SAP 감사 로그 모니터링 규칙 구성
SAP 감사 로그는 실패한 로그인 시도 또는 기타 의심스러운 작업과 같은 SAP 시스템에 대한 감사 및 보안 작업을 기록합니다. 이 문서에서는 Microsoft Sentinel 기본 제공 분석 규칙을 사용하여 SAP 감사 로그를 모니터링하는 방법을 설명합니다.
이러한 규칙을 사용하면 모든 감사 로그 이벤트를 모니터링하거나 변칙이 검색된 경우에만 경고를 받을 수 있습니다. 이렇게 하면 SAP 로그를 더 잘 관리하여 보안을 그대로 유지하면서 노이즈를 줄일 수 있습니다.
두 가지 분석 규칙을 사용하여 SAP 감사 로그 데이터를 모니터링하고 분석합니다.
- SAP - 동적 결정적 감사 로그 모니터(미리 보기). 최소한의 구성으로 모든 SAP 감사 로그 이벤트에 대해 경고합니다. 더 낮은 가양성 비율에 대해서도 규칙을 구성할 수 있습니다. 규칙 구성 방법에 대해 알아보세요.
- SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기). 변칙이 검색되면 코딩할 필요 없이 기계 학습 기능을 사용하여 SAP 감사 로그 이벤트에 대해 경고합니다. 규칙 구성 방법에 대해 알아보세요.
두 가지 SAP 감사 로그 모니터 규칙이 즉시 실행할 수 있는 상태로 제공되며, SAP_Dynamic_Audit_Log_Monitor_Configuration 및 SAP_User_Config 관심 목록을 사용하여 추가로 미세 조정할 수 있습니다.
이상 감지
SAP 감사 로그와 같은 다양한 활동 로그에서 보안 이벤트를 식별하려는 경우 구성 작업과 경고가 생성하는 노이즈 양의 균형을 유지해야 합니다.
SAP용 Sentinel 솔루션의 SAP 감사 로그 모듈을 사용하여 다음을 선택할 수 있습니다.
- 결정적으로 보려는 이벤트(미리 정의된 사용자 지정 임계값 및 필터 사용)
- 컴퓨터에서 매개 변수를 직접 학습할 수 있도록 무시하려는 이벤트.
변칙 검색을 위해 SAP 감사 로그 이벤트 유형에 표시하면 경고 엔진은 SAP 감사 로그에서 최근에 스트리밍된 이벤트를 확인합니다. 엔진은 학습한 기록을 고려하여 이벤트가 정상으로 보이는지 확인합니다.
Microsoft Sentinel은 이벤트 또는 이벤트 그룹에서 변칙을 검사합니다. 사용자 및 시스템 수준에서 이전에 확인된 동일한 종류의 활동과 일치하는 이벤트 또는 이벤트 그룹을 검색하려고 시도합니다. 알고리즘은 서브넷 마스크 수준에서 계절성에 따라 사용자의 네트워크 특성을 학습합니다.
이 기능을 사용하면 사용자 로그인 이벤트와 같이 이전에 해결된 이벤트 유형에서 변칙을 찾을 수 있습니다. 예를 들어 사용자 JohnDoe가 시간당 수백 번 로그인하는 경우 이제 Microsoft Sentinel에서 동작이 의심스러운지 여부를 결정하도록 할 수 있습니다. 이 회계 부서의 John은 여러 데이터 원본을 사용하여 재무 대시보드를 반복적으로 새로 고치거나 DDoS 공격이 발생하고 있나요?
변칙 검색을 위한 SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기) 규칙 설정
SAP 감사 로그 데이터가 아직 Microsoft Sentinel 작업 영역으로 데이터를 스트리밍하지 않는 경우 솔루션 배포 방법을 알아봅니다.
- Microsoft Sentinel 탐색 메뉴의 콘텐츠 관리에서 콘텐츠 허브(미리 보기)를 선택합니다.
- SAP 애플리케이션에 대한 지속적인 위협 모니터링에 업데이트가 있는지 확인합니다.
- 탐색 메뉴의 분석에서 다음 3개의 감사 로그 경고를 사용하도록 설정합니다.
- SAP - 동적 결정적 감사 로그 모니터. 10분마다 실행되며 결정적으로 표시된 SAP 감사 로그 이벤트에 중점을 둡니다.
- SAP - (미리 보기) 동적 변칙 기반 감사 로그 모니터 경고. 매시간 실행되며 AnomaliesOnly로 표시된 SAP 이벤트에 중점을 둡니다.
- SAP - 동적 보안 감사 로그 모니터의 구성 누락. 매일 실행되며 SAP 감사 로그 모듈에 대한 구성 권장 사항을 제공합니다.
이제 Microsoft Sentinel은 전체 SAP 감사 로그를 정기적으로 검사하여 결정적 보안 이벤트 및 변칙을 검사합니다. 이 로그가 인시던트 페이지에서 생성하는 인시던트를 볼 수 있습니다.
모든 기계 학습 솔루션과 마찬가지로 시간이 지남에 따라 성능이 향상됩니다. 변칙 검색은 7일 이상의 SAP 감사 로그 기록을 사용할 때 가장 잘 작동합니다.
SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록을 사용하여 이벤트 유형 구성
SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록을 사용하여 너무 많은 인시던트를 생성하는 이벤트 유형을 추가로 구성할 수 있습니다. 인시던트를 줄이기를 위한 몇 가지 옵션은 다음과 같습니다.
| 옵션 | 설명 |
|---|---|
| 심각도 설정 및 원치 않는 이벤트 사용 안 함 | 기본적으로 결정적 규칙과 변칙을 기준으로 하는 규칙은 모두 중간 및 높은 심각도로 표시된 이벤트에 대해 경고를 만듭니다. 특히 프로덕션 및 비프로덕션 환경에 대해 이러한 심각도를 설정할 수 있습니다. 예를 들어 프로덕션 시스템에서 디버깅 작업 이벤트를 높은 심각도로 설정하고 비프로덕션 시스템에서 해당 이벤트를 사용하지 않도록 설정할 수 있습니다. |
| SAP 역할 또는 SAP 프로필로 사용자 제외 | SAP용 Microsoft Sentinel은 SIEM에서 SAP 언어를 말할 수 있도록 직간접 역할 할당, 그룹 및 프로필을 포함하여 SAP 사용자의 권한 부여 프로필을 수집합니다. SAP 역할 및 프로필에 따라 사용자를 제외하도록 SAP 이벤트를 구성할 수 있습니다. 관심 목록에서 RFC별 일반 테이블 액세스 이벤트 옆에 있는 RolesTagsToExclude 열에서 RFC 인터페이스 사용자를 그룹화하는 역할 또는 프로필을 추가합니다. 이제부터 이러한 역할이 누락된 사용자에 대해서만 경고가 표시됩니다. |
| SOC 태그로 사용자 제외 | 태그를 사용하면 복잡한 SAP 정의에 의존하지 않고, SAP 권한 부여 없이도 고유한 그룹화 작업을 수행할 수 있습니다. 이 방법은 SAP 사용자를 위한 자체 그룹화를 만들려는 SOC 팀에 유용합니다. 개념적으로 태그로 사용자를 제외하는 것은 이름표처럼 작동합니다. 구성에서 여러 태그를 사용하여 여러 이벤트를 설정할 수 있습니다. 특정 이벤트와 연결된 태그가 있는 사용자에 대한 경고는 표시되지 않습니다. 예를 들어 특정 서비스 계정에 RFC별 일반 테이블 액세스 이벤트에 대해 경고를 표시하지 않을 수 있지만, 이러한 사용자를 그룹화하는 SAP 역할 또는 SAP 프로필을 찾을 수 없습니다. 이 경우 관심 목록의 관련 이벤트 옆에 GenTableRFCReadOK 태그를 추가한 다음, SAP_User_Config 관심 목록으로 이동하고 인터페이스 사용자에게 동일한 태그를 할당할 수 있습니다. |
| 이벤트 유형 및 시스템 역할별 빈도 임계값 지정 | 속도 제한처럼 작동합니다. 예를 들어 노이즈 사용자 마스터 레코드 변경 이벤트는 프로덕션 시스템의 동일한 사용자가 한 시간에 12개 이상의 활동을 관찰하는 경우에만 경고를 트리거하도록 결정할 수 있습니다. 사용자가 시간당 12개 제한(예: 10분 기간에 2개 이벤트)을 초과하면 인시던트가 트리거됩니다. |
| 결정성 또는 변칙 | 이벤트의 특성을 알고 있는 경우 결정적 기능을 사용할 수 있습니다. 이벤트를 올바르게 구성하는 방법을 잘 모르는 경우 기계 학습 기능으로 결정할 수 있습니다. |
| SOAR 기능 | Microsoft Sentinel을 사용하여 SAP 감사 로그 동적 경고에 적용할 수 있는 인시던트에 대해 추가로 오케스트레이션, 자동화 및 대응을 할 수 있습니다. SOAR(보안 오케스트레이션, 자동화 및 응답)에 대해 알아봅니다. |
다음 단계
이 문서에서는 Microsoft Sentinel 기본 제공 분석 규칙을 사용하여 SAP 감사 로그를 모니터링하는 방법을 알아보았습니다.