Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel-oplossing voor SAP.
Belangrijk
Hoewel de Microsoft Sentinel-oplossing voor SAP-toepassingen® algemeen beschikbaar is, blijven sommige specifieke onderdelen in PREVIEW. In dit artikel worden de onderdelen aangegeven die in preview zijn in de relevante secties hieronder. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Beschikbare beveiligingsinhoud omvat ingebouwde werkmappen en analyseregels. U kunt ook SAP-gerelateerde volglijsten toevoegen voor gebruik in uw zoek-, detectieregels, opsporing van bedreigingen en reactie-playbooks.
Ingebouwde werkmappen
Gebruik de volgende ingebouwde werkmappen om gegevens die zijn opgenomen via de SAP-gegevensconnector te visualiseren en te bewaken. Nadat u de SAP-oplossing hebt geïmplementeerd, kunt u SAP-werkmappen vinden op het tabblad Mijn werkmappen .
| Werkmapnaam | Description | Logboeken |
|---|---|---|
| SAP - Auditlogboekbrowser | Geeft gegevens weer zoals: Algemene systeemstatus, waaronder aanmeldingen van gebruikers in de loop van de tijd, gebeurtenissen die door het systeem worden opgenomen, berichtklassen en -id's en ABAP-programma's worden uitgevoerd Ernst van gebeurtenissen die zich in uw systeem voordoen Verificatie- en autorisatie-gebeurtenissen die plaatsvinden in uw systeem |
Gebruikt gegevens uit het volgende logboek: ABAPAuditLog_CL |
Zie Zelfstudie: Uw gegevens visualiseren en bewaken enMicrosoft Sentinel-oplossing implementeren voor SAP-toepassingen® voor meer informatie.
Ingebouwde analyseregels
De configuratie van statische SAP-beveiligingsparameters bewaken (preview)
Om het SAP-systeem te beveiligen, heeft SAP beveiligingsgerelateerde parameters geïdentificeerd die moeten worden bewaakt op wijzigingen. Met de regel 'SAP - (Preview) Sensitive Static Parameter has Changed' houdt de Microsoft Sentinel-oplossing voor SAP-toepassingen® meer dan 52 statische beveiligingsparameters bij in het SAP-systeem , die zijn ingebouwd in Microsoft Sentinel.
Notitie
Voor de Microsoft Sentinel-oplossing voor SAP-toepassingen® om de SAP-beveiligingsparameters te bewaken, moet de oplossing de SAP PAHI-tabel regelmatig controleren. Controleer of de oplossing de PAHI-tabel kan bewaken.
Voor inzicht in parameterwijzigingen in het systeem gebruikt de Microsoft Sentinel-oplossing voor SAP-toepassingen® de parametergeschiedenistabel, waarin wijzigingen in systeemparameters elk uur worden vastgelegd.
De parameters worden ook weergegeven in de volglijst van SAPSystemParameters. Met deze volglijst kunnen gebruikers nieuwe parameters toevoegen, bestaande parameters uitschakelen en de waarden en ernst per parameter en systeemrol wijzigen in productie- of niet-productieomgevingen.
Wanneer een wijziging wordt aangebracht in een van deze parameters, controleert Microsoft Sentinel of de wijziging betrekking heeft op de beveiliging en of de waarde is ingesteld op basis van de aanbevolen waarden. Als de wijziging wordt vermoed dat deze zich buiten de veilige zone bevindt, maakt Microsoft Sentinel een incident met details over de wijziging en wordt geïdentificeerd wie de wijziging heeft aangebracht.
Bekijk de lijst met parameters die met deze regel worden bewaakt.
Het SAP-auditlogboek bewaken
De SAP-auditlogboekgegevens worden gebruikt in veel van de analyseregels van de Microsoft Sentinel-oplossing voor SAP-toepassingen®. Sommige analyseregels zoeken naar specifieke gebeurtenissen in het logboek, terwijl andere indicaties uit verschillende logboeken correleren om waarschuwingen en incidenten met hoge kwaliteit te produceren.
Daarnaast zijn er twee analyseregels die zijn ontworpen voor de volledige set standaard SAP-auditlogboekgebeurtenissen (183 verschillende gebeurtenissen) en andere aangepaste gebeurtenissen die u kunt vastleggen met behulp van het SAP-auditlogboek.
Beide sap-controlelogboekcontroleanalyseregels delen dezelfde gegevensbronnen en dezelfde configuratie, maar verschillen in één kritiek aspect. Hoewel de regel 'SAP - Dynamic Deterministic Audit Log Monitor' deterministische waarschuwingsdrempels en uitsluitingsregels voor gebruikers vereist, past de regel 'SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)' aanvullende machine learning-algoritmen toe om achtergrondruis zonder supervisie te filteren. Daarom worden de meeste gebeurtenistypen (of SAP-bericht-id's) van het SAP-auditlogboek standaard verzonden naar de analyseregel 'Op anomalie gebaseerd', terwijl de eenvoudiger te definiëren gebeurtenistypen worden verzonden naar de deterministische analyseregel. Deze instelling kan, samen met andere gerelateerde instellingen, verder worden geconfigureerd om aan alle systeemvoorwaarden te voldoen.
SAP - Dynamische deterministische controlelogboekmonitor
Een regel voor dynamische analyse die is bedoeld voor de volledige set sap-auditlogboekgebeurtenistypen met een deterministische definitie in termen van gebruikerspopulatie en drempelwaarden voor gebeurtenissen.
- De regel configureren met de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst
- Meer informatie over het configureren van de regel (volledige procedure)
SAP - Waarschuwingen voor controlelogboek op basis van dynamische anomalie (PREVIEW)
Een dynamische analyseregel die is ontworpen om normaal systeemgedrag te leren en waarschuwingen te ontvangen over activiteiten die worden waargenomen in het SAP-auditlogboek die als afwijkend worden beschouwd. Pas deze regel toe op de gebeurtenistypen van het SAP-auditlogboek die moeilijker te definiëren zijn in termen van gebruikerspopulatie, netwerkkenmerken en drempelwaarden.
Meer informatie:
- De regel configureren met de SAP_Dynamic_Audit_Log_Monitor_Configuration en SAP_User_Config volglijsten
- Meer informatie over het configureren van de regel (volledige procedure)
De volgende tabellen bevatten de ingebouwde analyseregels die zijn opgenomen in de Microsoft Sentinel-oplossing voor SAP-toepassingen®, geïmplementeerd vanuit de Microsoft Sentinel Solutions Marketplace.
Initial Access
| Regelnaam | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - Aanmelden vanuit onverwacht netwerk | Identificeert een aanmelding vanuit een onverwacht netwerk. Onderhoud netwerken in de volglijst sap - netwerken . |
Meld u aan bij het back-endsysteem vanaf een IP-adres dat niet is toegewezen aan een van de netwerken. Gegevensbronnen: SAPcon - Auditlogboek |
Initial Access |
| SAP - SPNego-aanval | Identificeert SPNego Replay Attack. | Gegevensbronnen: SAPcon - Auditlogboek | Impact, laterale beweging |
| SAP - Aanmeldingspoging in dialoogvenster van een bevoegde gebruiker | Identificeert aanmeldingspogingen in dialoogvensters, met het AUM-type , door bevoegde gebruikers in een SAP-systeem. Zie SAPUsersGetPrivileged voor meer informatie. | Probeer u binnen het geplande tijdsinterval vanaf hetzelfde IP-adres aan te melden bij verschillende systemen of clients Gegevensbronnen: SAPcon - Auditlogboek |
Impact, laterale beweging |
| SAP - Brute force-aanvallen | Identificeert beveiligingsaanvallen op het SAP-systeem met behulp van RFC-aanmeldingen | Probeer u vanuit hetzelfde IP-adres aan te melden bij verschillende systemen/clients binnen het geplande tijdsinterval met behulp van RFC Gegevensbronnen: SAPcon - Auditlogboek |
Toegang tot referenties |
| SAP - Meerdere aanmeldingen van hetzelfde IP-adres | Identificeert de aanmelding van meerdere gebruikers vanaf hetzelfde IP-adres binnen een gepland tijdsinterval. Subgebruiksvoorbeeld: Persistentie |
Meld u aan met meerdere gebruikers via hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek |
Initial Access |
| SAP - Meerdere aanmeldingen per gebruiker | Identificeert aanmeldingen van dezelfde gebruiker vanaf verschillende terminals binnen het geplande tijdsinterval. Alleen beschikbaar via de audit SAL-methode, voor SAP-versies 7.5 en hoger. |
Meld u aan met dezelfde gebruiker, met verschillende IP-adressen. Gegevensbronnen: SAPcon - Auditlogboek |
PreAttack, Referentietoegang, Eerste toegang, Verzameling Subgebruiksvoorbeeld: Persistentie |
| SAP - Informatie - Levenscyclus - SAP-notities zijn geïmplementeerd in het systeem | Identificeert sap-notitie-implementatie in het systeem. | Implementeer een SAP-notitie met behulp van SNOTE/TCI. Gegevensbronnen: SAPcon - Wijzigingsaanvragen |
- |
Gegevensoverdracht
| Regelnaam | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - FTP voor niet-geautoriseerde servers | Identificeert een FTP-verbinding voor een niet-geautoriseerde server. | Maak een nieuwe FTP-verbinding, bijvoorbeeld met behulp van de functiemodule FTP_CONNECT. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, initiële toegang, opdracht en beheer |
| SAP - Configuratie van onveilige FTP-servers | Identificeert onveilige FTP-serverconfiguraties, bijvoorbeeld wanneer een FTP-acceptatielijst leeg is of tijdelijke aanduidingen bevat. | Gebruik de onderhoudsweergave niet om waarden te onderhouden die tijdelijke aanduidingen in de SAPFTP_SERVERSSAPFTP_SERVERS_V tabel bevatten. (SM30)Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang, opdracht en beheer |
| SAP - Meerdere bestanden downloaden | Identificeert meerdere bestandsdownloads voor een gebruiker binnen een specifiek tijdsbereik. | Download meerdere bestanden met behulp van de SAPGui voor Excel, lijsten, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, Exfiltratie, Toegang tot referenties |
| SAP - Uitvoeringen van meerdere spools | Identificeert meerdere spools voor een gebruiker binnen een specifiek tijdsbereik. | Meerdere spooltaken van elk type door een gebruiker maken en uitvoeren. (SP01) Gegevensbronnen: SAPcon - Spoollogboek, SAPcon - Auditlogboek |
Verzameling, Exfiltratie, Toegang tot referenties |
| SAP - Uitvoeruitvoeringen van meerdere spools | Identificeert meerdere spools voor een gebruiker binnen een specifiek tijdsbereik. | Meerdere spooltaken van elk type door een gebruiker maken en uitvoeren. (SP01) Gegevensbronnen: SAPcon - Spool-uitvoerlogboek, SAPcon - Auditlogboek |
Verzameling, Exfiltratie, Toegang tot referenties |
| SAP - Gevoelige tabellen Directe toegang door RFC-aanmelding | Identificeert een algemene tabeltoegang door RFC-aanmelding. Houd tabellen in de volglijst sap - gevoelige tabellen bij. Opmerking: alleen relevant voor productiesystemen. |
Open de inhoud van de tabel met SE11/SE16/SE16N. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, Exfiltratie, Toegang tot referenties |
| SAP - Spool-overname | Identificeert een gebruiker die een spoolaanvraag afdrukt die door iemand anders is gemaakt. | Maak een spool-aanvraag met behulp van één gebruiker en voer deze vervolgens uit met behulp van een andere gebruiker. Gegevensbronnen: SAPcon - Spoollogboek, SAPcon - Spool-uitvoerlogboek, SAPcon - Auditlogboek |
Verzameling, exfiltratie, opdracht en beheer |
| SAP - Dynamische RFC-bestemming | Identificeert de uitvoering van RFC met behulp van dynamische bestemmingen. Subgebruiksvoorbeeld: Pogingen om SAP-beveiligingsmechanismen te omzeilen |
Voer een ABAP-rapport uit dat gebruikmaakt van dynamische bestemmingen (cl_dynamic_destination). Bijvoorbeeld DEMO_RFC_DYNAMIC_DEST. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, Exfiltratie |
| SAP - Gevoelige tabellen Directe toegang via dialoogvenster aanmelden | Identificeert algemene tabeltoegang via aanmelding via een dialoogvenster. | Open de inhoud van de tabel met .SE11/SE16/SE16N Gegevensbronnen: SAPcon - Auditlogboek |
Detectie |
| SAP - (preview) bestand gedownload van een schadelijk IP-adres | Identificeert het downloaden van een bestand van een SAP-systeem met behulp van een IP-adres dat bekend staat als schadelijk. Schadelijke IP-adressen worden verkregen van bedreigingsinformatieservices. | Download een bestand van een schadelijk IP-adres. Gegevensbronnen: AUDITlogboek voor SAP-beveiliging, Bedreigingsinformatie |
Exfiltration |
| SAP - (preview) gegevens die zijn geëxporteerd uit een productiesysteem met behulp van een transport | Identificeert gegevensexport vanuit een productiesysteem met behulp van een transport. Transporten worden gebruikt in ontwikkelingssystemen en zijn vergelijkbaar met pull-aanvragen. Deze waarschuwingsregel activeert incidenten met een gemiddelde ernst wanneer een transport dat gegevens uit een tabel bevat, wordt vrijgegeven vanuit een productiesysteem. De regel maakt een incident met hoge ernst wanneer de export gegevens uit een gevoelige tabel bevat. | Een transport vrijgeven vanuit een productiesysteem. Gegevensbronnen: SAP CR-logboek, SAP - Gevoelige tabellen |
Exfiltration |
| SAP - (preview) gevoelige gegevens opgeslagen op een USB-station | Identificeert de export van SAP-gegevens via bestanden. De regel controleert op gegevens die zijn opgeslagen in een onlangs gekoppeld USB-station in de buurt van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot een gevoelige tabel. | SAP-gegevens exporteren via bestanden en opslaan in een USB-station. Gegevensbronnen: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender voor Eindpunt), SAP - Gevoelige tabellen, SAP - Gevoelige transacties, SAP - Gevoelige programma's |
Exfiltration |
| SAP - (preview) Afdrukken van mogelijk gevoelige gegevens | Identificeert een aanvraag of het daadwerkelijk afdrukken van mogelijk gevoelige gegevens. Gegevens worden als gevoelig beschouwd als de gebruiker de gegevens verkrijgt als onderdeel van een gevoelige transactie, uitvoering van een gevoelig programma of directe toegang tot een gevoelige tabel. | Afdrukken of aanvragen om gevoelige gegevens af te drukken. Gegevensbronnen: SAP Security Audit Log, SAP Spool-logboeken, SAP - Gevoelige tabellen, SAP - Gevoelige programma's |
Exfiltration |
| SAP - (preview) groot volume van mogelijk gevoelige gegevens geëxporteerd | Identificeert de export van een grote hoeveelheid gegevens via bestanden in de buurt van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot gevoelige tabel. | Exporteer een groot volume aan gegevens via bestanden. Gegevensbronnen: SAP Security Audit Log, SAP - Gevoelige tabellen, SAP - Gevoelige transacties, SAP - Gevoelige programma's |
Exfiltration |
Persistentie
| Regelnaam | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - Activering of deactivering van de ICF-service | Identificeert de activering of deactivering van ICF-services. | Activeer een service met behulp van SICF. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Functiemodule getest | Identificeert het testen van een functiemodule. | Test een functiemodule met behulp van SE37 / SE80. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, Verdedigingsontduiking, Lateral Movement |
| SAP - (PREVIEW) HANA DB - Acties voor gebruikers Beheer | Identificeert acties voor gebruikersbeheer. | Een databasegebruiker maken, bijwerken of verwijderen. Gegevensbronnen: Linux-agent - Syslog* |
Escalatie van bevoegdheden |
| SAP - Nieuwe ICF-servicehandlers | Identificeert het maken van ICF-handlers. | Wijs een nieuwe handler toe aan een service met behulp van SICF. Gegevensbronnen: SAPcon - Auditlogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Nieuwe ICF-services | Identificeert het maken van ICF-services. | Een service maken met behulp van SICF. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Uitvoering van verouderde of onveilige functiemodule | Identificeert de uitvoering van een verouderde of onveilige ABAP-functiemodule. Behoud verouderde functies in de volglijst SAP - Verouderde functiemodules . Zorg ervoor dat u wijzigingen in tabellogboeken activeert voor de EUFUNC tabel in de back-end. (SE13)Opmerking: alleen relevant voor productiesystemen. |
Voer een verouderde of onveilige functiemodule rechtstreeks uit met se37. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Detectie, opdracht en beheer |
| SAP - Uitvoering van verouderd/onveilig programma | Identificeert de uitvoering van een verouderd of onveilig ABAP-programma. Behoud verouderde programma's in de volglijst SAP - Verouderde programma's . Opmerking: alleen relevant voor productiesystemen. |
Voer een programma rechtstreeks uit met SE38/SA38/SE80 of met behulp van een achtergrondtaak. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, opdracht en beheer |
| SAP - Meerdere wachtwoordwijzigingen per gebruiker | Identificeert meerdere wachtwoordwijzigingen per gebruiker. | Gebruikerswachtwoord wijzigen Gegevensbronnen: SAPcon - Auditlogboek |
Toegang tot referenties |
Pogingen om SAP-beveiligingsmechanismen te omzeilen
| Regelnaam | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - Wijziging in clientconfiguratie | Identificeert wijzigingen voor clientconfiguratie, zoals de clientrol of de opnamemodus voor wijzigingen. | Clientconfiguratiewijzigingen uitvoeren met behulp van de SCC4 transactiecode. Gegevensbronnen: SAPcon - Auditlogboek |
Beschermingsontduiking, exfiltratie, persistentie |
| SAP - Gegevens zijn gewijzigd tijdens foutopsporingsactiviteit | Identificeert wijzigingen voor runtimegegevens tijdens een foutopsporingsactiviteit. Subgebruiksvoorbeeld: Persistentie |
1. Activeer foutopsporing ("/h"). 2. Selecteer een veld dat u wilt wijzigen en werk de waarde ervan bij. Gegevensbronnen: SAPcon - Auditlogboek |
Uitvoering, laterale verplaatsing |
| SAP - Beveiligingscontrolelogboek deactiveren | Identificeert de deactivering van het beveiligingscontrolelogboek, | Schakel beveiligingscontrolelogboek uit met behulp van SM19/RSAU_CONFIG. Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, defensieontduiking, persistentie |
| SAP - Uitvoering van een gevoelig ABAP-programma | Identificeert de directe uitvoering van een gevoelig ABAP-programma. Behoud ABAP-programma's in de volglijst sap - gevoelige ABAP-programma's . |
Voer een programma rechtstreeks uit met behulp van SE38SE80/SA38/. Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, Lateral Movement, Execution |
| SAP - Uitvoering van een gevoelige transactiecode | Identificeert de uitvoering van een gevoelige transactiecode. Houd transactiecodes bij in de volglijst sap - gevoelige transactiecodes . |
Voer een gevoelige transactiecode uit. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, uitvoering |
| SAP - Uitvoering van gevoelige functiemodule | Identificeert de uitvoering van een gevoelige ABAP-functiemodule. Subgebruiksvoorbeeld: Persistentie Opmerking: alleen relevant voor productiesystemen. Behoud gevoelige functies in de volglijst sap - gevoelige functiemodules en zorg ervoor dat u wijzigingen in tabellogboeken activeert in de back-end voor de EUFUNC-tabel. (SE13) |
Voer een gevoelige functiemodule rechtstreeks uit met SE37. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Detectie, opdracht en beheer |
| SAP - (PREVIEW) HANA DB - Wijzigingen in audittrailbeleid | Identificeert wijzigingen voor het HANA DB-audittrailbeleid. | Het bestaande controlebeleid in beveiligingsdefinities maken of bijwerken. Gegevensbronnen: Linux-agent - Syslog |
Lateral Movement, Defense Evasion, Persistentie |
| SAP - (PREVIEW) HANA DB - Deactivering van audittrail | Identificeert de deactivering van het HANA DB-auditlogboek. | Deactiveer het auditlogboek in de beveiligingsdefinitie van HANA DB. Gegevensbronnen: Linux-agent - Syslog |
Persistentie, Lateral Movement, Defense Evasion |
| SAP - Niet-geautoriseerde externe uitvoering van een gevoelige functiemodule | Detecteert niet-geautoriseerde uitvoeringen van gevoelige VM's door de activiteit te vergelijken met het autorisatieprofiel van de gebruiker, terwijl onlangs gewijzigde autorisaties worden genegeerd. Onderhoud functiemodules in de volglijst sap - gevoelige functiemodules . |
Een functiemodule uitvoeren met RFC. Gegevensbronnen: SAPcon - Auditlogboek |
Uitvoering, laterale verplaatsing, detectie |
| SAP - Wijziging van systeemconfiguratie | Identificeert wijzigingen voor de systeemconfiguratie. | Pas opties voor systeemwijziging of wijziging van softwareonderdelen aan met behulp van de SE06 transactiecode.Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, defensieontduiking, persistentie |
| SAP - Foutopsporingsactiviteiten | Identificeert alle activiteiten met betrekking tot foutopsporing. Subgebruiksvoorbeeld: Persistentie |
Activeer foutopsporing (/h) in het systeem, debug een actief proces, voeg onderbrekingspunt toe aan broncode, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie |
| SAP - Configuratiewijziging in beveiligingscontrolelogboek | Identificeert wijzigingen in de configuratie van het beveiligingscontrolelogboek | Wijzig de configuratie van beveiligingscontrolelogboeken met behulp van SM19/RSAU_CONFIG, zoals de filters, status, opnamemodus, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Persistentie, exfiltratie, defensieontduiking |
| SAP - Transactie is ontgrendeld | Identificeert het ontgrendelen van een transactie. | Ontgrendel een transactiecode met behulp van SM01SM01_CUS/SM01_DEV/. Gegevensbronnen: SAPcon - Auditlogboek |
Persistentie, uitvoering |
| SAP - Dynamisch ABAP-programma | Identificeert de uitvoering van dynamische ABAP-programmering. Bijvoorbeeld wanneer ABAP-code dynamisch is gemaakt, gewijzigd of verwijderd. Houd uitgesloten transactiecodes bij in de volglijst SAP - Transactions for ABAP Generations . |
Maak een ABAP-rapport dat gebruikmaakt van opdrachten voor het genereren van ABAP-programma's, zoals INSERT REPORT, en voer het rapport vervolgens uit. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, opdracht en controle, impact |
Verdachte bevoegdhedenbewerkingen
| Regelnaam | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - Wijziging in gevoelige bevoegde gebruiker | Identificeert wijzigingen van gevoelige bevoegde gebruikers. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . |
Wijzig gebruikersgegevens/autorisaties met behulp van SU01. Gegevensbronnen: SAPcon - Auditlogboek |
Escalatie van bevoegdheden, toegang tot referenties |
| SAP - (PREVIEW) HANA DB - Beheer-autorisaties toewijzen | Identificeert beheerdersbevoegdheden of roltoewijzing. | Wijs een gebruiker toe met een beheerdersrol of -bevoegdheden. Gegevensbronnen: Linux-agent - Syslog |
Escalatie van bevoegdheden |
| SAP - Gevoelige bevoegde gebruiker die is aangemeld | Hiermee wordt de aanmelding in het dialoogvenster van een gevoelige bevoegde gebruiker aangegeven. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . |
Meld u aan bij het back-endsysteem met of SAP* een andere bevoegde gebruiker. Gegevensbronnen: SAPcon - Auditlogboek |
Initiële toegang, toegang tot referenties |
| SAP - Gevoelige bevoegde gebruiker brengt een wijziging aan in een andere gebruiker | Identificeert wijzigingen van gevoelige, bevoegde gebruikers in andere gebruikers. | Gebruikersgegevens/autorisaties wijzigen met SU01. Gegevensbronnen: SAPcon - Auditlogboek |
Escalatie van bevoegdheden, toegang tot referenties |
| SAP - Wachtwoordwijziging en aanmelding voor gevoelige gebruikers | Identificeert wachtwoordwijzigingen voor bevoegde gebruikers. | Wijzig het wachtwoord voor een bevoegde gebruiker en meld u aan bij het systeem. Behoud bevoegde gebruikers in de volglijst sap - bevoegde gebruikers . Gegevensbronnen: SAPcon - Auditlogboek |
Impact, Opdracht en beheer, Escalatie van bevoegdheden |
| SAP - Gebruiker maakt en gebruikt een nieuwe gebruiker | Identificeert een gebruiker die andere gebruikers maakt en gebruikt. Subgebruiksvoorbeeld: Persistentie |
Maak een gebruiker met SU01 en meld u vervolgens aan met behulp van de zojuist gemaakte gebruiker en hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, PreAttack, Initiële toegang |
| SAP - Gebruiker ontgrendelt en gebruikt andere gebruikers | Identificeert een gebruiker die wordt ontgrendeld en gebruikt door andere gebruikers. Subgebruiksvoorbeeld: Persistentie |
Ontgrendel een gebruiker met SU01 en meld u vervolgens aan met de ontgrendelde gebruiker en hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek, SAPcon - Logboek van wijzigingsdocumenten |
Detectie, PreAttack, initiële toegang, laterale verplaatsing |
| SAP - Toewijzing van een gevoelig profiel | Identificeert nieuwe toewijzingen van een gevoelig profiel aan een gebruiker. Behoud gevoelige profielen in de volglijst sap - gevoelige profielen . |
Wijs een profiel toe aan een gebruiker met behulp van SU01. Gegevensbronnen: SAPcon - Logboek met wijzigingsdocumenten |
Escalatie van bevoegdheden |
| SAP - Toewijzing van een gevoelige rol | Identificeert nieuwe toewijzingen voor een gevoelige rol voor een gebruiker. Behoud gevoelige rollen in de volglijst sap - gevoelige rollen . |
Wijs een rol toe aan een gebruiker met behulp van SU01 / PFCG. Gegevensbronnen: SAPcon - Logboek van wijzigingsdocumenten, auditlogboek |
Escalatie van bevoegdheden |
| SAP - (PREVIEW) Toewijzing van kritieke autorisaties - Nieuwe autorisatiewaarde | Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker. Behoud kritieke autorisatieobjecten in de volglijst SAP - Kritieke autorisatieobjecten . |
Wijs een nieuw autorisatieobject toe of werk een bestaand object in een rol bij met behulp van PFCG. Gegevensbronnen: SAPcon - Logboek met wijzigingsdocumenten |
Escalatie van bevoegdheden |
| SAP - Toewijzing van kritieke autorisaties - Nieuwe gebruikerstoewijzing | Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker. Behoud kritieke autorisatieobjecten in de volglijst SAP - Kritieke autorisatieobjecten . |
Wijs een nieuwe gebruiker toe aan een rol die kritieke autorisatiewaarden bevat, met behulp van SU01/PFCG. Gegevensbronnen: SAPcon - Logboek met wijzigingsdocumenten |
Escalatie van bevoegdheden |
| SAP - Wijzigingen in gevoelige rollen | Identificeert wijzigingen in gevoelige rollen. Behoud gevoelige rollen in de volglijst sap - gevoelige rollen . |
Een rol wijzigen met behulp van PFCG. Gegevensbronnen: SAPcon - Logboek van wijzigingsdocumenten, SAPcon – Auditlogboek |
Impact, Escalatie van bevoegdheden, Persistentie |
Beschikbare volglijsten
De volgende tabel bevat de volglijsten die beschikbaar zijn voor de Microsoft Sentinel-oplossing voor SAP-toepassingen®, en de velden in elke volglijst.
Deze volglijsten bieden de configuratie voor de Microsoft Sentinel-oplossing voor SAP-toepassingen®. De SAP-volglijsten zijn beschikbaar in de GitHub-opslagplaats van Microsoft Sentinel.
| Naam van volglijst | Beschrijving en velden |
|---|---|
| SAP - Kritieke autorisatieobjecten | Het object Kritieke autorisaties, waar toewijzingen moeten worden beheerd. - AuthorizationObject: een SAP-autorisatieobject, zoals S_DEVELOP, S_TCODEof Table TOBJ - AuthorizationField: een SAP-autorisatieveld, zoals OBJTYP of TCD - AuthorizationValue: een sap-autorisatieveldwaarde, zoals DEBUG - ActivityField : veld SAP-activiteit. In de meeste gevallen is ACTVTdeze waarde . Voor autorisatieobjecten zonder een activiteit, of met alleen een activiteitsveld , gevuld met NOT_IN_USE. - Activiteit: SAP-activiteit, op basis van het autorisatieobject, zoals: 01: Maken; 02: Wijzigen; 03: Weergeven, enzovoort. - Beschrijving: een zinvolle beschrijving van het kritieke autorisatieobject. |
| SAP - Uitgesloten netwerken | Voor intern onderhoud van uitgesloten netwerken, zoals het negeren van web-dispatchers, terminalservers, enzovoort. -Netwerk: een IP-adres of -bereik van het netwerk, zoals 111.68.128.0/17. -Beschrijving: een zinvolle netwerkbeschrijving. |
| Uitgesloten SAP-gebruikers | Systeemgebruikers die zijn aangemeld bij het systeem en moeten worden genegeerd. Bijvoorbeeld waarschuwingen voor meerdere aanmeldingen door dezelfde gebruiker. - Gebruiker: SAP-gebruiker -Beschrijving: een duidelijke gebruikersbeschrijving. |
| SAP - Netwerken | Interne en onderhoudsnetwerken voor het identificeren van niet-geautoriseerde aanmeldingen. - Netwerk: IP-adres of -bereik van het netwerk, zoals 111.68.128.0/17 - Beschrijving: een zinvolle netwerkbeschrijving. |
| SAP - Bevoegde gebruikers | Bevoegde gebruikers waarvoor extra beperkingen gelden. - Gebruiker: de ABAP-gebruiker, zoals DDIC of SAP - Beschrijving: een duidelijke gebruikersbeschrijving. |
| SAP - Gevoelige ABAP-programma's | Gevoelige ABAP-programma's (rapporten), waarbij de uitvoering moet worden beheerd. - ABAPProgram: ABAP-programma of -rapport, zoals RSPFLDOC - Beschrijving: Een zinvolle beschrijving van het programma. |
| SAP - Module gevoelige functie | Interne en onderhoudsnetwerken voor het identificeren van niet-geautoriseerde aanmeldingen. - FunctionModule: een ABAP-functiemodule, zoals RSAU_CLEAR_AUDIT_LOG - Beschrijving: een beschrijvende modulebeschrijving. |
| SAP - Gevoelige profielen | Gevoelige profielen, waar toewijzingen moeten worden beheerd. - Profiel: SAP-autorisatieprofiel, zoals SAP_ALL of SAP_NEW - Beschrijving: een zinvolle profielbeschrijving. |
| SAP - Gevoelige tabellen | Gevoelige tabellen, waar de toegang moet worden beheerd. - Tabel: ABAP-woordenlijsttabel, zoals USR02 of PA008 - Beschrijving: een zinvolle tabelbeschrijving. |
| SAP - Gevoelige rollen | Gevoelige rollen, waar toewijzing moet worden beheerd. - Rol: SAP-autorisatierol, zoals SAP_BC_BASIS_ADMIN - Beschrijving: een zinvolle beschrijving van de rol. |
| SAP - Gevoelige transacties | Gevoelige transacties waarbij de uitvoering moet worden beheerd. - TransactionCode: SAP-transactiecode, zoals RZ11 - Beschrijving: een zinvolle codebeschrijving. |
| SAP - Systemen | Beschrijft het landschap van SAP-systemen op basis van rol en gebruik. - SystemID: de SAP-systeem-id (SYSID) - SystemRole: de SAP-systeemrol, een van de volgende waarden: Sandbox, Development, Quality Assurance, , Training, Production - SystemUsage: Het SAP-systeemgebruik, een van de volgende waarden: ERP, BW, Solman, , Gateway, Enterprise Portal |
| SAPSystemParameters | Parameters die moeten worden watch voor verdachte configuratiewijzigingen. Deze volglijst is vooraf gevuld met aanbevolen waarden (volgens de best practice van SAP) en u kunt de volglijst uitbreiden met meer parameters. Als u geen waarschuwingen voor een parameter wilt ontvangen, stelt u in EnableAlerts op false.- ParameterName: de naam van de parameter. - Opmerking: de beschrijving van de standaardparameter van SAP. - EnableAlerts: hiermee wordt gedefinieerd of waarschuwingen voor deze parameter moeten worden ingeschakeld. Waarden zijn true en false.- Optie: definieert in welk geval een waarschuwing moet worden geactiveerd: als de parameterwaarde groter of gelijk is aan ( GE), kleiner of gelijk aan (LE) of gelijk aan (EQ).Als de login/fails_to_user_lock SAP-parameter bijvoorbeeld is ingesteld op (kleiner of gelijk) LE en een waarde van 5, zodra Microsoft Sentinel een wijziging in deze specifieke parameter detecteert, worden de zojuist gerapporteerde waarde en de verwachte waarde vergeleken. Als de nieuwe waarde is 4, wordt er geen waarschuwing geactiveerd in Microsoft Sentinel. Als de nieuwe waarde is 6, activeert Microsoft Sentinel een waarschuwing.- ProductionSeverity: de ernst van het incident voor productiesystemen. - ProductionValues: Toegestane waarden voor productiesystemen. - NonProdSeverity: de ernst van het incident voor niet-productiesystemen. - NonProdValues: toegestane waarden voor niet-productiesystemen. |
| SAP - Uitgesloten gebruikers | Systeemgebruikers die zijn aangemeld en moeten worden genegeerd, zoals voor de waarschuwing Meerdere aanmeldingen per gebruiker. - Gebruiker: SAP-gebruiker - Beschrijving: een zinvolle gebruikersbeschrijving |
| SAP - Uitgesloten netwerken | Onderhoud interne, uitgesloten netwerken voor het negeren van webverzenders, terminalservers, enzovoort. - Netwerk: IP-adres of -bereik van het netwerk, zoals 111.68.128.0/17 - Beschrijving: een zinvolle netwerkbeschrijving |
| SAP - Verouderde functiemodules | Verouderde functiemodules, waarvan de uitvoering moet worden beheerd. - FunctionModule: ABAP-functiemodule, zoals TH_SAPREL - Beschrijving: een beschrijvende functiemodulebeschrijving |
| SAP - Verouderde programma's | Verouderde ABAP-programma's (rapporten), waarvan de uitvoering moet worden beheerd. - ABAPProgram:ABAP-programma, zoals TH_ RSPFLDOC - Beschrijving: Een zinvolle beschrijving van het ABAP-programma |
| SAP - Transacties voor ABAP-generaties | Transacties voor ABAP-generaties waarvan de uitvoering moet worden geregeld. - TransactionCode:Transactiecode, zoals SE11. - Beschrijving: een zinvolle beschrijving van de transactiecode |
| SAP - FTP-servers | FTP-servers voor het identificeren van niet-geautoriseerde verbindingen. - Client: bijvoorbeeld 100. - FTP_Server_Name: ftp-servernaam, zoals http://contoso.com/ -FTP_Server_Port:FTP-serverpoort, zoals 22. - Beschrijving Een zinvolle FTP-serverbeschrijving |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configureer de sap-auditlogboekwaarschuwingen door elke bericht-id een ernstniveau toe te wijzen, zoals vereist door u, per systeemrol (productie, niet-productie). In deze volglijst vindt u alle beschikbare standaard sap-auditlogboekbericht-id's. De volglijst kan worden uitgebreid met extra bericht-id's die u zelf kunt maken met ABAP-verbeteringen op hun SAP NetWeaver-systemen. Met deze volglijst kunt u ook een aangewezen team configureren om elk van de gebeurtenistypen af te handelen en gebruikers op SAP-rollen, SAP-profielen of tags uitsluiten van de SAP_User_Config volglijst. Deze volglijst is een van de belangrijkste onderdelen die worden gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. - MessageID: de SAP-bericht-id of het gebeurtenistype, zoals AUD (wijzigingen in de hoofdrecord van de gebruiker) of AUB (autorisatiewijzigingen). - DetailedDescription: een markdown-beschrijving die moet worden weergegeven in het incidentvenster. - ProductionSeverity: de gewenste ernst voor het incident dat moet worden gemaakt met voor productiesystemen High, Medium. Kan worden ingesteld als Disabled. - NonProdSeverity: de gewenste ernst voor het incident dat moet worden gemaakt met voor niet-productiesystemen High, Medium. Kan worden ingesteld als Disabled. - ProductionThreshold Het aantal gebeurtenissen 'per uur' dat als verdacht moet worden beschouwd voor productiesystemen 60. - NonProdThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor niet-productiesystemen 10. - RolesTagsToExclude: in dit veld worden sap-rolnaam, SAP-profielnamen of -tags uit de SAP_User_Config volglijst geaccepteerd. Deze worden vervolgens gebruikt om de gekoppelde gebruikers uit te sluiten van specifieke gebeurtenistypen. Zie opties voor roltags aan het einde van deze lijst. - RuleType: gebruik Deterministic dit voor het gebeurtenistype dat moet worden verzonden naar sap - dynamische deterministische controlelogboekmonitor, of AnomaliesOnly om deze gebeurtenis te laten gedekt door de SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW).Voor het veld RolesTagsToExclude : - Als u SAP-rollen of SAP-profielen opgeeft, worden gebruikers met de vermelde rollen of profielen uitgesloten van deze gebeurtenistypen voor hetzelfde SAP-systeem. Als u bijvoorbeeld de BASIC_BO_USERS ABAP-rol definieert voor de RFC-gerelateerde gebeurtenistypen, activeren gebruikers van zakelijke objecten geen incidenten bij het maken van enorme RFC-aanroepen.- Het taggen van een gebeurtenistype is vergelijkbaar met het opgeven van SAP-rollen of -profielen, maar tags kunnen worden gemaakt in de werkruimte, zodat SOC-teams gebruikers kunnen uitsluiten op basis van activiteit zonder afhankelijk van het SAP-team. De tag wordt bijvoorbeeld toegewezen aan de auditbericht-id's AUB (autorisatiewijzigingen) en AUD (wijzigingen in de hoofdrecord van de MassiveAuthChanges gebruiker). Gebruikers waaraan deze tag is toegewezen, worden uitgesloten van de controles voor deze activiteiten. Als u de werkruimtefunctie SAPAuditLogConfigRecommend uitvoert, wordt een lijst met aanbevolen tags gegenereerd die aan gebruikers moeten worden toegewezen, zoals Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Hiermee kunt u waarschuwingen nauwkeurig afstemmen door gebruikers in specifieke contexten uit te sluiten en wordt ook gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. - SAPUser: de SAP-gebruiker - Tags: Tags worden gebruikt om gebruikers te identificeren op basis van bepaalde activiteiten. Als u bijvoorbeeld de tags ["GenericTablebyRFCOK"] toevoegt aan SENTINEL_SRV gebruiker, voorkomt u dat rfc-gerelateerde incidenten worden gemaakt voor deze specifieke gebruiker Andere Active Directory-gebruikers-id's - AD-gebruikers-id - On-premises sid van gebruiker - User Principal Name |
Volgende stappen
Zie voor meer informatie:
- Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
- Naslaginformatie over logboeken van Microsoft Sentinel-oplossing voor SAP-toepassingen®
- De Microsoft Sentinel-oplossing voor gegevensconnector voor SAP-toepassingen® implementeren met SNC
- Naslaginformatie over configuratiebestanden
- Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
- Problemen met uw Microsoft Sentinel-oplossing oplossen voor de implementatie van SAP-toepassingen®