Manuais de resposta a incidentes do Microsoft Sentinel para SAP

  • Artigo

Este artigo descreve como aproveitar os recursos de orquestração, automação e resposta de segurança (SOAR) do Microsoft Sentinel em conjunto com o SAP. O artigo apresenta playbooks criados especificamente incluídos na solução Microsoft Sentinel para aplicativos SAP®. Você pode usar esses manuais para responder automaticamente a atividades suspeitas do usuário em sistemas SAP, automatizando ações corretivas no SAP RISE, SAP ERP, SAP Business Technology Platform (BTP), bem como no Microsoft Entra ID.

A solução Microsoft Sentinel SAP permite que sua organização proteja seu ambiente SAP. Para obter uma visão geral completa e detalhada da solução SAP Sentinel, consulte os seguintes artigos:

Com a adição desses manuais à solução, você pode não apenas monitorar e analisar eventos de segurança em tempo real, mas também automatizar fluxos de trabalho de resposta a incidentes SAP para melhorar a eficiência e a eficácia das operações de segurança.

A solução Microsoft Sentinel para aplicativos SAP® inclui os seguintes playbooks:

  • SAP Incident Response - Bloquear usuário do Teams - Básico
  • SAP Incident Response - Bloquear usuário do Teams - Avançado
  • SAP Incident Response - Reative o log de auditoria depois de desativado

Casos de utilização

Você tem a tarefa de defender o ambiente SAP da sua organização. Você implementou a solução Microsoft Sentinel para aplicativos SAP®. Você habilitou a regra de análise da solução "SAP - Execução de um código de transação sensível" e, possivelmente, personalizou a lista de observação "Transações confidenciais" da solução para incluir códigos de transação específicos que deseja selecionar. Um incidente avisa sobre atividades suspeitas em um dos sistemas SAP. Um usuário está tentando executar uma dessas transações altamente confidenciais. Você deve investigar e responder a este incidente.

Durante a fase de triagem, você decide tomar medidas contra esse usuário, expulsando-o de seus sistemas SAP ERP ou BTP ou até mesmo do Microsoft Entra ID.

Bloquear um utilizador a partir de um único sistema

Como exemplo de como trazer orquestração e automação para esse processo, vamos criar uma regra de automação para invocar o usuário Bloquear do Teams - Manual básico sempre que uma execução de transação sensível por um usuário não autorizado for detetada. Este manual usa o recurso de cartões adaptáveis do Teams para solicitar aprovação antes de bloquear unilateralmente o usuário.

Para obter mais informações sobre como configurar este manual, consulte esta postagem do blog do SAP.

Bloquear um usuário de vários sistemas

O usuário Lock do Teams - Advanced playbook cumpre o mesmo objetivo, mas é projetado para cenários mais complexos, permitindo que um único playbook seja usado para vários sistemas SAP, cada um com seu próprio SAP SID. O manual gerencia perfeitamente as conexões com todos esses sistemas e suas credenciais, usando o parâmetro dinâmico opcional InterfaceAttributes na lista de observação SAP - Systems (incluída com a solução Microsoft Sentinel para aplicativos SAP®) e o Azure Key Vault. O manual também permite que você se comunique com as partes no processo de aprovação usando mensagens acionáveis do Outlook, além do Teams e sincronizado com ele, usando os parâmetros TeamsChannelID e DestinationEmail na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration.

Para obter mais informações sobre como configurar este manual e, em particular, sobre como usar parâmetros dinâmicos em listas de observação para gerenciar conexões com todos os seus sistemas SAP, consulte esta postagem do blog da SAP.

Impedir a desativação do log de auditoria

Com sua missão sendo garantir que a cobertura de segurança do seu ambiente SAP permaneça abrangente e ininterrupta, você pode estar preocupado com a desativação do log de auditoria SAP — uma das fontes de suas informações de segurança. Você deseja criar uma regra de automação com base na regra de análise SAP - Deactivation of Security Audit Log , que invocará o playbook Reenable audit logging uma vez desativado para garantir que isso não aconteça. Este manual também utiliza o Teams, mas apenas para informar o pessoal de segurança após o fato, uma vez que, dada a gravidade da infração e a urgência de sua mitigação, ações imediatas podem ser tomadas sem necessidade de aprovação. Como este manual também usa o Azure Key Vault para gerenciar credenciais, a configuração do playbook é semelhante à do anterior. Para obter mais informações sobre este manual e sua configuração, consulte esta postagem do blog do SAP.

Playbooks padrão vs. consumo

O Microsoft Sentinel permite criar instâncias desses playbooks diretamente de modelos se você estiver usando playbooks baseados no plano de consumo dos Aplicativos Lógicos do Azure. Se você tiver requisitos específicos para suporte à injeção de rede virtual (VNET), deverá usar o gerenciamento de API do Azure conforme descrito aqui em conjunto com seu aplicativo lógico de consumo ou usar aplicativos lógicos deplano padrão.

Veja a explicação completa dos diferentes tipos de playbooks. Além disso, consulte esta postagem do blog da SAP, na tabela sob o título "Criando linha de visão para seu sistema SAP para a solicitação SOAP", para as ramificações da escolha de cada tipo de aplicativo lógico.

O processo de implantação de aplicativos lógicos padrão geralmente é mais complexo do que para aplicativos lógicos de consumo, mas disponibilizamos uma série de atalhos que permitem implantá-los rapidamente a partir do repositório GitHub do Microsoft Sentinel. Siga o procedimento descrito para implantar os playbooks.

Atualmente disponíveis Playbooks padrão no GitHub:

Acompanhe a pasta de playbooks do SAP no repositório GitHub para obter mais playbooks à medida que eles forem disponibilizados. Há também um pequeno vídeo introdutório (link externo) para ajudá-lo a começar.

Próximos passos

Neste artigo, você aprendeu sobre os playbooks disponíveis na solução Microsoft Sentinel para aplicativos SAP®.