Soluzione Microsoft Sentinel per le applicazioni SAP: informazioni di riferimento sul contenuto di sicurezza
Questo articolo descrive in dettaglio il contenuto della sicurezza disponibile per la soluzione Microsoft Sentinel per SAP.
Importante
Mentre la soluzione Microsoft Sentinel per le applicazioni SAP è disponibile a livello generale, alcuni componenti specifici rimangono in ANTEPRIMA. Questo articolo indica i componenti in anteprima nelle sezioni pertinenti riportate di seguito. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Il contenuto di sicurezza disponibile include cartelle di lavoro predefinite e regole di analisi. È anche possibile aggiungere watchlist correlati a SAP da usare nei playbook di ricerca, regole di rilevamento, ricerca delle minacce e playbook di risposta.
Il contenuto di questo articolo è destinato al team di sicurezza .
Cartelle di lavoro predefinite
Usare le cartelle di lavoro predefinite seguenti per visualizzare e monitorare i dati inseriti tramite il connettore dati SAP. Dopo aver distribuito la soluzione SAP, è possibile trovare cartelle di lavoro SAP nella scheda Modelli .
Nome cartella di lavoro | Descrizione | Registri |
---|---|---|
SAP - Browser log di controllo | Visualizza i dati, ad esempio: - Integrità generale del sistema, inclusi gli accessi utente nel tempo, gli eventi inseriti dal sistema, le classi di messaggi e gli ID e i programmi ABAP vengono eseguiti -Gravità degli eventi che si verificano nel sistema - Eventi di autenticazione e autorizzazione che si verificano nel sistema |
Usa i dati del log seguente: ABAPAuditLog_CL |
Controlli di controllo SAP | Consente di controllare la conformità dei controlli di sicurezza dell'ambiente SAP con il framework di controllo scelto, usando gli strumenti necessari per eseguire le operazioni seguenti: - Assegnare regole di analisi nell'ambiente a specifici controlli di sicurezza e famiglie di controllo - Monitorare e classificare gli eventi imprevisti generati dalle regole di analisi basate su soluzioni SAP - Segnalare la conformità |
Usa i dati delle tabelle seguenti: - SecurityAlert - SecurityIncident |
Per altre informazioni, vedere Esercitazione: Visualizzare e monitorare i dati e Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP.
Regole di analisi predefinite
Questa sezione descrive una selezione di regole di analisi predefinite fornite insieme alla soluzione Microsoft Sentinel per le applicazioni SAP. Per gli aggiornamenti più recenti, controllare l'hub del contenuto di Microsoft Sentinel per individuare le regole nuove e aggiornate.
Monitorare la configurazione dei parametri di sicurezza statici di SAP (anteprima)
Per proteggere il sistema SAP, SAP ha identificato i parametri correlati alla sicurezza che devono essere monitorati per le modifiche. Con la regola "SAP - (anteprima) Sensitive Static Parameter has Changed", la soluzione Microsoft Sentinel per le applicazioni SAP tiene traccia di oltre 52 parametri statici correlati alla sicurezza nel sistema SAP, integrati in Microsoft Sentinel.
Nota
Per consentire alle applicazioni SAP di monitorare correttamente i parametri di sicurezza SAP, la soluzione deve monitorare correttamente la tabella SAP PAHI a intervalli regolari. Per altre informazioni, vedere Verificare che la tabella PAHI venga aggiornata a intervalli regolari.
Per comprendere le modifiche ai parametri nel sistema, la soluzione Microsoft Sentinel per le applicazioni SAP usa la tabella della cronologia dei parametri, che registra le modifiche apportate ai parametri di sistema ogni ora.
I parametri si riflettono anche nell'elenco di controllo SAPSystemParameters. Questo watchlist consente agli utenti di aggiungere nuovi parametri, disabilitare i parametri esistenti e modificare i valori e i livelli di gravità per parametro e ruolo di sistema negli ambienti di produzione o non di produzione.
Quando viene apportata una modifica a uno di questi parametri, Microsoft Sentinel verifica se la modifica è correlata alla sicurezza e se il valore viene impostato in base ai valori consigliati. Se la modifica è sospetta all'esterno dell'area sicura, Microsoft Sentinel crea un evento imprevisto che descrive in dettaglio la modifica e identifica chi ha apportato la modifica.
Esaminare l'elenco dei parametri monitorati da questa regola.
Monitorare il log di controllo SAP
Molte delle regole di analisi nella soluzione Microsoft Sentinel per le applicazioni SAP usano i dati del log di controllo SAP. Alcune regole di analisi cercano eventi specifici nel log, mentre altre correlano indicazioni da diversi log per creare avvisi e eventi imprevisti ad alta fedeltà.
Usare le regole di analisi seguenti per monitorare tutti gli eventi del log di controllo nel sistema SAP o attivare gli avvisi solo quando vengono rilevate anomalie:
Nome regola | Descrizione |
---|---|
SAP - Configurazione mancante in Monitoraggio log di controllo della sicurezza dinamica | Per impostazione predefinita, viene eseguito ogni giorno per fornire raccomandazioni di configurazione per il modulo del log di controllo SAP. Usare il modello di regola per creare e personalizzare una regola per l'area di lavoro. |
SAP - Monitoraggio dei log di controllo deterministico dinamico (ANTEPRIMA) | Per impostazione predefinita, viene eseguito ogni 10 minuti e si concentra sugli eventi del log di controllo SAP contrassegnati come deterministici. Usare il modello di regola per creare e personalizzare una regola per l'area di lavoro, ad esempio per un tasso di falsi positivi inferiore. Questa regola richiede soglie di avviso deterministiche e regole di esclusione utente. |
SAP - Avvisi di Monitoraggio log di controllo dinamici basati su anomalie (ANTEPRIMA) | Per impostazione predefinita, viene eseguito ogni ora e si concentra sugli eventi SAP contrassegnati come AnomaliesOnly, avvisando gli eventi del log di controllo SAP quando vengono rilevate anomalie. Questa regola applica algoritmi di Machine Learning aggiuntivi per filtrare il rumore di fondo in modo non supervisionato. |
Per impostazione predefinita, la maggior parte dei tipi di evento o degli ID messaggio SAP nel log di controllo SAP viene inviata alla regola di analisi degli avvisi di Monitoraggio log di controllo (ANTEPRIMA) basata su anomalie basata su anomalie, mentre la più semplice definizione dei tipi di evento viene inviata alla regola di analisi di Monitoraggio log di controllo deterministico deterministico deterministico (ANTEPRIMA). Questa impostazione, insieme ad altre impostazioni correlate, può essere ulteriormente configurata in base a qualsiasi condizione di sistema.
Le regole di monitoraggio dei log di controllo SAP vengono distribuite come parte del contenuto della sicurezza della soluzione SAP per Microsoft Sentinel e consentono un'ulteriore ottimizzazione usando gli elenchi di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
La tabella seguente, ad esempio, elenca diversi esempi di come usare l'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration per configurare i tipi di eventi che producono eventi imprevisti, riducendo il numero di eventi imprevisti generati.
Opzione | Descrizione |
---|---|
Impostare i livelli di gravità e disabilitare gli eventi indesiderati | Per impostazione predefinita, sia le regole deterministiche che le regole basate sulle anomalie creano avvisi per gli eventi contrassegnati con gravità media e alta. È possibile configurare i livelli di gravità separatamente in ambienti di produzione e non produzione. Ad esempio, è possibile impostare un evento di attività di debug come gravità elevata nei sistemi di produzione e disattivare gli stessi eventi interamente in sistemi non di produzione. |
Escludere gli utenti dai ruoli SAP o dai profili SAP | Microsoft Sentinel per SAP inserisce il profilo di autorizzazione dell'utente SAP, incluse assegnazioni di ruolo dirette e indirette, gruppi e profili, in modo da poter parlare il linguaggio SAP nel sistema SIEM. Potrebbe essere necessario configurare un evento SAP per escludere gli utenti in base ai rispettivi ruoli e profili SAP. Nell'elenco di controllo aggiungere i ruoli o i profili che raggruppano gli utenti dell'interfaccia RFC nella colonna RolesTagsToExclude accanto all'evento RFC Generic table access by RFC . Questa configurazione attiva gli avvisi solo per gli utenti che non hanno questi ruoli. |
Escludere gli utenti dai tag SOC | Usare i tag per creare un raggruppamento personalizzato, senza basarsi su definizioni SAP complesse o anche senza autorizzazione SAP. Questo metodo è utile per i team SOC che vogliono creare il proprio raggruppamento per gli utenti SAP. Ad esempio, se non si vuole che account di servizio specifici vengano avvisati per l'accesso generico alle tabelle dagli eventi RFC , ma non è possibile trovare un ruolo SAP o un profilo SAP che raggruppa questi utenti, usare i tag come indicato di seguito: 1. Aggiungere il tag GenTableRFCReadOK accanto all'evento pertinente nell'elenco di controllo. 2. Passare all'elenco di controllo SAP_User_Config e assegnare agli utenti dell'interfaccia lo stesso tag. |
Specificare una soglia di frequenza per tipo di evento e ruolo di sistema | Funziona come un limite di velocità. Ad esempio, è possibile configurare gli eventi user master record change per attivare gli avvisi solo se più di 12 attività vengono osservate in un'ora, dallo stesso utente in un sistema di produzione. Se un utente supera il limite di 12 ore, ad esempio 2 eventi in una finestra di 10 minuti, viene attivato un evento imprevisto. |
Determinismo o anomalie | Se si conoscono le caratteristiche dell'evento, usare le funzionalità deterministiche. Se non si è certi di come configurare correttamente l'evento, consentire alle funzionalità di Machine Learning di iniziare e quindi eseguire gli aggiornamenti successivi in base alle esigenze. |
Funzionalità SOAR | Usare Microsoft Sentinel per orchestrare, automatizzare e rispondere ulteriormente agli eventi imprevisti creati dagli avvisi dinamici del log di controllo SAP. Per maggiori informazioni, veder Automazione in Microsoft Sentinel: orchestrazione della sicurezza, automazione e risposta (SOAR). |
Per altre informazioni, vedere Elenchi di controllo disponibili e Microsoft Sentinel per sap News - Funzionalità dynamic SAP Security Audit Log Monitor ora disponibile. (blog).
Accesso iniziale
Nome regola | Descrizione | Azione di origine | Tattiche |
---|---|---|---|
SAP - Accesso da una rete imprevista | Identifica un accesso da una rete imprevista. Gestire le reti nell'elenco di controllo SAP - Networks . |
Accedere al sistema back-end da un indirizzo IP non assegnato a una delle reti. Origini dati: SAPcon - Log di controllo |
Accesso iniziale |
SAP - Attacco SPNego | Identifica l'attacco SPNego Replay. | Origini dati: SAPcon - Log di controllo | Impatto, movimento laterale |
SAP - Tentativo di accesso alla finestra di dialogo da un utente con privilegi | Identifica i tentativi di accesso alla finestra di dialogo, con il tipo AUM , dagli utenti con privilegi in un sistema SAP. Per altre informazioni, vedere SAPUsersGetPrivileged. | Tentare di accedere dallo stesso INDIRIZZO IP a diversi sistemi o client entro l'intervallo di tempo pianificato Origini dati: SAPcon - Log di controllo |
Impatto, movimento laterale |
SAP - Attacchi di forza bruta | Identifica gli attacchi di forza bruta nel sistema SAP usando gli accessi RFC | Tentare di accedere dallo stesso INDIRIZZO IP a diversi sistemi/client entro l'intervallo di tempo pianificato usando RFC Origini dati: SAPcon - Log di controllo |
Accesso tramite credenziali |
SAP - Più accessi dallo stesso IP | Identifica l'accesso di più utenti dello stesso indirizzo IP entro un intervallo di tempo pianificato. Caso d'uso secondario: Persistenza |
Accedere usando più utenti tramite lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo |
Accesso iniziale |
SAP - Più accessi per utente | Identifica gli accessi dello stesso utente da diversi terminali entro l'intervallo di tempo pianificato. Disponibile solo tramite il metodo Audit SAL, per le versioni SAP 7.5 e successive. |
Accedere usando lo stesso utente, usando indirizzi IP diversi. Origini dati: SAPcon - Log di controllo |
Pre-attacco, accesso alle credenziali, accesso iniziale, raccolta Caso d'uso secondario: Persistenza |
SAP - Informativo - Ciclo di vita - Le note SAP sono state implementate nel sistema | Identifica l'implementazione della nota SAP nel sistema. | Implementare una nota SAP usando SNOTE/TCI. Origini dati: SAPcon - Richieste di modifica |
- |
SAP - (anteprima) AS JAVA - Utente con privilegi sensibili connesso | Identifica un accesso da una rete imprevista. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Utenti con privilegi. |
Accedere al sistema back-end usando utenti con privilegi. Origini dati: SAPJAVAFilesLog |
Accesso iniziale |
SAP - (anteprima) AS JAVA - Accesso da una rete imprevista | Identifica gli accessi da una rete imprevista. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Networks . |
Accedere al sistema back-end da un indirizzo IP non assegnato a una delle reti nell'elenco di controllo SAP - Networks Origini dati: SAPJAVAFilesLog |
Accesso iniziale, evasione della difesa |
Esfiltrazione di dati
Nome regola | Descrizione | Azione di origine | Tattiche |
---|---|---|---|
SAP - FTP per server non autorizzati | Identifica una connessione FTP per un server non autorizzato. | Creare una nuova connessione FTP, ad esempio usando il modulo funzione FTP_CONNECT. Origini dati: SAPcon - Log di controllo |
Individuazione, accesso iniziale, comando e controllo |
SAP - Configurazione dei server FTP non sicuri | Identifica le configurazioni non sicure del server FTP, ad esempio quando un elenco di elementi consentiti FTP è vuoto o contiene segnaposto. | Non mantenere o mantenere i valori che contengono segnaposto nella SAPFTP_SERVERS tabella, usando la SAPFTP_SERVERS_V visualizzazione di manutenzione. (SM30) Origini dati: SAPcon - Log di controllo |
Accesso iniziale, comando e controllo |
SAP - Download di più file | Identifica più download di file per un utente entro un intervallo di tempo specifico. | Scaricare più file usando SAPGui per Excel, elenchi e così via. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
SAP - Esecuzioni multiple di Spool | Identifica più spool per un utente all'interno di un intervallo di tempo specifico. | Creare ed eseguire più processi di spooling di qualsiasi tipo da parte di un utente. (SP01) Origini dati: SAPcon - Log Spool, SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
SAP - Esecuzioni di output multiple Spool | Identifica più spool per un utente all'interno di un intervallo di tempo specifico. | Creare ed eseguire più processi di spooling di qualsiasi tipo da parte di un utente. (SP01) Origini dati: SAPcon - Log di output Spool, SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
SAP - Accesso diretto alle tabelle sensibili tramite accesso RFC | Identifica l'accesso a una tabella generica dall'accesso RFC. Gestire le tabelle nell'elenco di controllo SAP - Tabelle sensibili. Rilevante solo per i sistemi di produzione. |
Aprire il sommario usando SE11/SE16/SE16N. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
SAP - Acquisizione di Spool | Identifica un utente che stampa una richiesta di spooling creata da un altro utente. | Creare una richiesta di spooling usando un utente e quindi restituirla usando un utente diverso. Origini dati: SAPcon - Log Spool, SAPcon - Log di output Spool, SAPcon - Log di controllo |
Raccolta, esfiltrazione, comando e controllo |
SAP - Destinazione RFC dinamica | Identifica l'esecuzione di RFC usando destinazioni dinamiche. Caso d'uso secondario: tentativi di ignorare i meccanismi di sicurezza SAP |
Eseguire un report ABAP che usa destinazioni dinamiche (cl_dynamic_destination). Ad esempio, DEMO_RFC_DYNAMIC_DEST. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione |
SAP - Accesso diretto alle tabelle sensibili per accesso alla finestra di dialogo | Identifica l'accesso generico alle tabelle tramite l'accesso alla finestra di dialogo. | Aprire il contenuto del sommario usando SE11 SE16N /SE16 /. Origini dati: SAPcon - Log di controllo |
Individuazione |
SAP - (anteprima) File scaricato da un indirizzo IP dannoso | Identifica il download di un file da un sistema SAP usando un indirizzo IP noto come dannoso. Gli indirizzi IP dannosi vengono ottenuti dai servizi di intelligence sulle minacce. | Scaricare un file da un indirizzo IP dannoso. Origini dati: log di controllo della sicurezza SAP, Intelligence per le minacce |
Esfiltrazione |
SAP - (anteprima) Dati esportati da un sistema di produzione tramite un trasporto | Identifica l'esportazione dei dati da un sistema di produzione usando un trasporto. I trasporti vengono usati nei sistemi di sviluppo e sono simili alle richieste pull. Questa regola di avviso attiva eventi imprevisti con gravità media quando un trasporto che include i dati di qualsiasi tabella viene rilasciato da un sistema di produzione. La regola crea un evento imprevisto di gravità elevata quando l'esportazione include dati da una tabella sensibile. | Rilasciare un trasporto da un sistema di produzione. Origini dati: log SAP CR, SAP - Tabelle sensibili |
Esfiltrazione |
SAP - (anteprima) Dati sensibili salvati in un'unità USB | Identifica l'esportazione dei dati SAP tramite file. La regola verifica la presenza di dati salvati in un'unità USB montata di recente in prossimità di un'esecuzione di una transazione sensibile, di un programma sensibile o di accesso diretto a una tabella sensibile. | Esportare i dati SAP tramite file e salvarli in un'unità USB. Origini dati: log di controllo della sicurezza SAP, DeviceFileEvents (Microsoft Defender per endpoint), SAP - Tabelle sensibili, SAP - Transazioni sensibili, SAP - Programmi sensibili |
Esfiltrazione |
SAP - (anteprima) Stampa di dati potenzialmente sensibili | Identifica una richiesta o la stampa effettiva di dati potenzialmente sensibili. I dati sono considerati sensibili se l'utente ottiene i dati come parte di una transazione sensibile, l'esecuzione di un programma sensibile o l'accesso diretto a una tabella sensibile. | Stampare o richiedere di stampare dati sensibili. Origini dati: log di controllo della sicurezza SAP, log di Spool SAP, SAP - Tabelle sensibili, SAP - Programmi sensibili |
Esfiltrazione |
SAP - (anteprima) Volume elevato di dati potenzialmente sensibili esportati | Identifica l'esportazione di un volume elevato di dati tramite file in prossimità di un'esecuzione di una transazione sensibile, un programma sensibile o l'accesso diretto a una tabella sensibile. | Esportare un volume elevato di dati tramite file. Origini dati: log di controllo della sicurezza SAP, SAP - Tabelle sensibili, SAP - Transazioni sensibili, SAP - Programmi sensibili |
Esfiltrazione |
Persistenza
Nome regola | Descrizione | Azione di origine | Tattiche |
---|---|---|---|
SAP - Attivazione o disattivazione del servizio ICF | Identifica l'attivazione o la disattivazione dei servizi ICF. | Attivare un servizio tramite SICF. Origini dati: SAPcon - Log dati tabella |
Comando e controllo, spostamento laterale, persistenza |
SAP - Modulo funzione testato | Identifica il test di un modulo di funzione. | Testare un modulo di funzione usando SE37 / SE80 . Origini dati: SAPcon - Log di controllo |
Raccolta, evasione della difesa, movimento laterale |
SAP - (ANTEPRIMA) DATABASE HANA - Azioni di amministratore utente | Identifica le azioni di amministrazione degli utenti. | Creare, aggiornare o eliminare un utente del database. Origini dati: Agente Linux - Syslog* |
Escalation dei privilegi |
SAP - Nuovi gestori del servizio ICF | Identifica la creazione di gestori ICF. | Assegnare un nuovo gestore a un servizio usando SICF. Origini dati: SAPcon - Log di controllo |
Comando e controllo, spostamento laterale, persistenza |
SAP - Nuovi servizi ICF | Identifica la creazione di ICF Services. | Creare un servizio usando SICF. Origini dati: SAPcon - Log dati tabella |
Comando e controllo, spostamento laterale, persistenza |
SAP - Esecuzione di un modulo funzione obsoleto o non sicuro | Identifica l'esecuzione di un modulo di funzione ABAP obsoleto o non sicuro. Mantenere le funzioni obsolete nell'elenco di controllo SAP - Obsolete Function Modules . Assicurarsi di attivare le modifiche di registrazione delle tabelle per la EUFUNC tabella nel back-end. (SE13)Rilevante solo per i sistemi di produzione. |
Eseguire un modulo di funzione obsoleto o non sicuro direttamente tramite SE37. Origini dati: SAPcon - Log dati tabella |
Individuazione, comando e controllo |
SAP - Esecuzione di un programma obsoleto/non sicuro | Identifica l'esecuzione di un programma ABAP obsoleto o non sicuro. Gestire programmi obsoleti nell'elenco di controllo SAP - Programmi obsoleti. Rilevante solo per i sistemi di produzione. |
Eseguire un programma direttamente usando SE38/SA38/SE80 o usando un processo in background. Origini dati: SAPcon - Log di controllo |
Individuazione, comando e controllo |
SAP - Modifiche multiple delle password da parte dell'utente | Identifica più modifiche alla password da parte dell'utente. | Modificare la password utente Origini dati: SAPcon - Log di controllo |
Accesso tramite credenziali |
SAP - (anteprima) AS JAVA - L'utente crea e usa un nuovo utente | Identifica la creazione o la manipolazione degli utenti da parte degli amministratori all'interno dell'ambiente Java DI SAP AS. | Accedere al sistema back-end usando gli utenti creati o modificati. Origini dati: SAPJAVAFilesLog |
Persistenza |
Tentativi di ignorare i meccanismi di sicurezza SAP
Nome regola | Descrizione | Azione di origine | Tattiche |
---|---|---|---|
SAP - Modifica della configurazione client | Identifica le modifiche per la configurazione client, ad esempio il ruolo client o la modalità di registrazione delle modifiche. | Eseguire modifiche alla configurazione del client usando il codice della SCC4 transazione. Origini dati: SAPcon - Log di controllo |
Evasione di difesa, esfiltrazione, persistenza |
SAP - I dati sono stati modificati durante l'attività di debug | Identifica le modifiche per i dati di runtime durante un'attività di debug. Caso d'uso secondario: Persistenza |
1. Attivare il debug ("/h"). 2. Selezionare un campo per modificare e aggiornarne il valore. Origini dati: SAPcon - Log di controllo |
Esecuzione, spostamento laterale |
SAP - Disattivazione del log di controllo della sicurezza | Identifica la disattivazione del log di controllo di sicurezza, | Disabilitare il log di controllo di sicurezza usando SM19/RSAU_CONFIG . Origini dati: SAPcon - Log di controllo |
Esfiltrazione, evasione della difesa, persistenza |
SAP - Esecuzione di un programma ABAP sensibile | Identifica l'esecuzione diretta di un programma ABAP sensibile. Gestire i programmi ABAP nell'elenco di controllo SAP - Sensitive ABAP Programs ( Programmi ABAP sensibili). |
Eseguire un programma direttamente usando SE38 //SA38 SE80 . Origini dati: SAPcon - Log di controllo |
Esfiltrazione, spostamento laterale, esecuzione |
SAP - Esecuzione di un codice di transazione sensibile | Identifica l'esecuzione di un codice di transazione sensibile. Gestire i codici delle transazioni nell'elenco di controllo SAP - Codici transazioni sensibili. |
Eseguire un codice di transazione sensibile. Origini dati: SAPcon - Log di controllo |
Individuazione, esecuzione |
SAP - Esecuzione del modulo di funzione sensibile | Identifica l'esecuzione di un modulo di funzione ABAP sensibile. Caso d'uso secondario: Persistenza Rilevante solo per i sistemi di produzione. Mantenere le funzioni sensibili nell'elenco di controllo SAP - Sensitive Function Modules e assicurarsi di attivare le modifiche di registrazione delle tabelle nel back-end per la tabella EUFUNC. (SE13) |
Eseguire un modulo di funzione sensibile direttamente usando SE37. Origini dati: SAPcon - Log dati tabella |
Individuazione, comando e controllo |
SAP - (ANTEPRIMA) DATABASE HANA - Modifiche ai criteri audit trail | Identifica le modifiche per i criteri di audit trail del database HANA. | Creare o aggiornare i criteri di controllo esistenti nelle definizioni di sicurezza. Origini dati: Agente Linux - Syslog |
Movimento laterale, evasione della difesa, persistenza |
SAP - (ANTEPRIMA) DATABASE HANA - Disattivazione degli audit trail | Identifica la disattivazione del log di controllo del database HANA. | Disattivare il log di controllo nella definizione di sicurezza del database HANA. Origini dati: Agente Linux - Syslog |
Persistenza, movimento laterale, evasione della difesa |
SAP - Esecuzione remota non autorizzata di un modulo di funzione sensibile | Rileva esecuzioni non autorizzate di macchine virtuali sensibili confrontando l'attività con il profilo di autorizzazione dell'utente ignorando le autorizzazioni modificate di recente. Gestire i moduli di funzione nell'elenco di controllo SAP - Sensitive Function Modules .Maintain function modules in the SAP - Sensitive Function Modules watchlist. |
Eseguire un modulo di funzione usando RFC. Origini dati: SAPcon - Log di controllo |
Esecuzione, spostamento laterale, individuazione |
SAP - Modifica della configurazione del sistema | Identifica le modifiche per la configurazione di sistema. | Adattare le opzioni di modifica del sistema o la modifica del componente software usando il codice della SE06 transazione.Origini dati: SAPcon - Log di controllo |
Esfiltrazione, evasione della difesa, persistenza |
SAP - Attività di debug | Identifica tutte le attività correlate al debug. Caso d'uso secondario: Persistenza |
Attivare debug ("/h") nel sistema, eseguire il debug di un processo attivo, aggiungere un punto di interruzione al codice sorgente e così via. Origini dati: SAPcon - Log di controllo |
Individuazione |
SAP - Modifica della configurazione del log di controllo della sicurezza | Identifica le modifiche nella configurazione del log di controllo di sicurezza | Modificare qualsiasi configurazione del log di controllo di sicurezza usando SM19 /RSAU_CONFIG , ad esempio i filtri, lo stato, la modalità di registrazione e così via. Origini dati: SAPcon - Log di controllo |
Persistenza, esfiltrazione, evasione della difesa |
SAP - La transazione è sbloccata | Identifica lo sblocco di una transazione. | Sbloccare un codice di transazione usando SM01 SM01_CUS /SM01_DEV /. Origini dati: SAPcon - Log di controllo |
Persistenza, esecuzione |
SAP - Programma ABAP dinamico | Identifica l'esecuzione della programmazione ABAP dinamica. Ad esempio, quando il codice ABAP è stato creato, modificato o eliminato dinamicamente. Gestire i codici delle transazioni esclusi nell'elenco di controllo SAP - Transactions for ABAP Generations . |
Creare un report ABAP che usa i comandi di generazione del programma ABAP, ad esempio INSERT REPORT, e quindi eseguire il report. Origini dati: SAPcon - Log di controllo |
Individuazione, comando e controllo, impatto |
Operazioni con privilegi sospetti
Nome regola | Descrizione | Azione di origine | Tattiche |
---|---|---|---|
SAP - Modifica dell'utente con privilegi sensibili | Identifica le modifiche degli utenti con privilegi sensibili. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Utenti con privilegi. |
Modificare i dettagli utente/autorizzazioni usando SU01 . Origini dati: SAPcon - Log di controllo |
Escalation dei privilegi, accesso alle credenziali |
SAP - (ANTEPRIMA) DATABASE HANA - Assegnare autorizzazioni di amministratore | Identifica i privilegi di amministratore o l'assegnazione di ruolo. | Assegnare un utente con qualsiasi ruolo di amministratore o privilegi. Origini dati: Agente Linux - Syslog |
Escalation dei privilegi |
SAP - Utente con privilegi sensibili connesso | Identifica l'accesso alla finestra di dialogo di un utente con privilegi sensibili. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Utenti con privilegi. |
Accedere al sistema back-end usando SAP* o un altro utente con privilegi. Origini dati: SAPcon - Log di controllo |
Accesso iniziale, accesso alle credenziali |
SAP : l'utente con privilegi sensibili apporta una modifica in un altro utente | Identifica le modifiche degli utenti sensibili e con privilegi in altri utenti. | Modificare i dettagli utente/autorizzazioni usando SU01. Origini dati: SAPcon - Log di controllo |
Escalation dei privilegi, accesso alle credenziali |
SAP - Modifica e accesso delle password degli utenti sensibili | Identifica le modifiche delle password per gli utenti con privilegi. | Modificare la password per un utente con privilegi e accedere al sistema. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Utenti con privilegi. Origini dati: SAPcon - Log di controllo |
Impatto, comando e controllo, escalation dei privilegi |
SAP : l'utente crea e usa un nuovo utente | Identifica un utente che crea e usa altri utenti. Caso d'uso secondario: Persistenza |
Creare un utente usando SU01 e quindi accedere usando l'utente appena creato e lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo |
Individuazione, pre-attacco, accesso iniziale |
SAP - User Unlocks and uses other users | Identifica un utente sbloccato e usato da altri utenti. Caso d'uso secondario: Persistenza |
Sbloccare un utente usando SU01 e quindi accedere usando l'utente sbloccato e lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo, SAPcon - Log delle modifiche dei documenti |
Individuazione, pre-attacco, accesso iniziale, spostamento laterale |
SAP - Assegnazione di un profilo sensibile | Identifica le nuove assegnazioni di un profilo sensibile a un utente. Mantenere i profili sensibili nell'elenco di controllo SAP - Profili sensibili. |
Assegnare un profilo a un utente usando SU01 . Origini dati: SAPcon - Log delle modifiche dei documenti |
Escalation dei privilegi |
SAP - Assegnazione di un ruolo sensibile | Identifica le nuove assegnazioni per un ruolo sensibile a un utente. Mantenere i ruoli sensibili nell'elenco di controllo SAP - Ruoli sensibili. |
Assegnare un ruolo a un utente usando SU01 / PFCG . Origini dati: SAPcon - Log di modifica documenti, Log di controllo |
Escalation dei privilegi |
Assegnazione di autorizzazioni critiche SAP - (ANTEPRIMA) - Nuovo valore di autorizzazione | Identifica l'assegnazione di un valore dell'oggetto di autorizzazione critico a un nuovo utente. Mantenere gli oggetti di autorizzazione critici nell'elenco di controllo SAP - Critical Authorization Objects . |
Assegnare un nuovo oggetto di autorizzazione o aggiornare uno esistente in un ruolo usando PFCG . Origini dati: SAPcon - Log delle modifiche dei documenti |
Escalation dei privilegi |
Assegnazione di autorizzazioni sap - Critica - Nuova assegnazione utente | Identifica l'assegnazione di un valore dell'oggetto di autorizzazione critico a un nuovo utente. Mantenere gli oggetti di autorizzazione critici nell'elenco di controllo SAP - Critical Authorization Objects . |
Assegnare un nuovo utente a un ruolo che contiene valori di autorizzazione critici, usando SU01 /PFCG . Origini dati: SAPcon - Log delle modifiche dei documenti |
Escalation dei privilegi |
SAP - Modifiche ai ruoli sensibili | Identifica le modifiche nei ruoli sensibili. Mantenere i ruoli sensibili nell'elenco di controllo SAP - Ruoli sensibili. |
Modificare un ruolo usando PFCG. Origini dati: SAPcon - Log delle modifiche dei documenti, SAPcon - Log di controllo |
Impatto, escalation dei privilegi, persistenza |
Elenchi di controllo disponibili
Nella tabella seguente sono elencate le watchlist disponibili per la soluzione Microsoft Sentinel per le applicazioni SAP e i campi in ogni watchlist.
Questi watchlist forniscono la configurazione per la soluzione Microsoft Sentinel per le applicazioni SAP. Gli elenchi di controllo SAP sono disponibili nel repository GitHub di Microsoft Sentinel.
Nome elenco di controllo | Descrizione e campi |
---|---|
SAP - Oggetti di autorizzazione critici | Oggetto Authorizations critico, in cui devono essere regolate le assegnazioni. - AuthorizationObject: oggetto di autorizzazione SAP, ad esempio S_DEVELOP , S_TCODE o Table TOBJ - AuthorizationField: campo di autorizzazione SAP, ad esempio OBJTYP o TCD - AuthorizationValue: valore del campo di autorizzazione SAP, ad esempio DEBUG - ActivityField : campo attività SAP. Per la maggior parte dei casi, questo valore è ACTVT . Per gli oggetti Authorizations senza un'attività o con solo un campo Activity, compilato con NOT_IN_USE . - Attività: attività SAP, in base all'oggetto di autorizzazione, ad esempio: : 01 Create; 02 : Change; 03 : Display e così via. - Descrizione: una descrizione significativa dell'oggetto autorizzazione critica. |
SAP - Reti escluse | Per la manutenzione interna delle reti escluse, ad esempio ignorare i dispatcher Web, i server terminal e così via. -Rete: un indirizzo IP o un intervallo di rete, ad esempio 111.68.128.0/17 . -Descrizione: una descrizione di rete significativa. |
Utenti esclusi da SAP | Gli utenti di sistema che hanno eseguito l'accesso al sistema e devono essere ignorati. Ad esempio, avvisi per più accessi da parte dello stesso utente. - Utente: utente SAP -Descrizione: descrizione significativa dell'utente. |
SAP - Reti | Reti interne e di manutenzione per l'identificazione di account di accesso non autorizzati. - Rete: indirizzo IP o intervallo di rete, ad esempio 111.68.128.0/17 - Descrizione: una descrizione di rete significativa. |
SAP - Utenti con privilegi | Utenti con privilegi con restrizioni aggiuntive. - Utente: utente ABAP, ad esempio DDIC o SAP - Descrizione: descrizione significativa dell'utente. |
SAP - Programmi ABAP sensibili | Programmi ABAP sensibili (report), dove l'esecuzione deve essere governata. - ABAPProgram: programma o report ABAP, ad esempio RSPFLDOC - Descrizione: una descrizione significativa del programma. |
SAP - Modulo funzione sensibile | Reti interne e di manutenzione per l'identificazione di account di accesso non autorizzati. - FunctionModule: modulo di funzione ABAP, ad esempio RSAU_CLEAR_AUDIT_LOG - Descrizione: una descrizione significativa del modulo. |
SAP - Profili sensibili | Profili sensibili, in cui devono essere regolate le assegnazioni. - Profilo: profilo di autorizzazione SAP, ad esempio SAP_ALL o SAP_NEW - Descrizione: una descrizione significativa del profilo. |
SAP - Tabelle sensibili | Tabelle sensibili, in cui l'accesso deve essere regolato. - Tabella: tabella del dizionario ABAP, ad esempio USR02 o PA008 - Descrizione: descrizione significativa della tabella. |
SAP - Ruoli sensibili | Ruoli sensibili, in cui l'assegnazione deve essere governata. - Ruolo: ruolo di autorizzazione SAP, ad esempio SAP_BC_BASIS_ADMIN - Descrizione: una descrizione significativa del ruolo. |
SAP - Transazioni sensibili | Transazioni sensibili in cui deve essere disciplinata l'esecuzione. - TransactionCode: codice di transazione SAP, ad esempio RZ11 - Descrizione: descrizione significativa del codice. |
SAP - Sistemi | Descrive il panorama dei sistemi SAP in base al ruolo, all'utilizzo e alla configurazione. - SystemID: ID sistema SAP (SYSID) - SystemRole: ruolo del sistema SAP, uno dei valori seguenti: Sandbox , Development , Quality Assurance , Training Production - SystemUsage: utilizzo del sistema SAP, uno dei valori seguenti: ERP , BW , Solman , Gateway Enterprise Portal - InterfaceAttributes: parametro dinamico facoltativo da usare nei playbook. |
SAPSystemParameters | Parametri da controllare per verificare le modifiche di configurazione sospette. Questo watchlist viene precompilato con i valori consigliati (in base alla procedura consigliata sap) ed è possibile estendere l'elenco di controllo per includere più parametri. Se non si desidera ricevere avvisi per un parametro, impostare su EnableAlerts false .- ParameterName: nome del parametro. - Commento: Descrizione del parametro standard SAP. - EnableAlerts: definisce se abilitare gli avvisi per questo parametro. I valori sono true e false .- Opzione: definisce nel qual caso attivare un avviso: se il valore del parametro è maggiore o uguale ( GE ), minore o uguale (LE ) o uguale (EQ )Ad esempio, se il login/fails_to_user_lock parametro SAP è impostato su LE (minore o uguale) e un valore pari 5 a , dopo che Microsoft Sentinel rileva una modifica a questo parametro specifico, confronta il valore appena segnalato e il valore previsto. Se il nuovo valore è 4 , Microsoft Sentinel non attiva un avviso. Se il nuovo valore è 6 , Microsoft Sentinel attiva un avviso.- ProductionSeverity: gravità dell'evento imprevisto per i sistemi di produzione. - ProductionValues: valori consentiti per i sistemi di produzione. - NonProdSeverity: gravità dell'evento imprevisto per i sistemi non di produzione. - NonProdValues: valori consentiti per i sistemi non di produzione. |
SAP - Utenti esclusi | Gli utenti di sistema che hanno eseguito l'accesso e devono essere ignorati, ad esempio per più accessi da parte dell'utente. - Utente: utente SAP - Descrizione: descrizione significativa dell'utente |
SAP - Reti escluse | Mantenere le reti interne escluse per ignorare i dispatcher Web, i server terminal e così via. - Rete: indirizzo IP o intervallo di rete, ad esempio 111.68.128.0/17 - Descrizione: Descrizione significativa della rete |
SAP - Moduli di funzione obsoleti | Moduli di funzione obsoleti, la cui esecuzione deve essere governata. - FunctionModule: modulo di funzione ABAP, ad esempio TH_SAPREL - Descrizione: Descrizione di un modulo di funzione significativo |
SAP - Programmi obsoleti | Programmi ABAP obsoleti (report), la cui esecuzione deve essere governata. - ABAPProgram:ABAP Program, ad esempio TH_ RSPFLDOC - Descrizione: Descrizione significativa del programma ABAP |
SAP - Transazioni per generazioni ABAP | Transazioni per generazioni ABAP le cui esecuzioni devono essere regolate. - TransactionCode: codice transazione, ad esempio SE11. - Descrizione: una descrizione significativa del codice di transazione |
SAP - Server FTP | Server FTP per l'identificazione di connessioni non autorizzate. - Client: ad esempio 100. - FTP_Server_Name: nome del server FTP, ad esempio http://contoso.com/ -FTP_Server_Port:porta server FTP, ad esempio 22. - Descrizione Descrizione Diun server FTP significativo |
SAP_Dynamic_Audit_Log_Monitor_Configuration | Configurare gli avvisi del log di controllo SAP assegnando a ogni ID messaggio un livello di gravità, come richiesto dall'utente, per ogni ruolo di sistema (produzione, non produzione). Questo watchlist descrive in dettaglio tutti gli ID dei messaggi del log di controllo standard SAP disponibili. L'elenco di controllo può essere esteso per contenere ID messaggi aggiuntivi che è possibile creare autonomamente usando miglioramenti ABAP nei sistemi SAP NetWeaver. Questo watchlist consente anche di configurare un team designato per gestire ogni tipo di evento ed escludere gli utenti dai ruoli SAP, dai profili SAP o dai tag dell'elenco di controllo SAP_User_Config . Questo watchlist è uno dei componenti principali usati per configurare le regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP. Per altre informazioni, vedere Monitorare il log di controllo SAP. - MessageID: ID messaggio SAP o tipo di evento, ad esempio AUD (modifiche al record master utente) o AUB (modifiche all'autorizzazione). - DetailedDescription: una descrizione abilitata per markdown da visualizzare nel riquadro degli eventi imprevisti. - ProductionSeverity: gravità desiderata per l'evento imprevisto da creare con per i sistemi High di produzione , Medium . Può essere impostato su Disabled . - NonProdSeverity: gravità desiderata per l'evento imprevisto da creare con per i sistemi High non di produzione , Medium . Può essere impostato su Disabled . - ProductionThreshold Conteggio "Per ora" degli eventi da considerare sospetti per i sistemi 60 di produzione. - NonProdThreshold Conteggio "Per ora" degli eventi da considerare sospetti per i sistemi 10 non di produzione. - RolesTagsToExclude: questo campo accetta il nome del ruolo SAP, i nomi dei profili SAP o i tag dall'elenco di controllo SAP_User_Config. Questi vengono quindi usati per escludere gli utenti associati da tipi di evento specifici. Vedere le opzioni per i tag di ruolo alla fine di questo elenco. - RuleType: usare Deterministic per il tipo di evento da inviare alla regola SAP - Dynamic Deterministic Audit Log Monitor (MONITORAGGIO log di controllo deterministico dinamico) o AnomaliesOnly per fare in modo che questo evento sia coperto dalla regola SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW). Per altre informazioni, vedere Monitorare il log di controllo SAP. - TeamsChannelID: parametro dinamico facoltativo da usare nei playbook. - DestinationEmail: parametro dinamico facoltativo da usare nei playbook. Per il campo RolesTagsToExclude : - Se si elencano i ruoli SAP o i profili SAP, questo esclude qualsiasi utente con i ruoli o i profili elencati da questi tipi di evento per lo stesso sistema SAP. Ad esempio, se si definisce il BASIC_BO_USERS ruolo ABAP per i tipi di eventi correlati AFC, gli utenti di Business Objects non attiveranno eventi imprevisti quando effettuano chiamate RFC di grandi dimensioni.- L'assegnazione di tag a un tipo di evento è simile alla specifica di ruoli o profili SAP, ma i tag possono essere creati nell'area di lavoro, in modo che i team SOC possano escludere gli utenti per attività senza dipendere dal team SAP BASIS. Ad esempio, agli ID messaggio di controllo AUB (modifiche di autorizzazione) e AUD (modifiche al record master utente) viene assegnato il MassiveAuthChanges tag. Gli utenti assegnati a questo tag vengono esclusi dai controlli per queste attività. L'esecuzione della funzione dell'area di lavoro SAPAuditLogConfigRecommend genera un elenco di tag consigliati da assegnare agli utenti, ad esempio Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist . |
SAP_User_Config | Consente di ottimizzare gli avvisi escludendo /inclusi gli utenti in contesti specifici e viene usato anche per configurare le regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP. Per altre informazioni, vedere Monitorare il log di controllo SAP. - SAPUser: l'utente SAP - Tag: i tag vengono usati per identificare gli utenti rispetto a determinate attività. Ad esempio, l'aggiunta dei tag ["GenericTablebyRFCOK"] all'utente SENTINEL_SRV impedirà la creazione di eventi imprevisti correlati a RFC per questo utente specifico Altri identificatori utente di Active Directory - Identificatore utente di ACTIVE Directory - Sid locale dell'utente - Nome entità utente |
Playbook disponibili
I playbook forniti dalla soluzione Microsoft Sentinel per le applicazioni SAP consentono di automatizzare i carichi di lavoro di risposta agli eventi imprevisti SAP, migliorando l'efficienza e l'efficacia delle operazioni di sicurezza.
Questa sezione descrive i playbook di analisi predefiniti forniti insieme alla soluzione Microsoft Sentinel per le applicazioni SAP.
Nome del playbook | Parametri | Connessioni |
---|---|---|
Risposta agli eventi imprevisti SAP - Bloccare l'utente da Teams - Basic | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
Risposta agli eventi imprevisti SAP - Bloccare l'utente da Teams - Avanzate | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Log di Monitoraggio di Azure - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
Risposta agli eventi imprevisti SAP - Riattivare la registrazione di controllo dopo la disattivazione | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Log di Monitoraggio di Azure - Microsoft Teams |
Le sezioni seguenti descrivono i casi d'uso di esempio per ognuno dei playbook forniti, in uno scenario in cui un evento imprevisto avvisa dell'attività sospetta in uno dei sistemi SAP, in cui un utente sta tentando di eseguire una di queste transazioni altamente sensibili.
Durante la fase di valutazione dell'evento imprevisto, si decide di intervenire contro questo utente, tirandolo fuori dai sistemi SAP ERP o BTP o anche da Microsoft Entra ID.
Per altre informazioni, vedere Automatizzare la risposta alle minacce con playbook in Microsoft Sentinel
Il processo per la distribuzione di app per la logica Standard è in genere più complesso rispetto alle app per la logica a consumo. È stata creata una serie di collegamenti che consentono di distribuirli rapidamente dal repository GitHub di Microsoft Sentinel. Per altre informazioni, vedere Guida dettagliata all'installazione.
Suggerimento
Guardare la cartella playbook SAP nel repository GitHub per altri playbook non appena diventano disponibili. È inoltre disponibile un breve video introduttivo (link esterno) per aiutare inizialmente.
Bloccare un utente da un singolo sistema
Creare una regola di automazione per richiamare l'utente blocca da Teams - Playbook di base ogni volta che viene rilevata un'esecuzione di transazioni sensibili da parte di un utente non autorizzato. Questo playbook usa la funzionalità delle schede adattive di Teams per richiedere l'approvazione prima di bloccare unilateralmente l'utente.
Per altre informazioni, vedere Da zero a copertura della sicurezza hero con Microsoft Sentinel per i segnali di sicurezza SAP critici- Mi sentirai SOAR! Parte 1 (post di blog SAP).
Il playbook Lock user from Teams - Basic è un playbook Standard e i playbook Standard sono in genere più complessi da distribuire rispetto ai playbook a consumo.
È stata creata una serie di collegamenti che consentono di distribuirli rapidamente dal repository GitHub di Microsoft Sentinel. Per altre informazioni, vedere Guida dettagliata all'installazione e Tipi di app per la logica supportati.
Bloccare un utente da più sistemi
Il playbook Blocca utente da Teams - Avanzata esegue lo stesso obiettivo, ma è progettato per scenari più complessi, consentendo l'uso di un unico playbook per più sistemi SAP, ognuno con il proprio SID SAP.
Il playbook Lock user from Teams - Advanced gestisce facilmente le connessioni a tutti questi sistemi e le relative credenziali usando il parametro dinamico facoltativo InterfaceAttributes nell'elenco di controllo SAP - Systems e Azure Key Vault.
Il playbook Lock user from Teams - Advanced consente anche di comunicare con le parti nel processo di approvazione usando i messaggi interattivi di Outlook insieme a Teams, usando i parametri TeamsChannelID e DestinationEmail nell'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration .
Per altre informazioni, vedere Da zero a copertura della sicurezza hero con Microsoft Sentinel per i segnali di sicurezza SAP critici - Parte 2 (post di blog SAP).
Impedire la disattivazione della registrazione di audit
È anche possibile preoccuparsi del log di controllo SAP, che è una delle origini dati di sicurezza, in fase di disattivazione. È consigliabile creare una regola di automazione basata sulla regola SAP - Deactivation of Security Audit Log Analytics per richiamare il playbook Riattivabile dopo aver disattivato il log di controllo SAP per assicurarsi che il log di controllo SAP non sia disattivato.
Il playbook SAP - Disattivazione del log di controllo della sicurezza usa anche Teams, informando il personale di sicurezza dopo il fatto. La gravità dell'offesa e l'urgenza della sua mitigazione indicano che l'azione immediata può essere intrapresa senza l'approvazione necessaria.
Poiché il playbook SAP - Deactivation of Security Audit Log usa anche Azure Key Vault per gestire le credenziali, la configurazione del playbook è simile a quella del playbook Blocca l'utente da Teams - Playbook avanzato . Per altre informazioni, vedere Da zero a copertura della sicurezza hero con Microsoft Sentinel per i segnali di sicurezza SAP critici - Parte 3 (post di blog SAP).
Contenuto correlato
Per altre informazioni, vedere Distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP.