Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье подробно описано содержимое системы безопасности, доступное для Microsoft Sentinel решений для SAP.
Важно!
Указанные элементы, описанные в этой статье, находятся в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.
Доступное содержимое системы безопасности включает встроенные книги и правила аналитики. Вы также можете добавить связанные с SAP списки отслеживания для использования в поиске, правилах обнаружения, охоте на угрозы и сборниках схем реагирования.
Содержимое этой статьи предназначено для вашей команды безопасности .
Встроенные книги
Используйте следующие встроенные книги для визуализации и мониторинга данных, передаваемых через соединитель данных SAP. После развертывания решения SAP книги SAP можно найти на вкладке Шаблоны .
| Имя книги | Описание | Журналы |
|---|---|---|
| SAP — обозреватель журналов аудита | Отображает такие данные, как: — общая работоспособности системы, включая входы пользователей с течением времени, события, принятые системой, классы и идентификаторы сообщений, а также запускаются программы ABAP. -Серьезность событий, происходящих в системе — События проверки подлинности и авторизации, происходящие в системе |
Использует данные из следующего журнала: ABAPAuditLog |
| Элементы управления аудитом SAP | Помогает проверка элементов управления безопасностью среды SAP на соответствие выбранной платформе управления с помощью следующих средств: — Назначение правил аналитики в среде определенным элементам управления безопасностью и семействам элементов управления — Мониторинг и классификация инцидентов, созданных правилами аналитики на основе решения SAP. — Отчет о соответствии требованиям |
Использует данные из следующих таблиц: - SecurityAlert- SecurityIncident |
Дополнительные сведения см. в статье Руководство. Визуализация и мониторинг данных и Развертывание решения Microsoft Sentinel для приложений SAP.
Встроенные правила аналитики
В этом разделе описывается выбор встроенных правил аналитики, предоставляемых вместе с решением Microsoft Sentinel для приложений SAP. Соединитель данных без агента работает с объединенным набором источников. Для последних обновлений проверка концентратор содержимого Microsoft Sentinel для новых и обновленных правил.
Мониторинг конфигурации статических параметров безопасности SAP (предварительная версия)
Чтобы защитить систему SAP, SAP определила связанные с безопасностью параметры, которые необходимо отслеживать на наличие изменений. С помощью правила "SAP — (предварительная версия) Конфиденциальный статический параметр изменен" решение Microsoft Sentinel для приложений SAP отслеживает более 52 статических параметров безопасности в системе SAP, встроенных в Microsoft Sentinel.
Примечание.
Чтобы Microsoft Sentinel решение для приложений SAP для успешного мониторинга параметров безопасности SAP, решение должно успешно отслеживать таблицу SAP PAHI через регулярные интервалы. Дополнительные сведения см. в статье Проверка регулярного обновления таблицы PAHI.
Чтобы понять изменения параметров в системе, решение Microsoft Sentinel для приложений SAP использует таблицу журнала параметров, которая записывает изменения, внесенные в системные параметры каждый час.
Параметры также отражаются в списке отслеживания SAPSystemParameters. Этот список отслеживания позволяет пользователям добавлять новые параметры, отключать существующие параметры и изменять значения и серьезности для параметра и системной роли в рабочей или непроизводственной среде.
При изменении одного из этих параметров Microsoft Sentinel проверяет, связано ли изменение с безопасностью и задано ли значение в соответствии с рекомендуемыми значениями. Если изменение подозревается как за пределами безопасной зоны, Microsoft Sentinel создает инцидент с подробными сведениями об изменении и определяет, кто внес изменение.
Просмотрите список параметров , отслеживаемых этим правилом.
Мониторинг журнала аудита SAP
Многие правила аналитики в решении Microsoft Sentinel для приложений SAP используют данные журнала аудита SAP. Некоторые правила аналитики ищут определенные события в журнале, а другие сопоставляют признаки из нескольких журналов для создания оповещений и инцидентов с высокой точностью.
Используйте следующие правила аналитики, чтобы отслеживать все события журнала аудита в системе SAP или запускать оповещения только при обнаружении аномалий.
| Имя правила | Описание |
|---|---|
| SAP — отсутствует конфигурация в мониторе журнала динамического аудита безопасности | По умолчанию выполняется ежедневно, чтобы предоставить рекомендации по настройке для модуля журнала аудита SAP. Используйте шаблон правила для создания и настройки правила для рабочей области. |
| SAP — динамический монитор журналов детерминированного аудита (предварительная версия) | По умолчанию выполняется каждые 10 минут и фокусируется на событиях журнала аудита SAP, помеченных как детерминированные. Используйте шаблон правила для создания и настройки правила для рабочей области, например для более низкой частоты ложноположительных результатов. Для этого правила требуются детерминированные пороговые значения оповещений и правила исключения пользователей. |
| SAP — оповещения монитора журнала аудита на основе динамических аномалий (предварительная версия) | По умолчанию выполняется ежечасно и фокусируется на событиях SAP, помеченных как anomaliesOnly, и оповещает о событиях журнала аудита SAP при обнаружении аномалий. Это правило применяет дополнительные алгоритмы машинного обучения для фильтрации фонового шума без присмотра. |
По умолчанию большинство типов событий или идентификаторов сообщений SAP в журнале аудита SAP отправляются в правило аналитики оповещений монитора журнала аудита (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) на основе аномалий, в то время как более простые для определения типы событий отправляются в правило аналитики детерминированного динамического детерминированного журнала аудита (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ). Этот параметр вместе с другими связанными параметрами можно дополнительно настроить в соответствии с любыми системными условиями.
Правила мониторинга журналов аудита SAP предоставляются как часть Microsoft Sentinel для содержимого безопасности решения SAP и позволяют выполнять дальнейшую тонкую настройку с помощью SAP_Dynamic_Audit_Log_Monitor_Configuration и списков отслеживания SAP_User_Config.
Например, в следующей таблице приведено несколько примеров использования списка отслеживания SAP_Dynamic_Audit_Log_Monitor_Configuration для настройки типов событий, которые создают инциденты, уменьшая количество создаваемых инцидентов.
| Вариант | Описание |
|---|---|
| Настройка серьезности и отключение нежелательных событий | По умолчанию детерминированные правила и правила, основанные на аномалиях, создают оповещения для событий со средним и высоким уровнем серьезности. Может потребоваться настроить уровни серьезности отдельно в рабочей и непроизводственной средах. Например, можно задать событие действия отладки как событие с высоким уровнем серьезности в рабочих системах и полностью отключить те же события в непроизводственных системах. |
| Исключение пользователей по ролям SAP или профилям SAP | Microsoft Sentinel для SAP использует профиль авторизации пользователя SAP, включая прямые и косвенные назначения ролей, группы и профили, чтобы вы могли говорить на языке SAP в SIEM. Может потребоваться настроить событие SAP, чтобы исключить пользователей на основе их ролей и профилей SAP. В списке отслеживания добавьте роли или профили, которые группировать пользователей интерфейса RFC, в столбце RolesTagsToExclude рядом с событием "Доступ к универсальной таблице по RFC ". Эта конфигурация активирует оповещения только для пользователей, у которых отсутствуют эти роли. |
| Исключение пользователей по их тегам SOC | Используйте теги для создания собственных групп, не полагаясь на сложные определения SAP или даже без авторизации SAP. Этот метод полезен для команд SOC, которые хотят создать собственную группу для пользователей SAP. Например, если вы не хотите, чтобы определенные учетные записи служб оповещались о доступе к универсальной таблице событиями RFC , но не можете найти роль SAP или профиль SAP, который группирует этих пользователей, используйте теги следующим образом: 1. Добавьте тег GenTableRFCReadOK рядом с соответствующим событием в списке отслеживания. 2. Перейдите в список SAP_User_Config и назначьте пользователям интерфейса тот же тег. |
| Указание порогового значения частоты для каждого типа события и системной роли | Работает как ограничение скорости. Например, можно настроить события изменения главной записи пользователя так, чтобы оповещения запускались только в том случае, если один и тот же пользователь в рабочей системе наблюдал более 12 действий в час. Если пользователь превышает ограничение в 12 часов (например, 2 события в 10-минутном окне), активируется инцидент. |
| Детерминизм или аномалии | Если вы знаете характеристики события, используйте детерминированные возможности. Если вы не знаете, как правильно настроить событие, разрешите возможностям машинного обучения принять решение о запуске, а затем внесите последующие обновления по мере необходимости. |
| Возможности SOAR | Используйте Microsoft Sentinel для дальнейшей оркестрации, автоматизации и реагирования на инциденты, созданные динамическими оповещениями журнала аудита SAP. Дополнительные сведения см. в статье Автоматизация в Microsoft Sentinel: оркестрация безопасности, автоматизация и реагирование (SOAR). |
Дополнительные сведения см. в статье Доступные списки просмотров и Microsoft Sentinel для SAP News — функция динамического монитора журнала аудита безопасности SAP. (блог).
Начальный доступ
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| SAP — вход из непредвиденной сети | Определяет вход из непредвиденной сети. Обслуживание сетей в списке отслеживания SAP - Networks . |
Войдите в серверную систему с IP-адреса, который не назначен ни одной из сетей. Источники данных: SAPcon — журнал аудита |
Исходный доступ |
| SAP — атака SPNego | Определяет атаку на воспроизведение SPNego. | Источники данных: SAPcon — журнал аудита | Влияние, боковое смещение |
| SAP — попытка входа в диалог от привилегированного пользователя | Определяет попытки входа в диалог с типом AUM привилегированными пользователями в системе SAP. Дополнительные сведения см. в разделе SAPUsersGetPrivileged. | Попытка входа с одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени Источники данных: SAPcon — журнал аудита |
Влияние, боковое смещение |
| SAP — атаки методом подбора | Определяет атаки методом подбора в системе SAP с помощью входов RFC | Попытка входа с одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени с помощью RFC Источники данных: SAPcon — журнал аудита |
Доступ к учетным данным |
| SAP — несколько входов по IP-адресу | Определяет вход нескольких пользователей с одного IP-адреса в течение запланированного интервала времени. Вариант использования:сохраняемость |
Войдите с помощью нескольких пользователей через один и тот же IP-адрес. Источники данных: SAPcon — журнал аудита |
Исходный доступ |
| SAP — несколько входов пользователей | Определяет вход одного пользователя из нескольких терминалов в течение запланированного интервала времени. Доступно только с помощью метода Audit SAL для SAP версии 7.5 и более поздних. |
Войдите с помощью одного пользователя, используя разные IP-адреса. Источники данных: SAPcon — журнал аудита |
Предварительная атака, доступ к учетным данным, первоначальный доступ, коллекция Вариант использования:сохраняемость |
| SAP — информационный — жизненный цикл — заметки SAP реализованы в системе | Определяет реализацию заметки SAP в системе. | Реализуйте заметку SAP с помощью SNOTE/TCI. Источники данных: SAPcon — запросы на изменение |
- |
| SAP — (предварительная версия) AS JAVA — конфиденциальный привилегированный пользователь, вошедшего в систему | Определяет вход из непредвиденной сети. Поддерживайте привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи . |
Войдите в серверную систему с помощью привилегированных пользователей. Источники данных: SAPJAVAFilesLog |
Исходный доступ |
| SAP — (предварительная версия) AS JAVA — Sign-In из непредвиденной сети | Определяет входы из непредвиденной сети. Поддерживайте привилегированных пользователей в списке отслеживания SAP - Networks . |
Вход в серверную систему с IP-адреса, который не назначен одной из сетей в списке отслеживания SAP - Networks Источники данных: SAPJAVAFilesLog |
Первоначальный доступ, уклонение от защиты |
Кража данных
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| SAP — FTP для неавторизизованных серверов | Определяет FTP-подключение для неавторизованного сервера. | Создайте новое FTP-подключение, например с помощью модуля функции FTP_CONNECT. Источники данных: SAPcon — журнал аудита |
Обнаружение, начальный доступ, команды и управление |
| SAP — конфигурация небезопасных FTP-серверов | Определяет небезопасные конфигурации FTP-сервера, например, когда список разрешений FTP пуст или содержит заполнители. | Не сохраняйте значения, содержащие заполнители в SAPFTP_SERVERS таблице, с помощью SAPFTP_SERVERS_V представления обслуживания. (SM30) Источники данных: SAPcon — журнал аудита |
Начальный доступ, управление и управление |
| SAP — скачивание нескольких Files | Определяет несколько скачиваемых файлов для пользователя в пределах определенного диапазона времени. | Скачайте несколько файлов с помощью SAPGui для Excel, списков и т. д. Источники данных: SAPcon — журнал аудита |
Сбор, кража, доступ к учетным данным |
| SAP — выполнение нескольких очереди | Определяет несколько очереди для пользователя в пределах определенного диапазона времени. | Создание и выполнение пользователем нескольких заданий очереди любого типа. (SP01) Источники данных: SAPcon — журнал очереди, SAPcon — журнал аудита. |
Сбор, кража, доступ к учетным данным |
| SAP — выполнение нескольких выходных данных очереди | Определяет несколько очереди для пользователя в пределах определенного диапазона времени. | Создание и выполнение пользователем нескольких заданий очереди любого типа. (SP01) Источники данных: SAPcon — журнал вывода очереди, SAPcon — журнал аудита. |
Сбор, кража, доступ к учетным данным |
| SAP — прямой доступ к конфиденциальным таблицам через вход в RFC | Определяет универсальный доступ к таблице при входе в RFC. Ведение таблиц в списке отслеживания SAP — конфиденциальные таблицы . Относится только к рабочим системам. |
Откройте содержимое таблицы с помощью SE11/SE16/SE16N. Источники данных: SAPcon — журнал аудита |
Сбор, кража, доступ к учетным данным |
| SAP — переключение с очереди | Определяет пользователя, печатающего запрос очереди, созданный другим пользователем. | Создайте запрос очереди с помощью одного пользователя, а затем выведите его в с помощью другого пользователя. Источники данных: SAPcon — журнал очереди, SAPcon — журнал вывода spool, SAPcon — журнал аудита. |
Сбор, кража, управление и управление |
| SAP — динамическое назначение RFC | Определяет выполнение RFC с помощью динамических назначений. Вариант подпользования: попытки обойти механизмы безопасности SAP |
Выполните отчет ABAP, использующий динамические назначения (cl_dynamic_destination). Например, DEMO_RFC_DYNAMIC_DEST. Источники данных: SAPcon — журнал аудита |
Сбор, кража |
| SAP — прямой доступ к конфиденциальным таблицам с помощью диалогового окна | Определяет доступ к универсальной таблице через вход в диалоговое окно. | Откройте содержимое таблицы с помощью SE11SE16N/SE16/. Источники данных: SAPcon — журнал аудита |
Обнаружение |
| SAP — файл (предварительная версия), скачанный с вредоносного IP-адреса | Определяет скачивание файла из системы SAP с помощью IP-адреса, известного как вредоносный. Вредоносные IP-адреса получаются из служб аналитики угроз. | Скачайте файл с вредоносного IP-адреса. Источники данных: журнал аудита безопасности SAP, аналитика угроз |
Кража данных |
| SAP — (предварительная версия) данные, экспортированные из рабочей системы с помощью транспорта | Определяет экспорт данных из рабочей системы с помощью транспорта. Транспорты используются в системах разработки и похожи на запросы на вытягивание. Это правило генерации оповещений активирует инциденты со средней степенью серьезности, когда транспорт, включающий данные из любой таблицы, освобождается из рабочей системы. Правило создает инцидент с высоким уровнем серьезности, если экспорт включает данные из конфиденциальной таблицы. | Освобождение транспорта из рабочей системы. Источники данных: журнал SAP CR, SAP — конфиденциальные таблицы |
Кража данных |
| SAP — (предварительная версия) Конфиденциальные данные, сохраненные на USB-накопителе | Определяет экспорт данных SAP через файлы. Правило проверяет наличие данных, сохраненных на недавно подключенном USB-накопителе, в непосредственной близости от выполнения конфиденциальной транзакции, конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Экспортируйте данные SAP с помощью файлов и сохраните их на USB-накопитель. Источники данных: журнал аудита безопасности SAP, DeviceFileEvents (Microsoft Defender для конечной точки), SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража данных |
| SAP — печать потенциально конфиденциальных данных (предварительная версия) | Определяет запрос или фактическую печать потенциально конфиденциальных данных. Данные считаются конфиденциальными, если пользователь получает данные в рамках конфиденциальной транзакции, выполнения конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Печать или запрос на печать конфиденциальных данных. Источники данных: журнал аудита безопасности SAP, журналы SAP Spool, SAP — конфиденциальные таблицы, SAP — конфиденциальные программы |
Кража данных |
| SAP — большой объем экспортируемых потенциально конфиденциальных данных (предварительная версия) | Определяет экспорт большого объема данных через файлы, которые находятся рядом с выполнением конфиденциальной транзакции, конфиденциальной программой или прямым доступом к конфиденциальной таблице. | Экспорт больших объемов данных с помощью файлов. Источники данных: журнал аудита безопасности SAP, SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража данных |
Настойчивости
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| SAP — активация или деактивация службы ICF | Определяет активацию или деактивацию служб ICF. | Активация службы с помощью SICF. Источники данных: SAPcon — журнал табличных данных |
Управление и управление, боковое смещение, сохраняемость |
| SAP — тестируемый модуль функций | Определяет тестирование модуля функции. | Тестирование модуля функции с помощью SE37 / SE80. Источники данных: SAPcon — журнал аудита |
Коллекция, уклонение от обороны, боковое движение |
| SAP — (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) База данных HANA — действия Администратор пользователей | Определяет действия администрирования пользователей. | Создание, обновление или удаление пользователя базы данных. Источники данных: агент Linux — системный журнал* |
Повышение привилегий |
| SAP — новые обработчики служб ICF | Определяет создание обработчиков ICF. | Назначьте новый обработчик службе с помощью SICF. Источники данных: SAPcon — журнал аудита |
Управление и управление, боковое смещение, сохраняемость |
| SAP — новые службы ICF | Определяет создание служб ICF. | Создайте службу с помощью SICF. Источники данных: SAPcon — журнал табличных данных |
Управление и управление, боковое смещение, сохраняемость |
| SAP — выполнение устаревшего или небезопасного модуля функции | Определяет выполнение устаревшего или небезопасного модуля функции ABAP. Поддержка устаревших функций в списке отслеживания sap — устаревшие модули функций . Обязательно активируйте ведение журнала изменений для EUFUNC таблицы в серверной части. (SE13)Относится только к рабочим системам. |
Запустите устаревший или небезопасный модуль функции непосредственно с помощью SE37. Источники данных: SAPcon — журнал табличных данных |
Обнаружение, управление и управление |
| SAP — выполнение устаревшей или небезопасной программы | Определяет выполнение устаревшей или небезопасной программы ABAP. Ведение устаревших программ в списке отслеживания SAP — устаревшие программы . Относится только к рабочим системам. |
Запустите программу напрямую с помощью SE38,SA38/SE80 или с помощью фонового задания. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и управление |
| SAP — несколько изменений паролей | Определяет несколько изменений паролей по пользователям. | Смена пароля пользователя Источники данных: SAPcon — журнал аудита |
Доступ к учетным данным |
| SAP — (предварительная версия) AS JAVA — пользователь создает и использует нового пользователя | Определяет создание пользователей или манипуляцию с ними администраторами в среде SAP AS Java. | Войдите в серверную систему с помощью пользователей, созданных или управляемых вами. Источники данных: SAPJAVAFilesLog |
Сохранение |
Попытки обойти механизмы безопасности SAP
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| SAP — изменение конфигурации клиента | Определяет изменения конфигурации клиента, такие как роль клиента или режим записи изменений. | Изменение конфигурации клиента с помощью SCC4 кода транзакции. Источники данных: SAPcon — журнал аудита |
Уклонение от защиты, кражи, сохраняемость |
| SAP — данные изменились во время действия отладки | Определяет изменения данных среды выполнения во время действия отладки. Вариант использования:сохраняемость |
1. Активация отладки (/ч). 2. Выберите поле для изменения и обновите его значение. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое смещение |
| SAP — деактивация журнала аудита безопасности | Определяет деактивацию журнала аудита безопасности. | Отключите журнал аудита безопасности с помощью SM19/RSAU_CONFIG. Источники данных: SAPcon — журнал аудита |
Кража, уклонение от защиты, сохраняемость |
| SAP — выполнение конфиденциальной программы ABAP | Определяет прямое выполнение конфиденциальной программы ABAP. Ведение программ ABAP в списке отслеживания SAP — конфиденциальные программы ABAP . |
Запустите программу напрямую с помощью SE38SE80/SA38/. Источники данных: SAPcon — журнал аудита |
Кража, боковое смещение, выполнение |
| SAP — выполнение кода конфиденциальных транзакций | Определяет выполнение конфиденциального кода транзакции. Ведение кодов транзакций в списке отслеживания SAP — конфиденциальные коды транзакций . |
Запустите конфиденциальный код транзакции. Источники данных: SAPcon — журнал аудита |
Обнаружение, выполнение |
| SAP — выполнение модуля конфиденциальной функции | Определяет выполнение чувствительного модуля функции ABAP. Вариант использования:сохраняемость Относится только к рабочим системам. Поддерживайте конфиденциальные функции в списке отслеживания sap — sensitive Function Modules и убедитесь, что активируйте изменения в журнале таблицы в серверной части для таблицы EUFUNC. (SE13) |
Запустите модуль конфиденциальной функции непосредственно с помощью SE37. Источники данных: SAPcon — журнал табличных данных |
Обнаружение, управление и управление |
| SAP — (предварительная версия) HANA DB — изменения политики аудита | Определяет изменения для политик журнала аудита базы данных HANA. | Создайте или обновите существующую политику аудита в определениях безопасности. Источники данных: агент Linux — системный журнал |
Боковое движение, уклонение от обороны, сохраняемость |
| SAP — (предварительная версия) HANA DB — деактивация журнала аудита | Определяет деактивацию журнала аудита базы данных HANA. | Отключите журнал аудита в определении безопасности базы данных HANA. Источники данных: агент Linux — системный журнал |
Сохраняемость, боковое движение, уклонение от обороны |
| SAP — несанкционированное удаленное выполнение модуля конфиденциальной функции | Обнаруживает несанкционированное выполнение конфиденциальных виртуальных машин путем сравнения действий с профилем авторизации пользователя, игнорируя недавно измененные авторизации. Обслуживание модулей функций в списке отслеживания SAP — конфиденциальные модули функций . |
Запустите модуль функции с помощью RFC. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое смещение, обнаружение |
| SAP — изменение конфигурации системы | Определяет изменения для конфигурации системы. | Адаптируйте параметры изменения системы или программного компонента с помощью SE06 кода транзакции.Источники данных: SAPcon — журнал аудита |
Кража, уклонение от защиты, сохраняемость |
| SAP — действия по отладке | Определяет все связанные с отладкой действия. Вариант использования:сохраняемость |
Активируйте отладку (/ч) в системе, отладите активный процесс, добавьте точку останова в исходный код и т. д. Источники данных: SAPcon — журнал аудита |
Обнаружение |
| SAP — изменение конфигурации журнала аудита безопасности | Определяет изменения в конфигурации журнала аудита безопасности | Измените конфигурацию журнала аудита безопасности с помощью SM19/RSAU_CONFIGфильтров, состояния, режима записи и т. д. Источники данных: SAPcon — журнал аудита |
Сохраняемость, эксфильтрация, уклонение от обороны |
| SAP — транзакция разблокирована | Определяет разблокировку транзакции. | Разблокируйте код транзакции с помощью SM01SM01_CUS/SM01_DEV/. Источники данных: SAPcon — журнал аудита |
Сохраняемость, выполнение |
| SAP — динамическая программа ABAP | Определяет выполнение динамического программирования ABAP. Например, при динамическом создании, изменении или удалении кода ABAP. Сохраните коды исключенных транзакций в списке отслеживания SAP — Транзакции для поколений ABAP . |
Создайте отчет ABAP, который использует команды создания программы ABAP, такие как INSERT REPORT, а затем запустите отчет. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и управление, влияние |
Операции с подозрительными привилегиями
| Имя правила | Описание | Исходное действие | Тактики |
|---|---|---|---|
| SAP — изменение конфиденциального привилегированного пользователя | Определяет изменения конфиденциальных привилегированных пользователей. Поддерживайте привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи . |
Изменение сведений о пользователе и авторизациях с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным |
| SAP — (предварительная версия) HANA DB — назначение Администратор авторизации | Определяет права администратора или назначение ролей. | Назначьте пользователя с любой ролью или привилегиями администратора. Источники данных: агент Linux — системный журнал |
Повышение привилегий |
| SAP — привилегированный пользователь, вошедший в систему | Определяет вход в Диалоговое окно конфиденциального привилегированного пользователя. Поддерживайте привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи . |
Войдите в серверную систему с помощью SAP* или другого привилегированного пользователя. Источники данных: SAPcon — журнал аудита |
Начальный доступ, доступ к учетным данным |
| SAP — привилегированный пользователь вносит изменения в другого пользователя | Определяет изменения конфиденциальных привилегированных пользователей в других пользователях. | Изменение сведений о пользователях и авторизациях с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным |
| SAP — изменение пароля и вход конфиденциальных пользователей | Определяет изменения паролей для привилегированных пользователей. | Измените пароль для привилегированного пользователя и войдите в систему. Поддерживайте привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи . Источники данных: SAPcon — журнал аудита |
Влияние, управление и управление, повышение привилегий |
| SAP — пользователь создает и использует нового пользователя | Определяет пользователя, который создает и использует других пользователей. Вариант использования:сохраняемость |
Создайте пользователя с помощью SU01, а затем выполните вход, используя только что созданного пользователя и тот же IP-адрес. Источники данных: SAPcon — журнал аудита |
Обнаружение, предварительная атака, первоначальный доступ |
| SAP — пользователь разблокирует и использует других пользователей | Определяет пользователя, разблокированного и используемого другими пользователями. Вариант использования:сохраняемость |
Разблокируйте пользователя с помощью SU01, а затем выполните вход с помощью разблокированного пользователя и того же IP-адреса. Источники данных: SAPcon — журнал аудита, SAPcon — журнал изменений документов |
Обнаружение, предварительная атака, начальный доступ, боковое смещение |
| SAP — назначение конфиденциального профиля | Определяет новые назначения конфиденциального профиля пользователю. Обслуживание конфиденциальных профилей в списке отслеживания SAP — конфиденциальные профили . |
Назначьте профиль пользователю с помощью SU01. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — назначение конфиденциальной роли | Определяет новые назначения для конфиденциальной роли для пользователя. Ведение конфиденциальных ролей в списке отслеживания SAP — конфиденциальные роли . |
Назначьте роль пользователю с помощью SU01 / PFCG. Источники данных: SAPcon — журнал изменений документов, журнал аудита |
Повышение привилегий |
| SAP — назначение критических авторизации (предварительная версия) — новое значение авторизации | Определяет назначение значения критического объекта авторизации новому пользователю. Обслуживание критически важных объектов авторизации в списке отслеживания SAP — критические объекты авторизации . |
Назначьте новый объект авторизации или обновите существующий в роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — назначение критически важных авторизации — новое назначение пользователя | Определяет назначение значения критического объекта авторизации новому пользователю. Обслуживание критически важных объектов авторизации в списке отслеживания SAP — критические объекты авторизации . |
Назначьте нового пользователя роли, содержащей критические значения авторизации, с помощью SU01/PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — изменения конфиденциальных ролей | Определяет изменения в конфиденциальных ролях. Ведение конфиденциальных ролей в списке отслеживания SAP — конфиденциальные роли . |
Изменение роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов, SAPcon — журнал аудита |
Влияние, повышение привилегий, сохраняемость |
Примечание.
В общедоступном выпуске SAP S/4HANA Cloud (GROW с SAP) соединитель данных SAP повторно использует подмножество содержимого Microsoft Sentinel аналитики SAP, где необходимые данные телеметрии доступны через общедоступные API OData. Правила в зависимости от дополнительных источников данных, таких как изменение документов, применяются только к развертываниям частного облака.
Столбец общедоступного выпуска S/4HANA Cloud в таблицах ниже указывает, какое содержимое также относится к выпуску общедоступного облака. Активация развертывания соединителя данных , опубликованного SAP SE.
Мониторинг журнала аудита SAP
Многие правила аналитики в решении Microsoft Sentinel для приложений SAP используют данные журнала аудита SAP. Некоторые правила аналитики ищут определенные события в журнале, а другие сопоставляют признаки из нескольких журналов для создания оповещений и инцидентов с высокой точностью.
Используйте следующие правила аналитики, чтобы отслеживать все события журнала аудита в системе SAP или запускать оповещения только при обнаружении аномалий.
| Имя правила | Описание | Общедоступный выпуск S/4HANA Cloud |
|---|---|---|
| SAP — отсутствует конфигурация в мониторе журнала динамического аудита безопасности | По умолчанию выполняется ежедневно, чтобы предоставить рекомендации по настройке для модуля журнала аудита SAP. Используйте шаблон правила для создания и настройки правила для рабочей области. | - |
| SAP — динамический монитор журналов детерминированного аудита (предварительная версия) | По умолчанию выполняется каждые 10 минут и фокусируется на событиях журнала аудита SAP, помеченных как детерминированные. Используйте шаблон правила для создания и настройки правила для рабочей области, например для более низкой частоты ложноположительных результатов. Для этого правила требуются детерминированные пороговые значения оповещений и правила исключения пользователей. |
✔️ |
| SAP — оповещения монитора журнала аудита на основе динамических аномалий (предварительная версия) | По умолчанию выполняется ежечасно и фокусируется на событиях SAP, помеченных как anomaliesOnly, и оповещает о событиях журнала аудита SAP при обнаружении аномалий. Это правило применяет дополнительные алгоритмы машинного обучения для фильтрации фонового шума без присмотра. |
✔️ |
По умолчанию большинство типов событий или идентификаторов сообщений SAP в журнале аудита SAP отправляются в правило аналитики оповещений монитора журнала аудита (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) на основе аномалий, в то время как более простые для определения типы событий отправляются в правило аналитики детерминированного динамического детерминированного журнала аудита (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ). Этот параметр вместе с другими связанными параметрами можно дополнительно настроить в соответствии с любыми системными условиями.
Правила мониторинга журналов аудита SAP предоставляются как часть Microsoft Sentinel для содержимого безопасности решения SAP и позволяют выполнять дальнейшую тонкую настройку с помощью SAP_Dynamic_Audit_Log_Monitor_Configuration и списков отслеживания SAP_User_Config.
Например, в следующей таблице приведено несколько примеров использования списка отслеживания SAP_Dynamic_Audit_Log_Monitor_Configuration для настройки типов событий, которые создают инциденты, уменьшая количество создаваемых инцидентов.
| Вариант | Описание |
|---|---|
| Настройка серьезности и отключение нежелательных событий | По умолчанию детерминированные правила и правила, основанные на аномалиях, создают оповещения для событий со средним и высоким уровнем серьезности. Может потребоваться настроить уровни серьезности отдельно в рабочей и непроизводственной средах. Например, можно задать событие действия отладки как событие с высоким уровнем серьезности в рабочих системах и полностью отключить те же события в непроизводственных системах. |
| Исключение пользователей по ролям SAP или профилям SAP | Microsoft Sentinel для SAP использует профиль авторизации пользователя SAP, включая прямые и косвенные назначения ролей, группы и профили, чтобы вы могли говорить на языке SAP в SIEM. Может потребоваться настроить событие SAP, чтобы исключить пользователей на основе их ролей и профилей SAP. В списке отслеживания добавьте роли или профили, которые группировать пользователей интерфейса RFC, в столбце RolesTagsToExclude рядом с событием "Доступ к универсальной таблице по RFC ". Эта конфигурация активирует оповещения только для пользователей, у которых отсутствуют эти роли. |
| Исключение пользователей по их тегам SOC | Используйте теги для создания собственных групп, не полагаясь на сложные определения SAP или даже без авторизации SAP. Этот метод полезен для команд SOC, которые хотят создать собственную группу для пользователей SAP. Например, если вы не хотите, чтобы определенные учетные записи служб оповещались о доступе к универсальной таблице событиями RFC , но не можете найти роль SAP или профиль SAP, который группирует этих пользователей, используйте теги следующим образом: 1. Добавьте тег GenTableRFCReadOK рядом с соответствующим событием в списке отслеживания. 2. Перейдите в список SAP_User_Config и назначьте пользователям интерфейса тот же тег. |
| Указание порогового значения частоты для каждого типа события и системной роли | Работает как ограничение скорости. Например, можно настроить события изменения главной записи пользователя так, чтобы оповещения запускались только в том случае, если один и тот же пользователь в рабочей системе наблюдал более 12 действий в час. Если пользователь превышает ограничение в 12 часов (например, 2 события в 10-минутном окне), активируется инцидент. |
| Детерминизм или аномалии | Если вы знаете характеристики события, используйте детерминированные возможности. Если вы не знаете, как правильно настроить событие, разрешите возможностям машинного обучения принять решение о запуске, а затем внесите последующие обновления по мере необходимости. |
| Возможности SOAR | Используйте Microsoft Sentinel для дальнейшей оркестрации, автоматизации и реагирования на инциденты, созданные динамическими оповещениями журнала аудита SAP. Дополнительные сведения см. в статье Автоматизация в Microsoft Sentinel: оркестрация безопасности, автоматизация и реагирование (SOAR). |
Дополнительные сведения см. в статье Доступные списки просмотров и Microsoft Sentinel для SAP News — функция динамического монитора журнала аудита безопасности SAP. (блог).
Начальный доступ
| Имя правила | Описание | Исходное действие | Тактики | Общедоступный выпуск S/4HANA Cloud |
|---|---|---|---|---|
| SAP — вход из непредвиденной сети | Определяет вход из непредвиденной сети. Обслуживание сетей в списке отслеживания SAP - Networks . |
Войдите в серверную систему с IP-адреса, который не назначен ни одной из сетей. Источники данных: SAPcon — журнал аудита |
Исходный доступ | ✔️ |
| SAP — атака SPNego | Определяет атаку на воспроизведение SPNego. | Источники данных: SAPcon — журнал аудита | Влияние, боковое смещение | ✔️ |
| SAP — попытка входа в диалог от привилегированного пользователя | Определяет попытки входа в диалог с типом AUM привилегированными пользователями в системе SAP. Дополнительные сведения см. в разделе SAPUsersGetPrivileged. | Попытка входа с одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени Источники данных: SAPcon — журнал аудита |
Влияние, боковое смещение | ✔️ |
| SAP — атаки методом подбора | Определяет атаки методом подбора в системе SAP с помощью входов RFC | Попытка входа с одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени с помощью RFC Источники данных: SAPcon — журнал аудита |
Доступ к учетным данным | - |
| SAP — несколько входов по IP-адресу | Определяет вход нескольких пользователей с одного IP-адреса в течение запланированного интервала времени. Вариант использования:сохраняемость |
Войдите с помощью нескольких пользователей через один и тот же IP-адрес. Источники данных: SAPcon — журнал аудита |
Исходный доступ | ✔️ |
| SAP — несколько входов пользователей | Определяет вход одного пользователя из нескольких терминалов в течение запланированного интервала времени. Доступно только с помощью метода Audit SAL для SAP версии 7.5 и более поздних. |
Войдите с помощью одного пользователя, используя разные IP-адреса. Источники данных: SAPcon — журнал аудита |
Предварительная атака, доступ к учетным данным, первоначальный доступ, коллекция Вариант использования:сохраняемость |
✔️ |
Кража данных
| Имя правила | Описание | Исходное действие | Тактики | Общедоступный выпуск S/4HANA Cloud |
|---|---|---|---|---|
| SAP — FTP для неавторизизованных серверов | Определяет FTP-подключение для неавторизованного сервера. | Создайте новое FTP-подключение, например с помощью модуля функции FTP_CONNECT. Источники данных: SAPcon — журнал аудита |
Обнаружение, начальный доступ, команды и управление | - |
| SAP — конфигурация небезопасных FTP-серверов | Определяет небезопасные конфигурации FTP-сервера, например, когда список разрешений FTP пуст или содержит заполнители. | Не сохраняйте значения, содержащие заполнители в SAPFTP_SERVERS таблице, с помощью SAPFTP_SERVERS_V представления обслуживания. (SM30) Источники данных: SAPcon — журнал аудита |
Начальный доступ, управление и управление | - |
| SAP — скачивание нескольких Files | Определяет несколько скачиваемых файлов для пользователя в пределах определенного диапазона времени. | Скачайте несколько файлов с помощью SAPGui для Excel, списков и т. д. Источники данных: SAPcon — журнал аудита |
Сбор, кража, доступ к учетным данным | - |
| SAP — прямой доступ к конфиденциальным таблицам через вход в RFC | Определяет универсальный доступ к таблице при входе в RFC. Ведение таблиц в списке отслеживания SAP — конфиденциальные таблицы . Относится только к рабочим системам. |
Откройте содержимое таблицы с помощью SE11/SE16/SE16N. Источники данных: SAPcon — журнал аудита |
Сбор, кража, доступ к учетным данным | - |
| SAP — динамическое назначение RFC | Определяет выполнение RFC с помощью динамических назначений. Вариант подпользования: попытки обойти механизмы безопасности SAP |
Выполните отчет ABAP, использующий динамические назначения (cl_dynamic_destination). Например, DEMO_RFC_DYNAMIC_DEST. Источники данных: SAPcon — журнал аудита |
Сбор, кража | - |
| SAP — прямой доступ к конфиденциальным таблицам с помощью диалогового окна | Определяет доступ к универсальной таблице через вход в диалоговое окно. | Откройте содержимое таблицы с помощью SE11SE16N/SE16/. Источники данных: SAPcon — журнал аудита |
Обнаружение | - |
| SAP — файл (предварительная версия), скачанный с вредоносного IP-адреса | Определяет скачивание файла из системы SAP с помощью IP-адреса, известного как вредоносный. Вредоносные IP-адреса получаются из служб аналитики угроз. | Скачайте файл с вредоносного IP-адреса. Источники данных: журнал аудита безопасности SAP, аналитика угроз |
Кража данных | - |
| SAP — (предварительная версия) Конфиденциальные данные, сохраненные на USB-накопителе | Определяет экспорт данных SAP через файлы. Правило проверяет наличие данных, сохраненных на недавно подключенном USB-накопителе, в непосредственной близости от выполнения конфиденциальной транзакции, конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Экспортируйте данные SAP с помощью файлов и сохраните их на USB-накопитель. Источники данных: журнал аудита безопасности SAP, DeviceFileEvents (Microsoft Defender для конечной точки), SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража данных | - |
| SAP — большой объем экспортируемых потенциально конфиденциальных данных (предварительная версия) | Определяет экспорт большого объема данных через файлы, которые находятся рядом с выполнением конфиденциальной транзакции, конфиденциальной программой или прямым доступом к конфиденциальной таблице. | Экспорт больших объемов данных с помощью файлов. Источники данных: журнал аудита безопасности SAP, SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража данных | - |
Настойчивости
| Имя правила | Описание | Исходное действие | Тактики | Общедоступный выпуск S/4HANA Cloud |
|---|---|---|---|---|
| SAP — тестируемый модуль функций | Определяет тестирование модуля функции. | Тестирование модуля функции с помощью SE37 / SE80. Источники данных: SAPcon — журнал аудита |
Коллекция, уклонение от обороны, боковое движение | - |
| SAP — (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) База данных HANA — действия Администратор пользователей | Определяет действия администрирования пользователей. | Создание, обновление или удаление пользователя базы данных. Источники данных: агент Linux — системный журнал* |
Повышение привилегий | - |
| SAP — выполнение устаревшего или небезопасного модуля функции | Определяет выполнение устаревшего или небезопасного модуля функции ABAP. Поддержка устаревших функций в списке отслеживания sap — устаревшие модули функций . Обязательно активируйте ведение журнала изменений для EUFUNC таблицы в серверной части. (SE13)Относится только к рабочим системам. |
Запустите устаревший или небезопасный модуль функции непосредственно с помощью SE37. Источники данных: SAPcon — журнал табличных данных |
Обнаружение, управление и управление | - |
| SAP — выполнение устаревшей или небезопасной программы | Определяет выполнение устаревшей или небезопасной программы ABAP. Ведение устаревших программ в списке отслеживания SAP — устаревшие программы . Относится только к рабочим системам. |
Запустите программу напрямую с помощью SE38,SA38/SE80 или с помощью фонового задания. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и управление | - |
| SAP — несколько изменений паролей | Определяет несколько изменений паролей по пользователям. | Смена пароля пользователя Источники данных: SAPcon — журнал аудита |
Доступ к учетным данным | ✔️ |
Попытки обойти механизмы безопасности SAP
| Имя правила | Описание | Исходное действие | Тактики | Общедоступный выпуск S/4HANA Cloud |
|---|---|---|---|---|
| SAP — изменение конфигурации клиента | Определяет изменения конфигурации клиента, такие как роль клиента или режим записи изменений. | Изменение конфигурации клиента с помощью SCC4 кода транзакции. Источники данных: SAPcon — журнал аудита |
Уклонение от защиты, кражи, сохраняемость | - |
| SAP — данные изменились во время действия отладки | Определяет изменения данных среды выполнения во время действия отладки. Вариант использования:сохраняемость |
1. Активация отладки (/ч). 2. Выберите поле для изменения и обновите его значение. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое смещение | - |
| SAP — деактивация журнала аудита безопасности | Определяет деактивацию журнала аудита безопасности. | Отключите журнал аудита безопасности с помощью SM19/RSAU_CONFIG. Источники данных: SAPcon — журнал аудита |
Кража, уклонение от защиты, сохраняемость | - |
| SAP — выполнение конфиденциальной программы ABAP | Определяет прямое выполнение конфиденциальной программы ABAP. Ведение программ ABAP в списке отслеживания SAP — конфиденциальные программы ABAP . |
Запустите программу напрямую с помощью SE38SE80/SA38/. Источники данных: SAPcon — журнал аудита |
Кража, боковое смещение, выполнение | - |
| SAP — выполнение кода конфиденциальных транзакций | Определяет выполнение конфиденциального кода транзакции. Ведение кодов транзакций в списке отслеживания SAP — конфиденциальные коды транзакций . |
Запустите конфиденциальный код транзакции. Источники данных: SAPcon — журнал аудита |
Обнаружение, выполнение | - |
| SAP — выполнение модуля конфиденциальной функции | Определяет выполнение чувствительного модуля функции ABAP. Вариант использования:сохраняемость Относится только к рабочим системам. Поддерживайте конфиденциальные функции в списке отслеживания sap — sensitive Function Modules и убедитесь, что активируйте изменения в журнале таблицы в серверной части для таблицы EUFUNC. (SE13) |
Запустите модуль конфиденциальной функции непосредственно с помощью SE37. Источники данных: SAPcon — журнал табличных данных |
Обнаружение, управление и управление | - |
| SAP — (предварительная версия) HANA DB — изменения политики аудита | Определяет изменения для политик журнала аудита базы данных HANA. | Создайте или обновите существующую политику аудита в определениях безопасности. Источники данных: агент Linux — системный журнал |
Боковое движение, уклонение от обороны, сохраняемость | - |
| SAP — (предварительная версия) HANA DB — деактивация журнала аудита | Определяет деактивацию журнала аудита базы данных HANA. | Отключите журнал аудита в определении безопасности базы данных HANA. Источники данных: агент Linux — системный журнал |
Сохраняемость, боковое движение, уклонение от обороны | - |
| SAP — несанкционированное удаленное выполнение модуля конфиденциальной функции | Обнаруживает несанкционированное выполнение конфиденциальных виртуальных машин путем сравнения действий с профилем авторизации пользователя, игнорируя недавно измененные авторизации. Обслуживание модулей функций в списке отслеживания SAP — конфиденциальные модули функций . |
Запустите модуль функции с помощью RFC. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое смещение, обнаружение | - |
| SAP — изменение конфигурации системы | Определяет изменения для конфигурации системы. | Адаптируйте параметры изменения системы или программного компонента с помощью SE06 кода транзакции.Источники данных: SAPcon — журнал аудита |
Кража, уклонение от защиты, сохраняемость | - |
| SAP — действия по отладке | Определяет все связанные с отладкой действия. Вариант использования:сохраняемость |
Активируйте отладку (/ч) в системе, отладите активный процесс, добавьте точку останова в исходный код и т. д. Источники данных: SAPcon — журнал аудита |
Обнаружение | - |
| SAP — изменение конфигурации журнала аудита безопасности | Определяет изменения в конфигурации журнала аудита безопасности | Измените конфигурацию журнала аудита безопасности с помощью SM19/RSAU_CONFIGфильтров, состояния, режима записи и т. д. Источники данных: SAPcon — журнал аудита |
Сохраняемость, эксфильтрация, уклонение от обороны | - |
| SAP — транзакция разблокирована | Определяет разблокировку транзакции. | Разблокируйте код транзакции с помощью SM01SM01_CUS/SM01_DEV/. Источники данных: SAPcon — журнал аудита |
Сохраняемость, выполнение | - |
| SAP — динамическая программа ABAP | Определяет выполнение динамического программирования ABAP. Например, при динамическом создании, изменении или удалении кода ABAP. Сохраните коды исключенных транзакций в списке отслеживания SAP — Транзакции для поколений ABAP . |
Создайте отчет ABAP, который использует команды создания программы ABAP, такие как INSERT REPORT, а затем запустите отчет. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и управление, влияние | - |
Операции с подозрительными привилегиями
| Имя правила | Описание | Исходное действие | Тактики | Общедоступный выпуск S/4HANA Cloud |
|---|---|---|---|---|
| SAP — изменение конфиденциального привилегированного пользователя | Определяет изменения конфиденциальных привилегированных пользователей. Поддерживайте привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи . |
Изменение сведений о пользователе и авторизациях с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным | ✔️ |
| SAP — (предварительная версия) HANA DB — назначение Администратор авторизации | Определяет права администратора или назначение ролей. | Назначьте пользователя с любой ролью или привилегиями администратора. Источники данных: агент Linux — системный журнал |
Повышение привилегий | - |
| SAP — привилегированный пользователь, вошедший в систему | Определяет вход в Диалоговое окно конфиденциального привилегированного пользователя. Поддерживайте привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи . |
Войдите в серверную систему с помощью SAP* или другого привилегированного пользователя. Источники данных: SAPcon — журнал аудита |
Начальный доступ, доступ к учетным данным | ✔️ |
| SAP — привилегированный пользователь вносит изменения в другого пользователя | Определяет изменения конфиденциальных привилегированных пользователей в других пользователях. | Изменение сведений о пользователях и авторизациях с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным | ✔️ |
| SAP — изменение пароля и вход конфиденциальных пользователей | Определяет изменения паролей для привилегированных пользователей. | Измените пароль для привилегированного пользователя и войдите в систему. Поддерживайте привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи . Источники данных: SAPcon — журнал аудита |
Влияние, управление и управление, повышение привилегий | ✔️ |
| SAP — пользователь создает и использует нового пользователя | Определяет пользователя, который создает и использует других пользователей. Вариант использования:сохраняемость |
Создайте пользователя с помощью SU01, а затем выполните вход, используя только что созданного пользователя и тот же IP-адрес. Источники данных: SAPcon — журнал аудита |
Обнаружение, предварительная атака, первоначальный доступ | ✔️ |
| SAP — пользователь разблокирует и использует других пользователей | Определяет пользователя, разблокированного и используемого другими пользователями. Вариант использования:сохраняемость |
Разблокируйте пользователя с помощью SU01, а затем выполните вход с помощью разблокированного пользователя и того же IP-адреса. Источники данных: SAPcon — журнал аудита, SAPcon — журнал изменений документов |
Обнаружение, предварительная атака, начальный доступ, боковое смещение | - |
| SAP — назначение конфиденциального профиля | Определяет новые назначения конфиденциального профиля пользователю. Обслуживание конфиденциальных профилей в списке отслеживания SAP — конфиденциальные профили . |
Назначьте профиль пользователю с помощью SU01. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий | - |
| SAP — назначение конфиденциальной роли | Определяет новые назначения для конфиденциальной роли для пользователя. Ведение конфиденциальных ролей в списке отслеживания SAP — конфиденциальные роли . |
Назначьте роль пользователю с помощью SU01 / PFCG. Источники данных: SAPcon — журнал изменений документов, журнал аудита |
Повышение привилегий | - |
| SAP — назначение критических авторизации (предварительная версия) — новое значение авторизации | Определяет назначение значения критического объекта авторизации новому пользователю. Обслуживание критически важных объектов авторизации в списке отслеживания SAP — критические объекты авторизации . |
Назначьте новый объект авторизации или обновите существующий в роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий | - |
| SAP — назначение критически важных авторизации — новое назначение пользователя | Определяет назначение значения критического объекта авторизации новому пользователю. Обслуживание критически важных объектов авторизации в списке отслеживания SAP — критические объекты авторизации . |
Назначьте нового пользователя роли, содержащей критические значения авторизации, с помощью SU01/PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий | - |
| SAP — изменения конфиденциальных ролей | Определяет изменения в конфиденциальных ролях. Ведение конфиденциальных ролей в списке отслеживания SAP — конфиденциальные роли . |
Изменение роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов, SAPcon — журнал аудита |
Влияние, повышение привилегий, сохраняемость | - |
Доступные списки просмотров
В следующей таблице перечислены списки отслеживания, доступные для решения Microsoft Sentinel для приложений SAP, а также поля в каждом списке отслеживания.
Эти списки отслеживания предоставляют конфигурацию для решения Microsoft Sentinel для приложений SAP. Списки отслеживания SAP доступны в репозитории Microsoft Sentinel GitHub.
| Имя списка отслеживания | Описание и поля |
|---|---|
| SAP — критические авторизации | Объект Critical Authorizations, где следует управлять назначениями. - AuthorizationObject: объект авторизации SAP, например S_DEVELOP, S_TCODEили Table TOBJ - AuthorizationField: поле авторизации SAP, например OBJTYP или TCD - AuthorizationValue: значение поля авторизации SAP, например DEBUG - ActivityField : поле действия SAP. В большинстве случаев это значение равно ACTVT. Для объектов авторизации без действия или только с полем Действие , заполненным NOT_IN_USE. - Действие: действие SAP в соответствии с объектом авторизации, например: 01: Create; 02: Change; 03: Display и т. д. - Описание: понятное описание объекта критической авторизации. |
| SAP — исключенные сети | Для внутреннего обслуживания исключенных сетей, например для игнорирования веб-диспетчеров, серверов терминалов и т. д. - Сеть: IP-адрес или диапазон сети, например 111.68.128.0/17. - Описание: понятное описание сети. |
| Исключенные пользователи SAP | Системные пользователи, которые вошли в систему и должны игнорироваться. Например, оповещения о нескольких входах одного пользователя. - Пользователь: пользователь SAP - Описание: понятное описание пользователя. |
| SAP — сети | Внутренние сети и сети обслуживания для идентификации несанкционированных имен входа. - Сеть: IP-адрес сети или диапазон, например 111.68.128.0/17 - Описание: понятное описание сети. |
| SAP — привилегированные пользователи | Привилегированные пользователи, которые находятся под дополнительными ограничениями. - Пользователь: пользователь ABAP, например DDIC или SAP - Описание: понятное описание пользователя. |
| SAP — конфиденциальные программы ABAP | Конфиденциальные программы ABAP (отчеты), где следует управлять выполнением. - ABAPProgram: программа или отчет ABAP, например RSPFLDOC - Описание: понятное описание программы. |
| SAP — модуль конфиденциальной функции | Внутренние сети и сети обслуживания для идентификации несанкционированных имен входа. - FunctionModule: модуль функции ABAP, например RSAU_CLEAR_AUDIT_LOG - Описание: понятное описание модуля. |
| SAP — конфиденциальные профили | Конфиденциальные профили, в которых следует управлять назначениями. - Профиль: профиль авторизации SAP, например SAP_ALL или SAP_NEW - Описание: понятное описание профиля. |
| SAP — конфиденциальные таблицы | Конфиденциальные таблицы, в которых необходимо управлять доступом. - Таблица: таблица словарей ABAP, например USR02 или PA008 - Описание: понятное описание таблицы. |
| SAP — конфиденциальные роли | Конфиденциальные роли, где следует управлять назначением. - Роль: роль авторизации SAP, например SAP_BC_BASIS_ADMIN - Описание: понятное описание роли. |
| SAP — конфиденциальные транзакции | Конфиденциальные транзакции, в которых следует управлять выполнением. - TransactionCode: код транзакции SAP, например RZ11 - Описание: понятное описание кода. |
| SAP — системы | Описывает ландшафт систем SAP в соответствии с ролью, использованием и конфигурацией. - SystemID: системный идентификатор SAP (SYSID) - SystemRole: системная роль SAP, одно из следующих значений: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: использование системы SAP, одно из следующих значений: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: необязательный динамический параметр для использования в сборниках схем. |
| SAPSystemParameters | Параметры для отслеживания подозрительных изменений конфигурации. Этот список отслеживания предварительно заполняется рекомендуемыми значениями (в соответствии с рекомендациями SAP), и вы можете расширить список отслеживания, чтобы включить дополнительные параметры. Если вы не хотите получать оповещения для параметра, задайте для параметра значение EnableAlertsfalse.- ParameterName: имя параметра. - Примечание. Описание стандартного параметра SAP. - EnableAlerts: определяет, следует ли включать оповещения для этого параметра. Значения: true и false.- Параметр: определяет, в каком случае следует активировать оповещение: если значение параметра больше или равно ( GE), меньше или равно (LE), или равно (EQ)Например, если login/fails_to_user_lock параметр SAP имеет значение LE (меньше или равно), а значение , после того как Microsoft Sentinel обнаруживает изменение этого конкретного 5параметра, он сравнивает только что указанное значение и ожидаемое значение. Если новое значение равно 4, Microsoft Sentinel не активирует оповещение. Если новое значение равно 6, Microsoft Sentinel активирует оповещение.- ProductionSeverity: серьезность инцидента для рабочих систем. - ProductionValues: допустимые значения для производственных систем. - NonProdSeverity: серьезность инцидента для непроизводственных систем. - NonProdValues: допустимые значения для непроизводственных систем. |
| SAP — исключенные пользователи | Системные пользователи, которые вошли в систему и должны игнорироваться, например для оповещения о нескольких входах пользователя. - Пользователь: пользователь SAP - Описание: понятное описание пользователя |
| SAP — исключенные сети | Обслуживание внутренних исключенных сетей для игнорирования веб-диспетчеров, серверов терминалов и т. д. - Сеть: IP-адрес сети или диапазон, например 111.68.128.0/17 - Описание: понятное описание сети |
| SAP — устаревшие функциональные модули | Устаревшие модули функций, выполнение которых должно регулироваться. - FunctionModule: модуль функции ABAP, например TH_SAPREL - Описание: описание осмысленного модуля функции |
| SAP — устаревшие программы | Устаревшие программы ABAP (отчеты), выполнение которых должно регулироваться. - ABAPProgram:ABAP Program, например TH_ RSPFLDOC - Описание: понятное описание программы ABAP |
| SAP — транзакции для поколений ABAP | Транзакции для поколений ABAP, выполнение которых должно регулироваться. - TransactionCode: код транзакции, например SE11. - Описание: понятное описание кода транзакции |
| SAP — FTP-серверы | FTP-серверы для идентификации несанкционированных подключений. - Клиент: например, 100. - FTP_Server_Name: имя FTP-сервера, например http://contoso.com/ - FTP_Server_Port:порт ftp-сервера, например 22. - ОписаниеПонятное описание FTP-сервера |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Настройте оповещения журнала аудита SAP, назначив каждому идентификатору сообщения требуемый уровень серьезности для каждой системной роли (рабочей, непроизводственной). В этом списке отслеживания подробно описаны все доступные стандартные идентификаторы сообщений журнала аудита SAP. Список отслеживания можно расширить, чтобы содержать дополнительные идентификаторы сообщений, которые можно создать самостоятельно с помощью усовершенствований ABAP в своих системах SAP NetWeaver. Этот список отслеживания также позволяет настроить назначенную команду для обработки каждого из типов событий и исключить пользователей по ролям SAP, профилям SAP или тегам из списка SAP_User_Config отслеживания. Этот список отслеживания является одним из основных компонентов, используемых для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. Дополнительные сведения см. в разделе Мониторинг журнала аудита SAP. - MessageID: идентификатор сообщения SAP или тип события, например AUD (пользователь master изменения записи) или AUB (изменения авторизации). - Подробное описание: описание с поддержкой markdown, отображаемое на панели инцидента. - ProductionSeverity: требуемая серьезность для создаваемого инцидента для производственных систем High, Medium. Может быть задано значение Disabled. - NonProdSeverity: требуемая серьезность для создаваемого инцидента для непроизводственных систем High, Medium. Может быть задано значение Disabled. - ProductionThreshold Количество событий в час, которые считаются подозрительными для рабочих систем 60. - NonProdThreshold Количество событий в час, которые считаются подозрительными для непроизводственных систем 10. - RolesTagsToExclude: это поле принимает имя роли SAP, имена профилей SAP или теги из списка SAP_User_Config отслеживания. Затем они используются для исключения связанных пользователей из определенных типов событий. См. параметры тегов ролей в конце этого списка. - RuleType. Используйте Deterministic для отправки типа события в правило sap — динамического детерминированного монитора журнала аудита или AnomaliesOnly для того, чтобы это событие охватывалось правилом SAP — динамические оповещения монитора журналов аудита на основе аномалий (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ). Дополнительные сведения см. в разделе Мониторинг журнала аудита SAP. - TeamsChannelID: необязательный динамический параметр для использования в сборниках схем. - DestinationEmail: необязательный динамический параметр для использования в сборниках схем. Для поля RolesTagsToExclude : — При перечислении ролей ИЛИ профилей SAP любой пользователь со перечисленными ролями или профилями из этих типов событий для той же системы SAP исключается. Например, если определить BASIC_BO_USERS роль ABAP для связанных с RFC типов событий, пользователи бизнес-объектов не будут запускать инциденты при выполнении массовых вызовов RFC.— Добавление тегов к типу события аналогично указанию ролей или профилей SAP, но теги можно создавать в рабочей области, поэтому команды SOC могут исключать пользователей по действиям без зависимости от команды SAP BASIS. Например, тегу назначается сообщение аудита с идентификаторами AUB (изменения авторизации) и AUD (изменения master записей пользователей MassiveAuthChanges). Пользователи, назначенные этому тегу, исключаются из проверок для этих действий. При запуске функции рабочей области SAPAuditLogConfigRecommend создается список рекомендуемых тегов для назначения пользователям, например Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Позволяет точно настраивать оповещения путем исключения /включения пользователей в определенные контексты, а также используется для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. Дополнительные сведения см. в разделе Мониторинг журнала аудита SAP. - SAPUser: пользователь SAP - Теги. Теги используются для идентификации пользователей по определенным действиям. Например, добавление тегов ["GenericTablebyRFCOK"] в SENTINEL_SRV пользователя предотвратит создание инцидентов, связанных с RFC, для этого конкретного пользователя. Другие идентификаторы пользователей Active Directory — Идентификатор пользователя AD — Локальный идентификатор пользователя — Имя участника-пользователя |
Примечание.
В общедоступном выпуске SAP S/4HANA Cloud (GROW с SAP) в столбце общедоступного выпуска S/4HANA Cloud отмечены только списки отслеживания, относящиеся к правилам аналитики, применимым к общедоступному облаку.
| Имя списка отслеживания | Описание и поля | Общедоступный выпуск S/4HANA Cloud |
|---|---|---|
| SAP — критические авторизации | Объект Critical Authorizations, где следует управлять назначениями. - AuthorizationObject: объект авторизации SAP, например S_DEVELOP, S_TCODEили Table TOBJ - AuthorizationField: поле авторизации SAP, например OBJTYP или TCD - AuthorizationValue: значение поля авторизации SAP, например DEBUG - ActivityField : поле действия SAP. В большинстве случаев это значение равно ACTVT. Для объектов авторизации без действия или только с полем Действие , заполненным NOT_IN_USE. - Действие: действие SAP в соответствии с объектом авторизации, например: 01: Create; 02: Change; 03: Display и т. д. - Описание: понятное описание объекта критической авторизации. |
- |
| SAP — исключенные сети | Для внутреннего обслуживания исключенных сетей, например для игнорирования веб-диспетчеров, серверов терминалов и т. д. - Сеть: IP-адрес или диапазон сети, например 111.68.128.0/17. - Описание: понятное описание сети. |
✔️ |
| Исключенные пользователи SAP | Системные пользователи, которые вошли в систему и должны игнорироваться. Например, оповещения о нескольких входах одного пользователя. - Пользователь: пользователь SAP - Описание: понятное описание пользователя. |
✔️ |
| SAP — сети | Внутренние сети и сети обслуживания для идентификации несанкционированных имен входа. - Сеть: IP-адрес сети или диапазон, например 111.68.128.0/17 - Описание: понятное описание сети. |
✔️ |
| SAP — привилегированные пользователи | Привилегированные пользователи, которые находятся под дополнительными ограничениями. - Пользователь: пользователь ABAP, например DDIC или SAP - Описание: понятное описание пользователя. |
✔️ |
| SAP — конфиденциальные программы ABAP | Конфиденциальные программы ABAP (отчеты), где следует управлять выполнением. - ABAPProgram: программа или отчет ABAP, например RSPFLDOC - Описание: понятное описание программы. |
- |
| SAP — модуль конфиденциальной функции | Внутренние сети и сети обслуживания для идентификации несанкционированных имен входа. - FunctionModule: модуль функции ABAP, например RSAU_CLEAR_AUDIT_LOG - Описание: понятное описание модуля. |
- |
| SAP — конфиденциальные профили | Конфиденциальные профили, в которых следует управлять назначениями. - Профиль: профиль авторизации SAP, например SAP_ALL или SAP_NEW - Описание: понятное описание профиля. |
- |
| SAP — конфиденциальные таблицы | Конфиденциальные таблицы, в которых необходимо управлять доступом. - Таблица: таблица словарей ABAP, например USR02 или PA008 - Описание: понятное описание таблицы. |
- |
| SAP — конфиденциальные роли | Конфиденциальные роли, где следует управлять назначением. - Роль: роль авторизации SAP, например SAP_BC_BASIS_ADMIN - Описание: понятное описание роли. |
- |
| SAP — конфиденциальные транзакции | Конфиденциальные транзакции, в которых следует управлять выполнением. - TransactionCode: код транзакции SAP, например RZ11 - Описание: понятное описание кода. |
- |
| SAP — системы | Описывает ландшафт систем SAP в соответствии с ролью, использованием и конфигурацией. - SystemID: системный идентификатор SAP (SYSID) - SystemRole: системная роль SAP, одно из следующих значений: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: использование системы SAP, одно из следующих значений: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: необязательный динамический параметр для использования в сборниках схем. |
✔️ |
| SAP — исключенные пользователи | Системные пользователи, которые вошли в систему и должны игнорироваться, например для оповещения о нескольких входах пользователя. - Пользователь: пользователь SAP - Описание: понятное описание пользователя |
✔️ |
| SAP — исключенные сети | Обслуживание внутренних исключенных сетей для игнорирования веб-диспетчеров, серверов терминалов и т. д. - Сеть: IP-адрес сети или диапазон, например 111.68.128.0/17 - Описание: понятное описание сети |
✔️ |
| SAP — устаревшие функциональные модули | Устаревшие модули функций, выполнение которых должно регулироваться. - FunctionModule: модуль функции ABAP, например TH_SAPREL - Описание: описание осмысленного модуля функции |
- |
| SAP — устаревшие программы | Устаревшие программы ABAP (отчеты), выполнение которых должно регулироваться. - ABAPProgram:ABAP Program, например TH_ RSPFLDOC - Описание: понятное описание программы ABAP |
- |
| SAP — транзакции для поколений ABAP | Транзакции для поколений ABAP, выполнение которых должно регулироваться. - TransactionCode: код транзакции, например SE11. - Описание: понятное описание кода транзакции |
- |
| SAP — FTP-серверы | FTP-серверы для идентификации несанкционированных подключений. - Клиент: например, 100. - FTP_Server_Name: имя FTP-сервера, например http://contoso.com/ - FTP_Server_Port:порт ftp-сервера, например 22. - ОписаниеПонятное описание FTP-сервера |
- |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Настройте оповещения журнала аудита SAP, назначив каждому идентификатору сообщения требуемый уровень серьезности для каждой системной роли (рабочей, непроизводственной). В этом списке отслеживания подробно описаны все доступные стандартные идентификаторы сообщений журнала аудита SAP. Список отслеживания можно расширить, чтобы содержать дополнительные идентификаторы сообщений, которые можно создать самостоятельно с помощью усовершенствований ABAP в своих системах SAP NetWeaver. Этот список отслеживания также позволяет настроить назначенную команду для обработки каждого из типов событий и исключить пользователей по ролям SAP, профилям SAP или тегам из списка SAP_User_Config отслеживания. Этот список отслеживания является одним из основных компонентов, используемых для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. Дополнительные сведения см. в разделе Мониторинг журнала аудита SAP. - MessageID: идентификатор сообщения SAP или тип события, например AUD (пользователь master изменения записи) или AUB (изменения авторизации). - Подробное описание: описание с поддержкой markdown, отображаемое на панели инцидента. - ProductionSeverity: требуемая серьезность для создаваемого инцидента для производственных систем High, Medium. Может быть задано значение Disabled. - NonProdSeverity: требуемая серьезность для создаваемого инцидента для непроизводственных систем High, Medium. Может быть задано значение Disabled. - ProductionThreshold Количество событий в час, которые считаются подозрительными для рабочих систем 60. - NonProdThreshold Количество событий в час, которые считаются подозрительными для непроизводственных систем 10. - RolesTagsToExclude: это поле принимает имя роли SAP, имена профилей SAP или теги из списка SAP_User_Config отслеживания. Затем они используются для исключения связанных пользователей из определенных типов событий. См. параметры тегов ролей в конце этого списка. - RuleType. Используйте Deterministic для отправки типа события в правило sap — динамического детерминированного монитора журнала аудита или AnomaliesOnly для того, чтобы это событие охватывалось правилом SAP — динамические оповещения монитора журналов аудита на основе аномалий (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ). Дополнительные сведения см. в разделе Мониторинг журнала аудита SAP. - TeamsChannelID: необязательный динамический параметр для использования в сборниках схем. - DestinationEmail: необязательный динамический параметр для использования в сборниках схем. Для поля RolesTagsToExclude : — При перечислении ролей ИЛИ профилей SAP любой пользователь со перечисленными ролями или профилями из этих типов событий для той же системы SAP исключается. Например, если определить BASIC_BO_USERS роль ABAP для связанных с RFC типов событий, пользователи бизнес-объектов не будут запускать инциденты при выполнении массовых вызовов RFC.— Добавление тегов к типу события аналогично указанию ролей или профилей SAP, но теги можно создавать в рабочей области, поэтому команды SOC могут исключать пользователей по действиям без зависимости от команды SAP BASIS. Например, тегу назначается сообщение аудита с идентификаторами AUB (изменения авторизации) и AUD (изменения master записей пользователей MassiveAuthChanges). Пользователи, назначенные этому тегу, исключаются из проверок для этих действий. При запуске функции рабочей области SAPAuditLogConfigRecommend создается список рекомендуемых тегов для назначения пользователям, например Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
✔️ |
| SAP_User_Config | Позволяет точно настраивать оповещения путем исключения /включения пользователей в определенные контексты, а также используется для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. Дополнительные сведения см. в разделе Мониторинг журнала аудита SAP. - SAPUser: пользователь SAP - Теги. Теги используются для идентификации пользователей по определенным действиям. Например, добавление тегов ["GenericTablebyRFCOK"] в SENTINEL_SRV пользователя предотвратит создание инцидентов, связанных с RFC, для этого конкретного пользователя. Другие идентификаторы пользователей Active Directory — Идентификатор пользователя AD — Локальный идентификатор пользователя — Имя участника-пользователя |
✔️ |
Доступные сборники схем
Сборники схем, предоставляемые Microsoft Sentinel решением для приложений SAP, помогают автоматизировать рабочие нагрузки реагирования на инциденты SAP, повышая эффективность и эффективность операций безопасности.
В этом разделе описываются встроенные сборники схем аналитики, предоставляемые вместе с Microsoft Sentinel решением для приложений SAP.
| Имя сборника схем | Параметры | Подключения | Общедоступный выпуск S/4HANA Cloud |
|---|---|---|---|
| Реагирование на инциденты SAP — блокировка пользователя из Teams — базовый | — SAP-SOAP-User-Password — SAP-SOAP-Username — SOAPApiBasePath — DefaultEmail — TeamsChannel |
— Microsoft Sentinel - Microsoft Teams |
- |
| Реагирование на инциденты SAP — блокировка пользователя из Teams — базовый (потребление) | — IntegrationSuiteUrl — DefaultEmail — TeamsChannel |
— Microsoft Sentinel — SAP Integration Suite - Microsoft Teams |
✔️ |
| Реагирование на инциденты SAP — блокировка пользователя из Teams — дополнительно | — SAP-SOAP-KeyVault-Credential-Name — DefaultAdminEmail — TeamsChannel |
— Microsoft Sentinel — журналы мониторинга Azure — Office 365 Outlook — Microsoft Entra ID — Azure Key Vault - Microsoft Teams |
- |
| Реагирование на инциденты SAP — повторное ведение журнала аудита после отключения | — SAP-SOAP-KeyVault-Credential-Name — DefaultAdminEmail — TeamsChannel |
— Microsoft Sentinel — Azure Key Vault — журналы мониторинга Azure - Microsoft Teams |
- |
В следующих разделах описываются примеры вариантов использования для каждого из предоставленных сборников схем в сценарии, когда инцидент предупредил вас о подозрительных действиях в одной из систем SAP, когда пользователь пытается выполнить одну из этих высоко конфиденциальных транзакций.
На этапе рассмотрения инцидента вы решили принять меры против этого пользователя, вытащив его из систем SAP ERP или BTP или даже из Microsoft Entra ID.
Дополнительные сведения см. в статье Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
Процесс развертывания Standard приложений логики обычно является более сложным, чем для приложений логики потребления. Мы создали ряд ярлыков, которые помогут вам быстро развернуть их из репозитория Microsoft Sentinel GitHub. Дополнительные сведения см. в разделе Пошаговое руководство по установке.
Совет
Просмотрите папку сборники схем SAP в репозитории GitHub, чтобы узнать больше сборников схем по мере их доступности. Там также есть короткое вводное видео (внешняя ссылка), чтобы помочь вам приступить к работе.
Блокировка пользователя с помощью SAP Integration Suite
Сборник схем Lock user from Teams — Basic (Consumption) предоставляет тот же рабочий процесс блокировки пользователя, что и вариант Standard, но создается как приложение логики потребления и подключается к SAP через SAP Integration Suite вместо SOAP.
Сборник схем использует поток интеграции сообщества (iFlow) для блокировки пользователя в системе SAP. Он динамически обрабатывает сложные инциденты с несколькими оповещениями из Defender XDR и использует управляемое удостоверение для проверки подлинности Microsoft Sentinel с учетными данными клиента OAuth 2.0 для подключения SAP Integration Suite.
Дополнительные сведения о развертывании см. в сборнике схем Basic-SAPLockUser в репозитории Microsoft Sentinel GitHub.
Блокировка пользователя в одной системе
Создайте правило автоматизации для вызова пользователя Lock из сборника схем Teams — Basic при обнаружении конфиденциального выполнения транзакций несанкционированным пользователем. В этом сборнике схем используется функция адаптивных карточек Teams для запроса утверждения перед блокированием пользователя в одностороннем порядке.
Дополнительные сведения см. в разделе От нуля до главного покрытия безопасности с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP . Вы услышите меня SOAR! Часть 1 (запись в блоге SAP).
Сборник схем "Блокировка пользователя из Teams — базовый" — это сборник схем Standard, и Standard сборники схем, как правило, сложнее развертывать, чем сборники схем потребления.
Мы создали ряд ярлыков, которые помогут вам быстро развернуть их из репозитория Microsoft Sentinel GitHub. Дополнительные сведения см. в разделах Пошаговое руководство по установке и Поддерживаемые типы приложений логики.
Блокировка пользователя из нескольких систем
Блокирующий пользователь из Teams — Расширенный сборник схем достигает той же цели, но предназначен для более сложных сценариев, что позволяет использовать один сборник схем для нескольких систем SAP, каждая из которых имеет собственный идентификатор безопасности SAP.
Пользователь Lock из сборника схем Teams — Advanced легко управляет подключениями ко всем этим системам и их учетными данными, используя необязательный динамический параметр InterfaceAttributes в списке наблюдения SAP - Systems и Azure Key Vault.
Сборник схем "Блокировка" из Teams — Advanced также позволяет общаться со сторонами в процессе утверждения с помощью интерактивных сообщений Outlook вместе с Teams, используя параметры TeamsChannelID и DestinationEmail в списке SAP_Dynamic_Audit_Log_Monitor_Configuration отслеживания.
Дополнительные сведения см. в разделе От нуля до главного покрытия безопасности с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP — часть 2 (запись блога SAP).
Предотвращение деактивации ведения журнала аудита
Вы также можете быть обеспокоены деактивацией журнала аудита SAP, который является одним из источников данных безопасности. Рекомендуется создать правило автоматизации на основе правила sap — deactivation of Security Audit Log Analytics, чтобы вызвать повторное ведение журнала аудита после отключения сборника схем, чтобы убедиться, что журнал аудита SAP не отключен.
В сборнике схем SAP — деактивация журнала аудита безопасности также используется Teams, информируя сотрудников службы безопасности по факту. Тяжесть преступления и срочность его устранения указывают на то, что немедленные меры могут быть приняты без каких-либо утверждений.
Так как сборник схем SAP — деактивация журнала аудита безопасности также использует Azure Key Vault для управления учетными данными, конфигурация сборника схем аналогична конфигурации пользователя Блокировки из сборника схем Teams — Advanced. Дополнительные сведения см. в разделе От нуля до главного покрытия безопасности с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP — часть 3 (запись блога SAP).
Связанные материалы
Дополнительные сведения см. в статье Развертывание решения Microsoft Sentinel для приложений SAP.