas tertentu. Misalnya Menambahkan tag ["GenericTablebyRFCOK"] ke pengguna SENTINEL_SRV akan mencegah insiden terkait RFC dibuat untuk pengguna tertentu ini
Pengidentifikasi pengguna direktori aktif lainnya
- ID Pengguna AD
- Sid Lokal Pengguna
- Nama prinsipal pengguna

Langkah berikutnya

Untuk informasi selengkapnya, lihat: