適用於 SAP 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考
本文詳述適用於 SAP Microsoft Sentinel 解決方案的安全性內容。
重要
雖然 SAP 應用程式的Microsoft Sentinel 解決方案處於 GA 狀態,但某些特定元件仍維持在預覽狀態。 本文說明下列相關章節中處於預覽狀態的元件。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
可用的安全性內容包含內建活頁簿和分析規則。 您也可以新增 SAP 相關 關注清單 ,以用於搜尋、偵測規則、威脅搜捕和回應劇本。
本文中的內容適用於您的 安全性 小組。
內建活頁簿
使用下列內建活頁簿,以可視化方式檢視及監視透過 SAP 資料連接器內嵌的數據。 部署 SAP 解決方案之後,您可以在 [範本] 索引標籤中找到 SAP 活頁簿。
| 活頁簿名稱 | 描述 | 記錄 |
|---|---|---|
| SAP - 稽核記錄瀏覽器 | 顯示資料,例如: - 一般系統健康情況,包括一段時間的使用者登入、系統擷取的事件、訊息類別和標識碼,以及ABAP程式執行 -系統中發生的事件嚴重性 - 在您的系統中發生的驗證和授權事件 |
使用下列記錄中的資料: ABAPAuditLog_CL |
| SAP 稽核控件 | 協助您檢查 SAP 環境的安全性控制,以符合您選擇的控件架構,並使用工具來執行下列動作: - 將環境中的分析規則指派給特定的安全性控制和控制系列 - 監視和分類 SAP 解決方案型分析規則所產生的事件 - 回報合規性 |
使用下表中的資料: - SecurityAlert- SecurityIncident |
如需詳細資訊,請參閱 教學課程:可視化和監視您的數據 ,以及 部署適用於 SAP 應用程式的 Sentinel 解決方案Microsoft。
內建分析規則
本節說明一系列 內建分析規則 ,以及適用於 SAP 應用程式的 Microsoft Sentinel 解決方案。 如需最新的更新,請檢查Microsoft Sentinel 內容中樞是否有新的和更新的規則。
監視靜態 SAP 安全性參數的設定 (預覽)
為了保護 SAP 系統,SAP 已識別需要監視變更的安全性相關參數。 使用「SAP - (預覽)敏感性靜態參數已變更」規則,SAP 應用程式的Microsoft Sentinel 解決方案會追蹤 SAP 系統中超過 52 個靜態安全性相關參數,這些參數 內建於 Microsoft Sentinel 中。
注意
若要讓 SAP 應用程式的Microsoft Sentinel 解決方案成功監視 SAP 安全性參數,解決方案必須定期成功監視 SAP PAHI 數據表。 如需詳細資訊,請參閱 確認PAHI資料表會定期更新。
為了了解系統中的參數變更,SAP 應用程式的Microsoft Sentinel 解決方案會使用參數歷程記錄數據表,以記錄每小時對系統參數所做的變更。
參數也會反映在 SAPSystemParameters 關注清單中。 此關注清單可讓使用者新增參數、停用現有的參數,以及修改生產環境或非生產環境中每個參數和系統角色的值和嚴重性。
對其中一個參數進行變更時,Microsoft Sentinel 會檢查變更是否與安全性相關,以及值是否根據建議的值進行設定。 如果變更懷疑在安全區域之外,Microsoft Sentinel 會建立詳細數據變更的事件,並識別變更的人員。
檢閱 此規則所監視的參數 清單。
監視 SAP 稽核記錄
適用於 SAP 應用程式的 Microsoft Sentinel 解決方案中的許多分析規則都會使用 SAP 稽核記錄數據。 某些分析規則會尋找記錄中的特定事件,而其他則與數個記錄中的指示相互關聯,以建立高逼真度警示和事件。
使用下列分析規則來監視 SAP 系統上的所有稽核記錄事件,或只在偵測到異常時觸發警示:
| 規則名稱 | 描述 |
|---|---|
| SAP - 動態安全性稽核記錄監視器中的遺漏設定 | 根據預設,每天執行以提供 SAP 稽核記錄模組的設定建議。 使用規則範本來建立和自定義工作區的規則。 |
| SAP - 動態確定性稽核記錄監視器 (預覽) | 根據預設,每隔 10 分鐘執行一次,並將焦點放在標示為 確定性的 SAP 稽核記錄事件上。 使用規則範本來建立和自定義工作區的規則,例如較低的誤判率。 此規則需要具決定性的警示閾值和使用者排除規則。 |
| SAP - 動態異常型稽核記錄監視器警示 (預覽) | 根據預設,每小時執行並著重於標示為 AnomaliesOnly 的 SAP 事件,並在偵測到異常時警示 SAP 稽核記錄事件。 此規則會套用額外的機器學習演算法,以不受監督的方式篩選出背景雜訊。 |
根據預設,SAP 稽核記錄中的大部分事件類型或 SAP 訊息識別碼都會傳送至異常式動態異常型稽核記錄監視器警示 (預覽) 分析規則,而更容易定義事件類型,則會傳送至具決定性的動態確定性稽核記錄監視器 (PREVIEW) 分析規則。 此設定以及其他相關設定,可以進一步設定為符合任何系統條件。
SAP 稽核記錄監視規則會作為 SAP 解決方案安全性內容的Microsoft Sentinel 的一部分來傳遞,並允許使用SAP_Dynamic_Audit_Log_Monitor_Configuration和SAP_User_Config關注清單進一步微調。
例如,下表列出數個範例,說明如何使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 關注清單來設定產生事件的事件類型,以減少產生的事件數目。
| 選項 | 描述 |
|---|---|
| 設定嚴重性並停用垃圾事件 | 根據預設,根據異常規則和規則,都會針對標示為中高嚴重性的事件建立警示。 您可能想要個別設定生產環境和非生產環境的嚴重性。 例如,您可以將偵錯活動事件設定為 生產系統中的高 嚴重性,並在非生產系統中完全關閉相同的事件。 |
| 依其 SAP 角色或 SAP 配置檔排除使用者 | Microsoft Sentinel for SAP 擷取 SAP 使用者的授權配置檔,包括直接或間接角色指派、群組和配置檔,讓您可以在 SIEM 中說出 SAP 語言。 您可能想要設定 SAP 事件,以根據其 SAP 角色和設定檔來排除使用者。 在關注清單中,新增角色或配置檔,以將 RFC 介面使用者分組在 [RolesTagsToExclude] 資料行的 RFC 事件旁的 [一般數據表存取]。 此設定只會針對缺少這些角色的使用者觸發警示。 |
| 依其SOC標籤排除使用者 | 使用標籤來建立您自己的群組,而不需要依賴複雜的 SAP 定義,甚至不需要 SAP 授權。 此方法適用於想要為 SAP 使用者建立自己群組的 SOC 小組。 例如,如果您不想讓特定服務帳戶收到 RFC 事件一般數據表存取的警示,但找不到將這些使用者分組的 SAP 角色或 SAP 設定檔,請使用標記,如下所示: 1.將 GenTableRFCReadOK 標記新增至關注清單中的相關事件旁。 2.移至 SAP_User_Config 監看清單,並指派介面使用者相同的標記。 |
| 指定每個事件類型和系統角色的頻率閾值 | 像速度限制一樣運作。 例如,您可能會將使用者主要記錄變更事件設定為只在一小時內觀察到超過12個活動時觸發警示,而生產系統中的相同使用者。 如果用戶超過每小時 12 個限制,例如 10 分鐘視窗中的 2 個事件,就會觸發事件。 |
| 決定性或異常 | 如果您知道事件的特性,請使用決定性功能。 如果您不確定如何正確設定事件,請允許機器學習功能決定啟動,然後視需要進行後續更新。 |
| SOAR 功能 | 使用 Microsoft Sentinel 進一步協調、自動化及回應 SAP 稽核記錄動態警示所建立的事件。 如需詳細資訊,請參閱 Microsoft Sentinel 中的自動化:安全性協調流程、自動化和回應 (SOAR)。 |
如需詳細資訊,請參閱 SAP 新聞的可用關注清單 和 Microsoft Sentinel - 動態 SAP 安全性稽核記錄監視器功能現已推出!(部落格).
初始存取
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - 從非預期的網路登入 | 從非預期的網路識別登入。 維護 SAP - 網路關注清單中的網路。 |
從未指派給其中一個網路的IP位址登入後端系統。 數據源:SAPcon - 稽核記錄 |
初始存取 |
| SAP - SPNego 攻擊 | 識別SPNego重新執行攻擊。 | 數據源:SAPcon - 稽核記錄 | 影響,橫向移動 |
| SAP - 來自特殊許可權使用者的對話框登入嘗試 | 識別 SAP 系統中具有特殊許可權使用者之 AUM 類型的對話框登入嘗試。 如需詳細資訊,請參閱 SAPUsersGetPrivileged。 | 嘗試在排程的時間間隔內,從相同的IP登入數個系統或用戶端 數據源:SAPcon - 稽核記錄 |
影響,橫向移動 |
| SAP - 暴力密碼破解攻擊 | 使用 RFC 登入識別 SAP 系統上的暴力密碼破解攻擊 | 嘗試使用 RFC 在排程的時間間隔內,從相同的 IP 登入數個系統/用戶端 數據源:SAPcon - 稽核記錄 |
認證存取權 |
| SAP - 來自相同 IP 的多個登入 | 識別在排程時間間隔內,從相同IP位址的數位使用者登入。 子使用案例: 持續性 |
透過相同的IP位址使用數個使用者登入。 數據源:SAPcon - 稽核記錄 |
初始存取 |
| SAP - 依使用者多次登入 | 從排程時間間隔內的數個終端機識別相同使用者的登入。 僅適用於 SAP 7.5 版和更新版本的 Audit SAL 方法。 |
使用相同的使用者登入,並使用不同的IP位址。 數據源:SAPcon - 稽核記錄 |
攻擊前、認證存取、初始存取、集合 子使用案例: 持續性 |
| SAP - 資訊 - 生命週期 - SAP 附注已在系統中實作 | 識別系統中的 SAP 附注實作。 | 使用 SNOTE/TCI 實作 SAP 附注。 數據源:SAPcon - 變更要求 |
- |
| SAP - (預覽) AS JAVA - 敏感性特殊許可權使用者登入 | 從非預期的網路識別登入。 在 SAP - Privileged Users 關注列表中維護具特殊許可權的使用者。 |
使用具特殊許可權的使用者登入後端系統。 數據源:SAPJAVAFilesLog |
初始存取 |
| SAP - (預覽) AS JAVA - 從非預期的網路登入 | 識別來自非預期網路的登入。 在 SAP - Networks 關注清單中維護具特殊許可權的使用者。 |
從未指派給 SAP - 網路監看清單中的其中一個網路的 IP 位址登入後端系統 數據源:SAPJAVAFilesLog |
初始存取,防禦逃避 |
資料外洩
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - 非授權伺服器的 FTP | 識別非授權伺服器的 FTP 連線。 | 建立新的 FTP 連線,例如使用 FTP_CONNECT 函式模組。 數據源:SAPcon - 稽核記錄 |
探索、初始存取、命令和控制 |
| SAP - 不安全的 FTP 伺服器設定 | 識別不安全的 FTP 伺服器組態,例如當 FTP 允許清單是空的或包含佔位元元時。 | 請勿使用SAPFTP_SERVERS_V維護檢視來維護數據表中包含SAPFTP_SERVERS佔位元的值。 (SM30) 數據源:SAPcon - 稽核記錄 |
初始存取、命令和控制 |
| SAP - 多個檔案下載 | 識別特定時間範圍內使用者的多個檔案下載。 | 使用 SAPGui for Excel、清單等下載多個檔案。 數據源:SAPcon - 稽核記錄 |
集合、外泄、認證存取 |
| SAP - 多個多任務緩衝處理執行 | 識別特定時間範圍內使用者的多個多任務緩衝處理。 | 建立及執行使用者任何類型的多個多任務緩衝處理作業。 (SP01) 數據源:SAPcon - 多任務緩衝處理記錄、SAPcon - 稽核記錄 |
集合、外泄、認證存取 |
| SAP - 多個多任務緩衝處理輸出執行 | 識別特定時間範圍內使用者的多個多任務緩衝處理。 | 建立及執行使用者任何類型的多個多任務緩衝處理作業。 (SP01) 數據源:SAPcon - 多任務緩衝輸出記錄、SAPcon - 稽核記錄 |
集合、外泄、認證存取 |
| SAP - 依 RFC 登入的敏感性數據表直接存取 | 識別 RFC 登入的泛型數據表存取。 維護 SAP - 敏感性數據表監 看清單中的數據表 。 僅與生產系統相關。 |
使用 SE11/SE16/SE16N 開啟數據表內容。 數據源:SAPcon - 稽核記錄 |
集合、外泄、認證存取 |
| SAP - 多任務緩衝處理接管 | 識別列印其他人所建立之多任務緩衝處理要求的使用者。 | 使用使用者建立多工作緩衝處理要求,然後使用不同的使用者將它輸出至 。 數據源:SAPcon - 多任務緩衝處理記錄、SAPcon - 多任務緩衝輸出記錄、SAPcon - 稽核記錄 |
集合、外洩、命令和控制 |
| SAP - 動態 RFC 目的地 | 使用動態目的地識別 RFC 的執行。 子使用案例: 嘗試略過 SAP 安全性機制 |
執行使用動態目的地的 ABAP 報表(cl_dynamic_destination)。 例如,DEMO_RFC_DYNAMIC_DEST。 數據源:SAPcon - 稽核記錄 |
集合、外洩 |
| SAP - 敏感性數據表透過對話框登入直接存取 | 識別透過對話框登入的一般數據表存取。 | 使用 SE11SE16//SE16N開啟數據表內容。 數據源:SAPcon - 稽核記錄 |
探索 |
| SAP - (預覽) 從惡意 IP 位址下載的檔案 | 使用已知為惡意的IP位址,識別從SAP系統下載檔案。 惡意IP位址是從 威脅情報服務取得。 | 從惡意IP下載檔案。 數據源:SAP 安全性稽核記錄、威脅情報 |
Exfiltration |
| SAP - (預覽) 使用傳輸從生產系統匯出的數據 | 使用傳輸識別從生產系統匯出的數據。 傳輸用於開發系統,類似於提取要求。 當包含任何數據表數據的傳輸從生產系統釋放時,此警示規則會觸發具有中度嚴重性的事件。 當導出包含機密數據表的數據時,此規則會建立高嚴重性事件。 | 從生產系統釋放傳輸。 數據源:SAP CR 記錄、 SAP - 敏感性數據表 |
Exfiltration |
| SAP - (預覽) 儲存至 USB 磁碟驅動器的敏感數據 | 識別透過檔案匯出SAP資料。 此規則會檢查儲存在最近掛接的 USB 磁碟驅動器中的數據,以接近敏感易的執行、敏感性程式或直接存取機密數據表。 | 透過檔案匯出SAP資料,並儲存到USB磁碟驅動器。 數據源:SAP 安全性稽核記錄、DeviceFileEvents (適用於端點的 Microsoft Defender)、SAP - 敏感性數據表、SAP - 敏感易、SAP - 敏感性程式 |
Exfiltration |
| SAP - (預覽) 列印潛在敏感數據 | 識別潛在敏感數據的要求或實際列印。 如果使用者取得數據做為敏感易的一部分、執行敏感性程式,或直接存取機密數據表,則數據會被視為敏感性。 | 列印或要求列印敏感數據。 數據源:SAP 安全性稽核記錄、SAP 多任務緩衝處理記錄、 SAP - 敏感性數據表、 SAP - 敏感性程式 |
Exfiltration |
| SAP - (預覽) 大量可能導出的敏感數據 | 識別透過檔案匯出大量數據,以接近敏感易、敏感性程式或直接存取機密數據表的執行。 | 透過檔案匯出大量數據。 數據源:SAP 安全性稽核記錄、 SAP - 敏感性數據表、 SAP - 敏感易、 SAP - 敏感性程式 |
Exfiltration |
持續
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - ICF 服務的啟用或停用 | 識別ICF服務的啟用或停用。 | 使用SICF啟動服務。 數據來源:SAPcon - 數據表數據記錄檔 |
命令和控制、橫向移動、持續性 |
| SAP - 已測試函式模組 | 識別函式模組的測試。 | 使用 SE37 / SE80測試函式模組。 數據源:SAPcon - 稽核記錄 |
集合、防禦逃避、橫向移動 |
| SAP - (預覽) HANA DB - 使用者管理員動作 | 識別使用者管理動作。 | 建立、更新或刪除資料庫使用者。 資料來源:Linux 代理程式 - Syslog* |
權限提升 |
| SAP - 新的 ICF 服務處理程式 | 識別ICF處理程式的建立。 | 使用SICF將新的處理程式指派給服務。 數據源:SAPcon - 稽核記錄 |
命令和控制、橫向移動、持續性 |
| SAP - 新的 ICF 服務 | 識別ICF服務的建立。 | 使用SICF建立服務。 數據來源:SAPcon - 數據表數據記錄檔 |
命令和控制、橫向移動、持續性 |
| SAP - 執行過時或不安全的函式模組 | 識別過時或不安全的 ABAP 函式模組的執行。 在 SAP - 過時的函式模組關注清單中維護過時的函式。 請務必啟用後端數據表的數據表記錄變更 EUFUNC 。 (SE13)僅與生產系統相關。 |
使用 SE37 直接執行過時或不安全的函式模組。 數據來源:SAPcon - 數據表數據記錄檔 |
探索、命令和控制 |
| SAP - 執行過時/不安全的程式 | 識別過時或不安全的 ABAP 程式執行。 在 SAP - 過時的程序關注清單中維護過時的程式。 僅與生產系統相關。 |
使用 SE38/SA38/SE80 或使用背景作業直接執行程式。 數據源:SAPcon - 稽核記錄 |
探索、命令和控制 |
| SAP - 依使用者變更多個密碼 | 依用戶識別多個密碼變更。 | 變更用戶密碼 數據源:SAPcon - 稽核記錄 |
認證存取權 |
| SAP - (預覽) AS JAVA - 使用者建立和使用新使用者 | 識別 SAP AS Java 環境內的系統管理員建立或操作使用者。 | 使用您已建立或操作的使用者登入後端系統。 數據源:SAPJAVAFilesLog |
持續性 |
嘗試略過 SAP 安全性機制
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - 客戶端設定變更 | 識別客戶端設定的變更,例如用戶端角色或變更錄製模式。 | 使用交易程式代碼執行用戶端組 SCC4 態變更。 數據源:SAPcon - 稽核記錄 |
防禦逃避、外泄、持續性 |
| SAP - 偵錯活動期間的數據已變更 | 識別偵錯活動期間運行時間數據的變更。 子使用案例: 持續性 |
1. 啟動偵錯 (“/h” )。 2.選取要變更的欄位,並更新其值。 數據源:SAPcon - 稽核記錄 |
執行、橫向移動 |
| SAP - 停用安全性稽核記錄 | 識別安全性稽核記錄的停用, | 使用 SM19/RSAU_CONFIG停用安全性稽核記錄。 數據源:SAPcon - 稽核記錄 |
外洩、防禦逃避、持續性 |
| SAP - 執行敏感性 ABAP 程式 | 識別敏感性 ABAP 程式的直接執行。 在 SAP - 敏感性 ABAP 程式關注清單中維護 ABAP 程式。 |
使用直接執行SE38SA38//SE80程式。 數據源:SAPcon - 稽核記錄 |
外洩、橫向移動、執行 |
| SAP - 執行敏感易程序代碼 | 識別敏感易程式代碼的執行。 在 SAP - 敏感易碼關注清單中維護交易碼。 |
執行敏感易程序代碼。 數據源:SAPcon - 稽核記錄 |
探索、執行 |
| SAP - 敏感性函式模組的執行 | 識別敏感性 ABAP 函式模組的執行。 子使用案例: 持續性 僅與生產系統相關。 在 SAP - 敏感性函式模組關注清單中維護敏感性函式,並確定在 EUFUNC 數據表的後端啟用數據表記錄變更。 (SE13) |
使用 SE37 直接執行敏感性函式模組。 數據來源:SAPcon - 數據表數據記錄檔 |
探索、命令和控制 |
| SAP - (預覽) HANA DB - 稽核記錄原則變更 | 識別 HANA DB 稽核記錄原則的變更。 | 在安全性定義中建立或更新現有的審核策略。 數據源:Linux 代理程式 - Syslog |
橫向運動、防禦逃避、持續性 |
| SAP - (預覽) HANA DB - 稽核記錄的停用 | 識別 HANA DB 稽核記錄的停用。 | 停用 HANA DB 安全性定義中的稽核記錄。 數據源:Linux 代理程式 - Syslog |
持續性、橫向移動、防禦逃避 |
| SAP - 未經授權的敏感性函式模組遠端執行 | 藉由比較活動與使用者的授權配置檔,同時忽略最近變更的授權,來偵測未經授權的敏感性 FM 執行。 維護 SAP - 敏感性函式模組關注清單中的函式模組。 |
使用 RFC 執行函式模組。 數據源:SAPcon - 稽核記錄 |
執行、橫向移動、探索 |
| SAP - 系統設定變更 | 識別系統設定的變更。 | 使用 SE06 交易程式代碼調整系統變更選項或軟體元件修改。數據源:SAPcon - 稽核記錄 |
外洩、防禦逃避、持續性 |
| SAP - 偵錯活動 | 識別所有偵錯相關活動。 子使用案例: 持續性 |
在系統中啟動偵錯 (“/h”)、對使用中進程進行偵錯、將斷點新增至原始程式碼等等。 數據源:SAPcon - 稽核記錄 |
探索 |
| SAP - 安全性稽核記錄設定變更 | 識別安全性稽核記錄組態中的變更 | 使用 SM19/RSAU_CONFIG變更任何安全性稽核記錄組態,例如篩選條件、狀態、錄製模式等等。 數據源:SAPcon - 稽核記錄 |
持續性、外洩、防禦逃避 |
| SAP - 交易已解除鎖定 | 識別交易的解除鎖定。 | 使用SM01SM01_DEV//SM01_CUS解除鎖定交易程序代碼。 數據源:SAPcon - 稽核記錄 |
持續性、執行 |
| SAP - 動態 ABAP 程式 | 識別動態 ABAP 程式設計的執行。 例如,當 ABAP 程式代碼動態建立、變更或刪除時。 在 SAP - ABAP 世代的事務關注清單中維護排除的交易碼。 |
建立使用 ABAP 程式產生命令的 ABAP 報表,例如 INSERT REPORT,然後執行報表。 數據源:SAPcon - 稽核記錄 |
探索、命令和控制、影響 |
可疑的許可權作業
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - 敏感性特殊許可權用戶的變更 | 識別敏感性特殊許可權用戶的變更。 在 SAP - Privileged Users 關注列表中維護具特殊許可權的使用者。 |
使用 SU01變更使用者詳細數據/授權。 數據源:SAPcon - 稽核記錄 |
許可權提升、認證存取 |
| SAP -(預覽) HANA DB - 指派管理員授權 | 識別系統管理員許可權或角色指派。 | 指派具有任何系統管理員角色或許可權的使用者。 數據源:Linux 代理程式 - Syslog |
權限提升 |
| SAP - 已登入的敏感性特殊許可權使用者 | 識別敏感性特殊許可權用戶的對話框登入。 在 SAP - Privileged Users 關注列表中維護具特殊許可權的使用者。 |
使用 SAP* 或其他特殊許可權使用者登入後端系統。 數據源:SAPcon - 稽核記錄 |
初始存取、認證存取 |
| SAP - 敏感性特殊許可權使用者對其他用戶進行變更 | 識別其他使用者中敏感性特殊許可權用戶的變更。 | 使用 SU01 變更使用者詳細資料/授權。 數據源:SAPcon - 稽核記錄 |
許可權提升、認證存取 |
| SAP - 敏感性使用者密碼變更和登入 | 識別特殊許可權用戶的密碼變更。 | 變更特殊許可權用戶的密碼並登入系統。 在 SAP - Privileged Users 關注列表中維護具特殊許可權的使用者。 數據源:SAPcon - 稽核記錄 |
影響、命令和控制、許可權提升 |
| SAP - 使用者建立和使用新使用者 | 識別建立和使用其他用戶的使用者。 子使用案例: 持續性 |
使用 SU01 建立使用者,然後使用新建立的使用者和相同的 IP 位址登入。 數據源:SAPcon - 稽核記錄 |
探索、攻擊前、初始存取 |
| SAP - 使用者解除鎖定並使用其他使用者 | 識別其他使用者正在解除鎖定和使用的使用者。 子使用案例: 持續性 |
使用 SU01 解除鎖定使用者,然後使用解除鎖定的使用者和相同的 IP 位址登入。 數據源:SAPcon - 稽核記錄、SAPcon - 變更文件記錄 |
探索、攻擊前、初始存取、橫向移動 |
| SAP - 敏感性配置檔的指派 | 識別敏感性配置檔的新指派給使用者。 在 SAP - 敏感性設定檔關注清單中維護敏感性配置檔。 |
使用 SU01將配置檔指派給使用者。 數據源:SAPcon - 變更文件記錄 |
權限提升 |
| SAP - 敏感性角色的指派 | 識別使用者敏感性角色的新指派。 在 SAP - 敏感性角色關注列表中維護敏感性角色。 |
使用 SU01 / PFCG將角色指派給使用者。 數據源:SAPcon - 變更文件記錄檔、稽核記錄 |
權限提升 |
| SAP - (預覽) 重大授權指派 - 新增授權值 | 識別將重要授權物件值指派給新使用者。 維護 SAP - 重要授權物件關注清單中的重要授權物件。 |
使用指派新的授權物件,或更新角色 PFCG中的現有授權物件。 數據源:SAPcon - 變更文件記錄 |
權限提升 |
| SAP - 重大授權指派 - 新增使用者指派 | 識別將重要授權物件值指派給新使用者。 維護 SAP - 重要授權物件關注清單中的重要授權物件。 |
使用 SU01/PFCG將新使用者指派給保留重要授權值的角色。 數據源:SAPcon - 變更文件記錄 |
權限提升 |
| SAP - 敏感性角色變更 | 識別敏感性角色的變更。 在 SAP - 敏感性角色關注列表中維護敏感性角色。 |
使用 PFCG 變更角色。 數據源:SAPcon - 變更文件記錄檔、SAPcon – 稽核記錄 |
影響、許可權提升、持續性 |
可用的關注清單
下表列出 適用於 SAP 應用程式的 Microsoft Sentinel 解決方案可用的監看清單 ,以及每個監看清單中的欄位。
這些關注清單提供 SAP 應用程式Microsoft Sentinel 解決方案的組態。 SAP 監看清單 可在 sentinel GitHub 存放庫中Microsoft取得。
| 關注清單名稱 | 描述和欄位 |
|---|---|
| SAP - 重要授權物件 | 重要授權物件,其中應控管指派。 - AuthorizationObject:SAP 授權物件,例如 S_DEVELOP、 S_TCODE或 Table TOBJ - AuthorizationField:SAP 授權字段,例如 OBJTYP 或 TCD - AuthorizationValue:SAP 授權域值,例如 DEBUG - ActivityField :SAP 活動欄位。 在大部分情況下,此值為 ACTVT。 若為沒有 Activity或只有 Activity 字段的 Authorizations 物件,則填入 NOT_IN_USE。 - 活動:SAP 活動,根據授權物件,例如::建立、 02:01變更、03:顯示等等。 - 描述:有意義的重大授權物件描述。 |
| SAP - 排除的網路 | 如需排除網路的內部維護,例如忽略 Web 發送器、終端伺服器等等。 -網路:網路IP位址或範圍,例如 111.68.128.0/17。 -描述:有意義的網路描述。 |
| SAP 排除的使用者 | 登入系統且必須忽略的系統使用者。 例如,相同使用者有多個登入的警示。 - 使用者:SAP 使用者 -描述:有意義的使用者描述。 |
| SAP - 網路 | 用於識別未經授權的登入的內部和維護網路。 - 網路:網路IP位址或範圍,例如 111.68.128.0/17 - 描述:有意義的網路描述。 |
| SAP - 具特殊許可權的使用者 | 受額外限制的特殊許可權使用者。 - 使用者:ABAP 使用者,例如 DDIC 或 SAP - 描述:有意義的使用者描述。 |
| SAP - 敏感性 ABAP 程式 | 敏感性 ABAP 程式 (reports),其中應該控管執行。 - ABAPProgram:ABAP 程式或報告,例如 RSPFLDOC - 描述:有意義的程式描述。 |
| SAP - 敏感性函式模組 | 用於識別未經授權的登入的內部和維護網路。 - FunctionModule:ABAP 函式模組,例如 RSAU_CLEAR_AUDIT_LOG - 描述:有意義的模組描述。 |
| SAP - 敏感性配置檔 | 敏感性配置檔,其中應控管指派。 - 配置檔:SAP 授權設定檔,例如 SAP_ALL 或 SAP_NEW - 描述:有意義的配置檔描述。 |
| SAP - 敏感性數據表 | 應控管存取權的敏感性數據表。 - 數據表:ABAP 字典數據表,例如 USR02 或 PA008 - 描述:有意義的數據表描述。 |
| SAP - 敏感性角色 | 應控管指派的敏感性角色。 - 角色:SAP 授權角色,例如 SAP_BC_BASIS_ADMIN - 描述:有意義的角色描述。 |
| SAP - 敏感易 | 應控管執行所在的敏感易。 - TransactionCode:SAP 事務程序代碼,例如 RZ11 - 描述:有意義的程序代碼描述。 |
| SAP - 系統 | 根據角色、使用方式和組態描述 SAP 系統的環境。 - SystemID:SAP 系統識別碼 (SYSID) - SystemRole:SAP 系統角色,下列其中一個值: Sandbox、、Development、Quality Assurance、 TrainingProduction - SystemUsage:SAP 系統使用方式,下列其中一個值: ERP、、SolmanBW、、 GatewayEnterprise Portal - InterfaceAttributes:用於劇本的選擇性動態參數。 |
| SAPSystemParameters | 要監看 可疑組態變更的參數。 此監看清單已預先填入建議的值(根據 SAP 最佳做法),您可以擴充關注清單以包含更多參數。 如果您不想收到參數的警示,請將 設定 EnableAlerts 為 false。- ParameterName:參數的名稱。 - 批註:SAP 標準參數描述。 - EnableAlerts:定義是否要啟用此參數的警示。 值為 true 和 false。- 選項:定義觸發警示的案例:如果參數值大於或等於()、小於或等於 ( GELE)、或等於 (EQ)例如,如果 login/fails_to_user_lock SAP 參數設定為 LE (小於或等於),且值為 5,一旦Microsoft Sentinel 偵測到此特定參數的變更,就會比較新報告的值和預期的值。 如果新的值為 4,Microsoft Sentinel 不會觸發警示。 如果新的值為 6,Microsoft Sentinel 會觸發警示。- ProductionSeverity:生產系統的事件嚴重性。 - ProductionValues:生產系統允許的值。 - NonProdSeverity:非生產系統的事件嚴重性。 - NonProdValues:非生產系統的允許值。 |
| SAP - 排除的使用者 | 已登入且需要忽略的系統使用者,例如使用者警示的多重登入。 - 使用者:SAP 使用者 - 描述:有意義的使用者描述 |
| SAP - 排除的網路 | 維護內部、排除的網路,以忽略 Web 發送器、終端伺服器等等。 - 網路:網路IP位址或範圍,例如 111.68.128.0/17 - 描述:有意義的網路描述 |
| SAP - 過時的函式模組 | 過時的函式模組,其執行應該受到控管。 - FunctionModule:ABAP 函式模組,例如TH_SAPREL - 描述:有意義的函式模組描述 |
| SAP - 過時的程式 | 過時的 ABAP 程式(報告),其執行應該受到控管。 - ABAPProgram:ABAP 程式,例如 TH_ RSPFLDOC - 描述:有意義的 ABAP 程式描述 |
| SAP - ABAP 世代的交易 | 應控管其執行之 ABAP 世代的交易。 - TransactionCode:交易程序代碼,例如 SE11。 - 描述:有意義的交易程序代碼描述 |
| SAP - FTP 伺服器 | 用於識別未經授權的連線的 FTP 伺服器。 - 用戶端:例如 100。 - FTP_Server_Name:FTP 伺服器名稱,例如 http://contoso.com/ -FTP_Server_Port:FTP 伺服器埠,例如 22。 - 描述有意義的 FTP 伺服器描述 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | 將每個訊息識別碼指派為每個系統角色(生產、非生產環境)所需的嚴重性層級,以設定SAP稽核記錄警示。 此關注清單會詳細說明所有可用的 SAP 標準稽核記錄訊息識別碼。 監視清單可以擴充,以包含您可以在其 SAP NetWeaver 系統上使用 ABAP 增強功能自行建立的額外訊息識別碼。 此監看清單也允許設定指定的小組來處理每個事件類型,以及透過 SAP 角色、SAP 配置檔或來自SAP_User_Config關注清單的標籤排除使用者。 此關注清單是用來設定 內建 SAP 分析規則以監視 SAP 稽核記錄的核心元件之一。 如需詳細資訊,請參閱 監視 SAP 稽核記錄。 - MessageID:SAP 訊息識別碼或事件類型,例如 AUD (使用者主要記錄變更),或 AUB (授權變更)。 - DetailedDescription:已啟用 Markdown 的描述,以顯示在事件窗格上。 - ProductionSeverity:針對生產系統 High、 Medium建立事件所需的嚴重性。 可以設定為 Disabled。 - NonProdSeverity:針對非生產系統 High、 Medium建立事件所需的嚴重性。 可以設定為 Disabled。 - ProductionThreshold 要視為生產系統的 60「每小時」事件計數。 - NonProdThreshold 非生產系統的 10「每小時」事件計數視為可疑事件。 - RolesTagsToExclude:此欄位接受來自SAP_User_Config關注清單的 SAP 角色名稱、SAP 配置檔名稱或標籤。 然後,這些會用來從特定事件類型中排除相關聯的使用者。 請參閱此清單結尾的角色標籤選項。 - RuleType:用於 Deterministic將事件類型傳送至 SAP - 動態確定性稽核記錄監視器規則,或AnomaliesOnly讓 SAP - 動態異常型稽核記錄監視器警示 (PREVIEW) 規則涵蓋此事件。 如需詳細資訊,請參閱 監視 SAP 稽核記錄。 - TeamsChannelID:用於劇本的選擇性動態參數。 - DestinationEmail:用於劇本的選擇性動態參數。 針對 [RolesTagsToExclude] 字段: - 如果您列出 SAP 角色或 SAP 設定檔,這會從相同 SAP 系統的這些事件類型中排除任何具有所列角色或設定檔的使用者。 例如,如果您為 RFC 相關事件類型定義 BASIC_BO_USERS ABAP 角色,則進行大量 RFC 呼叫時,Business Objects 使用者不會觸發事件。- 標記事件類型類似於指定 SAP 角色或配置檔,但可以在工作區中建立標記,因此 SOC 小組可以依活動排除使用者,而不需視 SAP BASIS 小組而定。 例如,稽核訊息標識碼 AUB (授權變更) 和 AUD (使用者主要記錄變更) 會指派標記 MassiveAuthChanges 。 指派此標籤的使用者會從檢查這些活動中排除。 執行工作區 SAPAuditLogConfigRecommend 函式會產生要指派給使用者的建議標記清單,例如 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist。 |
| SAP_User_Config | 允許藉由排除特定內容中的 /including 用戶來微調警示,也可用來 設定內建的 SAP 分析規則來監視 SAP 稽核記錄。 如需詳細資訊,請參閱 監視 SAP 稽核記錄。 - SAPUser:SAP 使用者 - 標籤可用來識別使用者是否有特定活動。 例如,將標籤 [“GenericTablebyRFCOK”] 新增至使用者SENTINEL_SRV會防止為此特定使用者建立 RFC 相關事件 其他 Active Directory 用戶識別碼 - AD 用戶識別碼 - 用戶內部部署 Sid - 用戶主體名稱 |
可用的劇本
Microsoft Sentinel 解決方案為 SAP 應用程式提供的劇本可協助您自動化 SAP 事件回應工作負載,以改善安全性作業的效率與有效性。
本節說明 內建的分析劇本 ,以及適用於 SAP 應用程式的 Microsoft Sentinel 解決方案。
| 劇本名稱 | 參數 | 連線 |
|---|---|---|
| SAP 事件回應 - 鎖定 Teams 的使用者 - 基本 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP 事件回應 - 鎖定 Teams 的使用者 - 進階 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure 監視器記錄 - Office 365 Outlook - Microsoft Entra 識別符 - Azure 金鑰保存庫 - Microsoft Teams |
| SAP 事件回應 - 停用后可重新啟用稽核記錄 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure 金鑰保存庫 - Azure 監視器記錄 - Microsoft Teams |
下列各節說明每個提供劇本的範例使用案例,在其中一個 SAP 系統中發生事件警告您可疑活動的情況中,使用者嘗試執行其中一個高度敏感的交易。
在事件分級階段,您決定對此使用者採取動作,將它從 SAP ERP 或 BTP 系統,甚至是從 Microsoft Entra ID 中踢出。
如需詳細資訊,請參閱 在 Sentinel Microsoft 中使用劇本將威脅回應自動化
部署標準邏輯應用程式的程式通常比取用邏輯應用程式複雜。 我們已建立一系列快捷方式,以協助您從 Sentinel GitHub 存放庫Microsoft快速部署它們。 如需詳細資訊,請參閱 逐步安裝指南。
提示
觀看 GitHub 存放庫中的 SAP 劇本資料夾,以取得更多可用的劇本。 那裡還有一個簡短的簡介影片 (外部連結) ,以協助您開始使用。
鎖定單一系統的使用者
建置自動化規則,以在偵測到未經授權的使用者執行敏感易時,從 Teams - 基本劇本叫用鎖定使用者。 此劇本會使用 Teams 調適型卡片功能,在單方面封鎖使用者之前要求核准。
如需詳細資訊,請參閱 從零到主圖安全性涵蓋範圍,並針對重要的 SAP 安全性訊號Microsoft Sentinel - 您會聽到我 SOAR!第1 部分(SAP部落格文章)。
從 Teams 鎖定使用者 - 基本劇本是標準劇本,標準劇本通常比取用劇本更複雜。
我們已建立一系列快捷方式,以協助您從 Sentinel GitHub 存放庫Microsoft快速部署它們。 如需詳細資訊,請參閱 逐步安裝指南 和支援 的邏輯應用程式類型。
鎖定單一系統的使用者
[鎖定 Teams 的使用者 - 進階] 劇本會達成相同的目標,但它是專為更複雜的案例而設計,可讓單一劇本用於多個 SAP 系統,每個都有自己的 SAP SID。
使用 SAP - Systems 監看清單和 Azure 金鑰保存庫 中的 InterfaceAttributes 選擇性動態參數,鎖定來自 Teams 的進階劇本,順暢地管理與所有這些系統的連線及其認證。
從 Teams 鎖定使用者 - 進階劇本也可讓您使用 Outlook 可採取動作的郵件與 Teams,使用SAP_Dynamic_Audit_Log_Monitor_Configuration關注清單中的 TeamsChannelID 和 DestinationEmail 參數,與核准程式中的各方通訊。
如需詳細資訊,請參閱 從零到主圖安全性涵蓋範圍,並針對重要 SAP 安全性訊號Microsoft Sentinel – 第 2 部分(SAP 部落格文章)。
防止稽核記錄停用
您可能也擔心 SAP 稽核記錄,這是其中一個安全性數據源,正在停用。 建議您根據 SAP - 停用安全性稽核記錄 分析規則來建置自動化規則,以在 停用 劇本後叫用可重新啟用的稽核記錄,以確保 SAP 稽核記錄不會停用。
SAP - 停用安全性稽核記錄劇本也會使用 Teams,在事實之後通知安全性人員。 冒犯的嚴重性和風險降低的緊迫性表示不需要核准即可立即採取動作。
由於 SAP - 停用安全性稽核記錄劇本也會使用 Azure 金鑰保存庫 來管理認證,劇本的組態類似於從 Teams 鎖定使用者 - 進階劇本。 如需詳細資訊,請參閱 針對重要 SAP 安全性訊號使用 Microsoft Sentinel 從零到主角的安全性涵蓋範圍 – 第 3 部分(SAP 部落格文章)。
相關內容
如需詳細資訊,請參閱 部署 sap 應用程式的 Microsoft Sentinel 解決方案。