Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo detalha o conteúdo de segurança disponível para as soluções de Microsoft Sentinel para SAP.
Importante
Os elementos indicados neste artigo estão em Pré-visualização. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
O conteúdo de segurança disponível inclui livros incorporados e regras de análise. Também pode adicionar listas de observação relacionadas com SAP para utilizar nos manuais de procedimentos de pesquisa, deteção, investigação de ameaças e resposta.
Os conteúdos neste artigo destinam-se à sua equipa de segurança .
Livros incorporados
Utilize os seguintes livros incorporados para visualizar e monitorizar os dados ingeridos através do conector de dados SAP. Depois de implementar a solução SAP, pode encontrar livros SAP no separador Modelos .
| Nome do livro | Descrição | Registos |
|---|---|---|
| SAP – Browser de Registos de Auditoria | Apresenta dados como: - Estado de funcionamento geral do sistema, incluindo inícios de sessão de utilizadores ao longo do tempo, eventos ingeridos pelo sistema, classes de mensagens e IDs e programas ABAP executados -Gravidades dos eventos que ocorrem no seu sistema - Eventos de autenticação e autorização que ocorrem no seu sistema |
Utiliza dados do seguinte registo: ABAPAuditLog |
| Controlos de Auditoria SAP | Ajuda-o a verificar os controlos de segurança do seu ambiente SAP quanto à conformidade com a sua arquitetura de controlo escolhida, utilizando ferramentas para fazer o seguinte: - Atribuir regras de análise no seu ambiente a famílias de controlo e controlos específicos - Monitorizar e categorizar os incidentes gerados pelas regras de análise baseadas em soluções SAP - Comunicar a conformidade |
Utiliza dados das seguintes tabelas: - SecurityAlert- SecurityIncident |
Para obter mais informações, veja Tutorial: Visualizar e monitorizar os seus dados e Implementar Microsoft Sentinel solução para aplicações SAP.
Regras de análise incorporadas
Esta secção descreve uma seleção de regras de análise incorporadas fornecidas em conjunto com a solução Microsoft Sentinel para aplicações SAP. O conector de dados sem agente funciona com um conjunto consolidado de origens. Para obter as atualizações mais recentes, verifique se existem regras novas e atualizadas no hub de conteúdos do Microsoft Sentinel.
Monitorizar a configuração de parâmetros de segurança SAP estáticos (Pré-visualização)
Para proteger o sistema SAP, o SAP identificou parâmetros relacionados com a segurança que precisam de ser monitorizados quanto a alterações. Com a regra "Sap - (Pré-visualização) Sensitive Static Parameter has Changed", a solução Microsoft Sentinel para aplicações SAP monitoriza mais de 52 parâmetros estáticos relacionados com segurança no sistema SAP, que estão incorporados no Microsoft Sentinel.
Nota
Para a solução Microsoft Sentinel para as aplicações SAP monitorizarem com êxito os parâmetros de segurança SAP, a solução tem de monitorizar com êxito a tabela PAHI sap em intervalos regulares. Para obter mais informações, consulte Verificar se a tabela PAHI é atualizada em intervalos regulares.
Para compreender as alterações de parâmetros no sistema, a solução Microsoft Sentinel para aplicações SAP utiliza a tabela do histórico de parâmetros, que regista as alterações feitas aos parâmetros do sistema a cada hora.
Os parâmetros também são refletidos na lista de observação SAPSystemParameters. Esta lista de observação permite que os utilizadores adicionem novos parâmetros, desativem os parâmetros existentes e modifiquem os valores e gravidades por parâmetro e função de sistema em ambientes de produção ou de não produção.
Quando é efetuada uma alteração a um destes parâmetros, Microsoft Sentinel verifica se a alteração está relacionada com a segurança e se o valor está definido de acordo com os valores recomendados. Se a alteração for suspeita fora da zona segura, Microsoft Sentinel cria um incidente que detalha a alteração e identifica quem efetuou a alteração.
Reveja a lista de parâmetros que esta regra monitoriza.
Monitorizar o registo de auditoria do SAP
Muitas das regras de análise na solução de Microsoft Sentinel para aplicações SAP utilizam dados de registo de auditoria SAP. Algumas regras de análise procuram eventos específicos no registo, enquanto outras correlacionam as indicações de vários registos para criar alertas e incidentes de alta fidelidade.
Utilize as seguintes regras de análise para monitorizar todos os eventos de registo de auditoria no sistema SAP ou acionar alertas apenas quando forem detetadas anomalias:
| Nome da regra | Descrição |
|---|---|
| SAP – Configuração em falta no Monitor de Registo de Auditoria de Segurança Dinâmica | Por predefinição, é executada diariamente para fornecer recomendações de configuração para o módulo de registo de auditoria sap. Utilize o modelo de regra para criar e personalizar uma regra para a área de trabalho. |
| SAP – Monitor de Registos de Auditoria Determinista Dinâmico (PRÉ-VISUALIZAÇÃO) | Por predefinição, é executada a cada 10 minutos e concentra-se nos eventos do registo de auditoria sap marcados como Deterministas. Utilize o modelo de regra para criar e personalizar uma regra para a área de trabalho, como, por exemplo, para uma taxa de falsos positivos mais baixa. Esta regra requer limiares de alerta deterministas e regras de exclusão de utilizadores. |
| SAP – Alertas do Monitor de Registos de Auditoria baseados em Anomalias Dinâmicas (PRÉ-VISUALIZAÇÃO) | Por predefinição, é executada de hora a hora e foca-se em eventos SAP marcados como AnomaliasOnly, alertando sobre eventos de registo de auditoria sap quando são detetadas anomalias. Esta regra aplica algoritmos de machine learning adicionais para filtrar o ruído de fundo de forma não supervisionada. |
Por predefinição, a maioria dos tipos de eventos ou IDs de mensagens SAP no registo de auditoria do SAP são enviados para a regra de análise de Alertas do Monitor de Registos de Auditoria (PRÉ-VISUALIZAÇÃO) baseada em anomalias baseada em anomalias, enquanto a regra de análise determinista dynamic Deterministic Audit Log Monitor (PRÉ-VISUALIZAÇÃO) é mais fácil de definir. Esta definição, juntamente com outras definições relacionadas, pode ser configurada de forma a adequar-se a quaisquer condições do sistema.
As regras de monitorização do registo de auditoria sap são fornecidas como parte do Microsoft Sentinel para o conteúdo de segurança da solução SAP e permitem uma otimização mais detalhada com as listas de observação SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
Por exemplo, a tabela seguinte lista vários exemplos de como pode utilizar a SAP_Dynamic_Audit_Log_Monitor_Configuration lista de observação para configurar os tipos de eventos que produzem incidentes, reduzindo o número de incidentes gerados.
| Opção | Descrição |
|---|---|
| Definir gravidades e desativar eventos indesejados | Por predefinição, tanto as regras deterministas como as regras baseadas em anomalias criam alertas para eventos marcados com gravidades médias e altas. Pode querer configurar gravidades separadamente ambientes de produção e de não produção. Por exemplo, pode definir um evento de atividade de depuração como gravidade elevada em sistemas de produção e desativar os mesmos eventos inteiramente em sistemas de não produção. |
| Excluir utilizadores pelas respetivas funções SAP ou perfis SAP | Microsoft Sentinel para SAP ingere o perfil de autorização do utilizador SAP, incluindo atribuições de funções diretas e indiretas, grupos e perfis, para que possa falar o idioma SAP no seu SIEM. Poderá querer configurar um evento SAP para excluir utilizadores com base nas respetivas funções e perfis SAP. Na lista de observação, adicione as funções ou perfis que agrupam os utilizadores da interface RFC na coluna RolesTagsToExclude , junto ao evento Acesso genérico à tabela por RFC . Esta configuração aciona alertas apenas para utilizadores que não têm estas funções. |
| Excluir utilizadores pelas respetivas etiquetas SOC | Utilize etiquetas para criar o seu próprio agrupamento, sem depender de definições SAP complicadas ou mesmo sem autorização SAP. Este método é útil para as equipas SOC que pretendem criar o seu próprio agrupamento para os utilizadores do SAP. Por exemplo, se não quiser que contas de serviço específicas sejam alertadas para acesso genérico a tabelas por eventos RFC , mas não conseguir encontrar uma função SAP ou um perfil SAP que agrupe estes utilizadores, utilize etiquetas da seguinte forma: 1. Adicione a etiqueta GenTableRFCReadOK junto ao evento relevante na lista de observação. 2. Aceda à SAP_User_Config lista de observação e atribua a mesma etiqueta aos utilizadores da interface. |
| Especificar um limiar de frequência por tipo de evento e função de sistema | Funciona como um limite de velocidade. Por exemplo, pode configurar eventos de Alteração do Registo Principal de Utilizador para acionar apenas alertas se forem observadas mais de 12 atividades numa hora, pelo mesmo utilizador num sistema de produção. Se um utilizador exceder o limite de 12 por hora (por exemplo, 2 eventos numa janela de 10 minutos), é acionado um incidente. |
| Determinismo ou anomalias | Se souber as características do evento, utilize as capacidades deterministas. Se não tiver a certeza de como configurar corretamente o evento, permita que as capacidades de machine learning decidam iniciar e, em seguida, faça as atualizações subsequentes conforme necessário. |
| Capacidades SOAR | Utilize Microsoft Sentinel para orquestrar, automatizar e responder a incidentes criados por alertas dinâmicos do registo de auditoria sap. Para obter mais informações, veja Automatização no Microsoft Sentinel: Orquestração de segurança, automatização e resposta (SOAR). |
Para obter mais informações, veja Listas de observação disponíveis e Microsoft Sentinel para o SAP News – Funcionalidade Do Monitor de Registos de Auditoria de Segurança SAP Dinâmica já disponível! (blogue).
Acesso inicial
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Iniciar sessão a partir de uma rede inesperada | Identifica um início de sessão de uma rede inesperada. Manter redes na lista de observação SAP – Redes . |
Inicie sessão no sistema de back-end a partir de um endereço IP que não esteja atribuído a uma das redes. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial |
| SAP – Ataque SPNego | Identifica o Ataque de Repetição de SPNego. | Origens de dados: SAPcon – Registo de Auditoria | Impacto, Movimento Lateral |
| SAP – Tentativa de início de sessão da caixa de diálogo de um utilizador com privilégios | Identifica tentativas de início de sessão na caixa de diálogo, com o tipo AUM , por utilizadores com privilégios num sistema SAP. Para obter mais informações, veja SAPUsersGetPrivileged. | Tentar iniciar sessão a partir do mesmo IP para vários sistemas ou clientes dentro do intervalo de tempo agendado Origens de dados: SAPcon – Registo de Auditoria |
Impacto, Movimento Lateral |
| SAP – Ataques de força bruta | Identifica ataques de força bruta no sistema SAP com inícios de sessão RFC | Tentar iniciar sessão a partir do mesmo IP para vários sistemas/clientes dentro do intervalo de tempo agendado com RFC Origens de dados: SAPcon – Registo de Auditoria |
Acesso a Credenciais |
| SAP – Vários Inícios de Sessão por IP | Identifica o início de sessão de vários utilizadores a partir do mesmo endereço IP num intervalo de tempo agendado. Caso de subusso: Persistência |
Inicie sessão com vários utilizadores através do mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial |
| SAP – Vários Inícios de Sessão por Utilizador | Identifica os inícios de sessão do mesmo utilizador de vários terminais dentro do intervalo de tempo agendado. Disponível apenas através do método AUDIT SAL, para as versões SAP 7.5 e superior. |
Inicie sessão com o mesmo utilizador, utilizando endereços IP diferentes. Origens de dados: SAPcon – Registo de Auditoria |
Pré-ataque, Acesso a Credenciais, Acesso Inicial, Coleção Caso de subusso: Persistência |
| SAP – Informativo – Ciclo de Vida – As Notas SAP foram implementadas no sistema | Identifica a implementação do SAP Note no sistema. | Implementar uma Nota SAP com o SNOTE/TCI. Origens de dados: SAPcon – Pedidos de Alteração |
- |
| SAP – (Pré-visualização) COMO JAVA – Utilizador Com Privilégios Confidenciais Com Sessão Iniciada | Identifica um início de sessão de uma rede inesperada. Mantenha os utilizadores com privilégios na lista de observação SAP – Utilizadores Com Privilégios . |
Inicie sessão no sistema de back-end com utilizadores com privilégios. Origens de dados: SAPJAVAFilesLog |
Acesso Inicial |
| SAP – (Pré-visualização) COMO JAVA – Sign-In da Rede Inesperada | Identifica inícios de sessão de uma rede inesperada. Manter utilizadores com privilégios na lista de observação SAP – Redes . |
Inicie sessão no sistema de back-end a partir de um endereço IP que não esteja atribuído a uma das redes na lista de observação SAP – Redes Origens de dados: SAPJAVAFilesLog |
Acesso Inicial, Evasão à Defesa |
Transferência de dados não autorizada
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – FTP para servidores não autorizados | Identifica uma ligação FTP para um servidor nonauthorized. | Crie uma nova ligação de FTP, como, por exemplo, com o Módulo de Função FTP_CONNECT. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Acesso Inicial, Comando e Controlo |
| SAP – Configuração de servidores FTP inseguros | Identifica configurações de servidor FTP inseguras, como quando uma lista de permissões de FTP está vazia ou contém marcadores de posição. | Não mantenha valores que contenham marcadores de posição na SAPFTP_SERVERS tabela, utilizando a SAPFTP_SERVERS_V vista de manutenção. (SM30) Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial, Comando e Controlo |
| SAP – Transferência de vários Files | Identifica várias transferências de ficheiros para um utilizador dentro de um intervalo de tempo específico. | Transfira vários ficheiros com o SAPGui para Excel, listas e assim sucessivamente. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Múltiplas Execuções de Spool | Identifica vários spools para um utilizador dentro de um intervalo de tempo específico. | Criar e executar várias tarefas de spool de qualquer tipo por um utilizador. (SP01) Origens de dados: SAPcon – Registo do Spool, SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Múltiplas Execuções de Saída de Spool | Identifica vários spools para um utilizador dentro de um intervalo de tempo específico. | Criar e executar várias tarefas de spool de qualquer tipo por um utilizador. (SP01) Origens de dados: SAPcon – Registo de Saída do Spool, SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Acesso Direto a Tabelas Confidenciais por Início de Sessão RFC | Identifica um acesso genérico à tabela através do início de sessão RFC. Manter tabelas na lista de observação SAP – Tabelas Confidenciais . Relevante apenas para sistemas de produção. |
Abra o conteúdo da tabela com SE11/SE16/SE16N. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP - Aquisição de Spool | Identifica um utilizador que imprime um pedido de spool que foi criado por outra pessoa. | Crie um pedido de spool com um utilizador e, em seguida, produza-o com um utilizador diferente. Origens de dados: SAPcon – Registo de Spool, SAPcon – Registo de Saída do Spool, SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Comando e Controlo |
| SAP – Destino RFC Dinâmico | Identifica a execução de RFC com destinos dinâmicos. Caso de subuplicação: tentativas de ignorar mecanismos de segurança SAP |
Execute um relatório ABAP que utilize destinos dinâmicos (cl_dynamic_destination). Por exemplo, DEMO_RFC_DYNAMIC_DEST. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração |
| SAP – Acesso Direto a Tabelas Confidenciais por Início de Sessão da Caixa de Diálogo | Identifica o acesso genérico à tabela através do início de sessão na caixa de diálogo. | Abra o conteúdo da tabela com SE11SE16N/SE16/. Origens de dados: SAPcon – Registo de Auditoria |
Deteção |
| SAP – (Pré-visualização) Ficheiro Transferido a Partir de um Endereço IP Malicioso | Identifica a transferência de um ficheiro de um sistema SAP com um endereço IP conhecido como malicioso. Os endereços IP maliciosos são obtidos a partir dos serviços de informações sobre ameaças. | Transfira um ficheiro a partir de um IP malicioso. Origens de dados: Registo de auditoria de segurança SAP, Informações sobre Ameaças |
Exfiltração |
| SAP – (Pré-visualização) Dados Exportados de um Sistema de Produção com um Transporte | Identifica a exportação de dados de um sistema de produção através de um transporte. Os transportes são utilizados em sistemas de desenvolvimento e são semelhantes aos pedidos Pull. Esta regra de alerta aciona incidentes com gravidade média quando um transporte que inclui dados de qualquer tabela é libertado de um sistema de produção. A regra cria um incidente de gravidade elevada quando a exportação inclui dados de uma tabela confidencial. | Liberte um transporte de um sistema de produção. Origens de dados: registo SAP CR, SAP – Tabelas Confidenciais |
Exfiltração |
| SAP – (Pré-visualização) Dados Confidenciais Guardados numa Pen USB | Identifica a exportação de dados SAP através de ficheiros. A regra verifica a existência de dados guardados numa pen USB montada recentemente, perto de uma execução de uma transação confidencial, de um programa confidencial ou de acesso direto a uma tabela confidencial. | Exportar dados SAP através de ficheiros e guardar numa pen USB. Origens de dados: Registo de Auditoria de Segurança SAP, DeviceFileEvents (Microsoft Defender para Endpoint), SAP – Tabelas Confidenciais, SAP – Transações Confidenciais, SAP – Programas Confidenciais |
Exfiltração |
| SAP – (Pré-visualização) Impressão de dados Potencialmente Confidenciais | Identifica um pedido ou impressão real de dados potencialmente confidenciais. Os dados são considerados confidenciais se o utilizador obtiver os dados como parte de uma transação confidencial, execução de um programa confidencial ou acesso direto a uma tabela confidencial. | Imprimir ou pedir para imprimir dados confidenciais. Origens de dados: Registo de Auditoria de Segurança SAP, registos do SAP Spool, SAP – Tabelas Confidenciais, SAP – Programas Confidenciais |
Exfiltração |
| SAP – (Pré-visualização) Volume Elevado de Dados Potencialmente Confidenciais Exportados | Identifica a exportação de um elevado volume de dados através de ficheiros próximos de uma execução de uma transação confidencial, de um programa confidencial ou de acesso direto a tabelas confidenciais. | Exportar um elevado volume de dados através de ficheiros. Origens de dados: Sap Security Audit Log, SAP – Tabelas Confidenciais, SAP – Transações Confidenciais, SAP – Programas Confidenciais |
Exfiltração |
Persistência
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Ativação ou Desativação do Serviço ICF | Identifica a ativação ou desativação dos Serviços ICF. | Ativar um serviço com o SICF. Origens de dados: SAPcon – Registo de Dados da Tabela |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP – Módulo de Função testado | Identifica o teste de um módulo de função. | Testar um módulo de função com SE37 / SE80. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Evasão de Defesa, Movimento Lateral |
| SAP – (PRÉ-VISUALIZAÇÃO) BD HANA – Ações de Administração do utilizador | Identifica as ações de administração do utilizador. | Criar, atualizar ou eliminar um utilizador da base de dados. Origens de Dados: Agente Linux - Syslog* |
Escalamento de Privilégios |
| SAP – Novos Processadores de Serviços ICF | Identifica a criação de Processadores ICF. | Atribua um novo processador a um serviço com o SICF. Origens de dados: SAPcon – Registo de Auditoria |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP – Novos Serviços ICF | Identifica a criação dos Serviços ICF. | Crie um serviço com o SICF. Origens de dados: SAPcon – Registo de Dados da Tabela |
Comando e Controlo, Movimento Lateral, Persistência |
| SAP – Execução de um Módulo de Função Obsoleto ou Inseguro | Identifica a execução de um módulo de função ABAP obsoleto ou inseguro. Mantenha funções obsoletas na lista de observação SAP – Módulos de Funções Obsoletos . Certifique-se de que ativa as alterações de registo de tabelas para a EUFUNC tabela no back-end. (SE13)Relevante apenas para sistemas de produção. |
Execute um módulo de função obsoleto ou inseguro diretamente com o SE37. Origens de dados: SAPcon – Registo de Dados da Tabela |
Deteção, Comando e Controlo |
| SAP – Execução de Um Programa Obsoleto/Inseguro | Identifica a execução de um programa ABAP obsoleto ou inseguro. Manter programas obsoletos na lista de observação SAP – Programas Obsoletos . Relevante apenas para sistemas de produção. |
Execute um programa diretamente com SE38/SA38/SE80 ou com uma tarefa em segundo plano. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Comando e Controlo |
| SAP – Múltiplas Alterações de Palavra-passe | Identifica várias alterações de palavra-passe por utilizador. | Alterar palavra-passe de utilizador Origens de dados: SAPcon – Registo de Auditoria |
Acesso a Credenciais |
| SAP – (Pré-visualização) COMO JAVA – O Utilizador Cria e Utiliza o Novo Utilizador | Identifica a criação ou manipulação de utilizadores por administradores no ambiente DO SAP AS Java. | Inicie sessão no sistema de back-end com os utilizadores que criou ou manipulou. Origens de dados: SAPJAVAFilesLog |
Persistência |
Tentativas de ignorar mecanismos de segurança SAP
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Alteração da Configuração do Cliente | Identifica as alterações à configuração do cliente, como a função de cliente ou o modo de gravação de alterações. | Efetue alterações de configuração do cliente com o SCC4 código de transação. Origens de dados: SAPcon – Registo de Auditoria |
Evasão à Defesa, Exfiltração, Persistência |
| SAP – Os dados foram alterados durante a Atividade de Depuração | Identifica as alterações dos dados de runtime durante uma atividade de depuração. Caso de subusso: Persistência |
1. Ativar a Depuração ("/h"). 2. Selecione um campo para alterar e atualizar o respetivo valor. Origens de dados: SAPcon – Registo de Auditoria |
Execução, Movimento Lateral |
| SAP – Desativação do Registo de Auditoria de Segurança | Identifica a desativação do Registo de Auditoria de Segurança, | Desative o Registo de Auditoria de segurança com SM19/RSAU_CONFIG. Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Evasão de Defesa, Persistência |
| SAP – Execução de um Programa ABAP Sensível | Identifica a execução direta de um programa ABAP confidencial. Mantenha os Programas ABAP na lista de observação SAP – Programas ABAP Confidenciais . |
Execute um programa diretamente com SE38SE80/SA38/. Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Movimento Lateral, Execução |
| SAP – Execução de um Código de Transação Confidencial | Identifica a execução de um Código de Transação confidencial. Mantenha os códigos de transação na lista de observação SAP – Códigos de Transação Confidenciais . |
Execute um código de transação confidencial. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Execução |
| SAP – Execução do Módulo de Função Confidencial | Identifica a execução de um módulo de função ABAP confidencial. Caso de subusso: Persistência Relevante apenas para sistemas de produção. Mantenha funções confidenciais na lista de observação SAP – Módulos de Funções Confidenciais e ative as alterações de registo de tabelas no back-end da tabela EUFUNC. (SE13) |
Execute um módulo de função confidencial diretamente com o SE37. Origens de dados: SAPcon – Registo de Dados da Tabela |
Deteção, Comando e Controlo |
| SAP - (PRÉ-VISUALIZAÇÃO) BD HANA - Alterações da Política de Registo de Auditoria | Identifica as alterações das políticas de registo de auditoria da BD HANA. | Crie ou atualize a política de auditoria existente nas definições de segurança. Origens de dados: Agente Linux - Syslog |
Movimento Lateral, Evasão de Defesa, Persistência |
| SAP – (PRÉ-VISUALIZAÇÃO) BD HANA – Desativação do Registo de Auditoria | Identifica a desativação do registo de auditoria da BD HANA. | Desative o registo de auditoria na definição de segurança da BD HANA. Origens de dados: Agente Linux - Syslog |
Persistência, Movimento Lateral, Evasão da Defesa |
| SAP – Execução Remota Não Autorizada de um Módulo de Função Confidencial | Deteta execuções não autorizadas de FMs confidenciais ao comparar a atividade com o perfil de autorização do utilizador, ignorando as autorizações recentemente alteradas. Manter módulos de função na lista de observação SAP – Módulos de Funções Confidenciais . |
Execute um módulo de função com RFC. Origens de dados: SAPcon – Registo de Auditoria |
Execução, Movimento Lateral, Deteção |
| SAP – Alteração da Configuração do Sistema | Identifica as alterações à configuração do sistema. | Adapte as opções de alteração do sistema ou a modificação do componente de software com o SE06 código de transação.Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Evasão de Defesa, Persistência |
| SAP – Atividades de Depuração | Identifica todas as atividades relacionadas com a depuração. Caso de subusso: Persistência |
Ativar a Depuração ("/h") no sistema, depurar um processo ativo, adicionar um ponto de interrupção ao código fonte, etc. Origens de dados: SAPcon – Registo de Auditoria |
Deteção |
| SAP – Alteração da Configuração do Registo de Auditoria de Segurança | Identifica as alterações na configuração do Registo de Auditoria de Segurança | Altere qualquer Configuração do Registo de Auditoria de Segurança com SM19/RSAU_CONFIG, como os filtros, o estado, o modo de gravação, etc. Origens de dados: SAPcon – Registo de Auditoria |
Persistência, Exfiltração, Evasão à Defesa |
| SAP – A transação está desbloqueada | Identifica o desbloqueio de uma transação. | Desbloqueie um código de transação com SM01SM01_CUS/SM01_DEV/. Origens de dados: SAPcon – Registo de Auditoria |
Persistência, Execução |
| SAP – Programa ABAP Dinâmico | Identifica a execução da programação dinâmica do ABAP. Por exemplo, quando o código ABAP foi criado, alterado ou eliminado dinamicamente. Mantenha os códigos de transação excluídos na lista de observação SAP – Transações para Gerações ABAP . |
Crie um Relatório ABAP que utilize comandos de geração de programas ABAP, como INSERT REPORT e, em seguida, execute o relatório. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Comando e Controlo, Impacto |
Operações de privilégios suspeitos
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Alteração num Utilizador Com Privilégios Confidenciais | Identifica as alterações de utilizadores com privilégios confidenciais. Mantenha os utilizadores com privilégios na lista de observação SAP – Utilizadores Com Privilégios . |
Altere os detalhes/autorizações do utilizador com SU01. Origens de dados: SAPcon – Registo de Auditoria |
Escalamento de Privilégios, Acesso a Credenciais |
| SAP – (PRÉ-VISUALIZAÇÃO) BD HANA – Atribuir Autorizações de Administração | Identifica o privilégio de administrador ou a atribuição de função. | Atribua um utilizador com qualquer função de administrador ou privilégios. Origens de dados: Agente Linux - Syslog |
Escalamento de Privilégios |
| SAP – Utilizador com privilégios confidenciais com sessão iniciada | Identifica o início de sessão da Caixa de Diálogo de um utilizador com privilégios confidenciais. Mantenha os utilizadores com privilégios na lista de observação SAP – Utilizadores Com Privilégios . |
Inicie sessão no sistema de back-end com SAP* ou outro utilizador com privilégios. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial, Acesso a Credenciais |
| SAP – Utilizador com privilégios confidenciais efetua uma alteração noutros utilizadores | Identifica as alterações de utilizadores confidenciais e com privilégios noutros utilizadores. | Altere os detalhes/autorizações do utilizador com sU01. Origens de Dados: SAPcon – Registo de Auditoria |
Escalamento de Privilégios, Acesso a Credenciais |
| SAP – Alteração e Início de Sessão de Palavras-passe de Utilizadores Confidenciais | Identifica as alterações de palavra-passe para utilizadores com privilégios. | Altere a palavra-passe de um utilizador com privilégios e inicie sessão no sistema. Mantenha os utilizadores com privilégios na lista de observação SAP – Utilizadores Com Privilégios . Origens de dados: SAPcon – Registo de Auditoria |
Impacto, Comando e Controlo, Escalamento de Privilégios |
| SAP – O utilizador cria e utiliza o novo utilizador | Identifica um utilizador que cria e utiliza outros utilizadores. Caso de subusso: Persistência |
Crie um utilizador com SU01 e, em seguida, inicie sessão com o utilizador recém-criado e o mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Pré-ataque, Acesso Inicial |
| SAP – O utilizador desbloqueia e utiliza outros utilizadores | Identifica um utilizador que está a ser desbloqueado e utilizado por outros utilizadores. Caso de subusso: Persistência |
Desbloqueie um utilizador com SU01 e, em seguida, inicie sessão com o utilizador desbloqueado e o mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria, SAPcon – Alterar Registo de Documentos |
Deteção, Pré-ataque, Acesso Inicial, Movimento Lateral |
| SAP – Atribuição de um perfil confidencial | Identifica novas atribuições de um perfil confidencial a um utilizador. Mantenha perfis confidenciais na lista de observação SAP – Perfis Confidenciais . |
Atribua um perfil a um utilizador com SU01. Origens de dados: SAPcon – Registo de Alterações de Documentos |
Escalamento de Privilégios |
| SAP – Atribuição de uma função sensível | Identifica novas atribuições para uma função confidencial para um utilizador. Mantenha funções confidenciais na lista de observação SAP – Funções Confidenciais . |
Atribuir uma função a um utilizador com SU01 / PFCG. Origens de dados: SAPcon – Alterar o Registo de Documentos, Registo de Auditoria |
Escalamento de Privilégios |
| SAP – Atribuição de autorizações críticas (PRÉ-VISUALIZAÇÃO) – Novo Valor de Autorização | Identifica a atribuição de um valor de objeto de autorização crítico a um novo utilizador. Mantenha objetos de autorização críticos na lista de observação SAP – Objetos de Autorização Críticos . |
Atribua um novo objeto de autorização ou atualize um existente numa função com PFCG. Origens de dados: SAPcon – Registo de Alterações de Documentos |
Escalamento de Privilégios |
| SAP – Atribuição de autorizações críticas – Nova Atribuição de Utilizadores | Identifica a atribuição de um valor de objeto de autorização crítico a um novo utilizador. Mantenha objetos de autorização críticos na lista de observação SAP – Objetos de Autorização Críticos . |
Atribua um novo utilizador a uma função que contenha valores de autorização críticos, com SU01/PFCG. Origens de dados: SAPcon – Registo de Alterações de Documentos |
Escalamento de Privilégios |
| SAP – Alterações de Funções Confidenciais | Identifica as alterações nas funções confidenciais. Mantenha funções confidenciais na lista de observação SAP – Funções Confidenciais . |
Alterar uma função através de PFCG. Origens de dados: SAPcon – Alterar Registo de Documentos, SAPcon – Registo de Auditoria |
Impacto, Escalamento de Privilégios, Persistência |
Monitorizar o registo de auditoria do SAP
Muitas das regras de análise na solução de Microsoft Sentinel para aplicações SAP utilizam dados de registo de auditoria SAP. Algumas regras de análise procuram eventos específicos no registo, enquanto outras correlacionam as indicações de vários registos para criar alertas e incidentes de alta fidelidade.
Utilize as seguintes regras de análise para monitorizar todos os eventos de registo de auditoria no sistema SAP ou acionar alertas apenas quando forem detetadas anomalias:
| Nome da regra | Descrição |
|---|---|
| SAP – Configuração em falta no Monitor de Registo de Auditoria de Segurança Dinâmica | Por predefinição, é executada diariamente para fornecer recomendações de configuração para o módulo de registo de auditoria sap. Utilize o modelo de regra para criar e personalizar uma regra para a área de trabalho. |
| SAP – Monitor de Registos de Auditoria Determinista Dinâmico (PRÉ-VISUALIZAÇÃO) | Por predefinição, é executada a cada 10 minutos e concentra-se nos eventos do registo de auditoria sap marcados como Deterministas. Utilize o modelo de regra para criar e personalizar uma regra para a área de trabalho, como, por exemplo, para uma taxa de falsos positivos mais baixa. Esta regra requer limiares de alerta deterministas e regras de exclusão de utilizadores. |
| SAP – Alertas do Monitor de Registos de Auditoria baseados em Anomalias Dinâmicas (PRÉ-VISUALIZAÇÃO) | Por predefinição, é executada de hora a hora e foca-se em eventos SAP marcados como AnomaliasOnly, alertando sobre eventos de registo de auditoria sap quando são detetadas anomalias. Esta regra aplica algoritmos de machine learning adicionais para filtrar o ruído de fundo de forma não supervisionada. |
Por predefinição, a maioria dos tipos de eventos ou IDs de mensagens SAP no registo de auditoria do SAP são enviados para a regra de análise de Alertas do Monitor de Registos de Auditoria (PRÉ-VISUALIZAÇÃO) baseada em anomalias baseada em anomalias, enquanto a regra de análise determinista dynamic Deterministic Audit Log Monitor (PRÉ-VISUALIZAÇÃO) é mais fácil de definir. Esta definição, juntamente com outras definições relacionadas, pode ser configurada de forma a adequar-se a quaisquer condições do sistema.
As regras de monitorização do registo de auditoria sap são fornecidas como parte do Microsoft Sentinel para o conteúdo de segurança da solução SAP e permitem uma otimização mais detalhada com as listas de observação SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
Por exemplo, a tabela seguinte lista vários exemplos de como pode utilizar a SAP_Dynamic_Audit_Log_Monitor_Configuration lista de observação para configurar os tipos de eventos que produzem incidentes, reduzindo o número de incidentes gerados.
| Opção | Descrição |
|---|---|
| Definir gravidades e desativar eventos indesejados | Por predefinição, tanto as regras deterministas como as regras baseadas em anomalias criam alertas para eventos marcados com gravidades médias e altas. Pode querer configurar gravidades separadamente ambientes de produção e de não produção. Por exemplo, pode definir um evento de atividade de depuração como gravidade elevada em sistemas de produção e desativar os mesmos eventos inteiramente em sistemas de não produção. |
| Excluir utilizadores pelas respetivas funções SAP ou perfis SAP | Microsoft Sentinel para SAP ingere o perfil de autorização do utilizador SAP, incluindo atribuições de funções diretas e indiretas, grupos e perfis, para que possa falar o idioma SAP no seu SIEM. Poderá querer configurar um evento SAP para excluir utilizadores com base nas respetivas funções e perfis SAP. Na lista de observação, adicione as funções ou perfis que agrupam os utilizadores da interface RFC na coluna RolesTagsToExclude , junto ao evento Acesso genérico à tabela por RFC . Esta configuração aciona alertas apenas para utilizadores que não têm estas funções. |
| Excluir utilizadores pelas respetivas etiquetas SOC | Utilize etiquetas para criar o seu próprio agrupamento, sem depender de definições SAP complicadas ou mesmo sem autorização SAP. Este método é útil para as equipas SOC que pretendem criar o seu próprio agrupamento para os utilizadores do SAP. Por exemplo, se não quiser que contas de serviço específicas sejam alertadas para acesso genérico a tabelas por eventos RFC , mas não conseguir encontrar uma função SAP ou um perfil SAP que agrupe estes utilizadores, utilize etiquetas da seguinte forma: 1. Adicione a etiqueta GenTableRFCReadOK junto ao evento relevante na lista de observação. 2. Aceda à SAP_User_Config lista de observação e atribua a mesma etiqueta aos utilizadores da interface. |
| Especificar um limiar de frequência por tipo de evento e função de sistema | Funciona como um limite de velocidade. Por exemplo, pode configurar eventos de Alteração do Registo Principal de Utilizador para acionar apenas alertas se forem observadas mais de 12 atividades numa hora, pelo mesmo utilizador num sistema de produção. Se um utilizador exceder o limite de 12 por hora (por exemplo, 2 eventos numa janela de 10 minutos), é acionado um incidente. |
| Determinismo ou anomalias | Se souber as características do evento, utilize as capacidades deterministas. Se não tiver a certeza de como configurar corretamente o evento, permita que as capacidades de machine learning decidam iniciar e, em seguida, faça as atualizações subsequentes conforme necessário. |
| Capacidades SOAR | Utilize Microsoft Sentinel para orquestrar, automatizar e responder a incidentes criados por alertas dinâmicos do registo de auditoria sap. Para obter mais informações, veja Automatização no Microsoft Sentinel: Orquestração de segurança, automatização e resposta (SOAR). |
Para obter mais informações, veja Listas de observação disponíveis e Microsoft Sentinel para o SAP News – Funcionalidade Do Monitor de Registos de Auditoria de Segurança SAP Dinâmica já disponível! (blogue).
Acesso inicial
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Iniciar sessão a partir de uma rede inesperada | Identifica um início de sessão de uma rede inesperada. Manter redes na lista de observação SAP – Redes . |
Inicie sessão no sistema de back-end a partir de um endereço IP que não esteja atribuído a uma das redes. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial |
| SAP – Ataque SPNego | Identifica o Ataque de Repetição de SPNego. | Origens de dados: SAPcon – Registo de Auditoria | Impacto, Movimento Lateral |
| SAP – Tentativa de início de sessão da caixa de diálogo de um utilizador com privilégios | Identifica tentativas de início de sessão na caixa de diálogo, com o tipo AUM , por utilizadores com privilégios num sistema SAP. Para obter mais informações, veja SAPUsersGetPrivileged. | Tentar iniciar sessão a partir do mesmo IP para vários sistemas ou clientes dentro do intervalo de tempo agendado Origens de dados: SAPcon – Registo de Auditoria |
Impacto, Movimento Lateral |
| SAP – Ataques de força bruta | Identifica ataques de força bruta no sistema SAP com inícios de sessão RFC | Tentar iniciar sessão a partir do mesmo IP para vários sistemas/clientes dentro do intervalo de tempo agendado com RFC Origens de dados: SAPcon – Registo de Auditoria |
Acesso a Credenciais |
| SAP – Vários Inícios de Sessão por IP | Identifica o início de sessão de vários utilizadores a partir do mesmo endereço IP num intervalo de tempo agendado. Caso de subusso: Persistência |
Inicie sessão com vários utilizadores através do mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial |
| SAP – Vários Inícios de Sessão por Utilizador | Identifica os inícios de sessão do mesmo utilizador de vários terminais dentro do intervalo de tempo agendado. Disponível apenas através do método AUDIT SAL, para as versões SAP 7.5 e superior. |
Inicie sessão com o mesmo utilizador, utilizando endereços IP diferentes. Origens de dados: SAPcon – Registo de Auditoria |
Pré-ataque, Acesso a Credenciais, Acesso Inicial, Coleção Caso de subusso: Persistência |
Transferência de dados não autorizada
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – FTP para servidores não autorizados | Identifica uma ligação FTP para um servidor nonauthorized. | Crie uma nova ligação de FTP, como, por exemplo, com o Módulo de Função FTP_CONNECT. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Acesso Inicial, Comando e Controlo |
| SAP – Configuração de servidores FTP inseguros | Identifica configurações de servidor FTP inseguras, como quando uma lista de permissões de FTP está vazia ou contém marcadores de posição. | Não mantenha valores que contenham marcadores de posição na SAPFTP_SERVERS tabela, utilizando a SAPFTP_SERVERS_V vista de manutenção. (SM30) Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial, Comando e Controlo |
| SAP – Transferência de vários Files | Identifica várias transferências de ficheiros para um utilizador dentro de um intervalo de tempo específico. | Transfira vários ficheiros com o SAPGui para Excel, listas e assim sucessivamente. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Acesso Direto a Tabelas Confidenciais por Início de Sessão RFC | Identifica um acesso genérico à tabela através do início de sessão RFC. Manter tabelas na lista de observação SAP – Tabelas Confidenciais . Relevante apenas para sistemas de produção. |
Abra o conteúdo da tabela com SE11/SE16/SE16N. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração, Acesso a Credenciais |
| SAP – Destino RFC Dinâmico | Identifica a execução de RFC com destinos dinâmicos. Caso de subuplicação: tentativas de ignorar mecanismos de segurança SAP |
Execute um relatório ABAP que utilize destinos dinâmicos (cl_dynamic_destination). Por exemplo, DEMO_RFC_DYNAMIC_DEST. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Exfiltração |
| SAP – Acesso Direto a Tabelas Confidenciais por Início de Sessão da Caixa de Diálogo | Identifica o acesso genérico à tabela através do início de sessão na caixa de diálogo. | Abra o conteúdo da tabela com SE11SE16N/SE16/. Origens de dados: SAPcon – Registo de Auditoria |
Deteção |
| SAP – (Pré-visualização) Ficheiro Transferido a Partir de um Endereço IP Malicioso | Identifica a transferência de um ficheiro de um sistema SAP com um endereço IP conhecido como malicioso. Os endereços IP maliciosos são obtidos a partir dos serviços de informações sobre ameaças. | Transfira um ficheiro a partir de um IP malicioso. Origens de dados: Registo de auditoria de segurança SAP, Informações sobre Ameaças |
Exfiltração |
| SAP – (Pré-visualização) Dados Confidenciais Guardados numa Pen USB | Identifica a exportação de dados SAP através de ficheiros. A regra verifica a existência de dados guardados numa pen USB montada recentemente, perto de uma execução de uma transação confidencial, de um programa confidencial ou de acesso direto a uma tabela confidencial. | Exportar dados SAP através de ficheiros e guardar numa pen USB. Origens de dados: Registo de Auditoria de Segurança SAP, DeviceFileEvents (Microsoft Defender para Endpoint), SAP – Tabelas Confidenciais, SAP – Transações Confidenciais, SAP – Programas Confidenciais |
Exfiltração |
| SAP – (Pré-visualização) Volume Elevado de Dados Potencialmente Confidenciais Exportados | Identifica a exportação de um elevado volume de dados através de ficheiros próximos de uma execução de uma transação confidencial, de um programa confidencial ou de acesso direto a tabelas confidenciais. | Exportar um elevado volume de dados através de ficheiros. Origens de dados: Sap Security Audit Log, SAP – Tabelas Confidenciais, SAP – Transações Confidenciais, SAP – Programas Confidenciais |
Exfiltração |
Persistência
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Módulo de Função testado | Identifica o teste de um módulo de função. | Testar um módulo de função com SE37 / SE80. Origens de dados: SAPcon – Registo de Auditoria |
Coleção, Evasão de Defesa, Movimento Lateral |
| SAP – (PRÉ-VISUALIZAÇÃO) BD HANA – Ações de Administração do utilizador | Identifica as ações de administração do utilizador. | Criar, atualizar ou eliminar um utilizador da base de dados. Origens de Dados: Agente Linux - Syslog* |
Escalamento de Privilégios |
| SAP – Execução de um Módulo de Função Obsoleto ou Inseguro | Identifica a execução de um módulo de função ABAP obsoleto ou inseguro. Mantenha funções obsoletas na lista de observação SAP – Módulos de Funções Obsoletos . Certifique-se de que ativa as alterações de registo de tabelas para a EUFUNC tabela no back-end. (SE13)Relevante apenas para sistemas de produção. |
Execute um módulo de função obsoleto ou inseguro diretamente com o SE37. Origens de dados: SAPcon – Registo de Dados da Tabela |
Deteção, Comando e Controlo |
| SAP – Execução de Um Programa Obsoleto/Inseguro | Identifica a execução de um programa ABAP obsoleto ou inseguro. Manter programas obsoletos na lista de observação SAP – Programas Obsoletos . Relevante apenas para sistemas de produção. |
Execute um programa diretamente com SE38/SA38/SE80 ou com uma tarefa em segundo plano. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Comando e Controlo |
| SAP – Múltiplas Alterações de Palavra-passe | Identifica várias alterações de palavra-passe por utilizador. | Alterar palavra-passe de utilizador Origens de dados: SAPcon – Registo de Auditoria |
Acesso a Credenciais |
Tentativas de ignorar mecanismos de segurança SAP
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Alteração da Configuração do Cliente | Identifica as alterações à configuração do cliente, como a função de cliente ou o modo de gravação de alterações. | Efetue alterações de configuração do cliente com o SCC4 código de transação. Origens de dados: SAPcon – Registo de Auditoria |
Evasão à Defesa, Exfiltração, Persistência |
| SAP – Os dados foram alterados durante a Atividade de Depuração | Identifica as alterações dos dados de runtime durante uma atividade de depuração. Caso de subusso: Persistência |
1. Ativar a Depuração ("/h"). 2. Selecione um campo para alterar e atualizar o respetivo valor. Origens de dados: SAPcon – Registo de Auditoria |
Execução, Movimento Lateral |
| SAP – Desativação do Registo de Auditoria de Segurança | Identifica a desativação do Registo de Auditoria de Segurança, | Desative o Registo de Auditoria de segurança com SM19/RSAU_CONFIG. Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Evasão de Defesa, Persistência |
| SAP – Execução de um Programa ABAP Sensível | Identifica a execução direta de um programa ABAP confidencial. Mantenha os Programas ABAP na lista de observação SAP – Programas ABAP Confidenciais . |
Execute um programa diretamente com SE38SE80/SA38/. Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Movimento Lateral, Execução |
| SAP – Execução de um Código de Transação Confidencial | Identifica a execução de um Código de Transação confidencial. Mantenha os códigos de transação na lista de observação SAP – Códigos de Transação Confidenciais . |
Execute um código de transação confidencial. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Execução |
| SAP – Execução do Módulo de Função Confidencial | Identifica a execução de um módulo de função ABAP confidencial. Caso de subusso: Persistência Relevante apenas para sistemas de produção. Mantenha funções confidenciais na lista de observação SAP – Módulos de Funções Confidenciais e ative as alterações de registo de tabelas no back-end da tabela EUFUNC. (SE13) |
Execute um módulo de função confidencial diretamente com o SE37. Origens de dados: SAPcon – Registo de Dados da Tabela |
Deteção, Comando e Controlo |
| SAP - (PRÉ-VISUALIZAÇÃO) BD HANA - Alterações da Política de Registo de Auditoria | Identifica as alterações das políticas de registo de auditoria da BD HANA. | Crie ou atualize a política de auditoria existente nas definições de segurança. Origens de dados: Agente Linux - Syslog |
Movimento Lateral, Evasão de Defesa, Persistência |
| SAP – (PRÉ-VISUALIZAÇÃO) BD HANA – Desativação do Registo de Auditoria | Identifica a desativação do registo de auditoria da BD HANA. | Desative o registo de auditoria na definição de segurança da BD HANA. Origens de dados: Agente Linux - Syslog |
Persistência, Movimento Lateral, Evasão da Defesa |
| SAP – Execução Remota Não Autorizada de um Módulo de Função Confidencial | Deteta execuções não autorizadas de FMs confidenciais ao comparar a atividade com o perfil de autorização do utilizador, ignorando as autorizações recentemente alteradas. Manter módulos de função na lista de observação SAP – Módulos de Funções Confidenciais . |
Execute um módulo de função com RFC. Origens de dados: SAPcon – Registo de Auditoria |
Execução, Movimento Lateral, Deteção |
| SAP – Alteração da Configuração do Sistema | Identifica as alterações à configuração do sistema. | Adapte as opções de alteração do sistema ou a modificação do componente de software com o SE06 código de transação.Origens de dados: SAPcon – Registo de Auditoria |
Exfiltração, Evasão de Defesa, Persistência |
| SAP – Atividades de Depuração | Identifica todas as atividades relacionadas com a depuração. Caso de subusso: Persistência |
Ativar a Depuração ("/h") no sistema, depurar um processo ativo, adicionar um ponto de interrupção ao código fonte, etc. Origens de dados: SAPcon – Registo de Auditoria |
Deteção |
| SAP – Alteração da Configuração do Registo de Auditoria de Segurança | Identifica as alterações na configuração do Registo de Auditoria de Segurança | Altere qualquer Configuração do Registo de Auditoria de Segurança com SM19/RSAU_CONFIG, como os filtros, o estado, o modo de gravação, etc. Origens de dados: SAPcon – Registo de Auditoria |
Persistência, Exfiltração, Evasão à Defesa |
| SAP – A transação está desbloqueada | Identifica o desbloqueio de uma transação. | Desbloqueie um código de transação com SM01SM01_CUS/SM01_DEV/. Origens de dados: SAPcon – Registo de Auditoria |
Persistência, Execução |
| SAP – Programa ABAP Dinâmico | Identifica a execução da programação dinâmica do ABAP. Por exemplo, quando o código ABAP foi criado, alterado ou eliminado dinamicamente. Mantenha os códigos de transação excluídos na lista de observação SAP – Transações para Gerações ABAP . |
Crie um Relatório ABAP que utilize comandos de geração de programas ABAP, como INSERT REPORT e, em seguida, execute o relatório. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Comando e Controlo, Impacto |
Operações de privilégios suspeitos
| Nome da regra | Descrição | Ação de origem | Táticas |
|---|---|---|---|
| SAP – Alteração num Utilizador Com Privilégios Confidenciais | Identifica as alterações de utilizadores com privilégios confidenciais. Mantenha os utilizadores com privilégios na lista de observação SAP – Utilizadores Com Privilégios . |
Altere os detalhes/autorizações do utilizador com SU01. Origens de dados: SAPcon – Registo de Auditoria |
Escalamento de Privilégios, Acesso a Credenciais |
| SAP – (PRÉ-VISUALIZAÇÃO) BD HANA – Atribuir Autorizações de Administração | Identifica o privilégio de administrador ou a atribuição de função. | Atribua um utilizador com qualquer função de administrador ou privilégios. Origens de dados: Agente Linux - Syslog |
Escalamento de Privilégios |
| SAP – Utilizador com privilégios confidenciais com sessão iniciada | Identifica o início de sessão da Caixa de Diálogo de um utilizador com privilégios confidenciais. Mantenha os utilizadores com privilégios na lista de observação SAP – Utilizadores Com Privilégios . |
Inicie sessão no sistema de back-end com SAP* ou outro utilizador com privilégios. Origens de dados: SAPcon – Registo de Auditoria |
Acesso Inicial, Acesso a Credenciais |
| SAP – Utilizador com privilégios confidenciais efetua uma alteração noutros utilizadores | Identifica as alterações de utilizadores confidenciais e com privilégios noutros utilizadores. | Altere os detalhes/autorizações do utilizador com sU01. Origens de Dados: SAPcon – Registo de Auditoria |
Escalamento de Privilégios, Acesso a Credenciais |
| SAP – Alteração e Início de Sessão de Palavras-passe de Utilizadores Confidenciais | Identifica as alterações de palavra-passe para utilizadores com privilégios. | Altere a palavra-passe de um utilizador com privilégios e inicie sessão no sistema. Mantenha os utilizadores com privilégios na lista de observação SAP – Utilizadores Com Privilégios . Origens de dados: SAPcon – Registo de Auditoria |
Impacto, Comando e Controlo, Escalamento de Privilégios |
| SAP – O utilizador cria e utiliza o novo utilizador | Identifica um utilizador que cria e utiliza outros utilizadores. Caso de subusso: Persistência |
Crie um utilizador com SU01 e, em seguida, inicie sessão com o utilizador recém-criado e o mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria |
Deteção, Pré-ataque, Acesso Inicial |
| SAP – O utilizador desbloqueia e utiliza outros utilizadores | Identifica um utilizador que está a ser desbloqueado e utilizado por outros utilizadores. Caso de subusso: Persistência |
Desbloqueie um utilizador com SU01 e, em seguida, inicie sessão com o utilizador desbloqueado e o mesmo endereço IP. Origens de dados: SAPcon – Registo de Auditoria, SAPcon – Alterar Registo de Documentos |
Deteção, Pré-ataque, Acesso Inicial, Movimento Lateral |
| SAP – Atribuição de um perfil confidencial | Identifica novas atribuições de um perfil confidencial a um utilizador. Mantenha perfis confidenciais na lista de observação SAP – Perfis Confidenciais . |
Atribua um perfil a um utilizador com SU01. Origens de dados: SAPcon – Registo de Alterações de Documentos |
Escalamento de Privilégios |
| SAP – Atribuição de uma função sensível | Identifica novas atribuições para uma função confidencial para um utilizador. Mantenha funções confidenciais na lista de observação SAP – Funções Confidenciais . |
Atribuir uma função a um utilizador com SU01 / PFCG. Origens de dados: SAPcon – Alterar o Registo de Documentos, Registo de Auditoria |
Escalamento de Privilégios |
| SAP – Atribuição de autorizações críticas (PRÉ-VISUALIZAÇÃO) – Novo Valor de Autorização | Identifica a atribuição de um valor de objeto de autorização crítico a um novo utilizador. Mantenha objetos de autorização críticos na lista de observação SAP – Objetos de Autorização Críticos . |
Atribua um novo objeto de autorização ou atualize um existente numa função com PFCG. Origens de dados: SAPcon – Registo de Alterações de Documentos |
Escalamento de Privilégios |
| SAP – Atribuição de autorizações críticas – Nova Atribuição de Utilizadores | Identifica a atribuição de um valor de objeto de autorização crítico a um novo utilizador. Mantenha objetos de autorização críticos na lista de observação SAP – Objetos de Autorização Críticos . |
Atribua um novo utilizador a uma função que contenha valores de autorização críticos, com SU01/PFCG. Origens de dados: SAPcon – Registo de Alterações de Documentos |
Escalamento de Privilégios |
| SAP – Alterações de Funções Confidenciais | Identifica as alterações nas funções confidenciais. Mantenha funções confidenciais na lista de observação SAP – Funções Confidenciais . |
Alterar uma função através de PFCG. Origens de dados: SAPcon – Alterar Registo de Documentos, SAPcon – Registo de Auditoria |
Impacto, Escalamento de Privilégios, Persistência |
Listas de observação disponíveis
A tabela seguinte lista as listas de observação disponíveis para a solução de Microsoft Sentinel para aplicações SAP e os campos em cada lista de observação.
Estas listas de observação fornecem a configuração para a solução Microsoft Sentinel para aplicações SAP. As listas de observação sap estão disponíveis no repositório do GitHub Microsoft Sentinel.
| Nome da lista de observação | Descrição e campos |
|---|---|
| SAP – Autorizações Críticas | Objeto Autorizações Críticas, onde as atribuições devem ser regidas. - AuthorizationObject: um objeto de autorização SAP, como S_DEVELOP, S_TCODEou Table TOBJ - AuthorizationField: um campo de autorização SAP, como OBJTYP ou TCD - AuthorizationValue: um valor de campo de autorização SAP, como DEBUG - ActivityField : campo de atividade SAP. Na maioria dos casos, este valor é ACTVT. Para objetos de Autorizações sem uma Atividade ou apenas com um campo Atividade , preenchido com NOT_IN_USE. - Atividade: atividade SAP, de acordo com o objeto de autorização, como: 01: Criar; 02: Alterar; 03: Apresentação, etc. - Descrição: uma descrição relevante do Objeto de Autorização Crítica. |
| SAP – Redes Excluídas | Para manutenção interna de redes excluídas, como ignorar despachantes Web, servidores de terminais, etc. - Rede: um endereço IP de rede ou intervalo, como 111.68.128.0/17. - Descrição: uma descrição de rede relevante. |
| Utilizadores Excluídos do SAP | Os utilizadores de sistema com sessão iniciada no sistema e que têm de ser ignorados. Por exemplo, alertas para vários inícios de sessão pelo mesmo utilizador. - Utilizador: Utilizador SAP - Descrição: uma descrição significativa do utilizador. |
| SAP - Redes | Redes internas e de manutenção para identificação de inícios de sessão não autorizados. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: uma descrição de rede relevante. |
| SAP – Utilizadores Com Privilégios | Utilizadores com privilégios que estão sob restrições adicionais. - Utilizador: o utilizador do ABAP, como DDIC ou SAP - Descrição: uma descrição significativa do utilizador. |
| SAP – Programas ABAP Confidenciais | Programas ABAP confidenciais (relatórios), em que a execução deve ser regida. - ABAPProgram: programa ou relatório ABAP, como RSPFLDOC - Descrição: uma descrição significativa do programa. |
| SAP – Módulo de Função Sensível | Redes internas e de manutenção para identificação de inícios de sessão não autorizados. - FunctionModule: um módulo de função ABAP, como RSAU_CLEAR_AUDIT_LOG - Descrição: uma descrição significativa do módulo. |
| SAP - Perfis Confidenciais | Perfis confidenciais, onde as atribuições devem ser regidas. - Perfil: perfil de autorização SAP, como SAP_ALL ou SAP_NEW - Descrição: uma descrição de perfil relevante. |
| SAP - Tabelas Confidenciais | Tabelas confidenciais, onde o acesso deve ser regido. - Tabela: Tabela do Dicionário ABAP, como USR02 ou PA008 - Descrição: uma descrição significativa da tabela. |
| SAP – Funções Confidenciais | Funções confidenciais, onde a atribuição deve ser regida. - Função: função de autorização SAP, como SAP_BC_BASIS_ADMIN - Descrição: uma descrição de função relevante. |
| SAP – Transações Confidenciais | Transações confidenciais em que a execução deve ser regida. - TransactionCode: código de transação SAP, como RZ11 - Descrição: uma descrição de código relevante. |
| SAP - Sistemas | Descreve o panorama dos sistemas SAP de acordo com a função, a utilização e a configuração. - SystemID: o ID do sistema SAP (SYSID) - SystemRole: a função de sistema SAP, um dos seguintes valores: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: a utilização do sistema SAP, um dos seguintes valores: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: um parâmetro dinâmico opcional para utilização em manuais de procedimentos. |
| SAPSystemParameters | Parâmetros a observar relativamente a alterações de configuração suspeitas. Esta lista de observação está pré-preenchida com valores recomendados (de acordo com a melhor prática do SAP) e pode expandir a lista de observação para incluir mais parâmetros. Se não quiser receber alertas para um parâmetro, defina EnableAlerts como false.- ParameterName: o nome do parâmetro . - Comentário: a descrição do parâmetro padrão do SAP. - EnableAlerts: define se pretende ativar alertas para este parâmetro. Os valores são true e false.- Opção: define nesse caso para acionar um alerta: se o valor do parâmetro for maior ou igual ( GE), menor ou igual (LE) ou igual (EQ)Por exemplo, se o login/fails_to_user_lock parâmetro SAP estiver definido como LE (menor ou igual) e um valor de 5, assim que Microsoft Sentinel detetar uma alteração a este parâmetro específico, compara o valor comunicado recentemente e o valor esperado. Se o novo valor for 4, Microsoft Sentinel não aciona um alerta. Se o novo valor for 6, Microsoft Sentinel aciona um alerta.- ProductionSeverity: a gravidade do incidente para os sistemas de produção. - ProductionValues: valores permitidos para sistemas de produção. - NonProdSeverity: a gravidade do incidente para sistemas de não produção. - NonProdValues: valores permitidos para sistemas de não produção. |
| SAP – Utilizadores Excluídos | Os utilizadores de sistema que têm sessão iniciada e precisam de ser ignorados, como para o alerta Vários inícios de sessão por utilizador. - Utilizador: Utilizador SAP - Descrição: uma descrição significativa do utilizador |
| SAP – Redes Excluídas | Mantenha redes internas excluídas para ignorar despachantes Web, servidores terminais, etc. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: uma descrição de rede relevante |
| SAP – Módulos de Funções Obsoletos | Módulos de função obsoletos, cuja execução deve ser regida. - FunctionModule: Módulo de Função ABAP, como TH_SAPREL - Descrição: uma descrição significativa do módulo de função |
| SAP – Programas Obsoletos | Programas ABAP obsoletos (relatórios), cuja execução deve ser regida. - ABAPProgram:Programa ABAP, como TH_ RSPFLDOC - Descrição: uma descrição significativa do programa ABAP |
| SAP – Transações para Gerações ABAP | Transações para gerações ABAP cuja execução deve ser regida. - TransactionCode: Código de Transação, como SE11. - Descrição: uma descrição significativa do Código de Transação |
| SAP - Servidores FTP | Servidores FTP para identificação de ligações não autorizadas. - Cliente: como 100. - FTP_Server_Name: nome do servidor FTP, como http://contoso.com/ - FTP_Server_Port:porta do servidor FTP, como 22. - DescriçãoUma descrição significativa do Servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure os alertas do registo de auditoria sap ao atribuir a cada ID de mensagem um nível de gravidade conforme exigido por si, por função de sistema (produção, não produção). Esta lista de observação detalha todos os IDs de mensagens de registo de auditoria padrão sap disponíveis. A lista de observação pode ser expandida para conter IDs de mensagens adicionais que pode criar por conta própria com os melhoramentos do ABAP nos respetivos sistemas SAP NetWeaver. Esta lista de observação também permite configurar uma equipa designada para processar cada um dos tipos de evento e excluir utilizadores por funções SAP, perfis SAP ou por etiquetas da SAP_User_Config lista de observação. Esta lista de observação é um dos componentes principais utilizados para configurar as regras de análise sap incorporadas para monitorizar o registo de auditoria sap. Para obter mais informações, veja Monitorizar o registo de auditoria do SAP. - MessageID: o ID da Mensagem SAP ou o tipo de evento, como AUD (Alterações ao registo principal do utilizador) ou AUB (alterações de autorização). - DetailedDescription: uma descrição com markdown ativada para ser apresentada no painel de incidentes. - ProductionSeverity: a gravidade pretendida para o incidente ser criado com para os sistemas Highde produção , Medium. Pode ser definido como Disabled. - NonProdSeverity: a gravidade pretendida para o incidente ser criado com para sistemas Highde não produção , Medium. Pode ser definido como Disabled. - ProductionThreshold A contagem "Por hora" de eventos a considerar como suspeitos para sistemas 60de produção. - NonProdThreshold A contagem "Por hora" de eventos a considerar como suspeitos para sistemas 10de não produção. - RolesTagsToExclude: este campo aceita o nome da função SAP, nomes de perfis SAP ou etiquetas da lista de observação SAP_User_Config. Em seguida, estes são utilizados para excluir os utilizadores associados de tipos de eventos específicos. Veja as opções para etiquetas de função no final desta lista. - RuleType: utilize Deterministic para que o tipo de evento seja enviado para a regra SAP – Monitor de Registos de Auditoria Determinista Dinâmico ou AnomaliesOnly para que este evento seja abrangido pela regra ALERTAS do Monitor de Registos de Auditoria (PRÉ-VISUALIZAÇÃO) baseados em Anomalias Dinâmicas. Para obter mais informações, veja Monitorizar o registo de auditoria do SAP. - TeamsChannelID: um parâmetro dinâmico opcional para utilização em manuais de procedimentos. - DestinationEmail: um parâmetro dinâmico opcional para utilização em manuais de procedimentos. Para o campo RolesTagsToExclude : - Se listar funções SAP ou perfis SAP, isto exclui qualquer utilizador com as funções ou perfis listados destes tipos de eventos para o mesmo sistema SAP. Por exemplo, se definir a BASIC_BO_USERS função ABAP para os tipos de eventos relacionados com RFC, os utilizadores de Objetos de Negócio não acionarão incidentes ao efetuar chamadas RFC massivas.- A identificação de um tipo de evento é semelhante à especificação de funções ou perfis SAP, mas podem ser criadas etiquetas na área de trabalho, para que as equipas do SOC possam excluir utilizadores por atividade sem depender da equipa SAP BASIS. Por exemplo, os IDs de mensagens de auditoria AUB (alterações de autorização) e AUD (alterações ao registo principal do utilizador) são atribuídos à MassiveAuthChanges etiqueta. Os utilizadores atribuídos a esta etiqueta são excluídos das verificações para estas atividades. A execução da função de área de trabalho SAPAuditLogConfigRecommend produz uma lista de etiquetas recomendadas a atribuir aos utilizadores, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite a otimização de alertas ao excluir /incluir utilizadores em contextos específicos e também é utilizado para configurar as regras de análise SAP incorporadas para monitorizar o registo de auditoria do SAP. Para obter mais informações, veja Monitorizar o registo de auditoria do SAP. - SAPUser: o utilizador SAP - Etiquetas: as etiquetas são utilizadas para identificar utilizadores relativamente a determinada atividade. Por exemplo, adicionar as etiquetas ["GenericTablebyRFCOK"] ao utilizador SENTINEL_SRV impedirá a criação de incidentes relacionados com RFC para este utilizador específico Outros identificadores de utilizador do Active Directory - Identificador de Utilizador do AD - Sid no Local do Utilizador - Nome Principal de Utilizador |
| Nome da lista de observação | Descrição e campos |
|---|---|
| SAP – Autorizações Críticas | Objeto Autorizações Críticas, onde as atribuições devem ser regidas. - AuthorizationObject: um objeto de autorização SAP, como S_DEVELOP, S_TCODEou Table TOBJ - AuthorizationField: um campo de autorização SAP, como OBJTYP ou TCD - AuthorizationValue: um valor de campo de autorização SAP, como DEBUG - ActivityField : campo de atividade SAP. Na maioria dos casos, este valor é ACTVT. Para objetos de Autorizações sem uma Atividade ou apenas com um campo Atividade , preenchido com NOT_IN_USE. - Atividade: atividade SAP, de acordo com o objeto de autorização, como: 01: Criar; 02: Alterar; 03: Apresentação, etc. - Descrição: uma descrição relevante do Objeto de Autorização Crítica. |
| SAP – Redes Excluídas | Para manutenção interna de redes excluídas, como ignorar despachantes Web, servidores de terminais, etc. - Rede: um endereço IP de rede ou intervalo, como 111.68.128.0/17. - Descrição: uma descrição de rede relevante. |
| Utilizadores Excluídos do SAP | Os utilizadores de sistema com sessão iniciada no sistema e que têm de ser ignorados. Por exemplo, alertas para vários inícios de sessão pelo mesmo utilizador. - Utilizador: Utilizador SAP - Descrição: uma descrição significativa do utilizador. |
| SAP - Redes | Redes internas e de manutenção para identificação de inícios de sessão não autorizados. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: uma descrição de rede relevante. |
| SAP – Utilizadores Com Privilégios | Utilizadores com privilégios que estão sob restrições adicionais. - Utilizador: o utilizador do ABAP, como DDIC ou SAP - Descrição: uma descrição significativa do utilizador. |
| SAP – Programas ABAP Confidenciais | Programas ABAP confidenciais (relatórios), em que a execução deve ser regida. - ABAPProgram: programa ou relatório ABAP, como RSPFLDOC - Descrição: uma descrição significativa do programa. |
| SAP – Módulo de Função Sensível | Redes internas e de manutenção para identificação de inícios de sessão não autorizados. - FunctionModule: um módulo de função ABAP, como RSAU_CLEAR_AUDIT_LOG - Descrição: uma descrição significativa do módulo. |
| SAP - Perfis Confidenciais | Perfis confidenciais, onde as atribuições devem ser regidas. - Perfil: perfil de autorização SAP, como SAP_ALL ou SAP_NEW - Descrição: uma descrição de perfil relevante. |
| SAP - Tabelas Confidenciais | Tabelas confidenciais, onde o acesso deve ser regido. - Tabela: Tabela do Dicionário ABAP, como USR02 ou PA008 - Descrição: uma descrição significativa da tabela. |
| SAP – Funções Confidenciais | Funções confidenciais, onde a atribuição deve ser regida. - Função: função de autorização SAP, como SAP_BC_BASIS_ADMIN - Descrição: uma descrição de função relevante. |
| SAP – Transações Confidenciais | Transações confidenciais em que a execução deve ser regida. - TransactionCode: código de transação SAP, como RZ11 - Descrição: uma descrição de código relevante. |
| SAP - Sistemas | Descreve o panorama dos sistemas SAP de acordo com a função, a utilização e a configuração. - SystemID: o ID do sistema SAP (SYSID) - SystemRole: a função de sistema SAP, um dos seguintes valores: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: a utilização do sistema SAP, um dos seguintes valores: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: um parâmetro dinâmico opcional para utilização em manuais de procedimentos. |
| SAP – Utilizadores Excluídos | Os utilizadores de sistema que têm sessão iniciada e precisam de ser ignorados, como para o alerta Vários inícios de sessão por utilizador. - Utilizador: Utilizador SAP - Descrição: uma descrição significativa do utilizador |
| SAP – Redes Excluídas | Mantenha redes internas excluídas para ignorar despachantes Web, servidores terminais, etc. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: uma descrição de rede relevante |
| SAP – Módulos de Funções Obsoletos | Módulos de função obsoletos, cuja execução deve ser regida. - FunctionModule: Módulo de Função ABAP, como TH_SAPREL - Descrição: uma descrição significativa do módulo de função |
| SAP – Programas Obsoletos | Programas ABAP obsoletos (relatórios), cuja execução deve ser regida. - ABAPProgram:Programa ABAP, como TH_ RSPFLDOC - Descrição: uma descrição significativa do programa ABAP |
| SAP – Transações para Gerações ABAP | Transações para gerações ABAP cuja execução deve ser regida. - TransactionCode: Código de Transação, como SE11. - Descrição: uma descrição significativa do Código de Transação |
| SAP - Servidores FTP | Servidores FTP para identificação de ligações não autorizadas. - Cliente: como 100. - FTP_Server_Name: nome do servidor FTP, como http://contoso.com/ - FTP_Server_Port:porta do servidor FTP, como 22. - DescriçãoUma descrição significativa do Servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure os alertas do registo de auditoria sap ao atribuir a cada ID de mensagem um nível de gravidade conforme exigido por si, por função de sistema (produção, não produção). Esta lista de observação detalha todos os IDs de mensagens de registo de auditoria padrão sap disponíveis. A lista de observação pode ser expandida para conter IDs de mensagens adicionais que pode criar por conta própria com os melhoramentos do ABAP nos respetivos sistemas SAP NetWeaver. Esta lista de observação também permite configurar uma equipa designada para processar cada um dos tipos de evento e excluir utilizadores por funções SAP, perfis SAP ou por etiquetas da SAP_User_Config lista de observação. Esta lista de observação é um dos componentes principais utilizados para configurar as regras de análise sap incorporadas para monitorizar o registo de auditoria sap. Para obter mais informações, veja Monitorizar o registo de auditoria do SAP. - MessageID: o ID da Mensagem SAP ou o tipo de evento, como AUD (Alterações ao registo principal do utilizador) ou AUB (alterações de autorização). - DetailedDescription: uma descrição com markdown ativada para ser apresentada no painel de incidentes. - ProductionSeverity: a gravidade pretendida para o incidente ser criado com para os sistemas Highde produção , Medium. Pode ser definido como Disabled. - NonProdSeverity: a gravidade pretendida para o incidente ser criado com para sistemas Highde não produção , Medium. Pode ser definido como Disabled. - ProductionThreshold A contagem "Por hora" de eventos a considerar como suspeitos para sistemas 60de produção. - NonProdThreshold A contagem "Por hora" de eventos a considerar como suspeitos para sistemas 10de não produção. - RolesTagsToExclude: este campo aceita o nome da função SAP, nomes de perfis SAP ou etiquetas da lista de observação SAP_User_Config. Em seguida, estes são utilizados para excluir os utilizadores associados de tipos de eventos específicos. Veja as opções para etiquetas de função no final desta lista. - RuleType: utilize Deterministic para que o tipo de evento seja enviado para a regra SAP – Monitor de Registos de Auditoria Determinista Dinâmico ou AnomaliesOnly para que este evento seja abrangido pela regra ALERTAS do Monitor de Registos de Auditoria (PRÉ-VISUALIZAÇÃO) baseados em Anomalias Dinâmicas. Para obter mais informações, veja Monitorizar o registo de auditoria do SAP. - TeamsChannelID: um parâmetro dinâmico opcional para utilização em manuais de procedimentos. - DestinationEmail: um parâmetro dinâmico opcional para utilização em manuais de procedimentos. Para o campo RolesTagsToExclude : - Se listar funções SAP ou perfis SAP, isto exclui qualquer utilizador com as funções ou perfis listados destes tipos de eventos para o mesmo sistema SAP. Por exemplo, se definir a BASIC_BO_USERS função ABAP para os tipos de eventos relacionados com RFC, os utilizadores de Objetos de Negócio não acionarão incidentes ao efetuar chamadas RFC massivas.- A identificação de um tipo de evento é semelhante à especificação de funções ou perfis SAP, mas podem ser criadas etiquetas na área de trabalho, para que as equipas do SOC possam excluir utilizadores por atividade sem depender da equipa SAP BASIS. Por exemplo, os IDs de mensagens de auditoria AUB (alterações de autorização) e AUD (alterações ao registo principal do utilizador) são atribuídos à MassiveAuthChanges etiqueta. Os utilizadores atribuídos a esta etiqueta são excluídos das verificações para estas atividades. A execução da função de área de trabalho SAPAuditLogConfigRecommend produz uma lista de etiquetas recomendadas a atribuir aos utilizadores, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite a otimização de alertas ao excluir /incluir utilizadores em contextos específicos e também é utilizado para configurar as regras de análise SAP incorporadas para monitorizar o registo de auditoria do SAP. Para obter mais informações, veja Monitorizar o registo de auditoria do SAP. - SAPUser: o utilizador SAP - Etiquetas: as etiquetas são utilizadas para identificar utilizadores relativamente a determinada atividade. Por exemplo, adicionar as etiquetas ["GenericTablebyRFCOK"] ao utilizador SENTINEL_SRV impedirá a criação de incidentes relacionados com RFC para este utilizador específico Outros identificadores de utilizador do Active Directory - Identificador de Utilizador do AD - Sid no Local do Utilizador - Nome Principal de Utilizador |
Manuais de procedimentos disponíveis
Os manuais de procedimentos fornecidos por Microsoft Sentinel solução para aplicações SAP ajudam-no a automatizar cargas de trabalho de resposta a incidentes sap, melhorando a eficiência e eficácia das operações de segurança.
Esta secção descreve os manuais de procedimentos de análise incorporados fornecidos em conjunto com a solução Microsoft Sentinel para aplicações SAP.
| Nome do manual de procedimentos | Parâmetros | Ligações |
|---|---|---|
| Resposta a Incidentes do SAP – Bloquear o utilizador do Teams – Básico | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Resposta a Incidentes SAP – Bloquear utilizadores do Teams – Avançadas | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Monitorizar Registos - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| Resposta a Incidentes sap – Reativar o registo de auditoria depois de desativado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure Monitorizar Registos - Microsoft Teams |
As secções seguintes descrevem casos de utilização de exemplo para cada um dos manuais de procedimentos fornecidos, num cenário em que um incidente o alertou para atividades suspeitas num dos sistemas SAP, em que um utilizador está a tentar executar uma destas transações altamente confidenciais.
Durante a fase de triagem de incidentes, decide tomar medidas contra este utilizador, expulsando-o dos seus sistemas SAP ERP ou BTP ou até mesmo de Microsoft Entra ID.
Para obter mais informações, veja Automatizar a resposta a ameaças com manuais de procedimentos no Microsoft Sentinel
Geralmente, o processo de implementação de aplicações lógicas Standard é mais complexo do que para aplicações lógicas de Consumo. Criámos uma série de atalhos para o ajudar a implementá-los rapidamente a partir do Microsoft Sentinel repositório do GitHub. Para obter mais informações, veja Guia de Instalação Passo a Passo.
Sugestão
Veja a pasta manuais de procedimentos do SAP no repositório do GitHub para obter mais manuais de procedimentos à medida que ficam disponíveis. Também existe um breve vídeo introdutório (ligação externa) para o ajudar a começar.
Bloquear um utilizador a partir de um único sistema
Crie uma regra de automatização para invocar o manual de procedimentos Bloquear utilizador do Teams – Básico sempre que for detetada uma execução de transações confidenciais por um utilizador não autorizado. Este manual de procedimentos utiliza a funcionalidade de cartões ajustáveis do Teams para pedir aprovação antes de bloquear unilateralmente o utilizador.
Para obter mais informações, consulte Do zero à cobertura de segurança de destaques com Microsoft Sentinel para os seus sinais de segurança SAP críticos - Vai ouvir-me SOAR! Parte 1 (mensagem de blogue sap).
O manual de procedimentos Bloquear utilizador do Teams – Básico é um manual de procedimentos Standard e os manuais de procedimentos Standard são geralmente mais complexos de implementar do que os manuais de procedimentos de Consumo.
Criámos uma série de atalhos para o ajudar a implementá-los rapidamente a partir do Microsoft Sentinel repositório do GitHub. Para obter mais informações, veja Guia de Instalação Passo a Passo e Tipos de aplicações lógicas suportadas.
Bloquear um utilizador de vários sistemas
O manual de procedimentos Bloquear utilizador do Teams – Avançado cumpre o mesmo objetivo, mas foi concebido para cenários mais complexos, permitindo a utilização de um único manual de procedimentos para vários sistemas SAP, cada um com o seu próprio SID SAP.
O manual de procedimentos Bloquear utilizadores do Teams – Avançadas gere de forma totalmente integrada as ligações a todos estes sistemas e as respetivas credenciais, utilizando o parâmetro dinâmico opcional InterfaceAttributes na lista de observação SAP – Sistemas e Azure Key Vault.
O manual de procedimentos Bloquear utilizador do Teams – Avançado também lhe permite comunicar com as partes no processo de aprovação através de mensagens acionáveis do Outlook juntamente com o Teams, utilizando os parâmetros TeamsChannelID e DestinationEmail na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration .
Para obter mais informações, consulte Do zero à cobertura de segurança de destaque com Microsoft Sentinel para os seus sinais de segurança SAP críticos – Parte 2 (mensagem de blogue sap).
Impedir a desativação do registo de auditoria
Também poderá estar preocupado com o registo de auditoria sap, que é uma das suas origens de dados de segurança, a ser desativado. Recomendamos que crie uma regra de automatização com base na regra sap - Desativação da análise do Registo de Auditoria de Segurança para invocar o manual de procedimentos Reativar registo de auditoria depois de desativado para garantir que o registo de auditoria sap não é desativado.
O manual de procedimentos SAP – Desativação do Registo de Auditoria de Segurança também utiliza o Teams, informando o pessoal de segurança após o facto. A gravidade da ofensa e a urgência da sua mitigação indicam que podem ser tomadas medidas imediatas sem necessidade de aprovação.
Uma vez que o manual de procedimentos SAP – Desativação do Registo de Auditoria de Segurança também utiliza Azure Key Vault para gerir credenciais, a configuração do manual de procedimentos é semelhante à do manual de procedimentos Bloquear utilizador do Teams – Avançado. Para obter mais informações, consulte Do zero à cobertura de segurança de destaque com Microsoft Sentinel para os seus sinais de segurança SAP críticos – Parte 3 (mensagem de blogue sap).
Conteúdos relacionados
Para obter mais informações, veja Implementar Microsoft Sentinel solução para aplicações SAP.