Mengonfigurasi aturan pemantauan log audit SAP
Log audit SAP mencatat audit dan tindakan keamanan pada sistem SAP, seperti upaya masuk yang gagal atau tindakan mencurigakan lainnya. Artikel ini menjelaskan cara memantau log audit SAP menggunakan aturan analitik bawaan Microsoft Sentinel.
Dengan aturan ini, Anda dapat memantau semua peristiwa log audit, atau mendapatkan pemberitahuan hanya ketika anomali terdeteksi. Dengan cara ini, Anda dapat mengelola log SAP Anda dengan lebih baik, mengurangi kebisingan tanpa kompromi dengan nilai keamanan Anda.
Anda menggunakan dua aturan analitik untuk memantau dan menganalisis data log audit SAP Anda:
- SAP - Monitor Log Audit Deterministik Dinamis (PRATINJAU). Pemberitahuan tentang peristiwa log audit SAP apa pun dengan konfigurasi minimal. Anda dapat mengonfigurasi aturan untuk tingkat positif palsu yang lebih rendah. Pelajari cara mengonfigurasi aturan.
- SAP - Pemberitahuan Monitor Log Audit (PRATINJAU) berbasis Anomali Dinamis. Pemberitahuan tentang peristiwa log audit SAP saat anomali terdeteksi, menggunakan kemampuan pembelajaran mesin dan tanpa perlu pengodean. Pelajari cara mengonfigurasi aturan.
Dua aturan monitor log Audit SAP dikirimkan sebagai siap untuk kehabisan kotak, dan memungkinkan penyetelan halus lebih lanjut menggunakan daftar tonton SAP_Dynamic_Audit_Log_Monitor_Configuration dan SAP_User_Config.
Deteksi anomali
Saat mencoba mengidentifikasi peristiwa keamanan dalam log aktivitas yang beragam seperti log audit SAP, Anda perlu menyeimbangkan upaya konfigurasi, dan jumlah kebisingan yang dihasilkan pemberitahuan.
Dengan modul log audit SAP di solusi Sentinel untuk SAP, Anda dapat memilih:
- Peristiwa mana yang ingin Anda lihat secara deterministik, menggunakan ambang dan filter yang disesuaikan dan telah ditentukan sebelumnya.
- Peristiwa mana yang ingin Anda tinggalkan, sehingga mesin dapat mempelajari parameternya sendiri.
Setelah Anda menandai jenis peristiwa log audit SAP untuk deteksi anomali, mesin pemberitahuan memeriksa peristiwa yang baru-baru ini dialirkan dari log audit SAP. Mesin memeriksa apakah peristiwa tampak normal, mengingat riwayat yang telah dipelajarinya.
Microsoft Azure Sentinel memeriksa peristiwa atau grup peristiwa untuk anomali. Ini mencoba mencocokkan peristiwa atau grup peristiwa dengan aktivitas yang dilihat sebelumnya dari jenis yang sama, di tingkat pengguna dan sistem. Algoritma mempelajari karakteristik jaringan pengguna di tingkat subnet mask, dan sesuai dengan musiman.
Dengan kemampuan ini, Anda dapat mencari anomali dalam jenis peristiwa yang sebelumnya didiamkan, seperti peristiwa masuk pengguna. Misalnya, jika pengguna JohnDoe masuk ratusan kali dalam satu jam, Anda sekarang dapat membiarkan Microsoft Azure Sentinel memutuskan apakah perilaku mencurigakan. Apakah John ini dari akuntansi, berulang kali menyegarkan dasbor keuangan dengan beberapa sumber data, atau serangan DDoS terbentuk?
Menyiapkan aturan SAP - Pemberitahuan Monitor Log Audit (PRATINJAU) berbasis Anomali Dinamis untuk deteksi anomali
Jika data log audit SAP Anda belum mengalirkan data ke ruang kerja Microsoft Azure Sentinel, pelajari cara menyebarkan solusi.
- Dari menu navigasi Microsoft Azure Sentinel, di bawah Manajemen konten, pilih Hub konten (Pratinjau) .
- Periksa apakah pemantauan ancaman Berkelanjutan untuk aplikasi SAP Anda memiliki pembaruan.
- Dari menu navigasi, di bawah Analitik, aktifkan 3 pemberitahuan log audit ini:
- SAP - Monitor Log Audit Deterministik Dinamis. Berjalan setiap 10 menit dan berfokus pada peristiwa log audit SAP yang ditandai sebagai Deterministik.
- SAP - (Pratinjau) Pemberitahuan Monitor Log Audit berbasis Anomali Dinamis. Berjalan per jam dan berfokus pada peristiwa SAP yang ditandai sebagai AnomaliOnly.
- SAP - Konfigurasi yang hilang di Monitor Log Audit Keamanan Dinamis. Berjalan setiap hari untuk memberikan rekomendasi konfigurasi untuk modul log audit SAP.
Microsoft Azure Sentinel sekarang memindai seluruh log audit SAP secara berkala, untuk peristiwa dan anomali keamanan deterministik. Anda dapat melihat insiden yang dihasilkan log ini di halaman Insiden .
Seperti halnya setiap solusi pembelajaran mesin, itu akan berkinerja lebih baik seiring waktu. Deteksi anomali berfungsi paling baik menggunakan riwayat log audit SAP selama tujuh hari atau lebih.
Mengonfigurasi jenis peristiwa dengan daftar pengawasan SAP_Dynamic_Audit_Log_Monitor_Configuration
Anda selanjutnya dapat mengonfigurasi jenis peristiwa yang menghasilkan terlalu banyak insiden menggunakan daftar pengawasan SAP_Dynamic_Audit_Log_Monitor_Configuration . Berikut adalah beberapa opsi untuk mengurangi insiden.
| Opsi | Deskripsi |
|---|---|
| Mengatur tingkat keparahan dan menonaktifkan peristiwa yang tidak diinginkan | Secara default, aturan deterministik dan aturan berdasarkan anomali membuat pemberitahuan untuk peristiwa yang ditandai dengan tingkat keparahan sedang dan tinggi. Anda dapat mengatur tingkat keparahan ini khusus untuk lingkungan produksi dan non-produksi. Misalnya, Anda dapat mengatur peristiwa aktivitas debugging sebagai tingkat keparahan tinggi dalam sistem produksi, dan menonaktifkan peristiwa tersebut dalam sistem non-produksi. |
| Mengecualikan pengguna berdasarkan peran SAP atau profil SAP mereka | Microsoft Azure Sentinel untuk SAP menyerap profil otorisasi pengguna SAP, termasuk penetapan peran, grup, dan profil langsung dan tidak langsung, sehingga Anda dapat berbicara bahasa SAP di SIEM Anda. Anda dapat mengonfigurasi peristiwa SAP untuk mengecualikan pengguna berdasarkan peran dan profil SAP mereka. Di daftar pengawasan, tambahkan peran atau profil yang mengelompokkan pengguna antarmuka RFC Anda di kolom RolesTagsToExclude , di samping akses tabel Generik oleh peristiwa RFC . Mulai sekarang, Anda hanya akan mendapatkan pemberitahuan untuk pengguna yang tidak memiliki peran ini. |
| Mengecualikan pengguna dengan tag SOC mereka | Dengan tag, Anda dapat membuat pengelompokan Anda sendiri, tanpa mengandalkan definisi SAP yang rumit atau bahkan tanpa otorisasi SAP. Metode ini berguna untuk tim SOC yang ingin membuat pengelompokan mereka sendiri untuk pengguna SAP. Secara konseptual, tidak termasuk pengguna menurut tag berfungsi seperti tag nama: Anda dapat mengatur beberapa peristiwa dalam konfigurasi dengan beberapa tag. Anda tidak mendapatkan pemberitahuan untuk pengguna dengan tag yang terkait dengan peristiwa tertentu. Misalnya, Anda tidak ingin akun layanan tertentu diberi tahu untuk akses tabel Generik oleh peristiwa RFC , tetapi tidak dapat menemukan peran SAP atau profil SAP yang mengelompokkan pengguna ini. Dalam hal ini, Anda dapat menambahkan tag GenTableRFCReadOK di samping peristiwa yang relevan dalam daftar pengawasan, lalu masuk ke daftar pengawasan SAP_User_Config dan menetapkan pengguna antarmuka tag yang sama. |
| Tentukan ambang frekuensi per jenis peristiwa dan peran sistem | Bekerja seperti batas kecepatan. Misalnya, Anda dapat memutuskan bahwa peristiwa Perubahan Rekaman Master Pengguna yang bising hanya memicu pemberitahuan jika lebih dari 12 aktivitas diamati dalam satu jam, oleh pengguna yang sama dalam sistem produksi. Jika pengguna melebihi batas 12 per jam—misalnya, 2 peristiwa dalam jendela 10 menit—insiden dipicu. |
| Determinisme atau anomali | Jika Anda mengetahui karakteristik acara, Anda dapat menggunakan kemampuan deterministik. Jika Anda tidak yakin cara mengonfigurasi peristiwa dengan benar, kemampuan pembelajaran mesin dapat memutuskan. |
| Kemampuan SOAR | Anda dapat menggunakan Microsoft Sentinel untuk mengatur lebih lanjut, mengotomatiskan, dan merespons insiden yang dapat diterapkan ke pemberitahuan dinamis log audit SAP. Pelajari tentang Orkestrasi Keamanan, Otomatisasi, dan Respons (SOAR). |
Langkah berikutnya
Dalam artikel ini, Anda mempelajari cara memantau log audit SAP menggunakan aturan analitik bawaan Microsoft Sentinel.