Delen via


Microsoft Sentinel-oplossing voor SAP® BTP: naslaginformatie over beveiligingsinhoud

In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel-oplossing voor SAP® BTP.

Belangrijk

De Microsoft Sentinel-oplossing voor SAP® BTP is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Beschikbare beveiligingsinhoud bevat momenteel een ingebouwde werkmap en analyseregels. U kunt ook SAP-gerelateerde volglijsten toevoegen om te gebruiken in uw zoek-, detectieregels, opsporing van bedreigingen en reactie-playbooks.

Meer informatie over de oplossing.

SAP BTP-werkmap

De werkmap voor BTP-activiteiten biedt een dashboardoverzicht van BTP-activiteiten.

Schermopname van het tabblad Overzicht van de SAP BTP-werkmap.

Op het tabblad Overzicht ziet u het volgende:

  • Een overzicht van BTP-subaccounts, zodat analisten de meest actieve accounts en het type opgenomen gegevens kunnen identificeren.
  • Aanmeldingsactiviteit van subaccounts, waarmee analisten pieken en trends kunnen identificeren die mogelijk zijn gekoppeld aan aanmeldingsfouten in SAP Business Application Studio (BAS).
  • Tijdlijn van BTP-activiteit en aantal BTP-beveiligingswaarschuwingen, zodat analisten kunnen zoeken naar een correlatie tussen de twee.

Op het tabblad Identiteitsbeheer ziet u een raster met identiteitsbeheergebeurtenissen, zoals wijzigingen in gebruikers- en beveiligingsrollen, in een door mensen leesbare indeling. Met de zoekbalk kunt u snel specifieke wijzigingen vinden.

Schermopname van het tabblad Identity Management van de SAP BTP-werkmap.

Zie Zelfstudie: Uw gegevens visualiseren en bewaken enMicrosoft Sentinel-oplossing voor SAP® BTP implementeren voor meer informatie.

Ingebouwde analyseregels

Regelnaam Beschrijving Bronactie Tactieken
BTP - Mislukte toegangspogingen voor meerdere BAS-subaccounts Identificeert mislukte BAS-toegangspogingen (Business Application Studio) via een vooraf gedefinieerd aantal subaccounts.
Standaarddrempelwaarde: 3
Voer mislukte aanmeldingspogingen uit bij BAS boven het gedefinieerde drempelwaardeaantal subaccounts.

Gegevensbronnen: SAPBTPAuditLog_CL
Detectie, reconnaissance
BTP - Malware gedetecteerd in BAS-ontwikkelruimte Identificeert exemplaren van malware die zijn gedetecteerd door de interne SAP-malwareagent in BAS-ontwikkelruimten. Kopieer of maak een malwarebestand in een BAS-ontwikkelaarsruimte.

Gegevensbronnen: SAPBTPAuditLog_CL
Uitvoering, persistentie, resourceontwikkeling
BTP - Gebruiker toegevoegd aan verzameling gevoelige bevoorrechte rollen Identificeert acties voor identiteitsbeheer waarbij een gebruiker wordt toegevoegd aan een set bewaakte bevoorrechte rolverzamelingen. Wijs een van de volgende rolverzamelingen toe aan een gebruiker: 'Subaccount servicebeheerder', 'Subaccountbeheerder', 'Connectiviteits- en doelbeheerder', 'Doelbeheerder', 'Cloudconnectorbeheerder'.

Gegevensbronnen: SAPBTPAuditLog_CL
Laterale verplaatsing, escalatie van bevoegdheden
BTP - Bewaking van id-provider vertrouwen en autorisatie Identificeert crud-bewerkingen (maken, lezen, bijwerken en verwijderen) in de instellingen van de id-provider binnen een subaccount. De instellingen van de id-provider in een subaccount wijzigen, lezen, bijwerken of verwijderen.

Gegevensbronnen: SAPBTPAuditLog_CL
Referentietoegang, escalatie van bevoegdheden
BTP - Massaal verwijderen van gebruikers in een subaccount Identificeert activiteit voor het verwijderen van gebruikersaccounts waarbij het aantal verwijderde gebruikers een vooraf gedefinieerde drempelwaarde overschrijdt.
Standaarddrempelwaarde: 10
Verwijder het aantal gebruikersaccounts boven de gedefinieerde drempelwaarde.

Gegevensbronnen: SAPBTPAuditLog_CL
Impact

Volgende stappen

In dit artikel hebt u geleerd over de beveiligingsinhoud die wordt geleverd met de Microsoft Sentinel-oplossing voor SAP® BTP.