SAP® 애플리케이션용 Microsoft Sentinel 솔루션: 보안 콘텐츠 참조
이 문서에서는 SAP용 Microsoft Sentinel 솔루션에 사용할 수 있는 보안 콘텐츠에 대해 자세히 설명합니다.
Important
SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 GA에 있지만 일부 특정 구성 요소는 미리 보기에서 다시 기본. 이 문서는 아래 관련 섹션에서 미리 보기에 있는 구성 요소를 나타냅니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
사용 가능한 보안 콘텐츠에는 기본 제공 통합 문서 및 분석 규칙이 포함됩니다. 검색, 검색 규칙, 위협 헌팅 및 대응 플레이 북에 사용할 SAP 관련 관심 목록을 추가할 수도 있습니다.
기본 제공 통합 문서
다음 기본 제공 통합 문서를 사용하여 SAP 데이터 커넥터를 통해 수집된 데이터를 시각화하고 모니터링합니다. SAP 솔루션을 배포한 후 내 통합 문서 탭에서 SAP 통합 문서를 찾을 수 있습니다 .
| 통합 문서 이름 | 설명 | 로그 |
|---|---|---|
| SAP - 감사 로그 브라우저 | 다음과 같은 데이터를 표시합니다. - 시간 경과에 따른 사용자 로그인, 시스템에서 수집한 이벤트, 메시지 클래스 및 ID, ABAP 프로그램 실행을 비롯한 일반 시스템 상태 -시스템에서 발생하는 이벤트의 심각도 - 시스템에서 발생하는 인증 및 권한 부여 이벤트 |
다음 로그의 데이터를 사용합니다. ABAPAuditLog_CL |
| SAP 감사 컨트롤 | 다음을 수행할 수 있는 도구를 사용하여 선택한 제어 프레임워크를 준수하기 위해 SAP 환경의 보안 제어를 검사 수 있습니다. - 환경의 분석 규칙을 특정 보안 제어에 할당하고 패밀리를 제어합니다. - SAP 솔루션 기반 분석 규칙에 의해 생성된 인시던트 모니터링 및 분류 - 규정 준수에 대한 보고 |
다음 표의 데이터를 사용합니다. - SecurityAlert- SecurityIncident |
자세한 내용은 자습서: 데이터 시각화 및 모니터링 및 SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포를 참조하세요.
기본 제공 분석 규칙
정적 SAP 보안 매개 변수의 구성 모니터링(미리 보기)
SAP 시스템을 보호하기 위해 SAP는 변경 내용을 모니터링해야 하는 보안 관련 매개 변수를 식별했습니다. SAP 애플리케이션용 Microsoft Sentinel 솔루션은 "SAP - (미리 보기) 중요한 정적 매개 변수가 변경되었습니다" 규칙을 사용하여 Microsoft® Sentinel에 기본 제공되는 SAP 시스템의 52개 이상의 정적 보안 관련 매개 변수를 추적합니다.
참고 항목
SAP 애플리케이션용 Microsoft Sentinel 솔루션이 SAP® 보안 매개 변수를 성공적으로 모니터링하려면 솔루션이 정기적으로 SAP PAHI 테이블을 성공적으로 모니터링해야 합니다. 솔루션이 PAHI 테이블을 성공적으로 모니터링할 수 있는지 확인합니다.
시스템의 매개 변수 변경 내용을 이해하기 위해 SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 매시간 시스템 매개 변수에 대한 변경 내용을 기록하는 매개 변수 기록 테이블을 사용합니다.
매개 변수는 SAPSystemParameters 관심 목록에도 반영 됩니다. 이 관심 목록을 사용하면 사용자가 새 매개 변수를 추가하고, 기존 매개 변수를 사용하지 않도록 설정하고, 프로덕션 또는 비프로덕션 환경에서 매개 변수 및 시스템 역할당 값과 심각도를 수정할 수 있습니다.
이러한 매개 변수 중 하나가 변경되면 Microsoft Sentinel은 변경 내용이 보안과 관련된지, 권장 값에 따라 값이 설정되었는지 확인하기 위해 검사. 변경 내용이 안전 영역 외부로 의심되는 경우 Microsoft Sentinel은 변경 내용을 자세히 설명하는 인시던트를 만들고 변경한 사용자를 식별합니다.
이 규칙이 모니터링하는 매개 변수 목록을 검토합니다.
SAP 감사 로그 모니터링
SAP 감사 로그 데이터는 SAP 애플리케이션용 Microsoft Sentinel 솔루션®의 여러 분석 규칙에서 사용됩니다. 일부 분석 규칙은 로그에서 특정 이벤트를 찾는 반면, 다른 분석 규칙은 여러 로그의 표시를 상호 연결하여 충실도가 높은 경고 및 인시던트를 생성합니다.
또한 표준 SAP 감사 로그 이벤트(183개 이벤트)의 전체 세트를 수용하도록 설계된 두 가지 분석 규칙과 SAP 감사 로그를 사용하여 로그하도록 선택할 수 있는 다른 사용자 지정 이벤트가 있습니다.
두 SAP 감사 로그 모니터링 분석 규칙은 동일한 데이터 원본과 동일한 구성을 공유하지만 중요한 측면은 다릅니다. "SAP - 동적 결정적 감사 로그 모니터" 규칙에는 결정적 경고 임계값 및 사용자 제외 규칙이 필요하지만 " SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기)" 규칙은 추가 기계 학습 알고리즘을 적용하여 감독되지 않은 방식으로 백그라운드 노이즈를 필터링합니다. 이러한 이유로 기본적으로 SAP 감사 로그의 대부분의 이벤트 유형(또는 SAP 메시지 ID)은 "변칙 기반" 분석 규칙으로 전송되지만 이벤트 형식은 보다 쉽게 정의할 수 있는 결정적 분석 규칙으로 전송됩니다. 이 설정은 다른 관련 설정과 함께 모든 시스템 조건에 맞게 추가로 구성할 수 있습니다.
SAP - 동적 결정적 감사 로그 모니터
사용자 모집단, 이벤트 임계값 측면에서 결정적 정의가 있는 SAP 감사 로그 이벤트 유형의 전체 세트를 포괄하기 위한 동적 분석 규칙입니다.
- SAP_Dynamic_Audit_Log_Monitor_Configuration 관심 목록으로 규칙 구성
- 규칙 구성 방법에 대해 자세히 알아보기(전체 프로시저)
SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기)
정상적인 시스템 동작을 학습하고 비정상으로 간주되는 SAP 감사 로그에서 관찰된 활동에 대해 경고하도록 설계된 동적 분석 규칙입니다. 사용자 모집단, 네트워크 특성 및 임계값 측면에서 정의하기 어려운 SAP 감사 로그 이벤트 유형에 이 규칙을 적용합니다.
자세히 보기:
- SAP_Dynamic_Audit_Log_Monitor_Configuration 및 SAP_User_Config 관심 목록으로 규칙 구성
- 규칙 구성 방법에 대해 자세히 알아보기(전체 프로시저)
다음 표에는 Microsoft Sentinel Solutions 마켓플레이스에서 배포된 SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 포함된 기본 제공 분석 규칙이 나와 있습니다.
초기 액세스
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| SAP - 예기치 않은 네트워크에서 로그인 | 예기치 않은 네트워크에서 로그인을 식별합니다. SAP - 네트워크 관심 목록에서 네트워크를 유지 관리합니다. |
네트워크 중 하나에 할당되지 않은 IP 주소에서 백 엔드 시스템에 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
Initial Access |
| SAP - SPNego 공격 | SPNego 재생 공격을 식별합니다. | 데이터 원본: SAPcon - 감사 로그 | 영향, 횡적 이동 |
| SAP - 권한 있는 사용자의 대화 로그온 시도 | SAP 시스템의 권한 있는 사용자가 AUM 형식으로 대화 상자 로그인 시도를 식별합니다. 자세한 내용은 SAPUsersGetPrivileged를 참조하세요. | 예약된 시간 간격 내에 동일한 IP에서 여러 시스템 또는 클라이언트에 로그인을 시도합니다. 데이터 원본: SAPcon - 감사 로그 |
영향, 횡적 이동 |
| SAP - 무차별 암호 대입 공격 | RFC 로그온을 사용하여 SAP 시스템에 대한 무차별 암호 대입 공격(brute force attack)을 식별합니다. | RFC를 사용하여 예약된 시간 간격 내에 동일한 IP에서 여러 시스템/클라이언트로 로그인하려고 시도합니다. 데이터 원본: SAPcon - 감사 로그 |
자격 증명 액세스 |
| SAP - 동일한 IP에서 다중 로그온 | 예약된 시간 간격 내에 동일한 IP 주소에서 여러 사용자의 로그인을 식별합니다. 하위 사용 사례: 지속성 |
동일한 IP 주소를 통해 여러 사용자를 사용하여 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
Initial Access |
| SAP - 중간 - 사용자별 다중 로그온 | 예약된 시간 간격 내에 여러 터미널에서 동일한 사용자의 로그인을 식별합니다. SAP 버전 7.5 이상에 대해 Audit SAL 메서드를 통해서만 사용할 수 있습니다. |
다른 IP 주소를 사용하여 동일한 사용자를 사용하여 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
PreAttack, Credential Access, Initial Access, Collection 하위 사용 사례: 지속성 |
| SAP - 정보 - 수명 주기 - SAP Notes가 시스템에서 구현되었습니다. | 시스템의 SAP Note 구현을 식별합니다. | SNOTE/TCI를 사용하여 SAP Note를 구현합니다. 데이터 원본: SAPcon - 변경 요청 |
- |
데이터 반출
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| SAP - 권한이 없는 서버의 FTP | 권한이 없는 서버에 대한 FTP 연결을 식별합니다. | FTP_CONNECT 함수 모듈을 사용하는 등 새 FTP 연결을 만듭니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 초기 액세스, 명령 및 제어 |
| SAP - 안전하지 않은 FTP 서버 구성 | FTP 허용 목록이 비어 있거나 자리 표시자를 포함하는 경우와 같이 안전하지 않은 FTP 서버 구성을 식별합니다. | 기본 테넌트 뷰를 사용하여 SAPFTP_SERVERS_V 테이블에 자리 표시자를 SAPFTP_SERVERS 포함하는 값을 기본 또는 기본 지정하지 마세요. (SM30) 데이터 원본: SAPcon - 감사 로그 |
초기 액세스, 명령 및 제어 |
| SAP - 여러 파일 다운로드 | 특정 시간 범위 내의 사용자에 대한 여러 파일 다운로드를 식별합니다. | EXCEL용 SAPGui, 목록 등을 사용하여 여러 파일을 다운로드합니다. 데이터 원본: SAPcon - 감사 로그 |
컬렉션, 반출, 자격 증명 액세스 |
| SAP - 여러 스풀 실행 | 특정 시간 범위 내에서 사용자의 여러 스풀을 식별합니다. | 사용자가 모든 형식의 여러 스풀 작업을 만들고 실행합니다. (SP01) 데이터 원본: SAPcon - 스풀 로그, SAPcon - 감사 로그 |
컬렉션, 반출, 자격 증명 액세스 |
| SAP - 여러 스풀 출력 실행 | 특정 시간 범위 내에서 사용자의 여러 스풀을 식별합니다. | 사용자가 모든 형식의 여러 스풀 작업을 만들고 실행합니다. (SP01) 데이터 원본: SAPcon - 스풀 출력 로그, SAPcon - 감사 로그 |
컬렉션, 반출, 자격 증명 액세스 |
| SAP - RFC 로그온을 통해 중요한 표에 직접 액세스 | RFC 로그인을 통해 일반 테이블 액세스를 식별합니다. SAP - 중요한 테이블 관심 목록에서 테이블을 유지 관리합니다. 참고: 프로덕션 시스템에만 해당합니다. |
SE11/SE16/SE16N을 사용하여 테이블 내용을 엽니다. 데이터 원본: SAPcon - 감사 로그 |
컬렉션, 반출, 자격 증명 액세스 |
| SAP - 스풀 인수 | 다른 사용자가 만든 스풀 요청을 인쇄하는 사용자를 식별합니다. | 한 사용자를 사용하여 스풀 요청을 만든 다음 다른 사용자를 사용하여 출력합니다. 데이터 원본: SAPcon - 스풀 로그, SAPcon - 스풀 출력 로그, SAPcon - 감사 로그 |
컬렉션, 반출, 명령 및 제어 |
| SAP - 동적 RFC 대상 | 동적 대상을 사용하여 RFC의 실행을 식별합니다. 하위 사용 사례: SAP 보안 메커니즘을 바이패스하려고 시도합니다. |
동적 대상(cl_dynamic_destination)을 사용하는 ABAP 보고서를 실행합니다. 예를 들어 DEMO_RFC_DYNAMIC_DEST. 데이터 원본: SAPcon - 감사 로그 |
컬렉션, 반출 |
| SAP - 대화 로그온으로 중요한 테이블에 직접 액세스 | 대화 상자 로그인을 통해 일반 테이블 액세스를 식별합니다. | 를 사용하여 SE11//SE16SE16N테이블 내용을 엽니다. 데이터 원본: SAPcon - 감사 로그 |
검색 |
| SAP - (미리 보기) 악성 IP 주소에서 다운로드된 파일 | 악성으로 알려진 IP 주소를 사용하여 SAP 시스템에서 파일 다운로드를 식별합니다. 악의적인 IP 주소는 위협 인텔리전스 서비스에서 가져옵니다. | 악성 IP에서 파일을 다운로드합니다. 데이터 원본: SAP 보안 감사 로그, 위협 인텔리전스 |
반출 |
| SAP - (미리 보기) 전송을 사용하여 프로덕션 시스템에서 내보낸 데이터 | 전송을 사용하여 프로덕션 시스템에서 데이터 내보내기를 식별합니다. 전송은 개발 시스템에서 사용되며 끌어오기 요청과 유사합니다. 이 경고 규칙은 모든 테이블의 데이터를 포함하는 전송이 프로덕션 시스템에서 해제될 때 중간 심각도의 인시던트를 트리거합니다. 이 규칙은 내보내기가 중요한 테이블의 데이터를 포함할 때 심각도가 높은 인시던트를 만듭니다. | 프로덕션 시스템에서 전송을 해제합니다. 데이터 원본: SAP CR 로그, SAP - 중요한 테이블 |
반출 |
| SAP - (미리 보기) USB 드라이브에 저장된 중요한 데이터 | 파일을 통해 SAP 데이터의 내보내기 식별 이 규칙은 중요한 트랜잭션 실행, 중요한 프로그램 또는 중요한 테이블에 대한 직접 액세스와 근접하여 최근에 탑재된 USB 드라이브에 저장된 데이터에 대해 검사. | 파일을 통해 SAP 데이터를 내보내고 USB 드라이브에 저장합니다. 데이터 원본: SAP 보안 감사 로그, deviceFileEvents(엔드포인트용 Microsoft Defender), SAP - 중요한 테이블, SAP - 중요한 트랜잭션, SAP - 중요한 프로그램 |
반출 |
| SAP - (미리 보기) 잠재적으로 중요한 데이터의 인쇄 | 잠재적으로 중요한 데이터의 요청 또는 실제 인쇄를 식별합니다. 사용자가 중요한 트랜잭션의 일부로 데이터를 가져오거나, 중요한 프로그램을 실행하거나, 중요한 테이블에 직접 액세스하는 경우 데이터는 중요한 것으로 간주됩니다. | 중요한 데이터를 인쇄하거나 인쇄하도록 요청합니다. 데이터 원본: SAP 보안 감사 로그, SAP 스풀 로그, SAP - 중요한 테이블, SAP - 중요한 프로그램 |
반출 |
| SAP - (미리 보기) 잠재적으로 중요한 데이터의 대량 내보내기 | 중요한 트랜잭션 실행, 중요한 프로그램 또는 중요한 테이블에 대한 직접 액세스와 근접한 파일을 통해 대용량 데이터 내보내기를 식별합니다. | 파일을 통해 대량의 데이터를 내보냅니다. 데이터 원본: SAP 보안 감사 로그, SAP - 중요한 테이블, SAP - 중요한 트랜잭션, SAP - 중요한 프로그램 |
반출 |
지속성
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| SAP - ICF 서비스 활성화 또는 비활성화 | ICF 서비스의 활성화 또는 비활성화를 식별합니다. | SICF를 사용하여 서비스를 활성화합니다. 데이터 원본: SAPcon - 표 데이터 로그 |
명령 및 제어, 수평 이동, 지속성 |
| SAP - 함수 모듈이 테스트됨 | 함수 모듈의 테스트를 식별합니다. | SE37 / SE80을 사용하여 함수 모듈을 테스트합니다. 데이터 원본: SAPcon - 감사 로그 |
수집, 방어 회피, 횡적 이동 |
| SAP - (미리 보기) HANA DB - 사용자 관리 작업 | 사용자 관리 작업을 식별합니다. | 데이터베이스 사용자를 만들거나 업데이트하거나 삭제합니다. 데이터 원본: Linux 에이전트 - Syslog* |
권한 상승 |
| SAP - 새 ICF 서비스 처리기 | ICF 처리기의 생성을 식별합니다. | SICF를 사용하여 서비스에 새 처리기를 할당합니다. 데이터 원본: SAPcon - 감사 로그 |
명령 및 제어, 수평 이동, 지속성 |
| SAP - 새 ICF 서비스 | ICF 서비스의 생성을 식별합니다. | SICF를 사용하여 서비스를 만듭니다. 데이터 원본: SAPcon - 표 데이터 로그 |
명령 및 제어, 수평 이동, 지속성 |
| SAP - 더 이상 사용되지 않거나 안전하지 않은 함수 모듈 실행 | 사용되지 않거나 안전하지 않은 ABAP 함수 모듈의 실행을 식별합니다. SAP - 사용되지 않는 함수 모듈 관심 목록의 사용되지 않는 함수를 유지 관리합니다. 백 엔드의 테이블에 대한 EUFUNC 테이블 로깅 변경 내용을 활성화해야 합니다. (SE13)참고: 프로덕션 시스템에만 해당합니다. |
SE37을 사용하여 사용되지 않거나 안전하지 않은 함수 모듈을 직접 실행합니다. 데이터 원본: SAPcon - 표 데이터 로그 |
검색, 명령 및 제어 |
| SAP - 사용되지 않는/안전하지 않은 프로그램 실행 | 사용되지 않거나 안전하지 않은 ABAP 프로그램의 실행을 식별합니다. SAP - 사용되지 않는 프로그램 관심 목록에서 사용되지 않는 프로그램을 유지 관리합니다 . 참고: 프로덕션 시스템에만 해당합니다. |
SE38/SA38/SE80을 사용하거나 백그라운드 작업을 사용하여 프로그램을 직접 실행합니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 명령 및 제어 |
| SAP - 사용자가 여러 번 암호 변경 | 사용자별 여러 암호 변경 내용을 식별합니다. | 사용자 암호 변경 데이터 원본: SAPcon - 감사 로그 |
자격 증명 액세스 |
SAP 보안 메커니즘을 바이패스하려고 시도합니다.
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| SAP - 클라이언트 구성 변경 | 클라이언트 역할 또는 변경 기록 모드와 같은 클라이언트 구성에 대한 변경 내용을 식별합니다. | 트랜잭션 코드를 사용하여 SCC4 클라이언트 구성 변경을 수행합니다. 데이터 원본: SAPcon - 감사 로그 |
방어 회피, 반출, 지속성 |
| SAP - 디버깅 활동 중에 데이터가 변경됨 | 디버깅 활동 중 런타임 데이터의 변경 사항을 식별합니다. 하위 사용 사례: 지속성 |
1. 디버그 활성화("/h"). 2. 변경할 필드를 선택하고 해당 값을 업데이트합니다. 데이터 원본: SAPcon - 감사 로그 |
실행 측면 이동 |
| SAP - 보안 감사 로그 비활성화 | 보안 감사 로그의 비활성화를 식별합니다. | SM19/RSAU_CONFIG를 사용하여 보안 감사 로그를 사용하지 않도록 설정합니다. 데이터 원본: SAPcon - 감사 로그 |
반출, 방어 회피, 지속성 |
| SAP - 중요한 ABAP 프로그램 실행 | 중요한 ABAP 프로그램의 직접 실행을 식별합니다. SAP - 중요한 ABAP 프로그램 관심 목록에서 ABAP 프로그램을 유지 관리합니다 . |
를 사용하여 프로그램을 직접 실행합니다SE38SE80/SA38/. 데이터 원본: SAPcon - 감사 로그 |
반출, 횡적 이동, 실행 |
| SAP - 중요한 트랜잭션 코드 실행 | 중요한 트랜잭션 코드의 실행을 식별합니다. SAP - 중요한 트랜잭션 코드 관심 목록에서 트랜잭션 코드를 유지 관리합니다 . |
중요한 트랜잭션 코드를 실행합니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 실행 |
| SAP - 중요한 함수 모듈 실행 | 중요한 ABAP 함수 모듈의 실행을 식별합니다. 하위 사용 사례: 지속성 참고: 프로덕션 시스템에만 해당합니다. SAP - 중요한 함수 모듈 관심 목록에서 중요한 함수 를 유지하고 EUFUNC 테이블에 대한 백 엔드에서 테이블 로깅 변경 내용을 활성화해야 합니다. (SE13) |
SE37을 사용하여 중요한 함수 모듈을 직접 실행합니다. 데이터 원본: SAPcon - 표 데이터 로그 |
검색, 명령 및 제어 |
| SAP - (미리 보기) HANA DB - 감사 내역 정책 변경 | HANA DB 감사 내역 정책의 변경 내용을 식별합니다. | 보안 정의에서 기존 감사 정책을 만들거나 업데이트합니다. 데이터 원본: Linux 에이전트 - Syslog |
측면 이동, 방어 우회, 지속 |
| SAP - (미리 보기) HANA DB - 감사 내역 비활성화 | HANA DB 감사 로그의 비활성화를 식별합니다. | HANA DB 보안 정의에서 감사 로그를 비활성화합니다. 데이터 원본: Linux 에이전트 - Syslog |
지속성, 횡적 이동, 방어 회피 |
| SAP - 중요한 함수 모듈의 무단 원격 실행 | 최근 변경된 권한 부여를 무시하면서 활동을 사용자의 권한 부여 프로필과 비교하여 중요한 FM의 무단 실행을 검색합니다. SAP - 중요한 함수 모듈 관심 목록에서 함수 모듈을 유지 관리합니다 . |
RFC를 사용하여 함수 모듈을 실행합니다. 데이터 원본: SAPcon - 감사 로그 |
실행, 측면 이동, 발견 |
| SAP - 시스템 구성 변경 | 시스템 구성에 대한 변경 내용을 식별합니다. | 트랜잭션 코드를 사용하여 시스템 변경 옵션 또는 소프트웨어 구성 요소 수정을 SE06 조정합니다.데이터 원본: SAPcon - 감사 로그 |
반출, 방어 회피, 지속성 |
| SAP - 디버깅 활동 | 모든 디버깅 관련 활동을 식별합니다. 하위 사용 사례: 지속성 |
시스템에서 디버그("/h")를 활성화하고, 활성 프로세스를 디버그하고, 소스 코드에 중단점을 추가하는 등의 작업을 수행합니다. 데이터 원본: SAPcon - 감사 로그 |
검색 |
| SAP - 보안 감사 로그 구성 변경 | 보안 감사 로그 구성의 변경 사항을 식별합니다. | SM19/RSAU_CONFIG를 사용하여 필터, 상태, 기록 모드 등과 같은 보안 감사 로그 구성을 변경합니다. 데이터 원본: SAPcon - 감사 로그 |
지속성, 반출, 방어 회피 |
| SAP - 트랜잭션이 잠금 해제됨 | 트랜잭션 잠금 해제를 식별합니다. | 를 사용하여 트랜잭션 코드 잠금을 해제합니다SM01SM01_CUS/SM01_DEV/. 데이터 원본: SAPcon - 감사 로그 |
지속성, 실행 |
| SAP - 동적 ABAP 프로그램 | 동적 ABAP 프로그래밍의 실행을 식별합니다. 예를 들어 ABAP 코드를 동적으로 만들거나 변경하거나 삭제한 경우입니다. SAP - ABAP 생성용 트랜잭션 관심 목록에서 제외된 트랜잭션 코드를 유지 관리합니다 . |
INSERT REPORT와 같은 ABAP 프로그램 생성 명령을 사용하는 ABAP 보고서를 만든 다음, 보고서를 실행합니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 명령 및 제어, 영향 |
의심스러운 권한 작업
| 규칙 이름 | 설명 | 원본 작업 | 전술 |
|---|---|---|---|
| SAP - 중요한 권한이 있는 사용자 변경 | 중요한 권한 있는 사용자의 변경 내용을 식별합니다. SAP - Privileged Users 관심 목록에서 권한 있는 사용자를 유지 관리합니다. |
SU01을 사용하여 사용자 세부 정보 / 권한을 변경합니다. 데이터 원본: SAPcon - 감사 로그 |
권한 상승, 자격 증명 액세스 |
| SAP - (미리 보기) HANA DB - 관리자 권한 할당 | 관리자 권한 또는 역할 할당을 식별합니다. | 관리자 역할 또는 권한을 가진 사용자를 할당합니다. 데이터 원본: Linux 에이전트 - Syslog |
권한 상승 |
| SAP - 로그인한 중요한 권한이 있는 사용자 | 중요한 권한 있는 사용자의 대화 상자 로그인을 식별합니다. SAP - Privileged Users 관심 목록에서 권한 있는 사용자를 유지 관리합니다. |
SAP* 또는 다른 권한이 있는 사용자를 사용하여 백 엔드 시스템에 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
초기 액세스, 자격 증명 액세스 |
| SAP - 중요한 권한이 있는 사용자가 다른 사용자 변경 | 다른 사용자의 중요한 권한 있는 사용자의 변경 내용을 식별합니다. | SU01을 사용하여 사용자 세부 정보/인증을 변경합니다. 데이터 원본: SAPcon - 감사 로그 |
권한 상승, 자격 증명 액세스 |
| SAP - 중요한 사용자 암호 변경 및 로그인 | 권한 있는 사용자의 암호 변경 내용을 식별합니다. | 권한 있는 사용자의 암호를 변경하고 시스템에 로그인합니다. SAP - Privileged Users 관심 목록에서 권한 있는 사용자를 유지 관리합니다. 데이터 원본: SAPcon - 감사 로그 |
영향, 명령 및 제어, 권한 상승 |
| SAP - 사용자가 새 사용자를 만들고 사용함 | 다른 사용자를 만들고 사용하는 사용자를 식별합니다. 하위 사용 사례: 지속성 |
SU01을 사용하여 사용자를 만든 다음, 새로 만든 사용자와 동일한 IP 주소를 사용하여 로그인합니다. 데이터 원본: SAPcon - 감사 로그 |
검색, 사전 연결, 초기 액세스 |
| SAP - 사용자가 다른 사용자를 잠금 해제하고 사용함 | 다른 사용자가 잠금 해제하고 사용하는 사용자를 식별합니다. 하위 사용 사례: 지속성 |
SU01을 사용하여 사용자의 잠금을 해제한 다음 잠금 해제된 사용자와 동일한 IP 주소를 사용하여 로그인합니다. 데이터 원본: SAPcon - 감사 로그, SAPcon - 변경 문서 로그 |
검색, 사전 공격, 초기 액세스, 횡적 이동 |
| SAP - 중요한 프로필 할당 | 사용자에게 중요한 프로필의 새 할당을 식별합니다. SAP - 중요한 프로필 관심 목록에서 중요한 프로필을 유지 관리합니다 . |
SU01을 사용하여 사용자에게 프로필을 할당합니다. 데이터 원본: SAPcon - 문서 로그 변경 |
권한 상승 |
| SAP - 중요한 역할 할당 | 사용자에게 중요한 역할에 대한 새 할당을 식별합니다. SAP - 중요한 역할 관심 목록에서 중요한 역할을 유지 관리합니다. |
를 사용하여 SU01 / PFCG사용자에게 역할을 할당합니다. 데이터 원본: SAPcon - 문서 로그 변경, 감사 로그 |
권한 상승 |
| SAP - (미리 보기) 중요한 권한 할당 - 새 권한 값 | 새 사용자에게 중요한 권한 부여 개체 값을 할당하는 것을 식별합니다. SAP - 중요 권한 부여 개체 관심 목록에서 중요한 권한 부여 개체를 유지 관리합니다. |
를 사용하여 PFCG새 권한 부여 개체를 할당하거나 역할의 기존 권한 부여 개체를 업데이트합니다. 데이터 원본: SAPcon - 문서 로그 변경 |
권한 상승 |
| SAP - 중요한 권한 할당 - 새 사용자 할당 | 새 사용자에게 중요한 권한 부여 개체 값을 할당하는 것을 식별합니다. SAP - 중요 권한 부여 개체 관심 목록에서 중요한 권한 부여 개체를 유지 관리합니다. |
SU01/PFCG를 사용하여 중요한 권한 값을 보유하는 역할에 새 사용자를 지정합니다. 데이터 원본: SAPcon - 문서 로그 변경 |
권한 상승 |
| SAP - 중요한 역할 변경 | 중요한 역할의 변경 내용을 식별합니다. SAP - 중요한 역할 관심 목록에서 중요한 역할을 유지 관리합니다. |
PFCG를 사용하여 역할을 변경합니다. 데이터 원본: SAPcon - 문서 로그 변경, SAPcon – 감사 로그 |
영향, 권한 에스컬레이션, 지속성 |
사용 가능한 관심 목록
다음 표에서는 SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 사용할 수 있는 관심 목록과 각 관심 목록의 필드를 나열합니다.
이러한 관심 목록은 SAP® 애플리케이션용 Microsoft Sentinel 솔루션에 대한 구성을 제공합니다. SAP 관심 목록은 Microsoft Sentinel GitHub 리포지토리에서 사용할 수 있습니다.
| 관심 목록 이름 | 설명 및 필드 |
|---|---|
| SAP - 중요 권한 부여 개체 | 할당을 제어해야 하는 중요 권한 부여 개체입니다. - AuthorizationObject: SAP 권한 부여 개체(예: S_DEVELOP, S_TCODE 또는 Table TOBJ) - AuthorizationField: SAP 권한 부여 필드(예: OBJTYP 또는 TCD) - AuthorizationValue: SAP 권한 부여 필드 값(예: DEBUG) - ActivityField: SAP 활동 필드. 대부분의 경우 이 값은 다음과 같습니다 ACTVT. 활동이 없거나 Activity 필드만 있는 권한 부여 개체의 경우 NOT_IN_USE로 채워집니다. - 작업: 권한 부여 개체에 따라 SAP 작업(예: 01만들기; 02: 변경, 03표시 등). - 설명: 의미 있는 중요 권한 부여 개체 설명입니다. |
| SAP - 제외된 네트워크 | 내부 기본 웹 디스패처, 터미널 서버 등을 무시하는 등 제외된 네트워크의 테넌트입니다. -네트워크: 네트워크 IP 주소 또는 범위(예: 111.68.128.0/17. -설명: 의미 있는 네트워크 설명입니다. |
| SAP 제외 사용자 | 시스템에 로그인되어 있고 무시해야 하는 시스템 사용자입니다. 예를 들어 동일한 사용자의 다중 로그인에 대한 경고입니다. - 사용자: SAP 사용자 -설명: 의미 있는 사용자 설명입니다. |
| SAP - 네트워크 | 무단 로그인 식별을 위한 내부 및 유지 관리 네트워크입니다. - Network: 네트워크 IP 주소 또는 범위(예: 111.68.128.0/17) - 설명: 의미 있는 네트워크 설명입니다. |
| SAP - 권한 있는 사용자 | 추가 제한 사항이 있는 권한 있는 사용자입니다. - User: DDIC 또는 SAP와 같은 ABAP 사용자 - 설명: 의미 있는 사용자 설명입니다. |
| SAP - 중요한 ABAP 프로그램 | 실행을 관리해야 하는 중요한 ABAP 프로그램(보고서)입니다. - ABAPProgram: ABAP 프로그램 또는 보고서(예: RSPFLDOC) - Description: 이해할 수 있는 프로그램 설명 |
| SAP - 중요한 함수 모듈 | 무단 로그인 식별을 위한 내부 및 유지 관리 네트워크입니다. - FunctionModule: ABAP 함수 모듈(예: RSAU_CLEAR_AUDIT_LOG) - 설명: 의미 있는 모듈 설명입니다. |
| SAP - 중요한 프로필 | 할당을 제어해야 하는 중요한 프로필입니다. - Profile: SAP 권한 부여 프로필(예: SAP_ALL 또는 SAP_NEW) - Description: 이해할 수 있는 프로필 설명 |
| SAP - 중요한 테이블 | 액세스를 제어해야 하는 중요한 테이블입니다. - Table: ABAP 사전 테이블(예: USR02 또는 PA008) - Description: 이해할 수 있는 테이블 설명 |
| SAP - 중요한 역할 | 할당을 관리해야 하는 중요한 역할. - 역할: SAP 권한 부여 역할(예: SAP_BC_BASIS_ADMIN - 설명: 의미 있는 역할 설명입니다. |
| SAP - 중요한 트랜잭션 | 실행을 관리해야 하는 중요한 트랜잭션입니다. - TransactionCode: SAP 트랜잭션 코드(예: RZ11) - 설명: 의미 있는 코드 설명입니다. |
| SAP - 시스템 | 역할, 사용량 및 구성에 따라 SAP 시스템의 환경을 설명합니다. - SystemID: SAP 시스템 ID(SYSID) - SystemRole: SAP 시스템 역할, 다음 값 중 하나: Sandbox, Development, Quality Assurance, TrainingProduction - SystemUsage: SAP 시스템 사용량, 다음 값 중 하나: ERP, BW, Solman, GatewayEnterprise Portal - InterfaceAttributes: 플레이북에서 사용하기 위한 선택적 동적 매개 변수 입니다. |
| SAPSystemParameters | 의심스러운 구성 변경을 감시할 매개 변수입니다. 이 관심 목록은 권장 값(SAP 모범 사례에 따라)으로 미리 채워져 있으며, 더 많은 매개 변수를 포함하도록 관심 목록을 확장할 수 있습니다. 매개 변수에 대한 경고를 받지 않으려면 .로 false설정합니다EnableAlerts.- ParameterName: 매개 변수의 이름입니다. - 주석: SAP 표준 매개 변수 설명입니다. - EnableAlerts: 이 매개 변수에 대해 경고를 사용할지 여부를 정의합니다. 값은 true 및 false입니다.- 옵션: 경고를 트리거할 경우를 정의합니다. 매개 변수 값이 크거나 같은 경우( GE), 작거나 같음(LE) 또는 같음(EQ)입니다.예를 들어 login/fails_to_user_lock SAP 매개 변수가 (작거나 같음)로 설정 LE 되고 값 5이 Microsoft Sentinel이 이 특정 매개 변수에 대한 변경 사항을 감지하면 새로 보고된 값과 예상 값을 비교합니다. 새 값이 4면 Microsoft Sentinel에서 경고를 트리거하지 않습니다. 새 값이 6면 Microsoft Sentinel에서 경고를 트리거합니다.- ProductionSeverity: 프로덕션 시스템의 인시던트 심각도입니다. - ProductionValues: 프로덕션 시스템에 허용되는 값입니다. - NonProdSeverity: 비프로덕션 시스템의 인시던트 심각도입니다. - NonProdValues: 비프로덕션 시스템에 허용되는 값입니다. |
| SAP - 제외된 사용자 | 로그인되어 있고 무시해야 하는 시스템 사용자(예: 사용자 경고에 의한 다중 로그온). - 사용자: SAP 사용자 - 설명: 의미 있는 사용자 설명 |
| SAP - 제외된 네트워크 | 웹 디스패처, 터미널 서버 등을 무시하기 위해 제외된 내부 네트워크를 유지 관리합니다. - Network: 네트워크 IP 주소 또는 범위(예: 111.68.128.0/17) - 설명: 의미 있는 네트워크 설명 |
| SAP - 사용되지 않는 함수 모듈 | 실행을 제어해야 하는 사용되지 않는 함수 모듈입니다. - FunctionModule: ABAP 함수 모듈(예: TH_SAPREL - Description: 이해할 수 있는 함수 모듈 설명 |
| SAP - 사용되지 않는 프로그램 | 실행을 제어해야 하는 사용되지 않는 ABAP 프로그램(보고서)입니다. - ABAPProgram:ABAP 프로그램(예: TH_ RSPFLDOC) - 설명: 의미 있는 ABAP 프로그램 설명 |
| SAP - ABAP 세대를 위한 트랜잭션 | 실행을 관리해야 하는 ABAP 세대를 위한 트랜잭션입니다. - TransactionCode:트랜잭션 코드(예: SE11). - 설명: 의미 있는 트랜잭션 코드 설명 |
| SAP - FTP 서버 | 권한이 없는 연결을 식별하기 위한 FTP 서버입니다. - Client:예: 100. - FTP_Server_Name: FTP 서버 이름(예: http://contoso.com/) -FTP_Server_Port:FTP 서버 포트(예: 22). - 설명의미 있는 FTP 서버 설명 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | 시스템 역할(프로덕션, 비프로덕션)에 따라 각 메시지 ID에 필요한 심각도 수준을 할당하여 SAP 감사 로그 경고를 구성합니다. 이 관심 목록은 사용 가능한 모든 SAP 표준 감사 로그 메시지 ID를 자세히 설명합니다. SAP NetWeaver 시스템에서 ABAP 개선 사항을 사용하여 직접 만들 수 있는 추가 메시지 ID를 포함하도록 관심 목록을 확장할 수 있습니다. 또한 이 관심 목록을 사용하면 각 이벤트 유형을 처리하도록 지정된 팀을 구성하고 SAP 역할, SAP 프로필 또는 SAP_User_Config 관심 목록에서 태그로 사용자를 제외할 수 있습니다. 이 관심 목록은 SAP 감사 로그를 모니터링하기 위한 기본 제공 SAP 분석 규칙을 구성하는 데 사용되는 핵심 구성 요소 중 하나입니다. - MessageID: SAP 메시지 ID 또는 이벤트 유형(예: AUD(사용자 마스터 레코드 변경) 또는 AUB(권한 부여 변경))입니다. - DetailedDescription: 인시던트 창에 표시할 markdown 사용 설명입니다. - ProductionSeverity: 프로덕션 시스템 High, Medium에 대해 생성할 인시던트의 원하는 심각도입니다. Disabled로 설정할 수 있습니다. - NonProdSeverity: 비프로덕션 시스템 High, Medium에 대해 생성할 인시던트의 원하는 심각도입니다. Disabled로 설정할 수 있습니다. - ProductionThreshold 프로덕션 시스템 60에 의심스러운 것으로 간주되는 이벤트의 "시간당" 수입니다. - NonProdThreshold 비프로덕션 시스템 10에 의심스러운 것으로 간주되는 이벤트의 "시간당" 수입니다. - RolesTagsToExclude: 이 필드는 SAP_User_Config 관심 목록에서 SAP 역할 이름, SAP 프로필 이름 또는 태그를 허용합니다. 그런 다음, 관련 사용자를 특정 이벤트 유형에서 제외하는 데 사용됩니다. 이 목록 끝에 있는 역할 태그 옵션을 참조하세요. - RuleType: 이벤트 유형을 SAP - 동적 결정적 감사 로그 모니터로 보낼 이벤트 유형에 Deterministic을 사용하거나 SAP - 동적 변칙 기반 감사 로그 모니터 경고(미리 보기)에서 이 이벤트를 적용하도록 AnomaliesOnly를 사용합니다.- TeamsChannelID: 플레이북에서 사용하기 위한 선택적 동적 매개 변수 입니다. - DestinationEmail: 플레이북에서 사용하기 위한 선택적 동적 매개 변수 입니다. RolesTagsToExclude 필드의 경우: - SAP 역할 또는 SAP 프로필을 나열하면 동일한 SAP 시스템에 대한 이러한 이벤트 유형에서 나열된 역할 또는 프로필을 가진 모든 사용자가 제외됩니다. 예를 들어, RFC 관련 이벤트 유형에 대해 BASIC_BO_USERS ABAP 역할을 정의하면 비즈니스 개체 사용자는 대규모 RFC 호출을 할 때 인시던트를 트리거하지 않습니다.- 이벤트 유형을 태그 지정하는 것은 SAP 역할이나 프로필을 지정하는 것과 비슷하지만 작업 영역에서 태그를 만들 수 있으므로 SOC 팀은 SAP 팀에 의존하지 않고 작업별로 사용자를 제외할 수 있습니다. 예를 들어, 감사 메시지 ID AUB(권한 변경) 및 AUD(사용자 마스터 레코드 변경)에는 MassiveAuthChanges 태그가 할당됩니다. 이 태그가 할당된 사용자는 이러한 작업에 대한 검사에서 제외됩니다. 작업 영역 SAPAuditLogConfigRecommend 함수를 실행하면 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist와 같이 사용자에게 할당할 권장 태그 목록이 생성됩니다. |
| SAP_User_Config | 특정 컨텍스트에서 사용자를 제외/포함하여 경고를 미세 조정할 수 있으며 SAP 감사 로그를 모니터링하기 위한 기본 제공 SAP 분석 규칙을 구성하는 데도 사용됩니다. - SAPUser: SAP 사용자 - 태그: 태그는 특정 작업에 대해 사용자를 식별하는 데 사용됩니다. 예를 들어 사용자 SENTINEL_SRV 태그 ["GenericTablebyRFCOK"]를 추가하면 이 특정 사용자에 대해 RFC 관련 인시던트가 생성되지 않습니다. 기타 Active Directory 사용자 식별자 - AD 사용자 식별자 - 사용자 온-프레미스 Sid - 사용자 계정 이름 |
사용 가능한 플레이북
| 플레이북 이름 | 매개 변수 | 연결 |
|---|---|---|
| SAP 인시던트 대응 - Teams에서 사용자 잠금 - 기본 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP 인시던트 대응 - Teams에서 사용자 잠금 - 고급 | - SAP-SOAP-KeyVault-Credential-Name - Default관리Email - TeamsChannel |
- Microsoft Sentinel - Azure Monitor 로그 - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| SAP 인시던트 대응 - 비활성화된 후 다시 활성화 가능한 감사 로깅 | - SAP-SOAP-KeyVault-Credential-Name - Default관리Email - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitor 로그 - Microsoft Teams |
다음 단계
자세한 내용은 다음을 참조하세요.