適用于 SAP 的 Microsoft Sentinel 事件回應劇本

本文說明如何利用 Microsoft Sentinel 的安全性協調流程、自動化和回應 （SOAR） 功能與 SAP。 本文介紹適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案中包含的 用途建置劇本。 您可以使用這些劇本來自動回應 SAP 系統中的可疑使用者活動、自動化 SAP RISE、SAP ERP、SAP Business Technology Platform （BTP） 以及 Microsoft Entra ID 中的補救動作。

Microsoft Sentinel SAP 解決方案可讓組織保護其 SAP 環境。 如需 Sentinel SAP 解決方案的完整詳細概觀，請參閱下列文章：

• 適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案概觀
• 部署適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案
• 適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案：安全性內容參考

藉由將這些劇本新增至解決方案，您不僅可以即時監視和分析安全性事件，還可以自動化 SAP 事件回應工作流程，以改善安全性作業的效率與有效性。

適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案包含下列劇本：

• SAP 事件回應 - 鎖定 Teams 的使用者 - 基本
• SAP 事件回應 - 鎖定 Teams 的使用者 - 進階
• SAP 事件回應 - 停用後可重新啟用稽核記錄

使用案例

您負責保護組織的 SAP 環境。 您已針對 SAP® 應用程式實作 Microsoft Sentinel 解決方案。 您已啟用解決方案的分析規則「SAP - 執行敏感性交易程式碼」，而且您可能已自訂解決方案的「敏感性交易」關注清單，以包含您想要篩選的特定交易碼。 事件會警告您在其中一個 SAP 系統中的可疑活動。 使用者嘗試執行其中一個高度敏感的交易。 您必須 調查並回應此事件 。

在分級階段，您決定對此使用者採取動作，將它從 SAP ERP 或 BTP 系統，甚至是從 Microsoft Entra ID 中踢出。

鎖定單一系統的使用者

作為如何將協調流程和自動化帶入此程式的範例，讓我們建 置自動化規則 ，以在偵測到未經授權的使用者執行敏感性交易時，從 Teams - 基本 劇本叫 用鎖定使用者。 此劇本會使用 Teams 調適型卡片功能，在單方面封鎖使用者之前要求核准。

如需設定此劇本的詳細資訊，請參閱 此 SAP 部落格文章 。

鎖定多個系統的使用者

鎖定 Teams 中的使用者 - 進階 劇本會達成相同的目標，但專為更複雜的案例所設計，可讓單一劇本用於多個 SAP 系統，每個都有自己的 SAP SID。 劇本會使用 SAP - Systems 監看清單中的選擇性動態參數 InterfaceAttributes ，順暢地管理所有這些系統的連線，以及其認證，以及® Azure 金鑰保存庫。 劇本也可讓您在核准程式中使用 Outlook 可採取動作的郵件 與 Teams 進行通訊，以及在SAP_Dynamic_Audit_Log_Monitor_Configuration 關注清單中使用 TeamsChannelID 和 DestinationEmail 參數 進行同步處理。

如需設定此劇本的詳細資訊，特別是有關如何在監看清單中使用動態參數來管理所有 SAP 系統的連線，請參閱 此 SAP 部落格文章 。

防止停用稽核記錄

由於您的任務是確保 SAP 環境的安全性涵蓋範圍維持完整且不間斷，您可能會擔心 SAP 稽核記錄檔，其中一個安全性資訊的來源已停用。 您想要根據 SAP - 停用安全性稽核記錄 分析規則來建置自動化規則，該規則會在 停用 劇本後叫用可重新啟用的稽核記錄，以確保不會發生。 此劇本也使用 Teams，但只有在事實之後才通知安全性人員，因為鑒於進攻的嚴重性和緩和的緊迫性，因此不需要核准即可立即採取行動。 由於此劇本也會使用 Azure 金鑰保存庫來管理認證，因此劇本的組態與上一個劇本的設定類似。 如需此劇本及其設定的詳細資訊，請參閱 此 SAP 部落格文章 。

標準與取用劇本

如果您使用以 Azure Logic Apps 取用方案為基礎的劇本，Microsoft Sentinel 可讓您直接從範本建立這些劇本的 實例。 如果您有虛擬網路 （VNET） 插入式支援的特定需求，您必須使用 Azure API 管理 ，如此處 所述搭配您的取用邏輯應用程式，或使用 標準 方案邏輯應用程式。

請參閱不同類型的劇本 的完整說明。 此外，請參閱 此 SAP 部落格文章 ，在標題下方的「為 SOAP 要求建立 SAP 系統的視線」，以取得選擇每種邏輯應用程式類型的影響。

部署標準邏輯應用程式的程式通常比取用邏輯應用程式複雜得多，但我們提供了一系列快捷方式，可讓您從 Microsoft Sentinel GitHub 存放庫快速部署它們。 請遵循該處 所述的程式來部署劇本。

GitHub 中目前可用的標準劇本：

• 鎖定 Teams 中的 SAP 使用者 - 基本 標準劇本

在 GitHub 存放庫中的 SAP 劇本資料夾 上保留索引標籤，以取得更多劇本可用時。 還有一段 簡短的簡介影片（外部連結）， 可協助您開始使用。

下一步

在本文中，您已瞭解適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案中可用的劇本。

• 深入瞭解 適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案。
• 瞭解如何 部署適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案。
• 瞭解 適用于 SAP® 應用程式的 Microsoft Sentinel 解決方案中可用的安全性內容。
• 瞭解 自動化規則 和 劇本 。