Solución Microsoft Sentinel para aplicaciones SAP®: referencia de contenido de seguridad
En este artículo se detalla el contenido de seguridad disponible para la solución Microsoft Sentinel para SAP.
Importante
Aunque la solución Microsoft Sentinel para aplicaciones SAP® está disponible con carácter general, algunos componentes específicos permanecen en versión preliminar. En este artículo se indican los componentes que se encuentran en versión preliminar en las secciones pertinentes siguientes. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.
El contenido de seguridad disponible incluye un libro integrado y reglas de análisis integradas. También puede agregar listas de seguimiento relacionadas con SAP para usarlas en búsquedas, reglas de detección, búsqueda de amenazas y cuadernos de estrategias de respuesta.
Libros integrados
Use los siguientes libros integrados para visualizar y supervisar los datos ingeridos por medio del conector de datos de SAP. Después de implementar la solución de SAP, encontrará libros de SAP en la pestaña Mis libros.
| Nombre del libro | Description | Registros |
|---|---|---|
| SAP - Audit Log Browser (SAP: explorador de registros de auditoría) | Muestra datos como: - Estado general del sistema, incluidos los inicios de sesión de usuario a lo largo del tiempo, los eventos ingeridos por el sistema, las clases de mensajes y los identificadores, y los programas de ABAP se ejecutan -Severities of events occurring in your system (Gravedad de los eventos que se producen en el sistema) - Eventos de autenticación y autorización que se producen en el sistema |
Usa datos del registro siguiente: ABAPAuditLog_CL |
| Controles de auditoría de SAP | Le ayuda a comprobar los controles de seguridad del entorno de SAP para que cumplan el marco de control elegido, con herramientas para que haga lo siguiente: - Asignación de reglas de análisis en su entorno a controles de seguridad específicos y familias de control - Supervisión y categorización de los incidentes generados por las reglas de análisis basadas en soluciones de SAP - Informar sobre su cumplimiento |
Usa datos de las tablas siguientes: - SecurityAlert- SecurityIncident |
Para más información, vea Tutorial: Visualización y supervisión de los datos e Implementación de la solución Microsoft Sentinel para aplicaciones SAP®.
Reglas de análisis integradas
Supervisión de la configuración de parámetros de seguridad estáticos de SAP (versión preliminar)
Para proteger el sistema SAP, SAP ha identificado los parámetros relacionados con la seguridad que deben supervisarse en busca de cambios. Con la regla "Sap - (versión preliminar) El parámetro estático confidencial ha cambiado", la solución Microsoft Sentinel para aplicaciones de SAP® realiza un seguimiento de más de 52 parámetros estáticos relacionados con la seguridad en el sistema SAP, que están integrados en Microsoft Sentinel.
Nota
Para que la solución Microsoft Sentinel para aplicaciones SAP® supervise correctamente los parámetros de seguridad de SAP, la solución deberá supervisar correctamente la tabla PAHI de SAP a intervalos regulares. Compruebe que la solución pueda supervisar correctamente la tabla PAHI.
Para comprender los cambios de parámetros en el sistema, la solución Microsoft Sentinel para aplicaciones de SAP® usa la tabla de historial de parámetros, que registra los cambios realizados en los parámetros del sistema cada hora.
Los parámetros también se reflejan en la lista de reproducción SAPSystemParameters. Esta lista de reproducción permite a los usuarios agregar nuevos parámetros, deshabilitar los parámetros existentes y modificar los valores y gravedades por parámetro y rol del sistema en entornos de producción o que no sean de producción.
Cuando se realiza un cambio en uno de estos parámetros, Microsoft Sentinel comprueba si el cambio está relacionado con la seguridad y si el valor se establece según los valores recomendados. Si se sospecha que el cambio está fuera de la zona segura, Microsoft Sentinel crea un incidente que detalla el cambio e identifica quién realizó el cambio.
Revise la lista de parámetros que supervisa esta regla.
Supervisión del registro de auditoría de SAP
Los datos del registro de auditoría de SAP se usan en muchas de las reglas de análisis de la solución Microsoft Sentinel para aplicaciones SAP®. Algunas reglas de análisis buscan eventos específicos en el registro, mientras que otros correlacionan las indicaciones de varios registros para crear alertas e incidentes de alta fidelidad.
Además, hay dos reglas de análisis diseñadas para dar cabida a todo el conjunto de eventos estándar del registro de auditoría de SAP (183 eventos diferentes) y cualquier otro evento personalizado que pueda elegir para registrar mediante el registro de auditoría de SAP.
Ambas reglas de análisis de supervisión de registros de auditoría de SAP comparten los mismos orígenes de datos y configuración, pero difieren en un aspecto fundamental. Mientras que la regla "SAP - Supervisión dinámica de registro de auditoría determinista" requiere umbrales de alerta deterministas y reglas de exclusión de usuarios, la regla "SAP - Alertas de supervisión dinámica de registro de auditoría basadas en anomalías )VERSIÓN PRELIMINAR)" aplica algoritmos adicionales de aprendizaje automático para filtrar el ruido de fondo de manera no supervisada. Por este motivo, de forma predeterminada, la mayoría de los tipos de eventos (o identificadores de mensaje de SAP) del registro de auditoría de SAP se envían a la regla de análisis "basada en anomalías", mientras que los tipos de eventos más fáciles de definir se envían a la regla de análisis determinista. Esta configuración, junto con otras opciones relacionadas, se puede ajustar aún más para responder a cualquier condición del sistema.
SAP - Dynamic Deterministic Audit Log Monitor
Una regla de análisis dinámico que está pensada para cubrir todo el conjunto de tipos de eventos de registro de auditoría de SAP que tienen una definición determinista en términos de población de usuarios, umbrales de eventos.
- Configuración de la regla con la lista de reproducción SAP_Dynamic_Audit_Log_Monitor_Configuration
- Más información sobre cómo configurar la regla (procedimiento completo)
SAP - Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW)
Una regla de análisis dinámico diseñada para aprender el comportamiento normal del sistema y alertar sobre las actividades observadas en el registro de auditoría de SAP que se consideran anómalas. Aplique esta regla en los tipos de eventos del registro de auditoría de SAP que son más difíciles de definir en términos de población de usuarios, atributos de red y umbrales.
Más información:
- Configuración de la regla con las listas de reproducción SAP_Dynamic_Audit_Log_Monitor_Configuration y SAP_User_Config
- Más información sobre cómo configurar la regla (procedimiento completo)
En las tablas siguientes se muestran las reglas de análisis integradas que se incluyen en la solución Microsoft Sentinel para aplicaciones SAP®, implementada desde el marketplace de soluciones de Microsoft Sentinel.
Acceso inicial
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP - Login from unexpected network | Identifica un inicio de sesión desde una red inesperada. Mantener las redes en la lista de control SAP: redes. |
Iniciar sesión en el sistema de back-end desde una dirección IP que no esté asignada a una de las redes. Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial |
| SAP - SPNego Attack | Identifica un ataque de reproducción de SPNego. | Orígenes de datos: SAPcon: registro de auditoría | Impacto, desplazamiento lateral |
| SAP - Dialog logon attempt from a privileged user | Identifica los intentos de inicio de sesión del cuadro de diálogo, con el tipo AUM, realizados por usuarios con privilegios en un sistema SAP. Para obtener más información, consulte SAPUsersGetPrivileged. | Intente iniciar sesión desde la misma dirección IP en varios sistemas o clientes dentro del intervalo de tiempo programado. Orígenes de datos: SAPcon: registro de auditoría |
Impacto, desplazamiento lateral |
| SAP - Brute force attacks | Identifica ataques por fuerza bruta en el sistema SAP mediante inicios de sesión RFC | Intente iniciar sesión en varios sistemas o clientes desde la misma dirección IP en el intervalo de tiempo programado mediante RFC. Orígenes de datos: SAPcon: registro de auditoría |
Acceso con credenciales |
| SAP - Multiple Logons from the same IP | Identifica el inicio de sesión de varios usuarios desde la misma dirección IP en un intervalo de tiempo programado. Subcaso de uso: Persistencia |
Iniciar sesión con varios usuarios desde la misma dirección IP. Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial |
| SAP - Multiple Logons by User | Identifica los inicios de sesión del mismo usuario desde varios terminales en un intervalo de tiempo programado. Solo está disponible a través del método Audit SAL, para las versiones 7.5 y posteriores de SAP. |
Iniciar sesión con el mismo usuario con diferentes direcciones IP. Orígenes de datos: SAPcon: registro de auditoría |
PreAttack, acceso con credenciales, acceso inicial, colección Subcaso de uso: Persistencia |
| SAP - Informational - Lifecycle - SAP Notes were implemented in system (SAP - Informativa - Ciclo de vida - Se implementaron notas de SAP en el sistema) | Identifica la implementación de una nota de SAP en el sistema. | Implemente una nota de SAP con SNOTE/TCI. Orígenes de datos: SAPcon: solicitudes de cambio |
- |
Filtración de datos
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP - FTP for non authorized servers | Identifica una conexión FTP para un servidor no autorizado. | Crear una nueva conexión FTP; por ejemplo, mediante el módulo de funciones FTP_CONNECT. Orígenes de datos: SAPcon: registro de auditoría |
Detección, acceso inicial, comando y control |
| SAP - Insecure FTP servers configuration | Identifica configuraciones de servidor FTP no seguras, como cuando una lista de permitidos FTP está vacía o contiene marcadores de posición. | No mantener valores o mantenerlos con marcadores de posición en la tabla SAPFTP_SERVERS, usando la vista de mantenimiento SAPFTP_SERVERS_V. (SM30) Orígenes de datos: SAPcon: registro de auditoría |
Acceso inicial, comando y control |
| SAP - Multiple Files Download | Identifica varias descargas de archivos para un usuario dentro de un intervalo de tiempo específico. | Descargar varios archivos mediante SAPGui para Excel, listas, etcétera. Orígenes de datos: SAPcon: registro de auditoría |
Recopilación, filtración, acceso a credenciales |
| SAP - Multiple Spool Executions | Identifica varias colas para un usuario dentro de un intervalo de tiempo específico. | Crear y ejecutar varios trabajos de cola de cualquier tipo por parte de un usuario. (SP01) Orígenes de datos: SAPcon: registro de cola, SAPcon: registro de auditoría |
Recopilación, filtración, acceso a credenciales |
| SAP - Multiple Spool Output Executions | Identifica varias colas para un usuario dentro de un intervalo de tiempo específico. | Crear y ejecutar varios trabajos de cola de cualquier tipo por parte de un usuario. (SP01) Orígenes de datos: SAPcon: registro de salida de cola, SAPcon: registro de auditoría |
Recopilación, filtración, acceso a credenciales |
| SAP - Sensitive Tables Direct Access By RFC Logon | Identifica el acceso a una tabla genérica mediante el inicio de sesión RFC. Mantenga las tablas en la lista de control SAP - Sensitive Tables (SAP - Tablas confidenciales). Nota: pertinente solo para sistemas de producción. |
Abrir el contenido de la tabla mediante SE11/SE16/SE16N. Orígenes de datos: SAPcon: registro de auditoría |
Recopilación, filtración, acceso a credenciales |
| SAP - Spool Takeover | Identifica a un usuario que imprime una solicitud de cola creada por otra persona. | Crear una solicitud de cola con un usuario y, a continuación, obtener su salida con otro usuario. Orígenes de datos: SAPcon: registro de cola, SAPcon: registro de salida de cola, SAPcon: registro de auditoría |
Recopilación, filtración, comando y control |
| SAP - Dynamic RFC Destination | Identifica la ejecución de RFC mediante destinos dinámicos. Subcaso de uso: Intentos de omitir los mecanismos de seguridad de SAP |
Ejecutar un informe de ABAP que usa destinos dinámicos (cl_dynamic_destination). Por ejemplo, DEMO_RFC_DYNAMIC_DEST. Orígenes de datos: SAPcon: registro de auditoría |
Recopilación, filtración |
| SAP - Sensitive Tables Direct Access By Dialog Logon | Identifica el acceso a tablas genéricas a través del inicio de sesión mediante cuadro de diálogo. | Abrir el contenido de las tablas mediante SE11/SE16/SE16N. Orígenes de datos: SAPcon: registro de auditoría |
Detección |
| SAP: (versión preliminar) archivo descargado desde una dirección IP malintencionada | Identifica la descarga de un archivo de un sistema SAP mediante una dirección IP que se sabe que es malintencionada. Las direcciones IP malintencionadas se obtienen de los servicios de inteligencia sobre amenazas. | Descargar un archivo de una IP malintencionada. Orígenes de datos: registro de auditoría de seguridad de SAP, inteligencia sobre amenazas |
Exfiltración |
| SAP: (versión preliminar) datos exportados desde un sistema de producción mediante un transporte | Identifica la exportación de datos desde un sistema de producción mediante un transporte. Los transportes se usan en los sistemas de desarrollo y son similares a las solicitudes de incorporación de cambios. Esta regla de alerta desencadena incidentes de gravedad media cuando se libera de un sistema de producción algún transporte que incluye datos de cualquier tabla. La regla crea un incidente de gravedad alta cuando en la exportación se incluyen datos de una tabla confidencial. | Liberar un transporte de un sistema de producción. Orígenes de datos: registro de CR de SAP, SAP: tablas confidenciales |
Exfiltración |
| SAP: (versión preliminar) datos confidenciales guardados en una unidad USB | Identifica la exportación de datos de SAP mediante archivos. La regla comprueba si hay datos guardados en una unidad USB montada recientemente en un momento cercano a la ejecución de una transacción confidencial, un programa confidencial o el acceso directo a una tabla confidencial. | Exportar los datos de SAP a través de archivos y guardarlos en una unidad USB. Orígenes de datos: registro de auditoría de seguridad de SAP, DeviceFileEvents (Microsoft Defender para punto de conexión), SAP: tablas confidenciales, SAP: transacciones confidenciales, SAP: programas confidenciales |
Exfiltración |
| SAP: (versión preliminar) impresión de datos potencialmente confidenciales | Identifica una solicitud de impresión, o una impresión real, de datos potencialmente confidenciales. Los datos se consideran confidenciales si el usuario los obtiene como parte de una transacción confidencial, la ejecución de un programa confidencial o el acceso directo a una tabla confidencial. | Imprimir o solicitar imprimir datos confidenciales. Orígenes de datos: registro de auditoría de seguridad de SAP, registros de cola de impresión de SAP, SAP: tablas confidenciales, SAP: programas confidenciales |
Exfiltración |
| SAP: (versión preliminar) gran volumen de datos potencialmente confidenciales exportados | Identifica la exportación de un gran volumen de datos mediante archivos cerca de la ejecución de una transacción confidencial, un programa confidencial o el acceso directo a la tabla confidencial. | Exportar un gran volumen de datos mediante archivos. Orígenes de datos: registro de auditoría de seguridad de SAP, SAP: tablas confidenciales, SAP: transacciones confidenciales, SAP: programas confidenciales |
Exfiltración |
Persistencia
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP - Activation or Deactivation of ICF Service | Identifica la activación o desactivación de servicios de ICF. | Activar un servicio mediante SICF. Orígenes de datos: SAPcon: registro de datos de tabla |
Comando y control, movimiento lateral, persistencia |
| SAP - Function Module tested | Identifica las pruebas de un módulo de función. | Probar un módulo de funciones mediante SE37 / SE80. Orígenes de datos: SAPcon: registro de auditoría |
Colección, evasión de defensa, desplazamiento lateral |
| SAP - (PREVIEW) HANA DB -User Admin actions | Identifica las acciones de administración de usuarios. | Crear, actualizar o eliminar un usuario de base de datos. Orígenes de datos: agente de Linux: Syslog* |
Elevación de privilegios |
| SAP - New ICF Service Handlers | Identifica la creación de controladores de ICF. | Asignar un nuevo controlador a un servicio mediante SICF. Orígenes de datos: SAPcon: registro de auditoría |
Comando y control, movimiento lateral, persistencia |
| SAP - New ICF Services | Identifica la creación de servicios de ICF. | Crear un servicio mediante SICF. Orígenes de datos: SAPcon: registro de datos de tabla |
Comando y control, movimiento lateral, persistencia |
| SAP: Ejecución de módulo de funciones obsoletas o no seguras | Identifica la ejecución de un módulo de funciones de ABAP obsoletas o no seguras. Mantenga las funciones obsoletas en la lista de control SAP - Obsolete Function Modules (SAP - Módulos de funciones obsoletas). Asegúrese de activar los cambios de registro de tabla para la tabla EUFUNC en el back-end. (SE13)Nota: pertinente solo para sistemas de producción. |
Ejecutar un módulo de funciones obsoletas o no seguras directamente mediante SE37. Orígenes de datos: SAPcon: registro de datos de tabla |
Detección, comando y control |
| SAP - Execution of Obsolete/Insecure Program | Identifica la ejecución de un programa de ABAP obsoleto o no seguro. Mantenga los programas obsoletos en la lista de control SAP - Obsolete Programs (SAP - Programas obsoletos). Nota: pertinente solo para sistemas de producción. |
Ejecutar un programa directamente mediante SE38/SA38/SE80 o mediante un trabajo en segundo plano. Orígenes de datos: SAPcon: registro de auditoría |
Detección, comando y control |
| SAP - Multiple Password Changes by User | Identifica varios cambios de contraseña por usuario. | Cambiar la contraseña de usuario Orígenes de datos: SAPcon: registro de auditoría |
Acceso con credenciales |
Intentos de omitir los mecanismos de seguridad de SAP
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP - Client Configuration Change | Identifica los cambios en la configuración del cliente, como el rol de cliente o el modo de grabación de cambios. | Realizar cambios de configuración del cliente mediante el código de transacción SCC4. Orígenes de datos: SAPcon: registro de auditoría |
Evasión de defensa, filtración, persistencia |
| SAP - Data has Changed during Debugging Activity | Identifica los cambios que se han producido en los datos del runtime durante una actividad de depuración. Subcaso de uso: Persistencia |
1. Activar la depuración ("/h"). 2. Seleccionar el campo que se va a cambiar y actualizar su valor. Orígenes de datos: SAPcon: registro de auditoría |
Ejecución, desplazamiento lateral |
| SAP - Deactivation of Security Audit Log | Identifica la desactivación del registro de auditoría de seguridad. | Deshabilitar el registro de auditoría de seguridad mediante SM19/RSAU_CONFIG. Orígenes de datos: SAPcon: registro de auditoría |
Filtración, evasión de defensa, persistencia |
| SAP - Execution of a Sensitive ABAP Program | Identifica la ejecución directa de un programa de ABAP confidencial. Mantener los programas de ABAP en la lista de reproducción SAP: programas de ABAP confidenciales. |
Ejecutar un programa directamente mediante SE38/SA38/SE80. Orígenes de datos: SAPcon: registro de auditoría |
Filtración, desplazamiento lateral, ejecución |
| SAP - Execution of a Sensitive Transaction Code | Identifica la ejecución de un código de transacción confidencial. Mantener los códigos de transacción en la lista de reproducción SAP : códigos de transacción confidenciales. |
Ejecutar un código de transacción confidencial. Orígenes de datos: SAPcon: registro de auditoría |
Detección, ejecución |
| SAP - Execution of Sensitive Function Module | Identifica la ejecución de un módulo de funciones de ABAP confidenciales. Subcaso de uso: Persistencia Nota: pertinente solo para sistemas de producción. Mantenga las funciones confidenciales en la lista de control SAP - Sensitive Function Modules (SAP - Módulos de funciones confidenciales) y asegúrese de activar los cambios de registro de tabla en el back-end para la tabla EUFUNC. (SE13) |
Ejecutar un módulo de funciones confidenciales directamente mediante SE37. Orígenes de datos: SAPcon: registro de datos de tabla |
Detección, comando y control |
| SAP - (PREVIEW) HANA DB -Audit Trail Policy Changes | Identifica los cambios en las directivas de registro de auditoría de HANA DB. | Crear o actualizar la directiva de auditoría existente en las definiciones de seguridad. Orígenes de datos: Agente de Linux: Syslog |
Desplazamiento lateral, evasión de la defensa, persistencia |
| SAP - (PREVIEW) HANA DB -Deactivation of Audit Trail | Identifica la desactivación del registro de auditoría de HANA DB. | Desactive el registro de auditoría en la definición de seguridad de HANA DB. Orígenes de datos: agente de Linux: Syslog |
Persistencia, desplazamiento lateral, evasión de la defensa |
| SAP: ejecución remota no autorizada de un módulo de funciones confidenciales | Detecta ejecuciones no autorizadas de FM confidenciales comparando la actividad con el perfil de autorización del usuario, sin tener en cuenta las autorizaciones modificadas recientemente. Mantener los módulos de funciones de la lista de reproducción SAP: módulos de funciones confidenciales. |
Ejecutar un módulo de funciones mediante RFC. Orígenes de datos: SAPcon: registro de auditoría |
Ejecución, desplazamiento lateral, detección |
| SAP - System Configuration Change | Identifica los cambios en la configuración del sistema. | Adapte las opciones de cambio del sistema o la modificación de componentes de software mediante el código de transacción SE06.Orígenes de datos: SAPcon: registro de auditoría |
Filtración, evasión de defensa, persistencia |
| SAP - Debugging Activities | Identifica todas las actividades relacionadas con la depuración. Subcaso de uso: Persistencia |
Activar Debug ("/h") en el sistema, depurar un proceso activo, agregar un punto de interrupción al código fuente, etc. Orígenes de datos: SAPcon: registro de auditoría |
Detección |
| SAP - Security Audit Log Configuration Change | Identifica los cambios en la configuración del registro de auditoría de seguridad. | Cambiar cualquier configuración de registro de auditoría de seguridad mediante SM19/RSAU_CONFIG, como los filtros, el estado, el modo de grabación, etc. Orígenes de datos: SAPcon: registro de auditoría |
Persistencia, filtración, evasión de defensa |
| SAP - Transaction is unlocked | Identifica el desbloqueo de una transacción. | Desbloquear un código de transacción mediante SM01/SM01_DEV/SM01_CUS. Orígenes de datos: SAPcon: registro de auditoría |
Persistencia, ejecución |
| SAP - Dynamic ABAP Program | Identifica la ejecución de la programación ABAP dinámica. Por ejemplo, cuando se creó, cambió o eliminó dinámicamente el código de ABAP. Mantenga los códigos de transacción excluidos en la lista de control SAP - Transactions for ABAP Generations (SAP - Transacciones para generaciones de ABAP). |
Crear un informe de ABAP que use comandos de generación de programas de ABAP, como INSERT REPORT, y, a continuación, ejecutar el informe. Orígenes de datos: SAPcon: registro de auditoría |
Detección, comando y control, impacto |
Operaciones con privilegios sospechosos
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| SAP - Change in Sensitive privileged user | Identifica los cambios de los usuarios con privilegios confidenciales. Mantener a los usuarios con privilegios en la lista de reproducción SAP: usuarios con privilegios. |
Cambiar los detalles o las autorizaciones de los usuarios mediante SU01. Orígenes de datos: SAPcon: registro de auditoría |
Elevación de privilegios, acceso a credenciales |
| SAP - (PREVIEW) HANA DB -Assign Admin Authorizations | Identifica la asignación de roles o privilegios administrativos. | Asignar a un usuario cualquier rol o privilegio administrativos. Orígenes de datos: Agente de Linux: Syslog |
Elevación de privilegios |
| SAP - Sensitive privileged user logged in | Identifica el cuadro de diálogo de inicio de sesión de un usuario con privilegios confidenciales. Mantener a los usuarios con privilegios en la lista de reproducción SAP: usuarios con privilegios. |
Iniciar sesión en el sistema back-end mediante SAP* u otro usuario con privilegios. Orígenes de datos: SAPcon: registro de auditoría |
acceso inicial, acceso a credenciales |
| SAP - Sensitive privileged user makes a change in other user | Identifica los cambios de usuarios confidenciales con privilegios en otros usuarios. | Cambiar los detalles o las autorizaciones de los usuarios mediante SU01. Orígenes de datos: SAPcon: registro de auditoría |
Elevación de privilegios, acceso a credenciales |
| SAP - Sensitive Users Password Change and Login | Identifica los cambios de contraseña de los usuarios con privilegios. | Cambiar la contraseña de un usuario con privilegios e iniciar sesión en el sistema. Mantener a los usuarios con privilegios en la lista de reproducción SAP: usuarios con privilegios. Orígenes de datos: SAPcon: registro de auditoría |
Impacto, comando y control, elevación de privilegios |
| SAP - User Creates and uses new user | Identifica un usuario que crea y usa otros usuarios. Subcaso de uso: Persistencia |
Cree un usuario mediante SU01 e inicie sesión con el usuario recién creado y la misma dirección IP. Orígenes de datos: SAPcon: registro de auditoría |
Detección, ataque previo, acceso inicial |
| SAP - User Unlocks and uses other users | Identifica un usuario desbloqueado y usado por otros usuarios. Subcaso de uso: Persistencia |
Desbloquear un usuario mediante SU01 e iniciar sesión con el usuario desbloqueado y la misma dirección IP. Orígenes de datos: SAPcon: registro de auditoría, SAPcon: registro de documentos de cambio |
Detección, ataque previo, acceso inicial, desplazamiento lateral |
| SAP - Assignment of a sensitive profile | Identifica nuevas asignaciones de un perfil confidencial a un usuario. Mantener los perfiles confidenciales de la lista de reproducción SAP: perfiles confidenciales. |
Asigne un perfil a un usuario mediante SU01. Orígenes de datos: SAPcon: cambiar registro de documentos |
Elevación de privilegios |
| SAP: Asignación de un rol confidencial | Identifica nuevas asignaciones para un rol confidencial para un usuario. Mantener los roles confidenciales de la lista de reproducción SAP: roles confidenciales. |
Asignar un rol a un usuario mediante SU01 / PFCG. Orígenes de datos: SAPcon: cambiar registro de documentos y registro de auditoría |
Elevación de privilegios |
| SAP - (PREVIEW) Critical authorizations assignment - New Authorization Value | Identifica la asignación de un valor de un objeto de autorización crítica a un nuevo usuario. Mantener objetos de autorizaciones críticas de la lista de reproducción SAP: objetos de autorizaciones críticas. |
Asignar un objeto de autorización nuevo o actualizar uno existente en un rol mediante PFCG. Orígenes de datos: SAPcon: cambiar registro de documentos |
Elevación de privilegios |
| SAP - Critical authorizations assignment - New User Assignment | Identifica la asignación de un valor de un objeto de autorización crítica a un nuevo usuario. Mantener objetos de autorizaciones críticas de la lista de reproducción SAP: objetos de autorizaciones críticas. |
Asigne un nuevo usuario a un rol que contenga valores de autorizaciones críticas mediante SU01/PFCG. Orígenes de datos: SAPcon: cambiar registro de documentos |
Elevación de privilegios |
| SAP - Sensitive Roles Changes | Identifica los cambios en los roles confidenciales. Mantener los roles confidenciales de la lista de reproducción SAP: roles confidenciales. |
Cambiar un rol mediante PFCG. Orígenes de datos: SAPcon: registro de documentos de cambio, SAPcon: registro de auditoría |
Impacto, elevación de privilegios, persistencia |
Listas de reproducción disponibles
En la tabla siguiente se enumeran las listas de reproducción disponibles para la solución Microsoft Sentinel para aplicaciones SAP® y los campos de cada lista.
Estas listas de reproducción proporcionan la configuración de la solución Microsoft Sentinel para aplicaciones SAP®. Las listas de seguimiento de SAP están disponibles en el repositorio de Microsoft Sentinel en GitHub.
| Nombre de lista de reproducción | Descripción y campos |
|---|---|
| SAP: objetos Autorizaciones críticas | Objeto Autorizaciones críticas, en el que se deben regular las asignaciones. - AuthorizationObject: un objeto de autorización de SAP, como S_DEVELOP, S_TCODE o Table TOBJ. - AuthorizationField: un campo de autorización de SAP, como OBJTYP o TCD. - AuthorizationValue: un valor de un campo de autorización de SAP, como DEBUG. - ActivityField: campo de actividad de SAP. En la mayoría de los casos, este valor será ACTVT. Para objetos de autorización sin campo Activity (Actividad) o solo con un campo Activity, rellenado con NOT_IN_USE. - Actividad: actividad de SAP, según el objeto de autorización, como: 01: Crear; 02: Cambiar; 03: Mostrar, etc. - Descripción: una descripción significativa del objeto de autorización crítico. |
| SAP: redes excluidas | Para el mantenimiento interno de redes excluidas, como omitir instancias de Web Dispatcher, servidores de terminal, etc. -Red: una dirección IP de red o un intervalo, como 111.68.128.0/17. -Descripción: una descripción de red significativa. |
| Usuarios excluidos de SAP | Los usuarios del sistema que han iniciado sesión en el sistema y deben ignorarse. Por ejemplo, alertas de varios inicios de sesión por parte del mismo usuario. - Usuario: usuario de SAP -Descripción: una descripción del usuario significativa. |
| SAP: redes | Redes internas y de mantenimiento para la identificación de inicios de sesión no autorizados. - Red: dirección IP o intervalo de direcciones IP de red, como 111.68.128.0/17. - Descripción: una descripción de red significativa. |
| SAP: usuarios con privilegios. | Usuarios con privilegios que tienen restricciones adicionales. - Usuario: el usuario de ABAP, como DDIC o SAP. - Descripción: una descripción del usuario significativa. |
| SAP: programas de ABAP confidenciales | Programas de ABAP confidenciales (informes), donde se debe regular la ejecución. - ABAPProgram: programa o informe de ABAP, como RSPFLDOC. - Descripción:una descripción significativa del programa. |
| SAP: módulo de funciones confidenciales | Redes internas y de mantenimiento para la identificación de inicios de sesión no autorizados. - FunctionModule: un módulo de funciones de ABAP, como RSAU_CLEAR_AUDIT_LOG. - Descripción: una descripción significativa del módulo. |
| SAP: perfiles confidenciales | Perfiles confidenciales, donde se deben regular las asignaciones. - Perfil: perfil de autorización de SAP, como SAP_ALL o SAP_NEW. - Descripción: una descripción significativa del perfil. |
| SAP: tablas confidenciales | Tablas confidenciales, donde se debe regular el acceso. - Tabla: tabla de diccionarios de ABAP, como USR02 o PA008 - Descripción: una descripción significativa de la tabla. |
| SAP: roles confidenciales | Roles confidenciales, donde se debe regular la asignación. - Rol: rol de autorización de SAP, como SAP_BC_BASIS_ADMIN - Descripción: una descripción significativa del rol. |
| SAP: transacciones confidenciales | Transacciones confidenciales en las que se debe regular la ejecución. - TransactionCode: código de transacción de SAP, como RZ11 - Descripción: una descripción significativa del código. |
| SAP: sistemas | Describe el panorama de los sistemas SAP en función del rol, uso, y configuración. - SystemID: el identificador del sistema de SAP (SYSID) - SystemRole: el rol de sistema SAP, uno de los siguientes valores: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: el uso del sistema SAP, uno de los siguientes valores: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: un parámetro dinámico opcional para su uso en cuadernos de estrategias. |
| SAPSystemParameters | Parámetros para inspección de cambios de configuración sospechosos. Esta lista de reproducción se rellena previamente con valores recomendados (según el procedimiento recomendado de SAP) y puede ampliar la lista de reproducción para incluir más parámetros. Si no desea recibir alertas para un parámetro, establezca EnableAlerts en false.- ParameterName: nombre del parámetro. - Comentario: Descripción del parámetro estándar de SAP. - EnableAlerts: define si se habilitan las alertas para este parámetro. Los valores son true y false.- Opción: define en qué caso desencadenar una alerta: si el valor del parámetro es mayor o igual ( GE), menor o igual (LE) o igual (EQ).Por ejemplo, si el login/fails_to_user_lock parámetro SAP se establece en LE (menor o igual) y un valor de 5, una vez que Microsoft Sentinel detecta un cambio en este parámetro específico, compara el valor recién informado y el valor esperado. Si el nuevo valor es 4, Microsoft Sentinel no desencadena una alerta. Si el nuevo valor es 6, Microsoft Sentinel desencadena una alerta.- ProductionSeverity: gravedad del incidente para los sistemas de producción. - ProductionValues: valores permitidos para sistemas de producción. - NonProdSeverity: gravedad del incidente para sistemas que no son de producción. - NonProdValues: valores permitidos para sistemas que no son de producción. |
| SAP - Excluded Users (SAP - Usuarios excluidos) | Los usuarios del sistema que han iniciado sesión y deben omitirse, como para la alerta de varios inicios de sesión por usuario. - Usuario: usuario de SAP - Descripción: una descripción del usuario significativa. |
| SAP - Excluded Networks (SAP - Redes excluidas) | Mantenga redes internas y excluidas para omitir los distribuidores web, los servidores de terminal, etcétera. - Red: dirección IP o intervalo de direcciones IP de red, como 111.68.128.0/17. - Descripción: una descripción de red significativa. |
| SAP - Obsolete Function Modules (SAP - Módulos de funciones obsoletas) | Módulos de función obsoletas, cuya ejecución se debe regular. - FunctionModule: un módulo de funciones de ABAP, como TH_SAPREL. - Descripción: una descripción significativa del módulo. |
| SAP - Obsolete Programs (SAP: programas obsoletos) | Programas (informes) de ABAP obsoletos, cuya ejecución se debe regular. - ABAPProgram: programa de ABAP, como TH_RSPFLDOC. - Descripción: una descripción significativa del programa de ABAP. |
| SAP - Transactions for ABAP Generations (SAP - Transacciones para generaciones de ABAP) | Transacciones para generaciones de ABAP cuya ejecución se debe regular. - TransactionCode: código de transacción, como SE11. - Descripción: una descripción significativa del código de transacción. |
| SAP - FTP Servers (SAP - Servidores FTP) | Servidores FTP para la identificación de conexiones no autorizadas. - Client: como 100. - FTP_Server_Name: nombre del servidor FTP, como http://contoso.com/. -FTP_Server_Port: puerto del servidor FTP, como 22. - Descripción: descripción significativa del servidor FTP. |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure las alertas del registro de auditoría de SAP mediante la asignación de un nivel de gravedad a cada identificador de mensaje según sea necesario, en función del rol del sistema (producción, no producción). Esta lista de reproducción detalla todos los identificadores de mensaje de registro de auditoría estándar de SAP disponibles. Esta lista de reproducción se puede ampliar para incluir identificadores de mensaje adicionales que podría crear por su cuenta mediante las mejoras de ABAP en los sistemas de SAP NetWeaver. Esta lista de reproducción también permite configurar un equipo designado para controlar cada uno de los tipos de evento y excluir a los usuarios por roles de SAP, perfiles de SAP o etiquetas de la lista de reproducción SAP_User_Config. Esta lista de reproducción es uno de los principales componentes usados para configurar las reglas de análisis integradas de SAP para supervisar el registro de auditoría de SAP. - MessageID: el identificador de mensaje de SAP, o tipo de evento, como AUD (cambios de registro maestro de usuario) o AUB (cambios de autorización). - DetailedDescription: una descripción habilitada para Markdown que se mostrará en el panel de incidentes. - ProductionSeverity: la gravedad deseada para el incidente que se creará para sistemas de producción: High y Medium. Se puede establecer como Disabled. - NonProdSeverity: la gravedad deseada para el incidente que se creará para los sistemas que no son de producción: High y Medium. Se puede establecer como Disabled. - ProductionThreshold: el número de eventos "por hora" que se considerarán sospechosos para los sistemas de producción 60. - NonProdThreshold: el número de eventos "por hora" que se considerarán sospechosos para los sistemas que no son de producción 10. - RolesTagsToExclude: este campo acepta el nombre del rol de SAP, los nombres de perfil de SAP o las etiquetas de la lista de reproducción SAP_User_Config. Estos se usan luego para excluir a los usuarios asociados de tipos de eventos específicos. Consulte las opciones de las etiquetas de rol al final de esta lista. - RuleType: use Deterministic para que el tipo de evento se envíe a SAP: Monitor del registro de auditoría determinista dinámico, o bien AnomaliesOnly para que este evento quede cubierto por SAP: Alertas del monitor de registro de auditoría basadas en anomalías (versión preliminar).- TeamsChannelID: un parámetro dinámico opcional para su uso en cuadernos de estrategias. - DestinationEmail: un parámetro dinámico opcional para su uso en cuadernos de estrategias. Para el campo RolesTagsToExclude: - Si muestra roles de SAP o perfiles de SAP, se excluye a cualquier usuario con los roles o perfiles enumerados de estos tipos de eventos para el mismo sistema SAP. Por ejemplo, si define el rol de ABAP BASIC_BO_USERS para los tipos de eventos relacionados con RFC, los usuarios de objetos empresariales no desencadenarán incidentes al realizar llamadas de RFC masivas.- El etiquetado de un tipo de evento es similar a especificar roles o perfiles de SAP, pero se pueden crear etiquetas en el área de trabajo, por lo que los equipos de SOC pueden excluir a los usuarios por actividad sin depender del equipo de SAP. Por ejemplo, los cambios de autorización (AUB) de los identificadores de mensaje de auditoría y los cambios de registro maestro de usuario (AUD) tienen asignada la etiqueta MassiveAuthChanges. Los usuarios que tienen esta etiqueta asignada quedan excluidos de las comprobaciones de estas actividades. La ejecución de la función SAPAuditLogConfigRecommend del área de trabajo genera una lista de etiquetas recomendadas para asignar a los usuarios, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite ajustar las alertas mediante la exclusión o la inclusión de usuarios de contextos específicos y también se usa para configurar las reglas de análisis integradas de SAP para supervisar el registro de auditoría de SAP. - SAPUser: el usuario de SAP. - Etiquetas: se usan etiquetas para identificar a los usuarios en relación con determinadas actividades. Por ejemplo, agregar las etiquetas ["GenericTablebyRFCOK"] al usuario SENTINEL_SRV impedirá que se creen incidentes relacionados con RFC para este usuario específico. Otros identificadores de usuario de Active Directory - Id. de usuario de AD - SID local de usuario - Nombre principal de usuario |
Cuadernos de estrategias disponibles
| Nombre del cuaderno de estrategias | Parámetros | Conexiones |
|---|---|---|
| Respuesta a incidentes de SAP: bloqueo de usuarios de Teams: Básico | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Respuesta a incidentes de SAP: bloqueo de usuarios de Teams: Avanzado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Registros de Azure Monitor - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| Respuesta a incidentes de SAP: reactivación del registro de auditoría una vez desactivado | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Registros de Azure Monitor - Microsoft Teams |
Pasos siguientes
Para más información, consulte:
- Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
- Referencia de registros de la solución Microsoft Sentinel para aplicaciones SAP®
- Supervisar el estado del sistema SAP
- Implementación del conector de datos de la solución Microsoft Sentinel para aplicaciones SAP® con SNC
- Referencia del archivo de configuración
- Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP®
- Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones SAP®