Microsoft Sentinel-oplossing voor SAP® BTP: naslaginformatie over beveiligingsinhoud
In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel-oplossing voor SAP® BTP.
Belangrijk
De Microsoft Sentinel-oplossing voor SAP® BTP is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Beschikbare beveiligingsinhoud bevat momenteel een ingebouwde werkmap en analyseregels. U kunt ook SAP-gerelateerde volglijsten toevoegen om te gebruiken in uw zoek-, detectieregels, opsporing van bedreigingen en reactie-playbooks.
Meer informatie over de oplossing.
SAP BTP-werkmap
De werkmap voor BTP-activiteiten biedt een dashboardoverzicht van BTP-activiteiten.
Op het tabblad Overzicht ziet u het volgende:
- Een overzicht van BTP-subaccounts, zodat analisten de meest actieve accounts en het type opgenomen gegevens kunnen identificeren.
- Aanmeldingsactiviteit van subaccounts, waarmee analisten pieken en trends kunnen identificeren die mogelijk zijn gekoppeld aan aanmeldingsfouten in SAP Business Application Studio (BAS).
- Tijdlijn van BTP-activiteit en aantal BTP-beveiligingswaarschuwingen, zodat analisten kunnen zoeken naar een correlatie tussen de twee.
Op het tabblad Identiteitsbeheer ziet u een raster met identiteitsbeheergebeurtenissen, zoals wijzigingen in gebruikers- en beveiligingsrollen, in een door mensen leesbare indeling. Met de zoekbalk kunt u snel specifieke wijzigingen vinden.
Zie Zelfstudie: Uw gegevens visualiseren en bewaken enMicrosoft Sentinel-oplossing voor SAP® BTP implementeren voor meer informatie.
Ingebouwde analyseregels
Regelnaam | Beschrijving | Bronactie | Tactieken |
---|---|---|---|
BTP - Mislukte toegangspogingen voor meerdere BAS-subaccounts | Identificeert mislukte BAS-toegangspogingen (Business Application Studio) via een vooraf gedefinieerd aantal subaccounts. Standaarddrempelwaarde: 3 |
Voer mislukte aanmeldingspogingen uit bij BAS boven het gedefinieerde drempelwaardeaantal subaccounts. Gegevensbronnen: SAPBTPAuditLog_CL |
Detectie, reconnaissance |
BTP - Malware gedetecteerd in BAS-ontwikkelruimte | Identificeert exemplaren van malware die zijn gedetecteerd door de interne SAP-malwareagent in BAS-ontwikkelruimten. | Kopieer of maak een malwarebestand in een BAS-ontwikkelaarsruimte. Gegevensbronnen: SAPBTPAuditLog_CL |
Uitvoering, persistentie, resourceontwikkeling |
BTP - Gebruiker toegevoegd aan verzameling gevoelige bevoorrechte rollen | Identificeert acties voor identiteitsbeheer waarbij een gebruiker wordt toegevoegd aan een set bewaakte bevoorrechte rolverzamelingen. | Wijs een van de volgende rolverzamelingen toe aan een gebruiker: 'Subaccount servicebeheerder', 'Subaccountbeheerder', 'Connectiviteits- en doelbeheerder', 'Doelbeheerder', 'Cloudconnectorbeheerder'. Gegevensbronnen: SAPBTPAuditLog_CL |
Laterale verplaatsing, escalatie van bevoegdheden |
BTP - Bewaking van id-provider vertrouwen en autorisatie | Identificeert crud-bewerkingen (maken, lezen, bijwerken en verwijderen) in de instellingen van de id-provider binnen een subaccount. | De instellingen van de id-provider in een subaccount wijzigen, lezen, bijwerken of verwijderen. Gegevensbronnen: SAPBTPAuditLog_CL |
Referentietoegang, escalatie van bevoegdheden |
BTP - Massaal verwijderen van gebruikers in een subaccount | Identificeert activiteit voor het verwijderen van gebruikersaccounts waarbij het aantal verwijderde gebruikers een vooraf gedefinieerde drempelwaarde overschrijdt. Standaarddrempelwaarde: 10 |
Verwijder het aantal gebruikersaccounts boven de gedefinieerde drempelwaarde. Gegevensbronnen: SAPBTPAuditLog_CL |
Impact |
Volgende stappen
In dit artikel hebt u geleerd over de beveiligingsinhoud die wordt geleverd met de Microsoft Sentinel-oplossing voor SAP® BTP.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor