Aplicativos da Solução do Microsoft Sentinel para SAP® – SAP – Pasta de trabalho de Log de Auditoria de Segurança e Acesso Inicial
Este artigo descreve a pasta de trabalho de Log de Auditoria de Segurança e Acesso Inicial do SAP, usada para monitorar e acompanhar a atividade de auditoria do usuário em seus sistemas SAP. Você pode usar a pasta de trabalho para obter uma visão geral da atividade de auditoria do usuário, para proteger melhor seus sistemas SAP e obter visibilidade rápida sobre ações suspeitas. Você pode detalhar eventos suspeitos conforme necessário.
Você pode usar a pasta de trabalho para monitoramento contínuo de seus sistemas SAP ou para examinar os sistemas após um incidente de segurança ou outra atividade suspeita.
Começar a usar a pasta de trabalho
Selecione Pastas de trabalho no menu Gerenciamento de ameaças do portal do Microsoft Sentinel.
Na galeria Pastas de Trabalho, acesse Modelos e insiraSAP na barra de pesquisa e selecione Log de Auditoria de Segurança do SAP e Acesso Inicial entre os resultados.
Selecione o Modelo de exibição para usar a pasta de trabalho como está ou selecione Salvar para criar uma cópia editável da pasta de trabalho. Quando a cópia for criada, selecione Exibir pasta de trabalho salva.
Importante
A pasta de trabalho de Log de Auditoria de Segurança e Acesso Inicial do SAP é hospedada pelo workspace em que a solução do Microsoft Sentinel para aplicativos SAP® foi instalada. Por padrão, os dados SAP e SOC são considerados no workspace que hospeda a pasta de trabalho.
Se os dados SOC estiverem em um workspace diferente do workspace que hospeda a pasta de trabalho, inclua a assinatura desse workspace e selecione o workspace SOC no workspace de auditoria e atividade do Azure.
Selecione os seguintes campos para filtrar os dados de acordo com suas necessidades:
- Intervalo de tempo. De quatro a 90 dias.
- Funções do sistema. As funções do sistema SAP, por exemplo: Desenvolvimento.
- Uso do sistema. Por exemplo, SAP GTS.
- Sistemas SAP. Você pode selecionar todos os sistemas, um sistema específico ou selecionar vários sistemas.
Se você selecionar sistemas que não estão configurados na watchlist "sistemas SAP", a pasta de trabalho vai mostrar um erro, especificando os sistemas com problemas. Nesse caso, configure a watchlist para incluir corretamente esses sistemas.
Visão geral da pasta de trabalho
A pasta de trabalho é separada em duas guias:
- Relatório de Análise de logon. Mostra diferentes tipos de dados relacionados a falhas de entrada. Os dados incluem dados anômalos, dados do Microsoft Entra e muito mais. Os dados são baseados na watchlist "Sistemas SAP".
- Relatório de alertas de log de auditoria. Mostra diferentes tipos de dados em relação aos eventos de log de auditoria do SAP que a solução do Microsoft Sentinel para aplicativos SAP® observa. Os dados são baseados na watchlist "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Guia Relatório de Análise de logon
Inclui as áreas Análise de logon e Falhas de logon.
Análise de Logon
Mostra diferentes tipos de dados relacionados a entradas do usuário.
| Área | Descrição | Opções |
|---|---|---|
| Logons de usuário exclusivos por sistema | Mostra o número de entradas exclusivas para cada sistema SAP e um grafo com as tendências de entrada ao longo do tempo selecionado para cada sistema. Por exemplo: o sistema 012 tem tentativas de logon exclusivas de 1,4 K nos últimos 14 dias e, nesses 14 dias, o grafo mostra uma tendência de entrada relativamente crescente. | |
| Tendência de tipos de logon | Mostra uma tendência do número de entradas de acordo com o tipo, por exemplo, logon via caixa de diálogo. | Você pode passar o mouse sobre o grafo para mostrar o número de logons para datas diferentes. |
| Falhas de logon versus sucesso por usuários exclusivos – Tendência | Mostra uma tendência de entradas bem-sucedidas e com falha no período selecionado. | Você pode passar o mouse sobre o grafo para mostrar a quantidade de entradas bem-sucedidas e com falha para datas diferentes. |
Falhas de logon – Detecção de anomalias
As áreas em Detecção de anomalias – filtrando tentativas de logon com falha no barulhento mostram dados de falha de logon para sistemas SAP e usuários. Para ver apenas os dados sinalizados pela detecção de anomalias, selecione Anormal somente ao lado de Logons com falha à direita.
| Área | Descrição | Dados específicos | Opções/anotações |
|---|---|---|---|
| Taxa de falha de logon>Anomalias> de falha de logon Logons de usuário exclusivo com falha por sistema SAP | Mostra o número de entradas com falha exclusivas para cada sistema SAP. | ||
| SAP e Active Directory são melhores juntos | A tabela Falhas de logon anômalas mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra. A pasta de trabalho exibe os usuários de acordo com o risco: os usuários que indicam o maior risco estão na parte superior da lista e os usuários com menos risco de segurança estão na parte inferior. | Para cada usuário, mostra: • Uma linha do tempo de tentativas de entrada com falha • Uma linha do tempo mostrando em que ponto ocorreu uma tentativa de falha anormal • O tipo de anomalia • O endereço de email do usuário • O indicador de risco do Microsoft Entra • O número de incidentes e alertas no Microsoft Sentinel |
• Ao selecionar uma linha, você pode ver uma lista de alertas e incidentes para esse usuário em Visão geral de incidentes/alertas para o usuário. Abaixo desta lista, você também pode ver os eventos de risco do Microsoft Entra em Auditoria e riscos de entrada para o usuário do Azure. • Se os dados do Microsoft Entra estiverem em um workspace do Log Analytics diferente, selecione as assinaturas e workspaces relevantes na parte superior da pasta de trabalho, em Auditoria e atividades do Azure. |
| Taxa de falha de logon por sistema | Representa visualmente os sistemas SAP selecionados. | • Para cada sistema, mostra o número de falhas no período selecionado • Os sistemas são agrupados por tipo. • A cor do sistema indica o número de tentativas com falha: Verde indica algumas tentativas suspeitas de logon, em que vermelho indica tentativas de logon mais suspeitas. |
Você pode selecionar um sistema para ver uma lista de entradas com falha com detalhes sobre as falhas. |
Nesta captura de tela, você pode ver os dados mostrados quando a primeira linha é selecionada na tabela Falhas de logon anômalas. Os alertas específicos e as URLs de incidentes são mostrados na Visão geral de Incidentes/alertas para a tabela do usuário.
Nesta captura de tela, a tabela Riscos de auditoria e de entrada do Azure para usuário mostra dados de risco de entrada relacionado a esse usuário.
Nesta captura de tela, você pode ver a área Taxa de falha de logon por sistema, em que o sistema 84e no grupo Teste está selecionado. A área Logons com falha no sistema, à direita, mostra eventos com falha nesse sistema.
Falhas de logon – Tendências
A área Tendências de falhas de logon mostra as tendências e o número de entradas com falha, agrupadas por diferentes tipos de dados.
| Área | Descrição |
|---|---|
| Falha de logon por causa | Mostra uma tendência do número de falhas de entrada de acordo com a causa da falha, por exemplo: dados de entrada incorretos. |
| Falha de logon por tipo | Mostra uma tendência do número de falhas de entrada de acordo com o tipo, por exemplo: a entrada disparou um trabalho em segundo plano ou a entrada foi via HTTP. |
| Falha de logon por método | Mostra uma tendência do número de falhas de entrada de acordo com o método, por exemplo: SNC ou um tíquete de entrada. |
Guia Relatório de alertas de log de auditoria
Essa guia mostra as tendências de severidade e auditoria para cada usuário e sistema SAP. Todas as áreas desta guia mostram dados sinalizados apenas pela detecção de anomalias. Para todos os eventos, selecione Todos ao lado de Logons com falha à direita.
| Área | Descrição | Dados específicos | Opções/anotações |
|---|---|---|---|
| Tendências de severidade de alerta por ID do sistema | Mostra uma lista de sistemas, com um grafo de tendências de eventos de severidade média e alta por sistema. Por exemplo, o sistema 012 teve muitos eventos de severidade alta durante todo o período e alguns eventos de severidade média com um pico que mostra mais eventos de severidade média no meio do período. | ||
| Tendência de auditoria por usuário | Mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra. A pasta de trabalho exibe os usuários de acordo com o risco: os usuários que indicam o maior risco estão na parte superior da lista e os usuários com menos risco de segurança estão na parte inferior. | Para cada usuário, mostra: • Uma linha do tempo de eventos de severidade alta e média • O endereço de email do usuário • O indicador de risco do Microsoft Entra • O número de incidentes e alertas no Microsoft Sentinel |
Ao selecionar uma linha, você pode ver uma lista de alertas e incidentes para esse usuário em Visão geral de incidentes/alertas para o usuário. Abaixo desta lista, você também pode ver os eventos de risco do Microsoft Entra em Auditoria e riscos de entrada para o usuário do Azure. |
| Pontuação de risco por sistema | Representa visualmente cada sistema em uma forma de célula. | • Mostra a pontuação de risco para cada sistema. • Os sistemas são agrupados por tipo. • A cor do sistema indica o risco: verde indica um sistema com uma pontuação de risco menor, enquanto vermelho indica uma pontuação de risco maior. |
Você pode selecionar um sistema para ver uma lista de eventos SAP por sistema. |
| Eventos por táticas MITRE ATT&CK® | Mostra uma lista de eventos SAP agrupados por táticas MITRE ATT&CK®, como Acesso Inicial ou Evasão de Defesa. | Você pode passar o mouse sobre o grafo para mostrar o número de logons para datas diferentes datas. | |
| Eventos, por categoria | Mostra uma lista de tendências de eventos SAP agrupadas por categoria, como RFC Start ou Logon. | Você pode passar o mouse sobre o grafo para mostrar o número de entradas em diferentes datas. | |
| Eventos por grupo de autorização | Mostra uma lista de tendências de eventos SAP agrupadas pelo grupo de autorização SAP, como USER ou SUPER. | Você pode passar o mouse sobre o grafo para mostrar o número de logons para datas diferentes datas. | |
| Eventos por tipo de usuário | Mostra uma lista de tendências de eventos SAP agrupadas pelo tipo de usuário SAP, como Caixa de diálogo ou sistema. | Você pode passar o mouse sobre o grafo para mostrar o número de logons para datas diferentes datas. |
Nesta captura de tela, você pode ver os dados mostrados quando a primeira linha é selecionada na tabela Tendências de auditoria por usuário. Os alertas específicos e as URLs de incidentes são mostrados na Visão geral de Incidentes/alertas para a tabela do usuário.
Nesta captura de tela, você pode ver a área Pontuação de risco por sistema, em que o sistema cb7 no grupo UAT está selecionado. A área Eventos SAP do sistema abaixo da visualização do sistema mostra o evento SAP desse sistema.
Nesta captura de tela, você pode ver áreas com eventos e tendências de eventos agrupados por diferentes tipos de dados: táticas MITRE ATT&CK®, grupo de autorização SAP e tipo de usuário.
Próximas etapas
Para obter mais informações, consulte:
- Implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®
- Referência dos logs dos aplicativos da solução do Microsoft Sentinel para SAP®
- Monitore a integridade do seu sistema SAP
- Implante o conector de dados dos aplicativos da Solução do Microsoft Sentinel para SAP® com o SNC
- Referência do arquivo de configuração
- Pré-requisitos para implantar os aplicativos da Solução do Microsoft Sentinel para SAP®
- Solução de problemas de implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®