Solution Microsoft Sentinel pour les applications SAP® - SAP - Journal d’audit de sécurité et classeur Accès initial
Cet article décrit le SAP - Journal d’audit de sécurité et classeur Accès initial, utilisé pour superviser et suivre l’activité d’audit d’utilisateur sur vos systèmes SAP. Vous pouvez utiliser le classeur pour obtenir une vue d’ensemble de l’activité d’audit d’utilisateur, afin de mieux sécuriser vos systèmes SAP et d’obtenir une visibilité rapide sur les actions suspectes. Vous pouvez explorer les événements suspects si nécessaire.
Vous pouvez utiliser le classeur à des fins de monitoring en continu de vos systèmes SAP ou pour passer en revue les systèmes suite à un incident de sécurité ou toute autre activité suspecte.
Commencer à utiliser le classeur
Dans le portail Microsoft Sentinel, dans le menu Gestion des menaces, sélectionnez Classeurs.
Dans la galerie Classeurs , accédez à Modèles et entrez SAP dans la barre de recherche, puis sélectionnez SAP -Journal d’audit de sécurité et Accès initial parmi les résultats.
Sélectionnez Afficher le modèle pour utiliser le classeur tel quel, ou Enregistrer pour créer une copie modifiable du classeur. Une fois la copie créée, sélectionnez Afficher le classeur enregistré.
Important
Le classeur Audit SAP - Journal d’audit de sécurité et classeur Accès initial est hébergé par l’espace de travail où la solution Microsoft Sentinel pour SAP® a été installée. Par défaut, les données SAP et SOC sont supposées se trouver dans l’espace de travail qui héberge le classeur.
Si les données SOC se situent sur un espace de travail différent de l’espace de travail hébergeant le classeur, veillez à inclure l’abonnement de cet espace de travail, puis à sélectionner l’espace de travail SOC depuis l’espace de travail d’audit et d’activité Azure.
Sélectionnez les champs suivants pour filtrer les données en fonction de vos besoins :
- Intervalle de temps. De quatre heures à 90 jours.
- Rôles système. Rôles système SAP, par exemple : Développement.
- Utilisation du système. Par exemple : SAP GTS.
- Systèmes SAP. Vous pouvez sélectionner tous les systèmes, un système spécifique ou plusieurs systèmes.
Si vous sélectionnez des systèmes qui ne sont pas configurés dans la watchlist « Systèmes SAP », le classeur affiche une erreur, qui indique les systèmes présentant des problèmes. Dans ce cas, configurez la watchlist pour inclure correctement ces systèmes.
Vue d’ensemble du classeur
Le classeur se divise en deux onglets :
- Rapport d’analyse de connexion. Présente différents types de données concernant les échecs de connexion. Les données incluent des données anormales, des données Microsoft Entra, etc. Les données s’appuient sur la watchlist « Systèmes SAP ».
- Rapport d’alerte du journal d’audit. Présente différents types de données concernant les événements du journal d’audit SAP que la solution Microsoft Sentinel pour SAP® surveille. Les données s’appuient sur la watchlist « SAP_Dynamic_Audit_Log_Monitor_Configuration ».
Onglet Rapport d’analyse de connexion
Inclut les zones Analyse de connexion et Échecs de connexion.
Analyse de connexion
Présente différents types de données concernant les connexions des utilisateurs.
| Zone | Description | Options |
|---|---|---|
| Connexions utilisateur uniques par système | Présente le nombre de connexions uniques pour chaque système SAP, ainsi qu’un graphe représentant les tendances de connexion au cours de la période sélectionnée pour chaque système. Par exemple, le système 012 compte 1 400 tentatives de connexions uniques au cours des 14 derniers jours, et pendant ces 14 jours, le graphe dénote une tendance de connexion relativement à la hausse. | |
| Tendance des types de connexion | Présente la tendance du nombre de connexions en fonction de leur type, par exemple, une connexion par le biais d’une boîte de dialogue. | Vous pouvez pointer le curseur sur le graphe pour voir le nombre de connexions à différentes dates. |
| Tendance des échecs ou réussites de connexion par utilisateur unique | Présente la tendance des connexions réussies et ayant échoué au cours de la période sélectionnée. | Vous pouvez pointer le curseur sur le graphe pour voir la quantité de connexions réussies et ayant échoué à différentes dates. |
Échecs de connexion – Détection d’anomalie
Les zones situées sous Détection d’anomalie – filtrage des tentatives de connexion ayant échoué montrent des données sur les échecs de connexion des systèmes et utilisateurs SAP. Pour voir uniquement les données marquées par la détection d’anomalie, sélectionnez Anomalies uniquement en regard de Échecs de connexion à droite.
| Zone | Description | Données spécifiques | Options/notes |
|---|---|---|---|
| Taux d’échec de connexion>Anomalies d’échec de connexion>Échecs de connexion d’utilisateur unique par système SAP | Indique le nombre d’échecs de connexion uniques pour chaque système SAP. | ||
| SAP et Active Directory sont plus efficaces ensemble | Le tableau Échecs de connexion anormaux présente une combinaison de données Microsoft Sentinel et Microsoft Entra. Le classeur présente les utilisateurs en fonction du risque : les utilisateurs les plus à risque figurent en début de liste et les utilisateurs les moins à risque figurent en fin de liste. | Pour chaque utilisateur : • Chronologie des tentatives de connexion ayant échoué • Chronologie indiquant à quel moment une tentative ayant échoué anormale s’est produite • Type d’anomalie • Adresse e-mail de l’utilisateur • Indicateur de risque Microsoft Entra • Nombre d’incidents et d’alertes dans Microsoft Sentinel |
• Lorsque vous sélectionnez une ligne, vous pouvez voir la liste des alertes et incidents pour cet utilisateur sous Vue d’ensemble des incidents/alertes pour l’utilisateur. Sous cette liste, vous pouvez également voir les événements à risque Microsoft Entra sous Risques de connexion et audit Azure pour l’utilisateur. • Si vos données Microsoft Entra se trouvent dans un autre espace de travail Log Analytics, veillez à sélectionner les abonnements et espaces de travail appropriés en haut du classeur, sous Audit et activités Azure. |
| Taux d’échec de connexion par système | Représente visuellement les systèmes SAP sélectionnés. | • Pour chaque système, indique le nombre d’échecs au cours de la période sélectionnée. • Les systèmes sont regroupés par type. • La couleur du système indique le nombre de tentatives ayant échoué : le vert indique quelques tentatives de connexion suspectes, tandis que le rouge indique des tentatives de connexion plus suspectes. |
Vous pouvez sélectionner un système pour voir la liste des échecs de connexion avec des détails sur les échecs. |
Dans cette capture d’écran, vous pouvez voir les données qui s’affichent quand la première ligne est sélectionnée dans le tableau Échecs de connexion anormaux. Les alertes et URL d’incident spécifiques figurent dans le tableau Vue d’ensemble des incidents/alertes pour l’utilisateur.
Dans cette capture d’écran, le tableau Risques de connexion et audit Azure pour l’utilisateur présente des données sur le risque de connexion associé à cet utilisateur.
Dans cette capture d’écran, vous pouvez voir la zone Taux d’échec de connexion par système, dans laquelle le système 84e sous le groupe Test est sélectionné. La zone Connexions ayant échoué pour le système à droite présente les événements d’échec pour ce système.
Échecs de connexion – tendances
La zone Tendances des échecs de connexion montre les tendances et le nombre de connexions ayant échoué, regroupés par différents types de données.
| Zone | Description |
|---|---|
| Échec de connexion par cause | Montre la tendance du nombre d’échecs de connexion en fonction de leur cause, par exemple, de mauvaises données de connexion. |
| Échec de connexion par type | Montre la tendance du nombre d’échecs de connexion en fonction de leur type, par exemple, la connexion a déclenché un travail en arrière-plan ou s’est effectuée par le biais du protocole HTTP. |
| Échec de connexion par méthode | Montre la tendance du nombre d’échecs de connexion en fonction de la méthode, par exemple, SNC ou ticket de connexion. |
Onglet Rapport d’alerte du journal d’audit
Cet onglet présente les tendances du niveau de gravité et de l’audit pour chaque système et utilisateur SAP. Toutes les zones de cet onglet présentent les données marquées par la détection d’anomalie uniquement. Pour tous les événements, sélectionnez Tous en regard d’Échecs de connexion à droite.
| Zone | Description | Données spécifiques | Options/notes |
|---|---|---|---|
| Tendances de la gravité d’alerte par ID système | Présente la liste des systèmes, avec un graphe des tendances des événements de gravité moyenne et élevée par système. Par exemple, le système 012 a connu de nombreux événements de gravité élevée sur l’ensemble de la période et quelques événements de gravité moyenne avec un pic qui montre plus d’événements de gravité moyenne au milieu de la période. | ||
| Tendance de l’audit par utilisateur | Présente une combinaison de données Microsoft Sentinel et Microsoft Entra. Le classeur présente les utilisateurs en fonction du risque : les utilisateurs les plus à risque figurent en début de liste et les utilisateurs les moins à risque figurent en fin de liste. | Pour chaque utilisateur : • Chronologie des événements de gravité élevée et moyenne • Adresse e-mail de l’utilisateur • Indicateur de risque Microsoft Entra • Nombre d’incidents et d’alertes dans Microsoft Sentinel |
Lorsque vous sélectionnez une ligne, vous pouvez voir la liste des alertes et incidents pour cet utilisateur sous Vue d’ensemble des incidents/alertes pour l’utilisateur. Sous cette liste, vous pouvez également voir les événements à risque Microsoft Entra sous Risques de connexion et audit Azure pour l’utilisateur. |
| Indice de risque par système | Représente visuellement chaque système dans une forme de cellule. | • Présente l’indice de risque pour chaque système. • Les systèmes sont regroupés par type. • La couleur du système indique le risque : le vert reflète un système dont l’indice de risque est plus faible, tandis que le rouge reflète un indice de risque plus élevé. |
Vous pouvez sélectionner un système pour voir la liste des événements SAP par système. |
| Événements par tactiques MITRE ATT&CK® | Affiche la liste des événements SAP regroupés par tactiques MITRE ATT&CK®, comme l’accès initial ou l’évasion de défense. | Vous pouvez pointer le curseur sur le graphe pour voir le nombre de connexions à différentes dates. | |
| Événements par catégorie | Présente la liste des tendances des événements SAP regroupés par catégorie, comme un début du RFC ou une connexion. | Vous pouvez pointer le curseur sur le graphe pour voir le nombre de connexions à différentes dates. | |
| Événements par groupe d’autorisation | Présente la liste des tendances des événements SAP regroupés par groupe d’autorisation SAP, comme USER ou SUPER. | Vous pouvez pointer le curseur sur le graphe pour voir le nombre de connexions à différentes dates. | |
| Événements par type d’utilisateur | Présente la liste des tendances des événements SAP regroupés par type d’utilisateur SAP, comme dialogue ou système. | Vous pouvez pointer le curseur sur le graphe pour voir le nombre de connexions à différentes dates. |
Dans cette capture d’écran, vous pouvez voir les données qui s’affichent quand la première ligne est sélectionnée dans le tableau Tendances de l’audit par utilisateur. Les alertes et URL d’incident spécifiques figurent dans le tableau Vue d’ensemble des incidents/alertes pour l’utilisateur.
Dans cette capture d’écran, vous pouvez voir la zone Indice de risque par système, dans laquelle le système cb7 est sélectionné sous le groupe UAT. La zone Événements SAP pour le système située sous la visualisation du système montre l’événement SAP pour ce système.
Dans cette capture d’écran, vous pouvez voir des zones avec des événements et des tendances d’événements regroupées par différents types de données : tactiques MITRE ATT&CK®, groupe d’autorisations SAP et type d’utilisateur.
Étapes suivantes
Pour plus d'informations, consultez les pages suivantes :
- Déployer des applications Solution Microsoft Sentinel pour SAP®
- Référence des journaux des applications Solution Microsoft Sentinel pour SAP®
- Surveiller l’intégrité de votre système SAP
- Déployer le connecteur de données des applications Microsoft Sentinel solution for SAP® avec SNC
- Informations de référence sur le fichier de configuration
- Prérequis pour le déploiement des applications Solution Microsoft Sentinel pour SAP®
- Résolution des problèmes de déploiement des applications Solution Microsoft Sentinel pour SAP®