Microsoft Sentinel-lösning för SAP® BTP: referens för säkerhetsinnehåll

Den här artikeln beskriver säkerhetsinnehållet som är tillgängligt för Microsoft Sentinel-lösningen för SAP® BTP.

Viktigt

Microsoft Sentinel-lösningen för SAP® BTP är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.

Tillgängligt säkerhetsinnehåll innehåller för närvarande en inbyggd arbetsbok och analysregler. Du kan också lägga till SAP-relaterade visningslistor som ska användas i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.

Läs mer om lösningen.

SAP BTP-arbetsbok

Btp-aktivitetsarbetsboken innehåller en instrumentpanelsöversikt över BTP-aktivitet.

Skärmbild av fliken Översikt i SAP BTP-arbetsboken.

Fliken Översikt visar:

  • En översikt över BTP-underkonton som hjälper analytiker att identifiera de mest aktiva kontona och typen av inmatade data.
  • Inloggningsaktivitet för underkonton som hjälper analytiker att identifiera toppar och trender som kan vara associerade med inloggningsfel i SAP Business Application Studio (BAS).
  • Tidslinje för BTP-aktivitet och antalet BTP-säkerhetsaviseringar, vilket hjälper analytiker att söka efter korrelation mellan de två.

Fliken Identitetshantering visar ett rutnät med identitetshanteringshändelser, till exempel ändringar av användar- och säkerhetsroller, i ett läsbart format för människor. Med sökfältet kan du snabbt hitta specifika ändringar.

Skärmbild av fliken Identitetshantering i SAP BTP-arbetsboken.

Mer information finns i Självstudie: Visualisera och övervaka dina data och Distribuera Microsoft Sentinel-lösning för SAP® BTP.

Inbyggda analysregler

Regelnamn Beskrivning Källåtgärd Taktiker
BTP – Misslyckade åtkomstförsök över flera BAS-underkonton Identifierar misslyckade åtkomstförsök i Business Application Studio (BAS) över ett fördefinierat antal underkonton.
Standardtröskelvärde: 3
Kör misslyckade inloggningsförsök till BAS över det definierade tröskelvärdet för antalet underkonton.

Datakällor: SAPBTPAuditLog_CL
Identifiering, rekognosering
BTP – Skadlig kod har identifierats i BAS Dev Space Identifierar instanser av skadlig kod som identifierats av SAP:s interna agent för skadlig kod i BAS-utvecklarutrymmen. Kopiera eller skapa en fil för skadlig kod i ett BAS-utvecklarutrymme.

Datakällor: SAPBTPAuditLog_CL
Körning, beständighet, resursutveckling
BTP – Användaren har lagts till i samlingen med känsliga privilegierade roller Identifierar identitetshanteringsåtgärder där en användare läggs till i en uppsättning övervakade privilegierade rollsamlingar. Tilldela någon av följande rollsamlingar till en användare: "Tjänstadministratör för underkonto", "Underkontoadministratör", "Anslutnings- och måladministratör", "Måladministratör", "Administratör för molnanslutningsapp".

Datakällor: SAPBTPAuditLog_CL
Lateral förflyttning, privilegieeskalering
BTP – Övervakare av förtroende- och auktoriseringsidentitetsprovider Identifierar CRUD-åtgärder (create, read, update, and delete) i inställningarna för identitetsprovidern i ett underkonto. Ändra, läsa, uppdatera eller ta bort någon av inställningarna för identitetsprovidern i ett underkonto.

Datakällor: SAPBTPAuditLog_CL
Åtkomst till autentiseringsuppgifter, privilegieeskalering
BTP – Massanvändarborttagning i ett underkonto Identifierar borttagningsaktivitet för användarkonton där antalet borttagna användare överskrider ett fördefinierat tröskelvärde.
Standardtröskelvärde: 10
Ta bort antalet användarkonton över det definierade tröskelvärdet.

Datakällor: SAPBTPAuditLog_CL
Påverkan

Nästa steg

I den här artikeln har du lärt dig om säkerhetsinnehållet i Microsoft Sentinel-lösningen för SAP® BTP.