Решение Microsoft Sentinel для приложений SAP: справочник по содержимому безопасности
В этой статье описывается содержимое системы безопасности, доступное для решения Microsoft Sentinel для SAP.
Внимание
Хотя решение Microsoft Sentinel для приложений SAP находится в общедоступной версии, некоторые компоненты остаются в предварительной версии. В этой статье указаны компоненты, которые находятся в предварительной версии в соответствующих разделах ниже. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
К доступному содержимому системы безопасности относятся встроенные книги и правила аналитики. Можно также добавить связанные с SAP списки отслеживания для использования при поиске, в правилах обнаружения, при охоте на угрозы и в сборнике схем ответов.
Содержимое этой статьи предназначено для вашей команды безопасности .
Встроенные книги
Следующие встроенные книги позволяют визуализировать и отслеживать данные, полученные через соединитель данных SAP. После развертывания решения SAP на вкладке "Шаблоны " можно найти книги SAP.
| Имя книги | Description | Журналы |
|---|---|---|
| SAP — обозреватель журналов аудита | Отображает такие данные, как: — Общее состояние системы, включая вход пользователей с течением времени, события, принятые системой, классы сообщений и идентификаторы, а также программы ABAP выполняются -Серьезность событий, происходящих в системе — события проверки подлинности и авторизации, происходящие в системе |
Использует данные из следующего журнала: ABAPAuditLog_CL |
| Элементы управления аудитом SAP | Помогает проверить элементы управления безопасностью среды SAP на соответствие выбранной платформе управления с помощью средств для выполнения следующих действий: — Назначение правил аналитики в вашей среде определенным элементам управления безопасностью и семействам элементов управления — Отслеживайте и классифицируйте инциденты, созданные правилами аналитики на основе решений SAP — Отчет о соответствии |
Использует данные из следующих таблиц: - SecurityAlert- SecurityIncident |
Дополнительные сведения см. в руководстве по визуализации и мониторингу данных и развертыванию решения Microsoft Sentinel для приложений SAP.
Встроенные правила аналитики
В этом разделе описывается выбор встроенных правил аналитики, предоставляемых вместе с решением Microsoft Sentinel для приложений SAP. Для последних обновлений проверьте центр содержимого Microsoft Sentinel для новых и обновленных правил.
Мониторинг конфигурации статических параметров безопасности SAP (предварительная версия)
Чтобы защитить систему SAP, SAP определила параметры, связанные с безопасностью, которые необходимо отслеживать для изменений. С помощью правила "SAP - (предварительная версия) Конфиденциальный статический параметр изменен" решение Microsoft Sentinel для приложений SAP отслеживает более 52 статических параметров безопасности в системе SAP, которые встроены в Microsoft Sentinel.
Примечание.
Чтобы решение Microsoft Sentinel для приложений SAP успешно отслеживало параметры безопасности SAP, решение должно успешно отслеживать таблицу SAP PAHI через регулярные интервалы. Дополнительные сведения см. в статье "Проверка того, что таблица PAHI обновляется через регулярные интервалы".
Чтобы понять изменения параметров в системе, решение Microsoft Sentinel для приложений SAP использует таблицу журнала параметров, которая записывает изменения в системные параметры каждый час.
Параметры также отражаются в списке наблюдения SAPSystemParameters. Этот список наблюдения позволяет пользователям добавлять новые параметры, отключать существующие параметры и изменять значения и серьезность для каждого параметра и роли системы в рабочих или непроизводственных средах.
При изменении одного из этих параметров Microsoft Sentinel проверяет, связано ли изменение с безопасностью и если значение задано в соответствии с рекомендуемыми значениями. Если изменение подозревается за пределами безопасной зоны, Microsoft Sentinel создает инцидент с подробными сведениями об изменении и определяет, кто сделал это изменение.
Просмотрите список параметров , отслеживаемых этим правилом.
Мониторинг журнала аудита SAP
Многие правила аналитики в решении Microsoft Sentinel для приложений SAP используют данные журнала аудита SAP. Некоторые правила аналитики ищут определенные события в журнале, а другие сопоставляют признаки из нескольких журналов для создания оповещений с высокой точностью и инцидентов.
Используйте следующие правила аналитики для отслеживания всех событий журнала аудита в системе SAP или активации оповещений только при обнаружении аномалий:
| Имя правила | Description |
|---|---|
| SAP — отсутствует конфигурация в мониторе журнала аудита динамической безопасности | По умолчанию выполняется ежедневно, чтобы предоставить рекомендации по настройке модуля журнала аудита SAP. Используйте шаблон правила для создания и настройки правила для рабочей области. |
| SAP — монитор журнала динамического детерминированного аудита (предварительная версия) | По умолчанию выполняется каждые 10 минут и фокусируется на событиях журнала аудита SAP, помеченных как детерминированные. Используйте шаблон правила для создания и настройки правила для рабочей области, например для более низкой ложноположительный коэффициент. Для этого правила требуются детерминированные пороговые значения оповещений и правила исключения пользователей. |
| SAP — оповещения монитора журнала аудита на основе динамических аномалий (предварительная версия) | По умолчанию выполняется почасово и фокусируется на событиях SAP, помеченных как аномалииOnly, оповещения о событиях журнала аудита SAP при обнаружении аномалий. Это правило применяет дополнительные алгоритмы машинного обучения, чтобы отфильтровать фоновый шум неконтролируемым образом. |
По умолчанию большинство типов событий или идентификаторы сообщений SAP в журнале аудита SAP отправляются в правило аналитики аналитики мониторов журналов аудита на основе аномалий (предварительная версия), а более простое определение типов событий отправляются в правило аналитики динамических детерминированных динамических детерминированных журналов аудита (предварительная версия). Этот параметр вместе с другими связанными параметрами можно дополнительно настроить в соответствии с любыми системными условиями.
Правила мониторинга журналов аудита SAP предоставляются в составе содержимого microsoft Sentinel для безопасности решения SAP и позволяют более точно настроить их с помощью SAP_Dynamic_Audit_Log_Monitor_Configuration и списков наблюдения SAP_User_Config.
Например, в следующей таблице приведены несколько примеров использования списка отслеживания SAP_Dynamic_Audit_Log_Monitor_Configuration для настройки типов событий, которые создают инциденты, уменьшая количество созданных инцидентов.
| Вариант | Описание |
|---|---|
| Установка серьезности и отключение нежелательных событий | По умолчанию детерминированные правила и правила, основанные на аномалиях, создают оповещения для событий, помеченных средним и высоким уровнем серьезности. Может потребоваться настроить серьезность отдельно рабочих и непроизводственных сред. Например, можно задать событие действия отладки как высокий уровень серьезности в производственных системах и отключить те же события полностью в непроизводственных системах. |
| Исключение пользователей с помощью ролей SAP или профилей SAP | Microsoft Sentinel для SAP использует профиль авторизации пользователя SAP, включая прямые и косвенные назначения ролей, группы и профили, чтобы вы могли говорить на языке SAP в SIEM. Может потребоваться настроить событие SAP, чтобы исключить пользователей на основе их ролей и профилей SAP. В списке наблюдения добавьте роли или профили, которые группирует пользователей интерфейса RFC в столбце RoleTagsToExclude рядом с универсальным доступом к таблице по событию RFC . Эта конфигурация активирует оповещения только для пользователей, которые отсутствуют в этих ролях. |
| Исключение пользователей по тегам SOC | Используйте теги для создания собственной группировки, не опираясь на сложные определения SAP или даже без авторизации SAP. Этот метод полезен для команд SOC, которые хотят создать собственную группирование для пользователей SAP. Например, если вы не хотите, чтобы определенные учетные записи службы были оповещены для доступа к универсальной таблице событиями RFC , но не удается найти роль SAP или профиль SAP, который группирует этих пользователей, используйте теги следующим образом: 1. Добавьте тег GenTableRFCReadOK рядом с соответствующим событием в списке наблюдения. 2. Перейдите в список отслеживания SAP_User_Config и назначьте пользователям интерфейса тот же тег. |
| Указание порогового значения частоты для каждого типа события и роли системы | Работает как ограничение скорости. Например, можно настроить события изменения главной записи пользователя, чтобы активировать оповещения только в том случае, если в рабочей системе наблюдается более 12 действий в час. Если пользователь превышает ограничение на 12 в час( например, 2 события в 10-минутном окне), активируется инцидент. |
| Детерминизм или аномалии | Если вы знаете характеристики события, используйте детерминированные возможности. Если вы не знаете, как правильно настроить событие, разрешите возможности машинного обучения начать работу, а затем внесите последующие обновления по мере необходимости. |
| Возможности SOAR | Используйте Microsoft Sentinel для дальнейшего оркестрации, автоматизации и реагирования на инциденты, созданные динамическими оповещениями журнала аудита SAP. Дополнительные сведения см. в разделе автоматизации в Microsoft Sentinel: оркестрация безопасности, автоматизация и ответ (SOAR). |
Дополнительные сведения см. в разделе "Доступные списки наблюдения" и Microsoft Sentinel для SAP News — функция динамического монитора журнала аудита безопасности SAP теперь доступна! (блог).
Первоначальный доступ
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — вход из непредвиденной сети | Определяет вход из непредвиденной сети. Поддержка сетей в списке отслеживания SAP — сети. |
Войдите в серверную систему с IP-адреса, который не назначен одной из сетей. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ |
| SAP — атака SPNego | Определяет атаку воспроизведения SPNego. | Источники данных: SAPcon — журнал аудита | Влияние, боковое движение |
| SAP — попытка входа через диалоговое окно от имени привилегированного пользователя | Определяет попытки входа в диалоговое окно с типом AUM привилегированными пользователями в системе SAP. Дополнительные сведения см. в разделе SAPUsersGetPrivileged. | Попытка входа с одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени. Источники данных: SAPcon — журнал аудита |
Влияние, боковое движение |
| SAP — атаки методом подбора | Определяет атаки методом подбора в системе SAP с использованием входов RFC | Попытка войти из одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени с помощью RFC Источники данных: SAPcon — журнал аудита |
Доступ к четным данным |
| SAP — несколько входов с одного IP-адреса | Определяет вход нескольких пользователей с одного IP-адреса в течение запланированного интервала времени. Вариант использования: постоянное хранение |
Вход нескольких пользователей с одного IP-адреса. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ |
| SAP — множественные входы по пользователю | Определяет входы одного и того же пользователя с нескольких терминалов в течение запланированного интервала времени. Доступно только через метод Audit SAL для SAP версий 7.5 и выше. |
Вход одного и того же пользователя с использованием разных IP-адресов. Источники данных: SAPcon — журнал аудита |
Предварительная атака, доступ к учетным данным, начальный доступ, коллекция Вариант использования: постоянное хранение |
| SAP — информационное правило — жизненный цикл — в системе были реализованы примечания SAP | Определяет реализацию примечания SAP в системе. | Реализация примечания SAP с помощью SNOTE/TCI. Источники данных: SAPcon — запросы на изменение |
- |
| SAP — (предварительная версия) AS JAVA — конфиденциальный привилегированный пользователь, вошедшего в систему | Определяет вход из непредвиденной сети. Поддержка привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи. |
Войдите в серверную систему с помощью привилегированных пользователей. Источники данных: SAPJAVAFilesLog |
Первоначальный доступ |
| SAP — (предварительная версия) AS JAVA — вход из непредвиденной сети | Определяет входы из непредвиденной сети. Обслуживание привилегированных пользователей в списке наблюдения за сетями SAP . |
Войдите в серверную систему с IP-адреса, который не назначен одной из сетей в списке наблюдения sap - Networks Источники данных: SAPJAVAFilesLog |
Первоначальный доступ, Оборона Evasion |
Кража данных
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — FTP для неавторизованных серверов | Определяет FTP-подключение для неавторизованного сервера. | Создание нового FTP-подключения, например с помощью модуля функции FTP_CONNECT. Источники данных: SAPcon — журнал аудита |
Обнаружение, начальный доступ, управление и контроль |
| SAP — небезопасные конфигурации FTP-серверов | Определяет небезопасные конфигурации FTP-серверов, например, если список разрешений FTP пуст или содержит заполнители. | Не сохраняйте или не сохраняйте значения, содержащие заполнители в SAPFTP_SERVERS таблице, используя SAPFTP_SERVERS_V представление обслуживания. (SM30) Источники данных: SAPcon — журнал аудита |
Начальный доступ, управление и контроль |
| SAP — скачивание нескольких файлов | Определяет скачивания нескольких файлов для пользователя в пределах определенного интервала времени. | Скачивание нескольких файлов с помощью SAPGui для Excel, списков и т. д. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — выполнение нескольких очередей | Определяет выполнение пользователем нескольких очередей в пределах определенного интервала времени. | Создание и запуск пользователем нескольких заданий очередей любого типа. (SP01) Источники данных: SAPcon — журнал очереди, SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — выходные данные выполнения нескольких очередей | Определяет выполнение пользователем нескольких очередей в пределах определенного интервала времени. | Создание и запуск пользователем нескольких заданий очередей любого типа. (SP01) Источники данных: SAPcon — журнал вывода очереди, SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — прямой доступ к конфиденциальным таблицам с помощью входа RFC | Определяет доступ к универсальной таблице по входу RFC. Поддержка таблиц в списке отслеживания SAP — конфиденциальные таблицы. Относится только к рабочим системам. |
Открытие содержимого таблицы с помощью SE11/SE16/SE16N. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — перехват очереди | Определяет пользователя, выводящего запрос очереди, созданный кем-то другим. | Создание запроса очереди с помощью одного пользователя и затем его вывод с помощью другого пользователя. Источники данных: SAPcon — журнал очереди, SAPcon — журнал вывода очереди, SAPcon — журнал аудита |
Сбор, кража данных, управление и контроль |
| SAP — динамическое назначение RFC | Определяет выполнение RFC с использованием динамических назначений. Вариант использования: попытки обойти механизмы защиты SAP |
Выполнение отчета ABAP, в котором используются динамические назначения (cl_dynamic_destination). Например, DEMO_RFC_DYNAMIC_DEST. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных |
| SAP — прямой доступ к конфиденциальным таблицам с помощью диалогового окна входа | Определяет доступ к универсальной таблице через диалоговое окно входа. | Открытие содержимого таблиц с помощью SE11/SE16/SE16N. Источники данных: SAPcon — журнал аудита |
Обнаружение |
| SAP - (предварительная версия) файл, скачанный с вредоносного IP-адреса | Определяет скачивание файла из системы SAP с помощью IP-адреса, известного как вредоносный. Вредоносные IP-адреса получаются из служб аналитики угроз. | Скачайте файл из вредоносного IP-адреса. Источники данных: журнал аудита безопасности SAP, аналитика угроз |
Кража |
| SAP — (предварительная версия) Экспорт данных из рабочей системы с помощью транспорта | Определяет экспорт данных из рабочей системы с помощью транспорта. Транспорт используется в системах разработки и похож на запросы на вытягивание. Это правило генерации оповещений активирует инциденты со средней серьезностью, когда транспорт, содержащий данные из любой таблицы, освобождается из рабочей системы. Правило создает инцидент с высокой серьезностью при экспорте данных из конфиденциальной таблицы. | Выпуск транспорта из рабочей системы. Источники данных: журнал SAP CR, SAP — конфиденциальные таблицы |
Кража |
| SAP — (предварительная версия) Конфиденциальные данные, сохраненные на USB-диске | Определяет экспорт данных SAP через файлы. Правило проверяет наличие данных, сохраненных в недавно подключенном USB-накопителе, близком к выполнению конфиденциальной транзакции, конфиденциальной программе или прямому доступу к конфиденциальной таблице. | Экспортируйте данные SAP через файлы и сохраните его на USB-диске. Источники данных: журнал аудита безопасности SAP, DeviceFileEvents (Microsoft Defender для конечной точки), SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража |
| SAP — (предварительная версия) Печать потенциально конфиденциальных данных | Определяет запрос или фактическую печать потенциально конфиденциальных данных. Данные считаются конфиденциальными, если пользователь получает данные в рамках конфиденциальной транзакции, выполнения конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Печать или запрос на печать конфиденциальных данных. Источники данных: журнал аудита безопасности SAP, журналы sap Spool, SAP — конфиденциальные таблицы, SAP — конфиденциальные программы |
Кража |
| SAP — (предварительная версия) большой объем потенциально конфиденциальных данных, экспортированных | Определяет экспорт больших объемов данных через файлы в близости от выполнения конфиденциальной транзакции, конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Экспорт больших объемов данных с помощью файлов. Источники данных: журнал аудита безопасности SAP, SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража |
Настойчивости
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — активация или деактивация службы ICF | Определяет активацию или деактивацию служб ICF. | Активация службы с помощью SICF. Источники данных: SAPcon — журнал данных таблицы |
Управление и контроль, боковое движение, сохраняемость |
| SAP — модуль функции протестирован | Определяет тестирование модуля функции. | Тестирование модуля функции с помощью SE37 / SE80. Источники данных: SAPcon — журнал аудита |
Сбор, обход защиты, боковое движение |
| SAP — HANA DB (предварительная версия) — действия администратора пользователей | Определяет действия по администрированию пользователей. | Создание, обновление или удаление пользователя базы данных. Источники данных: агент Linux — Syslog* |
Повышение привилегий |
| SAP — новые обработчики служб ICF | Определяет создание обработчиков служб ICF. | Назначение нового обработчика службе с помощью SICF. Источники данных: SAPcon — журнал аудита |
Управление и контроль, боковое движение, сохраняемость |
| SAP — новые службы ICF | Определяет создание служб ICF. | Создание службы с помощью SICF. Источники данных: SAPcon — журнал данных таблицы |
Управление и контроль, боковое движение, сохраняемость |
| SAP — выполнение устаревшего или небезопасного модуля функции | Определяет выполнение модуля устаревшей или небезопасной функции ABAP. Поддержка устаревших функций в списке отслеживания SAP — модули устаревших функций. Обязательно активируйте изменения ведения журнала таблиц для таблицы EUFUNC в серверной части. (SE13)Относится только к рабочим системам. |
Запуск модуля устаревшей или небезопасной функции напрямую с помощью SE37. Источники данных: SAPcon — журнал данных таблицы |
Обнаружение, управление и контроль |
| SAP — выполнение устаревшей или небезопасной программы | Определяет выполнение устаревшей или небезопасной программы ABAP. Поддерживайте устаревшие программы в списке отслеживания SAP — устаревшие программы. Относится только к рабочим системам. |
Запуск программы напрямую с помощью SE38/SA38/SE80 или с помощью фонового задания. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и контроль |
| SAP — несколько смен паролей пользователем | Определяет несколько смен паролей пользователем. | Изменение пароля пользователя Источники данных: SAPcon — журнал аудита |
Доступ к четным данным |
| SAP — (предварительная версия) AS JAVA — пользователь создает и использует новый пользователь | Определяет создание или манипуляцию пользователей администраторами в среде SAP AS Java. | Войдите в серверную систему с помощью пользователей, созданных или управляемых пользователей. Источники данных: SAPJAVAFilesLog |
Сохраняемость |
Попытки обойти механизмы безопасности SAP
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — изменение конфигурации клиента | Определяет изменения конфигурации клиента, такие как роль клиента, или режим записи изменений. | Изменение конфигурации клиента с помощью кода транзакции SCC4. Источники данных: SAPcon — журнал аудита |
Обход защиты, кража данных, сохраняемость |
| SAP — изменились данные во время действия отладки | Определяет изменения для данных среды выполнения во время действия отладки. Вариант использования: постоянное хранение |
1. Активация отладки ("/h"). 2. Выбор поля для изменения и обновление его значения. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое движение |
| SAP — деактивация журнала аудита безопасности | Определяет деактивацию журнала аудита безопасности, | Отключение журнала аудита безопасности с помощью SM19/RSAU_CONFIG. Источники данных: SAPcon — журнал аудита |
Кража данных, обход защиты, сохраняемость |
| SAP — выполнение конфиденциальной программы ABAP | Определяет прямое выполнение конфиденциальной программы ABAP. Поддержка программ ABAP в списке отслеживания SAP — конфиденциальные программы ABAP. |
Запуск программы напрямую с помощью SE38/SA38/SE80. Источники данных: SAPcon — журнал аудита |
Кража данных, боковое движение, выполнение |
| SAP — выполнение кода конфиденциальной транзакции | Определяет выполнение кода конфиденциальной транзакции. Поддержка кодов транзакций в списке отслеживания SAP — коды конфиденциальных транзакций. |
Выполнение кода конфиденциальной транзакции. Источники данных: SAPcon — журнал аудита |
Обнаружение, выполнение |
| SAP — выполнение модуля конфиденциальной функции | Определяет выполнение модуля конфиденциальной функции ABAP. Вариант использования: постоянное хранение Относится только к рабочим системам. Поддержка конфиденциальных функций в списке отслеживания SAP — модули конфиденциальных функций и обязательная активация изменений ведения журнала таблиц в серверной части для таблицы EUFUNC. (SE13) |
Запуск модуля конфиденциальной функции напрямую с помощью SE37. Источники данных: SAPcon — журнал данных таблицы |
Обнаружение, управление и контроль |
| SAP — HANA DB (предварительная версия) — изменения политики журнала аудита | Определяет изменения в политиках журнала аудита HANA DB. | Создание политики или обновление существующей политики аудита в определениях безопасности. Источники данных: агент Linux — Syslog |
Боковое движение, обход защиты, сохраняемость |
| SAP — HANA DB (предварительная версия) — отключение журнала аудита | Определяет отключение журнала аудита HANA DB. | Отключение журнала аудита в определении безопасности HANA DB. Источники данных: агент Linux — Syslog |
Сохраняемость, боковое движение, обход защиты |
| SAP — несанкционированное удаленное выполнение модуля конфиденциальной функции | Обнаруживает несанкционированные выполнения конфиденциальных виртуальных машин, сравнивая действие с профилем авторизации пользователя, игнорируя недавно измененные авторизации. Поддержка модулей функций в списке отслеживания SAP — модули конфиденциальных функций. |
Запуск модуля функции с помощью RFC. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое движение, обнаружение |
| SAP — изменение конфигурации системы | Определяет изменения конфигурации системы. | Адаптация параметров изменения системы или модификации программного компонента с помощью кода транзакции SE06.Источники данных: SAPcon — журнал аудита |
Кража данных, обход защиты, сохраняемость |
| SAP — действия отладки | Определяет все действия, связанные с отладкой. Вариант использования: постоянное хранение |
Активация отладки ("/h") в системе, отладка активного процесса, добавление точки останова в исходный код и т. д. Источники данных: SAPcon — журнал аудита |
Обнаружение |
| SAP — изменение конфигурации журнала аудита безопасности | Определяет изменения в конфигурации журнала аудита безопасности | Изменение конфигурации журнала аудита безопасности с помощью SM19/ RSAU_CONFIG, например фильтры, состояние, режим записи и т. д. Источники данных: SAPcon — журнал аудита |
Сохраняемость, кража данных, обход защиты |
| SAP — транзакция разблокирована | Определяет разблокировку транзакции. | Разблокировка кода транзакции с помощью SM01/SM01_DEV/SM01_CUS. Источники данных: SAPcon — журнал аудита |
Сохраняемость, выполнение |
| SAP — динамическая программа ABAP | Определяет выполнение динамического программирования ABAP. Например, при динамическом создании, изменении или удалении кода ABAP. Поддержка исключенных кодов транзакций в списке отслеживания SAP — транзакции для создания ABAP. |
Создание отчета ABAP, использующего команды генерирования программы ABAP, такие как INSERT REPORT и последующее выполнение отчета. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и контроль, влияние |
Подозрительные операции с привилегиями
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — изменение в конфиденциальном привилегированном пользователе | Определяет изменения привилегированных пользователей с конфиденциальными данными. Поддержка привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи. |
Изменение сведений о пользователях и авторизаций с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным |
| SAP — HANA DB (предварительная версия) — назначение авторизаций администратора | Определяет права или назначение роли администратора. | Назначение пользователя с любой ролью или правами администратора. Источники данных: агент Linux — Syslog |
Повышение привилегий |
| SAP — выполнен вход конфиденциального привилегированного пользователя | Определяет вход конфиденциального привилегированного пользователя. Поддержка привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи. |
Вход в серверную систему с помощью SAP* или другого привилегированного пользователя. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ, доступ к учетным данным |
| SAP — конфиденциальный привилегированный пользователь вносит изменения в других пользователей | Определяет изменения конфиденциальных, привилегированных пользователей в других пользователях. | Изменение сведений о пользователях и авторизаций с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным |
| SAP — изменение паролей и вход конфиденциальных пользователей | Определяет изменения паролей для привилегированных пользователей. | Изменение пароля привилегированного пользователя и выполнение входа в систему. Поддержка привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи. Источники данных: SAPcon — журнал аудита |
Влияние, управление и контроль, повышение привилегий |
| SAP — пользователь создает и использует нового пользователя | Определяет пользователя, создающего и использующего других пользователей. Вариант использования: постоянное хранение |
Создание пользователя с помощью SU01 и выполнение входа с использованием только что созданного пользователя и того же IP-адреса. Источники данных: SAPcon — журнал аудита |
Обнаружение, предварительная атака, начальный доступ |
| SAP — пользователь разблокирует и использует других пользователей | Определяет пользователя, который разблокируется и используется другими пользователями. Вариант использования: постоянное хранение |
Разблокировка пользователя с помощью SU01 и выполнение входа с использованием разблокированного пользователя и того же IP-адреса. Источники данных: SAPcon — журнал аудита, SAPcon — журнал изменений документов |
Обнаружение, предварительная атака, начальный доступ, боковое перемещение |
| SAP — назначение конфиденциального профиля | Определяет новые назначения конфиденциального профиля пользователю. Поддержка конфиденциальных профилей в списке отслеживания SAP — конфиденциальные профили. |
Назначение профиля пользователю с помощью SU01. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — назначение конфиденциальной роли | Определяет новые назначения конфиденциальной роли пользователю. Поддержка конфиденциальных ролей в списке отслеживания SAP — конфиденциальные роли. |
Назначение роли пользователю с помощью SU01 / PFCG. Источники данных: SAPcon — журнал изменений документов, журнал аудита |
Повышение привилегий |
| SAP — назначение критических авторизаций (предварительная версия) — новое значение авторизации | Определяет назначение значения объекта критической авторизации новому пользователю. Поддержка объектов критической авторизации в списке отслеживания SAP — объекты критической авторизации. |
Назначение нового объекта авторизации или обновление существующего в роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — назначение критических авторизаций — назначение нового пользователя | Определяет назначение значения объекта критической авторизации новому пользователю. Поддержка объектов критической авторизации в списке отслеживания SAP — объекты критической авторизации. |
Назначение новому пользователю роли, содержащей значения критической авторизации, с помощью SU01/PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — изменения конфиденциальных ролей | Определяет изменения в конфиденциальных ролях. Поддержка конфиденциальных ролей в списке отслеживания SAP — конфиденциальные роли. |
Изменение роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов, SAPcon — журнал аудита |
Влияние, повышение привилегий, сохраняемость |
Доступные списки отслеживания
В следующей таблице перечислены списки наблюдения, доступные для решения Microsoft Sentinel для приложений SAP, а также поля в каждом списке наблюдения.
Эти списки наблюдения предоставляют конфигурацию решения Microsoft Sentinel для приложений SAP. Списки к просмотру для SAP доступны в репозитории Microsoft Sentinel на GitHub.
| Имя списка отслеживания | Описание и поля |
|---|---|
| SAP — объекты критических авторизаций | Объекты критических авторизаций, в которых следует управлять назначениями. - AuthorizationObject: объект авторизации SAP, например S_DEVELOP, S_TCODE или Table TOBJ - AuthorizationField: поле авторизации SAP, например OBJTYP или TCD - AuthorizationValue: значение поля авторизации SAP, например DEBUG - ActivityField: поле действия SAP. В большинстве случаев это значение равно ACTVT. Для объектов авторизации без поля Действия или только с полем Действия, имеющим значение NOT_IN_USE. - Действие: действие SAP в соответствии с объектом авторизации, например 01: создание; 02: изменение; 03: отображение и т. д. - Описание: понятное описание объекта критической авторизации. |
| SAP — исключенные сети | Для внутреннего обслуживания исключенных сетей, например для пропуска веб-диспетчеров, серверов терминалов и т. д. -Сеть: сетевой IP-адрес или диапазон, например 111.68.128.0/17. -Описание: понятное описание сети. |
| SAP — исключенные пользователи | Системные пользователи, которые вошли в систему и должны игнорироваться. Например, оповещения о нескольких входах одного пользователя. - Пользователь: SAP User -Описание: понятное описание пользователя. |
| SAP — сети | Внутренние и обслуживающие сети для идентификации неавторизованных входов. - Сеть: сетевой IP-адрес или диапазон, например 111.68.128.0/17. - Описание: понятное описание сети. |
| SAP — привилегированные пользователи | Привилегированные пользователи, к которым применены дополнительные ограничения. - Пользователь — пользователь ABAP, например DDIC или SAP. - Описание: понятное описание пользователя. |
| SAP — конфиденциальные программы ABAP | Конфиденциальные программы ABAP (отчеты), требующие управления выполнением. - ABAPProgram: программа или отчет ABAP, например RSPFLDOC. - Описание: понятное описание программы. |
| SAP — модуль конфиденциальной функции | Внутренние и обслуживающие сети для идентификации неавторизованных входов. - FunctionModule: модуль функции ABAP, например RSAU_CLEAR_AUDIT_LOG. - Описание: понятное описание модуля. |
| SAP — конфиденциальные профили | Конфиденциальные профили, требующие управления назначениями. - Профиль: профиль авторизации SAP, например SAP_ALL или SAP_NEW. - Описание: понятное описание профиля. |
| SAP — конфиденциальные таблицы | Конфиденциальные таблицы, требующие управления доступом. - Таблица: таблица словаря ABAP, например USR02 или PA008. - Описание: понятное описание таблицы. |
| SAP — конфиденциальные роли | Конфиденциальные роли, требующие управления назначениями. - Роль: роль авторизации SAP, например SAP_BC_BASIS_ADMIN. - Описание: понятное описание роли. |
| SAP — конфиденциальные транзакции | Конфиденциальные транзакции, требующие управления выполнением. - TransactionCode: код транзакции SAP, например RZ11. - Описание: понятное описание кода. |
| SAP — системы | Описывает ландшафт систем SAP в соответствии с ролью, использованием и конфигурацией. - SystemID: идентификатор системы SAP (SYSID) - SystemRole: роль системы SAP, одно из следующих значений: Sandbox, Development, Quality Assurance, Training, Production. - SystemUsage: использование системы SAP, одно из следующих значений: ERP, BW, Solman, Gateway, Enterprise Portal. - InterfaceAttributes: необязательный динамический параметр для использования в сборниках схем. |
| SAPSystemParameters | Параметры для отслеживания подозрительных изменений конфигурации. Этот список наблюдения предварительно заполнен рекомендуемыми значениями (в соответствии с рекомендациями SAP), и вы можете расширить список наблюдения, чтобы включить дополнительные параметры. Если вы не хотите получать оповещения для параметра, задайте для EnableAlerts falseпараметра значение .- ParameterName: имя параметра. - Примечание. Описание стандартного параметра SAP. - EnableAlerts: определяет, следует ли включить оповещения для этого параметра. Значения: true и false.- Параметр: определяет, в каком случае следует активировать оповещение: если значение параметра больше или равно ( GE), меньше или равно () или равно (LEEQ)Например, если login/fails_to_user_lock для параметра SAP задано LE значение (меньше или равно) и значение 5, когда Microsoft Sentinel обнаруживает изменение этого конкретного параметра, оно сравнивает только что сообщаемое значение и ожидаемое значение. Если новое значение равно 4, Microsoft Sentinel не активирует оповещение. Если новое значение равно 6, Microsoft Sentinel активирует оповещение.- ProductionSeverity: серьезность инцидентов для производственных систем. - ProductionValues: допустимые значения для рабочих систем. - NonProdSeverity: серьезность инцидента для непроизводственных систем. - NonProdValues: допустимые значения для непроизводственных систем. |
| SAP — исключенные пользователи | Системные пользователи, которые выполнили вход и должны быть проигнорированы, например для оповещения о нескольких входах пользователя. - Пользователь: SAP User - Описание: понятное описание пользователя. |
| SAP — исключенные сети | Поддержка внутренних, исключенных сетей для пропуска веб-диспетчеров, серверов терминалов и т. д. - Сеть: сетевой IP-адрес или диапазон, например 111.68.128.0/17. - Описание: понятное описание сети. |
| SAP — модули устаревших функций | Модули устаревших функций, требующие управления выполнением. - FunctionModule: модуль функции ABAP, например TH_SAPREL - Описание: понятное описание модуля функции. |
| SAP — устаревшие программы | Устаревшие программы ABAP (отчеты), требующие управления выполнением. - ABAPProgram:ABAP Program, например TH_ RSPFLDOC - Описание: понятное описание программы. |
| SAP — транзакции для создания программ ABAP | Транзакции для создания программ ABAP, требующих управления выполнением - TransactionCode: код транзакции, например SE11. - Описание: понятное описание кода транзакции. |
| SAP — FTP-серверы | FTP-серверы для идентификации неавторизованных подключений. - Клиент: например, 100. - FTP_Server_Name: имя FTP-сервера, например http://contoso.com/. -FTP_Server_Port: порт FTP-сервера, например 22. - Описание: понятное описание FTP-сервера. |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Настройте оповещения журнала аудита SAP, назначив каждому идентификатору сообщения уровень серьезности по мере необходимости для каждой системной роли (рабочей, непроизводной). Этот список наблюдения содержит все доступные идентификаторы сообщений журнала аудита SAP уровня "Стандартный". Список наблюдения можно расширить, чтобы содержать дополнительные идентификаторы сообщений, которые можно создать самостоятельно с помощью улучшений ABAP в своих системах SAP NetWeaver. Этот список наблюдения также позволяет настроить назначенную команду для обработки каждого из типов событий и исключения пользователей ролями SAP, профилями SAP или тегами из списка наблюдения SAP_User_Config . Этот список наблюдения является одним из основных компонентов, используемых для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. Дополнительные сведения см. в разделе "Мониторинг журнала аудита SAP". - MessageID: идентификатор сообщения SAP или тип события, например AUD (изменения основной записи пользователя) или AUB (изменения авторизации). - DetailedDescription: описание включено markdown, отображаемое на панели инцидентов. - ProductionSeverity — требуемый уровень серьезности для создания инцидента для рабочих систем High, Medium. Можно задать как Disabled. - NonProdSeverity: требуемый уровень серьезности для создания инцидента для непроизводственных систем High. Medium Можно задать как Disabled. - ProductionThreshold Число событий в час, которые следует рассматривать как подозрительные для производственных систем 60. - NonProdThreshold Число событий в час, которые следует рассматривать как подозрительные для непроизводственных систем 10. - RolesTagsToExclude — это поле принимает имя роли SAP, имена профилей SAP или теги из списка отслеживания SAP_User_Config. Затем они используются для исключения связанных пользователей из определенных типов событий. См. параметры тегов ролей в конце этого списка. - RuleType: используйте Deterministic для отправки типа события в правило SAP — динамический детерминированный монитор журнала аудита или AnomaliesOnly для этого события, охватываемого правилом SAP — динамические оповещения монитора журналов аудита (предварительная версия). Дополнительные сведения см. в разделе "Мониторинг журнала аудита SAP". - TeamsChannelID: необязательный динамический параметр для использования в сборниках схем. - DestinationEmail: необязательный динамический параметр для использования в сборниках схем. Для поля RoleTagsToExclude: — Если вы перечисляете роли SAP или профили SAP, это исключает любого пользователя с перечисленными ролями или профилями из этих типов событий для той же системы SAP. Например, если определить BASIC_BO_USERS роль ABAP для связанных типов событий RFC, пользователи бизнес-объектов не будут запускать инциденты при выполнении массовых вызовов RFC.— Добавление тегов к типу события аналогично указанию ролей или профилей SAP, но теги могут быть созданы в рабочей области, поэтому команды SOC могут исключить пользователей по действиям без зависимости от команды SAP BASIS. Например, идентификаторы сообщений аудита (изменения авторизации) и AUD (изменения главной записи пользователя) назначаются тегу MassiveAuthChanges . Пользователи, назначенные этому тегу, исключены из проверок этих действий. При выполнении функции рабочей области SAPAuditLogConfigRecommend создается список рекомендуемых тегов, назначенных пользователям, например Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Позволяет точно настроить оповещения, исключив /включая пользователей в определенных контекстах, а также используется для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. Дополнительные сведения см. в разделе "Мониторинг журнала аудита SAP". - SAPUser: пользователь SAP - Tags — теги используются для идентификации пользователей в определенных действиях. Например, добавление тегов ["GenericTablebyRFCOK"] для пользователя SENTINEL_SRV не позволит создавать связанные с RFC инциденты для этого конкретного пользователя. Другие идентификаторы пользователей Active Directory — идентификатор пользователя AD — локальный идентификатор пользователя — Имя субъекта-пользователя. |
Доступные сборники схем
Сборники схем, предоставляемые решением Microsoft Sentinel для приложений SAP, помогают автоматизировать рабочие нагрузки реагирования на инциденты SAP, повышая эффективность и эффективность операций безопасности.
В этом разделе описаны встроенные сборники схем аналитики, предоставляемые вместе с решением Microsoft Sentinel для приложений SAP.
| Имя сборника схем | Параметры | Связи |
|---|---|---|
| Ответ на инциденты SAP — блокировка пользователя из Teams — базовый | — SAP-SOAP-User-Password — SAP-SOAP-Username — SOAPApiBasePath — DefaultEmail — TeamsChannel |
— Microsoft Sentinel; — Microsoft Teams; |
| Ответ на инциденты SAP— блокировка пользователя из Teams — дополнительно | — SAP-SOAP-KeyVault-Credential-Name — DefaultAdminEmail — TeamsChannel |
— Microsoft Sentinel; — Журналы Azure Monitor — Office 365 Outlook — Идентификатор Microsoft Entra — Azure Key Vault; — Microsoft Teams; |
| Ответ на инциденты SAP — повторное ведение журнала аудита после деактивации | — SAP-SOAP-KeyVault-Credential-Name — DefaultAdminEmail — TeamsChannel |
— Microsoft Sentinel; — Azure Key Vault; — Журналы Azure Monitor — Microsoft Teams; |
В следующих разделах описываются примеры вариантов использования для каждой из предоставленных сборников схем в сценарии, когда инцидент предупредил вас о подозрительном действии в одной из систем SAP, где пользователь пытается выполнить одну из этих высокочувствительных транзакций.
На этапе выполнения инцидента вы решили принять меры против этого пользователя, вытащив его из систем SAP ERP или BTP или даже из идентификатора Microsoft Entra.
Дополнительные сведения см. в статье Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
Процесс развертывания приложений логики "Стандартный" обычно сложнее, чем для приложений логики потребления. Мы создали ряд сочетаний клавиш, которые помогут вам быстро развернуть их из репозитория Microsoft Sentinel GitHub. Дополнительные сведения см . в пошаговом руководстве по установке.
Совет
Просмотрите папку сборников схем SAP в репозитории GitHub для получения дополнительных сборников схем по мере их доступности. Там также краткое вводное видео (внешняя ссылка), чтобы помочь вам приступить к работе.
Блокировка пользователя из одной системы
Создайте правило автоматизации, чтобы вызвать пользователя Lock из Teams — базовую схему при обнаружении конфиденциальной транзакции неавторизованным пользователем. Эта сборник схем использует функцию адаптивных карточек Teams для запроса утверждения перед односторонней блокировкой пользователя.
Дополнительные сведения см. в разделе "От нуля до покрытия безопасности героя" с помощью Microsoft Sentinel для ваших критически важных сигналов безопасности SAP - Вы услышите меня SOAR! Часть 1 (запись блога SAP).
Пользователь блокировки из Teams — базовая сборник схем — это стандартный сборник схем, а стандартные сборники схем обычно сложнее развертывать, чем сборники схем потребления.
Мы создали ряд сочетаний клавиш, которые помогут вам быстро развернуть их из репозитория Microsoft Sentinel GitHub. Дополнительные сведения см . в пошаговом руководстве по установке и поддерживаемых типах приложений логики.
Блокировка пользователя из нескольких систем
Пользователь блокировки из Teams — расширенная сборник схем выполняет одну и ту же задачу, но предназначен для более сложных сценариев, что позволяет использовать один сборник схем для нескольких систем SAP, каждый из которых имеет собственный идентификатор БЕЗОПАСНОСТИ SAP.
Пользователь блокировки из Teams — расширенная сборник схем легко управляет подключениями ко всем этим системам и учетным данным, используя необязательный динамический параметр InterfaceAttributes в списке наблюдения за системами и Azure Key Vault.
Пользователь блокировки из Teams — расширенная сборник схем также позволяет обмениваться данными с сторонами в процессе утверждения с помощью интерактивных сообщений Outlook вместе с Teams с помощью параметров TeamsChannelID и DestinationEmail в списке наблюдения SAP_Dynamic_Audit_Log_Monitor_Configuration .
Дополнительные сведения см. в разделе "От нуля до покрытия безопасности героя" с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP — часть 2 (запись блога SAP).
Запрет деактивации журнала аудита
Вы также можете беспокоиться о журнале аудита SAP, который является одним из источников данных безопасности, деактивированных. Рекомендуется создать правило автоматизации на основе sap — деактивация правила log analytics аудита безопасности, чтобы вызвать повторное ведение журнала аудита после деактивации сборника схем, чтобы убедиться, что журнал аудита SAP не деактивирован.
SAP — деактивация сборника схем журнала аудита безопасности также использует Teams, информируя сотрудников безопасности после факта. Серьезность преступления и срочность его устранения указывают на то, что немедленные действия можно предпринять без утверждения.
Так как sap — деактивация сборника схем журнала аудита безопасности также использует Azure Key Vault для управления учетными данными, конфигурация сборника схем аналогична конфигурации пользователя блокировки из Teams — advanced playbook. Дополнительные сведения см. в разделе "От нуля до покрытия безопасности героя" с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP — часть 3 (запись блога SAP).
Связанный контент
Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP".