Microsoft適用於 SAP BTP 的 Sentinel 解決方案:安全性內容參考
本文詳述適用於 SAP BTP Microsoft Sentinel 解決方案的安全性內容。
可用的安全性內容目前包含內建活頁簿和分析規則。 您也可以新增 SAP 相關 關注清單 ,以用於搜尋、偵測規則、威脅搜捕和回應劇本。
SAP BTP 活頁簿
BTP 活動活頁簿提供 BTP 活動的儀錶板概觀。
![SAP BTP 活頁簿 [概觀] 索引標籤的螢幕快照。](media/sap-btp-security-content/sap-btp-workbook-btp-overview.png#lightbox)
[概觀] 索引標籤會顯示:
- BTP 子帳戶的概觀,可協助分析師識別最活躍的帳戶和內嵌數據類型。
- 子帳戶登入活動,協助分析師找出可能與 SAP Business Application Studio 中登入失敗相關聯的尖峰和趨勢。
- BTP 活動和 BTP 安全性警示數目的時間軸,協助分析師搜尋兩者之間的任何相互關聯。
[身分識別管理] 索引 標籤會顯示身分識別管理 事件的方格,例如使用者和安全性角色變更,其格式為人類可讀取。 搜尋列可讓您快速尋找特定變更。
![SAP BTP 活頁簿 [身分識別管理] 索引標籤的螢幕快照。](media/sap-btp-security-content/sap-btp-workbook-identity-management.png#lightbox)
如需詳細資訊,請參閱 教學課程:可視化和監視您的數據 ,以及 部署適用於 SAP BTP 的 Sentinel 解決方案Microsoft。
內建分析規則
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| BTP - 多個 BAS 子帳戶的存取嘗試失敗 | 透過預先定義的子帳戶數目,識別失敗的 Business Application Studio (BAS) 存取嘗試。 默認閾值:3 |
執行失敗的登入嘗試,以超過已定義的子帳戶閾值數目來嘗試 BAS。 數據源:SAPBTPAuditLog_CL |
探索、偵察 |
| BTP - 在 BAS 開發人員空間中偵測到的惡意代碼 | 識別 BAS 開發人員空間中 SAP 內部惡意代碼代理程式偵測到的惡意代碼實例。 | 在 BAS 開發人員空間中複製或建立惡意代碼檔案。 數據源:SAPBTPAuditLog_CL |
執行、持續性、資源開發 |
| BTP - 新增至敏感性特殊許可權角色集合的使用者 | 識別將使用者新增至一組受監視特殊許可權角色集合的身分識別管理動作。 | 將下列其中一個角色集合指派給使用者: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator 數據源:SAPBTPAuditLog_CL |
橫向移動,許可權提升 |
| BTP - 信任和授權識別提供者監視器 | 識別子帳戶內識別識別提供者設定上的建立、讀取、更新和刪除 (CRUD) 作業。 | 變更、讀取、更新或刪除子帳戶內的任何識別提供者設定。 數據源:SAPBTPAuditLog_CL |
認證存取、許可權提升 |
| BTP - 子帳戶中的大量用戶刪除 | 識別使用者帳戶刪除活動,其中已刪除的用戶數目超過預先定義的閾值。 默認閾值:10 |
刪除超過已定義閾值的用戶帳戶計數。 數據源:SAPBTPAuditLog_CL |
影響 |
下一步
在本文中,您已瞭解 SAP BTP Microsoft Sentinel 解決方案所提供的安全性內容。