Aracılığıyla paylaş


SAP uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu

Bu makalede, SAP için Microsoft Sentinel Çözümü için sağlanan güvenlik içeriği ayrıntılı olarak açıklanmaktadır.

Önemli

SAP uygulamaları için Microsoft Sentinel çözümü GA'da olsa da bazı belirli bileşenler ÖNIZLEME aşamasında kalır. Bu makale, aşağıdaki ilgili bölümlerde önizleme aşamasında olan bileşenleri gösterir. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Kullanılabilir güvenlik içeriği, yerleşik çalışma kitaplarını ve analiz kurallarını içerir. Ayrıca arama, algılama kuralları, tehdit avcılığı ve yanıt playbook'larınızda kullanmak üzere SAP ile ilgili izleme listeleri de ekleyebilirsiniz.

Bu makaledeki içerik güvenlik ekibinize yöneliktir.

Yerleşik çalışma kitapları

SAP veri bağlayıcısı aracılığıyla alınan verileri görselleştirmek ve izlemek için aşağıdaki yerleşik çalışma kitaplarını kullanın. SAP çözümünü dağıttığınızda, SAP çalışma kitaplarını Şablonlar sekmesinde bulabilirsiniz.

Çalışma kitabı adı Açıklama Günlükler
SAP - Denetim Günlüğü Tarayıcısı Verileri görüntüler, örneğin:

- Zaman içinde kullanıcı oturum açma işlemleri, sistem tarafından alınan olaylar, ileti sınıfları ve kimlikler ve ABAP programları da dahil olmak üzere genel sistem durumu
-Sisteminizde gerçekleşen olayların önem dereceleri
- Sisteminizde gerçekleşen kimlik doğrulaması ve yetkilendirme olayları
Aşağıdaki günlükten verileri kullanır:

ABAPAuditLog_CL
SAP Denetim Denetimleri Aşağıdakileri yapmanız için araçlar kullanarak SAP ortamınızın güvenlik denetimlerini seçtiğiniz denetim çerçevesiyle uyumluluk açısından denetlemenize yardımcı olur:

- Ortamınızdaki analiz kurallarını belirli güvenlik denetimlerine ve denetim ailelerine atama
- SAP çözüm tabanlı analiz kuralları tarafından oluşturulan olayları izleme ve kategorilere ayırma
- Uyumluluğunuzla ilgili rapor
Aşağıdaki tablolardaki verileri kullanır:

- SecurityAlert
- SecurityIncident

Daha fazla bilgi için bkz . Öğretici: Verilerinizi görselleştirme ve izleme ve SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma.

Yerleşik analiz kuralları

Bu bölümde, SAP uygulamaları için Microsoft Sentinel çözümüyle birlikte sağlanan çeşitli yerleşik analiz kuralları açıklanmaktadır. En son güncelleştirmeler için Yeni ve güncelleştirilmiş kurallar için Microsoft Sentinel içerik hub'ına bakın.

Statik SAP güvenlik parametrelerinin yapılandırmasını izleme (Önizleme)

SAP sisteminin güvenliğini sağlamak için SAP, değişiklikler için izlenmesi gereken güvenlikle ilgili parametreler tanımlamıştır. "SAP - (Önizleme) Hassas Statik Parametre Değişti" kuralıyla SAP uygulamaları için Microsoft Sentinel çözümü, SAP sisteminde bulunan ve Microsoft Sentinel'de yerleşik olarak bulunan 52'den fazla statik güvenlikle ilgili parametreyi izler.

Not

SAP uygulamalarına yönelik Microsoft Sentinel çözümünün SAP güvenlik parametrelerini başarıyla izlemesi için, çözümün SAP PAHI tablosunu düzenli aralıklarla başarıyla izlemesi gerekir. Daha fazla bilgi için bkz . PAHI tablosunun düzenli aralıklarla güncelleştirildiğini doğrulama.

Sistemdeki parametre değişikliklerini anlamak için SAP uygulamaları için Microsoft Sentinel çözümü, sistem parametrelerinde saat başı yapılan değişiklikleri kaydeden parametre geçmişi tablosunu kullanır.

Parametreler SAPSystemParameters izleme listesine de yansıtılır. Bu izleme listesi, kullanıcıların yeni parametreler eklemesine, mevcut parametreleri devre dışı bırakmasına ve üretim veya üretim dışı ortamlarda parametre ve sistem rolü başına değerleri ve önem derecelerini değiştirmesine olanak tanır.

Bu parametrelerden birinde değişiklik yapıldığında, Microsoft Sentinel değişikliğin güvenlikle ilgili olup olmadığını ve değerin önerilen değerlere göre ayarlanıp ayarlanmadığını denetler. Değişikliğin güvenli bölgenin dışında olduğundan şüpheleniliyorsa, Microsoft Sentinel değişikliğin ayrıntılarını içeren bir olay oluşturur ve değişikliği kimin yaptığını tanımlar.

Bu kuralın izlediği parametrelerin listesini gözden geçirin.

SAP denetim günlüğünü izleme

SAP uygulamaları için Microsoft Sentinel çözümündeki analiz kurallarının çoğu SAP denetim günlüğü verilerini kullanır. Bazı analiz kuralları günlükteki belirli olayları ararken, diğerleri yüksek uygunluk uyarıları ve olayları oluşturmak için çeşitli günlüklerdeki göstergelerle bağıntı oluşturur.

SAP sisteminizdeki tüm denetim günlüğü olaylarını izlemek veya yalnızca anomaliler algılandığında uyarıları tetiklemek için aşağıdaki analiz kurallarını kullanın:

Kural adı Açıklama
SAP - Dinamik Güvenlik Denetim Günlüğü İzleyicisi'nde yapılandırma eksik Varsayılan olarak, SAP denetim günlüğü modülü için yapılandırma önerileri sağlamak üzere günlük olarak çalışır. Çalışma alanınız için bir kural oluşturmak ve özelleştirmek için kural şablonunu kullanın.
SAP - Dinamik Belirleyici Denetim Günlüğü İzleyicisi (ÖNİzLEME) Varsayılan olarak, her 10 dakikada bir çalışır ve Deterministic olarak işaretlenmiş SAP denetim günlüğü olaylarına odaklanır. Çalışma alanınız için daha düşük hatalı pozitif oran gibi bir kural oluşturmak ve özelleştirmek için kural şablonunu kullanın.

Bu kural, belirlenici uyarı eşikleri ve kullanıcı dışlama kuralları gerektirir.
SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) Varsayılan olarak, saatlik olarak çalıştırılır ve AnomalilerOnly olarak işaretlenmiş SAP olaylarına odaklanır ve anomaliler algılandığında SAP denetim günlüğü olaylarında uyarır.

Bu kural, arka plan gürültüsünü denetimsiz bir şekilde filtrelemek için ek makine öğrenmesi algoritmaları uygular.

Varsayılan olarak, SAP denetim günlüğündeki olay türlerinin veya SAP ileti kimliklerinin çoğu anomali tabanlı Dinamik Anomali tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) analiz kuralına gönderilirken, olay türlerini tanımlaması daha kolay belirlenimci Dinamik Belirleyici Denetim Günlüğü İzleyicisi (ÖNİzLEME) analiz kuralına gönderilir. Bu ayar, diğer ilgili ayarlarla birlikte tüm sistem koşullarına uyacak şekilde daha fazla yapılandırılabilir.

SAP denetim günlüğü izleme kuralları, SAP çözümü için Microsoft Sentinel güvenlik içeriğinin bir parçası olarak sunulur ve SAP_Dynamic_Audit_Log_Monitor_Configuration ve SAP_User_Config izleme listelerini kullanarak daha fazla ince ayara olanak sağlar.

Örneğin, aşağıdaki tabloda, SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesini kullanarak olay oluşturan olay türlerini yapılandırmaya ve oluşturulan olay sayısını azaltmaya yönelik çeşitli örnekler listelenmiştir.

Seçenek Açıklama
Önem derecelerini ayarlama ve istenmeyen olayları devre dışı bırakma Varsayılan olarak, hem belirleyici kurallar hem de anomalilere dayalı kurallar orta ve yüksek önem dereceleriyle işaretlenmiş olaylar için uyarılar oluşturur.

Önem derecelerini üretim ve üretim dışı ortamları ayrı ayrı yapılandırmak isteyebilirsiniz. Örneğin, bir hata ayıklama etkinliği olayını üretim sistemlerinde yüksek önem derecesi olarak ayarlayabilir ve üretim dışı sistemlerde aynı olayları tamamen kapatabilirsiniz.
Kullanıcıları SAP rollerine veya SAP profillerine göre dışlama SAP için Microsoft Sentinel, SIEM'inizde SAP dilini konuşabilmeniz için doğrudan ve dolaylı rol atamaları, gruplar ve profiller dahil olmak üzere SAP kullanıcısının yetkilendirme profilini alır.

Sap rollerine ve profillerine göre kullanıcıları dışlamak için bir SAP olayı yapılandırmak isteyebilirsiniz. İzleme listesinde RFC arabirimi kullanıcılarınızı gruplandıran rolleri veya profilleri RolesTagsToExclude sütununa RFC olayına göre genel tablo erişimi'nin yanına ekleyin. Bu yapılandırma yalnızca bu rolleri eksik olan kullanıcılar için uyarıları tetikler.
Kullanıcıları SOC etiketleriyle dışlama Etiketleri kullanarak karmaşık SAP tanımlarına güvenmeden ve hatta SAP yetkilendirmesi olmadan kendi gruplandırmanızı oluşturabilirsiniz. Bu yöntem, SAP kullanıcıları için kendi gruplandırmalarını oluşturmak isteyen SOC ekipleri için kullanışlıdır.

Örneğin, RFC olayları tarafından genel tablo erişimi için belirli hizmet hesaplarının uyarılmasını istemiyorsanız, ancak bu kullanıcıları gruplandıran bir SAP rolü veya SAP profili bulamıyorsanız, etiketleri aşağıdaki gibi kullanın:
1. İzleme listesindeki ilgili olayın yanına GenTableRFCReadOK etiketini ekleyin.
2. SAP_User_Config izleme listesine gidin ve arabirim kullanıcılarına aynı etiketi atayın.
Olay türü ve sistem rolü başına bir sıklık eşiği belirtin Hız sınırı gibi çalışır. Örneğin, Kullanıcı Ana Kayıt Değişikliği olaylarını yalnızca bir saat içinde aynı kullanıcı tarafından üretim sisteminde 12'den fazla etkinlik gözlemlendiğinde uyarıları tetiklemek üzere yapılandırabilirsiniz. Kullanıcı saat başına 12 sınırını aşarsa (örneğin, 10 dakikalık bir zaman penceresindeki 2 olay) bir olay tetikler.
Determinizm veya anomaliler Olayın özelliklerini biliyorsanız belirleyici özellikleri kullanın. Olayı doğru şekilde nasıl yapılandırabileceğinizden emin değilseniz makine öğrenmesi özelliklerinin başlamaya karar vermesine ve ardından gerektiğinde sonraki güncelleştirmeleri yapmasına izin verin.
SOAR özellikleri SAP denetim günlüğü dinamik uyarıları tarafından oluşturulan olayları daha fazla yönetmek, otomatikleştirmek ve yanıtlamak için Microsoft Sentinel'i kullanın. Daha fazla bilgi için bkz. Microsoft Sentinel'de Otomasyon: Güvenlik düzenleme, otomasyon ve yanıt (SOAR).

Daha fazla bilgi için bkz . Kullanılabilir izleme listeleri ve SAP News için Microsoft Sentinel - Dinamik SAP Güvenlik Denetim Günlüğü İzleyicisi özelliği şu anda kullanılabilir! (blog).

İlk erişim

Kural adı Açıklama Kaynak eylemi Taktikler
SAP - Beklenmeyen ağdan oturum açma Beklenmeyen bir ağdan oturum açmayı tanımlar.

SAP - Networks izleme listesinde ağları koruyun.
Ağlardan birine atanmamış bir IP adresinden arka uç sisteminde oturum açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
İlk Erişim
SAP - SPNego Saldırısı SPNego Yeniden Yürütme Saldırısını tanımlar. Veri kaynakları: SAPcon - Denetim Günlüğü Etki, YanAl Hareket
SAP - Ayrıcalıklı bir kullanıcıdan iletişim kutusu oturum açma girişimi SAP sistemindeki ayrıcalıklı kullanıcılar tarafından AUM türüyle iletişim kutusu oturum açma girişimlerini tanımlar. Daha fazla bilgi için bkz . SAPUsersGetPrivileged. Zamanlanan zaman aralığında aynı IP'den birkaç sistemde veya istemcide oturum açmayı deneme

Veri kaynakları: SAPcon - Denetim Günlüğü
Etki, YanAl Hareket
SAP - Deneme yanılma saldırıları RFC oturum açmalarını kullanarak SAP sisteminde deneme yanılma saldırılarını tanımlar RFC kullanarak zamanlanan zaman aralığında aynı IP'den birkaç sistemde/istemcide oturum açmayı deneme

Veri kaynakları: SAPcon - Denetim Günlüğü
Kimlik Bilgisi Erişimi
SAP - Aynı IP'den Birden Çok Oturum Açma Zamanlanmış bir zaman aralığı içinde aynı IP adresinden birkaç kullanıcının oturum açmasını tanımlar.

Alt kullanım örneği: Kalıcılık
Aynı IP adresi üzerinden birkaç kullanıcı kullanarak oturum açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
İlk Erişim
SAP - Kullanıcıya Göre Birden Çok Oturum Açma Zamanlanan zaman aralığı içinde birkaç terminalden aynı kullanıcının oturum açmalarını tanımlar.

SAP 7.5 ve üzeri sürümler için yalnızca Audit SAL yöntemiyle kullanılabilir.
Farklı IP adresleri kullanarak aynı kullanıcıyı kullanarak oturum açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Saldırı Öncesi, Kimlik Bilgisi Erişimi, İlk Erişim, Koleksiyon

Alt kullanım örneği: Kalıcılık
SAP - Bilgilendirme - Yaşam Döngüsü - SAP Notları sistemde uygulandı Sistemdeki SAP Not uygulamasını tanımlar. SNOTE/TCI kullanarak SAP Notu uygulama.

Veri kaynakları: SAPcon - Değişiklik İstekleri
-
SAP - (Önizleme) AS JAVA - Hassas Ayrıcalıklı Kullanıcı Oturum Açtı Beklenmeyen bir ağdan oturum açmayı tanımlar.

SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun.
Ayrıcalıklı kullanıcıları kullanarak arka uç sisteminde oturum açın.

Veri kaynakları: SAPJAVAFilesLog
İlk Erişim
SAP - (Önizleme) AS JAVA - Beklenmeyen Ağdan Oturum Açma Beklenmeyen bir ağdan oturum açmaları tanımlar.

SAP - Networks izleme listesinde ayrıcalıklı kullanıcıları koruyun.
SAP - Networks izleme listesindeki ağlardan birine atanmamış bir IP adresinden arka uç sisteminde oturum açın

Veri kaynakları: SAPJAVAFilesLog
İlk Erişim, Savunma Kaçamak

Veri sızdırma

Kural adı Açıklama Kaynak eylemi Taktikler
SAP - Yetkili olmayan sunucular için FTP Kimliği doğrulanmamış bir sunucu için FTP bağlantısı tanımlar. örneğin, FTP_CONNECT İşlev Modülünü kullanarak yeni bir FTP bağlantısı oluşturun.

Veri kaynakları: SAPcon - Denetim Günlüğü
Bulma, İlk Erişim, Komut ve Denetim
SAP - Güvenli olmayan FTP sunucuları yapılandırması Ftp izin verilenler listesinin boş olması veya yer tutucular içermesi gibi güvenli olmayan FTP sunucusu yapılandırmalarını tanımlar. Bakım görünümünü kullanarak SAPFTP_SERVERS_V tabloda yer tutucular SAPFTP_SERVERS içeren değerlerin bakımını yapmayın veya bakımını yapmayın. (SM30)

Veri kaynakları: SAPcon - Denetim Günlüğü
İlk Erişim, Komut ve Denetim
SAP - Birden Çok Dosya İndirme Belirli bir zaman aralığındaki bir kullanıcı için birden çok dosya indirmesi tanımlar. Excel için SAPGui, listeler vb. kullanarak birden çok dosya indirin.

Veri kaynakları: SAPcon - Denetim Günlüğü
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi
SAP - Birden Çok Biriktirici Yürütmesi Belirli bir zaman aralığında bir kullanıcı için birden çok biriktirici tanımlar. Bir kullanıcı tarafından herhangi bir türde birden çok biriktirici işi oluşturun ve çalıştırın. (SP01)

Veri kaynakları: SAPcon - Biriktirme Günlüğü, SAPcon - Denetim Günlüğü
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi
SAP - Birden Çok Biriktirici Çıktı Yürütmesi Belirli bir zaman aralığında bir kullanıcı için birden çok biriktirici tanımlar. Bir kullanıcı tarafından herhangi bir türde birden çok biriktirici işi oluşturun ve çalıştırın. (SP01)

Veri kaynakları: SAPcon - Biriktirme Çıktı Günlüğü, SAPcon - Denetim Günlüğü
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi
SAP - RFC Oturum Açma ile Hassas Tablolara Doğrudan Erişim RFC oturum açma yoluyla genel tablo erişimini tanımlar.

SAP - Hassas Tablolar izleme listesinde tabloları koruyun.

Yalnızca üretim sistemleri için geçerlidir.
SE11/SE16/SE16N kullanarak tablo içeriğini açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi
SAP - Spool Devralma Başka biri tarafından oluşturulan bir biriktirici isteğini yazdıran bir kullanıcıyı tanımlar. Bir kullanıcı kullanarak bir biriktirme isteği oluşturun ve ardından farklı bir kullanıcı kullanarak bu isteğin çıktısını oluşturun.

Veri kaynakları: SAPcon - Biriktirme Günlüğü, SAPcon - Biriktirme Çıktı Günlüğü, SAPcon - Denetim Günlüğü
Toplama, Sızdırma, Komut ve Denetim
SAP - Dinamik RFC Hedefi Dinamik hedefleri kullanarak RFC'nin yürütülmesini tanımlar.

Alt kullanım örneği: SAP güvenlik mekanizmalarını atlama girişimleri
Dinamik hedefler (cl_dynamic_destination) kullanan bir ABAP raporu yürütür. Örneğin, DEMO_RFC_DYNAMIC_DEST.

Veri kaynakları: SAPcon - Denetim Günlüğü
Toplama, Sızdırma
SAP - Hassas Tablolar İletişim KutusuYla Doğrudan Erişim Oturum Açma İletişim kutusuyla oturum açma yoluyla genel tablo erişimini tanımlar. kullanarak SE11//SE16SE16Ntablo içeriğini açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Bulma
SAP - (Önizleme) Kötü Amaçlı BIR IP Adresinden İndirilen Dosya Kötü amaçlı olduğu bilinen bir IP adresi kullanarak SAP sisteminden dosya indirilmesini tanımlar. Kötü amaçlı IP adresleri tehdit bilgileri hizmetlerinden elde edilir. Kötü amaçlı bir IP'den dosya indirin.

Veri kaynakları: SAP güvenliği Denetim günlüğü, Tehdit Bilgileri
Sızdırma
SAP - (Önizleme) Aktarım Kullanılarak Üretim Sisteminden Dışarı Aktarılan Veriler Aktarım kullanarak üretim sisteminden veri dışarı aktarmayı tanımlar. Aktarımlar geliştirme sistemlerinde kullanılır ve çekme isteklerine benzer. Bu uyarı kuralı, herhangi bir tablodaki verileri içeren bir aktarım üretim sisteminden yayınlandığında orta önem derecesinde olayları tetikler. Dışarı aktarma işlemi hassas bir tablodaki verileri içerdiğinde kural yüksek önem derecesine sahip bir olay oluşturur. Bir üretim sisteminden taşımayı serbest bırakın.

Veri kaynakları: SAP CR günlüğü, SAP - Hassas Tablolar
Sızdırma
SAP - (Önizleme) USB Sürücüsüne Kaydedilen Hassas Veriler SAP verilerinin dosyalar aracılığıyla dışarı aktarımını tanımlar. Kural, hassas bir işlemin yürütülmesine, hassas bir programa veya hassas bir tabloya doğrudan erişime yakın bir şekilde yakın zamanda takılı bir USB sürücüsüne kaydedilen verileri denetler. SAP verilerini dosyalar aracılığıyla dışarı aktarın ve bir USB sürücüsüne kaydedin.

Veri kaynakları: SAP Güvenlik Denetim Günlüğü, DeviceFileEvents (Uç Nokta için Microsoft Defender), SAP - Hassas Tablolar, SAP - Hassas İşlemler, SAP - Hassas Programlar
Sızdırma
SAP - (Önizleme) Hassas Olabilecek Verilerin Yazdırımı Hassas olabilecek verilerin bir isteği veya gerçek yazdırmayı tanımlar. Kullanıcı verileri hassas bir işlem, hassas bir programın yürütülmesi veya hassas bir tabloya doğrudan erişim kapsamında alırsa veriler hassas olarak kabul edilir. Hassas verileri yazdırmayı veya yazdırmayı isteme.

Veri kaynakları: SAP Güvenlik Denetim Günlüğü, SAP Biriktirme günlükleri, SAP - Hassas Tablolar, SAP - Hassas Programlar
Sızdırma
SAP - (Önizleme) Dışarı Aktarılan Hassas Olabilecek Yüksek Hacimli Veriler Hassas bir işlemin yürütülmesine, hassas bir programa veya hassas tabloya doğrudan erişime yakın dosyalar aracılığıyla yüksek hacimli verilerin dışarı aktarımını tanımlar. Dosyalar aracılığıyla yüksek hacimli verileri dışarı aktarın.

Veri kaynakları: SAP Güvenlik Denetim Günlüğü, SAP - Hassas Tablolar, SAP - Hassas İşlemler, SAP - Hassas Programlar
Sızdırma

Kalıcılık

Kural adı Açıklama Kaynak eylemi Taktikler
SAP - ICF Hizmetinin Etkinleştirilmesi veya Devre Dışı Bırakılması ICF Hizmetlerini etkinleştirmeyi veya devre dışı bırakma işlemini tanımlar. SICF kullanarak bir hizmeti etkinleştirme.

Veri kaynakları: SAPcon - Tablo Veri Günlüğü
Komut ve Denetim, YanAl Hareket, Kalıcılık
SAP - İşlev Modülü test edildi İşlev modülünün testini tanımlar. kullanarak bir işlev modülünü test edin SE37 / SE80.

Veri kaynakları: SAPcon - Denetim Günlüğü
Toplama, Savunma Kaçamak, Yanal Hareket
SAP - (ÖNİzLEME) HANA DB -Kullanıcı Yöneticisi eylemleri Kullanıcı yönetimi eylemlerini tanımlar. Veritabanı kullanıcısı oluşturma, güncelleştirme veya silme.

Veri Kaynakları: Linux Aracısı - Syslog*
Ayrıcalık Yükseltme
SAP - Yeni ICF Hizmet İşleyicileri ICF İşleyicilerinin oluşturulmasını tanımlar. SICF kullanarak hizmete yeni bir işleyici atayın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Komut ve Denetim, YanAl Hareket, Kalıcılık
SAP - Yeni ICF Hizmetleri ICF Hizmetlerinin oluşturulmasını tanımlar. SICF kullanarak bir hizmet oluşturun.

Veri kaynakları: SAPcon - Tablo Veri Günlüğü
Komut ve Denetim, YanAl Hareket, Kalıcılık
SAP - Eski veya Güvenli Olmayan İşlev Modülünün Yürütülmesi Eski veya güvenli olmayan bir ABAP işlev modülünün yürütülmesini tanımlar.

SAP - Eski İşlev Modülleri izleme listesinde eski işlevleri koruyun. Arka uçtaki tablo için EUFUNC tablo günlüğü değişikliklerini etkinleştirdiğinizden emin olun. (SE13)

Yalnızca üretim sistemleri için geçerlidir.
SE37 kullanarak eski veya güvenli olmayan bir işlev modülünü doğrudan çalıştırın.

Veri kaynakları: SAPcon - Tablo Veri Günlüğü
Bulma, Komut ve Denetim
SAP - Kullanımdan Kaldırılmış/Güvenli Olmayan Programın Yürütülmesi Eski veya güvenli olmayan bir ABAP programının yürütülmesini tanımlar.

SAP - Eski Programlar izleme listesinde eski programları koruyun.

Yalnızca üretim sistemleri için geçerlidir.
Se38/SA38/SE80 kullanarak veya arka plan işi kullanarak bir programı doğrudan çalıştırın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Bulma, Komut ve Denetim
SAP - Kullanıcıya Göre Birden Çok Parola Değişikliği Kullanıcıya göre birden çok parola değişikliği tanımlar. Kullanıcı parolasını değiştirme

Veri kaynakları: SAPcon - Denetim Günlüğü
Kimlik Bilgisi Erişimi
SAP - (Önizleme) AS JAVA - Kullanıcı Yeni Kullanıcı Oluşturup Kullanıyor SAP AS Java ortamındaki yöneticiler tarafından kullanıcıların oluşturulmasını veya değiştirilmesini tanımlar. Oluşturduğunuz veya değiştirdiğiniz kullanıcıları kullanarak arka uç sisteminde oturum açın.

Veri kaynakları: SAPJAVAFilesLog
Kalıcılık

SAP güvenlik mekanizmalarını atlama girişimleri

Kural adı Açıklama Kaynak eylemi Taktikler
SAP - İstemci Yapılandırma Değişikliği İstemci rolü veya değişiklik kayıt modu gibi istemci yapılandırması değişikliklerini tanımlar. İşlem kodunu kullanarak istemci yapılandırma değişiklikleri gerçekleştirin SCC4 .

Veri kaynakları: SAPcon - Denetim Günlüğü
Savunma Kaçamak, Sızdırma, Kalıcılık
SAP - Hata Ayıklama Etkinliği Sırasında Veriler Değişti Hata ayıklama etkinliği sırasında çalışma zamanı verilerine yönelik değişiklikleri tanımlar.

Alt kullanım örneği: Kalıcılık
1. Hata Ayıklamayı Etkinleştir ("/h").
2. Değişiklik için bir alan seçin ve değerini güncelleştirin.

Veri kaynakları: SAPcon - Denetim Günlüğü
Yürütme, YanAl Hareket
SAP - Güvenlik Denetim Günlüğünü Devre Dışı Bırakma Güvenlik Denetim Günlüğü'nü devre dışı bırakma işlemini tanımlar, kullanarak SM19/RSAU_CONFIGgüvenlik Denetim Günlüğü'nü devre dışı bırakın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Sızdırma, Savunma Kaçamak, Kalıcılık
SAP - Hassas BIR ABAP Programının Yürütülmesi Hassas bir ABAP programının doğrudan yürütülmesini tanımlar.

SAP - Hassas ABAP Programları izleme listesinde ABAP Programlarını koruyun.
Kullanarak SE38//SA38SE80bir programı doğrudan çalıştırın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Sızdırma, YanAl Hareket, Yürütme
SAP - Hassas İşlem Kodunu Yürütme Hassas bir İşlem Kodunun yürütülmesini tanımlar.

SAP - Hassas İşlem Kodları izleme listesinde işlem kodlarını koruyun.
Hassas bir işlem kodu çalıştırın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Bulma, Yürütme
SAP - Hassas İşlev Modülünün Yürütülmesi Hassas bir ABAP işlev modülünün yürütülmesini tanımlar.

Alt kullanım örneği: Kalıcılık

Yalnızca üretim sistemleri için geçerlidir.

SAP - Hassas İşlev Modülleri izleme listesinde hassas işlevleri koruyun ve EUFUNC tablosunun arka uçtaki tablo günlüğü değişikliklerini etkinleştirdiğinizden emin olun. (SE13)
SE37 kullanarak hassas bir işlev modülünü doğrudan çalıştırın.

Veri kaynakları: SAPcon - Tablo Veri Günlüğü
Bulma, Komut ve Denetim
SAP - (ÖNİzLEME) HANA DB -Denetim İzi İlkesi Değişiklikleri HANA DB denetim izi ilkelerine yönelik değişiklikleri tanımlar. Güvenlik tanımlarında mevcut denetim ilkesini oluşturun veya güncelleştirin.

Veri kaynakları: Linux Aracısı - Syslog
Yanal Hareket, Savunma Kaçamak, Kalıcılık
SAP - (ÖNİzLEME) HANA DB -Denetim İzinin Devre Dışı Bırakılması HANA DB denetim günlüğünü devre dışı bırakma işlemini tanımlar. HANA DB güvenlik tanımında denetim günlüğünü devre dışı bırakın.

Veri kaynakları: Linux Aracısı - Syslog
Kalıcılık, Yanal Hareket, Savunma Kaçamak
SAP - Hassas İşlev Modülünün Yetkisiz Uzaktan Yürütülmesi Yakın zamanda değiştirilen yetkilendirmeleri göz ardı ederken etkinliği kullanıcının yetkilendirme profiliyle karşılaştırarak hassas FM'lerin yetkisiz yürütmelerini algılar.

SAP - Hassas İşlev Modülleri izleme listesinde işlev modüllerini koruyun.
RFC kullanarak bir işlev modülü çalıştırın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Yürütme, YanAl Hareket, Keşif
SAP - Sistem Yapılandırma Değişikliği Sistem yapılandırmasına yönelik değişiklikleri tanımlar. İşlem kodunu kullanarak sistem değişikliği seçeneklerini veya yazılım bileşeni değişikliklerini uyarlayın SE06 .

Veri kaynakları: SAPcon - Denetim Günlüğü
Sızdırma, Savunma Kaçamak, Kalıcılık
SAP - Hata Ayıklama Etkinlikleri Hata ayıklamayla ilgili tüm etkinlikleri tanımlar.

Alt kullanım örneği: Kalıcılık
Sistemde Hata Ayıklamayı ("/h") etkinleştirin, etkin bir işlemde hata ayıklayın, kaynak koda kesme noktası ekleyin vb.

Veri kaynakları: SAPcon - Denetim Günlüğü
Bulma
SAP - Güvenlik Denetim Günlüğü Yapılandırma Değişikliği Güvenlik Denetim Günlüğü yapılandırmasındaki değişiklikleri tanımlar kullanarak SM19/RSAU_CONFIGfiltreler, durum, kayıt modu gibi güvenlik denetim günlüğü yapılandırmasını değiştirin.

Veri kaynakları: SAPcon - Denetim Günlüğü
Kalıcılık, Sızdırma, Savunma Kaçamak
SAP - İşlemin kilidi açık Bir işlemin kilidinin açılmasını tanımlar. kullanarak SM01//SM01_DEVSM01_CUSişlem kodunun kilidini açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Kalıcılık, Yürütme
SAP - Dinamik ABAP Programı Dinamik ABAP programlamanın yürütülmesini tanımlar. Örneğin, ABAP kodu dinamik olarak oluşturulduğunda, değiştirildiğinde veya silindiğinde.

SAP - ABAP Nesilleri için işlemler izleme listesinde hariç tutulan işlem kodlarını koruyun.
INSERT REPORT gibi ABAP program oluşturma komutlarını kullanan bir ABAP Raporu oluşturun ve raporu çalıştırın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Bulma, Komut ve Denetim, Etki

Şüpheli ayrıcalık işlemleri

Kural adı Açıklama Kaynak eylemi Taktikler
SAP - Hassas ayrıcalıklı kullanıcıda değişiklik Hassas ayrıcalıklı kullanıcıların değişikliklerini tanımlar.

SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun.
kullanarak SU01kullanıcı ayrıntılarını /yetkilendirmelerini değiştirin.

Veri kaynakları: SAPcon - Denetim Günlüğü
Ayrıcalık Yükseltme, Kimlik Bilgisi Erişimi
SAP - (ÖNİzLEME) HANA DB -Yönetici Yetkilendirmeleri Atama Yönetici ayrıcalığını veya rol atamalarını tanımlar. Herhangi bir yönetici rolüne veya ayrıcalığına sahip bir kullanıcı atayın.

Veri kaynakları: Linux Aracısı - Syslog
Ayrıcalık Yükseltme
SAP - Oturum açmış hassas ayrıcalıklı kullanıcı Hassas ayrıcalıklı bir kullanıcının İletişim kutusu oturum açmasını tanımlar.

SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun.
veya başka bir ayrıcalıklı kullanıcı kullanarak SAP* arka uç sisteminde oturum açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
İlk Erişim, Kimlik Bilgisi Erişimi
SAP - Hassas ayrıcalıklı kullanıcı diğer kullanıcıda değişiklik yapar Diğer kullanıcılardaki hassas, ayrıcalıklı kullanıcıların değişikliklerini tanımlar. SU01 kullanarak kullanıcı ayrıntılarını /yetkilendirmelerini değiştirin.

Veri Kaynakları: SAPcon - Denetim Günlüğü
Ayrıcalık Yükseltme, Kimlik Bilgisi Erişimi
SAP - Hassas Kullanıcılar Parola Değişikliği ve Oturum Açma Ayrıcalıklı kullanıcılar için parola değişikliklerini tanımlar. Ayrıcalıklı bir kullanıcının parolasını değiştirin ve sistemde oturum açın.
SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun.

Veri kaynakları: SAPcon - Denetim Günlüğü
Etki, Komut ve Denetim, Ayrıcalık Yükseltme
SAP - Kullanıcı Yeni kullanıcı oluşturur ve kullanır Diğer kullanıcıları oluşturan ve kullanan bir kullanıcıyı tanımlar.

Alt kullanım örneği: Kalıcılık
SU01 kullanarak bir kullanıcı oluşturun ve yeni oluşturulan kullanıcıyı ve aynı IP adresini kullanarak oturum açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Bulma, Saldırı Öncesi, İlk Erişim
SAP - Kullanıcı Kilidini Açar ve diğer kullanıcıları kullanır Kilidi açılmış ve diğer kullanıcılar tarafından kullanılan bir kullanıcıyı tanımlar.

Alt kullanım örneği: Kalıcılık
SU01 kullanarak bir kullanıcının kilidini açın ve ardından kilidi açılmış kullanıcıyı ve aynı IP adresini kullanarak oturum açın.

Veri kaynakları: SAPcon - Denetim Günlüğü, SAPcon - Belge Günlüğünü Değiştir
Keşif, Saldırı Öncesi, İlk Erişim, YanAl Hareket
SAP - Hassas profil atama Kullanıcıya hassas bir profilin yeni atamalarını tanımlar.

SAP - Hassas Profiller izleme listesinde hassas profilleri koruyun.
kullanarak bir kullanıcıya profil atayın SU01.

Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir
Ayrıcalık Yükseltme
SAP - Hassas bir rolün atanma Kullanıcıya hassas bir rol için yeni atamalar tanımlar.

SAP - Hassas Roller izleme listesinde hassas rolleri koruyun.
kullanarak bir kullanıcıya rol atayın SU01 / PFCG.

Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir, Denetim Günlüğü
Ayrıcalık Yükseltme
SAP - (ÖNİzLEME) Kritik yetkilendirme ataması - Yeni Yetkilendirme Değeri Kritik yetkilendirme nesnesi değerinin yeni bir kullanıcıya atanma durumunu tanımlar.

SAP - Kritik Yetkilendirme Nesneleri izleme listesinde kritik yetkilendirme nesnelerini koruyun.
kullanarak PFCGyeni bir yetkilendirme nesnesi atayın veya bir roldeki mevcut bir nesneyi güncelleştirin.

Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir
Ayrıcalık Yükseltme
SAP - Kritik yetkilendirme ataması - Yeni Kullanıcı Ataması Kritik yetkilendirme nesnesi değerinin yeni bir kullanıcıya atanma durumunu tanımlar.

SAP - Kritik Yetkilendirme Nesneleri izleme listesinde kritik yetkilendirme nesnelerini koruyun.
kullanarak kritik yetkilendirme değerlerini barındıran bir role yeni bir kullanıcı atayın SU01/PFCG.

Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir
Ayrıcalık Yükseltme
SAP - Hassas Rol Değişiklikleri Hassas rollerdeki değişiklikleri tanımlar.

SAP - Hassas Roller izleme listesinde hassas rolleri koruyun.
PFCG kullanarak bir rolü değiştirin.

Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir, SAPcon – Denetim Günlüğü
Etki, Ayrıcalık Yükseltme, Kalıcılık

Kullanılabilir izleme listeleri

Aşağıdaki tabloda SAP uygulamaları için Microsoft Sentinel çözümü için kullanılabilen izleme listeleri ve her izleme listesindeki alanlar listelenmiştir.

Bu izleme listeleri SAP uygulamaları için Microsoft Sentinel çözümünün yapılandırmasını sağlar. SAP izleme listeleri Microsoft Sentinel GitHub deposunda bulunur.

İzleme listesi adı Açıklama ve alanlar
SAP - Kritik Yetkilendirme Nesneleri Atamaların idare edilmesi gereken Kritik Yetkilendirmeler nesnesi.

- AuthorizationObject: , S_TCODEveya gibi S_DEVELOPbir SAP yetkilendirme nesnesiTable TOBJ
- AuthorizationField: veya gibi OBJTYP bir SAP yetkilendirme alanı TCD
- AuthorizationValue: SAP yetkilendirme alanı değeri, örneğin DEBUG
- ActivityField : SAP etkinlik alanı. Çoğu durumda, bu değer şeklindedir ACTVT. Etkinliği olmayan veya yalnızca Bir Etkinlik alanı olan ve ile NOT_IN_USEdoldurulmuş Yetkilendirme nesneleri için.
- Etkinlik: Yetkilendirme nesnesine göre SAP etkinliği, örneğin: 01Oluşturma; 02: Değiştir; 03: Görüntüleme vb.
- Açıklama: Anlamlı bir Kritik Yetkilendirme Nesnesi açıklaması.
SAP - Dışlanan Ağlar Dışlanan ağların iç bakımı için, örneğin web dağıtıcılarını, terminal sunucularını vb. yoksayın.

-: Gibi bir ağ IP adresi veya aralığı 111.68.128.0/17.
-Açıklama: Anlamlı bir ağ açıklaması.
SAP Dışlanan Kullanıcılar Sistemde oturum açmış olan ve yoksayılması gereken sistem kullanıcıları. Örneğin, aynı kullanıcı tarafından birden çok oturum açma için uyarılar.

- Kullanıcı: SAP Kullanıcısı
-Açıklama: Anlamlı bir kullanıcı açıklaması.
SAP - Ağlar Yetkisiz oturum açma bilgilerinin tanımlanması için iç ve bakım ağları.

- : Ağ IP adresi veya aralığı, örneğin 111.68.128.0/17
- Açıklama: Anlamlı bir ağ açıklaması.
SAP - Ayrıcalıklı Kullanıcılar Ek kısıtlamalar altında olan ayrıcalıklı kullanıcılar.

- Kullanıcı: VEYA gibi DDIC ABAP kullanıcısı SAP
- Açıklama: Anlamlı bir kullanıcı açıklaması.
SAP - Hassas ABAP Programları Yürütmenin idare edilmesi gereken hassas ABAP programları (raporlar).

- ABAPProgram: ABAP programı veya raporu, örneğin RSPFLDOC
- Açıklama: Anlamlı bir program açıklaması.
SAP - Hassas İşlev Modülü Yetkisiz oturum açma bilgilerinin tanımlanması için iç ve bakım ağları.

- FunctionModule: ABAP işlevi modülü, örneğin RSAU_CLEAR_AUDIT_LOG
- Açıklama: Anlamlı bir modül açıklaması.
SAP - Hassas Profiller Atamaların idare edilmesi gereken hassas profiller.

- Profil: veya gibi SAP_ALL SAP yetkilendirme profili SAP_NEW
- Açıklama: Anlamlı bir profil açıklaması.
SAP - Hassas Tablolar Erişimin idare edilmesi gereken hassas tablolar.

- Tablo: VEYA gibi USR02 ABAP Sözlük Tablosu PA008
- Açıklama: Anlamlı bir tablo açıklaması.
SAP - Hassas Roller Atamanın yönetileceği hassas roller.

- Rol: SAP yetkilendirme rolü, örneğin SAP_BC_BASIS_ADMIN
- Açıklama: Anlamlı bir rol açıklaması.
SAP - Hassas İşlemler Yürütmenin yönetilmesi gereken hassas işlemler.

- TransactionCode: SAP işlem kodu, örneğin RZ11
- Açıklama: Anlamlı bir kod açıklaması.
SAP - Sistemler SAP sistemlerinin ortamını role, kullanıma ve yapılandırmaya göre açıklar.

- SystemID: SAP sistem kimliği (SYSID)
- SystemRole: SAP sistem rolü, şu değerlerden biri: Sandbox, Development, Quality Assurance, Training, , Production
- SystemUsage: SAP sistem kullanımı, şu değerlerden biri: ERP, BW, Solman, , Gateway, Enterprise Portal
- InterfaceAttributes: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre.
SAPSystemParameters Şüpheli yapılandırma değişikliklerini izlemek için parametreler. Bu izleme listesi önerilen değerlerle önceden doldurulur (SAP en iyi uygulamasına göre) ve izleme listesini daha fazla parametre içerecek şekilde genişletebilirsiniz. Bir parametre için uyarı almak istemiyorsanız olarak ayarlayın EnableAlerts false.

- ParameterName: Parametrenin adı.
- Açıklama: SAP standart parametre açıklaması.
- EnableAlerts: Bu parametre için uyarıların etkinleştirilip etkinleştirilmeymeyeceğini tanımlar. Değerler ve falseşeklindedirtrue.
- Seçenek: Hangi durumda uyarı tetikleyebileceğinizi tanımlar: Parametre değeri daha büyük veya eşitse (GE), küçük veya eşit (LE) veya eşittir (EQ)
Örneğin, SAP parametresi (küçük veya eşit) olarak ayarlanırsa login/fails_to_user_lock LE ve 5değeri ise, Microsoft Sentinel bu parametrede bir değişiklik algıladıktan sonra, yeni bildirilen değeri ve beklenen değeri karşılaştırır. Yeni değer ise 4, Microsoft Sentinel uyarı tetiklemez. Yeni değer ise 6, Microsoft Sentinel bir uyarı tetikler.
- ProductionSeverity: Üretim sistemleri için olay önem derecesi.
- ProductionValues: Üretim sistemleri için izin verilen değerler.
- NonProdSeverity: Üretim dışı sistemler için olay önem derecesi.
- NonProdValues: Üretim dışı sistemler için izin verilen değerler.
SAP - Dışlanan Kullanıcılar Oturum açmış ve kullanıcı tarafından birden çok oturum açma uyarısı gibi yoksayılması gereken sistem kullanıcıları.

- Kullanıcı: SAP Kullanıcısı
- Açıklama: Anlamlı bir kullanıcı açıklaması
SAP - Dışlanan Ağlar Web dağıtıcılarını, terminal sunucularını vb. yoksaymak için dahili, dışlanmış ağları koruyun.

- : Ağ IP adresi veya aralığı, örneğin 111.68.128.0/17
- Açıklama: Anlamlı bir ağ açıklaması
SAP - Eski İşlev Modülleri Yürütmesi yönetilecek olan eski işlev modülleri.

- FunctionModule: TH_SAPREL gibi ABAP İşlev Modülü
- Açıklama: Anlamlı bir işlev modülü açıklaması
SAP - Eski Programlar Yürütmesi yönetilecek olan eski ABAP programları (raporlar).

- TH_ RSPFLDOC gibi ABAPProgram:ABAP Programı
- Açıklama: Anlamlı bir ABAP programı açıklaması
SAP - ABAP Nesilleri için İşlemler Yürütmenin idare edilmesi gereken ABAP nesilleri için işlemler.

- TransactionCode: SE11 gibi İşlem Kodu.
- Açıklama: Anlamlı bir İşlem Kodu açıklaması
SAP - FTP Sunucuları Yetkisiz bağlantıların tanımlanması için FTP Sunucuları.

- İstemci: 100 gibi.
- FTP_Server_Name: FTP sunucusu adı, örneğinhttp://contoso.com/
-FTP_Server_Port:FTP sunucu bağlantı noktası, örneğin 22.
- AçıklamaAnlamlı bir FTP Sunucusu açıklaması
SAP_Dynamic_Audit_Log_Monitor_Configuration Her ileti kimliğine sistem rolü başına (üretim, üretim dışı) gereken önem düzeyi atayarak SAP denetim günlüğü uyarılarını yapılandırın. Bu izleme listesi tüm kullanılabilir SAP standart denetim günlüğü ileti kimliklerini ayrıntılarıyla açıklar. İzleme listesi, SAP NetWeaver sistemlerinde ABAP geliştirmelerini kullanarak kendi başınıza oluşturabileceğiniz ek ileti kimlikleri içerecek şekilde genişletilebilir. Bu izleme listesi ayrıca, belirlenen bir ekibi olay türlerinin her birini işleyecek şekilde yapılandırmaya ve kullanıcıları SAP rollerine, SAP profillerine veya SAP_User_Config izleme listesindeki etiketlere göre hariç tutmanıza olanak tanır. Bu izleme listesi, SAP denetim günlüğünü izlemek için yerleşik SAP analiz kurallarını yapılandırmak için kullanılan temel bileşenlerden biridir. Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme.

- MessageID: SAP İleti Kimliği veya (Kullanıcı ana kaydı değişiklikleri) veya AUB (yetkilendirme değişiklikleri) gibi AUD olay türü.
- DetailedDescription: Olay bölmesinde gösterilecek markdown özellikli bir açıklama.
- ProductionSeverity: üretim sistemleri Highiçin ile oluşturulacak olayın istenen önem derecesi, Medium. olarak Disabledayarlanabilir.
- NonProdSeverity: üretim dışı sistemler Highiçin ile oluşturulacak olayın istenen önem derecesi , Medium. olarak Disabledayarlanabilir.
- ProductionThreshold Üretim sistemleri 60için şüpheli olarak değerlendirilecek olayların "saat başına" sayısı.
- NonProdThreshold Üretim dışı sistemler 10için şüpheli olarak değerlendirilecek olayların "Saat başına" sayısı.
- RolesTagsToExclude: Bu alan, SAP_User_Config izleme listesindeki SAP rol adını, SAP profil adlarını veya etiketlerini kabul eder. Bunlar daha sonra ilişkili kullanıcıları belirli olay türlerinin dışında tutmak için kullanılır. Bu listenin sonundaki rol etiketleri seçeneklerine bakın.
- RuleType: OLAY türünün SAP - Dinamik Belirleyici Denetim Günlüğü İzleyicisi kuralına gönderilmesi veya AnomaliesOnly bu olayın SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) kuralının kapsamına alınması için kullanınDeterministic. Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme.
- TeamsChannelID: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre.
- DestinationEmail: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre.

RolesTagsToExclude alanı için:
- SAP rollerini veya SAP profillerini listelerseniz, bu, listelenen rollere veya profillere sahip tüm kullanıcıları aynı SAP sistemi için bu olay türlerinden dışlar. Örneğin, RFC ile ilgili olay türleri için ABAP rolünü tanımlarsanız BASIC_BO_USERS , İş Nesneleri kullanıcıları büyük RFC çağrıları yaparken olayları tetiklemez.
- Bir olay türünün etiketlenmesi SAP rollerini veya profillerini belirtmeye benzer, ancak çalışma alanında etiketler oluşturulabilir, böylece SOC ekipleri SAP BASIS ekibine bağlı olmadan kullanıcıları etkinliğe göre dışlayabilir. Örneğin, denetim iletisi kimlikleri AUB (yetkilendirme değişiklikleri) ve AUD (kullanıcı ana kaydı değişiklikleri) etiketi atanır MassiveAuthChanges . Bu etikete atanan kullanıcılar, bu etkinliklere yönelik denetimlerden dışlanır. çalışma alanı SAPAuditLogConfigRecommend işlevini çalıştırmak, kullanıcılara atanması önerilen etiketlerin bir listesini oluşturur, örneğin Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist.
SAP_User_Config Belirli bağlamlardaki /dahil kullanıcıları dışlayarak uyarıların ince ayarlanmasına olanak tanır ve SAP denetim günlüğünü izlemek için yerleşik SAP analiz kurallarını yapılandırmak için de kullanılır. Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme.

- SAPUser: SAP kullanıcısı
- Etiketler: Etiketler, belirli etkinliklere karşı kullanıcıları tanımlamak için kullanılır. Örneğin kullanıcı SENTINEL_SRV ["GenericTablebyRFCOK"] etiketlerini eklemek, bu kullanıcı için RFC ile ilgili olayların oluşturulmasını engeller
Diğer Active Directory kullanıcı tanımlayıcıları
- AD Kullanıcı Tanımlayıcısı
- Kullanıcı Şirket İçi Sid
- Kullanıcı Asıl Adı

Kullanılabilir playbook'lar

SAP uygulamaları için Microsoft Sentinel çözümü tarafından sağlanan playbook'lar SAP olay yanıtı iş yüklerini otomatikleştirmenize yardımcı olur ve güvenlik işlemlerinin verimliliğini ve verimliliğini artırır.

Bu bölümde, SAP uygulamaları için Microsoft Sentinel çözümüyle birlikte sağlanan yerleşik analiz playbook'ları açıklanmaktadır.

Playbook adı Parametreler Bağlantılar
SAP Olay Yanıtı - Kullanıcıyı Teams'den kilitleme - Temel - SAP-SOAP-Kullanıcı Parolası
- SAP-SOAP-Kullanıcı Adı
- SOAPApiBasePath
- DefaultEmail
- TeamsChannel
- Microsoft Sentinel
- Microsoft Teams
SAP Olay Yanıtı - Kullanıcıyı Teams'den kilitleme - Gelişmiş - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
- Microsoft Sentinel
- Azure İzleyici Günlükleri
- Office 365 Outlook
- Microsoft Entra Id
- Azure Key Vault
- Microsoft Teams
SAP Olay Yanıtı - Denetim günlüğünü devre dışı bırakıldıktan sonra yeniden etkinleştir - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
- Microsoft Sentinel
- Azure Key Vault
- Azure İzleyici Günlükleri
- Microsoft Teams

Aşağıdaki bölümlerde, bir olayın sap sistemlerinden birinde şüpheli etkinlik konusunda sizi uyardığı ve kullanıcının bu son derece hassas işlemlerden birini yürütmeye çalıştığı bir senaryoda sağlanan playbook'ların her biri için örnek kullanım örnekleri açıklanmaktadır.

Olay önceliklendirme aşamasında, sap ERP veya BTP sistemlerinizden, hatta Microsoft Entra ID'den başlatarak bu kullanıcıya karşı işlem yapmaya karar verirsiniz.

Daha fazla bilgi için bkz. Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme

Standart mantıksal uygulamaları dağıtma işlemi genellikle Tüketim mantığı uygulamalarına göre daha karmaşıktır. Bunları Microsoft Sentinel GitHub deposundan hızla dağıtmanıza yardımcı olacak bir dizi kısayol oluşturduk. Daha fazla bilgi için bkz . Adım Adım Yükleme Kılavuzu.

Kullanıcıyı tek bir sistemden kilitleme

Yetkisiz bir kullanıcı tarafından hassas bir işlem yürütme algılandığında Teams - Temel playbook'tan Kilit kullanıcısını çağırmak için bir otomasyon kuralı oluşturun. Bu playbook, kullanıcıyı tek taraflı olarak engellemeden önce onay istemek için Teams'in uyarlamalı kartlar özelliğini kullanır.

Daha fazla bilgi için kritik SAP güvenlik sinyalleriniz için bkz . Microsoft Sentinel ile sıfırdan kahramana güvenlik kapsamı - Beni duyacaksınız SOAR! Bölüm 1 (SAP blog gönderisi).

Teams 'den Kilit kullanıcısı - Temel playbook bir Standart playbook'tır ve Standart playbook'ların dağıtılması genellikle Tüketim playbook'larından daha karmaşıktır.

Bunları Microsoft Sentinel GitHub deposundan hızla dağıtmanıza yardımcı olacak bir dizi kısayol oluşturduk. Daha fazla bilgi için bkz . Adım Adım Yükleme Kılavuzu ve Desteklenen mantıksal uygulama türleri.

Kullanıcıyı birden çok sistemden kilitleme

Teams - Gelişmiş playbook'tan Kilit kullanıcısı aynı hedefi gerçekleştirir, ancak daha karmaşık senaryolar için tasarlanmıştır ve her biri kendi SAP SID'sine sahip birden çok SAP sistemi için tek bir playbook kullanılmasına olanak tanır.

Teams 'den Kullanıcıyı Kilitle - Gelişmiş playbook, SAP - Systems izleme listesindeki ve Azure Key Vault'taki isteğe bağlı Dinamik InterfaceAttributes parametresini kullanarak bu sistemlerin tümüne ve kimlik bilgilerine yönelik bağlantıları sorunsuz bir şekilde yönetir.

Teams'den kullanıcıyı kilitle - Gelişmiş playbook, SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesindeki TeamsChannelID ve DestinationEmail parametrelerini kullanarak Teams ile birlikte Outlook eyleme dönüştürülebilir iletileri kullanarak onay sürecindeki taraflarla iletişim kurmanızı da sağlar.

Daha fazla bilgi için bkz . Kritik SAP güvenlik sinyalleriniz için Microsoft Sentinel ile sıfırdan kahramana güvenlik kapsamı – Bölüm 2 (SAP blog gönderisi).

Denetim günlüğünün devre dışı bırakılmasını önleme

Ayrıca, güvenlik veri kaynaklarınızdan biri olan SAP denetim günlüğünün devre dışı bırakılmasından da endişe duyabilirsiniz. SAP denetim günlüğünün devre dışı bırakılmadığından emin olmak için playbook devre dışı bırakıldıktan sonra Yeniden Etkinleştir denetim günlüğünü çağırmak için SAP - Güvenlik Denetim Günlüğü analizinin devre dışı bırakılması kuralını temel alan bir otomasyon kuralı oluşturmanızı öneririz.

SAP - Güvenlik Denetim Günlüğü playbook'unun devre dışı bırakılması, Teams'i de kullanır ve güvenlik personelini bundan sonra bilgilendirir. Suçun önem derecesi ve risk azaltmanın aciliyeti, onay gerektirmeden anında işlem yapılabilmesini gösterir.

SAP - Güvenlik Denetim Günlüğü playbook'unun devre dışı bırakılması kimlik bilgilerini yönetmek için Azure Key Vault'u da kullandığından, playbook'un yapılandırması Teams 'den kullanıcıyı kilitle - Gelişmiş playbook'unkine benzer. Daha fazla bilgi için kritik SAP güvenlik sinyalleriniz için Microsoft Sentinel ile sıfırdan kahramana güvenlik kapsamı – Bölüm 3 (SAP blog gönderisi) bölümüne bakın.

Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma.