Поделиться через


Решение Microsoft Sentinel для приложений SAP — журнал аудита SAP® -Security и книга начального доступа

В этой статье описывается журнал аудита SAP -Security и книга начального доступа, используемая для мониторинга и отслеживания действий аудита пользователей в системах SAP. Вы можете использовать книгу, чтобы получить представление о действиях аудита пользователей, чтобы повысить безопасность систем SAP и получить быструю видимость подозрительных действий. При необходимости вы можете получить подробные сведения о подозрительных событиях.

Книгу можно использовать либо для текущего мониторинга систем SAP, либо для проверки систем после инцидента безопасности или других подозрительных действий.

Начало работы с книгой

  1. На портале Microsoft Sentinel выберите Книги в меню Управление угрозами.

  2. В коллекции книг перейдите к шаблонам и введите SAP в строке поиска и выберите sap -Security Audit log и Initial Access из результатов.

  3. Выберите Просмотр шаблона, чтобы использовать книгу как есть, или выберите Сохранить, чтобы создать редактируемую копию книги. После создания копии выберите Просмотр сохраненной книги.

    Screenshot of the top of the SAP -Security Audit log and Initial Access workbook.

    Важно!

    Журнал аудита SAP -Security и книга начального доступа размещается рабочей областью, в которой было установлено решение Microsoft Sentinel для приложений SAP®. По умолчанию предполагается, что данные SAP и SOC будут находиться в рабочей области, в которую размещается книга.

    Если данные SOC размещены в другой рабочей области, отличной от рабочей области, в которую размещена книга, обязательно включите подписку для этой рабочей области и выберите рабочую область SOC из рабочей области аудита и действий Azure.

  4. Выберите следующие поля, чтобы отфильтровать данные в соответствии с вашими потребностями:

    • Диапазон времени. От четырех часов до 90 дней.
    • Системные роли. Роли системы SAP, например разработка.
    • Использование системы. Например: SAP GTS.
    • Системы SAP. Можно выбрать все системы, определенную систему или выбрать несколько систем.

    Если вы выбираете системы, которые не настроены в списке наблюдения "Системы SAP", книга отображает ошибку, указывая системы с проблемами. В этом случае настройте список наблюдения для правильного включения этих систем.

Обзор книги

Книга разделена на две вкладки:

  • Отчет об анализе входа. Показывает различные типы данных о сбоях входа. Данные включают аномальные данные, данные Microsoft Entra и многое другое. Данные основаны на списке наблюдения sap systems.
  • Отчет об оповещениях журнала аудита. Показывает различные типы данных о событиях журнала аудита SAP, которые просматривает решение Microsoft Sentinel для приложений SAP®. Данные основаны на списке наблюдения "SAP_Dynamic_Audit_Log_Monitor_Configuration".

Вкладка "Отчет об анализе входа"

Включает области анализа входа и входа в систему.

Анализ входа

Показывает различные типы данных о входе пользователей.

Screenshot of the Logon Analysis area of the SAP Audit workbook.

Область Description Параметры
Уникальные входы пользователей в систему Показывает количество уникальных входов для каждой системы SAP и граф с тенденциями входа в течение выбранного времени для каждой системы. Например: система 012 имеет 1,4-K уникальных попыток входа в систему за последние 14 дней, и в течение этих 14 дней график показывает относительно растущую тенденцию входа.
Тенденция типов входа Отображает тенденцию количества входов в соответствии с типом, например, вход с помощью диалогового окна. Вы можете навести указатель мыши на график, чтобы отобразить количество входов для разных дат.
Сбои входа в систему по сравнению с успехом уникальных пользователей — тенденция Показывает тенденцию успешного и неудачного входа в выбранный период. Вы можете навести указатель мыши на график, чтобы отобразить количество успешных и неудачных входов для разных дат.

Сбои входа — обнаружение аномалий

Области в области обнаружения аномалий — фильтрация шумных неудачных попыток входа отображает данные об ошибке входа для систем SAP и пользователей. Чтобы увидеть только данные, помеченные обнаружением аномалий, выберите Anomalous только рядом с неудачным входом справа.

Screenshot of the sections in the Logon failures area of the SAP Audit workbook that you can filter by anomalous data.

Область Description Конкретные данные Параметры и заметки
Сбой>при входе в систему сбоем входа в систему SAP> Показывает количество уникальных неудачных входов для каждой системы SAP.
SAP и Active Directory лучше вместе В таблице "Аномальные ошибки входа" показаны сочетания данных Microsoft Sentinel и Microsoft Entra. В книге отображаются пользователи в соответствии с риском: пользователи, указывающие на наибольший риск, находятся в верхней части списка, а пользователи с меньшим риском безопасности находятся в нижней части. Для каждого пользователя отображается:
• Временная шкала неудачных попыток входа
• Временная шкала, показывающее, в какой момент произошла аномальная попытка
• Тип аномалии
• Адрес электронной почты пользователя
• Индикатор риска Microsoft Entra
• Количество инцидентов и оповещений в Microsoft Sentinel
• При выборе строки вы увидите список оповещений и инцидентов для этого пользователя в разделе "Инциденты и оповещения" для пользователя. Под этим списком также можно увидеть события риска Microsoft Entra в рамках аудита Azure и рисков входа для пользователя.
• Если данные Microsoft Entra входят в другую рабочую область Log Analytics, убедитесь, что вы выбрали соответствующие подписки и рабочие области в верхней части книги в разделе аудита и действий Azure.
Частота сбоя входа в систему Визуально представляет выбранные системы SAP. • Для каждой системы отображается количество сбоев в выбранном периоде.
• Системы группируются по типу.
• Цвет системы указывает количество неудачных попыток: зеленый указывает несколько подозрительных попыток входа в систему, где красный указывает на более подозрительные попытки входа.
Вы можете выбрать систему, чтобы просмотреть список неудачных входов с подробными сведениями о сбоях.

На этом снимке экрана вы увидите данные, отображаемые при выборе первой строки в таблице ошибок входа Anomalous. Конкретные оповещения и URL-адреса инцидентов отображаются в обзоре инцидентов и оповещений для таблицы пользователей .

Screenshot of data shown when a line is selected in the Anomalous login failures table.

На этом снимке экрана в таблице пользователей отображаются риски аудита и входа Azure с данными о риске входа, связанном с этим пользователем.

Screenshot of audit and sign-in risk data shown when a line is selected in the Anomalous login failures table.

На этом снимке экрана вы увидите частоту сбоев входа для каждой системной области, где выбрана система 84e в группе тестов . Сбой входа в систему для области системы справа отображает события сбоя для этой системы.

Screenshot of the Login failure rate per system area of the SAP Audit workbook.

В области тенденций входа отображаются тенденции и количество неудачных входов, сгруппированных по разным типам данных.

Screenshot of the Logon failures trends area of the SAP Audit workbook.

Область Description
Сбой входа по причине Показывает тенденцию числа сбоев входа в соответствии с причиной сбоя, например неверные данные входа.
Сбой входа по типу Показывает тенденцию числа сбоев входа в соответствии с типом, например, вход активировал фоновое задание или вход был через HTTP.
Сбой входа по методу Показывает тенденцию числа сбоев входа в соответствии с методом, например SNC или билет на вход.

Вкладка "Отчет об оповещениях журнала аудита"

На этой вкладке показаны тенденции серьезности и аудита для каждой системы SAP и пользователя. Все области на этой вкладке отображают данные, помеченные только обнаружением аномалий. Для всех событий нажмите кнопку "Все рядом с неудачным входом " справа.

Screenshot of the Audit Log Alerts area of the SAP Audit workbook.

Область Description Конкретные данные Параметры и заметки
Тенденции серьезности оповещений на идентификатор системы Отображает список систем с графиком средних и высоких тенденций событий серьезности для каждой системы. Например, в системе 012 было много событий с высоким уровнем серьезности в течение всего периода, а также несколько событий средней серьезности с пиком, который показывает более средние события серьезности в середине периода.
Тенденция аудита на пользователя Показывает сочетание данных Microsoft Sentinel и Microsoft Entra. Книга отображает пользователей в соответствии с риском: пользователи, указывающие на наибольший риск, находятся в верхней части списка, и пользователи с меньшим риском безопасности находятся в нижней части. Для каждого пользователя отображается:
• временная шкала событий высокой и средней серьезности
• Адрес электронной почты пользователя
• Индикатор риска Microsoft Entra
• Количество инцидентов и оповещений в Microsoft Sentinel
При выборе строки вы увидите список оповещений и инцидентов для этого пользователя в разделе "Инциденты и оповещения" для пользователя. Под этим списком также можно увидеть события риска Microsoft Entra в рамках аудита Azure и рисков входа для пользователя.
Оценка риска на систему Визуально представляет каждую систему в фигуре ячейки. • Показывает оценку риска для каждой системы.
• Системы группируются по типу.
• Цвет системы указывает на риск: зеленый указывает систему с более низкой оценкой риска, где красный указывает на более высокую оценку риска.
Вы можете выбрать систему, чтобы просмотреть список событий SAP для каждой системы.
События по тактике MITRE ATT&CK® Отображает список событий SAP, сгруппированных по тактике MITRE ATT&CK®, например initial Access или Defense Evasion. Вы можете навести указатель мыши на график, чтобы отобразить количество входов для разных дат.
События по категориям Отображает список тенденций событий SAP, сгруппированных по категориям, например RFC Start или Logon. Вы можете навести указатель мыши на график, чтобы отобразить номер входа для разных дат.
События по группе авторизации Отображает список тенденций событий SAP, сгруппированных по группе авторизации SAP, например USER или SUPER. Вы можете навести указатель мыши на график, чтобы отобразить количество входов для разных дат.
События по типу пользователя Отображает список тенденций событий SAP, сгруппированных по типу пользователя SAP, например Диалоговое окно или система. Вы можете навести указатель мыши на график, чтобы отобразить количество входов для разных дат.

На этом снимке экрана вы увидите данные, отображаемые при выборе первой строки в тенденциях аудита для каждой пользовательской таблицы. Конкретные оповещения и URL-адреса инцидентов отображаются в обзоре инцидентов и оповещений для таблицы пользователей .

Screenshot of data shown when a line is selected in the Audit trends per user table.

На этом снимке экрана вы увидите оценку риска для каждой системной области, где выбрана система cb7 в группе UAT. События SAP для системной области под визуализацией системы показывают событие SAP для этой системы.

Screenshot of the Risk score per system area of the SAP Audit workbook.

На этом снимке экрана вы увидите области с событиями и тенденциями событий, сгруппированных по разным типам данных: тактика MITRE ATT&CK®, группа авторизации SAP и тип пользователя.

Screenshot of the different event data in the SAP Audit workbook.

Дальнейшие действия

Дополнительные сведения см. в разделе: