Solução Microsoft Sentinel para aplicativos SAP®: referência de conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível para a Microsoft Sentinel Solution for SAP.
Importante
Embora a solução Microsoft Sentinel para aplicativos SAP® esteja em GA, alguns componentes específicos permanecem na visualização. Este artigo indica os componentes que estão em visualização nas seções relevantes abaixo. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
O conteúdo de segurança disponível inclui pastas de trabalho internas e regras de análise. Você também pode adicionar listas de observação relacionadas ao SAP para usar em sua pesquisa, regras de deteção, caça a ameaças e playbooks de resposta.
Livros incorporados
Use as seguintes pastas de trabalho integradas para visualizar e monitorar dados ingeridos por meio do conector de dados SAP. Depois de implantar a solução SAP, você pode encontrar pastas de trabalho SAP na guia Minhas pastas de trabalho.
| Nome da pasta de trabalho | Descrição | Registos |
|---|---|---|
| SAP - Navegador de log de auditoria | Exibe dados como: Integridade geral do sistema, incluindo entradas do usuário ao longo do tempo, eventos ingeridos pelo sistema, classes e IDs de mensagens e programas ABAP executados Gravidade dos eventos que ocorrem no seu sistema Eventos de autenticação e autorização que ocorrem no seu sistema |
Usa dados do seguinte log: ABAPAuditLog_CL |
Para obter mais informações, consulte Tutorial: Visualize e monitore seus dados e Implante a solução Microsoft Sentinel para aplicativos SAP®.
Regras de análise incorporadas
Monitoramento da configuração de parâmetros de segurança estáticos do SAP (Preview)
Para proteger o sistema SAP, a SAP identificou parâmetros relacionados à segurança que precisam ser monitorados quanto a alterações. Com a regra "SAP - (Preview) Sensitive Static Parameter has Changed", a solução Microsoft Sentinel para aplicativos SAP rastreia mais de 52 parâmetros estáticos relacionados à segurança no sistema SAP®, que são incorporados ao Microsoft Sentinel.
Nota
Para que a solução Microsoft Sentinel para aplicativos SAP monitore com êxito os parâmetros de segurança SAP, a solução precisa monitorar com êxito a tabela SAP® PAHI em intervalos regulares. Verifique se a solução pode monitorar com êxito a tabela PAHI.
Para entender as alterações de parâmetros no sistema, a solução Microsoft Sentinel para aplicativos SAP® usa a tabela de histórico de parâmetros, que registra as alterações feitas nos parâmetros do sistema a cada hora.
Os parâmetros também são refletidos na lista de observação SAPSystemParameters. Essa lista de observação permite que os usuários adicionem novos parâmetros, desativem parâmetros existentes e modifiquem os valores e gravidades por parâmetro e função do sistema em ambientes de produção ou não.
Quando uma alteração é feita em um desses parâmetros, o Microsoft Sentinel verifica se a alteração está relacionada à segurança e se o valor está definido de acordo com os valores recomendados. Se houver suspeita de que a alteração está fora da zona segura, o Microsoft Sentinel cria um incidente detalhando a alteração e identifica quem fez a alteração.
Analise a lista de parâmetros que esta regra monitoriza.
Monitorando o log de auditoria SAP
Os dados de log do SAP Audit são usados em muitas das regras de análise da solução Microsoft Sentinel para aplicativos SAP®. Algumas regras de análise procuram eventos específicos no log, enquanto outras correlacionam indicações de vários logs para produzir alertas e incidentes de alta fidelidade.
Além disso, há duas regras de análise que são projetadas para acomodar todo o conjunto de eventos de log de auditoria padrão do SAP (183 eventos diferentes) e quaisquer outros eventos personalizados que você possa optar por registrar usando o log de auditoria do SAP.
Ambas as regras de análise de monitoramento de log de auditoria SAP compartilham as mesmas fontes de dados e a mesma configuração, mas diferem em um aspeto crítico. Enquanto a regra "SAP - Dynamic Deterministic Audit Log Monitor" requer limites de alerta determinísticos e regras de exclusão de usuário, a regra "SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)" aplica algoritmos adicionais de aprendizado de máquina para filtrar o ruído de fundo de forma não supervisionada. Por esse motivo, por padrão, a maioria dos tipos de evento (ou IDs de mensagem SAP) do log de auditoria SAP está sendo enviada para a regra de análise "Baseada em anomalia", enquanto os tipos de evento mais fáceis de definir são enviados para a regra de análise determinística. Essa configuração, juntamente com outras configurações relacionadas, pode ser configurada para se adequar a quaisquer condições do sistema.
SAP - Monitor de Log de Auditoria Determinística Dinâmica
Uma regra de análise dinâmica destinada a cobrir todo o conjunto de tipos de eventos de log de auditoria SAP que têm uma definição determinística em termos de população de usuários, limites de eventos.
- Configurar a regra com a lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration
- Saiba mais sobre como configurar a regra (procedimento completo)
SAP - Alertas de Monitor de Log de Auditoria Baseados em Anomalias Dinâmicas (PREVIEW)
Uma regra de análise dinâmica projetada para aprender o comportamento normal do sistema e alertar sobre as atividades observadas no log de auditoria do SAP que são consideradas anômalas. Aplique esta regra nos tipos de eventos do log de auditoria SAP que são mais difíceis de definir em termos de população de usuários, atributos de rede e limites.
Saiba mais:
- Configurar a regra com as listas de observação SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config
- Saiba mais sobre como configurar a regra (procedimento completo)
As tabelas a seguir listam as regras de análise internas incluídas na solução Microsoft Sentinel para aplicativos SAP®, implantada a partir do mercado Microsoft Sentinel Solutions.
Acesso inicial
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP - Login a partir de uma rede inesperada | Identifica um início de sessão a partir de uma rede inesperada. Manter redes na lista de observação SAP - Redes . |
Inicie sessão no sistema de back-end a partir de um endereço IP que não esteja atribuído a uma das redes. Fontes de dados: SAPcon - Audit Log |
Acesso inicial |
| SAP - Ataque SPNego | Identifica o ataque SPNego Replay. | Fontes de dados: SAPcon - Audit Log | Impacto, Movimento Lateral |
| SAP - Tentativa de logon da caixa de diálogo de um usuário privilegiado | Identifica tentativas de entrada na caixa de diálogo, com o tipo AUM , por usuários privilegiados em um sistema SAP. Para obter mais informações, consulte SAPUsersGetPrivileged. | Tentar iniciar sessão a partir do mesmo IP em vários sistemas ou clientes dentro do intervalo de tempo agendado Fontes de dados: SAPcon - Audit Log |
Impacto, Movimento Lateral |
| SAP - Ataques de força bruta | Identifica ataques de força bruta no sistema SAP usando logons RFC | Tente fazer login a partir do mesmo IP para vários sistemas/clientes dentro do intervalo de tempo agendado usando RFC Fontes de dados: SAPcon - Audit Log |
Acesso a credenciais |
| SAP - Vários Logons do mesmo IP | Identifica o início de sessão de vários utilizadores a partir do mesmo endereço IP num intervalo de tempo agendado. Caso de subuso: Persistência |
Inicie sessão utilizando vários utilizadores através do mesmo endereço IP. Fontes de dados: SAPcon - Audit Log |
Acesso inicial |
| SAP - Múltiplos Logons por Usuário | Identifica entradas do mesmo usuário de vários terminais dentro do intervalo de tempo agendado. Disponível apenas através do método Audit SAL, para SAP versões 7.5 e superiores. |
Entre usando o mesmo usuário, usando endereços IP diferentes. Fontes de dados: SAPcon - Audit Log |
Pré-ataque, acesso a credenciais, acesso inicial, coleta Caso de subuso: Persistência |
| SAP - Informativo - Ciclo de vida - SAP Notes foram implementados no sistema | Identifica a implementação do SAP Note no sistema. | Implemente uma nota SAP usando SNOTE/TCI. Fontes de dados: SAPcon - Change Requests |
- |
Transferência de dados não autorizada
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP - FTP para servidores não autorizados | Identifica uma conexão FTP para um servidor não autorizado. | Crie uma nova conexão FTP, como usando o módulo de função FTP_CONNECT. Fontes de dados: SAPcon - Audit Log |
Descoberta, acesso inicial, comando e controle |
| SAP - Configuração de servidores FTP inseguros | Identifica configurações de servidor FTP inseguras, como quando uma lista de permissões de FTP está vazia ou contém espaços reservados. | Não mantenha ou mantenha valores que contenham espaços reservados na SAPFTP_SERVERS tabela, usando o SAPFTP_SERVERS_V modo de exibição de manutenção. (SM30) Fontes de dados: SAPcon - Audit Log |
Acesso inicial, comando e controlo |
| SAP - Download de vários arquivos | Identifica vários downloads de arquivos para um usuário dentro de um intervalo de tempo específico. | Baixe vários arquivos usando o SAPGui para Excel, listas e assim por diante. Fontes de dados: SAPcon - Audit Log |
Recolha, Exfiltração, Acesso a Credenciais |
| SAP - Execuções de Spool Múltiplo | Identifica vários spools para um usuário dentro de um intervalo de tempo específico. | Crie e execute vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon - Spool Log, SAPcon - Audit Log |
Recolha, Exfiltração, Acesso a Credenciais |
| SAP - Execuções de saída de spool múltiplo | Identifica vários spools para um usuário dentro de um intervalo de tempo específico. | Crie e execute vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon - Spool Output Log, SAPcon - Audit Log |
Recolha, Exfiltração, Acesso a Credenciais |
| SAP - Acesso direto a tabelas sensíveis por logon RFC | Identifica um acesso genérico à tabela por entrada RFC. Manter tabelas na lista de observação SAP - Sensitive Tables . Nota: Relevante apenas para sistemas de produção. |
Abra o conteúdo da tabela usando SE11/SE16/SE16N. Fontes de dados: SAPcon - Audit Log |
Recolha, Exfiltração, Acesso a Credenciais |
| SAP - Aquisição de Spool | Identifica um usuário imprimindo uma solicitação de spool que foi criada por outra pessoa. | Crie uma solicitação de spool usando um usuário e, em seguida, produza-a usando um usuário diferente. Fontes de dados: SAPcon - Spool Log, SAPcon - Spool Output Log, SAPcon - Audit Log |
Recolha, Exfiltração, Comando e Controlo |
| SAP - Destino RFC dinâmico | Identifica a execução de RFC usando destinos dinâmicos. Caso de subuso: Tentativas de ignorar os mecanismos de segurança do SAP |
Execute um relatório ABAP que use destinos dinâmicos (cl_dynamic_destination). Por exemplo, DEMO_RFC_DYNAMIC_DEST. Fontes de dados: SAPcon - Audit Log |
Recolha, Exfiltração |
| SAP - Acesso direto a tabelas sensíveis por logon de caixa de diálogo | Identifica o acesso genérico à tabela por meio da entrada na caixa de diálogo. | Abra o conteúdo da tabela usando SE11//SE16SE16No . Fontes de dados: SAPcon - Audit Log |
Deteção |
| SAP - (Pré-visualização) ficheiro descarregado de um endereço IP malicioso | Identifica o download de um arquivo de um sistema SAP usando um endereço IP conhecido por ser malicioso. Os endereços IP maliciosos são obtidos a partir de serviços de informações sobre ameaças. | Transfira um ficheiro de um IP malicioso. Fontes de dados: Log de auditoria de segurança SAP, Threat Intelligence |
Exfiltração |
| SAP - (Visualização) Dados exportados de um sistema de produção usando um transporte | Identifica a exportação de dados de um sistema de produção usando um transporte. Os transportes são usados em sistemas de desenvolvimento e são semelhantes a solicitações pull. Esta regra de alerta dispara incidentes com gravidade média quando um transporte que inclui dados de qualquer tabela é liberado de um sistema de produção. A regra cria um incidente de alta gravidade quando a exportação inclui dados de uma tabela confidencial. | Libere um transporte de um sistema de produção. Fontes de dados: SAP CR log, SAP - Sensitive Tables |
Exfiltração |
| SAP - (Pré-visualização) Dados Confidenciais Guardados numa Unidade USB | Identifica a exportação de dados SAP através de arquivos. A regra verifica se há dados salvos em uma unidade USB montada recentemente na proximidade de uma execução de uma transação confidencial, um programa confidencial ou acesso direto a uma tabela confidencial. | Exporte dados SAP através de arquivos e salve em uma unidade USB. Fontes de dados: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender for Endpoint), SAP - Sensitive Tables, SAP - Sensitive Transactions, SAP - Sensitive Programs |
Exfiltração |
| SAP - (Pré-visualização) Impressão de dados potencialmente sensíveis | Identifica uma solicitação ou impressão real de dados potencialmente confidenciais. Os dados são considerados confidenciais se o usuário obtiver os dados como parte de uma transação confidencial, execução de um programa confidencial ou acesso direto a uma tabela confidencial. | Imprima ou solicite a impressão de dados confidenciais. Fontes de dados: SAP Security Audit Log, SAP Spool logs, SAP - Sensitive Tables, SAP - Sensitive Programs |
Exfiltração |
| SAP - (Pré-visualização) Alto Volume de Dados Potencialmente Sensíveis Exportados | Identifica a exportação de um grande volume de dados através de arquivos próximos a uma execução de uma transação sensível, um programa confidencial ou acesso direto a uma tabela sensível. | Exporte um grande volume de dados através de ficheiros. Fontes de dados: SAP Security Audit Log, SAP - Sensitive Tables, SAP - Sensitive Transactions, SAP - Sensitive Programs |
Exfiltração |
Persistência
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP - Ativação ou Desativação do Serviço ICF | Identifica a ativação ou desativação dos Serviços ICF. | Ative um serviço usando o SICF. Fontes de dados: SAPcon - Table Data Log |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP - Módulo de função testado | Identifica o teste de um módulo de função. | Teste um módulo de função usando SE37 / SE80o . Fontes de dados: SAPcon - Audit Log |
Cobrança, Evasão de Defesa, Movimento Lateral |
| SAP - (PREVIEW) HANA DB -User Admin actions | Identifica as ações de administração do usuário. | Criar, atualizar ou excluir um usuário de banco de dados. Fontes de dados: Agente Linux - Syslog* |
Escalamento de Privilégios |
| SAP - Novos manipuladores de serviços ICF | Identifica a criação de manipuladores ICF. | Atribua um novo manipulador a um serviço usando o SICF. Fontes de dados: SAPcon - Audit Log |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP - Novos Serviços ICF | Identifica a criação de Serviços ICF. | Crie um serviço usando o SICF. Fontes de dados: SAPcon - Table Data Log |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP - Execução de Módulo de Função Obsoleta ou Insegura | Identifica a execução de um módulo de função ABAP obsoleto ou inseguro. Manter funções obsoletas na lista de observação SAP - Obsolete Function Modules . Certifique-se de ativar as alterações de log de tabela para a EUFUNC tabela no back-end. (SE13)Nota: Relevante apenas para sistemas de produção. |
Execute um módulo de função obsoleto ou inseguro diretamente usando o SE37. Fontes de dados: SAPcon - Table Data Log |
Descoberta, Comando e Controlo |
| SAP - Execução de Programa Obsoleto/Inseguro | Identifica a execução de um programa ABAP obsoleto ou inseguro. Manter programas obsoletos na lista de observação SAP - Programas Obsoletos . Nota: Relevante apenas para sistemas de produção. |
Execute um programa diretamente usando SE38/SA38/SE80 ou usando um trabalho em segundo plano. Fontes de dados: SAPcon - Audit Log |
Descoberta, Comando e Controlo |
| SAP - Múltiplas alterações de senha por usuário | Identifica várias alterações de senha por usuário. | Alterar palavra-passe de utilizador Fontes de dados: SAPcon - Audit Log |
Acesso a credenciais |
Tentativas de ignorar os mecanismos de segurança SAP
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP - Alteração na configuração do cliente | Identifica alterações na configuração do cliente, como a função do cliente ou o modo de gravação de alterações. | Execute alterações na configuração do cliente usando o código de SCC4 transação. Fontes de dados: SAPcon - Audit Log |
Evasão de Defesa, Exfiltração, Persistência |
| SAP - Os dados foram alterados durante a atividade de depuração | Identifica alterações para dados de tempo de execução durante uma atividade de depuração. Caso de subuso: Persistência |
1. Ativar depuração ("/h"). 2. Selecione um campo para alteração e atualize seu valor. Fontes de dados: SAPcon - Audit Log |
Execução, Movimento Lateral |
| SAP - Desativação do Log de Auditoria de Segurança | Identifica a desativação do Log de Auditoria de Segurança, | Desative o Log de auditoria de segurança usando SM19/RSAU_CONFIGo . Fontes de dados: SAPcon - Audit Log |
Exfiltração, Evasão de Defesa, Persistência |
| SAP - Execução de um Programa ABAP Sensível | Identifica a execução direta de um programa ABAP sensível. Manter Programas ABAP na lista de observação SAP - Programas ABAP Sensíveis . |
Execute um programa diretamente usando SE38//SA38SE80o . Fontes de dados: SAPcon - Audit Log |
Exfiltração, Movimento Lateral, Execução |
| SAP - Execução de um Código de Transação Sensível | Identifica a execução de um Código de Transação sensível. Mantenha códigos de transação na lista de observação SAP - Sensitive Transaction Codes . |
Execute um código de transação confidencial. Fontes de dados: SAPcon - Audit Log |
Descoberta, execução |
| SAP - Execução de Módulo de Função Sensível | Identifica a execução de um módulo de função ABAP sensível. Caso de subuso: Persistência Nota: Relevante apenas para sistemas de produção. Mantenha funções sensíveis na lista de observação SAP - Sensitive Function Modules e certifique-se de ativar as alterações de log de tabela no back-end para a tabela EUFUNC. (SE13) |
Execute um módulo de função sensível diretamente usando o SE37. Fontes de dados: SAPcon - Table Data Log |
Descoberta, Comando e Controlo |
| SAP - (PREVIEW) HANA DB -Alterações na política da trilha de auditoria | Identifica alterações nas políticas da trilha de auditoria do banco de dados HANA. | Crie ou atualize a política de auditoria existente em definições de segurança. Fontes de dados: Agente Linux - Syslog |
Movimento Lateral, Evasão de Defesa, Persistência |
| SAP - (PREVIEW) HANA DB -Desativação da trilha de auditoria | Identifica a desativação do log de auditoria do banco de dados HANA. | Desative o log de auditoria na definição de segurança do banco de dados HANA. Fontes de dados: Agente Linux - Syslog |
Persistência, Movimento Lateral, Evasão de Defesa |
| SAP - Execução remota não autorizada de um módulo de função sensível | Deteta execuções não autorizadas de FMs confidenciais comparando a atividade com o perfil de autorização do usuário, ignorando as autorizações recentemente alteradas. Manter módulos de função na lista de observação SAP - Sensitive Function Modules . |
Execute um módulo de função usando RFC. Fontes de dados: SAPcon - Audit Log |
Execução, Movimento Lateral, Descoberta |
| SAP - Alteração na configuração do sistema | Identifica alterações na configuração do sistema. | Adapte as opções de alteração do sistema ou a modificação do componente de software usando o código de SE06 transação.Fontes de dados: SAPcon - Audit Log |
Exfiltração, Evasão de Defesa, Persistência |
| SAP - Atividades de depuração | Identifica todas as atividades relacionadas à depuração. Caso de subuso: Persistência |
Ative Debug ("/h") no sistema, depure um processo ativo, adicione ponto de interrupção ao código-fonte e assim por diante. Fontes de dados: SAPcon - Audit Log |
Deteção |
| SAP - Alteração na configuração do log de auditoria de segurança | Identifica alterações na configuração do Log de Auditoria de Segurança | Altere qualquer Configuração de Log de Auditoria de Segurança usando SM19/RSAU_CONFIG, como filtros, status, modo de gravação e assim por diante. Fontes de dados: SAPcon - Audit Log |
Persistência, Exfiltração, Evasão de Defesa |
| SAP - A transação está desbloqueada | Identifica o desbloqueio de uma transação. | Desbloqueie um código de transação usando SM01//SM01_DEVSM01_CUSo . Fontes de dados: SAPcon - Audit Log |
Persistência, Execução |
| SAP - Programa ABAP Dinâmico | Identifica a execução de programação ABAP dinâmica. Por exemplo, quando o código ABAP foi criado, alterado ou excluído dinamicamente. Manter códigos de transação excluídos na lista de observação SAP - Transactions for ABAP Generations . |
Crie um relatório ABAP que use comandos de geração de programa ABAP, como INSERT REPORT e, em seguida, execute o relatório. Fontes de dados: SAPcon - Audit Log |
Descoberta, Comando e Controlo, Impacto |
Operações de privilégios suspeitos
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP - Mudança no usuário privilegiado sensível | Identifica alterações de usuários privilegiados confidenciais. Mantenha usuários privilegiados na lista de observação SAP - Usuários privilegiados . |
Altere os detalhes / autorizações do usuário usando SU01o . Fontes de dados: SAPcon - Audit Log |
Escalonamento de privilégios, acesso a credenciais |
| SAP - (PREVIEW) HANA DB -Atribuir autorizações de administrador | Identifica o privilégio de administrador ou a atribuição de função. | Atribua um usuário com qualquer função ou privilégios de administrador. Fontes de dados: Agente Linux - Syslog |
Escalamento de Privilégios |
| SAP - Usuário privilegiado sensível conectado | Identifica a entrada na caixa de diálogo de um usuário privilegiado sensível. Mantenha usuários privilegiados na lista de observação SAP - Usuários privilegiados . |
Entre no sistema de back-end usando SAP* ou outro usuário privilegiado. Fontes de dados: SAPcon - Audit Log |
Acesso inicial, acesso a credenciais |
| SAP - Usuário privilegiado sensível faz uma alteração em outro usuário | Identifica alterações de usuários sensíveis e privilegiados em outros usuários. | Altere os detalhes / autorizações do usuário usando SU01. Fontes de dados: SAPcon - Audit Log |
Escalonamento de privilégios, acesso a credenciais |
| SAP - Alteração de Senha e Login de Usuários Sensíveis | Identifica alterações de senha para usuários privilegiados. | Altere a senha de um usuário privilegiado e entre no sistema. Mantenha usuários privilegiados na lista de observação SAP - Usuários privilegiados . Fontes de dados: SAPcon - Audit Log |
Impacto, comando e controle, escalonamento de privilégios |
| SAP - Usuário cria e usa novo usuário | Identifica um usuário que cria e usa outros usuários. Caso de subuso: Persistência |
Crie um usuário usando SU01 e, em seguida, entre usando o usuário recém-criado e o mesmo endereço IP. Fontes de dados: SAPcon - Audit Log |
Descoberta, pré-ataque, acesso inicial |
| SAP - Usuário desbloqueia e usa outros usuários | Identifica um usuário que está sendo desbloqueado e usado por outros usuários. Caso de subuso: Persistência |
Desbloqueie um usuário usando SU01 e, em seguida, entre usando o usuário desbloqueado e o mesmo endereço IP. Fontes de dados: SAPcon - Audit Log, SAPcon - Change Documents Log |
Descoberta, Pré-ataque, Acesso inicial, Movimento lateral |
| SAP - Atribuição de um perfil sensível | Identifica novas atribuições de um perfil confidencial para um usuário. Mantenha perfis sensíveis na lista de observação SAP - Sensitive Profiles . |
Atribua um perfil a um usuário usando SU01o . Fontes de dados: SAPcon - Change Documents Log |
Escalamento de Privilégios |
| SAP - Atribuição de uma função sensível | Identifica novas atribuições para uma função sensível para um usuário. Mantenha funções confidenciais na lista de observação SAP - Sensitive Roles . |
Atribua uma função a um usuário usando SU01 / PFCGo . Fontes de dados: SAPcon - Change Documents Log, Audit Log |
Escalamento de Privilégios |
| SAP - (PREVIEW) Atribuição de autorizações críticas - Novo valor de autorização | Identifica a atribuição de um valor crítico de objeto de autorização a um novo usuário. Mantenha objetos de autorização críticos na lista de observação SAP - Critical Authorization Objects . |
Atribua um novo objeto de autorização ou atualize um existente em uma função, usando PFCG. Fontes de dados: SAPcon - Change Documents Log |
Escalamento de Privilégios |
| SAP - Atribuição de autorizações críticas - Atribuição de novo usuário | Identifica a atribuição de um valor crítico de objeto de autorização a um novo usuário. Mantenha objetos de autorização críticos na lista de observação SAP - Critical Authorization Objects . |
Atribua um novo usuário a uma função que contenha valores críticos de autorização, usando SU01/PFCG. Fontes de dados: SAPcon - Change Documents Log |
Escalamento de Privilégios |
| SAP - Mudanças de funções sensíveis | Identifica alterações em funções confidenciais. Mantenha funções confidenciais na lista de observação SAP - Sensitive Roles . |
Altere uma função usando PFCG. Fontes de dados: SAPcon - Change Documents Log, SAPcon - Audit Log |
Impacto, escalonamento de privilégios, persistência |
Listas de observação disponíveis
A tabela a seguir lista as listas de observação disponíveis para a solução Microsoft Sentinel para aplicativos SAP® e os campos em cada lista de observação.
Essas listas de observação fornecem a configuração para a solução Microsoft Sentinel para aplicativos SAP®. As listas de observação SAP estão disponíveis no repositório GitHub do Microsoft Sentinel.
| Nome da lista de observação | Descrição e campos |
|---|---|
| SAP - Objetos críticos de autorização | Objeto Autorizações Críticas, onde as atribuições devem ser controladas. - AuthorizationObject: um objeto de autorização SAP, como S_DEVELOP, S_TCODEou Table TOBJ - AuthorizationField: um campo de autorização SAP, como OBJTYP ou TCD - AuthorizationValue: um valor de campo de autorização SAP, como DEBUG - ActivityField : campo de atividade SAP. Para a maioria dos casos, este valor será ACTVT. Para objetos Authorizations sem uma Activity, ou com apenas um campo Activity preenchido com NOT_IN_USE. - Atividade: atividade SAP, de acordo com o objeto de autorização, tais como: : 01Criar; : Alterar; 0302: Exibir, e assim por diante. - Descrição: uma descrição significativa do Objeto de Autorização Crítica. |
| SAP - Redes excluídas | Para manutenção interna de redes excluídas, como ignorar despachantes da Web, servidores de terminal e assim por diante. -Rede: um endereço IP ou intervalo de rede, como 111.68.128.0/17. -Descrição: Uma descrição de rede significativa. |
| Usuários excluídos do SAP | Usuários do sistema que estão conectados ao sistema e devem ser ignorados. Por exemplo, alertas para várias entradas do mesmo usuário. - Usuário: Usuário SAP -Descrição: uma descrição significativa do usuário. |
| SAP - Redes | Redes internas e de manutenção para identificação de logins não autorizados. - Rede: Endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: Uma descrição de rede significativa. |
| SAP - Utilizadores Privilegiados | Usuários privilegiados que estão sob restrições extras. - Usuário: o usuário ABAP, como DDIC ou SAP - Descrição: uma descrição significativa do usuário. |
| SAP - Programas ABAP Sensíveis | Programas ABAP sensíveis (relatórios), onde a execução deve ser governada. - ABAPProgram: programa ou relatório ABAP, como RSPFLDOC - Descrição: Uma descrição significativa do programa. |
| SAP - Módulo de Função Sensível | Redes internas e de manutenção para identificação de logins não autorizados. - FunctionModule: Um módulo de função ABAP, como RSAU_CLEAR_AUDIT_LOG - Descrição: uma descrição significativa do módulo. |
| SAP - Perfis Sensíveis | Perfis sensíveis, onde as atribuições devem ser regidas. - Perfil: perfil de autorização SAP, como SAP_ALL ou SAP_NEW - Descrição: uma descrição de perfil significativa. |
| SAP - Tabelas sensíveis | Tabelas sensíveis, onde o acesso deve ser controlado. - Tabela: Tabela de dicionário ABAP, como USR02 ou PA008 - Descrição: uma descrição significativa da tabela. |
| SAP - Funções sensíveis | Funções sensíveis, onde a atribuição deve ser governada. - Função: função de autorização SAP, como SAP_BC_BASIS_ADMIN - Descrição: uma descrição de função significativa. |
| SAP - Transações Sensíveis | Transações sensíveis cuja execução deve ser regulada. - TransactionCode: código de transação SAP, como RZ11 - Descrição: uma descrição de código significativa. |
| SAP - Sistemas | Descreve o cenário dos sistemas SAP de acordo com a função, o uso e a configuração. - SystemID: o ID do sistema SAP (SYSID) - SystemRole: a função do sistema SAP, um dos seguintes valores: Sandbox, , , , TrainingDevelopmentQuality AssuranceProduction - SystemUsage: O uso do sistema SAP, um dos seguintes valores: ERP, , , , GatewayBWSolmanEnterprise Portal - InterfaceAttributes: um parâmetro dinâmico opcional para uso em playbooks. |
| SAPSystemParameters | Parâmetros para observar alterações de configuração suspeitas. Esta lista de observação é pré-preenchida com valores recomendados (de acordo com as melhores práticas da SAP), e você pode estender a lista de observação para incluir mais parâmetros. Se não quiser receber alertas para um parâmetro, defina EnableAlerts como false.- ParameterName: O nome do parâmetro. - Comentário: A descrição do parâmetro padrão SAP. - EnableAlerts: define se os alertas devem ser habilitados para esse parâmetro. Os valores são true e false.- Opção: Define em que caso disparar um alerta: Se o valor do parâmetro for maior ou igual (), menor ou igual (), ou igual ( LEGEEQ).Por exemplo, se o parâmetro SAP estiver definido como LE (menor ou igual) e um valor de 5, quando o Microsoft Sentinel detetar uma alteração nesse parâmetro específico, ele compara o valor recém-relatado e o login/fails_to_user_lock valor esperado. Se o novo valor for 4, o Microsoft Sentinel não acionará um alerta. Se o novo valor for 6, o Microsoft Sentinel dispara um alerta.- Gravidade da produção: A gravidade do incidente para sistemas de produção. - ProductionValues: Valores permitidos para sistemas de produção. - NonProdSeverity: A gravidade do incidente para sistemas que não são de produção. - NonProdValues: Valores permitidos para sistemas não produtivos. |
| SAP - Usuários excluídos | Usuários do sistema que estão conectados e precisam ser ignorados, como para o alerta Vários logons por usuário. - Usuário: Usuário SAP - Descrição: Uma descrição significativa do usuário |
| SAP - Redes excluídas | Mantenha redes internas excluídas para ignorar despachantes da Web, servidores de terminal e assim por diante. - Rede: Endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: Uma descrição de rede significativa |
| SAP - Módulos de função obsoletos | Módulos de função obsoletos, cuja execução deve ser regida. - FunctionModule: Módulo de função ABAP, como TH_SAPREL - Descrição: Uma descrição significativa do módulo de função |
| SAP - Programas obsoletos | Programas ABAP obsoletos (relatórios), cuja execução deve ser regida. - ABAPProgram:Programa ABAP, como TH_ RSPFLDOC - Descrição: Uma descrição significativa do programa ABAP |
| SAP - Transações para Gerações ABAP | Transações para gerações ABAP cuja execução deve ser regulada. - TransactionCode:Código de transação, como SE11. - Descrição: Uma descrição significativa do Código de Transação |
| SAP - Servidores FTP | Servidores FTP para identificação de ligações não autorizadas. - Cliente: como 100. - FTP_Server_Name: Nome do servidor FTP, como http://contoso.com/ -FTP_Server_Port:Porta do servidor FTP, como 22. - DescriçãoUma descrição significativa do servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure os alertas do log de auditoria SAP atribuindo a cada ID de mensagem um nível de severidade, conforme exigido por você, por função do sistema (produção, não produção). Esta lista de observação detalha todos os IDs de mensagens de log de auditoria padrão SAP disponíveis. A lista de observação pode ser estendida para conter IDs de mensagens adicionais que você pode criar por conta própria usando aprimoramentos ABAP em seus sistemas SAP NetWeaver. Essa lista de observação também permite configurar uma equipe designada para lidar com cada um dos tipos de evento e excluir usuários por funções SAP, perfis SAP ou por tags da lista de observação SAP_User_Config . Essa lista de observação é um dos principais componentes usados para configurar as regras de análise SAP integradas para monitorar o log de auditoria SAP. - MessageID: O ID da mensagem SAP ou o tipo de evento, como AUD (Alterações no registro mestre do usuário) ou AUB (alterações de autorização). - DetailedDescription: Uma descrição habilitada para marcação a ser mostrada no painel de incidentes. - Gravidade da produção: A gravidade desejada para o incidente a ser criado com para sistemas Highde produção , Medium. Pode ser definido como Disabled. - NonProdSeverity: A gravidade desejada para o incidente a ser criado com para sistemas Highde não-produção, Medium. Pode ser definido como Disabled. - ProductionThreshold A contagem "Por hora" de eventos a serem considerados suspeitos para os sistemas 60de produção. - NonProdThreshold A contagem "Por hora" de eventos a serem considerados suspeitos para sistemas 10que não são de produção. - FunçõesTagsToExclude: Este campo aceita o nome da função SAP, nomes de perfil SAP ou tags da lista de observação SAP_User_Config. Eles são usados para excluir os usuários associados de tipos de eventos específicos. Consulte as opções para tags de função no final desta lista. - RuleType: Use Deterministic para que o tipo de evento seja enviado para o SAP - Dynamic Deterministic Audit Log Monitor ou AnomaliesOnly para que esse evento seja coberto pelo SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW).- TeamsChannelID: um parâmetro dinâmico opcional para uso em playbooks. - DestinationEmail: um parâmetro dinâmico opcional para uso em playbooks. Para o campo RolesTagsToExclude : - Se você listar funções SAP ou perfis SAP, isso excluirá qualquer usuário com as funções ou perfis listados desses tipos de evento para o mesmo sistema SAP. Por exemplo, se você definir a BASIC_BO_USERS função ABAP para os tipos de eventos relacionados à RFC, os usuários do Business Objects não dispararão incidentes ao fazer chamadas RFC massivas.- Marcar um tipo de evento é semelhante a especificar funções ou perfis SAP, mas tags podem ser criadas no espaço de trabalho, para que as equipes SOC possam excluir usuários por atividade sem depender da equipe SAP. Por exemplo, os IDs de mensagem de auditoria AUB (alterações de autorização) e AUD (alterações de registro mestre de usuário) recebem a MassiveAuthChanges tag. Os usuários atribuídos a essa tag são excluídos das verificações para essas atividades. A execução da função de espaço de trabalho SAPAuditLogConfigRecommend produz uma lista de tags recomendadas a serem atribuídas aos usuários, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite ajustar alertas excluindo / incluindo usuários em contextos específicos e também é usado para configurar as regras de análise SAP integradas para monitorar o log de auditoria SAP. - SAPUser: O usuário SAP - Tags: As tags são usadas para identificar os usuários em relação a determinadas atividades. Por exemplo: Adicionar as tags ["GenericTablebyRFCOK"] ao usuário SENTINEL_SRV impedirá que incidentes relacionados à RFC sejam criados para esse usuário específico Outros identificadores de usuário do Ative Directory - Identificador de usuário do AD - Sid local do usuário - Nome Principal do Utilizador |
Manuais disponíveis
| Nome do playbook | Parâmetros | Ligações |
|---|---|---|
| SAP Incident Response - Bloquear usuário do Teams - Básico | - SAP-SOAP-User-Password - SAP-SOAP-Nome de utilizador - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP Incident Response - Bloquear usuário do Teams - Avançado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Monitor Logs - Office 365 Outlook - ID do Microsoft Entra - Azure Key Vault - Microsoft Teams |
| SAP Incident Response - Reative o log de auditoria depois de desativado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitor Logs - Microsoft Teams |
Próximos passos
Para obter mais informações, consulte:
- Implantando a solução Microsoft Sentinel para aplicativos SAP®
- Referência de logs da solução Microsoft Sentinel para aplicativos SAP®
- Monitore a integridade do seu sistema SAP
- Implante o conector de dados da solução Microsoft Sentinel para aplicativos SAP® com SNC
- Referência do arquivo de configuração
- Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
- Solução de problemas da implantação da solução Microsoft Sentinel para aplicativos SAP®