Solução do Microsoft Sentinel para SAP BTP: referência de conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível para a Solução do Microsoft Sentinel para SAP BTP.
O conteúdo de segurança disponível inclui uma pasta de trabalho integrada e regras de análise. Adicione watchlists relacionadas ao SAP para usar em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta.
Pasta de trabalho do SAP BTP
A pasta de trabalho de atividade BTP fornece uma visão geral do painel da atividade BTP.
A guia Visão geral mostra:
- Uma visão geral das subcontas BTP, ajudando os analistas a identificar as contas mais ativas e o tipo de dados ingeridos.
- Subconta da atividade de entrada, ajudando os analistas a identificar picos e tendências que podem estar associados a falhas de entrada no SAP Business Application Studio (BAS).
- Linha do tempo da atividade do BTP e número de alertas de segurança do BTP, ajudando os analistas a pesquisar qualquer correlação entre os dois.
A guia Gerenciamento de Identidades mostra uma grade de eventos de gerenciamento de identidade, como alterações de função de segurança e de usuário, em um formato legível por humanos. A barra de pesquisa permite que você encontre rapidamente alterações específicas.
Para obter mais informações, consulte Tutorial: Visualizar e monitorar seus dados e Implantar a Solução do Microsoft Sentinel para SAP BTP.
Regras de análise integradas
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| BTP: tentativas de acesso com falha em várias subcontas do BAS | Identifica tentativas de acesso do BAS (Business Application Studio) com falha em um número predefinido de subcontas. Limite padrão: 3 |
Execute tentativas de entrada com falha no BAS acima do número limite definido de subcontas. Fontes de dados: SAPBTPAuditLog_CL |
Descoberta, reconhecimento |
| BTP: malware detectado no espaço de desenvolvimento do BAS | Identifica instâncias de malware detectadas pelo agente de malware interno do SAP nos espaços de desenvolvedor do BAS. | Copie ou crie um arquivo de malware em um espaço de desenvolvedor de BAS. Fontes de dados: SAPBTPAuditLog_CL |
Execução, persistência, desenvolvimento de recursos |
| BTP: usuário adicionado à coleção de funções privilegiadas confidenciais | Identifica ações de gerenciamento de identidades em que um usuário é adicionado a um conjunto de coleções de funções com privilégios monitorados. | Atribua uma das seguintes coleções de funções a um usuário: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Fontes de dados: SAPBTPAuditLog_CL |
Movimento lateral, elevação de privilégio |
| BTP: monitor do Provedor de Identidade de Confiança e Autorização | Identifica operações CRUD (criar, ler, atualizar e excluir) nas configurações do Provedor de Identidade em uma subconta. | Altere, leia, atualize ou exclua qualquer uma das configurações do provedor de identidade em uma subconta. Fontes de dados: SAPBTPAuditLog_CL |
Acesso de credencial, elevação de privilégio |
| BTP - exclusão de usuário em massa em uma subconta | Identifica a atividade de exclusão da conta de usuário em que o número de usuários excluídos excede um limite predefinido. Limite padrão: 10 |
Excluir a contagem de contas de usuário acima do limite definido. Fontes de dados: SAPBTPAuditLog_CL |
Impacto |
Próximas etapas
Neste artigo, você aprendeu sobre o conteúdo de segurança fornecido com a Solução do Microsoft Sentinel para SAP BTP.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de