Delen via


Microsoft Sentinel-oplossing voor SAP-toepassingen: naslaginformatie over beveiligingsinhoud

In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel-oplossing voor SAP.

Belangrijk

Hoewel de Microsoft Sentinel-oplossing voor SAP-toepassingen algemeen beschikbaar is, blijven sommige specifieke onderdelen in PREVIEW. Dit artikel geeft de onderdelen aan die in preview zijn in de relevante secties hieronder. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Beschikbare beveiligingsinhoud bevat ingebouwde werkmappen en analyseregels. U kunt ook SAP-gerelateerde watchlists toevoegen om te gebruiken in uw zoek-, detectieregels, opsporing van bedreigingen en antwoordplaybooks.

Inhoud in dit artikel is bedoeld voor uw beveiligingsteam .

Ingebouwde werkmappen

Gebruik de volgende ingebouwde werkmappen om gegevens die zijn opgenomen via de SAP-gegevensconnector te visualiseren en te bewaken. Nadat u de SAP-oplossing hebt geïmplementeerd, kunt u SAP-werkmappen vinden op het tabblad Sjablonen .

Werkmapnaam Beschrijving Logboeken
SAP - Auditlogboekbrowser Geeft gegevens weer, zoals:

- Algemene systeemstatus, waaronder gebruikersaanmeldingen in de loop van de tijd, gebeurtenissen die zijn opgenomen door het systeem, berichtklassen en id's, en ABAP-programma's worden uitgevoerd
-Ernst van gebeurtenissen die plaatsvinden in uw systeem
- Verificatie- en autorisatiegebeurtenissen die plaatsvinden in uw systeem
Gebruikt gegevens uit het volgende logboek:

ABAPAuditLog_CL
SAP-controlebesturingselementen Hiermee kunt u de beveiligingscontroles van uw SAP-omgeving controleren op naleving van het door u gekozen controleframework, met behulp van hulpprogramma's waarmee u het volgende kunt doen:

- Analyseregels in uw omgeving toewijzen aan specifieke beveiligingscontroles en controlefamilies
- De incidenten bewaken en categoriseren die zijn gegenereerd door de analyseregels op basis van de SAP-oplossing
- Rapporteren over uw naleving
Gebruikt gegevens uit de volgende tabellen:

- SecurityAlert
- SecurityIncident

Zie Zelfstudie: Uw gegevens visualiseren en bewaken en Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen voor meer informatie.

Ingebouwde analyseregels

In deze sectie wordt een selectie van ingebouwde analyseregels beschreven die samen met de Microsoft Sentinel-oplossing voor SAP-toepassingen worden geleverd. Raadpleeg de Microsoft Sentinel-inhoudshub voor nieuwe en bijgewerkte regels voor de meest recente updates.

De configuratie van statische SAP-beveiligingsparameters bewaken (preview)

Om het SAP-systeem te beveiligen, heeft SAP beveiligingsgerelateerde parameters geïdentificeerd die moeten worden bewaakt op wijzigingen. Met de regel 'SAP - (Preview) Sensitive Static Parameter has Changed', houdt de Microsoft Sentinel-oplossing voor SAP-toepassingen meer dan 52 statische beveiligingsparameters bij in het SAP-systeem, die zijn ingebouwd in Microsoft Sentinel.

Notitie

De Microsoft Sentinel-oplossing voor SAP-toepassingen om de SAP-beveiligingsparameters te bewaken, moet de oplossing de SAP PAHI-tabel regelmatig bewaken. Zie Controleren of de PAHI-tabel regelmatig wordt bijgewerkt voor meer informatie.

De Microsoft Sentinel-oplossing voor SAP-toepassingen maakt gebruik van de parametergeschiedenistabel, die elk uur wijzigingen in systeemparameters registreert om inzicht te hebben in parameterwijzigingen in het systeem.

De parameters worden ook weergegeven in de sapSystemParameters-watchlist. Met deze volglijst kunnen gebruikers nieuwe parameters toevoegen, bestaande parameters uitschakelen en de waarden en ernst per parameter en systeemrol wijzigen in productie- of niet-productieomgevingen.

Wanneer een wijziging wordt aangebracht in een van deze parameters, controleert Microsoft Sentinel of de wijziging beveiligingsgerelateerd is en of de waarde is ingesteld op basis van de aanbevolen waarden. Als de wijziging wordt vermoed als buiten de veilige zone, maakt Microsoft Sentinel een incident met de details van de wijziging en identificeert wie de wijziging heeft aangebracht.

Bekijk de lijst met parameters die door deze regel worden bewaakt.

Het SAP-auditlogboek bewaken

Veel van de analyseregels in de Microsoft Sentinel-oplossing voor SAP-toepassingen maken gebruik van SAP-auditlogboekgegevens. Sommige analyseregels zoeken naar specifieke gebeurtenissen in het logboek, terwijl andere indicaties uit verschillende logboeken correleren om waarschuwingen en incidenten met hoge kwaliteit te maken.

Gebruik de volgende analyseregels om alle controlelogboekgebeurtenissen op uw SAP-systeem te bewaken of alleen waarschuwingen te activeren wanneer afwijkingen worden gedetecteerd:

Naam van de regel Beschrijving
SAP : ontbrekende configuratie in de controlelogboekmonitor voor dynamische beveiliging Standaard wordt dagelijks uitgevoerd om configuratieaan aanbevelingen te bieden voor de SAP-auditlogboekmodule. Gebruik de regelsjabloon om een regel voor uw werkruimte te maken en aan te passen.
SAP - Dynamische deterministische controlelogboekmonitor (PREVIEW) Standaard wordt elke 10 minuten uitgevoerd en is gericht op de SAP-auditlogboekgebeurtenissen die als deterministisch zijn gemarkeerd. Gebruik de regelsjabloon om een regel voor uw werkruimte te maken en aan te passen, zoals voor een lager fout-positiefpercentage.

Deze regel vereist deterministische waarschuwingsdrempels en regels voor gebruikersuitsluiting.
SAP - Waarschuwingen voor controlelogboeken op basis van dynamische afwijkingen (PREVIEW) Standaard wordt elk uur uitgevoerd en is gericht op SAP-gebeurtenissen die zijn gemarkeerd als AnomaliesOnly, waarbij waarschuwingen worden weergegeven voor SAP-auditlogboekgebeurtenissen wanneer afwijkingen worden gedetecteerd.

Met deze regel worden extra machine learning-algoritmen toegepast om achtergrondruis op een niet-bewaakte manier te filteren.

Standaard worden de meeste gebeurtenistypen of SAP-bericht-id's in het SAP-auditlogboek verzonden naar de analyseregel voor anomaliegebaseerde dynamische anomaliecontrolecontrolewaarschuwingen (PREVIEW), terwijl de eenvoudiger te definiëren gebeurtenistypen worden verzonden naar de deterministische analyseregel voor dynamische deterministische auditlogboekmonitor (PREVIEW). Deze instelling kan, samen met andere gerelateerde instellingen, verder worden geconfigureerd voor elke systeemcondities.

De controleregels voor SAP-auditlogboeken worden geleverd als onderdeel van de beveiligingsinhoud van microsoft Sentinel voor SAP-oplossingen en maken verdere afstemming mogelijk met behulp van de SAP_Dynamic_Audit_Log_Monitor_Configuration- en SAP_User_Config watchlists.

De volgende tabel bevat bijvoorbeeld verschillende voorbeelden van hoe u de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst kunt gebruiken om de typen gebeurtenissen te configureren die incidenten produceren, waardoor het aantal gegenereerde incidenten wordt verminderd.

Optie Omschrijving
Ernst instellen en ongewenste gebeurtenissen uitschakelen Standaard maken zowel deterministische regels als de regels op basis van afwijkingen waarschuwingen voor gebeurtenissen die zijn gemarkeerd met gemiddelde en hoge ernst.

Mogelijk wilt u de ernst van afzonderlijke productie- en niet-productieomgevingen configureren. U kunt bijvoorbeeld een foutopsporingsactiviteitsgebeurtenis instellen als hoge ernst in productiesystemen en dezelfde gebeurtenissen volledig uitschakelen in niet-productiesystemen.
Gebruikers uitsluiten op basis van hun SAP-rollen of SAP-profielen Microsoft Sentinel voor SAP neemt het autorisatieprofiel van de SAP-gebruiker op, inclusief directe en indirecte roltoewijzingen, groepen en profielen, zodat u de SAP-taal in uw SIEM kunt spreken.

Mogelijk wilt u een SAP-gebeurtenis configureren om gebruikers uit te sluiten op basis van hun SAP-rollen en -profielen. Voeg in de volglijst de rollen of profielen toe die uw RFC-interfacegebruikers groeperen in de kolom RolesTagsToExclude , naast de algemene tabeltoegang door RFC-gebeurtenis . Deze configuratie activeert alleen waarschuwingen voor gebruikers die deze rollen missen.
Gebruikers uitsluiten op hun SOC-tags Gebruik tags om uw eigen groepering te maken, zonder te vertrouwen op ingewikkelde SAP-definities of zelfs zonder SAP-autorisatie. Deze methode is handig voor SOC-teams die hun eigen groepering willen maken voor SAP-gebruikers.

Als u bijvoorbeeld niet wilt dat specifieke serviceaccounts worden gewaarschuwd voor algemene tabeltoegang door RFC-gebeurtenissen , maar geen SAP-rol of een SAP-profiel kunt vinden waarmee deze gebruikers worden gegroepeerd, gebruikt u tags als volgt:
1. Voeg de tag GenTableRFCReadOK toe naast de relevante gebeurtenis in de volglijst.
2. Ga naar de SAP_User_Config volglijst en wijs de interfacegebruikers dezelfde tag toe.
Een frequentiedrempel per gebeurtenistype en systeemrol opgeven Werkt als een snelheidslimiet. U kunt bijvoorbeeld wijzigingen in gebruikersmasterrecords zodanig configureren dat alleen waarschuwingen worden geactiveerd als er meer dan 12 activiteiten per uur worden waargenomen door dezelfde gebruiker in een productiesysteem. Als een gebruiker de limiet van 12 per uur overschrijdt, bijvoorbeeld 2 gebeurtenissen in een venster van tien minuten, wordt een incident geactiveerd.
Determinisme of afwijkingen Als u de kenmerken van de gebeurtenis kent, gebruikt u de deterministische mogelijkheden. Als u niet zeker weet hoe u de gebeurtenis correct configureert, kunt u de machine learning-mogelijkheden toestaan om te starten en vervolgens volgende updates indien nodig aan te brengen.
SOAR-mogelijkheden Gebruik Microsoft Sentinel om dynamische waarschuwingen voor sap-auditlogboeken verder te organiseren, automatiseren en erop te reageren. Zie Automation in Microsoft Sentinel: Security orchestration, automation and response (SOAR) voor meer informatie.

Zie De beschikbare volglijsten en Microsoft Sentinel voor SAP News : de functie Dynamische sap-beveiligingscontrolelogboekmonitor is nu beschikbaar voor meer informatie. (blog).

Initial Access

Naam van de regel Beschrijving Bronactie Tactieken
SAP - Aanmelden bij onverwacht netwerk Identificeert een aanmelding vanuit een onverwacht netwerk.

Netwerken onderhouden in de sap - netwerken watchlist.
Meld u aan bij het back-endsysteem vanaf een IP-adres dat niet is toegewezen aan een van de netwerken.

Gegevensbronnen: SAPcon - Auditlogboek
Initial Access
SAP - SPNego-aanval Identificeert SPNego Replay-aanval. Gegevensbronnen: SAPcon - Auditlogboek Impact, laterale beweging
SAP - Aanmeldingspoging dialoogvenster van een bevoegde gebruiker Identificeert aanmeldingspogingen voor dialoogvensters, met het AUM-type , door bevoegde gebruikers in een SAP-systeem. Zie de SAPUsersGetPrivileged voor meer informatie. Probeer u aan te melden vanaf hetzelfde IP-adres naar verschillende systemen of clients binnen het geplande tijdsinterval

Gegevensbronnen: SAPcon - Auditlogboek
Impact, laterale beweging
SAP - Beveiligingsaanvallen Identificeert beveiligingsaanvallen op het SAP-systeem met behulp van RFC-aanmeldingen Probeer u aan te melden vanaf hetzelfde IP-adres naar verschillende systemen/clients binnen het geplande tijdsinterval met behulp van RFC

Gegevensbronnen: SAPcon - Auditlogboek
Referentietoegang
SAP : meerdere aanmeldingen vanaf hetzelfde IP-adres Identificeert de aanmelding van verschillende gebruikers van hetzelfde IP-adres binnen een gepland tijdsinterval.

Subgebruiksscenario: Persistentie
Meld u aan met meerdere gebruikers via hetzelfde IP-adres.

Gegevensbronnen: SAPcon - Auditlogboek
Initial Access
SAP - Meerdere aanmeldingen per gebruiker Identificeert aanmeldingen van dezelfde gebruiker vanaf verschillende terminals binnen het geplande tijdsinterval.

Alleen beschikbaar via de audit SAL-methode, voor SAP-versies 7.5 en hoger.
Meld u aan met dezelfde gebruiker en gebruik verschillende IP-adressen.

Gegevensbronnen: SAPcon - Auditlogboek
Pre-aanval, referentietoegang, initiële toegang, verzameling

Subgebruiksscenario: Persistentie
SAP - Informatie - Levenscyclus - SAP-notities zijn geïmplementeerd in het systeem Identificeert sap-notitie-implementatie in het systeem. Implementeer een SAP-notitie met behulp van SNOTE/TCI.

Gegevensbronnen: SAPcon - Wijzigingsaanvragen
-
SAP - (preview) AS JAVA - Gevoelige bevoegde gebruiker aangemeld Identificeert een aanmelding vanuit een onverwacht netwerk.

Houd bevoegde gebruikers bij in de watchlist voor bevoegde gebruikers in SAP- Privileged Users .
Meld u aan bij het back-endsysteem met behulp van bevoegde gebruikers.

Gegevensbronnen: SAPJAVAFilesLog
Initial Access
SAP - (preview) AS JAVA - Aanmelden vanuit onverwacht netwerk Identificeert aanmeldingen van een onverwacht netwerk.

Houd bevoegde gebruikers in de watchlist voor SAP - Networks bij.
Meld u aan bij het back-endsysteem vanaf een IP-adres dat niet is toegewezen aan een van de netwerken in de watchlist voor NETWERKEN

Gegevensbronnen: SAPJAVAFilesLog
Eerste toegang, defensieontduiking

Gegevensoverdracht

Naam van de regel Beschrijving Bronactie Tactieken
SAP - FTP voor niet-geautoriseerde servers Identificeert een FTP-verbinding voor een niet-geverifieerde server. Maak een nieuwe FTP-verbinding, zoals met behulp van de FTP_CONNECT-functiemodule.

Gegevensbronnen: SAPcon - Auditlogboek
Detectie, initiële toegang, opdracht en beheer
SAP - Configuratie van onveilige FTP-servers Identificeert onveilige FTP-serverconfiguraties, zoals wanneer een FTP-acceptatielijst leeg is of tijdelijke aanduidingen bevat. Behoud of onderhoud geen waarden die tijdelijke aanduidingen in de SAPFTP_SERVERS tabel bevatten, met behulp van de SAPFTP_SERVERS_V onderhoudsweergave. (SM30)

Gegevensbronnen: SAPcon - Auditlogboek
Eerste toegang, opdracht en beheer
SAP - Meerdere bestanden downloaden Identificeert meerdere bestandsdownloads voor een gebruiker binnen een specifiek tijdsbereik. Download meerdere bestanden met behulp van sapgui voor Excel, lijsten enzovoort.

Gegevensbronnen: SAPcon - Auditlogboek
Verzameling, exfiltratie, referentietoegang
SAP - Meerdere Spool-uitvoeringen Identificeert meerdere spools voor een gebruiker binnen een specifiek tijdsbereik. Meerdere spooltaken van elk type door een gebruiker maken en uitvoeren. (SP01)

Gegevensbronnen: SAPcon - Spoollogboek, SAPcon - auditlogboek
Verzameling, exfiltratie, referentietoegang
SAP - Uitvoeruitvoeringen van meerdere spools Identificeert meerdere spools voor een gebruiker binnen een specifiek tijdsbereik. Meerdere spooltaken van elk type door een gebruiker maken en uitvoeren. (SP01)

Gegevensbronnen: SAPcon - Spool-uitvoerlogboek, SAPcon - auditlogboek
Verzameling, exfiltratie, referentietoegang
SAP - Gevoelige tabellen directe toegang door RFC-aanmelding Identificeert een algemene tabeltoegang door RFC-aanmelding.

Houd tabellen in de watchlist met gevoelige tabellen bij in SAP.

Alleen relevant voor productiesystemen.
Open de inhoud van de tabel met SE11/SE16/SE16N.

Gegevensbronnen: SAPcon - Auditlogboek
Verzameling, exfiltratie, referentietoegang
SAP - Overname van spool Identificeert een gebruiker die een spoolaanvraag afdrukt die is gemaakt door iemand anders. Maak een spoolaanvraag met behulp van één gebruiker en voer deze vervolgens uit in het gebruik van een andere gebruiker.

Gegevensbronnen: SAPcon - Spoollogboek, SAPcon - Spool-uitvoerlogboek, SAPcon - auditlogboek
Verzameling, exfiltratie, opdracht en beheer
SAP - Dynamische RFC-bestemming Identificeert de uitvoering van RFC met behulp van dynamische bestemmingen.

Subgebruiksscenario: Probeert SAP-beveiligingsmechanismen te omzeilen
Voer een ABAP-rapport uit dat gebruikmaakt van dynamische bestemmingen (cl_dynamic_destination). Bijvoorbeeld DEMO_RFC_DYNAMIC_DEST.

Gegevensbronnen: SAPcon - Auditlogboek
Verzameling, exfiltratie
SAP - Directe toegang tot gevoelige tabellen per dialoogvenster Identificeert algemene toegang tot tabellen via aanmelding via dialoogvensters. Open de inhoud van de tabel met behulp van SE11SE16N/SE16/.

Gegevensbronnen: SAPcon - Auditlogboek
Detectie
SAP - (preview) bestand gedownload van een schadelijk IP-adres Identificeert het downloaden van een bestand van een SAP-systeem met behulp van een IP-adres dat schadelijk is. Schadelijke IP-adressen worden verkregen van services voor bedreigingsinformatie. Download een bestand van een schadelijk IP-adres.

Gegevensbronnen: SAP-beveiligingscontrolelogboek, Bedreigingsinformatie
Exfiltration (Exfiltratie)
SAP - (preview) gegevens geëxporteerd uit een productiesysteem met behulp van een transport Identificeert gegevensexport vanuit een productiesysteem met behulp van een transport. Transporten worden gebruikt in ontwikkelsystemen en zijn vergelijkbaar met pull-aanvragen. Deze waarschuwingsregel activeert incidenten met een gemiddelde ernst wanneer een transport dat gegevens uit een tabel bevat, wordt vrijgegeven vanuit een productiesysteem. De regel maakt een incident met hoge ernst wanneer de export gegevens uit een gevoelige tabel bevat. Laat een transport van een productiesysteem los.

Gegevensbronnen: SAP CR-logboek, SAP - Gevoelige tabellen
Exfiltration (Exfiltratie)
SAP - (preview) gevoelige gegevens die zijn opgeslagen in een USB-station Identificeert het exporteren van SAP-gegevens via bestanden. De regel controleert op gegevens die zijn opgeslagen in een onlangs gekoppeld USB-station in de nabijheid van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot een gevoelige tabel. Sap-gegevens exporteren via bestanden en opslaan in een USB-station.

Gegevensbronnen: SAP-beveiligingscontrolelogboek, DeviceFileEvents (Microsoft Defender voor Eindpunt), SAP - Gevoelige tabellen, SAP - Gevoelige transacties, SAP - Gevoelige programma's
Exfiltration (Exfiltratie)
SAP - (preview) afdrukken van mogelijk gevoelige gegevens Identificeert een aanvraag of daadwerkelijk afdrukken van mogelijk gevoelige gegevens. Gegevens worden als gevoelig beschouwd als de gebruiker de gegevens verkrijgt als onderdeel van een gevoelige transactie, uitvoering van een gevoelig programma of directe toegang tot een gevoelige tabel. Afdrukken of aanvragen om gevoelige gegevens af te drukken.

Gegevensbronnen: SAP Security Audit Log, SAP Spool-logboeken, SAP - Gevoelige tabellen, SAP - Gevoelige programma's
Exfiltration (Exfiltratie)
SAP - (preview) groot volume van mogelijk gevoelige gegevens geëxporteerd Identificeert het exporteren van een groot aantal gegevens via bestanden in nabijheid van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot gevoelige tabellen. Exporteer grote hoeveelheden gegevens via bestanden.

Gegevensbronnen: SAP-beveiligingscontrolelogboek, SAP - gevoelige tabellen, SAP - gevoelige transacties, SAP - gevoelige programma's
Exfiltration (Exfiltratie)

Persistentie

Naam van de regel Beschrijving Bronactie Tactieken
SAP - Activering of deactivering van de ICF-service Identificeert de activering of deactivering van ICF-services. Activeer een service met SICF.

Gegevensbronnen: SAPcon - Tabelgegevenslogboek
Command and Control, Lateral Movement, Persistence
SAP - Functiemodule getest Identificeert het testen van een functiemodule. Test een functiemodule met behulp van SE37 / SE80.

Gegevensbronnen: SAPcon - Auditlogboek
Verzameling, Verdedigingsontduiking, Laterale Beweging
SAP - (PREVIEW) HANA DB -Gebruikersbeheerdersacties Identificeert acties voor gebruikersbeheer. Een databasegebruiker maken, bijwerken of verwijderen.

Gegevensbronnen: Linux-agent - Syslog*
Escalatie van bevoegdheden
SAP - Nieuwe ICF-servicehandlers Identificeert het maken van ICF-handlers. Wijs een nieuwe handler toe aan een service met behulp van SICF.

Gegevensbronnen: SAPcon - Auditlogboek
Command and Control, Lateral Movement, Persistence
SAP - Nieuwe ICF-services Identificeert het maken van ICF-services. Maak een service met SICF.

Gegevensbronnen: SAPcon - Tabelgegevenslogboek
Command and Control, Lateral Movement, Persistence
SAP - Uitvoering van verouderde of onveilige functiemodule Identificeert de uitvoering van een verouderde of onveilige ABAP-functiemodule.

Behoud verouderde functies in de watchlist sap - verouderde functiemodules . Zorg ervoor dat u wijzigingen in tabellogboeken activeert voor de EUFUNC tabel in de back-end. (SE13)

Alleen relevant voor productiesystemen.
Voer een verouderde of onveilige functiemodule rechtstreeks uit met behulp van SE37.

Gegevensbronnen: SAPcon - Tabelgegevenslogboek
Detectie, opdracht en beheer
SAP - Uitvoering van verouderd/onveilig programma Identificeert de uitvoering van een verouderd of onveilig ABAP-programma.

Behoud verouderde programma's in de watchlist sap - verouderde programma's .

Alleen relevant voor productiesystemen.
Voer een programma rechtstreeks uit met SE38/SA38/SE80 of met behulp van een achtergrondtaak.

Gegevensbronnen: SAPcon - Auditlogboek
Detectie, opdracht en beheer
SAP - Meerdere wachtwoordwijzigingen per gebruiker Identificeert meerdere wachtwoordwijzigingen per gebruiker. Gebruikerswachtwoord wijzigen

Gegevensbronnen: SAPcon - Auditlogboek
Referentietoegang
SAP - (preview) AS JAVA - Gebruiker maakt en gebruikt nieuwe gebruiker Identificeert het maken of bewerken van gebruikers door beheerders in de SAP AS Java-omgeving. Meld u aan bij het back-endsysteem met gebruikers die u hebt gemaakt of gemanipuleerd.

Gegevensbronnen: SAPJAVAFilesLog
Persistentie

Pogingen om SAP-beveiligingsmechanismen te omzeilen

Naam van de regel Beschrijving Bronactie Tactieken
SAP - Clientconfiguratiewijziging Identificeert wijzigingen voor clientconfiguratie, zoals de clientrol of de opnamemodus voor wijzigingen. Clientconfiguratiewijzigingen uitvoeren met behulp van de SCC4 transactiecode.

Gegevensbronnen: SAPcon - Auditlogboek
Verdedigingsontduiking, exfiltratie, persistentie
SAP - Gegevens zijn gewijzigd tijdens foutopsporingsactiviteit Identificeert wijzigingen voor runtimegegevens tijdens een foutopsporingsactiviteit.

Subgebruiksscenario: Persistentie
1. Foutopsporing activeren ("/h").
2. Selecteer een veld om de waarde ervan te wijzigen en bij te werken.

Gegevensbronnen: SAPcon - Auditlogboek
Uitvoering, laterale verplaatsing
SAP - Deactivering van beveiligingscontrolelogboek Identificeert deactivering van het beveiligingscontrolelogboek, Schakel beveiligingscontrolelogboek uit met behulp van SM19/RSAU_CONFIG.

Gegevensbronnen: SAPcon - Auditlogboek
Exfiltratie, defensieontduiking, persistentie
SAP - Uitvoering van een gevoelig ABAP-programma Identificeert de directe uitvoering van een gevoelig ABAP-programma.

Abap-programma's onderhouden in de watchlist sap - gevoelige ABAP-programma's .
Voer een programma rechtstreeks uit met behulp van SE38SE80/SA38/.

Gegevensbronnen: SAPcon - Auditlogboek
Exfiltratie, laterale verplaatsing, uitvoering
SAP - Uitvoering van een gevoelige transactiecode Identificeert de uitvoering van een gevoelige transactiecode.

Houd transactiecodes bij in de watchlist SAP - Gevoelige transactiecodes .
Voer een gevoelige transactiecode uit.

Gegevensbronnen: SAPcon - Auditlogboek
Detectie, uitvoering
SAP - Uitvoering van gevoelige functiemodule Identificeert de uitvoering van een gevoelige ABAP-functiemodule.

Subgebruiksscenario: Persistentie

Alleen relevant voor productiesystemen.

Behoud gevoelige functies in de watchlist sap - gevoelige functiemodules en zorg ervoor dat u wijzigingen in tabellogboekregistratie activeert in de back-end voor de EUFUNC-tabel. (SE13)
Voer een gevoelige functiemodule rechtstreeks uit met BEHULP van SE37.

Gegevensbronnen: SAPcon - Tabelgegevenslogboek
Detectie, opdracht en beheer
SAP - (PREVIEW) HANA DB - Wijzigingen in het audittrailbeleid Identificeert wijzigingen voor het audittrailbeleid van HANA DB. Maak of werk het bestaande controlebeleid in beveiligingsdefinities bij.

Gegevensbronnen: Linux-agent - Syslog
Laterale beweging, defensieontduiking, persistentie
SAP - (PREVIEW) HANA DB -Deactivatie van audittrail Identificeert de deactivering van het auditlogboek van HANA DB. Het auditlogboek deactiveren in de HANA DB-beveiligingsdefinitie.

Gegevensbronnen: Linux-agent - Syslog
Persistentie, laterale beweging, verdedigingsontduiking
SAP - Niet-geautoriseerde externe uitvoering van een gevoelige functiemodule Detecteert niet-geautoriseerde uitvoeringen van gevoelige VM's door de activiteit te vergelijken met het autorisatieprofiel van de gebruiker terwijl onlangs gewijzigde autorisaties worden genegeerd.

Houd functiemodules in de watchlist SAP - Gevoelige functiemodules bij.
Een functiemodule uitvoeren met RFC.

Gegevensbronnen: SAPcon - Auditlogboek
Uitvoering, laterale verplaatsing, detectie
SAP - Wijziging van systeemconfiguratie Identificeert wijzigingen voor systeemconfiguratie. Pas systeemwijzigingsopties of wijzigingen van softwareonderdelen aan met behulp van de SE06 transactiecode.

Gegevensbronnen: SAPcon - Auditlogboek
Exfiltratie, defensieontduiking, persistentie
SAP - Foutopsporingsactiviteiten Identificeert alle gerelateerde activiteiten voor foutopsporing.

Subgebruiksscenario: Persistentie
Activeer foutopsporing ('/h') in het systeem, foutopsporing in een actief proces, voeg onderbrekingspunt toe aan broncode, enzovoort.

Gegevensbronnen: SAPcon - Auditlogboek
Detectie
SAP - Configuratiewijziging van beveiligingscontrolelogboek Identificeert wijzigingen in de configuratie van het beveiligingscontrolelogboek Wijzig de configuratie van beveiligingscontrolelogboeken met behulp van SM19/RSAU_CONFIG, zoals de filters, status, opnamemodus, enzovoort.

Gegevensbronnen: SAPcon - Auditlogboek
Persistentie, exfiltratie, defensieontduiking
SAP - Transactie is ontgrendeld Identificeert het ontgrendelen van een transactie. Ontgrendel een transactiecode met behulp van SM01SM01_CUS/SM01_DEV/.

Gegevensbronnen: SAPcon - Auditlogboek
Persistentie, uitvoering
SAP - Dynamisch ABAP-programma Identificeert de uitvoering van dynamische ABAP-programmering. Bijvoorbeeld wanneer ABAP-code dynamisch is gemaakt, gewijzigd of verwijderd.

Houd uitgesloten transactiecodes in de SAP - Transacties voor ABAP-generaties volglijst.
Maak een ABAP-rapport dat gebruikmaakt van ABAP-programmageneratieopdrachten, zoals INSERT REPORT, en voer het rapport uit.

Gegevensbronnen: SAPcon - Auditlogboek
Detectie, opdracht en beheer, impact

Verdachte bevoegdheden

Naam van de regel Beschrijving Bronactie Tactieken
SAP - Wijzigen in gevoelige bevoegde gebruiker Identificeert wijzigingen van gevoelige bevoegde gebruikers.

Houd bevoegde gebruikers bij in de watchlist voor bevoegde gebruikers in SAP- Privileged Users .
Gebruikersgegevens/autorisaties wijzigen met behulp van SU01.

Gegevensbronnen: SAPcon - Auditlogboek
Escalatie van bevoegdheden, referentietoegang
SAP - (PREVIEW) HANA DB - Beheerdersautorisaties toewijzen Identificeert beheerdersbevoegdheden of roltoewijzing. Wijs een gebruiker toe met een beheerdersrol of -bevoegdheden.

Gegevensbronnen: Linux-agent - Syslog
Escalatie van bevoegdheden
SAP - Gevoelige bevoegde gebruiker aangemeld Hiermee wordt de aanmelding in het dialoogvenster van een gevoelige bevoegde gebruiker geïdentificeerd.

Houd bevoegde gebruikers bij in de watchlist voor bevoegde gebruikers in SAP- Privileged Users .
Meld u aan bij het back-endsysteem met of SAP* een andere bevoegde gebruiker.

Gegevensbronnen: SAPcon - Auditlogboek
Eerste toegang, referentietoegang
SAP - Gevoelige bevoegde gebruiker brengt een wijziging aan in andere gebruikers Identificeert wijzigingen van gevoelige, bevoegde gebruikers in andere gebruikers. Gebruikersdetails/autorisaties wijzigen met BEHULP van SU01.

Gegevensbronnen: SAPcon - Auditlogboek
Escalatie van bevoegdheden, referentietoegang
SAP - Wachtwoordwijziging en aanmelding voor gevoelige gebruikers Identificeert wachtwoordwijzigingen voor bevoegde gebruikers. Wijzig het wachtwoord voor een bevoegde gebruiker en meld u aan bij het systeem.
Houd bevoegde gebruikers bij in de watchlist voor bevoegde gebruikers in SAP- Privileged Users .

Gegevensbronnen: SAPcon - Auditlogboek
Impact, opdracht en beheer, escalatie van bevoegdheden
SAP - Gebruiker maakt en gebruikt nieuwe gebruiker Identificeert een gebruiker die andere gebruikers maakt en gebruikt.

Subgebruiksscenario: Persistentie
Maak een gebruiker met SU01 en meld u aan met behulp van de zojuist gemaakte gebruiker en hetzelfde IP-adres.

Gegevensbronnen: SAPcon - Auditlogboek
Detectie, pre-aanval, initiële toegang
SAP - Gebruiker ontgrendelt en gebruikt andere gebruikers Identificeert een gebruiker die wordt ontgrendeld en gebruikt door andere gebruikers.

Subgebruiksscenario: Persistentie
Ontgrendel een gebruiker met SU01 en meld u aan met behulp van de ontgrendelde gebruiker en hetzelfde IP-adres.

Gegevensbronnen: SAPcon - Auditlogboek, SAPcon - Documentenlogboek wijzigen
Detectie, pre-aanval, initiële toegang, laterale verplaatsing
SAP - Toewijzing van een gevoelig profiel Identificeert nieuwe toewijzingen van een gevoelig profiel aan een gebruiker.

Behoud gevoelige profielen in de watchlist sap - gevoelige profielen .
Wijs een profiel toe aan een gebruiker met behulp van SU01.

Gegevensbronnen: SAPcon - Documentenlogboek wijzigen
Escalatie van bevoegdheden
SAP - Toewijzing van een gevoelige rol Identificeert nieuwe toewijzingen voor een gevoelige rol aan een gebruiker.

Houd gevoelige rollen in de watchlist voor gevoelige rollen in SAP.
Wijs een rol toe aan een gebruiker met behulp van SU01 / PFCG.

Gegevensbronnen: SAPcon - Documentenlogboek wijzigen, auditlogboek
Escalatie van bevoegdheden
SAP - (PREVIEW) Kritieke autorisatietoewijzing - Nieuwe autorisatiewaarde Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker.

Behoud kritieke autorisatieobjecten in de watchlist SAP - Kritieke autorisatieobjecten .
Wijs een nieuw autorisatieobject toe of werk een bestaande bij in een rol met behulp van PFCG.

Gegevensbronnen: SAPcon - Documentenlogboek wijzigen
Escalatie van bevoegdheden
SAP - Toewijzing van kritieke autorisaties - Nieuwe gebruikerstoewijzing Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker.

Behoud kritieke autorisatieobjecten in de watchlist SAP - Kritieke autorisatieobjecten .
Wijs een nieuwe gebruiker toe aan een rol die kritieke autorisatiewaarden bevat, met behulp van SU01/PFCG.

Gegevensbronnen: SAPcon - Documentenlogboek wijzigen
Escalatie van bevoegdheden
SAP - Wijzigingen in gevoelige rollen Identificeert wijzigingen in gevoelige rollen.

Houd gevoelige rollen in de watchlist voor gevoelige rollen in SAP.
Een rol wijzigen met behulp van PFCG.

Gegevensbronnen: SAPcon - Documentenlogboek wijzigen, SAPcon - Auditlogboek
Impact, Escalatie van bevoegdheden, persistentie

Beschikbare volglijsten

De volgende tabel bevat de volglijsten die beschikbaar zijn voor de Microsoft Sentinel-oplossing voor SAP-toepassingen en de velden in elke volglijst.

Deze volglijsten bieden de configuratie voor de Microsoft Sentinel-oplossing voor SAP-toepassingen. De SAP-watchlists zijn beschikbaar in de GitHub-opslagplaats van Microsoft Sentinel.

Naam van volglijst Beschrijving en velden
SAP - Kritieke autorisatieobjecten Object Kritieke autorisaties, waarbij toewijzingen moeten worden beheerd.

- AuthorizationObject: een SAP-autorisatieobject, zoals S_DEVELOP, S_TCODEof Table TOBJ
- AuthorizationField: een SAP-autorisatieveld, zoals OBJTYP of TCD
- AuthorizationValue: een SAP-autorisatieveldwaarde, zoals DEBUG
- ActivityField : SAP-activiteitsveld. In de meeste gevallen is ACTVTdeze waarde . Voor autorisatieobjecten zonder een activiteit, of met alleen een activiteitsveld , gevuld met NOT_IN_USE.
- Activiteit: SAP-activiteit, volgens het autorisatieobject, zoals: 01: Maken; 02: Wijzigen; 03: Weergave, enzovoort.
- Beschrijving: Een zinvolle beschrijving van het kritieke autorisatieobject.
SAP - Uitgesloten netwerken Voor intern onderhoud van uitgesloten netwerken, zoals het negeren van web-dispatchers, terminalservers, enzovoort.

-Netwerk: een NETWERK-IP-adres of -bereik, zoals 111.68.128.0/17.
-Beschrijving: Een zinvolle netwerkbeschrijving.
Uitgesloten SAP-gebruikers Systeemgebruikers die zijn aangemeld bij het systeem en moeten worden genegeerd. Bijvoorbeeld waarschuwingen voor meerdere aanmeldingen door dezelfde gebruiker.

- Gebruiker: SAP-gebruiker
-Beschrijving: Een zinvolle gebruikersbeschrijving.
SAP - Netwerken Interne netwerken en onderhoudsnetwerken voor identificatie van niet-geautoriseerde aanmeldingen.

- Netwerk: NETWERK-IP-adres of -bereik, zoals 111.68.128.0/17
- Beschrijving: Een zinvolle netwerkbeschrijving.
SAP - Bevoegde gebruikers Bevoegde gebruikers die onder extra beperkingen vallen.

- Gebruiker: de ABAP-gebruiker, zoals DDIC of SAP
- Beschrijving: Een zinvolle gebruikersbeschrijving.
SAP - Gevoelige ABAP-programma's Gevoelige ABAP-programma's (rapporten), waarbij de uitvoering moet worden beheerd.

- ABAPProgram: ABAP-programma of rapport, zoals RSPFLDOC
- Beschrijving: Een zinvolle programmabeschrijving.
SAP - Module gevoelige functie Interne netwerken en onderhoudsnetwerken voor identificatie van niet-geautoriseerde aanmeldingen.

- FunctionModule: Een ABAP-functiemodule, zoals RSAU_CLEAR_AUDIT_LOG
- Beschrijving: Een beschrijvende modulebeschrijving.
SAP - Gevoelige profielen Gevoelige profielen, waarbij toewijzingen moeten worden beheerd.

- Profiel: SAP-autorisatieprofiel, zoals SAP_ALL of SAP_NEW
- Beschrijving: Een zinvolle profielbeschrijving.
SAP - Gevoelige tabellen Gevoelige tabellen, waarbij toegang moet worden beheerd.

- Tabel: ABAP-woordenlijsttabel, zoals USR02 of PA008
- Beschrijving: Een beschrijvende tabelbeschrijving.
SAP - Gevoelige rollen Gevoelige rollen, waarbij toewijzing moet worden beheerd.

- Rol: SAP-autorisatierol, zoals SAP_BC_BASIS_ADMIN
- Beschrijving: Een beschrijvende rolbeschrijving.
SAP - Gevoelige transacties Gevoelige transacties waarop uitvoering moet worden geregeld.

- TransactionCode: SAP-transactiecode, zoals RZ11
- Beschrijving: Een beschrijvende codebeschrijving.
SAP - Systemen Beschrijft het landschap van SAP-systemen op basis van rol, gebruik en configuratie.

- SystemID: de SAP-systeem-id (SYSID)
- SystemRole: de SAP-systeemrol, een van de volgende waarden: Sandbox, Development, Quality Assurance, TrainingProduction
- SystemUsage: Het SAP-systeemgebruik, een van de volgende waarden: ERP, BW, Solman, , Gateway, Enterprise Portal
- InterfaceAttributes: een optionele dynamische parameter voor gebruik in playbooks.
SAPSystemParameters Parameters om te controleren op verdachte configuratiewijzigingen. Deze volglijst wordt vooraf gevuld met aanbevolen waarden (volgens de best practice van SAP) en u kunt de volglijst uitbreiden om meer parameters op te nemen. Als u geen waarschuwingen voor een parameter wilt ontvangen, stelt u deze optie in EnableAlerts falseop .

- ParameterName: de naam van de parameter.
- Opmerking: de standaardbeschrijving van de SAP-standaardparameter.
- EnableAlerts: Hiermee definieert u of waarschuwingen voor deze parameter moeten worden ingeschakeld. Waarden zijn true en false.
- Optie: Definieert in welk geval een waarschuwing moet worden geactiveerd: als de parameterwaarde groter of gelijk is aan (GE), kleiner of gelijk aan (LE) of gelijk aan (EQ)
Als de login/fails_to_user_lock SAP-parameter bijvoorbeeld is ingesteld op LE (kleiner of gelijk) en een waarde van 5, zodra Microsoft Sentinel een wijziging in deze specifieke parameter detecteert, worden de zojuist gerapporteerde waarde en de verwachte waarde vergeleken. Als de nieuwe waarde is 4, activeert Microsoft Sentinel geen waarschuwing. Als de nieuwe waarde is 6, activeert Microsoft Sentinel een waarschuwing.
- ProductionSeverity: de ernst van het incident voor productiesystemen.
- ProductionValues: Toegestane waarden voor productiesystemen.
- NonProdSeverity: de ernst van het incident voor niet-productiesystemen.
- NonProdValues: Toegestane waarden voor niet-productiesystemen.
SAP - uitgesloten gebruikers Systeemgebruikers die zijn aangemeld en moeten worden genegeerd, zoals voor de aanmeldingen met meerdere aanmeldingen per gebruikerswaarschuwing.

- Gebruiker: SAP-gebruiker
- Beschrijving: Een zinvolle gebruikersbeschrijving
SAP - Uitgesloten netwerken Onderhoud interne, uitgesloten netwerken voor het negeren van webverzenders, terminalservers, enzovoort.

- Netwerk: NETWERK-IP-adres of -bereik, zoals 111.68.128.0/17
- Beschrijving: Een zinvolle netwerkbeschrijving
SAP - Verouderde functiemodules Verouderde functiemodules, waarvan de uitvoering moet worden beheerd.

- FunctionModule: ABAP Function Module, zoals TH_SAPREL
- Beschrijving: Een beschrijvende functiemodulebeschrijving
SAP - Verouderde programma's Verouderde ABAP-programma's (rapporten), waarvan de uitvoering moet worden geregeld.

- ABAPProgram:ABAP-programma, zoals TH_ RSPFLDOC
- Beschrijving: Een zinvolle ABAP-programmabeschrijving
SAP - Transacties voor ABAP-generaties Transacties voor ABAP-generaties waarvan de uitvoering moet worden geregeld.

- TransactionCode: Transactiecode, zoals SE11.
- Beschrijving: Een zinvolle beschrijving van transactiecode
SAP - FTP-servers FTP-servers voor identificatie van niet-geautoriseerde verbindingen.

- Client: zoals 100.
- FTP_Server_Name: FTP-servernaam, zoalshttp://contoso.com/
-FTP_Server_Port:FTP-serverpoort, zoals 22.
- BeschrijvingEen zinvolle FTP-serverbeschrijving
SAP_Dynamic_Audit_Log_Monitor_Configuration Configureer de SAP-auditlogboekwaarschuwingen door elke bericht-id een ernstniveau toe te wijzen dat u nodig hebt, per systeemrol (productie, niet-productie). Deze volglijst bevat alle beschikbare sap-standaardcontrolelogboekberichten-id's. De volglijst kan worden uitgebreid met extra bericht-id's die u zelf kunt maken met behulp van ABAP-verbeteringen op hun SAP NetWeaver-systemen. Met deze volglijst kunt u ook een aangewezen team configureren voor het afhandelen van elk van de gebeurtenistypen en het uitsluiten van gebruikers door SAP-rollen, SAP-profielen of tags uit de SAP_User_Config volglijst. Deze volglijst is een van de belangrijkste onderdelen die worden gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. Zie Het SAP-auditlogboek bewaken voor meer informatie.

- MessageID: de SAP-bericht-id of het gebeurtenistype, zoals AUD (wijzigingen in gebruikershoofdrecords) of AUB (autorisatiewijzigingen).
- DetailedDescription: een markdown-beschrijving die moet worden weergegeven in het deelvenster Incident.
- ProductionSeverity: de gewenste ernst voor het incident dat moet worden gemaakt voor productiesystemen High, Medium. Kan worden ingesteld als Disabled.
- NonProdSeverity: de gewenste ernst voor het incident dat moet worden gemaakt met voor niet-productiesystemen High, Medium. Kan worden ingesteld als Disabled.
- ProductionThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor productiesystemen 60.
- NonProdThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor niet-productiesystemen 10.
- RolesTagsToExclude: Dit veld accepteert de SAP-rolnaam, SAP-profielnamen of -tags uit de SAP_User_Config volglijst. Deze worden vervolgens gebruikt om de gekoppelde gebruikers uit te sluiten van specifieke gebeurtenistypen. Zie opties voor roltags aan het einde van deze lijst.
- RuleType: gebruik Deterministic dit voor het gebeurtenistype dat moet worden verzonden naar de REGEL voor dynamische deterministische controlelogboekcontrole of AnomaliesOnly om deze gebeurtenis te laten gedekt door de regel SAP - Dynamic Anomaly Based Audit Log Monitor Alerts (PREVIEW). Zie Het SAP-auditlogboek bewaken voor meer informatie.
- TeamsChannelID: een optionele dynamische parameter voor gebruik in playbooks.
- DestinationEmail: een optionele dynamische parameter voor gebruik in playbooks.

Voor het veld RolesTagsToExclude :
- Als u SAP-rollen of SAP-profielen vermeldt, wordt elke gebruiker met de vermelde rollen of profielen uitgesloten van deze gebeurtenistypen voor hetzelfde SAP-systeem. Als u bijvoorbeeld de BASIC_BO_USERS ABAP-rol definieert voor de rfC-gerelateerde gebeurtenistypen, activeren gebruikers van zakelijke objecten geen incidenten bij het maken van enorme RFC-aanroepen.
- Het taggen van een gebeurtenistype is vergelijkbaar met het opgeven van SAP-rollen of -profielen, maar tags kunnen worden gemaakt in de werkruimte, zodat SOC-teams gebruikers kunnen uitsluiten op basis van activiteit zonder afhankelijk van het SAP BASIS-team. Aan de controlebericht-id's AUB (autorisatiewijzigingen) en AUD (wijzigingen in gebruikersmasterrecords) wordt bijvoorbeeld de MassiveAuthChanges tag toegewezen. Gebruikers die aan deze tag zijn toegewezen, worden uitgesloten van de controles voor deze activiteiten. Het uitvoeren van de werkruimtefunctie SAPAuditLogConfigRecommend produceert een lijst met aanbevolen tags die moeten worden toegewezen aan gebruikers, zoals Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist.
SAP_User_Config Hiermee kunt u waarschuwingen verfijnen door /inclusief gebruikers in specifieke contexten uit te sluiten en wordt ook gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. Zie Het SAP-auditlogboek bewaken voor meer informatie.

- SAPUser: De SAP-gebruiker
- Tags: Tags worden gebruikt om gebruikers te identificeren op basis van bepaalde activiteiten. Als u bijvoorbeeld de tags ["GenericTablebyRFCOK"] toevoegt aan de gebruiker SENTINEL_SRV wordt voorkomen dat RFC-gerelateerde incidenten worden gemaakt voor deze specifieke gebruiker
Andere Active Directory-gebruikers-id's
- AD-gebruikers-id
- On-premises sid van gebruiker
- User Principal Name

Beschikbare playbooks

Playbooks van de Microsoft Sentinel-oplossing voor SAP-toepassingen helpen u bij het automatiseren van workloads voor SAP-incidentenrespons, waardoor de efficiëntie en effectiviteit van beveiligingsbewerkingen worden verbeterd.

In deze sectie worden ingebouwde analyseplaybooks beschreven die samen met de Microsoft Sentinel-oplossing voor SAP-toepassingen worden geleverd.

Playbooknaam Parameters Connecties
SAP Incident Response - Gebruiker vergrendelen vanuit Teams - Basic - SAP-SOAP-User-Password
- SAP-SOAP-Username
- SOAPApiBasePath
- DefaultEmail
- TeamsChannel
- Microsoft Sentinel
- Microsoft Teams
SAP Incident Response - Gebruiker vergrendelen vanuit Teams - Geavanceerd - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
- Microsoft Sentinel
- Azure Monitor-logboeken
- Office 365 Outlook
- Microsoft Entra-id
- Azure Key Vault
- Microsoft Teams
SAP Incident Response - Reenable audit logging once gedeactiveerd - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
- Microsoft Sentinel
- Azure Key Vault
- Azure Monitor-logboeken
- Microsoft Teams

In de volgende secties worden voorbeelden van gebruiksvoorbeelden voor elk van de meegeleverde playbooks beschreven, in een scenario waarin een incident u heeft gewaarschuwd voor verdachte activiteiten in een van de SAP-systemen, waarbij een gebruiker een van deze zeer gevoelige transacties probeert uit te voeren.

Tijdens de incident triagefase besluit u actie te ondernemen tegen deze gebruiker, het uit te schakelen van uw SAP ERP- of BTP-systemen of zelfs van Microsoft Entra ID.

Zie Bedreigingsreactie automatiseren met playbooks in Microsoft Sentinel voor meer informatie

Het proces voor het implementeren van standaardlogica-apps is over het algemeen complexer dan voor logische apps voor verbruik. We hebben een reeks sneltoetsen gemaakt waarmee u ze snel kunt implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel. Zie de stapsgewijze installatiehandleiding voor meer informatie.

Tip

Bekijk de map SAP-playbooks in de GitHub-opslagplaats voor meer playbooks zodra deze beschikbaar komen. Er is ook een korte inleidende video (externe koppeling) om u te helpen aan de slag te gaan.

Een gebruiker vergrendelen van één systeem

Bouw een automatiseringsregel om de vergrendelingsgebruiker aan te roepen vanuit Teams - Basisplaybook wanneer een gevoelige transactie wordt uitgevoerd door een onbevoegde gebruiker. Dit playbook maakt gebruik van de adaptieve kaartenfunctie van Teams om goedkeuring aan te vragen voordat de gebruiker eenzijdig wordt geblokkeerd.

Zie Van nul tot hero-beveiligingsdekking met Microsoft Sentinel voor uw kritieke SAP-beveiligingssignalen - U hoort me SOAR! Deel 1 (SAP-blogbericht).

De vergrendelingsgebruiker van Teams - Basic-playbook is een Standard-playbook en Standard-playbooks zijn over het algemeen complexer om te implementeren dan playbooks voor verbruik.

We hebben een reeks sneltoetsen gemaakt waarmee u ze snel kunt implementeren vanuit de GitHub-opslagplaats van Microsoft Sentinel. Zie de stapsgewijze installatiehandleiding en ondersteunde typen logische apps voor meer informatie.

Een gebruiker van meerdere systemen vergrendelen

De vergrendelingsgebruiker van Teams - Geavanceerd playbook bereikt dezelfde doelstelling, maar is ontworpen voor complexere scenario's, waardoor één playbook kan worden gebruikt voor meerdere SAP-systemen, elk met een eigen SAP-SID.

De vergrendelingsgebruiker van Teams - Geavanceerd playbook beheert naadloos de verbindingen met al deze systemen en hun referenties met behulp van de optionele dynamische parameter InterfaceAttributes in de SAP - Systems watchlist en Azure Key Vault.

Met de vergrendelingsgebruiker van Teams - Geavanceerd playbook kunt u ook communiceren met de partijen in het goedkeuringsproces met behulp van Outlook-berichten die kunnen worden uitgevoerd in combinatie met Teams, met behulp van de parameters TeamsChannelID en DestinationEmail in de SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist.

Zie Van nul tot hero-beveiligingsdekking met Microsoft Sentinel voor uw kritieke SAP-beveiligingssignalen – deel 2 (SAP-blogbericht) voor meer informatie.

Deactivering van auditlogboekregistratie voorkomen

Mogelijk maakt u zich ook zorgen over het SAP-auditlogboek, dat een van uw beveiligingsgegevensbronnen is, die wordt gedeactiveerd. U wordt aangeraden een automatiseringsregel te bouwen op basis van de SAP - Deactivering van de regel voor auditlogboekanalyse voor beveiligingscontrole om de logboekregistratie van opnieuw in te schakelen audit aan te roepen zodra het playbook is gedeactiveerd om ervoor te zorgen dat het SAP-auditlogboek niet is gedeactiveerd.

Het playbook SAP - Deactivatie van het beveiligingscontrolelogboek maakt ook gebruik van Teams en informeert beveiligingspersoneel na het feit. De ernst van de overtreding en de urgentie van de beperking geven aan dat onmiddellijk actie kan worden ondernomen zonder goedkeuring vereist.

Omdat het playbook SAP - Deactivation of Security Audit Log ook gebruikmaakt van Azure Key Vault voor het beheren van referenties, is de configuratie van het playbook vergelijkbaar met die van de vergrendelingsgebruiker van Teams - Geavanceerde playbook. Zie Van nul tot hero-beveiligingsdekking met Microsoft Sentinel voor uw kritieke SAP-beveiligingssignalen – deel 3 (SAP-blogbericht) voor meer informatie.

Zie Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen voor meer informatie.