Solução do Microsoft Sentinel para aplicações SAP®: referência de conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível para a Solução do Microsoft Sentinel para SAP.
Importante
Embora a solução do Microsoft Sentinel para aplicações SAP® esteja em DISPONIBILIDADE, alguns componentes específicos permanecem em PRÉ-VISUALIZAÇÃO. Este artigo indica os componentes que estão em pré-visualização nas secções relevantes abaixo. Os Termos Suplementares da Pré-visualização do Azure incluem termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
O conteúdo de segurança disponível inclui livros incorporados e regras de análise. Também pode adicionar listas de observação relacionadas com SAP para utilizar nos manuais de procedimentos de pesquisa, deteção, investigação de ameaças e resposta.
Livros incorporados
Utilize os seguintes livros incorporados para visualizar e monitorizar os dados ingeridos através do conector de dados SAP. Depois de implementar a solução SAP, pode encontrar livros SAP no separador Os meus livros .
| Nome do livro | Description | Registos |
|---|---|---|
| SAP – Browser de Registo de Auditoria | Apresenta dados como: Estado de funcionamento geral do sistema, incluindo inícios de sessão do utilizador ao longo do tempo, eventos ingeridos pelo sistema, classes de mensagens e IDs e programas ABAP executados Gravidades dos eventos que ocorrem no seu sistema Eventos de autenticação e autorização que ocorrem no seu sistema |
Utiliza dados do seguinte registo: ABAPAuditLog_CL |
| SAP – Operações de Privilégios Suspeitos | Apresenta dados como: Atribuições sensíveis e críticas Ações e alterações efetuadas a utilizadores confidenciais e com privilégios Alterações efetuadas às funções |
Utiliza dados dos seguintes registos: ABAPAuditLog_CL ABAPChangeDocsLog_CL |
| SAP – Tentativas de Acesso & Inicial para Ignorar Os Mecanismos de Segurança SAP | Apresenta dados como: Execuções de programas confidenciais, código e módulos de função Alterações de configuração, incluindo desativações de registos Alterações efetuadas no modo de depuração |
Utiliza dados dos seguintes registos: ABAPAuditLog_CL ABAPTableDataLog_CL Syslog |
| SAP – Persistency & Data Exfiltration | Apresenta dados como: Serviços do Internet Communication Framework (ICF), incluindo ativações e desativações e dados sobre novos serviços e processadores de serviços Operações inseguras, incluindo módulos de funções e programas Acesso direto a tabelas confidenciais |
Utiliza dados dos seguintes registos: ABAPAuditLog_CL ABAPTableDataLog_CL ABAPSpoolLog_CL ABAPSpoolOutputLog_CL Syslog |
Para obter mais informações, veja Tutorial: Visualizar e monitorizar os seus dados e Implementar a solução Do Microsoft Sentinel para aplicações SAP®.
Regras de análise incorporadas
Regras de análise SAP incorporadas para monitorizar o registo de auditoria do SAP
Os dados de registo de Auditoria sap são utilizados em muitas das regras de análise da solução Do Microsoft Sentinel para aplicações SAP®. Algumas regras de análise procuram eventos específicos no registo, enquanto outras correlacionam as indicações de vários registos para produzir alertas e incidentes de alta fidelidade. Além disso, existem duas regras de análise que foram concebidas para acomodar todo o conjunto de eventos de registo de auditoria sap padrão (183 eventos diferentes) e quaisquer outros eventos personalizados que pode optar por registar com o registo de auditoria sap.
Ambas as regras de análise de monitorização de registos de auditoria sap partilham as mesmas origens de dados e a mesma configuração, mas diferem num aspeto crítico. Embora o "SAP – Monitor de Registo de Auditoria Determinista Dinâmico" necessite de limiares de alerta deterministas e regras de exclusão de utilizadores, os "Alertas do Monitor de Registos de Auditoria baseados em Anomalias Dinâmicas (PRÉ-VISUALIZAÇÃO)" aplicam algoritmos de machine learning adicionais para filtrar o ruído de fundo de forma não supervisionada. Por este motivo, por predefinição, a maioria dos tipos de eventos (ou IDs de mensagens SAP) do registo de auditoria sap estão a ser enviados para a regra de análise "baseada em anomalias", enquanto os tipos de evento mais fáceis de definir são enviados para a regra de análise determinista. Esta definição, juntamente com outras definições relacionadas, pode ser configurada de forma a adequar-se a quaisquer condições do sistema.
SAP – Monitor de Registo de Auditoria Determinista Dinâmico
Uma regra de análise dinâmica que se destina a abranger todo o conjunto de tipos de eventos de registo de auditoria sap que têm uma definição determinista em termos de população de utilizadores, limiares de eventos.
- Configurar a regra com a lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration
- Saiba mais sobre como configurar a regra (procedimento completo)
SAP – Alertas do Monitor de Registos de Auditoria baseados em Anomalias Dinâmicas (PRÉ-VISUALIZAÇÃO)
Uma regra de análise dinâmica concebida para aprender o comportamento normal do sistema e alertar sobre as atividades observadas no registo de auditoria do SAP que são consideradas anómalas. Aplique esta regra nos tipos de eventos de registo de auditoria do SAP que são mais difíceis de definir em termos de população de utilizadores, atributos de rede e limiares.
Saiba mais:
- Configurar a regra com as listas de observação SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config
- Saiba mais sobre como configurar a regra (procedimento completo)
As tabelas seguintes listam as regras de análise incorporadas incluídas na solução Do Microsoft Sentinel para aplicações SAP®, implementadas a partir do marketplace de Soluções do Microsoft Sentinel.
Regras de análise SAP incorporadas para acesso inicial
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Iniciar sessão a partir de uma rede inesperada | Identifica um início de sessão a partir de uma rede inesperada. Mantenha as redes na lista de observação SAP – Redes . |
Inicie sessão no sistema de back-end a partir de um endereço IP que não esteja atribuído a uma das redes. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial |
| SAP – Ataque SPNego | Identifica o Ataque de Repetição de SPNego. | Origens de dados: SAPcon – Registo de Auditoria | Impacto, Movimento Lateral |
| SAP – Tentativa de início de sessão na caixa de diálogo de um utilizador com privilégios | Identifica tentativas de início de sessão na caixa de diálogo, com o tipo AUM , por utilizadores com privilégios num sistema SAP. Para obter mais informações, veja SAPUsersGetPrivileged. | Tentar iniciar sessão a partir do mesmo IP para vários sistemas ou clientes dentro do intervalo de tempo agendado Origens de dados: SAPcon – Registo de Auditoria |
Impacto, Movimento Lateral |
| SAP – Ataques de força bruta | Identifica ataques de força bruta no sistema SAP com inícios de sessão RFC | Tentar iniciar sessão a partir do mesmo IP para vários sistemas/clientes dentro do intervalo de tempo agendado com RFC Origens de dados: SAPcon – Registo de Auditoria |
Acesso a Credenciais |
| SAP – Vários Inícios de Sessão a partir do mesmo IP | Identifica o início de sessão de vários utilizadores a partir do mesmo endereço IP num intervalo de tempo agendado. Caso de subuplicação: Persistência |
Inicie sessão com vários utilizadores através do mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial |
| SAP – Vários Inícios de Sessão por Utilizador | Identifica os inícios de sessão do mesmo utilizador de vários terminais dentro do intervalo de tempo agendado. Disponível apenas através do método AUDIT SAL, para as versões SAP 7.5 e superior. |
Inicie sessão com o mesmo utilizador, utilizando diferentes endereços IP. Origens de dados: SAPcon – Registo de Auditoria |
Pré-ataque, Acesso a Credenciais, Acesso Inicial, Coleção Caso de subuplicação: Persistência |
| SAP – Informativo – Ciclo de Vida – As Notas SAP foram implementadas no sistema | Identifica a implementação do SAP Note no sistema. | Implemente uma Nota SAP com o SNOTE/TCI. Origens de dados: SAPcon – Pedidos de Alteração |
- |
Regras de análise sap incorporadas para a exfiltração de dados
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – FTP para servidores não autorizados | Identifica uma ligação FTP para um servidor não autorizado. | Crie uma nova ligação FTP, como, por exemplo, com o Módulo de Função FTP_CONNECT. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Acesso Inicial, Comando e Controlo |
| SAP – Configuração de servidores FTP inseguros | Identifica configurações de servidor FTP inseguras, como quando uma lista de permissões de FTP está vazia ou contém marcadores de posição. | Não mantenha nem mantenha valores que contenham marcadores de posição na SAPFTP_SERVERS tabela, utilizando a SAPFTP_SERVERS_V vista de manutenção. (SM30)Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial, Comando e Controlo |
| SAP – Transferência de Vários Ficheiros | Identifica várias transferências de ficheiros para um utilizador dentro de um intervalo de tempo específico. | Transfira vários ficheiros com o SAPGui para Excel, listas e assim sucessivamente. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Múltiplas Execuções de Spool | Identifica vários spools para um utilizador dentro de um intervalo de tempo específico. | Crie e execute várias tarefas de spool de qualquer tipo por um utilizador. (SP01) Origens de dados: SAPcon – Registo de Spool, SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Múltiplas Execuções de Saída de Spool | Identifica vários spools para um utilizador dentro de um intervalo de tempo específico. | Crie e execute várias tarefas de spool de qualquer tipo por um utilizador. (SP01) Origens de dados: SAPcon – Registo de Saída do Spool, SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Acesso Direto das Tabelas Confidenciais por Início de Sessão RFC | Identifica um acesso genérico à tabela através do início de sessão rfc. Manter tabelas na lista de observação SAP – Tabelas Confidenciais . Nota: relevante apenas para sistemas de produção. |
Abra o conteúdo da tabela com SE11/SE16/SE16N. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Aquisição do Spool | Identifica um utilizador que imprime um pedido de spool que foi criado por outra pessoa. | Crie um pedido de spool com um utilizador e, em seguida, produza-o com um utilizador diferente. Origens de dados: SAPcon – Registo de Spool, SAPcon – Registo de Saída do Spool, SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Comando e Controlo |
| SAP – Destino RFC Dinâmico | Identifica a execução de RFC com destinos dinâmicos. Caso de subuplicação: tentativas de ignorar os mecanismos de segurança sap |
Execute um relatório ABAP que utilize destinos dinâmicos (cl_dynamic_destination). Por exemplo, DEMO_RFC_DYNAMIC_DEST. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração |
| SAP – Acesso Direto das Tabelas Confidenciais por Início de Sessão de Caixa de Diálogo | Identifica o acesso genérico à tabela através do início de sessão na caixa de diálogo. | Abra o conteúdo da tabela com SE11SE16N/SE16/. Origens de dados: SAPcon – Registo de Auditoria |
Deteção |
| SAP – (Pré-visualização) Ficheiro Transferido a Partir de um Endereço IP Malicioso | Identifica a transferência de um ficheiro a partir de um sistema SAP através de um endereço IP conhecido por ser malicioso. Os endereços IP maliciosos são obtidos a partir de serviços de informações sobre ameaças. | Transfira um ficheiro a partir de um IP malicioso. Origens de dados: Registo de auditoria de segurança sap, Informações sobre Ameaças |
Exfiltração |
| SAP - (Pré-visualização) Dados Exportados de um Sistema de Produção com um Transporte | Identifica a exportação de dados de um sistema de produção através de um transporte. Os transportes são utilizados em sistemas de desenvolvimento e são semelhantes aos pedidos Pull. Esta regra de alerta aciona incidentes com gravidade média quando um transporte que inclui dados de qualquer tabela é libertado de um sistema de produção. A regra cria um incidente de gravidade elevada quando a exportação inclui dados de uma tabela sensível. | Liberte um transporte de um sistema de produção. Origens de dados: registo SAP CR, SAP – Tabelas Confidenciais |
Exfiltração |
| SAP – (Pré-visualização) Dados Confidenciais Guardados numa Pen USB | Identifica a exportação de dados SAP através de ficheiros. A regra verifica a existência de dados guardados numa pen USB montada recentemente nas proximidades de uma execução de uma transação sensível, de um programa sensível ou de acesso direto a uma tabela sensível. | Exportar dados SAP através de ficheiros e guardar numa pen USB. Origens de dados: Registo de Auditoria de Segurança sap, DeviceFileEvents (Microsoft Defender para Endpoint), SAP – Tabelas Confidenciais, SAP – Transações Confidenciais, SAP – Programas Confidenciais |
Exfiltração |
| SAP - (Pré-visualização) Impressão de dados Potencialmente Confidenciais | Identifica um pedido ou impressão real de dados potencialmente confidenciais. Os dados são considerados confidenciais se o utilizador obtiver os dados como parte de uma transação sensível, execução de um programa sensível ou acesso direto a uma tabela sensível. | Imprimir ou pedir para imprimir dados confidenciais. Origens de dados: Registo de Auditoria de Segurança sap, registos do SAP Spool, SAP – Tabelas Confidenciais, SAP – Programas Confidenciais |
Exfiltração |
| SAP – (Pré-visualização) Volume Elevado de Dados Potencialmente Confidenciais Exportados | Identifica a exportação de um grande volume de dados através de ficheiros próximos de uma execução de uma transação sensível, de um programa sensível ou de acesso direto a tabelas confidenciais. | Exportar um volume elevado de dados através de ficheiros. Origens de dados: Registo de Auditoria de Segurança SAP, SAP – Tabelas Confidenciais, SAP – Transações Confidenciais, SAP – Programas Confidenciais |
Exfiltração |
Regras de análise sap incorporadas para persistência
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Ativação ou Desativação do Serviço ICF | Identifica a ativação ou desativação dos Serviços ICF. | Ativar um serviço com o SICF. Origens de dados: SAPcon – Registo de Dados da Tabela |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP – Módulo de Função testado | Identifica o teste de um módulo de função. | Testar um módulo de função com SE37 / SE80. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Evasão de Defesa, Movimento Lateral |
| SAP - (PRÉ-VISUALIZAÇÃO) DB HANA - Ações de Administração do utilizador | Identifica as ações de administração de utilizadores. | Criar, atualizar ou eliminar um utilizador da base de dados. Origens de Dados: Agente Linux - Syslog* |
Escalamento de Privilégios |
| SAP – Novos Processadores de Serviços ICF | Identifica a criação de Processadores ICF. | Atribua um novo processador a um serviço com o SICF. Origens de dados: SAPcon – Registo de Auditoria |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP – Novos Serviços ICF | Identifica a criação de Serviços ICF. | Crie um serviço com o SICF. Origens de dados: SAPcon – Registo de Dados da Tabela |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP – Execução do Módulo de Função Obsoleta ou Insegura | Identifica a execução de um módulo de função ABAP obsoleto ou inseguro. Manter funções obsoletas na lista de observação SAP – Módulos de Funções Obsoletos . Certifique-se de que ativa as alterações de registo de tabelas para a EUFUNC tabela no back-end. (SE13)Nota: relevante apenas para sistemas de produção. |
Execute um módulo de função obsoleto ou inseguro diretamente com o SE37. Origens de dados: SAPcon – Registo de Dados da Tabela |
Deteção, Comando e Controlo |
| SAP – Execução de Um Programa Obsoleto/Inseguro | Identifica a execução de um programa ABAP obsoleto ou inseguro. Manter programas obsoletos na lista de observação SAP – Programas Obsoletos . Nota: relevante apenas para sistemas de produção. |
Execute um programa diretamente com SE38/SA38/SE80 ou utilizando uma tarefa em segundo plano. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Comando e Controlo |
| SAP – Múltiplas Alterações de Palavra-passe por Utilizador | Identifica várias alterações de palavra-passe por utilizador. | Alterar palavra-passe do utilizador Origens de dados: SAPcon – Registo de Auditoria |
Acesso a Credenciais |
Regras de análise sap incorporadas para tentativas de ignorar mecanismos de segurança SAP
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Alteração da Configuração do Cliente | Identifica as alterações à configuração do cliente, como a função de cliente ou o modo de gravação de alterações. | Efetue alterações de configuração do cliente com o código de SCC4 transação. Origens de dados: SAPcon – Registo de Auditoria |
Evasão à Defesa, Exfiltração, Persistência |
| SAP – Os dados foram alterados durante a Atividade de Depuração | Identifica as alterações dos dados de runtime durante uma atividade de depuração. Caso de subuplicação: Persistência |
1. Ativar a Depuração ("/h"). 2. Selecione um campo para alterar e atualizar o respetivo valor. Origens de dados: SAPcon – Registo de Auditoria |
Execução, Movimento Lateral |
| SAP – Desativação do Registo de Auditoria de Segurança | Identifica a desativação do Registo de Auditoria de Segurança, | Desative o Registo de Auditoria de Segurança com SM19/RSAU_CONFIG. Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Evasão à Defesa, Persistência |
| SAP – Execução de um Programa ABAP Sensível | Identifica a execução direta de um programa ABAP sensível. Manter Programas ABAP na lista de observação PROGRAMAS SAP – ABAP Confidenciais . |
Execute um programa diretamente com SE38SE80/SA38/. Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Movimento Lateral, Execução |
| SAP – Execução de um Código de Transação Sensível | Identifica a execução de um Código de Transação sensível. Manter códigos de transação na lista de observação SAP – Códigos de Transação Confidenciais . |
Execute um código de transação sensível. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Execução |
| SAP – Execução do Módulo de Função Sensível | Identifica a execução de um módulo de função ABAP sensível. Caso de subuplicação: Persistência Nota: relevante apenas para sistemas de produção. Mantenha funções confidenciais na lista de observação SAP – Módulos de Funções Confidenciais e certifique-se de que ativa as alterações ao registo de tabelas no back-end da tabela EUFUNC. (SE13) |
Execute um módulo de função sensível diretamente com o SE37. Origens de dados: SAPcon – Registo de Dados da Tabela |
Deteção, Comando e Controlo |
| SAP - (PRÉ-VISUALIZAÇÃO) BD HANA -Auditar Alterações da Política de Registo | Identifica as alterações às políticas de registo de auditoria da BD HANA. | Crie ou atualize a política de auditoria existente nas definições de segurança. Origens de dados: Agente linux - Syslog |
Movimento Lateral, Evasão de Defesa, Persistência |
| SAP – (PRÉ-VISUALIZAÇÃO) BD HANA – Desativação do Registo de Auditoria | Identifica a desativação do registo de auditoria da BD HANA. | Desative o registo de auditoria na definição de segurança da BD HANA. Origens de dados: Agente linux - Syslog |
Persistência, Movimento Lateral, Evasão de Defesa |
| SAP – Execução RFC de um Módulo de Função Sensível | Modelos de funções confidenciais a serem utilizados em deteções relevantes. Mantenha os módulos de função na lista de observação SAP – Módulos de Funções Confidenciais . |
Execute um módulo de função com RFC. Origens de dados: SAPcon – Registo de Auditoria |
Execução, Movimento Lateral, Deteção |
| SAP – Alteração da Configuração do Sistema | Identifica as alterações à configuração do sistema. | Adapte as opções de alteração do sistema ou a modificação do componente de software com o SE06 código de transação.Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Evasão de Defesa, Persistência |
| SAP – Atividades de Depuração | Identifica todas as atividades relacionadas com a depuração. Caso de subundo: Persistência |
Ativar a Depuração ("/h") no sistema, depurar um processo ativo, adicionar um ponto de interrupção ao código fonte, etc. Origens de dados: SAPcon – Registo de Auditoria |
Deteção |
| SAP – Alteração da Configuração do Registo de Auditoria de Segurança | Identifica as alterações na configuração do Registo de Auditoria de Segurança | Altere qualquer Configuração do Registo de Auditoria de Segurança com SM19/RSAU_CONFIG, como os filtros, o estado, o modo de gravação, etc. Origens de dados: SAPcon – Registo de Auditoria |
Persistência, Exfiltração, Evasão de Defesa |
| SAP – A transação está desbloqueada | Identifica o desbloqueio de uma transação. | Desbloqueie um código de transação com SM01SM01_CUS/SM01_DEV/. Origens de dados: SAPcon – Registo de Auditoria |
Persistência, Execução |
| SAP – Programa ABAP Dinâmico | Identifica a execução da programação dinâmica do ABAP. Por exemplo, quando o código ABAP foi criado, alterado ou eliminado dinamicamente. Mantenha os códigos de transação excluídos na lista de observação SAP – Transações para Gerações ABAP . |
Crie um Relatório ABAP que utilize comandos de geração de programas ABAP, como INSERT REPORT e, em seguida, execute o relatório. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Comando e Controlo, Impacto |
Regras de análise SAP incorporadas para operações de privilégios suspeitos
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Alteração no utilizador com privilégios confidenciais | Identifica as alterações de utilizadores com privilégios confidenciais. Manter utilizadores com privilégios na lista de observação SAP – Utilizadores Privilegiados . |
Altere os detalhes/autorizações do utilizador com SU01. Origens de dados: SAPcon – Registo de Auditoria |
Escalamento de Privilégios, Acesso a Credenciais |
| SAP - (PRÉ-VISUALIZAÇÃO) BD HANA - Atribuir Autorizações de Administração | Identifica o privilégio de administrador ou a atribuição de função. | Atribua um utilizador com qualquer função de administrador ou privilégios. Origens de dados: Agente linux - Syslog |
Escalamento de Privilégios |
| SAP – Utilizador com privilégios confidenciais com sessão iniciada | Identifica o início de sessão na Caixa de Diálogo de um utilizador privilegiado sensível. Manter utilizadores com privilégios na lista de observação SAP – Utilizadores Privilegiados . |
Inicie sessão no sistema de back-end com SAP* ou outro utilizador com privilégios. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial, Acesso a Credenciais |
| SAP – Utilizador com privilégios confidenciais efetua uma alteração noutros utilizadores | Identifica as alterações de utilizadores confidenciais e com privilégios noutros utilizadores. | Altere os detalhes/autorizações do utilizador com sU01. Origens de Dados: SAPcon – Registo de Auditoria |
Escalamento de Privilégios, Acesso a Credenciais |
| SAP – Alteração e Início de Sessão de Palavra-passe de Utilizadores Confidenciais | Identifica as alterações de palavra-passe para utilizadores com privilégios. | Altere a palavra-passe de um utilizador com privilégios e inicie sessão no sistema. Manter utilizadores com privilégios na lista de observação SAP – Utilizadores Privilegiados . Origens de dados: SAPcon – Registo de Auditoria |
Impacto, Comando e Controlo, Escalamento de Privilégios |
| SAP – O utilizador cria e utiliza um novo utilizador | Identifica um utilizador que cria e utiliza outros utilizadores. Caso de subundo: Persistência |
Crie um utilizador com SU01 e, em seguida, inicie sessão com o utilizador recém-criado e o mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Pré-ataque, Acesso Inicial |
| SAP – O utilizador desbloqueia e utiliza outros utilizadores | Identifica um utilizador que está a ser desbloqueado e utilizado por outros utilizadores. Caso de subundo: Persistência |
Desbloqueie um utilizador com o SU01 e, em seguida, inicie sessão com o utilizador desbloqueado e o mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria, SAPcon – Alterar Registo de Documentos |
Deteção, Pré-ataque, Acesso Inicial, Movimento Lateral |
| SAP – Atribuição de um perfil confidencial | Identifica novas atribuições de um perfil confidencial a um utilizador. Mantenha perfis confidenciais na lista de observação SAP – Perfis Confidenciais . |
Atribua um perfil a um utilizador com SU01. Origens de dados: SAPcon – Alterar o Registo de Documentos |
Escalamento de Privilégios |
| SAP – Atribuição de uma função sensível | Identifica novas atribuições para uma função confidencial para um utilizador. Mantenha funções confidenciais na lista de observação SAP – Funções Confidenciais . |
Atribua uma função a um utilizador com SU01 / PFCG. Origens de dados: SAPcon – Alterar o Registo de Documentos, Registo de Auditoria |
Escalamento de Privilégios |
| SAP – Atribuição de autorizações críticas (PRÉ-VISUALIZAÇÃO) – Novo Valor de Autorização | Identifica a atribuição de um valor de objeto de autorização crítico a um novo utilizador. Mantenha objetos de autorização críticos na lista de observação SAP – Objetos de Autorização Críticos . |
Atribua um novo objeto de autorização ou atualize um existente numa função com PFCG. Origens de dados: SAPcon – Alterar o Registo de Documentos |
Escalamento de Privilégios |
| SAP – Atribuição de autorizações críticas – Nova Atribuição de Utilizadores | Identifica a atribuição de um valor de objeto de autorização crítico a um novo utilizador. Mantenha objetos de autorização críticos na lista de observação SAP – Objetos de Autorização Críticos . |
Atribua um novo utilizador a uma função que contenha valores de autorização críticos, com SU01/PFCG. Origens de dados: SAPcon – Alterar o Registo de Documentos |
Escalamento de Privilégios |
| SAP – Alterações de Funções Confidenciais | Identifica as alterações nas funções confidenciais. Mantenha funções confidenciais na lista de observação SAP – Funções Confidenciais . |
Alterar uma função através de PFCG. Origens de dados: SAPcon – Alterar o Registo de Documentos, SAPcon – Registo de Auditoria |
Impacto, Escalamento de Privilégios, Persistência |
Listas de observação disponíveis
A tabela seguinte lista as listas de observação disponíveis para a solução Do Microsoft Sentinel para aplicações SAP® e os campos em cada lista de observação.
Estas listas de observação fornecem a configuração para a solução Do Microsoft Sentinel para aplicações SAP®. As listas de observação sap estão disponíveis no repositório do GitHub do Microsoft Sentinel.
| Nome da lista de observação | Descrição e campos |
|---|---|
| SAP – Objetos de Autorização Críticos | Objeto De autorizações críticas, onde as atribuições devem ser regidas. - AuthorizationObject: um objeto de autorização SAP, como S_DEVELOP, S_TCODEou Table TOBJ - AuthorizationField: um campo de autorização SAP, como OBJTYP ou TCD - AuthorizationValue: um valor de campo de autorização SAP, como DEBUG - ActivityField : campo de atividade SAP. Na maioria dos casos, este valor será ACTVT. Para objetos de Autorizações sem uma Atividade ou apenas com um campo Atividade , preenchido com NOT_IN_USE. - Atividade: atividade SAP, de acordo com o objeto de autorização, como: 01: Criar; 02: Alterar; 03: Apresentação, etc. - Descrição: uma descrição relevante do Objeto de Autorização Crítica. |
| SAP – Redes Excluídas | Para manutenção interna de redes excluídas, como ignorar despachantes Web, servidores de terminais, etc. -Rede: um endereço IP de rede ou intervalo, como 111.68.128.0/17. -Descrição: uma descrição de rede relevante. |
| Utilizadores Excluídos do SAP | Os utilizadores de sistema com sessão iniciada no sistema e que têm de ser ignorados. Por exemplo, alertas para vários inícios de sessão pelo mesmo utilizador. - Utilizador: Utilizador SAP -Descrição: uma descrição significativa do utilizador. |
| SAP - Redes | Redes internas e de manutenção para identificação de inícios de sessão não autorizados. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: uma descrição de rede relevante. |
| SAP – Utilizadores Com Privilégios | Utilizadores com privilégios que estão sob restrições adicionais. - Utilizador: o utilizador do ABAP, como DDIC ou SAP - Descrição: uma descrição significativa do utilizador. |
| SAP – Programas ABAP Confidenciais | Programas ABAP confidenciais (relatórios), em que a execução deve ser regida. - ABAPProgram: programa ou relatório ABAP, como RSPFLDOC - Descrição: uma descrição significativa do programa. |
| SAP – Módulo de Função Sensível | Redes internas e de manutenção para identificação de inícios de sessão não autorizados. - FunctionModule: um módulo de função ABAP, como RSAU_CLEAR_AUDIT_LOG - Descrição: uma descrição significativa do módulo. |
| SAP – Perfis Confidenciais | Perfis confidenciais, onde as atribuições devem ser regidas. - Perfil: perfil de autorização SAP, como SAP_ALL ou SAP_NEW - Descrição: uma descrição de perfil relevante. |
| SAP – Tabelas Confidenciais | Tabelas confidenciais, onde o acesso deve ser regido. - Tabela: Tabela do Dicionário ABAP, como USR02 ou PA008 - Descrição: uma descrição de tabela relevante. |
| SAP – Funções Confidenciais | Funções confidenciais, onde a atribuição deve ser regida. - Função: função de autorização SAP, como SAP_BC_BASIS_ADMIN - Descrição: uma descrição de função relevante. |
| SAP – Transações Confidenciais | Transações confidenciais em que a execução deve ser regida. - TransactionCode: código de transação SAP, como RZ11 - Descrição: uma descrição de código relevante. |
| SAP - Sistemas | Descreve o panorama dos sistemas SAP de acordo com a função e a utilização. - SystemID: o ID do sistema SAP (SYSID) - SystemRole: a função de sistema SAP, um dos seguintes valores: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: a utilização do sistema SAP, um dos seguintes valores: ERP, BW, Solman, , GatewayEnterprise Portal |
| SAP – Utilizadores Excluídos | Os utilizadores de sistema que têm sessão iniciada e precisam de ser ignorados, como para o alerta Vários inícios de sessão por utilizador. - Utilizador: Utilizador SAP - Descrição: uma descrição significativa do utilizador |
| SAP – Redes Excluídas | Mantenha redes internas e excluídas para ignorar despachantes Web, servidores de terminais, etc. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: uma descrição de rede relevante |
| SAP – Módulos de Funções Obsoletos | Módulos de funções obsoletos, cuja execução deve ser regida. - FunctionModule: Módulo de Função ABAP, como TH_SAPREL - Descrição: uma descrição significativa do módulo de função |
| SAP – Programas Obsoletos | Programas ABAP obsoletos (relatórios), cuja execução deve ser regida. - ABAPProgram:Programa ABAP, como TH_ RSPFLDOC - Descrição: uma descrição significativa do programa ABAP |
| SAP – Transações para Gerações ABAP | Transações para gerações ABAP cuja execução deve ser regida. - TransactionCode:Código de Transação, como SE11. - Descrição: uma descrição significativa do Código de Transação |
| SAP - Servidores FTP | Servidores FTP para identificação de ligações não autorizadas. - Cliente: como 100. - FTP_Server_Name: nome do servidor FTP, como http://contoso.com/ -FTP_Server_Port:porta de servidor FTP, como 22. - Descrição Uma descrição significativa do Servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure os alertas de registo de auditoria sap ao atribuir a cada ID de mensagem um nível de gravidade conforme exigido por si, por função de sistema (produção, não produção). Esta lista de observação detalha todos os IDs de mensagens de registo de auditoria padrão sap disponíveis. A lista de observação pode ser expandida para conter IDs de mensagens adicionais que pode criar por conta própria com os melhoramentos do ABAP nos respetivos sistemas SAP NetWeaver. Esta lista de observação também permite configurar uma equipa designada para processar cada um dos tipos de eventos e excluir utilizadores por funções SAP, perfis SAP ou por etiquetas da lista de observação SAP_User_Config . Esta lista de observação é um dos principais componentes utilizados para configurar as regras de análise sap incorporadas para monitorizar o registo de auditoria sap. - MessageID: o ID da Mensagem SAP ou o tipo de evento, como AUD (Alterações ao registo principal do utilizador) ou AUB (alterações de autorização). - DetailedDescription: uma descrição com markdown ativada para ser apresentada no painel de incidentes. - ProductionSeverity: a gravidade pretendida para que o incidente seja criado para os sistemas Highde produção , Medium. Pode ser definido como Disabled. - NonProdSeverity: a gravidade pretendida para que o incidente seja criado para sistemas Highde não produção , Medium. Pode ser definido como Disabled. - ProductionThreshold A contagem de eventos "Por hora" a considerar suspeita para sistemas 60de produção. - NonProdThreshold A contagem de eventos "Por hora" a considerar suspeita para sistemas 10de não produção. - RolesTagsToExclude: este campo aceita o nome da função SAP, nomes de perfis SAP ou etiquetas da lista de observação SAP_User_Config. Em seguida, estes são utilizados para excluir os utilizadores associados de tipos de eventos específicos. Veja as opções das etiquetas de função no final desta lista. - RuleType: utilize Deterministic para que o tipo de evento seja enviado para o SAP – Monitor de Registo de Auditoria Determinista Dinâmico ou AnomaliesOnly para que este evento seja abrangido pelos Alertas do Monitor de Registos de Auditoria (PRÉ-VISUALIZAÇÃO) baseados em Anomalias Dinâmicas.Para o campo RolesTagsToExclude : - Se listar funções SAP ou perfis SAP, isto exclui qualquer utilizador com as funções ou perfis listados destes tipos de eventos para o mesmo sistema SAP. Por exemplo, se definir a BASIC_BO_USERS função ABAP para os tipos de eventos relacionados com RFC, os utilizadores de Objetos de Negócio não irão acionar incidentes ao efetuar chamadas RFC massivas.- A identificação de um tipo de evento é semelhante à especificação de funções ou perfis SAP, mas as etiquetas podem ser criadas na área de trabalho, pelo que as equipas do SOC podem excluir utilizadores por atividade sem depender da equipa sap. Por exemplo, a mensagem de auditoria IDs AUB (alterações de autorização) e AUD (alterações ao registo principal do utilizador) são atribuídos à MassiveAuthChanges etiqueta. Os utilizadores atribuídos a esta etiqueta são excluídos das verificações destas atividades. A execução da função de área de trabalho SAPAuditLogConfigRecommend produz uma lista de etiquetas recomendadas a atribuir aos utilizadores, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite a otimização de alertas ao excluir /incluindo utilizadores em contextos específicos e também é utilizado para configuraras regras de análise sap incorporadas para monitorizar o registo de auditoria sap. - SAPUser: O utilizador sap - Etiquetas: as etiquetas são utilizadas para identificar utilizadores relativamente a determinadas atividades. Por exemplo, adicionar as etiquetas ["GenericTablebyRFCOK"] ao utilizador SENTINEL_SRV impedirá a criação de incidentes relacionados com RFC para este utilizador específico Outros identificadores de utilizador do Active Directory - Identificador de Utilizador do AD - Sid No Local do Utilizador - Nome Principal de Utilizador |
Passos seguintes
Para obter mais informações, consulte:
- Implementar a solução do Microsoft Sentinel para aplicações SAP®
- Referência de registos de soluções do Microsoft Sentinel para aplicações SAP®
- Implementar a solução do Microsoft Sentinel para o conector de dados de aplicações SAP® com o SNC
- Referência do ficheiro de configuração
- Pré-requisitos para implementar a solução do Microsoft Sentinel para aplicações SAP®
- Resolver problemas com a sua solução do Microsoft Sentinel para a implementação de aplicações SAP®