SAP® uygulamaları için Microsoft Sentinel çözümü - SAP -Güvenlik Denetim günlüğü ve İlk Erişim çalışma kitabı
Bu makalede SAP sistemlerinizde kullanıcı denetim etkinliğini izlemek ve izlemek için kullanılan SAP -Security Denetim günlüğü ve İlk Erişim çalışma kitabı açıklanmaktadır. Sap sistemlerinizin güvenliğini sağlamak ve şüpheli eylemlere hızlı bir şekilde görünürlük elde etmek için çalışma kitabını kullanarak kullanıcı denetim etkinliğinin kuş bakışı görünümünü elde edebilirsiniz. Gerektiğinde şüpheli olaylarda detaya gidebilirsiniz.
Çalışma kitabını SAP sistemlerinizin sürekli izlenmesi için veya bir güvenlik olayının veya diğer şüpheli etkinliklerin ardından sistemleri gözden geçirmek için kullanabilirsiniz.
Çalışma kitabını kullanmaya başlama
Microsoft Sentinel portalından Tehdit yönetimi menüsünden Çalışma Kitapları'nı seçin.
Çalışma Kitapları galerisinde Şablonlar'a gidin ve arama çubuğuna SAP yazın ve sonuçlar arasından SAP -Security Audit log ve Initial Access'i seçin.
Çalışma kitabını olduğu gibi kullanmak için Şablonu görüntüle'yi veya çalışma kitabının düzenlenebilir bir kopyasını oluşturmak için Kaydet'i seçin. Kopya oluşturulduğunda Kaydedilen çalışma kitabını görüntüle'yi seçin.
Önemli
SAP -Security Denetim günlüğü ve İlk Erişim çalışma kitabı, SAP® uygulamaları için Microsoft Sentinel çözümünün yüklendiği çalışma alanı tarafından barındırılır. Varsayılan olarak, hem SAP hem de SOC verilerinin çalışma kitabını barındıran çalışma alanında olduğu varsayılır.
SOC verileri çalışma kitabını barındıran çalışma alanından farklı bir çalışma alanındaysa, söz konusu çalışma alanının aboneliğini eklediğinizden emin olun ve Azure denetim ve etkinlik çalışma alanından SOC çalışma alanını seçin.
Verileri gereksinimlerinize göre filtrelemek için aşağıdaki alanları seçin:
- Zaman Aralığı. Dört saatten 90 güne kadar.
- Sistem Rolleri. SAP sistem rolleri, örneğin: Geliştirme.
- Sistem Kullanımı. Örneğin: SAP GTS.
- SAP sistemleri. Tüm sistemleri, belirli bir sistemi veya birden çok sistemi seçebilirsiniz.
"SAP sistemleri" izleme listesinde yapılandırılmamış sistemleri seçerseniz, çalışma kitabı sorunları olan sistemleri belirten bir hata gösterir. Bu durumda, izleme listesini bu sistemleri doğru şekilde içerecek şekilde yapılandırın.
Çalışma kitabına genel bakış
Çalışma kitabı iki sekmeye ayrılmıştır:
- Oturum açma analizi raporu. Oturum açma hatalarıyla ilgili farklı veri türlerini gösterir. Veriler anormal veriler, Microsoft Entra verileri ve daha fazlasını içerir. Veriler "SAP sistemleri" izleme listesini temel alır.
- Denetim günlüğü uyarıları raporu. SAP® uygulamaları için Microsoft Sentinel çözümünün izlediği SAP Denetim günlüğü olaylarıyla ilgili farklı veri türlerini gösterir. Veriler "SAP_Dynamic_Audit_Log_Monitor_Configuration" izleme listesini temel alır.
Oturum açma analizi raporu sekmesi
Oturum Açma Çözümlemesi ve Oturum açma hataları alanlarını içerir.
Oturum Açma Analizi
Kullanıcı oturum açma işlemleriyle ilgili farklı veri türlerini gösterir.
| Alan | Açıklama | Seçenekler |
|---|---|---|
| Sistem başına benzersiz kullanıcı oturum açma işlemleri | Her SAP sistemi için benzersiz oturum açma sayısını ve her sistem için seçilen zaman içindeki oturum açma eğilimlerini içeren bir grafik gösterir. Örneğin: 012 sisteminde son 14 gün içinde 1,4-K benzersiz oturum açma girişimleri vardır ve bu 14 gün içinde grafik görece artan bir oturum açma eğilimi gösterir. | |
| Oturum açma türleri eğilimi | Türe göre, örneğin iletişim kutusu aracılığıyla oturum açma gibi oturum açma sayısı eğilimini gösterir. | Farklı tarihler için oturum açma sayısını göstermek için grafiğin üzerine gelebilirsiniz. |
| Oturum açma hataları Benzersiz kullanıcıların başarısını karşılaştırma - eğilim | Seçili dönemde başarılı ve başarısız oturum açma eğilimlerini gösterir. | Farklı tarihler için başarılı ve başarısız oturum açma sayısını göstermek için grafiğin üzerine gelebilirsiniz. |
Oturum açma hataları - anomali algılama
Anomali algılama - gürültülü başarısız oturum açma girişimlerinin filtrelenmesi altındaki alanlarda SAP sistemleri ve kullanıcıları için oturum açma hatası verileri gösterilir. Yalnızca anomali algılama tarafından bayrak eklenmiş verileri görmek için sağdaki Başarısız oturum açma işlemleri'nin yanındaki Yalnızca Anormal'i seçin.
| Alan | Açıklama | Belirli veriler | Seçenekler/notlar |
|---|---|---|---|
| Oturum açma hatası oranı>Oturum açma hatası anomalileri>Benzersiz Kullanıcı SAP sistemi başına oturum açamadı | Her SAP sistemi için benzersiz başarısız oturum açma sayısını gösterir. | ||
| SAP ve Active Directory birlikte daha iyidir | Anormal oturum açma hataları tablosu, Microsoft Sentinel ve Microsoft Entra verilerinin bir bileşimini gösterir. Çalışma kitabı kullanıcıları riske göre görüntüler: En çok riski gösteren kullanıcılar listenin en üstünde, güvenlik riski daha az olan kullanıcılar ise en altta yer alır. | Her kullanıcı için şunları gösterir: • Başarısız oturum açma girişimlerinin zaman çizelgesi • Anormal bir başarısız girişimin hangi noktada gerçekleştiğini gösteren bir zaman çizelgesi • Anomalinin türü • Kullanıcının e-posta adresi • Microsoft Entra risk göstergesi • Microsoft Sentinel'de olay ve uyarı sayısı |
• Bir satır seçtiğinizde, kullanıcıya yönelik uyarıların ve olayların listesini Kullanıcıya yönelik Olaylara/uyarılara genel bakış bölümünde görebilirsiniz. Bu listenin altında, Kullanıcı için Azure denetimi ve oturum açma riskleri altında Microsoft Entra risk olaylarını da görebilirsiniz. • Microsoft Entra verileriniz farklı bir Log Analytics çalışma alanındaysa, çalışma kitabının üst kısmında, Azure denetimi ve etkinlikleri altında ilgili abonelikleri ve çalışma alanlarını seçtiğinizden emin olun. |
| Sistem başına oturum açma hatası oranı | Seçili SAP sistemlerini görsel olarak temsil eder. | • Her sistem için, seçilen dönemdeki hata sayısını gösterir • Sistemler türe göre gruplandırılır. • Sistemin rengi başarısız girişimlerin sayısını gösterir: Yeşil, birkaç şüpheli oturum açma girişimini gösterir ve kırmızı daha şüpheli oturum açma girişimlerini gösterir. |
Hatalarla ilgili ayrıntıları içeren başarısız oturum açmaların listesini görmek için bir sistem seçebilirsiniz. |
Bu ekran görüntüsünde, Anormal oturum açma hataları tablosunda ilk satır seçildiğinde gösterilen verileri görebilirsiniz. Belirli uyarılar ve olay URL'leri, kullanıcı tablosu için Olaylara/uyarılara genel bakış bölümünde gösterilir.
Bu ekran görüntüsünde, kullanıcı tablosuna yönelik Azure denetim ve oturum açma riskleri, bu kullanıcıyla ilgili oturum açma riskine ilişkin verileri gösterir.
Bu ekran görüntüsünde, Test grubu altındaki 84e sisteminin seçili olduğu sistem alanı başına oturum açma hatası oranını görebilirsiniz. Sağdaki sistem alanı için Başarısız oturum açma işlemleri, bu sistem için hata olaylarını gösterir.
Oturum açma hataları - eğilimler
Oturum açma hataları eğilimleri alanı, farklı veri türlerine göre gruplandırılmış olarak eğilimleri ve başarısız oturum açma sayısını gösterir.
| Alan | Açıklama |
|---|---|
| Nedene göre oturum açma hatası | Hatanın nedenine göre oturum açma hatası sayısının eğilimini gösterir, örneğin: yanlış oturum açma verileri. |
| Türe göre oturum açma hatası | Türe göre oturum açma hatası sayısının eğilimini gösterir, örneğin: oturum açma bir arka plan işini tetikledi veya oturum açma HTTP üzerinden yapıldı. |
| Yönteme göre oturum açma hatası | Yönteme göre oturum açma hatası sayısının eğilimini gösterir, örneğin: SNC veya oturum açma bileti. |
Denetim günlüğü uyarıları rapor sekmesi
Bu sekme, her SAP sistemi ve kullanıcısı için önem derecesini ve denetim eğilimlerini gösterir. Bu sekmedeki tüm alanlar yalnızca anomali algılama tarafından bayrak eklenmiş verileri gösterir. Tüm olaylar için sağ taraftaki Başarısız oturum açmalar'ın yanındaki Tümü'ne tıklayın.
| Alan | Açıklama | Belirli veriler | Seçenekler/notlar |
|---|---|---|---|
| Sistem Kimliği başına uyarı önem eğilimleri | Sistem başına orta ve yüksek önem derecesine sahip olay eğilimlerinin grafiğiyle sistemlerin listesini gösterir. Örneğin, 012 sistemi tüm dönem boyunca birçok yüksek önem derecesine sahip olaylara ve dönemin ortasında daha fazla orta önem derecesi olayı gösteren ani artışa sahip birkaç orta önem derecesine sahipti. | ||
| Kullanıcı başına denetim eğilimi | Microsoft Sentinel ve Microsoft Entra verilerinin bir bileşimini gösterir. Çalışma kitabı, kullanıcıları riske göre görüntüler: En çok riski gösteren kullanıcılar listenin en üstünde, daha az güvenlik riski olan kullanıcılar ise en altta yer alır. | Her kullanıcı için şunları gösterir: • Yüksek ve orta önem dereceli olayların zaman çizelgesi • Kullanıcının e-posta adresi • Microsoft Entra risk göstergesi • Microsoft Sentinel'de olay ve uyarı sayısı |
Bir satır seçtiğinizde, kullanıcıya yönelik uyarıların ve olayların listesini Kullanıcıya yönelik Olaylara/uyarılara genel bakış bölümünde görebilirsiniz. Bu listenin altında, Kullanıcı için Azure denetimi ve oturum açma riskleri altında Microsoft Entra risk olaylarını da görebilirsiniz. |
| Sistem başına risk puanı | Bir hücre şeklindeki her sistemi görsel olarak temsil eder. | • Her sistem için risk puanını gösterir. • Sistemler türe göre gruplandırılır. • Sistemin rengi riski belirtir: Yeşil, daha düşük risk puanına sahip bir sistemi belirtir ve kırmızı daha yüksek bir risk puanını gösterir. |
Sistem başına SAP olaylarının listesini görmek için bir sistem seçebilirsiniz. |
| MITRE ATT&CK® taktiklerine göre olaylar | İlk Erişim veya Savunma Kaçamak gibi MITRE ATT&CK® taktiklerine göre gruplandırılmış SAP olaylarının listesini gösterir. | Farklı tarihler için oturum açma sayısını göstermek için grafiğin üzerine gelebilirsiniz. | |
| Kategoriye göre olaylar | RFC Başlat veya Oturum Açma gibi kategoriye göre gruplandırılmış SAP olay eğilimlerinin listesini gösterir. | Farklı tarihlerin oturum açma numarasını göstermek için grafiğin üzerine gelebilirsiniz. | |
| Yetkilendirme grubuna göre olaylar | USER veya SUPER gibi SAP yetkilendirme grubuna göre gruplandırılmış SAP olay eğilimlerinin listesini gösterir. | Farklı tarihler için oturum açma sayısını göstermek için grafiğin üzerine gelebilirsiniz. | |
| Kullanıcı türüne göre olaylar | İletişim kutusu veya sistem gibi SAP kullanıcı türüne göre gruplandırılmış SAP olay eğilimlerinin listesini gösterir. | Farklı tarihler için oturum açma sayısını göstermek için grafiğin üzerine gelebilirsiniz. |
Bu ekran görüntüsünde, Kullanıcı başına eğilimleri denetle tablosunda ilk satır seçildiğinde gösterilen verileri görebilirsiniz. Belirli uyarılar ve olay URL'leri, kullanıcı tablosu için Olaylara/uyarılara genel bakış bölümünde gösterilir.
Bu ekran görüntüsünde, UAT grubu altındaki cb7 sisteminin seçildiği sistem alanı başına risk puanını görebilirsiniz. Sistem görselleştirmesinin altındaki sistem alanı için SAP olayları, bu sistemin SAP olayını gösterir.
Bu ekran görüntüsünde farklı veri türlerine göre gruplandırılmış olayları ve olay eğilimlerini içeren alanları görebilirsiniz: MITRE ATT&CK® taktikleri, SAP yetkilendirme grubu ve kullanıcı türü.
Sonraki adımlar
Daha fazla bilgi için bkz.
- SAP® uygulamaları için Microsoft Sentinel çözümü dağıtma
- SAP® uygulamaları için Microsoft Sentinel çözümü günlük başvurusu
- SAP sisteminizin durumunu izleme
- SNC ile SAP® uygulamaları veri bağlayıcısı için Microsoft Sentinel çözümünü dağıtma
- Yapılandırma dosyası başvurusu
- SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları
- SAP® uygulamaları dağıtımı için Microsoft Sentinel çözümünüzün sorunlarını giderme