SAP용 Microsoft Sentinel 인시던트 대응 플레이북

  • 아티클

이 문서에서는 SAP와 함께 Microsoft Sentinel의 SOAR(보안 오케스트레이션, 자동화 및 대응) 기능을 활용하는 방법을 설명합니다. 이 문서에서는 SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 포함된 특별히 빌드된 플레이북을 제공합니다. 이러한 플레이북을 사용하여 SAP 시스템의 의심스러운 사용자 활동에 자동으로 대응하고 SAP RISE, SAP ERP, SAP BTP(Business Technology Platform), Microsoft Entra ID에서 수정 작업을 자동화할 수 있습니다.

Microsoft Sentinel SAP 솔루션은 조직이 자체 SAP 환경을 보호할 수 있도록 역량을 강화합니다. Sentinel SAP 솔루션에 대한 자세한 개요는 다음 문서를 참조하세요.

솔루션에 이러한 플레이북을 추가하면 보안 이벤트를 실시간으로 모니터링하고 분석할 수 있을 뿐만 아니라 SAP 인시던트 대응 워크플로를 자동화하여 보안 운영의 효율과 효과를 향상시킬 수도 있습니다.

SAP® 애플리케이션용 Microsoft Sentinel 솔루션에는 다음 플레이북이 포함되어 있습니다.

  • SAP 인시던트 대응 - Teams에서 사용자 잠금 - 기본
  • SAP 인시던트 대응 - Teams에서 사용자 잠금 - 고급
  • SAP 인시던트 대응 - 비활성화된 후 다시 활성화 가능한 감사 로깅

사용 사례

조직의 SAP 환경을 방어하는 임무를 맡고 있습니다. SAP® 애플리케이션용 Microsoft Sentinel 솔루션을 구현했습니다. 솔루션의 분석 규칙 "SAP - 중요한 트랜잭션 코드 실행"을 사용하도록 설정했으며, 차단하려는 특정 트랜잭션 코드를 포함하도록 솔루션의 "중요한 트랜잭션" 관심 목록을 사용자 지정했을 수 있습니다. 인시던트가 SAP 시스템 중 하나에서 의심스러운 활동을 경고합니다. 사용자가 이러한 매우 중요한 트랜잭션 중 하나를 실행하려고 합니다. 이 인시던트에 대해 조사하고 대응해야 합니다.

심사 단계에서는 이 사용자에 대해 조치를 취하여 SAP ERP 또는 BTP 시스템 또는 Microsoft Entra ID에서 쫓아내기로 결정합니다.

단일 시스템에서 사용자 잠금

이 프로세스에 오케스트레이션 및 자동화를 적용하는 방법의 예로 권한 없는 사용자의 중요한 트랜잭션 실행이 감지될 때마다 Teams에서 사용자 잠금 - 기본 플레이북을 호출하는 자동화 규칙을 빌드해 보겠습니다. 이 플레이북은 Teams의 적응형 카드 기능을 사용하여 사용자를 일방적으로 차단하기 전에 승인을 요청합니다.

이 플레이북을 구성하는 방법에 대한 자세한 내용은 이 SAP 블로그 게시물을 참조하세요.

여러 시스템에서 사용자 잠금

Teams에서 사용자 잠금 - 고급 플레이북은 동일한 목표를 달성하지만 더 복잡한 시나리오를 위해 설계되어 각각 자체 SAP SID가 있는 여러 SAP 시스템에 단일 플레이북을 사용할 수 있습니다. 플레이북은 SAP - 시스템 관심 목록(SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 포함됨) 및 Azure Key Vault의 선택적 동적 매개 변수 InterfaceAttributes를 사용하여 이러한 모든 시스템에 대한 연결과 해당 자격 증명을 원활하게 관리합니다. 또한 플레이북을 사용하면 SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록의 TeamsChannelIDDestinationEmail 매개 변수를 사용하여 Teams 외에도 Outlook에서 실행 가능한 메시지를 사용하여 승인 프로세스에서 당사자와 통신할 수 있습니다.

이 플레이북 구성에 대한 자세한 내용, 특히 관심 목록의 동적 매개 변수를 사용하여 모든 SAP 시스템에 대한 연결을 관리하는 방법에 대한 자세한 내용은 이 SAP 블로그 게시물을 참조하세요.

감사 로깅 비활성화 방지

SAP 환경의 보안 적용 범위가 포괄적이고 중단 없이 유지되도록 보장하는 임무를 수행하는 경우 보안 정보 소스 중 하나인 SAP 감사 로그가 비활성화되는 것을 염려할 수 있습니다. 이러한 일이 발생하지 않도록 비활성화되면 감사 로깅 다시 활성화 플레이북을 호출하는 SAP - 보안 감사 로그 비활성화 분석 규칙을 기반으로 자동화 규칙을 구축하려고 합니다. 또한 이 플레이북은 Teams를 사용하지만 사후에 보안 담당자에게 알리는 용도로만 사용됩니다. 공격의 심각도와 위험 완화의 긴급성을 고려하여 승인 없이 즉각적인 조치를 취할 수 있기 때문입니다. 또한 이 플레이북은 Azure Key Vault를 사용하여 자격 증명을 관리하므로 플레이북의 구성은 이전 플레이북의 구성과 비슷합니다. 이 플레이북 및 해당 구성에 대한 자세한 내용은 이 SAP 블로그 게시물을 참조하세요.

표준 및 사용량 플레이북

Microsoft Sentinel을 사용하면 Azure Logic Apps의 사용량 플랜을 기반으로 플레이북을 사용하는 경우 템플릿에서 직접 이러한 플레이북의 인스턴스를 만들 수 있습니다. VNET(가상 네트워킹) 삽입 지원에 대한 특정 요구 사항이 있는 경우 사용량 논리 앱과 함께 여기에 설명된 대로Azure API 관리를 사용하거나 표준-플랜 논리 앱을 사용해야 합니다.

다양한 유형의 플레이북에 대한 전체 설명을 참조하세요. 또한 이 SAP 블로그 게시물을 참조하고 "Creating line of sight to your SAP system for the SOAP request"라는 제목 아래 표에서 각 유형의 논리 앱을 선택하는 파급 효과에 대해 알아보세요.

표준 논리 앱을 배포하는 프로세스는 일반적으로 사용량 논리 앱보다 더 복잡하지만 Microsoft Sentinel GitHub 리포지토리에서 신속하게 배포할 수 있는 일련의 바로 가기가 제공됩니다. 여기에 설명된 절차에 따라 플레이북을 배포합니다.

GitHub에서 현재 사용 가능한 표준 플레이북:

더 많은 플레이북을 사용할 수 있게 되면 GitHub 리포지토리의 SAP 플레이북 폴더를 살펴보세요. 시작하는 데 도움이 되는 짧은 소개 비디오(외부 링크)도 있습니다.

다음 단계

이 문서에서는 SAP® 애플리케이션용 Microsoft Sentinel 솔루션에서 사용할 수 있는 플레이북에 대해 알아보았습니다.