SAP denetim günlüğü izleme kurallarını yapılandırma
SAP denetim günlüğü, başarısız oturum açma girişimleri veya diğer şüpheli eylemler gibi SAP sistemlerindeki denetim ve güvenlik eylemlerini kaydeder. Bu makalede, Microsoft Sentinel yerleşik analiz kurallarını kullanarak SAP denetim günlüğünün nasıl izleneceği açıklanır.
Bu kurallarla, tüm denetim günlüğü olaylarını izleyebilir veya yalnızca anomaliler algılandığında uyarı alabilirsiniz. Bu şekilde SAP günlüklerinizi daha iyi yönetebilir ve güvenlik değerinizden ödün vermeden gürültüyü azaltabilirsiniz.
SAP denetim günlüğü verilerinizi izlemek ve analiz etmek için iki analiz kuralı kullanırsınız:
- SAP - Dinamik Belirlenimci Denetim Günlüğü İzleyicisi (ÖNİzLEME). En az yapılandırmaya sahip sap denetim günlüğü olaylarında uyarılar. Kuralı daha düşük bir hatalı pozitif oranı için yapılandırabilirsiniz. Kuralı yapılandırmayı öğrenin.
- SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME). Makine öğrenmesi özelliklerini kullanan ve kodlama gerektirmeden anomaliler algılandığında SAP denetim günlüğü olaylarıyla ilgili uyarılar. Kuralı yapılandırmayı öğrenin.
İki SAP Denetim günlüğü izleyici kuralı kullanıma hazır olarak teslim edilir ve SAP_Dynamic_Audit_Log_Monitor_Configuration ve SAP_User_Config izleme listelerini kullanarak daha fazla ince ayara olanak sağlar.
Anormallik algılama
SAP denetim günlüğü gibi farklı bir etkinlik günlüğündeki güvenlik olaylarını tanımlamaya çalışırken, yapılandırma eforunu ve uyarıların ürettiği kirlilik miktarını dengelemeniz gerekir.
SAP için Sentinel çözümündeki SAP denetim günlüğü modülü ile şunları seçebilirsiniz:
- Özelleştirilmiş, önceden tanımlanmış eşikler ve filtreler kullanarak hangi olaylara belirleyici bir şekilde bakmak istiyorsunuz?
- Makinenin parametreleri kendi başına öğrenebilmesi için hangi olayları dışarıda bırakmak istiyorsunuz?
Bir SAP denetim günlüğü olay türünü anomali algılaması için işaretledikten sonra, uyarı altyapısı SAP denetim günlüğünden yakın zamanda akışı yapılan olayları denetler. Altyapı, öğrendiği geçmişi göz önünde bulundurarak olayların normal görünerek görünmediğini denetler.
Microsoft Sentinel, anomaliler için bir olayı veya olay grubunu denetler. Olayı veya olay grubunu, kullanıcı ve sistem düzeylerinde daha önce aynı türde görülen etkinliklerle eşleştirmeye çalışır. Algoritma, alt ağ maskesi düzeyinde ve mevsimsellik düzeyine göre kullanıcının ağ özelliklerini öğrenir.
Bu özellik sayesinde, kullanıcı oturum açma olayları gibi daha önce sessize alınan olay türlerindeki anomalileri arayabilirsiniz. Örneğin, JohnDoe kullanıcısı saatte yüzlerce kez oturum açarsa, artık davranışın şüpheli olup olmadığını Microsoft Sentinel'in belirlemesine izin vekleyebilirsiniz. Bu John muhasebeden mi, bir finansal panoyu birden çok veri kaynağıyla tekrar tekrar yenileyerek mi yoksa bir DDoS saldırısı mı oluşuyor?
Anomali algılama için SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) kuralını ayarlama
SAP denetim günlüğü verileriniz microsoft Sentinel çalışma alanına veri akışı sağlamadıysa çözümü dağıtmayı öğrenin.
- Microsoft Sentinel gezinti menüsünde , İçerik yönetimi'nin altında İçerik hub'ı (Önizleme) seçin.
- SAP uygulaması için Sürekli tehdit izlemenizde güncelleştirmeler olup olmadığını denetleyin.
- Gezinti menüsündeki Analiz'in altında şu 3 denetim günlüğü uyarısını etkinleştirin:
- SAP - Dinamik Belirlenimci Denetim Günlüğü İzleyicisi. Her 10 dakikada bir çalıştırılır ve Deterministic olarak işaretlenmiş SAP denetim günlüğü olaylarına odaklanır.
- SAP - (Önizleme) Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları. Saatlik olarak çalışır ve AnomalilerOnly olarak işaretlenmiş SAP olaylarına odaklanır.
- SAP - Dinamik Güvenlik Denetim Günlüğü İzleyicisi'nde yapılandırma eksik. SAP denetim günlüğü modülü için yapılandırma önerileri sağlamak üzere günlük olarak çalışır.
Microsoft Sentinel artık belirlenimci güvenlik olayları ve anomalileri için sap denetim günlüğünün tamamını düzenli aralıklarla tarar. Bu günlüğün oluşturduğu olayları Olaylar sayfasında görüntüleyebilirsiniz.
Her makine öğrenmesi çözümünde olduğu gibi zamanla daha iyi performans gösterir. Anomali algılama en iyi yedi günlük veya daha fazla SAP denetim günlüğü geçmişi kullanılarak çalışır.
olay türlerini SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesiyle yapılandırma
SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesini kullanarak çok fazla olay üreten olay türlerini daha da yapılandırabilirsiniz. Olayları azaltmaya yönelik birkaç seçenek aşağıdadır.
| Seçenek | Açıklama |
|---|---|
| Önem derecelerini ayarlama ve istenmeyen olayları devre dışı bırakma | Varsayılan olarak, hem belirleyici kurallar hem de anomalilere dayalı kurallar, orta ve yüksek önem dereceleriyle işaretlenmiş olaylar için uyarılar oluşturur. Bu önem derecelerini özellikle üretim ve üretim dışı ortamlar için ayarlayabilirsiniz. Örneğin, bir hata ayıklama etkinliği olayını üretim sistemlerinde yüksek önem derecesinde olarak ayarlayabilir ve bu olayları üretim dışı sistemlerde devre dışı bırakabilirsiniz. |
| Kullanıcıları SAP rollerine veya SAP profillerine göre dışlama | SAP için Microsoft Sentinel, SIEM'inizde SAP dilini konuşabilmeniz için doğrudan ve dolaylı rol atamaları, gruplar ve profiller dahil olmak üzere SAP kullanıcısının yetkilendirme profilini alır. SAP olaylarını, SAP rollerine ve profillerine göre kullanıcıları dışlamak üzere yapılandırabilirsiniz. İzleme listesinde RFC arabirimi kullanıcılarınızı gruplayan rolleri veya profilleri RolesTagsToExclude sütununa RFC olayına göre genel tablo erişimi'nin yanına ekleyin. Bundan sonra yalnızca bu rollerin eksik olduğu kullanıcılar için uyarı alacaksınız. |
| Kullanıcıları SOC etiketlerine göre dışlama | Etiketlerle, karmaşık SAP tanımlarına güvenmeden ve hatta SAP yetkilendirmesi olmadan kendi gruplandırmanızı oluşturabilirsiniz. Bu yöntem, SAP kullanıcıları için kendi gruplandırmalarını oluşturmak isteyen SOC ekipleri için kullanışlıdır. Kavramsal olarak, kullanıcıları etiketlerle dışlamak ad etiketleri gibi çalışır: Yapılandırmada birden çok etiketle birden çok olay ayarlayabilirsiniz. Belirli bir olayla ilişkili etiketi olan bir kullanıcı için uyarı almazsınız. Örneğin, belirli hizmet hesaplarının RFC olayları tarafından Genel tablo erişimi için uyarılmasını istemezsiniz, ancak bu kullanıcıları gruplandıran bir SAP rolü veya SAP profili bulamazsınız. Bu durumda, izleme listesindeki ilgili olayın yanına GenTableRFCReadOK etiketini ekleyebilir ve ardından SAP_User_Config izleme listesine gidip arabirim kullanıcılarına aynı etiketi atayabilirsiniz. |
| Olay türü ve sistem rolü başına bir sıklık eşiği belirtin | Hız sınırı gibi çalışır. Örneğin, gürültülü Kullanıcı Ana Kayıt Değişikliği olaylarının yalnızca üretim sisteminde aynı kullanıcı tarafından bir saat içinde 12'den fazla etkinlik gözlemlendiğinde uyarıları tetiklediğini seçebilirsiniz. Bir kullanıcı saat başına 12 sınırını aşarsa (örneğin, 10 dakikalık bir zaman penceresindeki 2 olay) bir olay tetikler. |
| Determinizm veya anomaliler | Olayın özelliklerini biliyorsanız, belirlenimci özellikleri kullanabilirsiniz. Olayı doğru şekilde nasıl yapılandırabileceğinizden emin değilseniz makine öğrenmesi özellikleri karar verebilir. |
| SOAR özellikleri | SAP denetim günlüğü dinamik uyarılarına uygulanabilecek olayları daha fazla düzenlemek, otomatikleştirmek ve yanıtlamak için Microsoft Sentinel'i kullanabilirsiniz. Güvenlik Düzenlemesi, Otomasyon ve Yanıt (SOAR) hakkında bilgi edinin. |
Sonraki adımlar
Bu makalede, Microsoft Sentinel yerleşik analiz kurallarını kullanarak SAP denetim günlüğünü izlemeyi öğrendiniz.