Microsoft Sentinel-oplossing voor SAP BTP: naslaginformatie over beveiligingsinhoud
In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel-oplossing voor SAP BTP.
Beschikbare beveiligingsinhoud bevat momenteel een ingebouwde werkmap en analyseregels. U kunt ook SAP-gerelateerde watchlists toevoegen om te gebruiken in uw zoek-, detectieregels, opsporing van bedreigingen en antwoordplaybooks.
Meer informatie over de oplossing.
SAP BTP-werkmap
De BTP-activiteitswerkmap biedt een dashboardoverzicht van BTP-activiteit.
Op het tabblad Overzicht ziet u:
- Een overzicht van BTP-subaccounts, zodat analisten de meest actieve accounts en het type opgenomen gegevens kunnen identificeren.
- Subaccount-aanmeldingsactiviteit, waarmee analisten pieken en trends kunnen identificeren die kunnen worden gekoppeld aan aanmeldingsfouten in SAP Business Application Studio (BAS).
- Tijdlijn van BTP-activiteit en aantal BTP-beveiligingswaarschuwingen, zodat analisten kunnen zoeken naar een correlatie tussen de twee.
Op het tabblad Identiteitsbeheer ziet u een raster met identiteitsbeheergebeurtenissen, zoals wijzigingen in de gebruikers- en beveiligingsrol, in een door mensen leesbare indeling. Met de zoekbalk kunt u snel specifieke wijzigingen vinden.
Zie Zelfstudie: Uw gegevens visualiseren en bewaken en Microsoft Sentinel-oplossing implementeren voor SAP BTP voor meer informatie.
Ingebouwde analyseregels
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| BTP - Mislukte toegangspogingen in meerdere BAS-subaccounts | Identificeert mislukte TOEGANGspogingen van Business Application Studio (BAS) via een vooraf gedefinieerd aantal subaccounts. Standaarddrempelwaarde: 3 |
Voer mislukte aanmeldingspogingen uit naar BAS via het gedefinieerde drempelwaardenaantal subaccounts. Gegevensbronnen: SAPBTPAuditLog_CL |
Detectie, Reconnaissance |
| BTP - Malware gedetecteerd in BAS dev space | Identificeert exemplaren van malware die zijn gedetecteerd door de interne SAP-malwareagent in BAS-ontwikkelruimten. | Kopieer of maak een malwarebestand in een BAS-ontwikkelaarsruimte. Gegevensbronnen: SAPBTPAuditLog_CL |
Uitvoering, persistentie, resourceontwikkeling |
| BTP - Gebruiker toegevoegd aan gevoelige bevoorrechte rolverzameling | Identificeert acties voor identiteitsbeheer waarbij een gebruiker wordt toegevoegd aan een set bewaakte bevoorrechte rolverzamelingen. | Wijs een van de volgende rolverzamelingen toe aan een gebruiker: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Gegevensbronnen: SAPBTPAuditLog_CL |
Laterale verplaatsing, escalatie van bevoegdheden |
| BTP - Bewaking identiteitsprovider vertrouwen en autorisatie | Identificeert cruD-bewerkingen (create, read, update, and delete) voor id-providerinstellingen binnen een subaccount. | De instellingen van de id-provider in een subaccount wijzigen, lezen, bijwerken of verwijderen. Gegevensbronnen: SAPBTPAuditLog_CL |
Referentietoegang, escalatie van bevoegdheden |
| BTP : massaal verwijderen van gebruikers in een subaccount | Identificeert de activiteit voor het verwijderen van gebruikersaccounts waarbij het aantal verwijderde gebruikers een vooraf gedefinieerde drempelwaarde overschrijdt. Standaarddrempelwaarde: 10 |
Het aantal gebruikersaccounts over de gedefinieerde drempelwaarde verwijderen. Gegevensbronnen: SAPBTPAuditLog_CL |
Impact |
Volgende stappen
In dit artikel hebt u geleerd over de beveiligingsinhoud die wordt geleverd met de Microsoft Sentinel-oplossing voor SAP BTP.