Настройка правил мониторинга журнала аудита SAP
В журнале аудита SAP записываются действия аудита и безопасности в системах SAP, такие как неудачные попытки входа или другие подозрительные действия. В этой статье описывается, как отслеживать журнал аудита SAP с помощью встроенных правил аналитики Microsoft Sentinel.
С помощью этих правил можно отслеживать все события журнала аудита или получать оповещения только при обнаружении аномалий. Таким образом, вы сможете лучше управлять журналами SAP, уменьшая уровень шума без ущерба для ваших значений безопасности.
Для мониторинга и анализа данных журнала аудита SAP используются два правила аналитики:
- SAP — динамический детерминированный монитор журнала аудита (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ). Оповещения о любых событиях журнала аудита SAP с минимальной конфигурацией. Вы можете настроить правило для еще более низкой частоты ложноположительных результатов. Узнайте, как настроить правило.
- SAP — оповещения монитора журнала аудита на основе динамических аномалий (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ). Оповещения о событиях журнала аудита SAP при обнаружении аномалий с использованием возможностей машинного обучения без написания кода. Узнайте, как настроить правило.
Два правила мониторинга журнала аудита SAP предоставляются как готовые и позволяют выполнять дальнейшую тонкую настройку с помощью SAP_Dynamic_Audit_Log_Monitor_Configuration и списков отслеживания SAP_User_Config.
Обнаружение аномалий
При попытке определить события безопасности в различных журналах действий, таких как журнал аудита SAP, необходимо сбалансировать усилия по настройке и количество помех, которые создают оповещения.
С помощью модуля журнала аудита SAP в решении Sentinel для SAP можно выбрать следующее:
- На какие события вы хотите смотреть детерминированно с помощью настраиваемых предопределенных пороговых значений и фильтров.
- Какие события вы хотите оставить без в сторону, чтобы компьютер смог самостоятельно узнать параметры.
После того как вы помечаете тип события журнала аудита SAP для обнаружения аномалий, модуль оповещений проверяет события, недавно переданные из журнала аудита SAP. Подсистема проверяет, кажутся ли события нормальными, учитывая историю, которая была изучена.
Microsoft Sentinel проверяет событие или группу событий на наличие аномалий. Он пытается сопоставить событие или группу событий с ранее замеченными действиями того же типа на уровне пользователя и системы. Алгоритм изучает сетевые характеристики пользователя на уровне маски подсети и в соответствии с сезонностью.
С помощью этой возможности можно искать аномалии в ранее неактивных типах событий, таких как события входа пользователя. Например, если пользователь JohnDoe выполняет вход сотни раз в час, вы можете разрешить Microsoft Sentinel решить, является ли поведение подозрительным. Это Джон из бухгалтерского учета, многократного обновления финансовой панели с несколькими источниками данных или формирования атак DDoS?
Настройка правила sap — dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) для обнаружения аномалий
Если данные журнала аудита SAP еще не передаются в рабочую область Microsoft Sentinel, узнайте, как развернуть решение.
- В меню навигации Microsoft Sentinel в разделе Управление содержимымвыберите Центр содержимого (Предварительная версия).
- Проверьте, есть ли в приложении SAP обновления непрерывного мониторинга угроз .
- В меню навигации в разделе Аналитика включите следующие три оповещения журнала аудита:
- SAP — динамический детерминированный монитор журнала аудита. Выполняется каждые 10 минут и фокусируется на событиях журнала аудита SAP, помеченных как детерминированные.
- SAP — (предварительная версия) Оповещения монитора журнала аудита на основе динамических аномалий. Выполняется ежечасно и фокусируется на событиях SAP, помеченных как аномалии Только.
- SAP — отсутствует конфигурация в мониторе журнала аудита динамической безопасности. Выполняется ежедневно для предоставления рекомендаций по настройке модуля журнала аудита SAP.
Microsoft Sentinel теперь регулярно сканирует весь журнал аудита SAP на наличие детерминированных событий безопасности и аномалий. Вы можете просмотреть инциденты, которые создает этот журнал, на странице Инциденты .
Как и в случае с любым решением машинного обучения, оно будет работать лучше со временем. Обнаружение аномалий лучше всего работает с помощью журнала аудита SAP за семь дней или более.
Настройка типов событий с помощью списка отслеживания SAP_Dynamic_Audit_Log_Monitor_Configuration
Вы можете дополнительно настроить типы событий, которые создают слишком много инцидентов, с помощью списка отслеживания SAP_Dynamic_Audit_Log_Monitor_Configuration . Ниже приведено несколько вариантов сокращения числа инцидентов.
| Параметр | Описание |
|---|---|
| Настройка серьезности и отключение нежелательных событий | По умолчанию детерминированные правила и правила, основанные на аномалиях, создают оповещения для событий со средним и высоким уровнем серьезности. Эти уровни серьезности можно задать специально для рабочих и нерабочих сред. Например, можно задать событие действия отладки как высокий уровень серьезности в рабочих системах и отключить эти события в нерабочих системах. |
| Исключение пользователей по ролям SAP или профилям SAP | Microsoft Sentinel для SAP использует профиль авторизации пользователя SAP, включая прямые и косвенные назначения ролей, группы и профили, чтобы вы могли говорить на языке SAP в SIEM. Вы можете настроить событие SAP, чтобы исключить пользователей на основе их ролей и профилей SAP. В списке отслеживания добавьте роли или профили, которые группирует пользователей интерфейса RFC, в столбце RolesTagsToExclude рядом с событием Универсальный доступ к таблице по RFC . Теперь вы будете получать оповещения только для пользователей, у которых отсутствуют эти роли. |
| Исключение пользователей по их тегам SOC | С помощью тегов можно создать собственное группирование, не полагаясь на сложные определения SAP или даже без авторизации SAP. Этот метод полезен для команд SOC, которые хотят создать собственную группу для пользователей SAP. По сути, исключение пользователей по тегам работает как теги имен: в конфигурации можно задать несколько событий с несколькими тегами. Вы не получаете оповещения для пользователя с тегом, связанным с определенным событием. Например, вы не хотите, чтобы определенные учетные записи служб оповещались о доступе к универсальной таблице с помощью событий RFC , но не можете найти роль SAP или профиль SAP, который группирует этих пользователей. В этом случае можно добавить тег GenTableRFCReadOK рядом с соответствующим событием в списке отслеживания, а затем перейти к SAP_User_Config списку отслеживания и назначить пользователям интерфейса тот же тег. |
| Указание порогового значения частоты для типа события и системной роли | Работает как ограничение скорости. Например, можно решить, что события изменения главной записи пользователя активируют оповещения только в том случае, если один и тот же пользователь в рабочей системе наблюдает более 12 действий в час. Если пользователь превышает ограничение в 12 в час (например, 2 события в 10-минутном окне), инициируется инцидент. |
| Детерминизм или аномалии | Если вам известны характеристики события, можно использовать детерминированные возможности. Если вы не знаете, как правильно настроить событие, можно выбрать возможности машинного обучения. |
| Возможности SOAR | Microsoft Sentinel можно использовать для дальнейшей оркестрации, автоматизации и реагирования на инциденты, которые могут применяться к динамическим оповещениям журнала аудита SAP. Узнайте о оркестрации безопасности, автоматизации и реагирования (SOAR). |
Дальнейшие действия
Из этой статьи вы узнали, как отслеживать журнал аудита SAP с помощью встроенных правил аналитики Microsoft Sentinel.