Cuadernos de estrategias de respuesta a incidentes de Microsoft Sentinel para SAP

En este artículo se describe cómo aprovechar las funcionalidades de orquestación, automatización y respuesta (SOAR) de Microsoft Sentinel junto con SAP. En el artículo se presentan los cuadernos de estrategias creados específicamente incluidos en la solución de Microsoft Sentinel para aplicaciones SAP®. Puede usar estos cuadernos de estrategias para responder automáticamente a actividades sospechosas de usuario en sistemas SAP, automatizar acciones correctivas en SAP RISE, SAP ERP y SAP Business Technology Platform (BTP), así como en Microsoft Entra ID.

La solución SAP de Microsoft Sentinel permite a su organización proteger su entorno de SAP. Para obtener información general completa y detallada de la solución de SAP de Sentinel, consulte los artículos siguientes:

• Introducción a la solución Microsoft Sentinel para aplicaciones SAP®
• Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad

Con la adición de estos cuadernos de estrategias a la solución, no solo puede supervisar y analizar eventos de seguridad en tiempo real, también puede automatizar los flujos de trabajo de respuesta a incidentes de SAP para mejorar la eficacia de las operaciones de seguridad.

La solución de Microsoft Sentinel para aplicaciones SAP® incluye los siguientes cuadernos de estrategias:

• Respuesta a incidentes de SAP: bloqueo de usuarios de Teams: Básico
• Respuesta a incidentes de SAP: bloqueo de usuarios de Teams: Avanzado
• Respuesta a incidentes de SAP: reactivación del registro de auditoría una vez desactivado

Casos de uso

Tiene la tarea de defender el entorno de SAP de su organización. Ha implementado la solución de Microsoft Sentinel para aplicaciones de SAP®. Ha habilitado la regla de análisis de la solución "SAP: ejecución de un código de transacción confidencial" y, posiblemente, ha personalizado la lista de reproducción "Transacciones confidenciales" de la solución para incluir códigos de transacción concretos para los que desea visualizar. Un incidente le advierte de actividad sospechosa en uno de los sistemas SAP. Un usuario está intentando ejecutar una de estas transacciones altamente confidenciales. Debe investigar y responder a este incidente.

Durante la fase de evaluación de prioridades, decide tomar medidas contra este usuario, iniciarlo de los sistemas de SAP ERP o BTP o incluso de Microsoft Entra ID.

Bloqueo de un usuario de un único sistema

Como ejemplo de cómo llevar la orquestación y la automatización a este proceso, vamos a crear una regla de automatización para invocar el cuaderno de estrategias Bloqueo de un usuario de Teams: Básico cada vez que se detecta una ejecución confidencial de transacciones por parte de un usuario no autorizado. Este cuaderno de estrategias usa la característica de tarjetas adaptables de Teams para solicitar aprobación antes de bloquear unilateralmente al usuario.

Para más información sobre cómo configurar este cuaderno de estrategias, consulte esta entrada de blog de SAP.

Bloqueo de un usuario de varios sistemas

El cuaderno de estrategias Bloqueo de un usuario de Teams: Avanzado logra el mismo objetivo, pero está diseñado para escenarios más complejos, lo que permite usar un único cuaderno de estrategias para varios sistemas SAP, cada uno con su propio SID de SAP. El cuaderno de estrategias administra sin problemas las conexiones a todos estos sistemas y sus credenciales mediante el parámetro dinámico opcional InterfaceAttributes en la lista de reproducción SAP: Sistemas (incluida con la solución de Microsoft Sentinel para aplicaciones SAP®) y Azure Key Vault. El cuaderno de estrategias también permite comunicarse con las partes en el proceso de aprobación mediante mensajes accionables de Outlook, además de los parámetros TeamsChannelID y DestinationEmail en la lista de reproducción SAP_Dynamic_Audit_Log_Monitor_Configuration.

Para obtener más información sobre cómo configurar este cuaderno de estrategias y, en particular, sobre cómo usar parámetros dinámicos en listas de reproducción para administrar conexiones a todos los sistemas SAP, consulte esta entrada de blog de SAP.

Impedir la desactivación del registro de auditoría

Al asegurarse de que la cobertura de seguridad de su entorno de SAP permanece completa e ininterrumpida, puede prestar atención a la desactivación del registro de auditoría de SAP (uno de los orígenes de la información de seguridad). Debe crear una regla de automatización basada en SAP: desactivación de la regla de análisis de registros de auditoría de seguridad, que invocará el cuaderno de estrategias Reactivación del registro de auditoría una vez desactivado para asegurarse de que no se produzca. Este cuaderno de estrategias también usa Teams, pero solo para informar al personal de seguridad después del hecho, ya que, dada la gravedad de la ofensa y la urgencia de su mitigación, se puede tomar medidas inmediatas sin necesidad de aprobación. Dado que este cuaderno de estrategias también usa Azure Key Vault para administrar las credenciales, la configuración del cuaderno de estrategias es similar a la del anterior. Para más información sobre este cuaderno de estrategias y su configuración, consulte esta entrada de blog de SAP.

Cuadernos de estrategias Estándar frente a Consumo

Microsoft Sentinel le permite crear instancias de estos cuadernos de estrategias directamente desde plantillas si usa cuadernos de estrategias basados en el plan de Consumo de Azure Logic Apps. Si tiene requisitos específicos para la compatibilidad con la inserción de redes virtuales (VNET), debe usar Azure API Managementcomo se describe aquí junto con la aplicación lógica de Consumo o usar aplicaciones lógicas de plan Estándar.

Vea la explicación completa de los diferentes tipos de cuadernos de estrategias. Consulte también esta entrada de blog de SAP en la tabla debajo del encabezado "Crear línea de visión para el sistema SAP para la solicitud SOAP" para las ramificaciones de elegir cada tipo de aplicación lógica.

El proceso de implementación de aplicaciones lógicas Estándar suele ser más complejo que para las aplicaciones lógicas de Consumo, pero hemos puesto a disposición una serie de accesos directos que le permiten implementarlas rápidamente desde el repositorio de GitHub de Microsoft Sentinel. Siga el procedimiento descrito allí para implementar los cuadernos de estrategias.

Cuadernos de estrategias Estándar disponibles actualmente en GitHub:

• Bloqueo de un usuario de SAP desde Teams: Básico Cuaderno de estrategias Estándar

Mantenga las pestañas en la carpeta Cuadernos de estrategias de SAP en el repositorio de GitHub para obtener más cuadernos de estrategias a medida que estén disponibles. También hay un breve vídeo de introducción (vínculo externo) ahí para ayudarle a empezar.

Pasos siguientes

En este artículo, ha obtenido información sobre los cuadernos de estrategias disponibles en la solución de Microsoft Sentinel para aplicaciones SAP®.

• Obtenga más información sobre la solución de Microsoft Sentinel para aplicaciones SAP®.
• Obtenga información sobre la Implementación de la solución de Microsoft Sentinel para aplicaciones SAP®.
• Obtenga información sobre el contenido de seguridad disponible en la solución de Microsoft Sentinel para aplicaciones SAP®.
• Obtenga más información sobre las reglas de automatización y los cuadernos de estrategias.