Microsoft Sentinel-lösning för SAP: referens för säkerhetsinnehåll

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om microsofts senaste säkerhetsförbättringar.

Den här artikeln beskriver det säkerhetsinnehåll som är tillgängligt för Microsoft Sentinel-lösningen för SAP.

Viktigt

Även om Microsoft Sentinel-lösningen för SAP är allmänt tillgänglig finns vissa specifika komponenter kvar som förhandsversion. Den här artikeln anger de komponenter som finns i förhandsversionen i de relevanta avsnitten nedan. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som på annat sätt ännu inte har släppts till allmän tillgänglighet.

Tillgängligt säkerhetsinnehåll innehåller inbyggda arbetsböcker och analysregler. Du kan också lägga till SAP-relaterade visningslistor som du kan använda i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.

Inbyggda arbetsböcker

Använd följande inbyggda arbetsböcker för att visualisera och övervaka data som matas in via SAP-dataanslutningsappen. När du har distribuerat SAP-lösningen finns SAP-arbetsböcker på fliken Mina arbetsböcker .

Arbetsboksnamn Description Loggar
SAP – Granskningsloggwebbläsare Visar data som:

Allmän systemhälsa, inklusive användarinloggningar över tid, händelser som matas in av systemet, meddelandeklasser och ID:t och ABAP-program körs

Allvarlighetsgrad för händelser som inträffar i systemet

Autentiserings- och auktoriseringshändelser som inträffar i systemet
Använder data från följande logg:

ABAPAuditLog_CL
SAP – Åtgärder för misstänkta privilegier Visar data som:

Känsliga och kritiska tilldelningar

Åtgärder och ändringar som gjorts för känsliga, privilegierade användare

Ändringar som gjorts i roller
Använder data från följande loggar:

ABAPAuditLog_CL

ABAPChangeDocsLog_CL
SAP – Inledande åtkomstförsök & för att kringgå SAP-säkerhetsmekanismer Visar data som:

Körningar av känsliga program, kod och funktionsmoduler

Konfigurationsändringar, inklusive logginaktiveringar

Ändringar som gjorts i felsökningsläge
Använder data från följande loggar:

ABAPAuditLog_CL

ABAPTableDataLog_CL

Syslog
SAP – Beständig & dataexfiltrering Visar data som:

ICF-tjänster (Internet Communication Framework), inklusive aktiveringar och inaktiveringar och data om nya tjänster och tjänsthanterare

Osäkra åtgärder, inklusive både funktionsmoduler och program

Direktåtkomst till känsliga tabeller
Använder data från följande loggar:

ABAPAuditLog_CL

ABAPTableDataLog_CL

ABAPSpoolLog_CL

ABAPSpoolOutputLog_CL

Syslog

Mer information finns i Självstudie: Visualisera och övervaka dina data och Distribuera Microsoft Sentinel-lösning för SAP.

Inbyggda analysregler

Inbyggda SAP-analysregler för övervakning av SAP-granskningsloggen

SAP-granskningsloggdata används i många av analysreglerna i Microsoft Sentinel-lösningen för SAP. Vissa analysregler letar efter specifika händelser i loggen, medan andra korrelerar indikationer från flera loggar för att skapa aviseringar och incidenter med hög återgivning. Dessutom finns det två analysregler som är utformade för att hantera hela uppsättningen sap-granskningslogghändelser (183 olika händelser) och andra anpassade händelser som du kan välja att logga med hjälp av SAP-granskningsloggen.

Båda analysreglerna för SAP-granskningsloggövervakning delar samma datakällor och samma konfiguration, men de skiljer sig åt i en kritisk aspekt. Även om "SAP – Dynamic Deterministic Audit Log Monitor" kräver deterministiska tröskelvärden för aviseringar och regler för användarundantag, tillämpar "SAP – Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)" ytterligare maskininlärningsalgoritmer för att filtrera bort bakgrundsbrus på ett oövervakat sätt. Därför skickas som standard de flesta händelsetyper (eller SAP-meddelande-ID: er) i SAP-granskningsloggen till analysregeln "Avvikelsebaserad", medan den enklare att definiera händelsetyper skickas till den deterministiska analysregeln. Den här inställningen, tillsammans med andra relaterade inställningar, kan konfigureras ytterligare så att den passar alla systemvillkor.

SAP – Dynamisk deterministisk granskningsloggövervakare

En dynamisk analysregel som är avsedd att täcka hela uppsättningen sap-granskningslogghändelsetyper som har en deterministisk definition vad gäller användarpopulation, händelsetrösklar.

SAP – Aviseringar om dynamisk avvikelsebaserad övervakning av granskningsloggar (FÖRHANDSVERSION)

En dynamisk analysregel som är utformad för att lära sig normalt systembeteende och aviseringar om aktiviteter som observerats i SAP-granskningsloggen som anses vara avvikande. Tillämpa den här regeln på händelsetyperna för SAP-granskningsloggar som är svårare att definiera när det gäller användarpopulation, nätverksattribut och tröskelvärden.

Läs mer:

I följande tabeller visas de inbyggda analysregler som ingår i Microsoft Sentinel-lösningen för SAP, som distribueras från Marknadsplatsen för Microsoft Sentinel-lösningar.

Inbyggda SAP-analysregler för inledande åtkomst

Regelnamn Beskrivning Källåtgärd Taktiker
SAP – Logga in från oväntat nätverk Identifierar en inloggning från ett oväntat nätverk.

Underhålla nätverk i sap - networks-visningslistan .
Logga in på serverdelssystemet från en IP-adress som inte är tilldelad till något av nätverken.

Datakällor: SAPcon – granskningslogg
Inledande åtkomst
SAP – SPNego-attack Identifierar SPNego Replay-attack. Datakällor: SAPcon – granskningslogg Påverkan, lateral förflyttning
SAP – Inloggningsförsök i dialogrutan från en privilegierad användare Identifierar inloggningsförsök i dialogrutan, med AUM-typen , av privilegierade användare i ett SAP-system. Mer information finns i SAPUsersGetPrivileged. Försök att logga in från samma IP-adress till flera system eller klienter inom det schemalagda tidsintervallet

Datakällor: SAPcon – granskningslogg
Påverkan, lateral förflyttning
SAP – Brute force-attacker Identifierar råstyrkeattacker mot SAP-systemet med RFC-inloggningar Försök att logga in från samma IP-adress till flera system/klienter inom det schemalagda tidsintervallet med hjälp av RFC

Datakällor: SAPcon – granskningslogg
Åtkomst till autentiseringsuppgifter
SAP – Flera inloggningar från samma IP-adress Identifierar inloggningen för flera användare från samma IP-adress inom ett schemalagt tidsintervall.

Underanvändningsfall: Persistens
Logga in med flera användare via samma IP-adress.

Datakällor: SAPcon – granskningslogg
Inledande åtkomst
SAP – flera inloggningar efter användare Identifierar inloggningar för samma användare från flera terminaler inom schemalagt tidsintervall.

Endast tillgängligt via metoden Audit SAL för SAP-versionerna 7.5 och senare.
Logga in med samma användare med olika IP-adresser.

Datakällor: SAPcon – granskningslogg
PreAttack, åtkomst till autentiseringsuppgifter, inledande åtkomst, samling

Underanvändningsfall: Persistens
SAP – Information – Livscykel – SAP-anteckningar implementerades i systemet Identifierar SAP Note-implementering i systemet. Implementera en SAP-anteckning med hjälp av SNOTE/TCI.

Datakällor: SAPcon – Ändringsbegäranden
-

Inbyggda SAP-analysregler för dataexfiltrering

Regelnamn Beskrivning Källåtgärd Taktiker
SAP – FTP för icke-auktoriserade servrar Identifierar en FTP-anslutning för en icke-auktoriserad server. Skapa en ny FTP-anslutning, till exempel med hjälp av FTP_CONNECT-funktionsmodulen.

Datakällor: SAPcon – granskningslogg
Identifiering, inledande åtkomst, kommando och kontroll
SAP – Konfiguration av osäkra FTP-servrar Identifierar osäkra FTP-serverkonfigurationer, till exempel när en FTP-tillåten lista är tom eller innehåller platshållare. Underhåll eller underhåll inte värden som innehåller platshållare i SAPFTP_SERVERS tabellen med hjälp av SAPFTP_SERVERS_V underhållsvyn. (SM30)

Datakällor: SAPcon – granskningslogg
Inledande åtkomst, kommando och kontroll
SAP – Nedladdning av flera filer Identifierar flera filnedladdningar för en användare inom ett visst tidsintervall. Ladda ned flera filer med hjälp av SAPGui för Excel, listor och så vidare.

Datakällor: SAPcon – granskningslogg
Samling, exfiltrering, åtkomst till autentiseringsuppgifter
SAP – flera Spool-körningar Identifierar flera spolar för en användare inom ett visst tidsintervall. Skapa och kör flera buffertjobb av valfri typ av användare. (SP01)

Datakällor: SAPcon – Spool Log, SAPcon – Granskningslogg
Samling, exfiltrering, åtkomst till autentiseringsuppgifter
SAP – Utdatakörningar för flera pooler Identifierar flera spolar för en användare inom ett visst tidsintervall. Skapa och kör flera buffertjobb av valfri typ av användare. (SP01)

Datakällor: SAPcon – Spool Output Log, SAPcon – Granskningslogg
Samling, exfiltrering, åtkomst till autentiseringsuppgifter
SAP – Känsliga tabeller direktåtkomst via RFC-inloggning Identifierar en allmän tabellåtkomst via RFC-inloggning.

Underhålla tabeller i bevakningslistan SAP – Känsliga tabeller .

Obs! Endast relevant för produktionssystem.
Öppna tabellinnehållet med SE11/SE16/SE16N.

Datakällor: SAPcon – granskningslogg
Samling, exfiltrering, åtkomst till autentiseringsuppgifter
SAP – Spool Takeover Identifierar en användare som skriver ut en begäran om buffert som har skapats av någon annan. Skapa en poolbegäran med en användare och mata sedan in den med en annan användare.

Datakällor: SAPcon – Spool Log, SAPcon – Spool Output Log, SAPcon – Granskningslogg
Samling, exfiltrering, kommando och kontroll
SAP – Dynamiskt RFC-mål Identifierar körningen av RFC med dynamiska mål.

Underanvändningsfall: Försök att kringgå SAP-säkerhetsmekanismer
Kör en ABAP-rapport som använder dynamiska mål (cl_dynamic_destination). Till exempel DEMO_RFC_DYNAMIC_DEST.

Datakällor: SAPcon – granskningslogg
Samling, exfiltrering
SAP – Känsliga tabeller direktåtkomst efter dialogruta inloggning Identifierar allmän tabellåtkomst via dialoginloggning. Öppna tabellinnehåll med .SE11/SE16/SE16N

Datakällor: SAPcon – granskningslogg
Identifiering

Inbyggda SAP-analysregler för beständighet

Regelnamn Beskrivning Källåtgärd Taktiker
SAP – Aktivering eller inaktivering av ICF-tjänsten Identifierar aktivering eller inaktivering av ICF-tjänster. Aktivera en tjänst med HJÄLP av SICF.

Datakällor: SAPcon – Tabelldatalogg
Kommando och kontroll, lateral förflyttning, beständighet
SAP – Funktionsmodul testad Identifierar testning av en funktionsmodul. Testa en funktionsmodul med .SE37 / SE80

Datakällor: SAPcon – granskningslogg
Insamling, undanflykt av försvar, lateral förflyttning
SAP – (FÖRHANDSVERSION) HANA DB – Användaråtgärder Admin Identifierar åtgärder för användaradministration. Skapa, uppdatera eller ta bort en databasanvändare.

Datakällor: Linux-agent – Syslog*
Privilegieeskalering
SAP – Nya ICF-tjänsthanterare Identifierar skapandet av ICF-hanterare. Tilldela en ny hanterare till en tjänst med HJÄLP av SICF.

Datakällor: SAPcon – granskningslogg
Kommando och kontroll, lateral förflyttning, beständighet
SAP – Nya ICF-tjänster Identifierar skapandet av ICF-tjänster. Skapa en tjänst med HJÄLP av SICF.

Datakällor: SAPcon – Tabelldatalogg
Kommando och kontroll, lateral förflyttning, beständighet
SAP – Körning av föråldrad eller osäker funktionsmodul Identifierar körningen av en föråldrad eller osäker ABAP-funktionsmodul.

Underhåll föråldrade funktioner i visningslistan SAP – Föråldrade funktionsmoduler . Se till att aktivera ändringar i tabellloggning för EUFUNC tabellen i serverdelen. (SE13)

Obs! Endast relevant för produktionssystem.
Kör en föråldrad eller osäker funktionsmodul direkt med HJÄLP av SE37.

Datakällor: SAPcon – Tabelldatalogg
Identifiering, kommando och kontroll
SAP – Körning av föråldrat/osäkert program Identifierar körningen av ett föråldrat eller osäkert ABAP-program.

Underhåll föråldrade program i bevakningslistan för SAP - Föråldrade program .

Obs! Endast relevant för produktionssystem.
Kör ett program direkt med SE38/SA38/SE80 eller med hjälp av ett bakgrundsjobb.

Datakällor: SAPcon – granskningslogg
Identifiering, kommando och kontroll
SAP – Flera lösenordsändringar per användare Identifierar flera lösenordsändringar per användare. Ändra användarlösenord

Datakällor: SAPcon – granskningslogg
Åtkomst till autentiseringsuppgifter

Inbyggda SAP-analysregler för försök att kringgå SAP-säkerhetsmekanismer

Regelnamn Beskrivning Källåtgärd Taktiker
SAP – Ändring av klientkonfiguration Identifierar ändringar för klientkonfiguration, till exempel klientrollen eller läget för ändringsinspelning. Utför klientkonfigurationsändringar med hjälp av transaktionskoden SCC4 .

Datakällor: SAPcon – granskningslogg
Defense Evasion, Exfiltration, Persistence
SAP – Data har ändrats under felsökningsaktiviteten Identifierar ändringar för körningsdata under en felsökningsaktivitet.

Underanvändningsfall: Persistency
1. Aktivera felsökning ("/h").
2. Välj ett fält för att ändra och uppdatera dess värde.

Datakällor: SAPcon – granskningslogg
Körning, lateral förflyttning
SAP – Inaktivering av säkerhetsgranskningslogg Identifierar inaktivering av säkerhetsgranskningsloggen, Inaktivera säkerhetsgranskningsloggen med hjälp av SM19/RSAU_CONFIG.

Datakällor: SAPcon – granskningslogg
Exfiltrering, försvarsundandragande, persistens
SAP – Körning av ett känsligt ABAP-program Identifierar direktkörning av ett känsligt ABAP-program.

Underhåll ABAP-program i bevakningslistan för SAP - Sensitive ABAP-program .
Kör ett program direkt med .SE38/SA38/SE80

Datakällor: SAPcon – granskningslogg
Exfiltrering, lateral förflyttning, körning
SAP – Körning av en känslig transaktionskod Identifierar körningen av en känslig transaktionskod.

Underhålla transaktionskoder i bevakningslistan SAP – Känsliga transaktionskoder .
Kör en känslig transaktionskod.

Datakällor: SAPcon – granskningslogg
Identifiering, körning
SAP – Körning av modul för känslig funktion Identifierar körningen av en känslig ABAP-funktionsmodul.

Underanvändningsfall: Persistency

Obs! Endast relevant för produktionssystem.

Underhåll känsliga funktioner i visningslistan FÖR SAP – känsliga funktionsmoduler och se till att aktivera ändringar i tabellloggning i serverdelen för EUFUNC-tabellen. (SE13)
Kör en modul för känslig funktion direkt med SE37.

Datakällor: SAPcon – Tabelldatalogg
Identifiering, kommando och kontroll
SAP – (FÖRHANDSVERSION) HANA DB – Principändringar för spårningsspårning Identifierar ändringar för HANA DB-spårningsprinciper. Skapa eller uppdatera den befintliga granskningsprincipen i säkerhetsdefinitioner.

Datakällor: Linux-agent – Syslog
Lateral rörelse, försvarsundandragande, beständighet
SAP – (FÖRHANDSVERSION) HANA DB – Inaktivering av granskningslogg Identifierar inaktivering av HANA DB-granskningsloggen. Inaktivera granskningsloggen i HANA DB-säkerhetsdefinitionen.

Datakällor: Linux-agent – Syslog
Persistens, lateral rörelse, försvarsundandragande
SAP – RFC-körning av en modul för känslig funktion Känsliga funktionsmodeller som ska användas i relevanta identifieringar.

Underhåll funktionsmoduler i visningslistan SAP – Sensitive Function Modules .
Kör en funktionsmodul med RFC.

Datakällor: SAPcon – granskningslogg
Körning, lateral förflyttning, identifiering
SAP – Ändring av systemkonfiguration Identifierar ändringar för systemkonfiguration. Anpassa alternativ för systemändring eller ändring av programvarukomponenter med hjälp av transaktionskoden SE06 .

Datakällor: SAPcon – granskningslogg
Exfiltrering, försvarsundandragande, persistens
SAP – Felsökningsaktiviteter Identifierar alla felsökningsrelaterade aktiviteter.

Underanvändningsfall: Persistency
Aktivera felsökning ("/h") i systemet, felsök en aktiv process, lägg till brytpunkt i källkoden och så vidare.

Datakällor: SAPcon – granskningslogg
Identifiering
SAP – Konfigurationsändring av säkerhetsgranskningslogg Identifierar ändringar i konfigurationen av säkerhetsgranskningsloggen Ändra konfiguration av säkerhetsgranskningsloggar med , SM19/RSAU_CONFIGtill exempel filter, status, inspelningsläge och så vidare.

Datakällor: SAPcon – granskningslogg
Persistence, Exfiltration, Defense Evasion
SAP – Transaktionen är olåst Identifierar upplåsning av en transaktion. Lås upp en transaktionskod med hjälp av SM01SM01_CUS/SM01_DEV/.

Datakällor: SAPcon – granskningslogg
Beständighet, körning
SAP – Dynamiskt ABAP-program Identifierar körningen av dynamisk ABAP-programmering. Till exempel när ABAP-kod skapades, ändrades eller togs bort dynamiskt.

Underhålla undantagna transaktionskoder i bevakningslistan SAP – Transaktioner för ABAP Generations .
Skapa en ABAP-rapport som använder ABAP-programgenereringskommandon, till exempel INSERT REPORT, och kör sedan rapporten.

Datakällor: SAPcon – granskningslogg
Identifiering, kommando och kontroll, påverkan

Inbyggda SAP-analysregler för misstänkta privilegier

Regelnamn Beskrivning Källåtgärd Taktiker
SAP – Ändring i känslig privilegierad användare Identifierar ändringar av känsliga privilegierade användare.

Underhåll privilegierade användare i bevakningslistan FÖR SAP – Privilegierade användare .
Ändra användarinformation/auktoriseringar med hjälp av SU01.

Datakällor: SAPcon – granskningslogg
Behörighetseskalering, åtkomst till autentiseringsuppgifter
SAP – (FÖRHANDSVERSION) HANA DB – Tilldela Admin-auktoriseringar Identifierar administratörsbehörighet eller rolltilldelning. Tilldela en användare valfri administratörsroll eller behörighet.

Datakällor: Linux-agent – Syslog
Privilegieeskalering
SAP – Känslig privilegierad användare inloggad Identifierar inloggning i dialogrutan för en känslig privilegierad användare.

Underhåll privilegierade användare i bevakningslistan FÖR SAP – Privilegierade användare .
Logga in på serverdelssystemet med hjälp av SAP* eller en annan privilegierad användare.

Datakällor: SAPcon – granskningslogg
Initial åtkomst, åtkomst till autentiseringsuppgifter
SAP – Känslig privilegierad användare gör en ändring i andra användare Identifierar ändringar av känsliga, privilegierade användare i andra användare. Ändra användarinformation/auktoriseringar med SU01.

Datakällor: SAPcon – granskningslogg
Behörighetseskalering, åtkomst till autentiseringsuppgifter
SAP – Lösenordsändring och inloggning för känsliga användare Identifierar lösenordsändringar för privilegierade användare. Ändra lösenordet för en privilegierad användare och logga in på systemet.
Underhåll privilegierade användare i bevakningslistan FÖR SAP – Privilegierade användare .

Datakällor: SAPcon – granskningslogg
Effekt, kommando och kontroll, privilegieeskalering
SAP – Användaren skapar och använder en ny användare Identifierar en användare som skapar och använder andra användare.

Underanvändningsfall: Persistency
Skapa en användare med SU01 och logga sedan in med den nyligen skapade användaren och samma IP-adress.

Datakällor: SAPcon – granskningslogg
Discovery, PreAttack, Initial Access
SAP – Användaren låser upp och använder andra användare Identifierar en användare som låss upp och används av andra användare.

Underanvändningsfall: Persistency
Lås upp en användare med SU01 och logga sedan in med den olåst användaren och samma IP-adress.

Datakällor: SAPcon – Granskningslogg, SAPcon – Ändra dokumentlogg
Discovery, PreAttack, Initial Access, Lateral Movement
SAP – Tilldelning av en känslig profil Identifierar nya tilldelningar av en känslig profil till en användare.

Underhålla känsliga profiler i bevakningslistan SAP – Känsliga profiler .
Tilldela en profil till en användare med hjälp av SU01.

Datakällor: SAPcon – Ändra dokumentlogg
Privilegieeskalering
SAP – Tilldelning av en känslig roll Identifierar nya tilldelningar för en känslig roll för en användare.

Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller .
Tilldela en roll till en användare med hjälp av SU01 / PFCG.

Datakällor: SAPcon – Ändra dokumentlogg, granskningslogg
Privilegieeskalering
SAP – (FÖRHANDSVERSION) Tilldelning av kritiska auktoriseringar – Nytt auktoriseringsvärde Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare.

Underhåll kritiska auktoriseringsobjekt i visningslistan SAP – Kritiska auktoriseringsobjekt .
Tilldela ett nytt auktoriseringsobjekt eller uppdatera ett befintligt objekt i en roll med hjälp av PFCG.

Datakällor: SAPcon – Ändra dokumentlogg
Privilegieeskalering
SAP – Tilldelning av kritiska auktoriseringar – Ny användartilldelning Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare.

Underhåll kritiska auktoriseringsobjekt i visningslistan SAP – Kritiska auktoriseringsobjekt .
Tilldela en ny användare till en roll som innehåller kritiska auktoriseringsvärden med hjälp av SU01/PFCG.

Datakällor: SAPcon – Ändra dokumentlogg
Privilegieeskalering
SAP – Ändringar av känsliga roller Identifierar ändringar i känsliga roller.

Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller .
Ändra en roll med PFCG.

Datakällor: SAPcon – Ändra dokumentlogg, SAPcon – granskningslogg
Impact, Privilege Escalation, Persistence

Tillgängliga visningslistor

I följande tabell visas de visningslistor som är tillgängliga för Microsoft Sentinel-lösningen för SAP och fälten i varje visningslista.

Dessa visningslistor tillhandahåller konfigurationen för Microsoft Sentinel-lösningen för SAP. SAP-visningslistor är tillgängliga på GitHub-lagringsplatsen för Microsoft Sentinel.

Namn på visningslista Beskrivning och fält
SAP – kritiska auktoriseringsobjekt Objekt för kritiska auktoriseringar, där tilldelningar ska styras.

- AuthorizationObject: Ett SAP-auktoriseringsobjekt, till exempel S_DEVELOP, S_TCODEeller Table TOBJ
- AuthorizationField: Ett SAP-auktoriseringsfält, till exempel OBJTYP eller TCD
- AuthorizationValue: Ett värde för SAP-auktoriseringsfält, till exempel DEBUG
- ActivityField : SAP-aktivitetsfält. I de flesta fall blir ACTVTdet här värdet . För auktoriseringsobjekt utan aktivitet, eller med endast ett aktivitetsfält , fyllt med NOT_IN_USE.
- Aktivitet: SAP-aktivitet enligt auktoriseringsobjektet, till exempel: 01: Skapa; 02: Ändra; 03: Visa och så vidare.
- Beskrivning: En beskrivande beskrivning av kritiskt auktoriseringsobjekt.
SAP – Undantagna nätverk För internt underhåll av exkluderade nätverk, till exempel för att ignorera webbsändare, terminalservrar och så vidare.

-Nätverk: En NÄTVERKS-IP-adress eller ett intervall, till exempel 111.68.128.0/17.
-Beskrivning: En beskrivande nätverksbeskrivning.
SAP-undantagna användare Systemanvändare som är inloggade i systemet och måste ignoreras. Till exempel aviseringar för flera inloggningar av samma användare.

- Användare: SAP-användare
-Beskrivning: En beskrivande användarbeskrivning.
SAP – Nätverk Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar.

- Nätverk: Nätverks-IP-adress eller -intervall, till exempel 111.68.128.0/17
- Beskrivning: En beskrivande nätverksbeskrivning.
SAP – Privilegierade användare Privilegierade användare som har extra begränsningar.

- Användare: ABAP-användaren, till exempel DDIC eller SAP
- Beskrivning: En beskrivande användarbeskrivning.
SAP – Känsliga ABAP-program Känsliga ABAP-program (rapporter), där körningen ska styras.

- ABAPProgram: ABAP-program eller rapport, till exempel RSPFLDOC
- Beskrivning: En beskrivande programbeskrivning.
SAP – Modul för känslig funktion Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar.

- FunctionModule: En ABAP-funktionsmodul, till exempel RSAU_CLEAR_AUDIT_LOG
- Beskrivning: En beskrivande modulbeskrivning.
SAP – känsliga profiler Känsliga profiler, där tilldelningar ska styras.

- Profil: SAP-auktoriseringsprofil, till exempel SAP_ALL eller SAP_NEW
- Beskrivning: En beskrivande profilbeskrivning.
SAP – känsliga tabeller Känsliga tabeller, där åtkomst ska styras.

- Tabell: ABAP-ordlistetabell, till exempel USR02 eller PA008
- Beskrivning: En beskrivande tabellbeskrivning.
SAP – känsliga roller Känsliga roller, där tilldelningen ska styras.

- Roll: SAP-auktoriseringsroll, till exempel SAP_BC_BASIS_ADMIN
- Beskrivning: En beskrivande rollbeskrivning.
SAP – känsliga transaktioner Känsliga transaktioner där körningen ska styras.

- TransactionCode: SAP-transaktionskod, till exempel RZ11
- Beskrivning: En beskrivande kodbeskrivning.
SAP – System Beskriver liggande SAP-system enligt roll och användning.

- SystemID: SAP-system-ID (SYSID)
- SystemRole: SAP-systemrollen, ett av följande värden: Sandbox, Development, Quality Assurance, , TrainingProduction
- SystemUsage: SAP-systemanvändningen, ett av följande värden: ERP, BW, Solman, , GatewayEnterprise Portal
SAP – Undantagna användare Systemanvändare som är inloggade och måste ignoreras, till exempel för aviseringen Flera inloggningar efter användare.

- Användare: SAP-användare
- Beskrivning: En beskrivande användarbeskrivning
SAP – Undantagna nätverk Underhåll interna, exkluderade nätverk för att ignorera webbsändare, terminalservrar och så vidare.

- Nätverk: Nätverks-IP-adress eller -intervall, till exempel 111.68.128.0/17
- Beskrivning: En beskrivande nätverksbeskrivning
SAP – föråldrade funktionsmoduler Föråldrade funktionsmoduler, vars körning ska styras.

- FunctionModule: ABAP-funktionsmodul, till exempel TH_SAPREL
- Beskrivning: En beskrivande funktionsmodulbeskrivning
SAP – föråldrade program Föråldrade ABAP-program (rapporter), vars körning ska styras.

- ABAPProgram:ABAP Program, till exempel TH_ RSPFLDOC
- Beskrivning: En meningsfull beskrivning av ABAP-programmet
SAP – Transaktioner för ABAP-generationer Transaktioner för ABAP-generationer vars körning ska styras.

- TransactionCode:Transaction Code, till exempel SE11.
- Beskrivning: En beskrivande beskrivning av transaktionskod
SAP – FTP-servrar FTP-servrar för identifiering av obehöriga anslutningar.

- Client:such as 100.
- FTP_Server_Name: FTP-servernamn, till exempel http://contoso.com/
-FTP_Server_Port:FTP-serverport, till exempel 22.
- Beskrivning En beskrivande FTP Server-beskrivning
SAP_Dynamic_Audit_Log_Monitor_Configuration Konfigurera SAP-granskningsloggaviseringar genom att tilldela varje meddelande-ID en allvarlighetsgrad som krävs av dig, per systemroll (produktion, icke-produktion). Den här visningslistan innehåller information om alla tillgängliga ID:t för SAP-standardgranskningsloggmeddelanden. Visningslistan kan utökas så att den innehåller ytterligare meddelande-ID:n som du kan skapa på egen hand med hjälp av ABAP-förbättringar i deras SAP NetWeaver-system. Den här visningslistan gör det också möjligt att konfigurera ett utsett team för att hantera var och en av händelsetyperna och exkludera användare efter SAP-roller, SAP-profiler eller efter taggar från SAP_User_Config visningslista. Den här visningslistan är en av de viktigaste komponenterna som används för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen.

- MessageID: SAP-meddelande-ID eller händelsetyp, till exempel AUD (ändringar av användarhuvudpost) eller AUB (auktoriseringsändringar).
- DetailedDescription: En markdown-aktiverad beskrivning som ska visas i incidentfönstret.
- ProductionSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för produktionssystem High, Medium. Kan anges som Disabled.
- NonProdSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för icke-produktionssystem High, Medium. Kan anges som Disabled.
- ProductionThreshold Antalet händelser per timme som ska betraktas som misstänkta för produktionssystem 60.
- NonProdThreshold Antalet händelser per timme som ska betraktas som misstänkta för icke-produktionssystem 10.
- RolesTagsToExclude: Det här fältet accepterar SAP-rollnamn, SAP-profilnamn eller taggar från SAP_User_Config visningslista. Dessa används sedan för att undanta associerade användare från specifika händelsetyper. Se alternativ för rolltaggar i slutet av den här listan.
- RuleType: Används Deterministic för att händelsetypen ska skickas till SAP – Dynamisk deterministisk granskningsloggövervakare, eller AnomaliesOnly för att den här händelsen ska omfattas av SAP – Dynamiska avvikelsebaserade övervakningsaviseringar för granskningsloggar (FÖRHANDSVERSION).

För fältet RolesTagsToExclude :
– Om du listar SAP-roller eller SAP-profiler utesluter detta alla användare med de angivna rollerna eller profilerna från dessa händelsetyper för samma SAP-system. Om du till exempel definierar BASIC_BO_USERS ABAP-rollen för RFC-relaterade händelsetyper utlöser Business Objects-användare inte incidenter när de gör massiva RFC-anrop.
– Taggning av en händelsetyp liknar att ange SAP-roller eller -profiler, men taggar kan skapas på arbetsytan, så SOC-team kan exkludera användare efter aktivitet utan att vara beroende av SAP-teamet. Till exempel tilldelas granskningsmeddelandet ID:t AUB (auktoriseringsändringar) och AUD (ändringar i användarhuvudposten) taggen MassiveAuthChanges . Användare som tilldelats den här taggen undantas från kontrollerna för dessa aktiviteter. När du kör arbetsytefunktionen SAPAuditLogConfigRecommend skapas en lista över rekommenderade taggar som ska tilldelas till användare, till exempel Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist.
SAP_User_Config Tillåter finjusteringsaviseringar genom att exkludera /including users in specific contexts och används även för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen.

- SAPUser: SAP-användaren
- Taggar: Taggar används för att identifiera användare mot viss aktivitet. Om du till exempel lägger till taggarna ["GenericTablebyRFCOK"] till användaren SENTINEL_SRV förhindrar du att RFC-relaterade incidenter skapas för den här specifika användaren
Andra active directory-användaridentifierare
– AD-användaridentifierare
– Lokalt användar-Sid
– Användarens huvudnamn

Nästa steg

Mer information finns i: