SAP® 애플리케이션용 Microsoft Sentinel 솔루션 - SAP -Security Audit 로그 및 초기 액세스 통합 문서
이 문서에서는 SAP 시스템 전반에서 사용자 감사 활동을 모니터링하고 추적하는 데 사용되는 SAP -Security Audit 로그 및 초기 액세스 통합 문서에 대해 설명합니다. 통합 문서를 사용하여 사용자 감사 활동에 대한 조감도를 얻고 SAP 시스템을 더 잘 보호하고 의심스러운 작업에 대한 빠른 가시성을 얻을 수 있습니다. 필요에 따라 의심스러운 이벤트로 드릴다운할 수 있습니다.
통합 문서를 사용하여 SAP 시스템의 지속적인 모니터링을 수행하거나 보안 인시던트 또는 기타 의심스러운 작업 후 시스템을 검토할 수 있습니다.
통합 문서 사용 시작
Microsoft Sentinel 포털의 위협 관리 메뉴에서 통합 문서를 선택합니다.
통합 문서 갤러리에서 템플릿으로 이동하여 검색 창에 SAP를 입력하고 결과 중에서 SAP -Security Audit 로그 및 초기 액세스를 선택합니다.
템플릿 보기를 선택하여 통합 문서를 있는 그대로 사용하거나, 저장을 선택하여 통합 문서의 편집 가능한 복사본을 만듭니다. 복사본을 만들 때 저장된 통합 문서 보기를 선택합니다.
Important
SAP -Security Audit 로그 및 초기 액세스 통합 문서는 SAP® 애플리케이션용 Microsoft Sentinel 솔루션이 설치된 작업 영역에서 호스팅됩니다. 기본적으로 SAP 및 SOC 데이터는 통합 문서를 호스트하는 작업 영역에 있는 것으로 간주됩니다.
SOC 데이터가 통합 문서를 호스팅하는 작업 영역과 다른 작업 영역에 있는 경우 해당 작업 영역에 대한 구독을 포함하고 Azure 감사 및 작업 작업 영역에서 SOC 작업 영역을 선택해야 합니다.
다음 필드를 선택하여 필요에 따라 데이터를 필터링합니다.
- 시간 범위. 4시간에서 90일까지입니다.
- 시스템 역할. SAP 시스템 역할(예: 개발).
- 시스템 사용량. 예: SAP GTS.
- SAP 시스템. 모든 시스템, 특정 시스템을 선택하거나 여러 시스템을 선택할 수 있습니다.
"SAP 시스템" 관심 목록에 구성되지 않은 시스템을 선택하면 통합 문서에 문제가 있는 시스템을 지정하는 오류가 표시됩니다. 이 경우 이러한 시스템을 올바르게 포함하도록 관심 목록을 구성합니다.
통합 문서 개요
통합 문서는 다음 두 개의 탭으로 구분됩니다.
- 로그온 분석 보고서입니다. 로그인 실패와 관련된 다양한 유형의 데이터를 표시합니다. 데이터에는 비정상적인 데이터, Microsoft Entra 데이터 등이 포함됩니다. 데이터는 "SAP 시스템" 관심 목록을 기반으로 합니다.
- 감사 로그 경고 보고서입니다. SAP 애플리케이션용 Microsoft Sentinel 솔루션이 감시하는 SAP® 감사 로그 이벤트와 관련된 다양한 유형의 데이터를 보여 줍니다. 데이터는 "SAP_Dynamic_Audit_Log_Monitor_Configuration" 관심 목록을 기반으로 합니다.
로그온 분석 보고서 탭
로그온 분석
사용자 로그인과 관련된 다양한 유형의 데이터를 표시합니다.
| 영역 | 설명 | Options |
|---|---|---|
| 시스템당 고유한 사용자 로그온 | 각 SAP 시스템의 고유 로그인 수와 각 시스템에 대해 선택한 시간에 대한 로그인 추세가 있는 그래프를 보여 줍니다. 예를 들어 012 시스템에는 지난 14일 동안 1.4K 고유 로그온 시도가 있으며, 이 14일 동안 그래프는 상대적으로 증가하는 로그인 추세를 보여 줍니다. | |
| 로그온 유형 추세 | 유형에 따른 로그인 수(예: 대화 상자를 통한 로그인)의 추세를 보여 줍니다. | 그래프를 마우스로 가리키면 다른 날짜에 대한 로그온 수를 표시할 수 있습니다. |
| 로그온 실패 및 고유한 사용자별 성공 - 추세 | 선택한 기간의 로그인 성공 및 실패 추세를 보여 줍니다. | 그래프를 마우스로 가리키면 여러 날짜에 성공한 로그인 및 실패한 로그인의 양을 표시할 수 있습니다. |
로그온 실패 - 변칙 검색
변칙 검색 아래 의 영역 - 시끄러운 실패한 로그인 시도를 필터링하면 SAP 시스템 및 사용자에 대한 로그인 실패 데이터가 표시됩니다. 변칙 검색에 의해 플래그가 지정된 데이터만 보려면 오른쪽에 있는 실패한 로그온 옆에 있는 변칙만 선택합니다.
| 영역 | 설명 | 특정 데이터 | 옵션/참고 사항 |
|---|---|---|---|
| 로그온 실패율>로그온 실패 변칙>SAP 시스템당 고유 사용자 실패 로그온 | 각 SAP 시스템에 대한 고유한 실패한 로그인 수를 표시합니다. | ||
| SAP와 Active Directory가 함께 더 좋습니다. | 비정상적인 로그인 실패 테이블에는 Microsoft Sentinel 및 Microsoft Entra 데이터의 조합이 표시됩니다. 통합 문서는 위험에 따라 사용자를 표시합니다. 가장 큰 위험을 나타내는 사용자는 목록 맨 위에 있으며 보안 위험이 적은 사용자는 맨 아래에 있습니다. | 각 사용자에 대해 다음을 표시합니다. • 실패한 로그인 시도 타임라인 • 비정상적인 시도가 발생한 시점을 보여 주는 타임라인 • 변칙 유형 • 사용자의 전자 메일 주소 • Microsoft Entra 위험 지표 • Microsoft Sentinel의 인시던트 및 경고 수 |
• 행을 선택하면 사용자에 대한 인시던트/경고 개요에서 해당 사용자의 경고 및 인시던트 목록을 볼 수 있습니다. 이 목록 아래에서는 Azure 감사에서 Microsoft Entra 위험 이벤트와 사용자에 대한 로그인 위험을 확인할 수도 있습니다. • Microsoft Entra 데이터가 다른 Log Analytics 작업 영역에 있는 경우 Azure 감사 및 활동에서 통합 문서의 맨 위에 있는 관련 구독 및 작업 영역을 선택해야 합니다. |
| 시스템당 로그온 실패율 | 선택한 SAP 시스템을 시각적으로 나타냅니다. | • 각 시스템에 대해 선택한 기간의 오류 수를 표시합니다. • 시스템은 유형별로 그룹화됩니다. • 시스템 색은 실패한 시도 횟수를 나타냅니다. 녹색은 몇 번의 의심스러운 로그온 시도를 나타내며, 빨간색은 더 의심스러운 로그온 시도를 나타냅니다. |
시스템을 선택하여 실패에 대한 세부 정보가 포함된 실패한 로그인 목록을 볼 수 있습니다. |
이 스크린샷에서는 비정상적인 로그인 실패 테이블에서 첫 번째 줄을 선택할 때 표시되는 데이터를 볼 수 있습니다 . 특정 경고 및 인시던트 URL은 사용자 테이블의 인시던트/경고 개요에 표시됩니다.
이 스크린샷 에서 사용자 테이블에 대한 Azure 감사 및 로그인 위험에는 이 사용자 와 관련된 로그인 위험에 대한 데이터가 표시됩니다.
이 스크린샷에서는 테스트 그룹 아래의 84e 시스템이 선택된 시스템 영역당 로그인 실패율을 확인할 수 있습니다. 오른쪽의 시스템 영역에 대한 실패한 로그온은 이 시스템에 대한 오류 이벤트를 표시합니다.
로그온 실패 - 추세
로그온 실패 추세 영역에는 다양한 유형의 데이터로 그룹화된 실패한 로그인의 추세와 수가 표시됩니다.
| 영역 | 설명 |
|---|---|
| 원인에 의한 로그인 실패 | 오류 원인(예: 잘못된 로그인 데이터)에 따른 로그인 실패 횟수의 추세를 보여 줍니다. |
| 유형별 로그인 실패 | 유형에 따라 로그인 실패 횟수의 추세를 보여 줍니다. 예를 들어 로그인이 백그라운드 작업을 트리거했거나 로그인이 HTTP를 통해 수행되었습니다. |
| 메서드별 로그인 실패 | 메서드에 따른 로그인 실패 횟수(예: SNC 또는 로그인 티켓)의 추세를 보여 줍니다. |
감사 로그 경고 보고서 탭
이 탭은 각 SAP 시스템 및 사용자의 심각도 및 감사 추세를 보여줍니다. 이 탭의 모든 영역에는 변칙 검색에 의해서만 플래그가 지정된 데이터가 표시됩니다. 모든 이벤트에 대해 오른쪽에 있는 실패한 로그온 옆에 있는 모두 선택
| 영역 | 설명 | 특정 데이터 | 옵션/참고 사항 |
|---|---|---|---|
| 시스템 ID당 경고 심각도 추세 | 시스템당 중간 및 높은 심각도 이벤트 추세 그래프를 사용하여 시스템 목록을 표시합니다. 예를 들어 012 시스템에는 전체 기간 동안 많은 심각도 이벤트가 있었고, 중간 정도의 심각도 이벤트가 급증하여 중간 심각도 이벤트가 몇 개 있었습니다. | ||
| 사용자당 감사 추세 | Microsoft Sentinel 및 Microsoft Entra 데이터의 조합을 표시합니다. 통합 문서에는 위험에 따라 사용자가 표시됩니다. 가장 큰 위험을 나타내는 사용자는 목록 맨 위에 있고 보안 위험이 적은 사용자는 맨 아래에 있습니다. | 각 사용자에 대해 다음을 표시합니다. • 심각도가 높고 중간인 이벤트의 타임라인 • 사용자의 전자 메일 주소 • Microsoft Entra 위험 지표 • Microsoft Sentinel의 인시던트 및 경고 수 |
행을 선택하면 사용자에 대한 인시던트/경고 개요에서 해당 사용자의 경고 및 인시던트 목록을 볼 수 있습니다. 이 목록 아래에서는 Azure 감사에서 Microsoft Entra 위험 이벤트와 사용자에 대한 로그인 위험을 확인할 수도 있습니다. |
| 시스템당 위험 점수 | 셀 셰이프의 각 시스템을 시각적으로 나타냅니다. | • 각 시스템의 위험 점수를 표시합니다. • 시스템은 유형별로 그룹화됩니다. • 시스템의 색은 위험을 나타냅니다. 녹색은 위험 점수가 낮은 시스템을 나타내며, 빨간색은 위험 점수가 더 높다는 것을 나타냅니다. |
시스템을 선택하여 시스템당 SAP 이벤트 목록을 볼 수 있습니다. |
| MITRE ATT&CK® 전술에 의한 이벤트 | 초기 액세스 또는 방어 회피와 같은 MITRE ATT&CK® 전술로 그룹화된 SAP 이벤트 목록을 표시합니다. | 그래프를 마우스로 가리키면 다른 날짜에 대한 로그인 수를 표시할 수 있습니다. | |
| 범주별 이벤트 | RFC 시작 또는 로그온과 같은 범주별로 그룹화된 SAP 이벤트 추세 목록을 표시합니다. | 그래프를 마우스로 가리키면 다른 날짜에 대한 로그인 번호를 표시할 수 있습니다. | |
| 권한 부여 그룹별 이벤트 | USER 또는 SUPER와 같은 SAP 권한 부여 그룹이 그룹화한 SAP 이벤트 추세 목록을 표시합니다. | 그래프를 마우스로 가리키면 다른 날짜에 대한 로그인 수를 표시할 수 있습니다. | |
| 사용자 유형별 이벤트 | 대화 상자 또는 시스템과 같이 SAP 사용자 유형별로 그룹화된 SAP 이벤트 추세 목록을 표시합니다. | 그래프를 마우스로 가리키면 다른 날짜에 대한 로그인 수를 표시할 수 있습니다. |
이 스크린샷에서는 사용자 테이블당 감사 추세에서 첫 번째 줄을 선택할 때 표시되는 데이터를 볼 수 있습니다. 특정 경고 및 인시던트 URL은 사용자 테이블의 인시던트/경고 개요에 표시됩니다.
이 스크린샷에서는 UAT 그룹 아래의 cb7 시스템이 선택된 시스템 영역당 위험 점수를 볼 수 있습니다. 시스템 시각화 아래의 시스템 영역에 대한 SAP 이벤트는 이 시스템의 SAP 이벤트를 보여 줍니다.
이 스크린샷에서는 MITRE ATT&CK® 전술, SAP 권한 부여 그룹 및 사용자 유형 등 다양한 유형의 데이터로 그룹화된 이벤트 및 이벤트 추세가 있는 영역을 볼 수 있습니다.
다음 단계
자세한 내용은 다음을 참조하세요.