Share via

Microsoft Sentinel-oplossing voor SAP-toepassingen® - SAP -Security Audit-logboek en eerste toegangswerkmap

  • Artikel

In dit artikel worden het SAP-beveiligingscontrolelogboek en de eerste toegangswerkmap beschreven, die wordt gebruikt voor het bewaken en bijhouden van gebruikerscontroleactiviteiten in uw SAP-systemen. U kunt de werkmap gebruiken om een vogelvlucht te krijgen op gebruikerscontroleactiviteiten, om uw SAP-systemen beter te beveiligen en snel inzicht te krijgen in verdachte acties. U kunt indien nodig inzoomen op verdachte gebeurtenissen.

U kunt de werkmap gebruiken voor doorlopende bewaking van uw SAP-systemen of om de systemen te controleren na een beveiligingsincident of andere verdachte activiteiten.

De werkmap gaan gebruiken

  1. Selecteer werkmappen in de Microsoft Sentinel-portal in het menu Bedreigingsbeheer.

  2. Ga in de galerie Werkmappen naar Sjablonen en voer SAP in de zoekbalk in en selecteer SAP -Security Audit log en Initial Access in de resultaten.

  3. Selecteer Sjabloon weergeven om de workbook in de bestaande staat te gebruiken of selecteer Opslaan om een bewerkbare kopie van de workbook te maken. Wanneer de kopie is gemaakt, selecteert u Opgeslagen workbook weergeven.

    Screenshot of the top of the SAP -Security Audit log and Initial Access workbook.

    Belangrijk

    Het SAP -Security Audit-logboek en de werkmap Initial Access worden gehost door de werkruimte waarin de Microsoft Sentinel-oplossing voor SAP-toepassingen® is geïnstalleerd. Standaard wordt ervan uitgegaan dat zowel de SAP- als de SOC-gegevens zich in de werkruimte bevinden die als host fungeert voor de werkmap.

    Als de SOC-gegevens zich in een andere werkruimte bevinden dan de werkruimte die als host fungeert voor de werkmap, moet u het abonnement voor die werkruimte opnemen en de SOC-werkruimte selecteren in de Azure-audit- en activiteitswerkruimte.

  4. Selecteer de volgende velden om de gegevens te filteren op basis van uw behoeften:

    • Tijdsbereik. Van vier uur tot 90 dagen.
    • Systeemrollen. De SAP-systeemrollen, bijvoorbeeld: Ontwikkeling.
    • Systeemgebruik. Bijvoorbeeld: SAP GTS.
    • SAP-systemen. U kunt alle systemen, een specifiek systeem of meerdere systemen selecteren.

    Als u systemen selecteert die niet zijn geconfigureerd in de watchlist 'SAP-systemen', wordt in de werkmap een fout weergegeven, waarbij de systemen met problemen worden opgegeven. In dit geval configureert u de volglijst zodanig dat deze systemen correct worden opgenomen.

Overzicht van werkmap

De werkmap is onderverdeeld in twee tabbladen:

  • Aanmeldingsanalyserapport. Toont verschillende typen gegevens met betrekking tot aanmeldingsfouten. Gegevens bevatten afwijkende gegevens, Microsoft Entra-gegevens en meer. De gegevens zijn gebaseerd op de watchlist 'SAP-systemen'.
  • Rapport waarschuwingen voor auditlogboeken. Toont verschillende soorten gegevens met betrekking tot de SAP-auditlogboekgebeurtenissen die door de Microsoft Sentinel-oplossing voor SAP-toepassingen® worden gecontroleerd. De gegevens zijn gebaseerd op de watchlist 'SAP_Dynamic_Audit_Log_Monitor_Configuration'.

Tabblad Rapport voor aanmeldingsanalyse

Bevat de gebieden Aanmeldingsanalyse en Aanmeldingsfouten .

Aanmeldingsanalyse

Toont verschillende typen gegevens met betrekking tot aanmeldingen van gebruikers.

Screenshot of the Logon Analysis area of the SAP Audit workbook.

Oppervlakte Description Opties
Unieke gebruikersaanmeldingen per systeem Toont het aantal unieke aanmeldingen voor elk SAP-systeem en een grafiek met de aanmeldingstrends gedurende de geselecteerde tijd voor elk systeem. Bijvoorbeeld: het 012-systeem heeft 1,4 K unieke aanmeldingspogingen in de afgelopen 14 dagen, en in deze 14 dagen toont de grafiek een relatief stijgende aanmeldingstrend.
Trend voor aanmeldingstypen Toont een trend van het aantal aanmeldingen op basis van het type, bijvoorbeeld aanmelden via dialoogvenster. U kunt de muisaanwijzer over de grafiek bewegen om het aantal aanmeldingen voor verschillende datums weer te geven.
Aanmeldingsfouten versus succes door unieke gebruikers - trend Toont een trend van geslaagde en mislukte aanmeldingen in de geselecteerde periode. U kunt de muisaanwijzer over de grafiek bewegen om de hoeveelheid geslaagde en mislukte aanmeldingen voor verschillende datums weer te geven.

Aanmeldingsfouten - anomaliedetectie

De gebieden onder Anomaliedetectie: het filteren van mislukte aanmeldingspogingen bij mislukte aanmeldingen tonen aanmeldingsgegevens voor SAP-systemen en -gebruikers. Als u alleen gegevens wilt zien die zijn gemarkeerd door anomaliedetectie, selecteert u alleen afwijkende aanmeldingen naast Mislukte aanmeldingen aan de rechterkant.

Screenshot of the sections in the Logon failures area of the SAP Audit workbook that you can filter by anomalous data.

Oppervlakte Description Specifieke gegevens Opties/notities
Mislukte aanmeldingsfrequentie aanmeldingsfouten unieke gebruiker mislukte aanmeldingen>per SAP-systeem> Toont het aantal unieke mislukte aanmeldingen voor elk SAP-systeem.
SAP en Active Directory zijn beter samen In de tabel Afwijkende aanmeldingsfouten ziet u een combinatie van Microsoft Sentinel- en Microsoft Entra-gegevens. In de werkmap worden de gebruikers weergegeven op basis van risico: Gebruikers die aangeven dat het meeste risico boven aan de lijst staat en de gebruikers met minder beveiligingsrisico's onderaan. Voor elke gebruiker wordt het volgende weergegeven:
• Een tijdlijn met mislukte aanmeldingspogingen
• Er is een tijdlijn weergegeven waarop een afwijkende mislukte poging is opgetreden
• Het type anomalie
• Het e-mailadres van de gebruiker
• De Risicoindicator van Microsoft Entra
• Het aantal incidenten en waarschuwingen in Microsoft Sentinel		 • Wanneer u een rij selecteert, ziet u een lijst met waarschuwingen en incidenten voor die gebruiker onder Overzicht incidenten/waarschuwingen voor de gebruiker. Onder deze lijst ziet u ook de risicogebeurtenissen van Microsoft Entra onder Azure-audit- en aanmeldingsrisico's voor de gebruiker.
• Als uw Microsoft Entra-gegevens zich in een andere Log Analytics-werkruimte bevinden, selecteert u de relevante abonnementen en werkruimten boven aan de werkmap, onder Azure-controle en -activiteiten.
Aantal aanmeldingsfouten per systeem Vertegenwoordigt visueel de geselecteerde SAP-systemen. • Voor elk systeem wordt het aantal storingen in de geselecteerde periode weergegeven
• Systemen worden gegroepeerd op type.
• De kleur van het systeem geeft het aantal mislukte pogingen aan: Groen geeft enkele verdachte aanmeldingspogingen aan, waarbij rood meer verdachte aanmeldingspogingen aangeeft.		 U kunt een systeem selecteren om een lijst met mislukte aanmeldingen weer te geven met details over de fouten.

In deze schermopname ziet u de gegevens die worden weergegeven wanneer de eerste regel is geselecteerd in de tabel Afwijkende aanmeldingsfouten . De specifieke waarschuwingen en incident-URL's worden weergegeven in het overzicht incidenten/waarschuwingen voor de gebruikerstabel .

Screenshot of data shown when a line is selected in the Anomalous login failures table.

In deze schermopname toont de Azure-audit- en aanmeldingsrisico's voor de gebruikerstabel gegevens voor het aanmeldingsrisico met betrekking tot deze gebruiker.

Screenshot of audit and sign-in risk data shown when a line is selected in the Anomalous login failures table.

In deze schermopname ziet u het aantal mislukte aanmeldingen per systeemgebied, waarbij het 84e-systeem onder detestgroep is geselecteerd. De mislukte aanmeldingen voor het systeemgebied aan de rechterkant tonen foutgebeurtenissen voor dit systeem.

Screenshot of the Login failure rate per system area of the SAP Audit workbook.

Aanmeldingsfouten - trends

In het gebied Aanmeldingsfouten worden de trends en het aantal mislukte aanmeldingen weergegeven, gegroepeerd op verschillende typen gegevens.

Screenshot of the Logon failures trends area of the SAP Audit workbook.

Oppervlakte Description
Aanmeldingsfout door oorzaak Toont een trend van het aantal mislukte aanmeldingen op basis van de oorzaak van de fout, bijvoorbeeld: onjuiste aanmeldingsgegevens.
Aanmeldingsfout per type Toont een trend van het aantal mislukte aanmeldingen op basis van het type, bijvoorbeeld: de aanmelding heeft een achtergrondtaak geactiveerd of de aanmelding is via HTTP.
Aanmeldingsfout per methode Toont een trend van het aantal mislukte aanmeldingen volgens de methode, bijvoorbeeld: SNC of een aanmeldingsticket.

Rapporttabblad Waarschuwingen voor auditlogboeken

Dit tabblad toont ernst- en controletrends voor elk SAP-systeem en elke gebruiker. In alle gebieden op dit tabblad worden alleen gegevens weergegeven die zijn gemarkeerd door anomaliedetectie . Voor alle gebeurtenissen selecteert u Alle naast Mislukte aanmeldingen aan de rechterkant.

Screenshot of the Audit Log Alerts area of the SAP Audit workbook.

Oppervlakte Description Specifieke gegevens Opties/notities
Trends in de ernst van waarschuwingen per systeem-id Toont een lijst met systemen, met een grafiek met gebeurtenistrends van gemiddelde en hoge ernst per systeem. Het 012-systeem had bijvoorbeeld veel gebeurtenissen met hoge ernst gedurende de hele periode en enkele gebeurtenissen met een gemiddelde ernst met een piek met meer gebeurtenissen met gemiddelde ernst in het midden van de periode.
Trend per gebruiker controleren Toont een combinatie van Microsoft Sentinel- en Microsoft Entra-gegevens. In de werkmap worden de gebruikers weergegeven op basis van risico: Gebruikers die aangeven dat het meeste risico boven aan de lijst staat en gebruikers met minder beveiligingsrisico's staan onderaan. Voor elke gebruiker wordt het volgende weergegeven:
• Een tijdlijn met gebeurtenissen met een hoge en gemiddelde ernst
• Het e-mailadres van de gebruiker
• De Risicoindicator van Microsoft Entra
• Het aantal incidenten en waarschuwingen in Microsoft Sentinel		 Wanneer u een rij selecteert, ziet u een lijst met waarschuwingen en incidenten voor die gebruiker onder Overzicht incidenten/waarschuwingen voor de gebruiker. Onder deze lijst ziet u ook de risicogebeurtenissen van Microsoft Entra onder Azure-audit- en aanmeldingsrisico's voor de gebruiker.
Risicoscore per systeem Vertegenwoordigt elk systeem in een celvorm visueel. • Toont de risicoscore voor elk systeem.
• Systemen worden gegroepeerd op type.
• De kleur van het systeem geeft het risico aan: Groen geeft een systeem aan met een lagere risicoscore, waarbij rood een hogere risicoscore aangeeft.		 U kunt een systeem selecteren om een lijst met SAP-gebeurtenissen per systeem weer te geven.
Gebeurtenissen van MITRE ATT&CK-tactieken® Toont een lijst met SAP-gebeurtenissen gegroepeerd op MITRE ATT&CK-tactieken®, zoals Initial Access of Defense Evasion. U kunt de muisaanwijzer over de grafiek bewegen om het aantal aanmeldingen voor verschillende datums weer te geven.
Gebeurtenissen per categorie Toont een lijst met SAP-gebeurtenistrends gegroepeerd op categorie, zoals RFC Start of Aanmelden. U kunt de muisaanwijzer over de grafiek bewegen om het aanmeldingsnummer voor verschillende datums weer te geven.
Gebeurtenissen per autorisatiegroep Toont een lijst met SAP-gebeurtenistrends gegroepeerd op de SAP-autorisatiegroep, zoals GEBRUIKER of SUPER. U kunt de muisaanwijzer over de grafiek bewegen om het aantal aanmeldingen voor verschillende datums weer te geven.
Gebeurtenissen per gebruikerstype Toont een lijst met SAP-gebeurtenistrends gegroepeerd op het SAP-gebruikerstype, zoals Dialoogvenster of systeem. U kunt de muisaanwijzer over de grafiek bewegen om het aantal aanmeldingen voor verschillende datums weer te geven.

In deze schermopname ziet u de gegevens die worden weergegeven wanneer de eerste regel is geselecteerd in de tabel Audittrends per gebruiker . De specifieke waarschuwingen en incident-URL's worden weergegeven in het overzicht incidenten/waarschuwingen voor de gebruikerstabel .

Screenshot of data shown when a line is selected in the Audit trends per user table.

In deze schermopname ziet u de risicoscore per systeemgebied , waarbij het cb7-systeem onder de UAT-groep is geselecteerd. De SAP-gebeurtenissen voor systeemgebied onder de systeemvisualisatie toont de SAP-gebeurtenis voor dit systeem.

Screenshot of the Risk score per system area of the SAP Audit workbook.

In deze schermopname ziet u gebieden met gebeurtenissen en gebeurtenistrends gegroepeerd op verschillende typen gegevens: MITRE ATT&CK-tactieken®, SAP-autorisatiegroep en gebruikerstype.

Screenshot of the different event data in the SAP Audit workbook.

Volgende stappen

Zie voor meer informatie: