Configuración de reglas de supervisión de registros de auditoría de SAP
El registro de auditoría de SAP registra las acciones de auditoría y seguridad en los sistemas SAP, como los intentos de inicio de sesión erróneos u otras acciones sospechosas. En este artículo se describe cómo supervisar el registro de auditoría de SAP mediante las reglas de análisis integradas de Microsoft Sentinel.
Con estas reglas, puede supervisar todos los eventos de registro de auditoría o recibir alertas solo cuando se detectan anomalías. De este modo, puede administrar mejor los registros de SAP y reducir el ruido sin poner en peligro el valor de seguridad.
Use dos reglas de análisis para supervisar y analizar los datos del registro de auditoría de SAP:
- SAP: Monitor de registro de auditoría determinista dinámico (versión preliminar). Alertas sobre cualquier evento de registro de auditoría de SAP con una configuración mínima. Puede configurar la regla para una tasa de falsos positivos incluso menor. Más información sobre cómo configurar la regla.
- SAP: Alertas del monitor de registro de auditoría basadas en anomalías (versión preliminar). Alertas sobre eventos del registro de auditoría de SAP cuando se detectan anomalías, mediante funcionalidades de aprendizaje automático y sin necesidad de código. Más información sobre cómo configurar la regla.
Las dos reglas de supervisión del registro de auditoría de SAP se proporcionan listas para usar y permiten un ajuste más preciso mediante las listas de control SAP_Dynamic_Audit_Log_Monitor_Configuration y SAP_User_Config.
Detección de anomalías
Al intentar identificar eventos de seguridad en un registro de actividad diverso, como el registro de auditoría de SAP, debe equilibrar el trabajo de configuración y la cantidad de ruido que producen las alertas.
Con el módulo de registro de auditoría de SAP en la solución Sentinel para SAP, puede elegir:
- Qué eventos quiere examinar de forma determinista, mediante umbrales y filtros personalizados predefinidos.
- Qué eventos quiere dejar fuera, para que la máquina pueda aprender los parámetros por sí misma.
Una vez que marca un tipo de evento de registro de auditoría de SAP para la detección de anomalías, el motor de alertas comprueba los eventos transmitidos recientemente desde el registro de auditoría de SAP. El motor comprueba si los eventos parecen normales, teniendo en cuenta el historial que ha aprendido.
Microsoft Sentinel comprueba la presencia de anomalías en un evento o un grupo de eventos. Lo que hace es intentar buscar coincidencias con el evento o grupo de eventos con actividades previamente vistas del mismo tipo, en los niveles de usuario y sistema. El algoritmo aprende las características de red del usuario en el nivel de máscara de subred y según la estacionalidad.
Con esta capacidad, puede buscar anomalías en tipos de eventos que se han silenciado previamente, como eventos de inicio de sesión de usuario. Por ejemplo, si el usuario JohnDoe inicia sesión cientos de veces por hora, ahora puede permitir que Microsoft Sentinel decida si el comportamiento es sospechoso. ¿¿Se trata de John de contabilidad, que actualiza repetidamente un tablero financiero con múltiples orígenes de datos, o es que se está formando un ataque DDoS?
Configuración de la regla SAP: Alertas del monitor de registro de auditoría basadas en anomalías (versión preliminar) para la detección de anomalías
Si los datos del registro de auditoría de SAP aún no transmiten datos al área de trabajo de Microsoft Sentinel, aprenda a implementar la solución.
- En el menú de navegación de Microsoft Sentinel, en Administración de contenido, seleccione Centro de contenido (versión preliminar) .
- Compruebe si la supervisión continua de amenazas para la aplicación SAP tiene actualizaciones.
- En el menú de navegación, en Analytics, habilite estas 3 alertas de registro de auditoría:
- SAP: Monitor del registro de auditoría determinista dinámico. Se ejecuta cada 10 minutos y se centra en los eventos de registro de auditoría de SAP marcados como deterministas.
- SAP: Alertas del monitor de registro de auditoría basadas en anomalías (versión preliminar). Se ejecuta cada hora y se centra en los eventos de SAP marcados como AnomalíasOnly.
- SAP: Falta la configuración en el monitor de registro de auditoría de seguridad dinámico. Se ejecuta diariamente para proporcionar recomendaciones de configuración para el módulo de registro de auditoría de SAP.
Microsoft Sentinel examina ahora todo el registro de auditoría de SAP a intervalos regulares para detectar eventos y anomalías de seguridad deterministas. Puede ver los incidentes que genera este registro en la página Incidentes.
Al igual que sucede con cada solución de aprendizaje automático, funcionará mejor con el tiempo. La detección de anomalías funciona mejor con un historial de registros de auditoría de SAP de siete o más días.
Configuración de tipos de eventos con la lista de reproducción SAP_Dynamic_Audit_Log_Monitor_Configuration
Puede configurar aún más los tipos de eventos que producen demasiados incidentes mediante la lista de reproducción SAP_Dynamic_Audit_Log_Monitor_Configuration. Estas son algunas opciones para reducir los incidentes.
| Opción | Descripción |
|---|---|
| Establecer gravedades y deshabilitar los eventos no deseados | De forma predeterminada, las reglas deterministas y las reglas basadas en anomalías crean alertas para eventos marcados con gravedad media y alta. Puede establecer estas gravedades específicamente para entornos de producción y que no son de producción. Por ejemplo, puede establecer un evento de actividad de depuración como de alta gravedad en los sistemas de producción y deshabilitar esos eventos en sistemas que no son de producción. |
| Exclusión de usuarios por sus roles de SAP o perfiles de SAP | Microsoft Sentinel para SAP ingiere el perfil de autorización del usuario de SAP, incluidas las asignaciones de roles directas e indirectas, los grupos y los perfiles, para que pueda hablar el lenguaje SAP en su SIEM. Puede configurar un evento de SAP para excluir a los usuarios en función de sus roles y perfiles de SAP. En la lista de reproducción, agregue los roles o perfiles que agrupan los usuarios de la interfaz RFC en la columna RolesTagsToExclude, junto al evento Acceso a tablas genéricas por RFC. A partir de ahora, recibirá alertas solo relativas a los usuarios a los que les faltan estos roles. |
| Exclusión de usuarios por sus etiquetas SOC | Con las etiquetas, puede crear su propia agrupación, sin depender de definiciones de SAP complicadas o incluso sin autorización de SAP. Este método es útil para los equipos de SOC que quieren crear su propia agrupación para usuarios de SAP. Conceptualmente, la exclusión de usuarios por etiquetas funciona como las etiquetas de nombre: puede establecer varios eventos en la configuración con varias etiquetas. No recibe alertas en el caso de un usuario con una etiqueta asociada a un evento específico. Por ejemplo, no quiere que se envíen alertas a cuentas de servicio específicas sobre eventos Acceso a tablas genéricas por RFC, pero no puede encontrar un rol de SAP ni un perfil de SAP que agrupe estos usuarios. En este caso, puede agregar la etiqueta GenTableRFCReadOK junto al evento correspondiente de la lista de reproducción y, luego, ir a la lista de reproducción SAP_User_Config y asignar a los usuarios de la interfaz la misma etiqueta. |
| Especificación de un umbral de frecuencia por tipo de evento y rol del sistema | Funciona como un límite de velocidad. Por ejemplo, puede decidir que los eventos ruidosos Cambio de registro maestro de usuario solo desencadenan alertas si se observan más de 12 actividades en una hora, por el mismo usuario en un sistema de producción. Si un usuario supera el límite de 12 por hora (por ejemplo, 2 eventos en una ventana de 10 minutos), se desencadena un incidente. |
| Determinismo o anomalías | Si conoce las características del evento, puede usar las funcionalidades deterministas. Si no está seguro de cómo configurar correctamente el evento, las funcionalidades de aprendizaje automático pueden decidirlo. |
| Funcionalidades SOAR | Puede usar Microsoft Sentinel para orquestar, automatizar y responder mejor a incidentes que se pueden aplicar a las alertas dinámicas del registro de auditoría de SAP. Más información sobre Security Orchestration, Automation, and Response (SOAR). |
Pasos siguientes
En este artículo se describe cómo supervisar el registro de auditoría de SAP mediante las reglas de análisis integradas de Microsoft Sentinel.