設定 SAP 稽核記錄監視規則
SAP 稽核記錄會記錄 SAP 系統的稽核和安全性動作,例如失敗的登入嘗試或其他可疑的動作。 本文描述如何使用 Microsoft Sentinel 的內建分析規則來監視 SAP 稽核記錄。
您可以使用這些規則監視所有稽核記錄事件,或只在偵測到異常時收到警示。 如此一來,您可以更妥善地管理 SAP 記錄,既能減少雜訊又不影響您的安全性價值。
您會使用兩個分析規則來監視及分析 SAP 稽核記錄資料:
- SAP - 動態決定性稽核記錄監視器 (預覽)。 以最少的設定對所有 SAP 稽核記錄事件發出警示。 您可以設定誤判率更低的規則。 了解如何設定規則。
- SAP - 動態異常型稽核記錄監視器警示 (預覽)。 偵測到異常時會對 SAP 稽核記錄事件發出警示,使用機器學習功能且不需要撰寫程式碼。 了解如何設定規則。
這兩個 SAP 稽核記錄監視器規則是現成可用的規則,可使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 和 SAP_User_Config 關注清單進一步微調。
異常偵測
嘗試在各種活動記錄中 (例如 SAP 稽核記錄) 識別安全性事件時,您需要平衡設定工作,以及警示所產生的雜訊量。
在適用於 SAP 的 Sentinel 解決方案中使用 SAP 稽核記錄模組時,您可以選擇:
- 您想要使用自訂的預先定義閾值和篩選,以決定性方式查看的事件。
- 您想要省略的事件,以便機器自行學習參數。
將 SAP 稽核記錄事件種類標示為異常偵測之後,警示引擎就會檢查最近串流自 SAP 稽核記錄的事件。 引擎會考慮已學到的記錄,檢查事件是否看似正常。
Microsoft Sentinel 會檢查事件或事件群組是否有異常。 嘗試比對事件或事件群組與之前在使用者和系統層級看過的同類活動。 此演算法會根據季節性,了解子網路遮罩層級的使用者網路特性。
使用這項功能,您可以在過去無訊息的事件類型中尋找異常狀況,例如使用者登入事件。 例如,假設使用者 JohnDoe 於一小時內登入數百次,現在可以讓 Microsoft Sentinel 決定這是否為可疑行為。 這位 John 是來自會計部門,正在重複重新整理具有多個資料來源的財務儀表板,還是正在形成 DDoS 攻擊?
設定 SAP - 動態異常型稽核記錄監視器警示 (預覽) 規則以偵測異常
如果您的 SAP 稽核記錄資料尚未將資料串流至 Microsoft Sentinel 工作區,請了解如何部署解決方案。
- 從 Microsoft Sentinel 導覽功能表的 [內容管理] 底下,選取 [內容中樞 (預覽)]。
- 檢查 SAP 的持續威脅監視應用程式是否有更新。
- 在導覽功能表的 [分析] 下,啟用下列 3 個稽核記錄警示:
- SAP - 動態決定性稽核記錄監視器。 每 10 分鐘執行一次,關注標示為 Deterministic 的 SAP 稽核記錄事件。
- SAP - (預覽) 動態異常型稽核記錄監視器警示。 每小時執行一次,關注標示為 AnomaliesOnly 的 SAP 事件。
- SAP - 動態安全性稽核記錄監視器中的遺漏設定。 每天執行一次,提供 SAP 稽核記錄模組的設定建議。
Microsoft Sentinel 現在會定期掃描整個 SAP 稽核記錄,以發現決定性的安全性事件和異常。 您可以在 [事件] 頁面中檢視此記錄產生的事件。
它和每個機器學習解決方案一樣,會隨著時間增加而表現得更好。 異常偵測最適合使用在七天或以上的 SAP 稽核記錄記錄。
使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 關注清單設定事件類型
您可以使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 關注清單進一步設定會產生過多事件的事件類型。 以下是減少事件的幾個選項。
| 選項 | 描述 |
|---|---|
| 設定嚴重性並停用不想要的事件 | 根據預設,決定性規則和以異常為基準的規則都會為標示為中、高嚴重性的事件建立警示。 您可以特別針對生產環境和非生產環境設定這些嚴重性。 例如,您可以在生產系統中將偵錯活動事件設為高嚴重性,但在非生產系統中停用這些事件。 |
| 依 SAP 角色或 SAP 設定檔排除使用者 | 適用於 SAP 的 Microsoft Sentinel 會擷取 SAP 使用者的授權設定檔,包括直接和間接角色指派、群組和設定檔,讓您在自己的 SIEM 中使用 SAP 語言。 您可以設定 SAP 事件根據使用者的 SAP 角色和設定檔來排除使用者。 在關注清單中,在依 RFC 排列的一般資料表存取權事件旁的 [RolesTagsToExclude] 資料行中,新增可分組 RFC 介面使用者的角色或設定檔。 從現在開始,您只會收到缺少這些角色的使用者警示。 |
| 依 SOC 標籤排除使用者 | 您可以使用標籤建立自己的群組,不需要依賴複雜的 SAP 定義,甚至不需要 SAP 授權。 這個方法適用於想要為 SAP 使用者建立專用群組的 SOC 小組。 就概念上而言,按標籤排除使用者的方式類似以名稱標籤排除:您可以使用多個標籤在設定中設定多個事件。 您不會收到與具有特定事件建立關聯之標籤的使用者警示。 例如,您不想特定服務帳戶收到依 RFC 排列的一般資料表存取權事件的警示,但找不到分組這些使用者的 SAP 角色或 SAP 設定檔。 在此情況下,您可以在關注清單的相關事件旁新增 GenTableRFCReadOK 標籤,然後前往 SAP_User_Config 關注清單,將相同的標籤指派給介面使用者。 |
| 指定每個事件類型和系統角色的頻率閾值 | 作用如同速度限制。 例如,您可以決定只有在生產系統中,觀察到同一使用者於一小時內有超過 12 個活動時,雜訊使用者主記錄變更事件才會觸發警示。 如果使用者超過每小時 12 個活動的限制,例如,10 分鐘內發生 2 個事件,就會觸發事件。 |
| 決定性或異常 | 如果您知道事件的特性,就可以使用決定性功能。 如果不確定如何正確設定事件,機器學習功能可以決定。 |
| SOAR 功能 | 您可以使用 Microsoft Sentinel 進一步協調、自動化及回應可套用至 SAP 稽核記錄動態警示的事件。 了解安全性協調流程、自動化和回應 (SOAR)。 |
下一步
在本文中,您已瞭解如何使用 Microsoft Sentinel 內建分析規則來監視 SAP 稽核記錄。