Microsoft Sentinel-lösning för SAP BTP: referens för säkerhetsinnehåll
Den här artikeln beskriver det säkerhetsinnehåll som är tillgängligt för Microsoft Sentinel-lösningen för SAP BTP.
Tillgängligt säkerhetsinnehåll innehåller för närvarande en inbyggd arbetsbok och analysregler. Du kan också lägga till SAP-relaterade bevakningslistor som ska användas i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.
SAP BTP-arbetsbok
BTP-aktivitetsarbetsboken innehåller en instrumentpanelsöversikt över BTP-aktivitet.
Fliken Översikt visar:
- En översikt över BTP-underkonton som hjälper analytiker att identifiera de mest aktiva kontona och typen av inmatade data.
- Inloggningsaktivitet för underkonton som hjälper analytiker att identifiera toppar och trender som kan associeras med inloggningsfel i SAP Business Application Studio (BAS).
- Tidslinje för BTP-aktivitet och antalet BTP-säkerhetsaviseringar, vilket hjälper analytiker att söka efter korrelation mellan de två.
Fliken Identitetshantering visar ett rutnät med identitetshanteringshändelser, till exempel ändringar av användar- och säkerhetsrollen, i ett läsbart format för människor. Med sökfältet kan du snabbt hitta specifika ändringar.
Mer information finns i Självstudie: Visualisera och övervaka dina data och Distribuera Microsoft Sentinel-lösningen för SAP BTP.
Inbyggda analysregler
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| BTP – Misslyckade åtkomstförsök över flera BAS-underkonton | Identifierar misslyckade åtkomstförsök i Business Application Studio (BAS) över ett fördefinierat antal underkonton. Standardtröskel: 3 |
Kör misslyckade inloggningsförsök till BAS över det definierade tröskelvärdet för underkonton. Datakällor: SAPBTPAuditLog_CL |
Identifiering, rekognosering |
| BTP – Skadlig kod identifierad i BAS dev space | Identifierar instanser av skadlig kod som identifierats av SAP:s interna agent för skadlig kod i BAS-utvecklarutrymmen. | Kopiera eller skapa en fil med skadlig kod i ett BAS-utvecklarutrymme. Datakällor: SAPBTPAuditLog_CL |
Körning, beständighet, resursutveckling |
| BTP – Användaren har lagts till i samlingen med känsliga privilegierade roller | Identifierar identitetshanteringsåtgärder där en användare läggs till i en uppsättning övervakade privilegierade rollsamlingar. | Tilldela en av följande rollsamlingar till en användare: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator Datakällor: SAPBTPAuditLog_CL |
Lateral förflyttning, eskalering av privilegier |
| BTP – Övervakare av förtroende- och auktoriseringsidentitetsprovider | Identifierar åtgärder för att skapa, läsa, uppdatera och ta bort (CRUD) i inställningarna för identitetsprovidern i ett underkonto. | Ändra, läsa, uppdatera eller ta bort någon av inställningarna för identitetsprovidern i ett underkonto. Datakällor: SAPBTPAuditLog_CL |
Åtkomst till autentiseringsuppgifter, eskalering av privilegier |
| BTP – Massanvändarborttagning i ett underkonto | Identifierar borttagningsaktivitet för användarkonton där antalet borttagna användare överskrider ett fördefinierat tröskelvärde. Standardtröskel: 10 |
Ta bort antalet användarkonton över det definierade tröskelvärdet. Datakällor: SAPBTPAuditLog_CL |
Påverkan |
Nästa steg
I den här artikeln har du lärt dig om säkerhetsinnehållet i Microsoft Sentinel-lösningen för SAP BTP.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för