Microsoft Sentinel Solution for SAP BTP: referência de conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível para a Microsoft Sentinel Solution for SAP BTP.
O conteúdo de segurança disponível atualmente inclui uma pasta de trabalho interna e regras de análise. Você também pode adicionar listas de observação relacionadas ao SAP para usar em sua pesquisa, regras de deteção, caça a ameaças e playbooks de resposta.
Pasta de trabalho SAP BTP
A pasta de trabalho de atividade BTP fornece uma visão geral do painel da atividade BTP.
A guia Visão geral mostra:
- Uma visão geral das subcontas BTP, ajudando os analistas a identificar as contas mais ativas e o tipo de dados ingeridos.
- Atividade de login de subconta, ajudando os analistas a identificar picos e tendências que podem estar associados a falhas de login no SAP Business Application Studio (BAS).
- Linha do tempo da atividade do BTP e número de alertas de segurança do BTP, ajudando os analistas a procurar qualquer correlação entre os dois.
A guia Gerenciamento de Identidades mostra uma grade de eventos de gerenciamento de identidade, como alterações de função de usuário e segurança, em um formato legível por humanos. A barra de pesquisa permite-lhe encontrar rapidamente alterações específicas.
Para obter mais informações, consulte Tutorial: Visualizar e monitorar seus dados e Implantar a solução Microsoft Sentinel para SAP BTP.
Regras de análise incorporadas
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| BTP - Tentativas de acesso falhadas em várias subcontas BAS | Identifica tentativas de acesso com falha no Business Application Studio (BAS) em um número predefinido de subcontas. Limiar por defeito: 3 |
Execute tentativas de entrada com falha para BAS acima do número limite definido de subcontas. Fontes de dados: SAPBTPAuditLog_CL |
Descoberta, Reconhecimento |
| BTP - Malware detetado no espaço de desenvolvimento BAS | Identifica instâncias de malware detetadas pelo agente de malware interno do SAP nos espaços de desenvolvedor do BAS. | Copie ou crie um arquivo de malware em um espaço de desenvolvedor BAS. Fontes de dados: SAPBTPAuditLog_CL |
Execução, Persistência, Desenvolvimento de Recursos |
| BTP - Usuário adicionado à coleção de funções privilegiadas confidenciais | Identifica ações de gerenciamento de identidade em que um usuário é adicionado a um conjunto de coleções de funções privilegiadas monitoradas. | Atribua uma das seguintes coleções de funções a um usuário: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Fontes de dados: SAPBTPAuditLog_CL |
Movimento Lateral, Escalonamento de Privilégios |
| BTP - Monitor de Provedor de Identidade de Confiança e Autorização | Identifica operações de criação, leitura, atualização e exclusão (CRUD) nas configurações do Provedor de Identidade em uma subconta. | Altere, leia, atualize ou exclua qualquer uma das configurações do provedor de identidade em uma subconta. Fontes de dados: SAPBTPAuditLog_CL |
Acesso a credenciais, escalonamento de privilégios |
| BTP - Exclusão de usuário em massa em uma subconta | Identifica a atividade de exclusão de conta de usuário em que o número de usuários excluídos excede um limite predefinido. Limite padrão: 10 |
Exclua a contagem de contas de usuário acima do limite definido. Fontes de dados: SAPBTPAuditLog_CL |
Impacto |
Próximos passos
Neste artigo, você aprendeu sobre o conteúdo de segurança fornecido com a Microsoft Sentinel Solution for SAP BTP.