Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
In dit artikel wordt de beveiligingsinhoud beschreven die beschikbaar is voor de Microsoft Sentinel-oplossing voor SAP.
Belangrijk
Hoewel de Microsoft Sentinel-oplossing voor SAP-toepassingen® algemeen beschikbaar is, blijven sommige specifieke onderdelen in PREVIEW. Dit artikel geeft de onderdelen aan die in preview zijn in de relevante secties hieronder. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Beschikbare beveiligingsinhoud bevat ingebouwde werkmappen en analyseregels. U kunt ook SAP-gerelateerde watchlists toevoegen om te gebruiken in uw zoek-, detectieregels, opsporing van bedreigingen en antwoordplaybooks.
Ingebouwde werkmappen
Gebruik de volgende ingebouwde werkmappen om gegevens die zijn opgenomen via de SAP-gegevensconnector te visualiseren en te bewaken. Nadat u de SAP-oplossing hebt geïmplementeerd, kunt u SAP-werkmappen vinden op het tabblad Mijn werkmappen .
| Werkmapnaam | Beschrijving | Logboeken |
|---|---|---|
| SAP - Auditlogboekbrowser | Geeft gegevens weer, zoals: - Algemene systeemstatus, waaronder gebruikersaanmeldingen in de loop van de tijd, gebeurtenissen die zijn opgenomen door het systeem, berichtklassen en id's, en ABAP-programma's worden uitgevoerd -Ernst van gebeurtenissen die plaatsvinden in uw systeem - Verificatie- en autorisatiegebeurtenissen die plaatsvinden in uw systeem |
Gebruikt gegevens uit het volgende logboek: ABAPAuditLog_CL |
| SAP-controlebesturingselementen | Hiermee kunt u de beveiligingscontroles van uw SAP-omgeving controleren op naleving van het door u gekozen controleframework, met behulp van hulpprogramma's waarmee u het volgende kunt doen: - Analyseregels in uw omgeving toewijzen aan specifieke beveiligingscontroles en controlefamilies - De incidenten bewaken en categoriseren die zijn gegenereerd door de analyseregels op basis van de SAP-oplossing - Rapporteren over uw naleving |
Gebruikt gegevens uit de volgende tabellen: - SecurityAlert- SecurityIncident |
Zie Zelfstudie: Uw gegevens visualiseren en bewaken en Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen® voor meer informatie.
Ingebouwde analyseregels
De configuratie van statische SAP-beveiligingsparameters bewaken (preview)
Om het SAP-systeem te beveiligen, heeft SAP beveiligingsgerelateerde parameters geïdentificeerd die moeten worden bewaakt op wijzigingen. Met de regel 'SAP - (Preview) Sensitive Static Parameter has Changed', houdt de Microsoft Sentinel-oplossing voor SAP-toepassingen® meer dan 52 statische beveiligingsparameters bij in het SAP-systeem, die zijn ingebouwd in Microsoft Sentinel.
Notitie
De Microsoft Sentinel-oplossing voor SAP-toepassingen® om de SAP-beveiligingsparameters te bewaken, moet de oplossing de SAP PAHI-tabel regelmatig bewaken. Controleer of de oplossing de PAHI-tabel kan bewaken.
De Microsoft Sentinel-oplossing voor SAP-toepassingen® maakt gebruik van de parametergeschiedenistabel, die elk uur wijzigingen in systeemparameters registreert om inzicht te hebben in parameterwijzigingen in het systeem.
De parameters worden ook weergegeven in de sapSystemParameters-watchlist. Met deze volglijst kunnen gebruikers nieuwe parameters toevoegen, bestaande parameters uitschakelen en de waarden en ernst per parameter en systeemrol wijzigen in productie- of niet-productieomgevingen.
Wanneer een wijziging wordt aangebracht in een van deze parameters, controleert Microsoft Sentinel of de wijziging beveiligingsgerelateerd is en of de waarde is ingesteld op basis van de aanbevolen waarden. Als de wijziging wordt vermoed als buiten de veilige zone, maakt Microsoft Sentinel een incident met de details van de wijziging en identificeert wie de wijziging heeft aangebracht.
Bekijk de lijst met parameters die door deze regel worden bewaakt.
Het SAP-auditlogboek bewaken
De SAP-auditlogboekgegevens worden gebruikt in veel van de analyseregels van de Microsoft Sentinel-oplossing voor SAP-toepassingen®. Sommige analyseregels zoeken naar specifieke gebeurtenissen in het logboek, terwijl andere indicaties uit verschillende logboeken correleren om waarschuwingen en incidenten met hoge kwaliteit te produceren.
Daarnaast zijn er twee analyseregels die zijn ontworpen voor de volledige set standaard SAP-auditlogboekgebeurtenissen (183 verschillende gebeurtenissen) en eventuele andere aangepaste gebeurtenissen die u kunt registreren met behulp van het SAP-auditlogboek.
Beide SAP-regels voor controlelogboekbewaking delen dezelfde gegevensbronnen en dezelfde configuratie, maar verschillen in één kritiek aspect. Hoewel voor de regel 'SAP - Dynamische deterministische controlelogboekmonitor' deterministische waarschuwingsdrempels en gebruikersuitsluitingsregels zijn vereist, past de regel 'SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)' aanvullende machine learning-algoritmen toe om achtergrondruis op een niet-bewaakte manier te filteren. Daarom worden de meeste gebeurtenistypen (of SAP-bericht-id's) van het SAP-auditlogboek standaard verzonden naar de analyseregel op basis van anomalie, terwijl de gebeurtenistypen gemakkelijker naar de deterministische analyseregel worden verzonden. Deze instelling kan, samen met andere gerelateerde instellingen, verder worden geconfigureerd voor elke systeemcondities.
SAP - Dynamische deterministische controlelogboekmonitor
Een dynamische analyseregel die is bedoeld voor het dekken van de volledige set sap-auditlogboekgebeurtenistypen die een deterministische definitie hebben in termen van gebruikerspopulatie, gebeurtenisdrempels.
- De regel configureren met de SAP_Dynamic_Audit_Log_Monitor_Configuration volglijst
- Meer informatie over het configureren van de regel (volledige procedure)
SAP - Waarschuwingen voor controlelogboeken op basis van dynamische afwijkingen (PREVIEW)
Een dynamische analyseregel die is ontworpen om normaal systeemgedrag te leren en waarschuwingen te geven over activiteiten die worden waargenomen in het SAP-auditlogboek die als afwijkend worden beschouwd. Pas deze regel toe op de gebeurtenistypen van het SAP-auditlogboek die moeilijker kunnen worden gedefinieerd in termen van gebruikerspopulatie, netwerkkenmerken en drempelwaarden.
Meer informatie:
- De regel configureren met de SAP_Dynamic_Audit_Log_Monitor_Configuration en SAP_User_Config volglijsten
- Meer informatie over het configureren van de regel (volledige procedure)
De volgende tabellen bevatten de ingebouwde analyseregels die zijn opgenomen in de Microsoft Sentinel-oplossing voor SAP-toepassingen®, geïmplementeerd vanuit de Microsoft Sentinel Solutions Marketplace.
Initial Access
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - Aanmelden bij onverwacht netwerk | Identificeert een aanmelding vanuit een onverwacht netwerk. Netwerken onderhouden in de sap - netwerken watchlist. |
Meld u aan bij het back-endsysteem vanaf een IP-adres dat niet is toegewezen aan een van de netwerken. Gegevensbronnen: SAPcon - Auditlogboek |
Initial Access |
| SAP - SPNego-aanval | Identificeert SPNego Replay-aanval. | Gegevensbronnen: SAPcon - Auditlogboek | Impact, laterale beweging |
| SAP - Aanmeldingspoging dialoogvenster van een bevoegde gebruiker | Identificeert aanmeldingspogingen voor dialoogvensters, met het AUM-type , door bevoegde gebruikers in een SAP-systeem. Zie de SAPUsersGetPrivileged voor meer informatie. | Probeer u aan te melden vanaf hetzelfde IP-adres naar verschillende systemen of clients binnen het geplande tijdsinterval Gegevensbronnen: SAPcon - Auditlogboek |
Impact, laterale beweging |
| SAP - Beveiligingsaanvallen | Identificeert beveiligingsaanvallen op het SAP-systeem met behulp van RFC-aanmeldingen | Probeer u aan te melden van hetzelfde IP-adres naar verschillende systemen/clients binnen het geplande tijdsinterval met behulp van RFC Gegevensbronnen: SAPcon - Auditlogboek |
Referentietoegang |
| SAP : meerdere aanmeldingen vanaf hetzelfde IP-adres | Identificeert de aanmelding van verschillende gebruikers van hetzelfde IP-adres binnen een gepland tijdsinterval. Subgebruiksscenario: Persistentie |
Meld u aan met meerdere gebruikers via hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek |
Initial Access |
| SAP - Meerdere aanmeldingen per gebruiker | Identificeert aanmeldingen van dezelfde gebruiker vanaf verschillende terminals binnen het geplande tijdsinterval. Alleen beschikbaar via de audit SAL-methode, voor SAP-versies 7.5 en hoger. |
Meld u aan met dezelfde gebruiker en gebruik verschillende IP-adressen. Gegevensbronnen: SAPcon - Auditlogboek |
PreAttack, Credential Access, Initial Access, Collection Subgebruiksscenario: Persistentie |
| SAP - Informatie - Levenscyclus - SAP-notities zijn geïmplementeerd in het systeem | Identificeert sap-notitie-implementatie in het systeem. | Implementeer een SAP-notitie met behulp van SNOTE/TCI. Gegevensbronnen: SAPcon - Wijzigingsaanvragen |
- |
Gegevensoverdracht
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - FTP voor niet-geautoriseerde servers | Identificeert een FTP-verbinding voor een niet-geautoriseerde server. | Maak een nieuwe FTP-verbinding, zoals met behulp van de FTP_CONNECT-functiemodule. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, initiële toegang, opdracht en beheer |
| SAP - Configuratie van onveilige FTP-servers | Identificeert onveilige FTP-serverconfiguraties, zoals wanneer een FTP-acceptatielijst leeg is of tijdelijke aanduidingen bevat. | Behoud of onderhoud geen waarden die tijdelijke aanduidingen in de SAPFTP_SERVERS tabel bevatten, met behulp van de SAPFTP_SERVERS_V onderhoudsweergave. (SM30) Gegevensbronnen: SAPcon - Auditlogboek |
Eerste toegang, opdracht en beheer |
| SAP - Meerdere bestanden downloaden | Identificeert meerdere bestandsdownloads voor een gebruiker binnen een specifiek tijdsbereik. | Download meerdere bestanden met behulp van sapgui voor Excel, lijsten enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, exfiltratie, referentietoegang |
| SAP - Meerdere Spool-uitvoeringen | Identificeert meerdere spools voor een gebruiker binnen een specifiek tijdsbereik. | Meerdere spooltaken van elk type door een gebruiker maken en uitvoeren. (SP01) Gegevensbronnen: SAPcon - Spoollogboek, SAPcon - auditlogboek |
Verzameling, exfiltratie, referentietoegang |
| SAP - Uitvoeruitvoeringen van meerdere spools | Identificeert meerdere spools voor een gebruiker binnen een specifiek tijdsbereik. | Meerdere spooltaken van elk type door een gebruiker maken en uitvoeren. (SP01) Gegevensbronnen: SAPcon - Spool-uitvoerlogboek, SAPcon - auditlogboek |
Verzameling, exfiltratie, referentietoegang |
| SAP - Gevoelige tabellen directe toegang door RFC-aanmelding | Identificeert een algemene tabeltoegang door RFC-aanmelding. Houd tabellen in de watchlist met gevoelige tabellen bij in SAP. Opmerking: Alleen relevant voor productiesystemen. |
Open de inhoud van de tabel met SE11/SE16/SE16N. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, exfiltratie, referentietoegang |
| SAP - Overname van spool | Identificeert een gebruiker die een spoolaanvraag afdrukt die is gemaakt door iemand anders. | Maak een spoolaanvraag met behulp van één gebruiker en voer deze vervolgens uit in het gebruik van een andere gebruiker. Gegevensbronnen: SAPcon - Spoollogboek, SAPcon - Spool-uitvoerlogboek, SAPcon - auditlogboek |
Verzameling, exfiltratie, opdracht en beheer |
| SAP - Dynamische RFC-bestemming | Identificeert de uitvoering van RFC met behulp van dynamische bestemmingen. Subgebruiksscenario: Probeert SAP-beveiligingsmechanismen te omzeilen |
Voer een ABAP-rapport uit dat gebruikmaakt van dynamische bestemmingen (cl_dynamic_destination). Bijvoorbeeld DEMO_RFC_DYNAMIC_DEST. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, exfiltratie |
| SAP - Directe toegang tot gevoelige tabellen per dialoogvenster | Identificeert algemene toegang tot tabellen via aanmelding via dialoogvensters. | Open de inhoud van de tabel met behulp van SE11SE16N/SE16/. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie |
| SAP - (preview) bestand gedownload van een schadelijk IP-adres | Identificeert het downloaden van een bestand van een SAP-systeem met behulp van een IP-adres dat schadelijk is. Schadelijke IP-adressen worden verkregen van services voor bedreigingsinformatie. | Download een bestand van een schadelijk IP-adres. Gegevensbronnen: SAP-beveiligingscontrolelogboek, Bedreigingsinformatie |
Exfiltration (Exfiltratie) |
| SAP - (preview) gegevens geëxporteerd uit een productiesysteem met behulp van een transport | Identificeert gegevensexport vanuit een productiesysteem met behulp van een transport. Transporten worden gebruikt in ontwikkelsystemen en zijn vergelijkbaar met pull-aanvragen. Deze waarschuwingsregel activeert incidenten met een gemiddelde ernst wanneer een transport dat gegevens uit een tabel bevat, wordt vrijgegeven vanuit een productiesysteem. De regel maakt een incident met hoge ernst wanneer de export gegevens uit een gevoelige tabel bevat. | Laat een transport van een productiesysteem los. Gegevensbronnen: SAP CR-logboek, SAP - Gevoelige tabellen |
Exfiltration (Exfiltratie) |
| SAP - (preview) gevoelige gegevens die zijn opgeslagen in een USB-station | Identificeert het exporteren van SAP-gegevens via bestanden. De regel controleert op gegevens die zijn opgeslagen in een onlangs gekoppeld USB-station in de nabijheid van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot een gevoelige tabel. | Sap-gegevens exporteren via bestanden en opslaan in een USB-station. Gegevensbronnen: SAP-beveiligingscontrolelogboek, DeviceFileEvents (Microsoft Defender voor Eindpunt), SAP - Gevoelige tabellen, SAP - Gevoelige transacties, SAP - Gevoelige programma's |
Exfiltration (Exfiltratie) |
| SAP - (preview) afdrukken van mogelijk gevoelige gegevens | Identificeert een aanvraag of daadwerkelijk afdrukken van mogelijk gevoelige gegevens. Gegevens worden als gevoelig beschouwd als de gebruiker de gegevens verkrijgt als onderdeel van een gevoelige transactie, uitvoering van een gevoelig programma of directe toegang tot een gevoelige tabel. | Afdrukken of aanvragen om gevoelige gegevens af te drukken. Gegevensbronnen: SAP Security Audit Log, SAP Spool-logboeken, SAP - Gevoelige tabellen, SAP - Gevoelige programma's |
Exfiltration (Exfiltratie) |
| SAP - (preview) groot volume van mogelijk gevoelige gegevens geëxporteerd | Identificeert het exporteren van een groot aantal gegevens via bestanden in nabijheid van een uitvoering van een gevoelige transactie, een gevoelig programma of directe toegang tot gevoelige tabellen. | Exporteer grote hoeveelheden gegevens via bestanden. Gegevensbronnen: SAP-beveiligingscontrolelogboek, SAP - gevoelige tabellen, SAP - gevoelige transacties, SAP - gevoelige programma's |
Exfiltration (Exfiltratie) |
Persistentie
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - Activering of deactivering van de ICF-service | Identificeert de activering of deactivering van ICF-services. | Activeer een service met SICF. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Functiemodule getest | Identificeert het testen van een functiemodule. | Test een functiemodule met behulp van SE37 / SE80. Gegevensbronnen: SAPcon - Auditlogboek |
Verzameling, Verdedigingsontduiking, Laterale Beweging |
| SAP - (PREVIEW) HANA DB -User Beheer actions | Identificeert acties voor gebruikersbeheer. | Een databasegebruiker maken, bijwerken of verwijderen. Gegevensbronnen: Linux-agent - Syslog* |
Escalatie van bevoegdheden |
| SAP - Nieuwe ICF-servicehandlers | Identificeert het maken van ICF-handlers. | Wijs een nieuwe handler toe aan een service met behulp van SICF. Gegevensbronnen: SAPcon - Auditlogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Nieuwe ICF-services | Identificeert het maken van ICF-services. | Maak een service met SICF. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Command and Control, Lateral Movement, Persistence |
| SAP - Uitvoering van verouderde of onveilige functiemodule | Identificeert de uitvoering van een verouderde of onveilige ABAP-functiemodule. Behoud verouderde functies in de watchlist sap - verouderde functiemodules . Zorg ervoor dat u wijzigingen in tabellogboeken activeert voor de EUFUNC tabel in de back-end. (SE13)Opmerking: Alleen relevant voor productiesystemen. |
Voer een verouderde of onveilige functiemodule rechtstreeks uit met behulp van SE37. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Detectie, opdracht en beheer |
| SAP - Uitvoering van verouderd/onveilig programma | Identificeert de uitvoering van een verouderd of onveilig ABAP-programma. Behoud verouderde programma's in de watchlist sap - verouderde programma's . Opmerking: Alleen relevant voor productiesystemen. |
Voer een programma rechtstreeks uit met SE38/SA38/SE80 of met behulp van een achtergrondtaak. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, opdracht en beheer |
| SAP - Meerdere wachtwoordwijzigingen per gebruiker | Identificeert meerdere wachtwoordwijzigingen per gebruiker. | Gebruikerswachtwoord wijzigen Gegevensbronnen: SAPcon - Auditlogboek |
Referentietoegang |
Pogingen om SAP-beveiligingsmechanismen te omzeilen
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - Clientconfiguratiewijziging | Identificeert wijzigingen voor clientconfiguratie, zoals de clientrol of de opnamemodus voor wijzigingen. | Clientconfiguratiewijzigingen uitvoeren met behulp van de SCC4 transactiecode. Gegevensbronnen: SAPcon - Auditlogboek |
Verdedigingsontduiking, exfiltratie, persistentie |
| SAP - Gegevens zijn gewijzigd tijdens foutopsporingsactiviteit | Identificeert wijzigingen voor runtimegegevens tijdens een foutopsporingsactiviteit. Subgebruiksscenario: Persistentie |
1. Foutopsporing activeren ("/h"). 2. Selecteer een veld om de waarde ervan te wijzigen en bij te werken. Gegevensbronnen: SAPcon - Auditlogboek |
Uitvoering, laterale verplaatsing |
| SAP - Deactivering van beveiligingscontrolelogboek | Identificeert deactivering van het beveiligingscontrolelogboek, | Schakel beveiligingscontrolelogboek uit met behulp van SM19/RSAU_CONFIG. Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, defensieontduiking, persistentie |
| SAP - Uitvoering van een gevoelig ABAP-programma | Identificeert de directe uitvoering van een gevoelig ABAP-programma. Abap-programma's onderhouden in de watchlist sap - gevoelige ABAP-programma's . |
Voer een programma rechtstreeks uit met behulp van SE38SE80/SA38/. Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, laterale verplaatsing, uitvoering |
| SAP - Uitvoering van een gevoelige transactiecode | Identificeert de uitvoering van een gevoelige transactiecode. Houd transactiecodes bij in de watchlist SAP - Gevoelige transactiecodes . |
Voer een gevoelige transactiecode uit. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, uitvoering |
| SAP - Uitvoering van gevoelige functiemodule | Identificeert de uitvoering van een gevoelige ABAP-functiemodule. Subgebruiksscenario: Persistentie Opmerking: Alleen relevant voor productiesystemen. Behoud gevoelige functies in de watchlist sap - gevoelige functiemodules en zorg ervoor dat u wijzigingen in tabellogboekregistratie activeert in de back-end voor de EUFUNC-tabel. (SE13) |
Voer een gevoelige functiemodule rechtstreeks uit met BEHULP van SE37. Gegevensbronnen: SAPcon - Tabelgegevenslogboek |
Detectie, opdracht en beheer |
| SAP - (PREVIEW) HANA DB - Wijzigingen in het audittrailbeleid | Identificeert wijzigingen voor het audittrailbeleid van HANA DB. | Maak of werk het bestaande controlebeleid in beveiligingsdefinities bij. Gegevensbronnen: Linux-agent - Syslog |
Laterale beweging, defensieontduiking, persistentie |
| SAP - (PREVIEW) HANA DB -Deactivatie van audittrail | Identificeert de deactivering van het auditlogboek van HANA DB. | Het auditlogboek deactiveren in de HANA DB-beveiligingsdefinitie. Gegevensbronnen: Linux-agent - Syslog |
Persistentie, laterale beweging, verdedigingsontduiking |
| SAP - Niet-geautoriseerde externe uitvoering van een gevoelige functiemodule | Detecteert niet-geautoriseerde uitvoeringen van gevoelige VM's door de activiteit te vergelijken met het autorisatieprofiel van de gebruiker terwijl onlangs gewijzigde autorisaties worden genegeerd. Houd functiemodules in de watchlist SAP - Gevoelige functiemodules bij. |
Een functiemodule uitvoeren met RFC. Gegevensbronnen: SAPcon - Auditlogboek |
Uitvoering, laterale verplaatsing, detectie |
| SAP - Wijziging van systeemconfiguratie | Identificeert wijzigingen voor systeemconfiguratie. | Pas systeemwijzigingsopties of wijzigingen van softwareonderdelen aan met behulp van de SE06 transactiecode.Gegevensbronnen: SAPcon - Auditlogboek |
Exfiltratie, defensieontduiking, persistentie |
| SAP - Foutopsporingsactiviteiten | Identificeert alle gerelateerde activiteiten voor foutopsporing. Subgebruiksscenario: Persistentie |
Activeer foutopsporing ('/h') in het systeem, foutopsporing in een actief proces, voeg onderbrekingspunt toe aan broncode, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie |
| SAP - Configuratiewijziging van beveiligingscontrolelogboek | Identificeert wijzigingen in de configuratie van het beveiligingscontrolelogboek | Wijzig de configuratie van beveiligingscontrolelogboeken met behulp van SM19/RSAU_CONFIG, zoals de filters, status, opnamemodus, enzovoort. Gegevensbronnen: SAPcon - Auditlogboek |
Persistentie, exfiltratie, defensieontduiking |
| SAP - Transactie is ontgrendeld | Identificeert het ontgrendelen van een transactie. | Ontgrendel een transactiecode met behulp van SM01SM01_CUS/SM01_DEV/. Gegevensbronnen: SAPcon - Auditlogboek |
Persistentie, uitvoering |
| SAP - Dynamisch ABAP-programma | Identificeert de uitvoering van dynamische ABAP-programmering. Bijvoorbeeld wanneer ABAP-code dynamisch is gemaakt, gewijzigd of verwijderd. Houd uitgesloten transactiecodes in de SAP - Transacties voor ABAP-generaties volglijst. |
Maak een ABAP-rapport dat gebruikmaakt van ABAP-programmageneratieopdrachten, zoals INSERT REPORT, en voer het rapport uit. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, opdracht en beheer, impact |
Verdachte bevoegdheden
| Naam van de regel | Beschrijving | Bronactie | Tactieken |
|---|---|---|---|
| SAP - Wijzigen in gevoelige bevoegde gebruiker | Identificeert wijzigingen van gevoelige bevoegde gebruikers. Houd bevoegde gebruikers bij in de watchlist voor bevoegde gebruikers in SAP- Privileged Users . |
Gebruikersgegevens/autorisaties wijzigen met behulp van SU01. Gegevensbronnen: SAPcon - Auditlogboek |
Escalatie van bevoegdheden, referentietoegang |
| SAP - (PREVIEW) HANA DB - Beheer-autorisaties toewijzen | Identificeert beheerdersbevoegdheden of roltoewijzing. | Wijs een gebruiker toe met een beheerdersrol of -bevoegdheden. Gegevensbronnen: Linux-agent - Syslog |
Escalatie van bevoegdheden |
| SAP - Gevoelige bevoegde gebruiker aangemeld | Hiermee wordt de aanmelding in het dialoogvenster van een gevoelige bevoegde gebruiker geïdentificeerd. Houd bevoegde gebruikers bij in de watchlist voor bevoegde gebruikers in SAP- Privileged Users . |
Meld u aan bij het back-endsysteem met of SAP* een andere bevoegde gebruiker. Gegevensbronnen: SAPcon - Auditlogboek |
Eerste toegang, referentietoegang |
| SAP - Gevoelige bevoegde gebruiker brengt een wijziging aan in andere gebruikers | Identificeert wijzigingen van gevoelige, bevoegde gebruikers in andere gebruikers. | Gebruikersdetails/autorisaties wijzigen met BEHULP van SU01. Gegevensbronnen: SAPcon - Auditlogboek |
Escalatie van bevoegdheden, referentietoegang |
| SAP - Wachtwoordwijziging en aanmelding voor gevoelige gebruikers | Identificeert wachtwoordwijzigingen voor bevoegde gebruikers. | Wijzig het wachtwoord voor een bevoegde gebruiker en meld u aan bij het systeem. Houd bevoegde gebruikers bij in de watchlist voor bevoegde gebruikers in SAP- Privileged Users . Gegevensbronnen: SAPcon - Auditlogboek |
Impact, opdracht en beheer, escalatie van bevoegdheden |
| SAP - Gebruiker maakt en gebruikt nieuwe gebruiker | Identificeert een gebruiker die andere gebruikers maakt en gebruikt. Subgebruiksscenario: Persistentie |
Maak een gebruiker met SU01 en meld u aan met behulp van de zojuist gemaakte gebruiker en hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek |
Detectie, PreAttack, Initiële toegang |
| SAP - Gebruiker ontgrendelt en gebruikt andere gebruikers | Identificeert een gebruiker die wordt ontgrendeld en gebruikt door andere gebruikers. Subgebruiksscenario: Persistentie |
Ontgrendel een gebruiker met SU01 en meld u aan met behulp van de ontgrendelde gebruiker en hetzelfde IP-adres. Gegevensbronnen: SAPcon - Auditlogboek, SAPcon - Documentenlogboek wijzigen |
Detectie, preattack, initiële toegang, laterale verplaatsing |
| SAP - Toewijzing van een gevoelig profiel | Identificeert nieuwe toewijzingen van een gevoelig profiel aan een gebruiker. Behoud gevoelige profielen in de watchlist sap - gevoelige profielen . |
Wijs een profiel toe aan een gebruiker met behulp van SU01. Gegevensbronnen: SAPcon - Documentenlogboek wijzigen |
Escalatie van bevoegdheden |
| SAP - Toewijzing van een gevoelige rol | Identificeert nieuwe toewijzingen voor een gevoelige rol aan een gebruiker. Houd gevoelige rollen in de watchlist voor gevoelige rollen in SAP. |
Wijs een rol toe aan een gebruiker met behulp van SU01 / PFCG. Gegevensbronnen: SAPcon - Documentenlogboek wijzigen, auditlogboek |
Escalatie van bevoegdheden |
| SAP - (PREVIEW) Kritieke autorisatietoewijzing - Nieuwe autorisatiewaarde | Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker. Behoud kritieke autorisatieobjecten in de watchlist SAP - Kritieke autorisatieobjecten . |
Wijs een nieuw autorisatieobject toe of werk een bestaande bij in een rol met behulp van PFCG. Gegevensbronnen: SAPcon - Documentenlogboek wijzigen |
Escalatie van bevoegdheden |
| SAP - Toewijzing van kritieke autorisaties - Nieuwe gebruikerstoewijzing | Identificeert de toewijzing van een kritieke autorisatieobjectwaarde aan een nieuwe gebruiker. Behoud kritieke autorisatieobjecten in de watchlist SAP - Kritieke autorisatieobjecten . |
Wijs een nieuwe gebruiker toe aan een rol die kritieke autorisatiewaarden bevat, met behulp van SU01/PFCG. Gegevensbronnen: SAPcon - Documentenlogboek wijzigen |
Escalatie van bevoegdheden |
| SAP - Wijzigingen in gevoelige rollen | Identificeert wijzigingen in gevoelige rollen. Houd gevoelige rollen in de watchlist voor gevoelige rollen in SAP. |
Een rol wijzigen met behulp van PFCG. Gegevensbronnen: SAPcon - Documentenlogboek wijzigen, SAPcon - Auditlogboek |
Impact, Escalatie van bevoegdheden, persistentie |
Beschikbare volglijsten
De volgende tabel bevat de volglijsten die beschikbaar zijn voor de Microsoft Sentinel-oplossing voor SAP-toepassingen® en de velden in elke volglijst.
Deze volglijsten bieden de configuratie voor de Microsoft Sentinel-oplossing voor SAP-toepassingen®. De SAP-watchlists zijn beschikbaar in de GitHub-opslagplaats van Microsoft Sentinel.
| Naam van volglijst | Beschrijving en velden |
|---|---|
| SAP - Kritieke autorisatieobjecten | Object Kritieke autorisaties, waarbij toewijzingen moeten worden beheerd. - AuthorizationObject: een SAP-autorisatieobject, zoals S_DEVELOP, S_TCODEof Table TOBJ - AuthorizationField: een SAP-autorisatieveld, zoals OBJTYP of TCD - AuthorizationValue: een SAP-autorisatieveldwaarde, zoals DEBUG - ActivityField : SAP-activiteitsveld. In de meeste gevallen is ACTVTdeze waarde . Voor autorisatieobjecten zonder een activiteit, of met alleen een activiteitsveld , gevuld met NOT_IN_USE. - Activiteit: SAP-activiteit, volgens het autorisatieobject, zoals: 01: Maken; 02: Wijzigen; 03: Weergave, enzovoort. - Beschrijving: Een zinvolle beschrijving van het kritieke autorisatieobject. |
| SAP - Uitgesloten netwerken | Voor intern onderhoud van uitgesloten netwerken, zoals het negeren van web-dispatchers, terminalservers, enzovoort. -Netwerk: een NETWERK-IP-adres of -bereik, zoals 111.68.128.0/17. -Beschrijving: Een zinvolle netwerkbeschrijving. |
| Uitgesloten SAP-gebruikers | Systeemgebruikers die zijn aangemeld bij het systeem en moeten worden genegeerd. Bijvoorbeeld waarschuwingen voor meerdere aanmeldingen door dezelfde gebruiker. - Gebruiker: SAP-gebruiker -Beschrijving: Een zinvolle gebruikersbeschrijving. |
| SAP - Netwerken | Interne netwerken en onderhoudsnetwerken voor identificatie van niet-geautoriseerde aanmeldingen. - Netwerk: NETWERK-IP-adres of -bereik, zoals 111.68.128.0/17 - Beschrijving: Een zinvolle netwerkbeschrijving. |
| SAP - Bevoegde gebruikers | Bevoegde gebruikers die onder extra beperkingen vallen. - Gebruiker: de ABAP-gebruiker, zoals DDIC of SAP - Beschrijving: Een zinvolle gebruikersbeschrijving. |
| SAP - Gevoelige ABAP-programma's | Gevoelige ABAP-programma's (rapporten), waarbij de uitvoering moet worden beheerd. - ABAPProgram: ABAP-programma of rapport, zoals RSPFLDOC - Beschrijving: Een zinvolle programmabeschrijving. |
| SAP - Module gevoelige functie | Interne netwerken en onderhoudsnetwerken voor identificatie van niet-geautoriseerde aanmeldingen. - FunctionModule: Een ABAP-functiemodule, zoals RSAU_CLEAR_AUDIT_LOG - Beschrijving: Een beschrijvende modulebeschrijving. |
| SAP - Gevoelige profielen | Gevoelige profielen, waarbij toewijzingen moeten worden beheerd. - Profiel: SAP-autorisatieprofiel, zoals SAP_ALL of SAP_NEW - Beschrijving: Een zinvolle profielbeschrijving. |
| SAP - Gevoelige tabellen | Gevoelige tabellen, waarbij toegang moet worden beheerd. - Tabel: ABAP-woordenlijsttabel, zoals USR02 of PA008 - Beschrijving: Een beschrijvende tabelbeschrijving. |
| SAP - Gevoelige rollen | Gevoelige rollen, waarbij toewijzing moet worden beheerd. - Rol: SAP-autorisatierol, zoals SAP_BC_BASIS_ADMIN - Beschrijving: Een beschrijvende rolbeschrijving. |
| SAP - Gevoelige transacties | Gevoelige transacties waarop uitvoering moet worden geregeld. - TransactionCode: SAP-transactiecode, zoals RZ11 - Beschrijving: Een beschrijvende codebeschrijving. |
| SAP - Systemen | Beschrijft het landschap van SAP-systemen op basis van rol, gebruik en configuratie. - SystemID: de SAP-systeem-id (SYSID) - SystemRole: de SAP-systeemrol, een van de volgende waarden: Sandbox, Development, Quality Assurance, TrainingProduction - SystemUsage: Het SAP-systeemgebruik, een van de volgende waarden: ERP, BW, Solman, , Gateway, Enterprise Portal - InterfaceAttributes: een optionele dynamische parameter voor gebruik in playbooks. |
| SAPSystemParameters | Parameters om te controleren op verdachte configuratiewijzigingen. Deze volglijst wordt vooraf gevuld met aanbevolen waarden (volgens de best practice van SAP) en u kunt de volglijst uitbreiden om meer parameters op te nemen. Als u geen waarschuwingen voor een parameter wilt ontvangen, stelt u deze optie in EnableAlertsfalseop .- ParameterName: de naam van de parameter. - Opmerking: de standaardbeschrijving van de SAP-standaardparameter. - EnableAlerts: Hiermee definieert u of waarschuwingen voor deze parameter moeten worden ingeschakeld. Waarden zijn true en false.- Optie: Definieert in welk geval een waarschuwing moet worden geactiveerd: als de parameterwaarde groter of gelijk is aan ( GE), kleiner of gelijk aan (LE) of gelijk is aan (EQ).Als de login/fails_to_user_lock SAP-parameter bijvoorbeeld is ingesteld op LE (kleiner of gelijk) en een waarde van 5, zodra Microsoft Sentinel een wijziging in deze specifieke parameter detecteert, worden de zojuist gerapporteerde waarde en de verwachte waarde vergeleken. Als de nieuwe waarde is 4, activeert Microsoft Sentinel geen waarschuwing. Als de nieuwe waarde is 6, activeert Microsoft Sentinel een waarschuwing.- ProductionSeverity: de ernst van het incident voor productiesystemen. - ProductionValues: Toegestane waarden voor productiesystemen. - NonProdSeverity: de ernst van het incident voor niet-productiesystemen. - NonProdValues: Toegestane waarden voor niet-productiesystemen. |
| SAP - uitgesloten gebruikers | Systeemgebruikers die zijn aangemeld en moeten worden genegeerd, zoals voor de aanmeldingen met meerdere aanmeldingen per gebruikerswaarschuwing. - Gebruiker: SAP-gebruiker - Beschrijving: Een zinvolle gebruikersbeschrijving |
| SAP - Uitgesloten netwerken | Onderhoud interne, uitgesloten netwerken voor het negeren van webverzenders, terminalservers, enzovoort. - Netwerk: NETWERK-IP-adres of -bereik, zoals 111.68.128.0/17 - Beschrijving: Een zinvolle netwerkbeschrijving |
| SAP - Verouderde functiemodules | Verouderde functiemodules, waarvan de uitvoering moet worden beheerd. - FunctionModule: ABAP Function Module, zoals TH_SAPREL - Beschrijving: Een beschrijvende functiemodulebeschrijving |
| SAP - Verouderde programma's | Verouderde ABAP-programma's (rapporten), waarvan de uitvoering moet worden geregeld. - ABAPProgram:ABAP-programma, zoals TH_ RSPFLDOC - Beschrijving: Een zinvolle ABAP-programmabeschrijving |
| SAP - Transacties voor ABAP-generaties | Transacties voor ABAP-generaties waarvan de uitvoering moet worden geregeld. - TransactionCode:Transaction Code, zoals SE11. - Beschrijving: Een zinvolle beschrijving van transactiecode |
| SAP - FTP-servers | FTP-servers voor identificatie van niet-geautoriseerde verbindingen. - Client:zoals 100. - FTP_Server_Name: FTP-servernaam, zoals http://contoso.com/ -FTP_Server_Port:FTP-serverpoort, zoals 22. - BeschrijvingEen zinvolle FTP-serverbeschrijving |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configureer de WAARSCHUWINGEN voor het SAP-auditlogboek door elke bericht-id een ernstniveau toe te wijzen dat u nodig hebt, per systeemrol (productie, niet-productie). Deze volglijst bevat alle beschikbare sap-standaardcontrolelogboekberichten-id's. De volglijst kan worden uitgebreid met extra bericht-id's die u zelf kunt maken met behulp van ABAP-verbeteringen op hun SAP NetWeaver-systemen. Met deze volglijst kunt u ook een aangewezen team configureren voor het afhandelen van elk van de gebeurtenistypen en het uitsluiten van gebruikers door SAP-rollen, SAP-profielen of tags uit de SAP_User_Config volglijst. Deze volglijst is een van de belangrijkste onderdelen die worden gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. - MessageID: de SAP-bericht-id of het gebeurtenistype, zoals AUD (wijzigingen in gebruikershoofdrecords) of AUB (autorisatiewijzigingen). - DetailedDescription: een markdown-beschrijving die moet worden weergegeven in het deelvenster Incident. - ProductionSeverity: de gewenste ernst voor het incident dat moet worden gemaakt voor productiesystemen High, Medium. Kan worden ingesteld als Disabled. - NonProdSeverity: de gewenste ernst voor het incident dat moet worden gemaakt voor niet-productiesystemen High, Medium. Kan worden ingesteld als Disabled. - ProductionThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor productiesystemen 60. - NonProdThreshold Het aantal gebeurtenissen per uur dat als verdacht moet worden beschouwd voor niet-productiesystemen 10. - RolesTagsToExclude: Dit veld accepteert de SAP-rolnaam, SAP-profielnamen of -tags uit de SAP_User_Config volglijst. Deze worden vervolgens gebruikt om de gekoppelde gebruikers uit te sluiten van specifieke gebeurtenistypen. Zie opties voor roltags aan het einde van deze lijst. - RuleType: gebruik Deterministic dit voor het gebeurtenistype dat moet worden verzonden naar sap - dynamische deterministische controlelogboekmonitor of AnomaliesOnly om deze gebeurtenis te laten gedekt door sap - dynamische anomaliegebaseerde waarschuwingen voor auditlogboekmonitor (PREVIEW).- TeamsChannelID: een optionele dynamische parameter voor gebruik in playbooks. - DestinationEmail: een optionele dynamische parameter voor gebruik in playbooks. Voor het veld RolesTagsToExclude : - Als u SAP-rollen of SAP-profielen vermeldt, wordt elke gebruiker met de vermelde rollen of profielen uitgesloten van deze gebeurtenistypen voor hetzelfde SAP-systeem. Als u bijvoorbeeld de BASIC_BO_USERS ABAP-rol definieert voor de rfC-gerelateerde gebeurtenistypen, activeren gebruikers van zakelijke objecten geen incidenten bij het maken van enorme RFC-aanroepen.- Het taggen van een gebeurtenistype is vergelijkbaar met het opgeven van SAP-rollen of -profielen, maar tags kunnen worden gemaakt in de werkruimte, zodat SOC-teams gebruikers kunnen uitsluiten op basis van activiteit zonder afhankelijk van het SAP-team. Aan de controlebericht-id's AUB (autorisatiewijzigingen) en AUD (wijzigingen in gebruikersmasterrecords) wordt bijvoorbeeld de MassiveAuthChanges tag toegewezen. Gebruikers die aan deze tag zijn toegewezen, worden uitgesloten van de controles voor deze activiteiten. Het uitvoeren van de werkruimtefunctie SAPAuditLogConfigRecommend produceert een lijst met aanbevolen tags die moeten worden toegewezen aan gebruikers, zoals Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Hiermee kunt u waarschuwingen verfijnen door /inclusief gebruikers in specifieke contexten uit te sluiten en wordt ook gebruikt voor het configureren van de ingebouwde SAP-analyseregels voor het bewaken van het SAP-auditlogboek. - SAPUser: De SAP-gebruiker - Tags: Tags worden gebruikt om gebruikers te identificeren op basis van bepaalde activiteiten. Als u bijvoorbeeld de tags ["GenericTablebyRFCOK"] toevoegt aan de gebruiker SENTINEL_SRV wordt voorkomen dat RFC-gerelateerde incidenten worden gemaakt voor deze specifieke gebruiker Andere Active Directory-gebruikers-id's - AD-gebruikers-id - On-premises sid van gebruiker - User Principal Name |
Beschikbare playbooks
| Playbooknaam | Parameters | Connecties |
|---|---|---|
| SAP Incident Response - Gebruiker vergrendelen vanuit Teams - Basic | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP Incident Response - Gebruiker vergrendelen vanuit Teams - Geavanceerd | - SAP-SOAP-KeyVault-Credential-Name - Standaard Beheer Email - TeamsChannel |
- Microsoft Sentinel - Azure Monitor-logboeken - Office 365 Outlook - Microsoft Entra-id - Azure Key Vault - Microsoft Teams |
| SAP Incident Response - Reenable audit logging once gedeactiveerd | - SAP-SOAP-KeyVault-Credential-Name - Standaard Beheer Email - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitor-logboeken - Microsoft Teams |
Volgende stappen
Zie voor meer informatie:
- Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
- Microsoft Sentinel-oplossing voor logboeken voor SAP-toepassingen®
- De status van uw SAP-systeem bewaken
- De Microsoft Sentinel-oplossing voor SAP-toepassingen-gegevensconnector® implementeren met SNC
- Naslaginformatie over configuratiebestanden
- Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
- Problemen met uw Microsoft Sentinel-oplossing oplossen voor implementatie van SAP-toepassingen®