適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案 - SAP -Security Audit 記錄和初始存取活頁簿
本文說明 SAP -Security 稽核記錄和初始存取活頁簿,用於監視和追蹤 SAP 系統中的使用者稽核活動。 您可以使用活頁簿來檢視使用者稽核活動,以更好地保護您的 SAP 系統,並快速查看可疑動作。 您可以視需要向下切入到可疑事件。
您可以使用活頁簿持續監視 SAP 系統,或檢閱安全性事件或其他可疑活動之後的系統。
開始使用活頁簿
從 Microsoft Sentinel 入口網站,從 [威脅管理] 功能表中選取 [活頁簿]。
在 [ 活頁簿資源 庫] 中,移至 [ 範本 ],然後在搜尋列中輸入 SAP ,然後從結果中選取 [SAP -Security 稽核記錄] 和 [初始存取 ]。
選取 [檢視範本] 直接使用活頁簿,或選取 [儲存] 以建立活頁簿的可編輯複本。 建立複本時,選取 [檢視已儲存的活頁簿]。
重要
SAP -Security 稽核記錄和初始存取活頁簿是由安裝 SAP® 應用程式 Microsoft Sentinel 解決方案的工作區所裝載。 根據預設,SAP 和 SOC 數據會假設位於裝載活頁簿的工作區上。
如果 SOC 數據位於與主控活頁簿工作區不同的工作區上,請務必包含該工作區的訂用帳戶,然後從 Azure 稽核和活動工作區選取 SOC 工作區。
選取下列欄位以根據您的需求篩選資料:
- 時間範圍。 從 4 小時到 90 天。
- 系統角色。 SAP 系統角色,例如:開發。
- 系統使用方式。 例如:SAP GTS。
- SAP 系統。 您可以選取所有系統、特定系統,或選取多個系統。
如果您選取 [SAP 系統] 關注清單中未設定的系統,活頁簿會顯示錯誤,並指定有問題的系統。 在此情況下, 請將關注清單 設定為正確包含這些系統。
活頁簿概觀
活頁簿分成兩個索引標籤:
- 登入分析報告。 顯示有關登入失敗的不同數據類型。 數據報含異常數據、Microsoft Entra 數據等等。 數據是以「SAP 系統」關注清單為基礎。
- 稽核記錄警示報告。 針對適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案所監看的 SAP 稽核記錄事件,顯示不同類型的數據。 數據是以「SAP_Dynamic_Audit_Log_Monitor_Configuration」關注清單為基礎。
登入分析報告索引標籤
登入分析
顯示有關使用者登入的不同數據類型。
| 區域 | 描述 | 選項。 |
|---|---|---|
| 每個系統的唯一使用者登入 | 顯示每個 SAP 系統的唯一登入數目,以及具有每個系統所選時間登入趨勢的圖表。 例如:012 系統在過去 14 天內有 1.4-K 次唯一登入嘗試,而在這 14 天內,圖表會顯示相對上升的登入趨勢。 | |
| 登入類型趨勢 | 根據類型顯示登入數目的趨勢,例如透過對話框登入。 | 您可以將滑鼠停留在圖表上,以顯示不同日期的登入次數。 |
| 登入失敗與唯一使用者的成功 - 趨勢 | 顯示所選期間中成功和失敗登入的趨勢。 | 您可以將滑鼠停留在圖表上,以顯示不同日期的成功和失敗登入數量。 |
登入失敗 - 異常偵測
異常偵測下 的區域 - 篩選出嘈雜失敗的登入嘗試顯示 SAP 系統和使用者的登入失敗數據。 若要查看異常偵測所標幟的數據,請選取右側 [失敗登入] 旁的 [僅異常]。
| 區域 | 描述 | 特定數據 | 選項/附注 |
|---|---|---|---|
| 登入失敗率>登入失敗異常>:每個 SAP 系統的唯一使用者登入失敗 | 顯示每個 SAP 系統的唯一失敗登入數目。 | ||
| SAP 和 Active Directory 在一起比較好 | 異常 登入失敗 數據表會顯示 Microsoft Sentinel 和 Microsoft Entra 數據的組合。 活頁簿會根據風險顯示使用者:指出風險最高的用戶位於清單頂端,且安全性風險較低的用戶位於底部。 | 針對每個使用者,顯示: • 登入嘗試失敗的時間軸 • 顯示發生異常失敗嘗試的時間軸 • 異常類型 • 用戶的電子郵件位址 • Microsoft Entra 風險指標 • Microsoft Sentinel 中的事件和警示數目 |
• 當您選取資料列時,您可以在使用者的 [事件/警示概觀] 底下 看到該使用者的警示和事件清單。 在此清單下方,您也可以在 Azure 稽核下 看到 Microsoft Entra 風險事件,並登入用戶的風險。 • 如果您的 Microsoft Entra 數據位於不同的 Log Analytics 工作區中,請務必選取活頁簿頂端的相關訂用帳戶和工作區,然後在 Azure 稽核和活動底下。 |
| 每個系統的登入失敗率 | 以可視化方式表示選取的 SAP 系統。 | • 針對每個系統,顯示所選期間內的失敗數目 • 系統依類型分組。 • 系統的色彩表示失敗的嘗試次數:綠色表示一些可疑的登入嘗試,其中紅色表示更多可疑的登入嘗試。 |
您可以選取系統以查看失敗的登入清單,其中包含失敗的詳細數據。 |
在此螢幕快照中,您可以看到在異常登入失敗數據表中選取第一行時所顯示的數據。 特定警示和事件 URL 會顯示在 用戶 數據表的事件/警示概觀中。
在此螢幕快照中,用戶數據表的 Azure 稽核和登入風險會顯示與此使用者相關的登入風險數據。
在此螢幕快照中,您可以看到 [每個系統] 區域的 [登入失敗率],其中已選取 [測試] 群組底下的 84e 系統。 右側系統區域的 [失敗登入] 會顯示此系統的失敗事件。
登入失敗 - 趨勢
[ 登入失敗趨勢] 區域會顯示依不同類型的數據類型分組的失敗登入趨勢和次數。
| 區域 | 描述 |
|---|---|
| 登入失敗的原因 | 根據失敗原因顯示登入失敗次數的趨勢,例如:不正確的登入數據。 |
| 依類型輸入的登入失敗 | 根據類型顯示登入失敗數目的趨勢,例如:登入觸發背景工作,或登入是透過 HTTP。 |
| 依方法登入失敗 | 根據方法顯示登入失敗次數的趨勢,例如:SNC 或登入票證。 |
稽核記錄警示報告索引標籤
此索引標籤會顯示每個 SAP 系統和使用者的嚴重性和稽核趨勢。 此索引標籤中的所有區域只會顯示異常偵測所標幟的數據。 針對所有事件,選取右側 [失敗登入] 旁的 [全部]。
| 區域 | 描述 | 特定數據 | 選項/附注 |
|---|---|---|---|
| 每個系統標識碼的警示嚴重性趨勢 | 顯示系統清單,其中包含每個系統的中高嚴重性事件趨勢圖表。 例如,012 系統在整個期間內有許多高嚴重性事件,以及一些具有尖峰的中等嚴重性事件,在期間中間顯示更多中嚴重性事件。 | ||
| 每位使用者的稽核趨勢 | 顯示 Microsoft Sentinel 和 Microsoft Entra 數據的組合。 活頁簿會根據風險顯示使用者:指出風險最高的用戶位於清單頂端,且安全性風險較低的用戶位於底部。 | 針對每個使用者,顯示: • 高中嚴重性事件的時程表 • 用戶的電子郵件位址 • Microsoft Entra 風險指標 • Microsoft Sentinel 中的事件和警示數目 |
當您選取資料列時,您可以在 [事件/警示概觀] 底下 看到該使用者的警示和事件清單。 在此清單下方,您也可以在 Azure 稽核下 看到 Microsoft Entra 風險事件,並登入用戶的風險。 |
| 每個系統的風險分數 | 以可視化方式表示儲存格圖形中的每個系統。 | • 顯示每個系統的風險分數。 • 系統依類型分組。 • 系統的色彩表示風險:綠色表示風險分數較低的系統,其中紅色表示較高的風險分數。 |
您可以選取系統以查看每個系統的 SAP 事件清單。 |
| MITRE ATT&CK® 策略的事件 | 顯示依 MITRE ATT&CK® 策略分組的 SAP 事件清單,例如初始存取或防禦逃避。 | 您可以將滑鼠停留在圖表上,以顯示不同日期的登入數目。 | |
| 依類別排序的事件 | 顯示依類別分組的 SAP 事件趨勢清單,例如 RFC 開始或登入。 | 您可以將滑鼠停留在圖形上,以顯示不同日期的登入號碼。 | |
| 依授權群組的事件 | 顯示依 SAP 授權群組分組的 SAP 事件趨勢清單,例如 USER 或 SUPER。 | 您可以將滑鼠停留在圖表上,以顯示不同日期的登入數目。 | |
| 依使用者類型的事件 | 顯示依 SAP 使用者類型分組的 SAP 事件趨勢清單,例如對話框或系統。 | 您可以將滑鼠停留在圖表上,以顯示不同日期的登入數目。 |
在此螢幕快照中,您可以看到當用戶數據表的稽核趨勢中選取第一行時所顯示的數據。 特定警示和事件 URL 會顯示在 用戶 數據表的事件/警示概觀中。
在此螢幕快照中,您可以看到每個系統區域的風險分數,其中已選取UAT群組底下的 cb7 系統。 系統視覺效果下方系統區域的 SAP 事件會顯示此系統的 SAP 事件。
在此螢幕快照中,您可以看到事件和事件趨勢依不同類型的數據分組的區域:MITRE ATT&CK® 策略、SAP 授權群組和用戶類型。
下一步
如需詳細資訊,請參閱