Controleregels voor SAP-auditlogboeken configureren
Het SAP-auditlogboek registreert controle- en beveiligingsacties op SAP-systemen, zoals mislukte aanmeldingspogingen of andere verdachte acties. In dit artikel wordt beschreven hoe u het SAP-auditlogboek bewaakt met behulp van ingebouwde analyseregels van Microsoft Sentinel.
Met deze regels kunt u alle auditlogboekgebeurtenissen bewaken of alleen waarschuwingen ontvangen wanneer afwijkingen worden gedetecteerd. Op deze manier kunt u uw SAP-logboeken beter beheren en ruis verminderen zonder dat dit ten opzichte van uw beveiligingswaarde in gevaar komt.
U gebruikt twee analyseregels om uw SAP-auditlogboekgegevens te bewaken en te analyseren:
- SAP - Dynamische deterministische controlelogboekcontrole (PREVIEW). Waarschuwingen voor sap-auditlogboekgebeurtenissen met minimale configuratie. U kunt de regel configureren voor een nog lager fout-positief percentage. Meer informatie over het configureren van de regel.
- SAP - Waarschuwingen voor controlelogboeken op basis van dynamische anomalie (PREVIEW). Waarschuwingen voor SAP-auditlogboekgebeurtenissen wanneer afwijkingen worden gedetecteerd, met behulp van machine learning-mogelijkheden en zonder codering. Meer informatie over het configureren van de regel.
De twee controleregels voor het SAP-auditlogboek worden standaard geleverd en maken verdere afstemming mogelijk met behulp van de SAP_Dynamic_Audit_Log_Monitor_Configuration en SAP_User_Config volglijsten.
Afwijkingsdetectie
Wanneer u beveiligingsgebeurtenissen probeert te identificeren in een divers activiteitenlogboek, zoals het SAP-auditlogboek, moet u een balans vinden tussen de configuratie-inspanningen en de hoeveelheid ruis die de waarschuwingen veroorzaken.
Met de sap-auditlogboekmodule in de Oplossing Sentinel voor SAP kunt u kiezen:
- Welke gebeurtenissen u deterministisch wilt bekijken, met behulp van aangepaste, vooraf gedefinieerde drempelwaarden en filters.
- Welke gebeurtenissen u wilt weglaten, zodat de machine de parameters zelf kan leren.
Nadat u een gebeurtenistype van een SAP-auditlogboek hebt gemarkeerd voor anomaliedetectie, controleert de waarschuwingsengine de gebeurtenissen die onlangs zijn gestreamd vanuit het SAP-auditlogboek. De engine controleert of de gebeurtenissen normaal lijken, rekening houdend met de geschiedenis die deze heeft geleerd.
Microsoft Sentinel controleert een gebeurtenis of groep gebeurtenissen op afwijkingen. Er wordt geprobeerd de gebeurtenis of groep gebeurtenissen te koppelen aan eerder geziene activiteiten van hetzelfde type, op gebruikers- en systeemniveau. Het algoritme leert de netwerkkenmerken van de gebruiker op het niveau van het subnetmasker en op basis van seizoensgebondenheid.
Met deze mogelijkheid kunt u zoeken naar afwijkingen in eerder stille gebeurtenistypen, zoals aanmeldingsgebeurtenissen van gebruikers. Als de gebruiker JohnDoe zich bijvoorbeeld honderden keren per uur aanmeldt, kunt u microsoft Sentinel nu laten bepalen of het gedrag verdacht is. Vernieuwt deze John van de boekhouding herhaaldelijk een financieel dashboard met meerdere gegevensbronnen of wordt er een DDoS-aanval gevormd?
De regel SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) instellen voor anomaliedetectie
Als uw SAP-auditlogboekgegevens nog geen gegevens streamen naar de Microsoft Sentinel-werkruimte, leest u hoe u de oplossing implementeert.
- Selecteer in het Microsoft Sentinel-navigatiemenu onder Inhoudsbeheerde optie Inhoudshub (preview).
- Controleer of uw Continue bedreigingsbewaking voor SAP-toepassing updates heeft.
- Schakel in het navigatiemenu onder Analyse deze drie waarschuwingen voor auditlogboeken in:
- SAP : dynamische deterministische controlelogboekmonitor. Wordt elke 10 minuten uitgevoerd en is gericht op de sap-auditlogboekgebeurtenissen die zijn gemarkeerd als Deterministisch.
- SAP - (preview) Waarschuwingen voor controlelogboeken op basis van dynamische anomalie. Wordt elk uur uitgevoerd en is gericht op SAP-gebeurtenissen die zijn gemarkeerd als AnomaliesOnly.
- SAP: ontbrekende configuratie in de controlelogboekcontrole voor dynamische beveiliging. Wordt dagelijks uitgevoerd om configuratieaanbeveling te doen voor de SAP-auditlogboekmodule.
Microsoft Sentinel scant nu regelmatig het volledige SAP-auditlogboek op deterministische beveiligingsgebeurtenissen en afwijkingen. U kunt de incidenten die door dit logboek worden gegenereerd, bekijken op de pagina Incidenten .
Net als bij elke machine learning-oplossing presteert deze beter met de tijd. Anomaliedetectie werkt het beste met behulp van een SAP-auditlogboekgeschiedenis van zeven dagen of langer.
Gebeurtenistypen configureren met de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst
U kunt gebeurtenistypen die te veel incidenten produceren verder configureren met behulp van de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst. Hier volgen enkele opties voor het verminderen van incidenten.
| Optie | Beschrijving |
|---|---|
| Ernst instellen en ongewenste gebeurtenissen uitschakelen | Standaard maken zowel de deterministische regels als de regels op basis van afwijkingen waarschuwingen voor gebeurtenissen die zijn gemarkeerd met gemiddelde en hoge ernst. U kunt deze ernstcategorieƫn specifiek instellen voor productie- en niet-productieomgevingen. U kunt bijvoorbeeld een foutopsporingsactiviteitsgebeurtenis instellen als een hoge ernst in productiesystemen en deze gebeurtenissen uitschakelen in niet-productiesystemen. |
| Gebruikers uitsluiten op basis van hun SAP-rollen of SAP-profielen | Microsoft Sentinel voor SAP neemt het autorisatieprofiel van de SAP-gebruiker op, inclusief directe en indirecte roltoewijzingen, groepen en profielen, zodat u de SAP-taal in uw SIEM kunt spreken. U kunt een SAP-gebeurtenis configureren om gebruikers uit te sluiten op basis van hun SAP-rollen en -profielen. Voeg in de volglijst de rollen of profielen toe die uw RFC-interfacegebruikers groeperen in de kolom RolesTagsToExclude , naast de gebeurtenis Algemene tabeltoegang door RFC . Vanaf nu ontvangt u alleen waarschuwingen voor gebruikers die deze rollen missen. |
| Gebruikers uitsluiten op basis van hun SOC-tags | Met tags kunt u uw eigen groepering bedenken, zonder te vertrouwen op ingewikkelde SAP-definities of zelfs zonder SAP-autorisatie. Deze methode is handig voor SOC-teams die hun eigen groepering willen maken voor SAP-gebruikers. Conceptueel werkt het uitsluiten van gebruikers op tags als naamtags: u kunt meerdere gebeurtenissen instellen in de configuratie met meerdere tags. U krijgt geen waarschuwingen voor een gebruiker met een tag die is gekoppeld aan een specifieke gebeurtenis. U wilt bijvoorbeeld niet dat specifieke serviceaccounts worden gewaarschuwd voor algemene tabeltoegang door RFC-gebeurtenissen , maar u kunt geen SAP-rol of een SAP-profiel vinden waarmee deze gebruikers worden gegroepeerd. In dit geval kunt u de tag GenTableRFCReadOK toevoegen naast de relevante gebeurtenis in de volglijst, vervolgens naar de SAP_User_Config volglijst gaan en de interfacegebruikers dezelfde tag toewijzen. |
| Geef een frequentiedrempel op per gebeurtenistype en systeemrol | Werkt als een snelheidslimiet. U kunt bijvoorbeeld besluiten dat de luidruchtige wijzigingen in de hoofdrecord van de gebruiker alleen waarschuwingen activeren als er meer dan 12 activiteiten in een uur worden waargenomen door dezelfde gebruiker in een productiesysteem. Als een gebruiker de limiet van 12 per uur overschrijdt, bijvoorbeeld 2 gebeurtenissen in een venster van 10 minuten, wordt een incident geactiveerd. |
| Determinisme of afwijkingen | Als u de kenmerken van de gebeurtenis kent, kunt u de deterministische mogelijkheden gebruiken. Als u niet zeker weet hoe u de gebeurtenis correct moet configureren, kunnen de mogelijkheden van machine learning beslissen. |
| SOAR-mogelijkheden | U kunt Microsoft Sentinel gebruiken om incidenten die kunnen worden toegepast op dynamische waarschuwingen van het SAP-auditlogboek, verder te organiseren, te automatiseren en erop te reageren. Meer informatie over Security Orchestration, Automation, and Response (SOAR). |
Volgende stappen
In dit artikel hebt u geleerd hoe u het SAP-auditlogboek kunt bewaken met behulp van ingebouwde analyseregels van Microsoft Sentinel.