Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описано содержимое безопасности, доступное для решений Microsoft Sentinel для SAP.
Внимание
Отмеченные элементы, описанные в этой статье, находятся в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
К доступному содержимому системы безопасности относятся встроенные книги и правила аналитики. Вы также можете добавить списки наблюдения , связанные с SAP, чтобы использовать в ваших поисковых, правилах обнаружения, охоте на угрозы и сборниках схем ответов.
Содержимое этой статьи предназначено для вашей команды безопасности .
Встроенные книги
Следующие встроенные книги позволяют визуализировать и отслеживать данные, полученные через соединитель данных SAP. После развертывания решения SAP на вкладке "Шаблоны " можно найти книги SAP.
| Имя книги | Описание | Журналы |
|---|---|---|
| SAP — браузер журнала аудита | Отображает такие данные, как: — Общее состояние системы, включая вход пользователей с течением времени, события, принятые системой, классы сообщений и идентификаторы, а также программы ABAP выполняются -Серьезность событий, происходящих в системе — события проверки подлинности и авторизации, происходящие в системе |
Использует данные из следующего журнала: ABAPAuditLog_CL |
| Элементы управления аудитом SAP | Помогает проверить элементы управления безопасностью среды SAP на соответствие выбранной платформе управления с помощью средств для выполнения следующих действий: — Назначение правил аналитики в вашей среде определенным элементам управления безопасностью и семействам элементов управления — Отслеживайте и классифицируйте инциденты, созданные правилами аналитики на основе решений SAP — Отчет о соответствии |
Использует данные из следующих таблиц: - SecurityAlert- SecurityIncident |
Дополнительные сведения см. в руководстве по визуализации и мониторингу данных иразвертыванию решения Microsoft Sentinel для приложений SAP.
Встроенные правила аналитики
В этом разделе описывается выбор встроенных правил аналитики , предоставляемых вместе с решением Microsoft Sentinel для приложений SAP. Для последних обновлений проверьте центр содержимого Microsoft Sentinel для новых и обновленных правил.
Мониторинг конфигурации статических параметров безопасности SAP (предварительная версия)
Чтобы защитить систему SAP, SAP определила параметры, связанные с безопасностью, которые необходимо отслеживать для изменений. С помощью правила "SAP - (предварительная версия) Конфиденциальный статический параметр изменен" решение Microsoft Sentinel для приложений SAP отслеживает более 52 статических параметров безопасности в системе SAP, которые встроены в Microsoft Sentinel.
Примечание.
Чтобы решение Microsoft Sentinel для приложений SAP успешно отслеживало параметры безопасности SAP, решение должно успешно отслеживать таблицу SAP PAHI через регулярные интервалы. Дополнительные сведения см. в статье "Проверка того, что таблица PAHI обновляется через регулярные интервалы".
Чтобы понять изменения параметров в системе, решение Microsoft Sentinel для приложений SAP использует таблицу журнала параметров, которая записывает изменения в системные параметры каждый час.
Параметры также отражаются в списке наблюдения SAPSystemParameters. Этот список наблюдения позволяет пользователям добавлять новые параметры, отключать существующие параметры и изменять значения и серьезность для каждого параметра и роли системы в рабочих или непроизводственных средах.
При изменении одного из этих параметров Microsoft Sentinel проверяет, связано ли изменение с безопасностью и если значение задано в соответствии с рекомендуемыми значениями. Если изменение подозревается за пределами безопасной зоны, Microsoft Sentinel создает инцидент с подробными сведениями об изменении и определяет, кто сделал это изменение.
Просмотрите список параметров , отслеживаемых этим правилом.
Мониторинг журнала аудита SAP
Многие правила аналитики в решении Microsoft Sentinel для приложений SAP используют данные журнала аудита SAP. Некоторые правила аналитики ищут определенные события в журнале, а другие сопоставляют признаки из нескольких журналов для создания оповещений с высокой точностью и инцидентов.
Используйте следующие правила аналитики для отслеживания всех событий журнала аудита в системе SAP или активации оповещений только при обнаружении аномалий:
| Имя правила | Описание |
|---|---|
| SAP — отсутствует конфигурация в мониторе журнала аудита динамической безопасности | По умолчанию выполняется ежедневно, чтобы предоставить рекомендации по настройке модуля журнала аудита SAP. Используйте шаблон правила для создания и настройки правила для рабочей области. |
| SAP — монитор журнала динамического детерминированного аудита (предварительная версия) | По умолчанию выполняется каждые 10 минут и фокусируется на событиях журнала аудита SAP, помеченных как детерминированные. Используйте шаблон правила для создания и настройки правила для рабочей области, например для более низкой ложноположительный коэффициент. Для этого правила требуются детерминированные пороговые значения оповещений и правила исключения пользователей. |
| SAP — оповещения монитора журнала аудита на основе динамических аномалий (предварительная версия) | По умолчанию выполняется почасово и фокусируется на событиях SAP, помеченных как аномалииOnly, оповещения о событиях журнала аудита SAP при обнаружении аномалий. Это правило применяет дополнительные алгоритмы машинного обучения, чтобы отфильтровать фоновый шум неконтролируемым образом. |
По умолчанию большинство типов событий или идентификаторы сообщений SAP в журнале аудита SAP отправляются в правило аналитики аналитики мониторов журналов аудита на основе аномалий (предварительная версия), а более простое определение типов событий отправляются в правило аналитики динамических детерминированных динамических детерминированных журналов аудита (предварительная версия). Этот параметр вместе с другими связанными параметрами можно дополнительно настроить в соответствии с любыми системными условиями.
Правила мониторинга журналов аудита SAP предоставляются в составе содержимого microsoft Sentinel для безопасности решения SAP и позволяют более точно настроить SAP_Dynamic_Audit_Log_Monitor_Configuration исписки наблюдения SAP_User_Config.
Например, в следующей таблице перечислены несколько примеров того, как можно использовать список наблюдения SAP_Dynamic_Audit_Log_Monitor_Configuration для настройки типов событий, которые создают инциденты, уменьшая количество созданных инцидентов.
| Вариант | Описание |
|---|---|
| Установка серьезности и отключение нежелательных событий | По умолчанию детерминированные правила и правила, основанные на аномалиях, создают оповещения для событий, помеченных средним и высоким уровнем серьезности. Может потребоваться настроить серьезность отдельно рабочих и непроизводственных сред. Например, можно задать событие действия отладки как высокий уровень серьезности в производственных системах и отключить те же события полностью в непроизводственных системах. |
| Исключение пользователей с помощью ролей SAP или профилей SAP | Microsoft Sentinel для SAP использует профиль авторизации пользователя SAP, включая прямые и косвенные назначения ролей, группы и профили, чтобы вы могли говорить на языке SAP в SIEM. Может потребоваться настроить событие SAP, чтобы исключить пользователей на основе их ролей и профилей SAP. В списке наблюдения добавьте роли или профили, которые группирует пользователей интерфейса RFC в столбце RoleTagsToExclude рядом с универсальным доступом к таблице по событию RFC . Эта конфигурация активирует оповещения только для пользователей, которые отсутствуют в этих ролях. |
| Исключение пользователей по тегам SOC | Используйте теги для создания собственной группировки, не опираясь на сложные определения SAP или даже без авторизации SAP. Этот метод полезен для команд SOC, которые хотят создать собственную группирование для пользователей SAP. Например, если вы не хотите, чтобы определенные учетные записи службы были оповещены для доступа к универсальной таблице событиями RFC , но не удается найти роль SAP или профиль SAP, который группирует этих пользователей, используйте теги следующим образом: 1. Добавьте тег GenTableRFCReadOK рядом с соответствующим событием в списке наблюдения. 2. Перейдите в список отслеживания SAP_User_Config и назначьте пользователям интерфейса тот же тег. |
| Указание порогового значения частоты для каждого типа события и роли системы | Работает как ограничение скорости. Например, можно настроить события изменения главной записи пользователя , чтобы активировать оповещения только в том случае, если в рабочей системе наблюдается более 12 действий в час. Если пользователь превышает ограничение на 12 в час( например, 2 события в 10-минутном окне), активируется инцидент. |
| Детерминизм или аномалии | Если вы знаете характеристики события, используйте детерминированные возможности. Если вы не знаете, как правильно настроить событие, разрешите возможности машинного обучения начать работу, а затем внесите последующие обновления по мере необходимости. |
| Возможности SOAR | Используйте Microsoft Sentinel для дальнейшего оркестрации, автоматизации и реагирования на инциденты, созданные динамическими оповещениями журнала аудита SAP. Дополнительные сведения см. в разделе автоматизации в Microsoft Sentinel: оркестрация безопасности, автоматизация и ответ (SOAR). |
Дополнительные сведения см. в разделе "Доступные списки наблюдения " и Microsoft Sentinel для SAP News — функция динамического монитора журнала аудита безопасности SAP теперь доступна! (блог).
Первоначальный доступ
| Имя правила | Описание | Исходное действие | Тактика |
|---|---|---|---|
| SAP — вход из непредвиденной сети | Определяет вход из непредвиденной сети. Обслуживание сетей в списке наблюдения за сетями SAP . |
Войдите в серверную систему с IP-адреса, который не назначен одной из сетей. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ |
| SAP — атака SPNego | Определяет атаку воспроизведения SPNego. | Источники данных: SAPcon — журнал аудита | Влияние, боковое движение |
| SAP — попытка входа в диалоговое окно с привилегированным пользователем | Определяет попытки входа в диалоговое окно с типом AUM привилегированными пользователями в системе SAP. Дополнительные сведения см. в sapUsersGetPrivileged. | Попытка входа с одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени. Источники данных: SAPcon — журнал аудита |
Влияние, боковое движение |
| SAP — атаки подбора | Определяет атаки методом подбора в системе SAP с использованием входов RFC | Попытка войти из одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени с помощью RFC Источники данных: SAPcon — журнал аудита |
Доступ к четным данным |
| SAP — несколько входов по IP-адресу | Определяет вход нескольких пользователей с одного IP-адреса в течение запланированного интервала времени. Вариант использования подзаготовки: сохраняемость |
Вход нескольких пользователей с одного IP-адреса. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ |
|
SAP — несколько входов пользователем Поддерживается только для агента соединителя данных. Не поддерживается для соединителя данных без агента SAP (ограниченная предварительная версия). |
Определяет входы одного и того же пользователя с нескольких терминалов в течение запланированного интервала времени. Доступно только через метод Audit SAL для SAP версий 7.5 и выше. |
Вход одного и того же пользователя с использованием разных IP-адресов. Источники данных: SAPcon — журнал аудита |
Предварительная атака, доступ к учетным данным, начальный доступ, коллекция Вариант использования подзаготовки: сохраняемость |
| SAP — информационный — жизненный цикл — заметки SAP были реализованы в системе | Определяет реализацию примечания SAP в системе. | Реализация примечания SAP с помощью SNOTE/TCI. Источники данных: SAPcon — запросы на изменение |
- |
| SAP — (предварительная версия) AS JAVA — конфиденциальный привилегированный пользователь, вошедшего в систему | Определяет вход из непредвиденной сети. Сохраняйте привилегированных пользователей в списке отслеживания привилегированных пользователей SAP — привилегированных пользователей . |
Войдите в серверную систему с помощью привилегированных пользователей. Источники данных: SAPJAVAFilesLog |
Первоначальный доступ |
| SAP — (предварительная версия) AS JAVA — Sign-In из непредвиденной сети | Определяет входы из непредвиденной сети. Обслуживание привилегированных пользователей в списке наблюдения за сетями SAP . |
Войдите в серверную систему с IP-адреса, который не назначен одной из сетей в списке наблюдения sap - Networks Источники данных: SAPJAVAFilesLog |
Первоначальный доступ, Оборона Evasion |
Кража данных
| Имя правила | Описание | Исходное действие | Тактика |
|---|---|---|---|
| SAP — FTP для не авторизованных серверов | Определяет FTP-подключение для неавторизованного сервера. | Создание нового FTP-подключения, например с помощью модуля функции FTP_CONNECT. Источники данных: SAPcon — журнал аудита |
Обнаружение, начальный доступ, управление и контроль |
| SAP — небезопасная конфигурация FTP-серверов | Определяет небезопасные конфигурации FTP-серверов, например, если список разрешений FTP пуст или содержит заполнители. | Не сохраняйте или не сохраняйте значения, содержащие заполнители в SAPFTP_SERVERS таблице, используя SAPFTP_SERVERS_V представление обслуживания. (SM30) Источники данных: SAPcon — журнал аудита |
Начальный доступ, управление и контроль |
| SAP — скачивание нескольких файлов | Определяет скачивания нескольких файлов для пользователя в пределах определенного интервала времени. | Скачивание нескольких файлов с помощью SAPGui для Excel, списков и т. д. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — несколько выполнений spool | Определяет выполнение пользователем нескольких очередей в пределах определенного интервала времени. | Создание и запуск пользователем нескольких заданий очередей любого типа. (SP01) Источники данных: SAPcon — Spool Log, SAPcon — Журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — несколько выполнений выходных данных spool | Определяет выполнение пользователем нескольких очередей в пределах определенного интервала времени. | Создание и запуск пользователем нескольких заданий очередей любого типа. (SP01) Источники данных: SAPcon — журнал выходных данных Spool, SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — конфиденциальные таблицы direct access by RFC Logon | Определяет доступ к универсальной таблице по входу RFC. Сохраняйте таблицы в списке наблюдения за конфиденциальными таблицами SAP. Относится только к рабочим системам. |
Открытие содержимого таблицы с помощью SE11/SE16/SE16N. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — Spool Takeover | Определяет пользователя, выводящего запрос очереди, созданный кем-то другим. | Создание запроса очереди с помощью одного пользователя и затем его вывод с помощью другого пользователя. Источники данных: SAPcon — Spool Log, SAPcon — Spool Output Log, SAPcon — Audit Log |
Сбор, кража данных, управление и контроль |
| SAP — динамическое назначение RFC | Определяет выполнение RFC с использованием динамических назначений. Вариант использования подзаготовки: попытки обойти механизмы безопасности SAP |
Выполнение отчета ABAP, в котором используются динамические назначения (cl_dynamic_destination). Например, DEMO_RFC_DYNAMIC_DEST. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных |
| SAP — конфиденциальные таблицы прямого доступа по диалоговому окну | Определяет доступ к универсальной таблице через диалоговое окно входа. | Открытие содержимого таблиц с помощью SE11/SE16/SE16N. Источники данных: SAPcon — журнал аудита |
Обнаружение |
| SAP - (предварительная версия) файл, скачанный с вредоносного IP-адреса | Определяет скачивание файла из системы SAP с помощью IP-адреса, известного как вредоносный. Вредоносные IP-адреса получаются из служб аналитики угроз. | Скачайте файл из вредоносного IP-адреса. Источники данных: журнал аудита безопасности SAP, аналитика угроз |
Кража |
| SAP — (предварительная версия) Экспорт данных из рабочей системы с помощью транспорта | Определяет экспорт данных из рабочей системы с помощью транспорта. Транспорт используется в системах разработки и похож на запросы на вытягивание. Это правило генерации оповещений активирует инциденты со средней серьезностью, когда транспорт, содержащий данные из любой таблицы, освобождается из рабочей системы. Правило создает инцидент с высокой серьезностью при экспорте данных из конфиденциальной таблицы. | Выпуск транспорта из рабочей системы. Источники данных: журнал SAP CR, SAP — конфиденциальные таблицы |
Кража |
| SAP — (предварительная версия) Конфиденциальные данные, сохраненные на USB-диске | Определяет экспорт данных SAP через файлы. Правило проверяет наличие данных, сохраненных в недавно подключенном USB-накопителе, близком к выполнению конфиденциальной транзакции, конфиденциальной программе или прямому доступу к конфиденциальной таблице. | Экспортируйте данные SAP через файлы и сохраните его на USB-диске. Источники данных: журнал аудита безопасности SAP, DeviceFileEvents (Microsoft Defender для конечной точки), SAP — конфиденциальные таблицы, SAP — конфиденциальныетранзакции, SAP— конфиденциальные программы |
Кража |
| SAP — (предварительная версия) Печать потенциально конфиденциальных данных | Определяет запрос или фактическую печать потенциально конфиденциальных данных. Данные считаются конфиденциальными, если пользователь получает данные в рамках конфиденциальной транзакции, выполнения конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Печать или запрос на печать конфиденциальных данных. Источники данных: журнал аудита безопасности SAP, журналы sap Spool, SAP — конфиденциальные таблицы, SAP — конфиденциальныепрограммы |
Кража |
| SAP — (предварительная версия) большой объем потенциально конфиденциальных данных, экспортированных | Определяет экспорт больших объемов данных через файлы в близости от выполнения конфиденциальной транзакции, конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Экспорт больших объемов данных с помощью файлов. Источники данных: журнал аудита безопасности SAP, SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража |
Настойчивости
| Имя правила | Описание | Исходное действие | Тактика |
|---|---|---|---|
| SAP — активация или деактивация службы ICF | Определяет активацию или деактивацию служб ICF. | Активация службы с помощью SICF. Источники данных: SAPcon — журнал данных таблицы |
Управление и контроль, боковое движение, сохраняемость |
| SAP — тестируемый модуль функций | Определяет тестирование модуля функции. | Тестирование модуля функции с помощью SE37 / SE80. Источники данных: SAPcon — журнал аудита |
Сбор, обход защиты, боковое движение |
| SAP — (предварительная версия) HANA DB — действия администратора пользователей | Определяет действия по администрированию пользователей. | Создание, обновление или удаление пользователя базы данных. Источники данных: агент Linux — Системный журнал* |
Повышение привилегий |
| SAP — новые обработчики служб ICF | Определяет создание обработчиков служб ICF. | Назначение нового обработчика службе с помощью SICF. Источники данных: SAPcon — журнал аудита |
Управление и контроль, боковое движение, сохраняемость |
| SAP — новые службы ICF | Определяет создание служб ICF. | Создание службы с помощью SICF. Источники данных: SAPcon — журнал данных таблицы |
Управление и контроль, боковое движение, сохраняемость |
| SAP — выполнение устаревшего или небезопасного модуля функции | Определяет выполнение модуля устаревшей или небезопасной функции ABAP. Сохраняйте устаревшие функции в списке наблюдения за устаревшими модулями функций SAP. Обязательно активируйте изменения ведения журнала таблиц для таблицы EUFUNC в серверной части. (SE13)Относится только к рабочим системам. |
Запуск модуля устаревшей или небезопасной функции напрямую с помощью SE37. Источники данных: SAPcon — журнал данных таблицы |
Обнаружение, управление и контроль |
|
SAP — выполнение устаревшей или небезопасной программы Поддерживается только для агента соединителя данных. Не поддерживается для соединителя данных без агента SAP (ограниченная предварительная версия). |
Определяет выполнение устаревшей или небезопасной программы ABAP. Сохраняйте устаревшие программы в списке наблюдения за устаревшими программами SAP — устаревшие программы . Относится только к рабочим системам. |
Запуск программы напрямую с помощью SE38/SA38/SE80 или с помощью фонового задания. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и контроль |
| SAP — несколько изменений паролей | Определяет несколько смен паролей пользователем. | Изменение пароля пользователя Источники данных: SAPcon — журнал аудита |
Доступ к четным данным |
| SAP — (предварительная версия) AS JAVA — пользователь создает и использует новый пользователь | Определяет создание или манипуляцию пользователей администраторами в среде SAP AS Java. | Войдите в серверную систему с помощью пользователей, созданных или управляемых пользователей. Источники данных: SAPJAVAFilesLog |
Сохраняемость |
Попытки обойти механизмы безопасности SAP
| Имя правила | Описание | Исходное действие | Тактика |
|---|---|---|---|
| SAP — изменение конфигурации клиента | Определяет изменения конфигурации клиента, такие как роль клиента, или режим записи изменений. | Изменение конфигурации клиента с помощью кода транзакции SCC4. Источники данных: SAPcon — журнал аудита |
Обход защиты, кража данных, сохраняемость |
| SAP — данные изменились во время действия отладки | Определяет изменения для данных среды выполнения во время действия отладки. Вариант использования подзаготовки: сохраняемость |
1. Активация отладки ("/h"). 2. Выбор поля для изменения и обновление его значения. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое движение |
| SAP — деактивация журнала аудита безопасности | Определяет деактивацию журнала аудита безопасности, | Отключение журнала аудита безопасности с помощью SM19/RSAU_CONFIG. Источники данных: SAPcon — журнал аудита |
Кража данных, обход защиты, сохраняемость |
| SAP — выполнение конфиденциальной программы ABAP | Определяет прямое выполнение конфиденциальной программы ABAP. Обслуживание программ ABAP в списке наблюдения за конфиденциальными программами ABAP в SAP . |
Запуск программы напрямую с помощью SE38/SA38/SE80. Источники данных: SAPcon — журнал аудита |
Кража данных, боковое движение, выполнение |
| SAP — выполнение кода конфиденциальной транзакции | Определяет выполнение кода конфиденциальной транзакции. Сохраняйте коды транзакций в списке контрольных кодов конфиденциальных транзакций SAP — конфиденциальные коды транзакций . |
Выполнение кода конфиденциальной транзакции. Источники данных: SAPcon — журнал аудита |
Обнаружение, выполнение |
| SAP — выполнение модуля конфиденциальной функции | Определяет выполнение модуля конфиденциальной функции ABAP. Вариант использования подзаготовки: сохраняемость Относится только к рабочим системам. Сохраняйте конфиденциальные функции в списке наблюдения за модулями конфиденциальной функции SAP и активируйте изменения журнала таблиц в серверной части таблицы для таблицы EUFUNC. (SE13) |
Запуск модуля конфиденциальной функции напрямую с помощью SE37. Источники данных: SAPcon — журнал данных таблицы |
Обнаружение, управление и контроль |
| SAP — (предварительная версия) HANA DB — изменения политики аудита | Определяет изменения в политиках журнала аудита HANA DB. | Создание политики или обновление существующей политики аудита в определениях безопасности. Источники данных: агент Linux — Системный журнал |
Боковое движение, обход защиты, сохраняемость |
| SAP — (предварительная версия) HANA DB — деактивация аудита | Определяет отключение журнала аудита HANA DB. | Отключение журнала аудита в определении безопасности HANA DB. Источники данных: агент Linux — Системный журнал |
Сохраняемость, боковое движение, обход защиты |
| SAP — несанкционированное удаленное выполнение модуля конфиденциальной функции | Обнаруживает несанкционированные выполнения конфиденциальных виртуальных машин, сравнивая действие с профилем авторизации пользователя, игнорируя недавно измененные авторизации. Сохраняйте модули функций в списке наблюдения за модулями функций SAP — конфиденциальные функции . |
Запуск модуля функции с помощью RFC. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое движение, обнаружение |
| SAP — изменение конфигурации системы | Определяет изменения конфигурации системы. | Адаптация параметров изменения системы или модификации программного компонента с помощью кода транзакции SE06.Источники данных: SAPcon — журнал аудита |
Кража данных, обход защиты, сохраняемость |
| SAP — действия отладки | Определяет все действия, связанные с отладкой. Вариант использования подзаготовки: сохраняемость |
Активация отладки ("/h") в системе, отладка активного процесса, добавление точки останова в исходный код и т. д. Источники данных: SAPcon — журнал аудита |
Обнаружение |
| SAP — изменение конфигурации журнала аудита безопасности | Определяет изменения в конфигурации журнала аудита безопасности | Изменение конфигурации журнала аудита безопасности с помощью SM19/RSAU_CONFIG, например фильтры, состояние, режим записи и т. д. Источники данных: SAPcon — журнал аудита |
Сохраняемость, кража данных, обход защиты |
| SAP — транзакция разблокирована | Определяет разблокировку транзакции. | Разблокировка кода транзакции с помощью SM01/SM01_DEV/SM01_CUS. Источники данных: SAPcon — журнал аудита |
Сохраняемость, выполнение |
| SAP — динамическая программа ABAP | Определяет выполнение динамического программирования ABAP. Например, при динамическом создании, изменении или удалении кода ABAP. Сохраняйте исключенные коды транзакций в списке отслеживания транзакций SAP — транзакции для поколений ABAP . |
Создание отчета ABAP, использующего команды генерирования программы ABAP, такие как INSERT REPORT и последующее выполнение отчета. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и контроль, влияние |
Подозрительные операции с привилегиями
| Имя правила | Описание | Исходное действие | Тактика |
|---|---|---|---|
| SAP — изменение конфиденциального привилегированного пользователя | Определяет изменения привилегированных пользователей с конфиденциальными данными. Сохраняйте привилегированных пользователей в списке отслеживания привилегированных пользователей SAP — привилегированных пользователей . |
Изменение сведений о пользователях и авторизаций с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным |
| SAP — (предварительная версия) HANA DB -Assign авторизация администратора | Определяет права или назначение роли администратора. | Назначение пользователя с любой ролью или правами администратора. Источники данных: агент Linux — Системный журнал |
Повышение привилегий |
| SAP — конфиденциальный привилегированный пользователь, вошедший в систему | Определяет вход конфиденциального привилегированного пользователя. Сохраняйте привилегированных пользователей в списке отслеживания привилегированных пользователей SAP — привилегированных пользователей . |
Вход в серверную систему с помощью SAP* или другого привилегированного пользователя. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ, доступ к учетным данным |
| SAP — конфиденциальный привилегированный пользователь вносит изменения в другого пользователя | Определяет изменения конфиденциальных, привилегированных пользователей в других пользователях. | Изменение сведений о пользователях и авторизаций с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным |
| SAP — изменение пароля конфиденциальных пользователей и вход | Определяет изменения паролей для привилегированных пользователей. | Изменение пароля привилегированного пользователя и выполнение входа в систему. Сохраняйте привилегированных пользователей в списке отслеживания привилегированных пользователей SAP — привилегированных пользователей . Источники данных: SAPcon — журнал аудита |
Влияние, управление и контроль, повышение привилегий |
| SAP — пользователь создает и использует нового пользователя | Определяет пользователя, создающего и использующего других пользователей. Вариант использования подзаготовки: сохраняемость |
Создание пользователя с помощью SU01 и выполнение входа с использованием только что созданного пользователя и того же IP-адреса. Источники данных: SAPcon — журнал аудита |
Обнаружение, предварительная атака, начальный доступ |
| SAP — разблокировка пользователей и использование других пользователей | Определяет пользователя, который разблокируется и используется другими пользователями. Вариант использования подзаготовки: сохраняемость |
Разблокировка пользователя с помощью SU01 и выполнение входа с использованием разблокированного пользователя и того же IP-адреса. Источники данных: SAPcon — журнал аудита, SAPcon — журнал изменений документов |
Обнаружение, предварительная атака, начальный доступ, боковое перемещение |
| SAP — назначение конфиденциального профиля | Определяет новые назначения конфиденциального профиля пользователю. Сохраняйте конфиденциальные профили в списке наблюдения за конфиденциальными профилями SAP — конфиденциальные профили . |
Назначение профиля пользователю с помощью SU01. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — назначение конфиденциальной роли | Определяет новые назначения конфиденциальной роли пользователю. Сохраняйте конфиденциальные роли в списке наблюдения за конфиденциальными ролями SAP — конфиденциальные роли . |
Назначение роли пользователю с помощью SU01 / PFCG. Источники данных: SAPcon — журнал изменений документов, журнал аудита |
Повышение привилегий |
| SAP — (предварительная версия) Назначение критически важных авторизации — новое значение авторизации | Определяет назначение значения объекта критической авторизации новому пользователю. Сохраняйте критически важные объекты авторизации в списке контрольных объектов SAP — критически важные объекты авторизации . |
Назначение нового объекта авторизации или обновление существующего в роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — критическое назначение авторизации — новое назначение пользователей | Определяет назначение значения объекта критической авторизации новому пользователю. Сохраняйте критически важные объекты авторизации в списке контрольных объектов SAP — критически важные объекты авторизации . |
Назначение новому пользователю роли, содержащей значения критической авторизации, с помощью SU01/PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — изменения конфиденциальных ролей | Определяет изменения в конфиденциальных ролях. Сохраняйте конфиденциальные роли в списке наблюдения за конфиденциальными ролями SAP — конфиденциальные роли . |
Изменение роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов, SAPcon — журнал аудита |
Влияние, повышение привилегий, сохраняемость |
Доступные списки отслеживания
В следующей таблице перечислены списки наблюдения , доступные для решения Microsoft Sentinel для приложений SAP, а также поля в каждом списке наблюдения.
Эти списки наблюдения предоставляют конфигурацию решения Microsoft Sentinel для приложений SAP. Списки наблюдения SAP доступны в репозитории Microsoft Sentinel GitHub.
| Имя списка отслеживания | Описание и поля |
|---|---|
| SAP — критически важные авторизации | Объекты критических авторизаций, в которых следует управлять назначениями. - AuthorizationObject: объект авторизации SAP, например S_DEVELOP, S_TCODEили Table TOBJ - AuthorizationField: поле авторизации SAP, например OBJTYP или TCD - AuthorizationValue: значение поля авторизации SAP, например DEBUG - ActivityField : поле действия SAP. В большинстве случаев это значение равно ACTVT. Для объектов авторизации без действия или только поля действия , заполненного NOT_IN_USE. - Действие: действие SAP, в соответствии с объектом авторизации, например 01: Create; 02: Change; 03: Display, and т. д. - Описание: понятное описание объекта критической авторизации. |
| SAP — исключенные сети | Для внутреннего обслуживания исключенных сетей, например для пропуска веб-диспетчеров, серверов терминалов и т. д. - Сеть: СЕТЕВОЙ IP-адрес или диапазон, например 111.68.128.0/17. - Описание: понятное описание сети. |
| Пользователи, исключенные из SAP | Системные пользователи, которые вошли в систему и должны игнорироваться. Например, оповещения о нескольких входах одного пользователя. - Пользователь: SAP User - Описание: понятное описание пользователя. |
| SAP — сети | Внутренние и обслуживающие сети для идентификации неавторизованных входов. - Сеть: IP-адрес сети или диапазон, например 111.68.128.0/17 - Описание: понятное описание сети. |
| SAP — привилегированные пользователи | Привилегированные пользователи, к которым применены дополнительные ограничения. - Пользователь: пользователь ABAP, например DDIC или SAP - Описание: понятное описание пользователя. |
| SAP — конфиденциальные программы ABAP | Конфиденциальные программы ABAP (отчеты), требующие управления выполнением. - ABAPProgram: программа ABAP или отчет, например RSPFLDOC - Описание: понятное описание программы. |
| SAP — модуль конфиденциальной функции | Внутренние и обслуживающие сети для идентификации неавторизованных входов. - FunctionModule: модуль функции ABAP, например RSAU_CLEAR_AUDIT_LOG - Описание: понятное описание модуля. |
| SAP — конфиденциальные профили | Конфиденциальные профили, требующие управления назначениями. - Профиль: профиль авторизации SAP, например SAP_ALL или SAP_NEW - Описание: понятное описание профиля. |
| SAP — конфиденциальные таблицы | Конфиденциальные таблицы, требующие управления доступом. - Таблица словаря ABAP, например USR02 или PA008 - Описание: понятное описание таблицы. |
| SAP — конфиденциальные роли | Конфиденциальные роли, требующие управления назначениями. - Роль: роль авторизации SAP, например SAP_BC_BASIS_ADMIN - Описание: понятное описание роли. |
| SAP — конфиденциальные транзакции | Конфиденциальные транзакции, требующие управления выполнением. - TransactionCode: код транзакции SAP, например RZ11 - Описание: понятное описание кода. |
| SAP — системы | Описывает ландшафт систем SAP в соответствии с ролью, использованием и конфигурацией. - SystemID: идентификатор системы SAP (SYSID) - SystemRole: роль системы SAP, одно из следующих значений: Sandbox, Development, Quality Assurance, TrainingProduction - SystemUsage: использование системы SAP, одно из следующих значений: ERP, BW, Solman, GatewayEnterprise Portal - InterfaceAttributes: необязательный динамический параметр для использования в сборниках схем. |
| SAPSystemParameters | Параметры для отслеживания подозрительных изменений конфигурации. Этот список наблюдения предварительно заполнен рекомендуемыми значениями (в соответствии с рекомендациями SAP), и вы можете расширить список наблюдения, чтобы включить дополнительные параметры. Если вы не хотите получать оповещения для параметра, задайте для EnableAlertsfalseпараметра значение .- ParameterName: имя параметра. - Примечание. Описание стандартного параметра SAP. - EnableAlerts: определяет, следует ли включить оповещения для этого параметра. Значения: true и false.- Параметр: определяет, в каком случае следует активировать оповещение: если значение параметра больше или равно ( GE), меньше или равно () или равно (LEEQ)Например, если login/fails_to_user_lock для параметра SAP задано LE значение (меньше или равно) и значение 5, когда Microsoft Sentinel обнаруживает изменение этого конкретного параметра, оно сравнивает только что сообщаемое значение и ожидаемое значение. Если новое значение равно 4, Microsoft Sentinel не активирует оповещение. Если новое значение равно 6, Microsoft Sentinel активирует оповещение.- ProductionSeverity: серьезность инцидентов для производственных систем. - ProductionValues: допустимые значения для рабочих систем. - NonProdSeverity: серьезность инцидента для непроизводственных систем. - NonProdValues: допустимые значения для непроизводственных систем. |
| SAP — исключенные пользователи | Системные пользователи, которые выполнили вход и должны быть проигнорированы, например для оповещения о нескольких входах пользователя. - Пользователь: SAP User - Описание: понятное описание пользователя |
| SAP — исключенные сети | Поддержка внутренних, исключенных сетей для пропуска веб-диспетчеров, серверов терминалов и т. д. - Сеть: IP-адрес сети или диапазон, например 111.68.128.0/17 - Описание: понятное описание сети |
| SAP — устаревшие модули функций | Модули устаревших функций, требующие управления выполнением. - FunctionModule: модуль функции ABAP, например TH_SAPREL - Описание: описание понятного модуля функции |
| SAP — устаревшие программы | Устаревшие программы ABAP (отчеты), требующие управления выполнением. - ABAPProgram:ABAP Program, например TH_ RSPFLDOC - Описание: понятное описание программы ABAP |
| SAP — транзакции для поколений ABAP | Транзакции для создания программ ABAP, требующих управления выполнением - TransactionCode: код транзакции, например SE11. - Описание: понятное описание кода транзакции |
| SAP — FTP-серверы | FTP-серверы для идентификации неавторизованных подключений. - Клиент: например, 100. - FTP_Server_Name: имя FTP-сервера, например http://contoso.com/ - FTP_Server_Port:FTP-порт сервера, например 22. - ОписаниеПонятное описание FTP-сервера |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Настройте оповещения журнала аудита SAP, назначив каждому идентификатору сообщения уровень серьезности по мере необходимости для каждой системной роли (рабочей, непроизводной). Этот список наблюдения содержит все доступные идентификаторы сообщений журнала аудита SAP уровня "Стандартный". Список наблюдения можно расширить, чтобы содержать дополнительные идентификаторы сообщений, которые можно создать самостоятельно с помощью улучшений ABAP в своих системах SAP NetWeaver. Этот список наблюдения также позволяет настроить назначенную команду для обработки каждого из типов событий и исключения пользователей ролями SAP, профилями SAP или тегами из списка наблюдения SAP_User_Config . Этот список наблюдения является одним из основных компонентов, используемых для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. Дополнительные сведения см. в разделе "Мониторинг журнала аудита SAP". - MessageID: идентификатор сообщения SAP или тип события, например AUD (изменения основной записи пользователя) или AUB (изменения авторизации). - DetailedDescription: описание включено markdown, отображаемое на панели инцидентов. - ProductionSeverity: требуемый уровень серьезности для инцидента, который будет создан для производственных систем High. Medium Можно задать как Disabled. - NonProdSeverity: требуемый уровень серьезности для создания инцидента для непроизводственных систем High. Medium Можно задать как Disabled. - ProductionThreshold Число событий в час, которые следует рассматривать как подозрительные для производственных систем 60. - NonProdThreshold Число событий в час, которые следует рассматривать как подозрительные для непроизводственных систем 10. - RoleTagsToExclude: это поле принимает имя роли SAP, имена профилей SAP или теги из списка отслеживания SAP_User_Config. Затем они используются для исключения связанных пользователей из определенных типов событий. См. параметры тегов ролей в конце этого списка. - RuleType: используйте Deterministic для отправки типа события в правило SAP — динамический детерминированный монитор журнала аудита или AnomaliesOnly для этого события, охватываемого правилом SAP — динамические оповещения монитора журналов аудита (предварительная версия). Дополнительные сведения см. в разделе "Мониторинг журнала аудита SAP". - TeamsChannelID: необязательный динамический параметр для использования в сборниках схем. - DestinationEmail: необязательный динамический параметр для использования в сборниках схем. Для поля RoleTagsToExclude : — Если вы перечисляете роли SAP или профили SAP, это исключает любого пользователя с перечисленными ролями или профилями из этих типов событий для той же системы SAP. Например, если определить BASIC_BO_USERS роль ABAP для связанных типов событий RFC, пользователи бизнес-объектов не будут запускать инциденты при выполнении массовых вызовов RFC.— Добавление тегов к типу события аналогично указанию ролей или профилей SAP, но теги могут быть созданы в рабочей области, поэтому команды SOC могут исключить пользователей по действиям без зависимости от команды SAP BASIS. Например, идентификаторы сообщений аудита (изменения авторизации) и AUD (изменения главной записи пользователя) назначаются тегу MassiveAuthChanges . Пользователи, назначенные этому тегу, исключены из проверок этих действий. При выполнении функции рабочей области SAPAuditLogConfigRecommend создается список рекомендуемых тегов, назначенных пользователям, например Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Позволяет точно настроить оповещения, исключив /включая пользователей в определенных контекстах, а также используется для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. Дополнительные сведения см. в разделе "Мониторинг журнала аудита SAP". - SAPUser: пользователь SAP - Теги: теги используются для идентификации пользователей в отношении определенного действия. Например, добавление тегов ["GenericTablebyRFCOK"] для пользователя SENTINEL_SRV не позволит создавать связанные с RFC инциденты для этого конкретного пользователя. Другие идентификаторы пользователей Active Directory — идентификатор пользователя AD — локальный идентификатор пользователя — Имя субъекта-пользователя. |
Доступные сборники схем
Сборники схем, предоставляемые решением Microsoft Sentinel для приложений SAP, помогают автоматизировать рабочие нагрузки реагирования на инциденты SAP, повышая эффективность и эффективность операций безопасности.
В этом разделе описаны встроенные сборники схем аналитики , предоставляемые вместе с решением Microsoft Sentinel для приложений SAP.
| Имя сборника схем | Параметры | Связи |
|---|---|---|
| Ответ на инциденты SAP — блокировка пользователя из Teams — базовый | — SAP-SOAP-User-Password — SAP-SOAP-Username — SOAPApiBasePath — DefaultEmail — TeamsChannel |
— Microsoft Sentinel; — Microsoft Teams; |
| Ответ на инциденты SAP— блокировка пользователя из Teams — дополнительно | — SAP-SOAP-KeyVault-Credential-Name — DefaultAdminEmail — TeamsChannel |
— Microsoft Sentinel; — Журналы Azure Monitor — Office 365 Outlook — Идентификатор Microsoft Entra — Azure Key Vault; — Microsoft Teams; |
| Ответ на инциденты SAP — повторное ведение журнала аудита после деактивации | — SAP-SOAP-KeyVault-Credential-Name — DefaultAdminEmail — TeamsChannel |
— Microsoft Sentinel; — Azure Key Vault; — Журналы Azure Monitor — Microsoft Teams; |
В следующих разделах описываются примеры вариантов использования для каждой из предоставленных сборников схем в сценарии, когда инцидент предупредил вас о подозрительном действии в одной из систем SAP, где пользователь пытается выполнить одну из этих высокочувствительных транзакций.
На этапе выполнения инцидента вы решили принять меры против этого пользователя, вытащив его из систем SAP ERP или BTP или даже из идентификатора Microsoft Entra.
Дополнительные сведения см. в статье Автоматизация реагирования на угрозы с помощью сборников схем в Microsoft Sentinel
Процесс развертывания приложений логики "Стандартный" обычно сложнее, чем для приложений логики потребления. Мы создали ряд сочетаний клавиш, которые помогут вам быстро развернуть их из репозитория Microsoft Sentinel GitHub. Дополнительные сведения см. в пошаговом руководстве по установке.
Совет
Просмотрите папку сборников схем SAP в репозитории GitHub для получения дополнительных сборников схем по мере их доступности. Там также краткое вводное видео (внешняя ссылка), чтобы помочь вам приступить к работе.
Блокировка пользователя из одной системы
Создайте правило автоматизации , чтобы вызвать пользователя Lock из Teams — базовую схему при обнаружении конфиденциальной транзакции неавторизованным пользователем. Эта сборник схем использует функцию адаптивных карточек Teams для запроса утверждения перед односторонней блокировкой пользователя.
Дополнительные сведения см. в разделе "От нуля до покрытия безопасности героя" с помощью Microsoft Sentinel для ваших критически важных сигналов безопасности SAP - Вы услышите меня SOAR! Часть 1 (запись блога SAP).
Пользователь блокировки из Teams — базовая сборник схем — это стандартный сборник схем, а стандартные сборники схем обычно сложнее развертывать, чем сборники схем потребления.
Мы создали ряд сочетаний клавиш, которые помогут вам быстро развернуть их из репозитория Microsoft Sentinel GitHub. Дополнительные сведения см. в пошаговом руководстве по установке и поддерживаемых типах приложений логики.
Блокировка пользователя из нескольких систем
Пользователь блокировки из Teams — расширенная сборник схем выполняет одну и ту же задачу, но предназначен для более сложных сценариев, что позволяет использовать один сборник схем для нескольких систем SAP, каждый из которых имеет собственный идентификатор БЕЗОПАСНОСТИ SAP.
Пользователь блокировки из Teams — расширенная сборник схем легко управляет подключениями ко всем этим системам и учетным данным, используя необязательный динамический параметр InterfaceAttributes в списке наблюдения за системами и Azure Key Vault.
Пользователь блокировки из Teams — расширенная сборник схем также позволяет взаимодействовать с сторонами в процессе утверждения с помощью интерактивных сообщений Outlook вместе с Teams с помощью параметров TeamsChannelID и DestinationEmail в списке наблюдения SAP_Dynamic_Audit_Log_Monitor_Configuration.
Дополнительные сведения см. в разделе "От нуля до покрытия безопасности героя" с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP — часть 2 (запись блога SAP).
Запрет деактивации журнала аудита
Вы также можете беспокоиться о журнале аудита SAP, который является одним из источников данных безопасности, деактивированных. Рекомендуется создать правило автоматизации на основе sap — деактивация правила log analytics аудита безопасности, чтобы вызвать повторное ведение журнала аудита после деактивации сборника схем, чтобы убедиться, что журнал аудита SAP не деактивирован.
SAP — деактивация сборника схем журнала аудита безопасности также использует Teams, информируя сотрудников безопасности после факта. Серьезность преступления и срочность его устранения указывают на то, что немедленные действия можно предпринять без утверждения.
Так как sap — деактивация сборника схем журнала аудита безопасности также использует Azure Key Vault для управления учетными данными, конфигурация сборника схем аналогична конфигурации пользователя блокировки из Teams — advanced playbook. Дополнительные сведения см. в разделе "От нуля до покрытия безопасности героя" с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP — часть 3 (запись блога SAP).
Связанный контент
Дополнительные сведения см. в статье "Развертывание решения Microsoft Sentinel для приложений SAP".