Configurer les règles de surveillance des journaux d’audit SAP
Le journal d’audit SAP enregistre des actions d’audit et de sécurité sur les systèmes SAP, comme des tentatives de connexion ayant échoué ou d’autres actions suspectes. Cet article explique comment surveiller le journal d’audit SAP à l’aide des règles analytiques intégrées de Microsoft Sentinel.
Ces règles vous permettent de surveiller tous les événements de journal d’audit ou de ne recevoir des alertes que quand des anomalies sont détectées. De cette façon, vous pouvez mieux gérer vos journaux SAP, tout en réduisant le bruit sans compromettre la valeur de sécurité.
Vous utilisez deux règles analytiques pour surveiller et analyser vos données de journal d’audit SAP :
- SAP - Moniteur de journal d’audit déterministe dynamique (PRÉVERSION). Alerte sur les événements de journal d’audit SAP avec une configuration minimale. Vous pouvez configurer la règle pour un taux de faux positif encore plus faible. Découvrez comment configurer la règle.
- SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION). Alerte sur les événements de journal d’audit SAP quand des anomalies sont détectées, avec des fonctionnalités d’apprentissage automatique et sans codage requis. Découvrez comment configurer la règle.
Les deux règles de surveillance du journal d’audit SAP sont fournies prêtes à l’emploi et permettent un réglage plus précis à l’aide des listes de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration et SAP_User_Config.
Détection des anomalies
Lorsque vous tentez d’identifier des événements de sécurité dans un journal d’activité diversifié comme le journal d’audit SAP, vous devez équilibrer l’effort de configuration et la quantité de bruit que les alertes produisent.
Avec le module du journal d’audit SAP dans la solution Sentinel pour SAP, vous pouvez choisir :
- Quels événements vous souhaitez examiner de façon déterministe, à l’aide de seuils et de filtres personnalisés prédéfinis.
- Quels événements vous voulez laisser de côté, afin que la machine puisse apprendre les paramètres par elle-même.
Une fois que vous marquez un type d’événement de journal d’audit SAP pour la détection d’anomalie, le moteur d’alerte vérifie les événements récemment diffusés à partir du journal d’audit SAP. Le moteur vérifie si les événements semblent normaux, compte tenu de l’historique qu’il a appris.
Microsoft Sentinel vérifie un événement ou un groupe d’événements pour détecter d’éventuelles anomalies. Il tente de trouver une correspondance entre l’événement ou le groupe d’événements et des activités du même type précédemment observées aux niveau utilisateur et système. L’algorithme apprend les caractéristiques réseau de l’utilisateur au niveau du masque de sous-réseau, et en fonction de la saisonnalité.
Cette capacité vous permet de rechercher des anomalies dans des types d’événements précédemment occultés, tels que des événements de connexion utilisateur. Par exemple, si l’utilisateur JohnDoe se connecte des centaines de fois par heure, vous pouvez maintenant laisser Microsoft Sentinel décider si le comportement est suspect. S’agit-il de John de la comptabilité, qui actualise de façon répétée un tableau de bord financier avec plusieurs sources de données, ou d’une attaque DDoS en train de prendre forme ?
Configurer la règle SAP - Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques (PRÉVERSION) pour la détection d’anomalies
Si vos données de journal d’audit SAP ne sont pas encore diffusées en continu dans l’espace de travail Microsoft Sentinel, découvrez comment déployer la solution.
- Dans le menu de navigation Microsoft Sentinel, sous Gestion du contenu, sélectionnez Hub de contenu (préversion) .
- Vérifiez si votre application de Surveillance continue des menaces pour SAP a des mises à jour.
- Dans le menu de navigation, sous Analyse, activez les 3 alertes de journal d’audit suivantes :
- SAP - Moniteur de journal d’audit déterministe dynamique. S’exécute toutes les 10 minutes et se concentre sur les événements du journal d’audit SAP marqués comme Deterministic.
- SAP - (Préversion) Alertes du moniteur de journal d’audit basées sur les anomalies dynamiques. S’exécute toutes les heures et se concentre sur les événements SAP marqués comme AnomaliesOnly.
- SAP - Configuration manquante dans le moniteur de journal d’audit de sécurité dynamique. S’exécute quotidiennement afin de fournir des recommandations de configuration pour le module de journal d’audit SAP.
Microsoft Sentinel analyse désormais entièrement le journal d’audit SAP à intervalles réguliers, afin de détecter les événements de sécurité déterministes et les anomalies. Vous pouvez voir les incidents que ce journal génère dans la page Incidents.
Comme toute solution d’apprentissage automatique, elle s’améliore avec le temps. La détection d’anomalies fonctionne de façon optimale en utilisant un historique de journal d’audit SAP d’au moins sept jours.
Configurer des types d’événements avec la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration
Vous pouvez configurer davantage les types d’événements qui produisent trop d’incidents à l’aide de la liste de surveillance SAP_Dynamic_Audit_Log_Monitor_Configuration. Voici quelques options pour réduire les incidents.
| Option | Description |
|---|---|
| Définir des gravités et désactiver des événements indésirables | Par défaut, les règles déterministes et les règles basées sur des anomalies créent des alertes pour les événements de gravités moyenne et élevée. Vous pouvez définir ces gravités spécifiquement pour les environnements de production et hors production. Par exemple, vous pouvez définir un événement d’activité de débogage comme étant de gravité élevée dans des systèmes de production, et le désactiver dans des systèmes hors production. |
| Exclure des utilisateurs par leurs rôles ou profils SAP | Microsoft Sentinel pour SAP ingère le profil d’autorisation de l’utilisateur SAP, y compris les attributions de rôles directes et indirectes, les groupes et les profils, afin que vous puissiez parler le langage SAP dans votre SIEM. Vous pouvez configurer un événement SAP pour exclure des utilisateurs en fonction de leurs rôles et profils SAP. Dans la liste de surveillance, ajoutez les rôles ou profils qui regroupent les utilisateurs de votre interface RFC dans la colonne RolesTagsToExclude, en regard de l’événement d’accès à une table générique par RFC. À partir de maintenant, vous obtiendrez des alertes uniquement pour les utilisateurs n’ayant pas ces rôles. |
| Exclure des utilisateurs par leurs étiquettes SOC | Des étiquettes vous permettent de constituer vos propres regroupements, sans vous appuyer sur des définitions SAP compliquées voire sans autorisation SAP. Cette méthode est utile pour les équipes SOC désireuses de créer leur propre regroupement pour des utilisateurs SAP. Conceptuellement, l’exclusion d’utilisateurs par leurs étiquettes fonctionne comme les étiquettes de nom : vous pouvez définir plusieurs événements dans la configuration avec plusieurs étiquettes. Vous n’obtenez pas d’alertes pour un utilisateur avec une étiquette associée à un événement spécifique. Par exemple, vous ne souhaitez pas que des comptes de service spécifiques soient alertés pour des événements d’accès à une table générique par RFC, mais ne trouvez pas de rôle ou de profil SAP regroupant ces utilisateurs. Dans ce cas, vous pouvez ajouter l’étiquette GenTableRFCReadOK en regard de l’événement approprié dans la liste de surveillance, puis accéder à la liste de surveillance SAP_User_Config et attribuer la même étiquette aux utilisateurs de l’interface. |
| Spécifier un seuil de fréquence par type d’événement et rôle système | Fonctionne comme une limite de vitesse. Par exemple, vous pouvez décider que les événements bruyants de Modification de l’enregistrement maître de l’utilisateur ne déclenchent des alertes que si plus de 12 activités d’un même utilisateur sont observées en une heure dans un système de production. Si un utilisateur dépasse la limite de 12 activités par heure (par exemple, 2 événements dans une fenêtre de 10 minutes), un incident est déclenché. |
| Déterminisme ou anomalies | Si vous connaissez les caractéristiques de l’événement, vous pouvez utiliser les fonctionnalités déterministes. Si vous ne savez pas bien comment configurer correctement l’événement, les fonctionnalités d’apprentissage automatique peuvent décider. |
| Fonctionnalités SOAR | Vous pouvez utiliser Microsoft Sentinel pour orchestrer, automatiser et traiter des incidents qui peuvent être appliqués aux alertes dynamiques du journal d’audit SAP. Consultez Orchestration, automatisation et réponse en matière de sécurité (SOAR). |
Étapes suivantes
Dans cet article, découvrez comment surveiller le journal d’audit SAP à l’aide des règles analytiques intégrées de Microsoft Sentinel.