適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案:安全性內容參考
本文詳述適用於 SAP 的 Microsoft Sentinel 解決方案可用的安全性內容。
重要
雖然適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案處於 GA 狀態,但某些特定元件會維持預覽狀態。 本文說明下列相關章節中處於預覽狀態的元件。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
可用的安全性內容包含內建活頁簿和分析規則。 您也可以新增 SAP 相關 關注清單 ,以用於搜尋、偵測規則、威脅搜捕和回應劇本。
內建活頁簿
使用下列內建活頁簿,以可視化方式檢視及監視透過 SAP 資料連接器內嵌的數據。 部署 SAP 解決方案之後,您可以在 [ 我的活頁簿] 索引標籤中找到 SAP 活 頁簿。
| 活頁簿名稱 | 描述 | 記錄 |
|---|---|---|
| SAP - 稽核記錄瀏覽器 | 顯示資料,例如: - 一般系統健康情況,包括一段時間的使用者登入、系統擷取的事件、訊息類別和標識碼,以及ABAP程式執行 -系統中發生的事件嚴重性 - 在您的系統中發生的驗證和授權事件 |
使用下列記錄中的資料: ABAPAuditLog_CL |
| SAP 稽核控件 | 協助您檢查 SAP 環境的安全性控制,以符合您選擇的控件架構,並使用工具來執行下列動作: - 將環境中的分析規則指派給特定的安全性控制和控制系列 - 監視和分類 SAP 解決方案型分析規則所產生的事件 - 回報合規性 |
使用下表中的資料: - SecurityAlert- SecurityIncident |
如需詳細資訊,請參閱 教學課程:可視化和監視您的數據 ,以及 部署適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案。
內建分析規則
監視靜態 SAP 安全性參數的設定 (預覽)
為了保護 SAP 系統,SAP 已識別需要監視變更的安全性相關參數。 使用「SAP - (預覽)敏感性靜態參數已變更」規則,適用於 SAP 應用程式的 Microsoft Sentinel 解決方案會追蹤 SAP® 系統中超過 52 個靜態安全性相關參數,這些參數 內建於 Microsoft Sentinel 中。
注意
若要讓適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案成功監視 SAP 安全性參數,解決方案必須定期成功監視 SAP PAHI 數據表。 確認解決方案可以成功監視PAHI數據表。
為了了解系統中的參數變更,適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案會使用參數歷程記錄數據表,以記錄每小時對系統參數所做的變更。
參數也會反映在 SAPSystemParameters 關注清單中。 此關注清單可讓使用者新增參數、停用現有的參數,以及修改生產環境或非生產環境中每個參數和系統角色的值和嚴重性。
對其中一個參數進行變更時,Microsoft Sentinel 會檢查變更是否與安全性相關,以及此值是否根據建議的值進行設定。 如果變更疑似在安全區域之外,Microsoft Sentinel 會建立詳細描述變更的事件,並識別進行變更的人員。
檢閱 此規則所監視的參數 清單。
監視 SAP 稽核記錄
SAP 稽核記錄資料用於適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案的許多分析規則。 有些分析規則會尋找記錄檔上的特定事件,而另一些規則則會將來自數個記錄的指示相互關聯,以產生高逼真度警示和事件。
此外,還有兩個分析規則是設計來容納整個標準 SAP 稽核記錄事件集(183 個不同的事件),以及您可以選擇使用 SAP 稽核記錄來記錄的任何其他自定義事件。
SAP 稽核記錄監視分析規則都會共用相同的數據源和相同的組態,但有一個重要層面不同。 雖然「SAP - 動態確定性稽核記錄監視器」規則需要具決定性的警示閾值和使用者排除規則,但「SAP - 動態異常型稽核記錄監視器警示(預覽)」規則會套用額外的機器學習演算法,以不受監督的方式篩選出背景雜訊。 因此,根據預設,SAP 稽核記錄的大部分事件類型(或 SAP 訊息標識碼)都會傳送至「異常型」分析規則,而更容易定義事件類型則會傳送至具決定性的分析規則。 此設定以及其他相關設定,可以進一步設定為符合任何系統條件。
SAP - 動態確定性稽核記錄監視器
動態分析規則,旨在涵蓋整個 SAP 稽核記錄事件類型集,其具有使用者母體擴展、事件閾值的決定性定義。
- 使用SAP_Dynamic_Audit_Log_Monitor_Configuration關注清單設定規則
- 深入瞭解如何 設定規則 (完整程式)
SAP - 動態異常型稽核記錄監視器警示 (預覽)
動態分析規則,其設計目的是要瞭解一般系統行為,以及針對SAP稽核記錄上觀察到的活動發出警示,這些活動被視為異常。 在 SAP 稽核記錄事件類型上套用此規則,這些事件類型在使用者母體、網路屬性和閾值方面較難定義。
深入了解:
下表列出從 Microsoft Sentinel Solutions Marketplace 部署的適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案中包含的內 建分析規則 。
初始存取
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - 從非預期的網路登入 | 從非預期的網路識別登入。 維護 SAP - 網路關注清單中的網路。 |
從未指派給其中一個網路的IP位址登入後端系統。 數據源:SAPcon - 稽核記錄 |
初始存取 |
| SAP - SPNego 攻擊 | 識別SPNego重新執行攻擊。 | 數據源:SAPcon - 稽核記錄 | 影響,橫向移動 |
| SAP - 來自特殊許可權使用者的對話框登入嘗試 | 識別 SAP 系統中具有特殊許可權使用者之 AUM 類型的對話框登入嘗試。 如需詳細資訊,請參閱 SAPUsersGetPrivileged。 | 嘗試在排程的時間間隔內,從相同的IP登入數個系統或用戶端 數據源:SAPcon - 稽核記錄 |
影響,橫向移動 |
| SAP - 暴力密碼破解攻擊 | 使用 RFC 登入識別 SAP 系統上的暴力密碼破解攻擊 | 嘗試使用 RFC,從相同的 IP 登入到排程時間間隔內的數個系統/用戶端 數據源:SAPcon - 稽核記錄 |
認證存取權 |
| SAP - 來自相同 IP 的多個登入 | 識別在排程時間間隔內,從相同IP位址的數位使用者登入。 子使用案例: 持續性 |
透過相同的IP位址使用數個使用者登入。 數據源:SAPcon - 稽核記錄 |
初始存取 |
| SAP - 依使用者多次登入 | 從排程時間間隔內的數個終端機識別相同使用者的登入。 僅適用於 SAP 7.5 版和更新版本的 Audit SAL 方法。 |
使用相同的使用者登入,並使用不同的IP位址。 數據源:SAPcon - 稽核記錄 |
PreAttack、Credential Access、Initial Access、Collection 子使用案例: 持續性 |
| SAP - 資訊 - 生命週期 - SAP 附注已在系統中實作 | 識別系統中的 SAP 附注實作。 | 使用 SNOTE/TCI 實作 SAP 附注。 數據源:SAPcon - 變更要求 |
- |
資料外流
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - 非授權伺服器的 FTP | 識別非授權伺服器的 FTP 連線。 | 建立新的 FTP 連線,例如使用 FTP_CONNECT 函式模組。 數據源:SAPcon - 稽核記錄 |
探索、初始存取、命令和控制 |
| SAP - 不安全的 FTP 伺服器設定 | 識別不安全的 FTP 伺服器組態,例如當 FTP 允許清單是空的或包含佔位元元時。 | 請勿使用SAPFTP_SERVERS_V維護檢視來維護數據表中包含SAPFTP_SERVERS佔位元的值。 (SM30) 數據源:SAPcon - 稽核記錄 |
初始存取、命令和控制 |
| SAP - 多個檔案下載 | 識別特定時間範圍內使用者的多個檔案下載。 | 使用 SAPGui for Excel、清單等下載多個檔案。 數據源:SAPcon - 稽核記錄 |
集合、外泄、認證存取 |
| SAP - 多個多任務緩衝處理執行 | 識別特定時間範圍內使用者的多個多任務緩衝處理。 | 建立及執行使用者任何類型的多個多任務緩衝處理作業。 (SP01) 數據源:SAPcon - 多任務緩衝處理記錄、SAPcon - 稽核記錄 |
集合、外泄、認證存取 |
| SAP - 多個多任務緩衝處理輸出執行 | 識別特定時間範圍內使用者的多個多任務緩衝處理。 | 建立及執行使用者任何類型的多個多任務緩衝處理作業。 (SP01) 數據源:SAPcon - 多任務緩衝輸出記錄、SAPcon - 稽核記錄 |
集合、外泄、認證存取 |
| SAP - 依 RFC 登入的敏感性數據表直接存取 | 識別 RFC 登入的泛型數據表存取。 維護 SAP - 敏感性數據表監 看清單中的數據表 。 注意:僅與生產系統相關。 |
使用 SE11/SE16/SE16N 開啟數據表內容。 數據源:SAPcon - 稽核記錄 |
集合、外泄、認證存取 |
| SAP - 多任務緩衝處理接管 | 識別列印其他人所建立之多任務緩衝處理要求的使用者。 | 使用使用者建立多工作緩衝處理要求,然後使用不同的使用者將它輸出至 。 數據源:SAPcon - 多任務緩衝處理記錄、SAPcon - 多任務緩衝輸出記錄、SAPcon - 稽核記錄 |
集合、外洩、命令和控制 |
| SAP - 動態 RFC 目的地 | 使用動態目的地識別 RFC 的執行。 子使用案例: 嘗試略過 SAP 安全性機制 |
執行使用動態目的地的 ABAP 報表(cl_dynamic_destination)。 例如,DEMO_RFC_DYNAMIC_DEST。 數據源:SAPcon - 稽核記錄 |
集合、外洩 |
| SAP - 敏感性數據表透過對話框登入直接存取 | 識別透過對話框登入的一般數據表存取。 | 使用 SE11SE16//SE16N開啟數據表內容。 數據源:SAPcon - 稽核記錄 |
探索 |
| SAP - (預覽) 從惡意 IP 位址下載的檔案 | 使用已知為惡意的IP位址,識別從SAP系統下載檔案。 惡意IP位址是從 威脅情報服務取得。 | 從惡意IP下載檔案。 數據源:SAP 安全性稽核記錄、威脅情報 |
外流 |
| SAP - (預覽) 使用傳輸從生產系統匯出的數據 | 使用傳輸識別從生產系統匯出的數據。 傳輸用於開發系統,類似於提取要求。 當包含任何數據表數據的傳輸從生產系統釋放時,此警示規則會觸發具有中度嚴重性的事件。 當導出包含機密數據表的數據時,此規則會建立高嚴重性事件。 | 從生產系統釋放傳輸。 數據源:SAP CR 記錄、 SAP - 敏感性數據表 |
外流 |
| SAP - (預覽) 儲存至 USB 磁碟驅動器的敏感數據 | 識別透過檔案匯出SAP資料。 此規則會檢查儲存在最近掛接的 USB 磁碟驅動器中的數據,以接近敏感性交易的執行、敏感性程式或直接存取機密數據表。 | 透過檔案匯出SAP資料,並儲存到USB磁碟驅動器。 數據源:SAP 安全性稽核記錄、DeviceFileEvents (適用於端點的 Microsoft Defender)、SAP - 敏感性數據表、SAP - 敏感性交易、SAP - 敏感性程式 |
外流 |
| SAP - (預覽) 列印潛在敏感數據 | 識別潛在敏感數據的要求或實際列印。 如果使用者取得數據做為敏感性交易的一部分、執行敏感性程式,或直接存取機密數據表,則數據會被視為敏感性。 | 列印或要求列印敏感數據。 數據源:SAP 安全性稽核記錄、SAP 多任務緩衝處理記錄、 SAP - 敏感性數據表、 SAP - 敏感性程式 |
外流 |
| SAP - (預覽) 大量可能導出的敏感數據 | 識別透過檔案匯出大量數據,以接近敏感性交易、敏感性程式或直接存取機密數據表的執行。 | 透過檔案匯出大量數據。 數據源:SAP 安全性稽核記錄、 SAP - 敏感性數據表、 SAP - 敏感性交易、 SAP - 敏感性程式 |
外流 |
持續
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - ICF 服務的啟用或停用 | 識別ICF服務的啟用或停用。 | 使用SICF啟動服務。 數據來源:SAPcon - 數據表數據記錄檔 |
命令和控制、橫向移動、持續性 |
| SAP - 已測試函式模組 | 識別函式模組的測試。 | 使用 SE37 / SE80測試函式模組。 數據源:SAPcon - 稽核記錄 |
集合、防禦逃避、橫向移動 |
| SAP - (預覽) HANA DB -使用者 管理員 動作 | 識別使用者管理動作。 | 建立、更新或刪除資料庫使用者。 資料來源:Linux 代理程式 - Syslog* |
權限提升 |
| SAP - 新的 ICF 服務處理程式 | 識別ICF處理程式的建立。 | 使用SICF將新的處理程式指派給服務。 數據源:SAPcon - 稽核記錄 |
命令和控制、橫向移動、持續性 |
| SAP - 新的 ICF 服務 | 識別ICF服務的建立。 | 使用SICF建立服務。 數據來源:SAPcon - 數據表數據記錄檔 |
命令和控制、橫向移動、持續性 |
| SAP - 執行過時或不安全的函式模組 | 識別過時或不安全的 ABAP 函式模組的執行。 在 SAP - 過時的函式模組關注清單中維護過時的函式。 請務必啟用後端數據表的數據表記錄變更 EUFUNC 。 (SE13)注意:僅與生產系統相關。 |
使用 SE37 直接執行過時或不安全的函式模組。 數據來源:SAPcon - 數據表數據記錄檔 |
探索、命令和控制 |
| SAP - 執行過時/不安全的程式 | 識別過時或不安全的 ABAP 程式執行。 在 SAP - 過時的程序關注清單中維護過時的程式。 注意:僅與生產系統相關。 |
使用 SE38/SA38/SE80 或使用背景作業直接執行程式。 數據源:SAPcon - 稽核記錄 |
探索、命令和控制 |
| SAP - 依使用者變更多個密碼 | 依用戶識別多個密碼變更。 | 變更用戶密碼 數據源:SAPcon - 稽核記錄 |
認證存取權 |
嘗試略過 SAP 安全性機制
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - 客戶端設定變更 | 識別客戶端設定的變更,例如用戶端角色或變更錄製模式。 | 使用交易程式代碼執行用戶端組 SCC4 態變更。 數據源:SAPcon - 稽核記錄 |
防禦逃避、外泄、持續性 |
| SAP - 偵錯活動期間的數據已變更 | 識別偵錯活動期間運行時間數據的變更。 子使用案例: 持續性 |
1. 啟動偵錯 (“/h” )。 2.選取要變更的欄位,並更新其值。 數據源:SAPcon - 稽核記錄 |
執行、橫向移動 |
| SAP - 停用安全性稽核記錄 | 識別安全性稽核記錄的停用, | 使用 SM19/RSAU_CONFIG停用安全性稽核記錄。 數據源:SAPcon - 稽核記錄 |
外洩、防禦逃避、持續性 |
| SAP - 執行敏感性 ABAP 程式 | 識別敏感性 ABAP 程式的直接執行。 在 SAP - 敏感性 ABAP 程式關注清單中維護 ABAP 程式。 |
使用直接執行SE38SA38//SE80程式。 數據源:SAPcon - 稽核記錄 |
外洩、橫向移動、執行 |
| SAP - 執行敏感性交易程序代碼 | 識別敏感性交易程式代碼的執行。 在 SAP - 敏感性交易碼關注清單中維護交易碼。 |
執行敏感性交易程序代碼。 數據源:SAPcon - 稽核記錄 |
探索、執行 |
| SAP - 敏感性函式模組的執行 | 識別敏感性 ABAP 函式模組的執行。 子使用案例: 持續性 注意:僅與生產系統相關。 在 SAP - 敏感性函式模組關注清單中維護敏感性函式,並確定在 EUFUNC 數據表的後端啟用數據表記錄變更。 (SE13) |
使用 SE37 直接執行敏感性函式模組。 數據來源:SAPcon - 數據表數據記錄檔 |
探索、命令和控制 |
| SAP - (預覽) HANA DB -稽核追蹤原則變更 | 識別 HANA DB 稽核記錄原則的變更。 | 在安全性定義中建立或更新現有的審核策略。 數據源:Linux 代理程式 - Syslog |
橫向運動、防禦逃避、持續性 |
| SAP - (預覽) HANA DB -停用稽核記錄 | 識別 HANA DB 稽核記錄的停用。 | 停用 HANA DB 安全性定義中的稽核記錄。 數據源:Linux 代理程式 - Syslog |
持續性、橫向移動、防禦逃避 |
| SAP - 未經授權的敏感性函式模組遠端執行 | 藉由比較活動與使用者的授權配置檔,同時忽略最近變更的授權,來偵測未經授權的敏感性 FM 執行。 維護 SAP - 敏感性函式模組關注清單中的函式模組。 |
使用 RFC 執行函式模組。 數據源:SAPcon - 稽核記錄 |
執行、橫向移動、探索 |
| SAP - 系統設定變更 | 識別系統設定的變更。 | 使用 SE06 交易程式代碼調整系統變更選項或軟體元件修改。數據源:SAPcon - 稽核記錄 |
外洩、防禦逃避、持續性 |
| SAP - 偵錯活動 | 識別所有偵錯相關活動。 子使用案例: 持續性 |
在系統中啟動偵錯 (“/h”)、對使用中進程進行偵錯、將斷點新增至原始程式碼等等。 數據源:SAPcon - 稽核記錄 |
探索 |
| SAP - 安全性稽核記錄設定變更 | 識別安全性稽核記錄組態中的變更 | 使用 SM19/RSAU_CONFIG變更任何安全性稽核記錄組態,例如篩選條件、狀態、錄製模式等等。 數據源:SAPcon - 稽核記錄 |
持續性、外洩、防禦逃避 |
| SAP - 交易已解除鎖定 | 識別交易的解除鎖定。 | 使用SM01SM01_DEV//SM01_CUS解除鎖定交易程序代碼。 數據源:SAPcon - 稽核記錄 |
持續性、執行 |
| SAP - 動態 ABAP 程式 | 識別動態 ABAP 程式設計的執行。 例如,當 ABAP 程式代碼動態建立、變更或刪除時。 在 SAP - ABAP 世代的事務關注清單中維護排除的交易碼。 |
建立使用 ABAP 程式產生命令的 ABAP 報表,例如 INSERT REPORT,然後執行報表。 數據源:SAPcon - 稽核記錄 |
探索、命令和控制、影響 |
可疑的許可權作業
| 規則名稱 | 描述 | 來源動作 | 策略 |
|---|---|---|---|
| SAP - 敏感性特殊許可權用戶的變更 | 識別敏感性特殊許可權用戶的變更。 在 SAP - Privileged Users 關注列表中維護具特殊許可權的使用者。 |
使用 SU01變更使用者詳細數據/授權。 數據源:SAPcon - 稽核記錄 |
許可權提升、認證存取 |
| SAP - (預覽) HANA DB -指派 管理員 授權 | 識別系統管理員許可權或角色指派。 | 指派具有任何系統管理員角色或許可權的使用者。 數據源:Linux 代理程式 - Syslog |
權限提升 |
| SAP - 已登入的敏感性特殊許可權使用者 | 識別敏感性特殊許可權用戶的對話框登入。 在 SAP - Privileged Users 關注列表中維護具特殊許可權的使用者。 |
使用 SAP* 或其他特殊許可權使用者登入後端系統。 數據源:SAPcon - 稽核記錄 |
初始存取、認證存取 |
| SAP - 敏感性特殊許可權使用者對其他用戶進行變更 | 識別其他使用者中敏感性特殊許可權用戶的變更。 | 使用 SU01 變更使用者詳細資料/授權。 數據源:SAPcon - 稽核記錄 |
許可權提升、認證存取 |
| SAP - 敏感性使用者密碼變更和登入 | 識別特殊許可權用戶的密碼變更。 | 變更特殊許可權用戶的密碼並登入系統。 在 SAP - Privileged Users 關注列表中維護具特殊許可權的使用者。 數據源:SAPcon - 稽核記錄 |
影響、命令和控制、許可權提升 |
| SAP - 使用者建立和使用新使用者 | 識別建立和使用其他用戶的使用者。 子使用案例: 持續性 |
使用 SU01 建立使用者,然後使用新建立的使用者和相同的 IP 位址登入。 數據源:SAPcon - 稽核記錄 |
Discovery、PreAttack、Initial Access |
| SAP - 使用者解除鎖定並使用其他使用者 | 識別其他使用者正在解除鎖定和使用的使用者。 子使用案例: 持續性 |
使用 SU01 解除鎖定使用者,然後使用解除鎖定的使用者和相同的 IP 位址登入。 數據源:SAPcon - 稽核記錄、SAPcon - 變更文件記錄 |
探索、PreAttack、初始存取、橫向移動 |
| SAP - 敏感性配置檔的指派 | 識別敏感性配置檔的新指派給使用者。 在 SAP - 敏感性設定檔關注清單中維護敏感性配置檔。 |
使用 SU01將配置檔指派給使用者。 數據源:SAPcon - 變更文件記錄 |
權限提升 |
| SAP - 敏感性角色的指派 | 識別使用者敏感性角色的新指派。 在 SAP - 敏感性角色關注列表中維護敏感性角色。 |
使用 SU01 / PFCG將角色指派給使用者。 數據源:SAPcon - 變更文件記錄檔、稽核記錄 |
權限提升 |
| SAP - (預覽) 重大授權指派 - 新增授權值 | 識別將重要授權物件值指派給新使用者。 維護 SAP - 重要授權物件關注清單中的重要授權物件。 |
使用指派新的授權物件,或更新角色 PFCG中的現有授權物件。 數據源:SAPcon - 變更文件記錄 |
權限提升 |
| SAP - 重大授權指派 - 新增使用者指派 | 識別將重要授權物件值指派給新使用者。 維護 SAP - 重要授權物件關注清單中的重要授權物件。 |
使用 SU01/PFCG將新使用者指派給保留重要授權值的角色。 數據源:SAPcon - 變更文件記錄 |
權限提升 |
| SAP - 敏感性角色變更 | 識別敏感性角色的變更。 在 SAP - 敏感性角色關注列表中維護敏感性角色。 |
使用 PFCG 變更角色。 數據源:SAPcon - 變更文件記錄檔、SAPcon – 稽核記錄 |
影響、許可權提升、持續性 |
可用的關注清單
下表列出 適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案可用的監看清單 ,以及每個監看清單中的欄位。
這些關注清單提供適用於 SAP® 應用程式的 Microsoft Sentinel 解決方案組態。 SAP 關注列表可在 Microsoft Sentinel GitHub 存放庫中取得。
| 關注清單名稱 | 描述和欄位 |
|---|---|
| SAP - 重要授權物件 | 重要授權物件,其中應控管指派。 - AuthorizationObject:SAP 授權物件,例如 S_DEVELOP、 S_TCODE或 Table TOBJ - AuthorizationField:SAP 授權字段,例如 OBJTYP 或 TCD - AuthorizationValue:SAP 授權域值,例如 DEBUG - ActivityField :SAP 活動欄位。 在大部分情況下,此值將會是 ACTVT。 若為沒有 Activity或只有 Activity 字段的 Authorizations 物件,則填入 NOT_IN_USE。 - 活動:SAP 活動,根據授權物件,例如::建立、 02:01變更、03:顯示等等。 - 描述:有意義的重大授權物件描述。 |
| SAP - 排除的網路 | 如需排除網路的內部維護,例如忽略 Web 發送器、終端伺服器等等。 -網路:網路IP位址或範圍,例如 111.68.128.0/17。 -描述:有意義的網路描述。 |
| SAP 排除的使用者 | 登入系統且必須忽略的系統使用者。 例如,相同使用者有多個登入的警示。 - 使用者:SAP 使用者 -描述:有意義的使用者描述。 |
| SAP - 網路 | 用於識別未經授權的登入的內部和維護網路。 - 網路:網路IP位址或範圍,例如 111.68.128.0/17 - 描述:有意義的網路描述。 |
| SAP - 具特殊許可權的使用者 | 受額外限制的特殊許可權使用者。 - 使用者:ABAP 使用者,例如 DDIC 或 SAP - 描述:有意義的使用者描述。 |
| SAP - 敏感性 ABAP 程式 | 敏感性 ABAP 程式 (reports),其中應該控管執行。 - ABAPProgram:ABAP 程式或報告,例如 RSPFLDOC - 描述:有意義的程式描述。 |
| SAP - 敏感性函式模組 | 用於識別未經授權的登入的內部和維護網路。 - FunctionModule:ABAP 函式模組,例如 RSAU_CLEAR_AUDIT_LOG - 描述:有意義的模組描述。 |
| SAP - 敏感性配置檔 | 敏感性配置檔,其中應控管指派。 - 配置檔:SAP 授權設定檔,例如 SAP_ALL 或 SAP_NEW - 描述:有意義的配置檔描述。 |
| SAP - 敏感性數據表 | 應控管存取權的敏感性數據表。 - 數據表:ABAP 字典數據表,例如 USR02 或 PA008 - 描述:有意義的數據表描述。 |
| SAP - 敏感性角色 | 應控管指派的敏感性角色。 - 角色:SAP 授權角色,例如 SAP_BC_BASIS_ADMIN - 描述:有意義的角色描述。 |
| SAP - 敏感性交易 | 應控管執行所在的敏感性交易。 - TransactionCode:SAP 事務程序代碼,例如 RZ11 - 描述:有意義的程序代碼描述。 |
| SAP - 系統 | 根據角色、使用方式和組態描述 SAP 系統的環境。 - SystemID:SAP 系統識別碼 (SYSID) - SystemRole:SAP 系統角色,下列其中一個值: Sandbox、、Development、Quality Assurance、 TrainingProduction - SystemUsage:SAP 系統使用方式,下列其中一個值: ERP、、SolmanBW、、 GatewayEnterprise Portal - InterfaceAttributes:用於劇本的選擇性動態參數。 |
| SAPSystemParameters | 要監看 可疑組態變更的參數。 此監看清單已預先填入建議的值(根據 SAP 最佳做法),您可以擴充關注清單以包含更多參數。 如果您不想收到參數的警示,請將 設定 EnableAlerts 為 false。- ParameterName:參數的名稱。 - 批註:SAP 標準參數描述。 - EnableAlerts:定義是否要啟用此參數的警示。 值為 true 和 false。- 選項:定義觸發警示的案例:如果參數值大於或等於()、小於或等於 ( GELE)、或等於 (EQ)。例如,如果 login/fails_to_user_lock SAP 參數設定為 LE (小於或等於),且值為 5,一旦 Microsoft Sentinel 偵測到此特定參數的變更,就會比較新報告的值和預期的值。 如果新的值為 4,Microsoft Sentinel 不會觸發警示。 如果新值為 6,Microsoft Sentinel 會觸發警示。- ProductionSeverity:生產系統的事件嚴重性。 - ProductionValues:生產系統允許的值。 - NonProdSeverity:非生產系統的事件嚴重性。 - NonProdValues:非生產系統的允許值。 |
| SAP - 排除的使用者 | 已登入且需要忽略的系統使用者,例如使用者警示的多重登入。 - 使用者:SAP 使用者 - 描述:有意義的使用者描述 |
| SAP - 排除的網路 | 維護內部、排除的網路,以忽略 Web 發送器、終端伺服器等等。 - 網路:網路IP位址或範圍,例如 111.68.128.0/17 - 描述:有意義的網路描述 |
| SAP - 過時的函式模組 | 過時的函式模組,其執行應該受到控管。 - FunctionModule:ABAP 函式模組,例如TH_SAPREL - 描述:有意義的函式模組描述 |
| SAP - 過時的程式 | 過時的 ABAP 程式(報告),其執行應該受到控管。 - ABAPProgram:ABAP 程式,例如 TH_ RSPFLDOC - 描述:有意義的 ABAP 程式描述 |
| SAP - ABAP 世代的交易 | 應控管其執行之 ABAP 世代的交易。 - TransactionCode:Transaction Code,例如 SE11。 - 描述:有意義的交易程序代碼描述 |
| SAP - FTP 伺服器 | 用於識別未經授權的連線的 FTP 伺服器。 - Client:例如 100。 - FTP_Server_Name:FTP 伺服器名稱,例如 http://contoso.com/ -FTP_Server_Port:FTP 伺服器埠,例如 22。 - 描述有意義的 FTP 伺服器描述 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | 將每個訊息識別碼指派為每個系統角色(生產、非生產環境)所需的嚴重性層級,以設定SAP稽核記錄警示。 此關注清單會詳細說明所有可用的 SAP 標準稽核記錄訊息識別碼。 監視清單可以擴充,以包含您可以在其 SAP NetWeaver 系統上使用 ABAP 增強功能自行建立的其他訊息識別碼。 此監看清單也允許設定指定的小組來處理每個事件類型,以及透過 SAP 角色、SAP 配置檔或來自SAP_User_Config關注清單的標籤排除使用者。 此關注清單是用來設定內建 SAP 分析規則以監視 SAP 稽核記錄的核心元件之一。 - MessageID:SAP 訊息識別碼或事件類型,例如 AUD (使用者主要記錄變更),或 AUB (授權變更)。 - DetailedDescription:已啟用 Markdown 的描述,以顯示在事件窗格上。 - ProductionSeverity:針對生產系統 High、 Medium建立事件所需的嚴重性。 可以設定為 Disabled。 - NonProdSeverity:針對非生產系統 High、 Medium建立事件所需的嚴重性。 可以設定為 Disabled。 - ProductionThreshold 要視為生產系統的 60「每小時」事件計數。 - NonProdThreshold 非生產系統的 10「每小時」事件計數視為可疑事件。 - RolesTagsToExclude:此欄位接受來自SAP_User_Config關注清單的 SAP 角色名稱、SAP 配置檔名稱或標籤。 然後,這些會用來從特定事件類型中排除相關聯的使用者。 請參閱此清單結尾的角色標籤選項。 - RuleType:用於 Deterministic將事件類型傳送至 SAP - 動態確定性稽核記錄監視器,或AnomaliesOnly讓 SAP - 動態異常式稽核記錄監視器警示 (PREVIEW) 涵蓋此事件。- TeamsChannelID:用於劇本的選擇性動態參數。 - DestinationEmail:用於劇本的選擇性動態參數。 針對 [RolesTagsToExclude] 字段: - 如果您列出 SAP 角色或 SAP 設定檔,這會從相同 SAP 系統的這些事件類型中排除任何具有所列角色或設定檔的使用者。 例如,如果您為 RFC 相關事件類型定義 BASIC_BO_USERS ABAP 角色,則進行大量 RFC 呼叫時,Business Objects 使用者不會觸發事件。- 標記事件類型類似於指定 SAP 角色或配置檔,但可以在工作區中建立標記,因此 SOC 小組可以依活動排除使用者,而不需視 SAP 小組而定。 例如,稽核訊息標識碼 AUB (授權變更) 和 AUD (使用者主要記錄變更) 會指派標記 MassiveAuthChanges 。 指派此標籤的使用者會從檢查這些活動中排除。 執行工作區 SAPAuditLogConfigRecommend 函式會產生要指派給使用者的建議標記清單,例如 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist。 |
| SAP_User_Config | 允許藉由排除特定內容中的 /including 用戶來微調警示,也可用來設定內建的 SAP 分析規則來監視 SAP 稽核記錄。 - SAPUser:SAP 使用者 - 標籤可用來識別使用者是否有特定活動。 例如,將標籤 [“GenericTablebyRFCOK”] 新增至使用者SENTINEL_SRV會防止為此特定使用者建立 RFC 相關事件 其他 Active Directory 用戶識別碼 - AD 用戶識別碼 - 用戶內部部署 Sid - 用戶主體名稱 |
可用的劇本
| 劇本名稱 | 參數 | 連線 |
|---|---|---|
| SAP 事件回應 - 鎖定 Teams 的使用者 - 基本 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP 事件回應 - 鎖定 Teams 的使用者 - 進階 | - SAP-SOAP-KeyVault-Credential-Name - 預設值 管理員 Email - TeamsChannel |
- Microsoft Sentinel - Azure 監視器記錄 - Office 365 Outlook - Microsoft Entra ID - Azure 金鑰保存庫 - Microsoft Teams |
| SAP 事件回應 - 停用后可重新啟用稽核記錄 | - SAP-SOAP-KeyVault-Credential-Name - 預設值 管理員 Email - TeamsChannel |
- Microsoft Sentinel - Azure 金鑰保存庫 - Azure 監視器記錄 - Microsoft Teams |
下一步
如需詳細資訊,請參閱