Configurar as regras de monitoramento de log de auditoria SAP
O log de auditoria do SAP registra ações de auditoria e segurança em sistemas SAP, como tentativas de entrada com falha ou outras ações suspeitas. Este artigo descreve como monitorar o log de auditoria do SAP usando as regras de análise internas do Microsoft Sentinel.
Com essas regras, você pode monitorar todos os eventos de log de auditoria ou obter alertas somente quando anomalias forem detectadas. Dessa forma, é possível gerenciar melhor os logs do SAP, reduzindo o ruído sem comprometer o valor de segurança.
Você usa duas regras de análise para monitorar e analisar os dados do log de auditoria do SAP:
- SAP – Monitor de Log de Auditoria Determinística Dinâmica (VERSÃO PRÉVIA). Alertas em qualquer evento de log de auditoria do SAP com configuração mínima. Você pode configurar a regra para uma taxa de falso positivo ainda menor. Aprenda a configurar a regra.
- SAP – Alertas do Monitor de Log de Auditoria Dinâmica Baseado em Anomalias (VERSÃO PRÉVIA). Alertas em eventos de log de auditoria do SAP quando anomalias são detectadas, usando recursos de machine learning e sem a necessidade de codificação. Aprenda a configurar a regra.
As duas regras do monitor de log de auditoria do SAP são entregues prontas para execução e permitem mais ajustes usando as watchlists SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
Detecção de anomalias
Ao tentar identificar eventos de segurança em um log de atividades diversificado, como o log de auditoria do SAP, é necessário equilibrar o esforço de configuração e a quantidade de ruído que os alertas produzem.
Com o módulo de log de auditoria do SAP na solução Sentinel para SAP, você pode escolher:
- Quais eventos quer examinar deterministicamente, usando limites e filtros personalizados e predefinidos.
- Quais eventos quer deixar de fora, para que o computador possa aprender os parâmetros por conta própria.
Quando você marcar um tipo de evento de log de auditoria do SAP para detecção de anomalias, o mecanismo de alerta verificará os eventos transmitidos recentemente do log de auditoria do SAP. O mecanismo verifica se os eventos parecem normais, considerando o histórico que aprendeu.
O Microsoft Sentinel verifica se há anomalias em um evento ou grupo de eventos. Ele tenta corresponder o evento ou grupo de eventos com as atividades vistas anteriormente do mesmo tipo, nos níveis de usuário e sistema. O algoritmo aprende as características de rede do usuário no nível da máscara de sub-rede e de acordo com a sazonalidade.
Com essa capacidade, é possível procurar anomalias em tipos de eventos previamente silenciosos, como eventos de entrada do usuário. Por exemplo, se o usuário JoãoSilva entra centenas de vezes por hora, agora é possível deixar que o Microsoft Sentinel decida se o comportamento é suspeito. Este é João da contabilidade, atualizando repetidamente um painel financeiro com várias fontes de dados ou um ataque DDoS se formando?
Configurar a regra SAP – Alertas do Monitor de Log de Auditoria Dinâmica Baseado em Anomalias (VERSÃO PRÉVIA) para detecção de anomalias
Se os dados do log de auditoria do SAP ainda não estiverem transmitindo dados para o workspace do Microsoft Sentinel, saiba como implantar a solução.
- No menu de navegação do Microsoft Sentinel, em Gerenciamento de conteúdo, selecione Hub de conteúdo (versão prévia) .
- Verifique se o aplicativo de monitoramento contínuo de ameaças para SAP tem atualizações.
- No menu de navegação, em Análise, habilite estes três alertas de log de auditoria:
- SAP – Monitor de Log de Auditoria Determinística Dinâmica. É executado a cada 10 minutos e se concentra nos eventos de log de auditoria do SAP marcados como Determinísticos.
- SAP – Alertas do Monitor de Log de Auditoria Dinâmica Baseada em Anomalias (Versão prévia). É executado por hora e se concentra em eventos do SAP marcados como AnomaliesOnly.
- SAP – Configuração ausente no Monitor de Log de Auditoria de Segurança Dinâmica. É executado diariamente para fornecer recomendações de configuração para o módulo de log de auditoria do SAP.
O Microsoft Sentinel agora examina todo o log de auditoria do SAP em intervalos regulares, em busca de eventos de segurança determinísticos e anomalias. Você pode exibir os incidentes gerados por esse log na página Incidentes.
Assim como acontece com cada solução de machine learning, ela vai melhorando o desempenho com o tempo. A detecção de anomalias funciona melhor usando um histórico de log de auditoria do SAP de sete dias ou mais.
Configurar tipos de eventos com a watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration
Você pode configurar ainda mais tipos de eventos que produzem muitos incidentes usando a watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration. Aqui estão algumas opções para reduzir incidentes.
| Opção | Descrição |
|---|---|
| Definir severidades e desabilitar eventos indesejados | Por padrão, as regras determinísticas e as regras baseadas em anomalias criam alertas para eventos marcados com severidades médias e altas. É possível definir essas severidades especificamente para ambientes de produção e não produção. Por exemplo, você pode definir um evento de atividade de depuração como alta severidade em sistemas de produção e desabilitar esses eventos em sistemas de não produção. |
| Excluir usuários por suas funções SAP ou perfis SAP | O Microsoft Sentinel para SAP ingere o perfil de autorização do usuário SAP, incluindo atribuições de função diretas e indiretas, grupos e perfis, para que você possa falar a linguagem SAP em seu SIEM. Você pode configurar um evento SAP para excluir usuários com base nas funções e perfis SAP deles. Na watchlist, adicione as funções ou perfis que agrupam os usuários da interface RFC na coluna RolesTagsToExclude, ao lado do evento Acesso genérico à tabela por RFC. A partir de agora, você receberá alertas apenas para usuários que não tenham essas funções. |
| Excluir usuários por marcas SOC | Com marcas, você pode criar seu próprio agrupamento, sem depender de definições complicadas do SAP ou mesmo sem autorização do SAP. Esse método é útil para equipes SOC que desejam criar seu próprio agrupamento para usuários SAP. Conceitualmente, excluir usuários por marcas funciona como marcas de nome: você define vários eventos na configuração com várias marcas. Você não recebe alertas para um usuário com uma marca associada a um evento específico. Por exemplo, você não quer que contas de serviço específicas sejam alertadas para eventos de Acesso genérico à tabela por RFC, mas não encontra uma função SAP ou um perfil SAP que agrupe esses usuários. Nesse caso, você pode adicionar a marca GenTableRFCReadOK ao lado do evento relevante na watchlist e, em seguida, ir para a watchlist SAP_User_Config e atribuir aos usuários da interface a mesma marca. |
| Especificar um limite de frequência por tipo de evento e função do sistema | Funciona como um limite de velocidade. Por exemplo, você pode decidir que os eventos Alteração de Registro Mestre do Usuário ruidosos só disparem alertas se mais de 12 atividades forem observadas em uma hora, pelo mesmo usuário, em um sistema de produção. Se um usuário exceder o limite de 12 por hora, por exemplo, dois eventos em uma janela de 10 minutos, um incidente será disparado. |
| Determinismo ou anomalias | Se você souber as características do evento, poderá usar as funcionalidades determinísticas. Se você não tiver certeza de como configurar corretamente o evento, as funcionalidades de machine learning poderão decidir. |
| Funcionalidades de SOAR | Você pode usar o Microsoft Sentinel para orquestrar, automatizar e responder a incidentes que podem ser aplicados aos alertas dinâmicos do log de auditoria do SAP. Saiba mais sobre SOAR (Orquestração de Segurança, Automação e Resposta). |
Próximas etapas
Nesse artigo, você aprendeu como monitorar o log de auditoria do SAP usando as regras de análise internas do Microsoft Sentinel.