Solusi Microsoft Azure Sentinel untuk aplikasi SAP®: referensi konten keamanan
Artikel ini memerinci konten keamanan yang tersedia untuk Solusi Microsoft Sentinel untuk SAP.
Penting
Sementara solusi Microsoft Sentinel untuk aplikasi SAP® berada di GA, beberapa komponen tertentu tetap dalam PRATINJAU. Artikel ini menunjukkan komponen yang ada dalam pratinjau di bagian yang relevan di bawah ini. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Konten keamanan yang tersedia menyertakan buku kerja dan aturan analitik bawaan. Anda juga dapat menambahkan daftar tonton terkait SAP untuk digunakan dalam playbook pencarian, aturan deteksi, perburuan ancaman, dan respons Anda.
Buku kerja bawaan
Gunakan buku kerja bawaan berikut untuk memvisualisasikan dan memantau data yang diserap melalui konektor data SAP. Setelah menyebarkan solusi SAP, Anda bisa menemukan buku kerja SAP di tab Buku kerja saya.
| Nama buku kerja | Deskripsi | Log |
|---|---|---|
| SAP - Browser Log Audit | Menampilkan data seperti: Kesehatan sistem umum, termasuk rincian masuk pengguna dari waktu ke waktu, peristiwa yang diserap oleh sistem, kelas pesan dan ID, dan program ABAP berjalan Tingkat keparahan peristiwa yang terjadi di sistem Anda Peristiwa autentikasi dan otorisasi yang terjadi di sistem Anda |
Menggunakan data dari log berikut: ABAPAuditLog_CL |
Untuk informasi selengkapnya, lihat Tutorial: Memvisualisasikan dan memantau data Anda dan Menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP®.
Aktifkan aturan analitik bawaan
Memantau konfigurasi parameter keamanan SAP statis (Pratinjau)
Untuk mengamankan sistem SAP, SAP telah mengidentifikasi parameter terkait keamanan yang perlu dipantau untuk perubahan. Dengan aturan "Parameter Statis Sensitif SAP - (Pratinjau) telah Berubah", solusi Microsoft Sentinel untuk aplikasi SAP® melacak lebih dari 52 parameter terkait keamanan statis dalam sistem SAP, yang dibangun ke dalam Microsoft Sentinel.
Catatan
Agar solusi Microsoft Sentinel untuk aplikasi SAP® berhasil memantau parameter keamanan SAP, solusi perlu berhasil memantau tabel SAP PAHI secara berkala. Verifikasi bahwa solusi dapat berhasil memantau tabel PAHI.
Untuk memahami perubahan parameter dalam sistem, solusi Microsoft Sentinel untuk aplikasi SAP® menggunakan tabel riwayat parameter, yang merekam perubahan yang dilakukan pada parameter sistem setiap jam.
Parameter juga tercermin dalam daftar pengawasan SAPSystemParameters. Daftar pengawasan ini memungkinkan pengguna untuk menambahkan parameter baru, menonaktifkan parameter yang ada, dan memodifikasi nilai dan tingkat keparahan per parameter dan peran sistem di lingkungan produksi atau non-produksi.
Ketika perubahan dilakukan pada salah satu parameter ini, Microsoft Sentinel memeriksa untuk melihat apakah perubahan tersebut terkait dengan keamanan dan apakah nilai diatur sesuai dengan nilai yang direkomendasikan. Jika perubahan dicurigai berada di luar zona aman, Microsoft Sentinel membuat insiden yang merinci perubahan, dan mengidentifikasi siapa yang melakukan perubahan.
Tinjau daftar parameter yang dipantau aturan ini.
Memantau log audit SAP
Data log Audit SAP digunakan di banyak aturan analitik solusi Microsoft Sentinel untuk aplikasi SAP®. Beberapa aturan analitik mencari peristiwa tertentu pada log, sementara yang lain menghubungkan indikasi dari beberapa log untuk menghasilkan peringatan dan insiden keakuratan tinggi.
Selain itu, ada dua aturan analitik yang dirancang untuk mengakomodasi seluruh set peristiwa log audit SAP standar (183 peristiwa berbeda), dan peristiwa kustom lainnya yang dapat Anda pilih untuk dicatat menggunakan log audit SAP.
Kedua aturan analitik pemantauan log audit SAP memiliki sumber data yang sama dan konfigurasi yang sama tetapi berbeda dalam satu aspek penting. Sementara aturan "SAP - Dynamic Deterministic Audit Log Monitor" memerlukan ambang pemberitahuan deterministik dan aturan pengecualian pengguna, aturan "SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)" menerapkan algoritma pembelajaran mesin tambahan untuk memfilter kebisingan latar belakang dengan cara yang tidak diawasi. Untuk alasan ini, secara default, sebagian besar jenis peristiwa (atau ID pesan SAP) dari log audit SAP dikirim ke aturan analitik "Berbasis anomali", sementara semakin mudah untuk menentukan jenis peristiwa dikirim ke aturan analitik deterministik. Pengaturan ini, bersama dengan pengaturan terkait lainnya, dapat dikonfigurasi lebih lanjut agar sesuai dengan kondisi sistem apa pun.
SAP - Pemantauan Log Audit Deterministik Dinamis
Aturan analitik dinamis yang dimaksudkan untuk mencakup seluruh set jenis peristiwa log audit SAP yang memiliki definisi deterministik dalam hal populasi pengguna, ambang peristiwa.
- Mengonfigurasi aturan dengan daftar pengawasan SAP_Dynamic_Audit_Log_Monitor_Configuration
- Pelajari selengkapnya tentang cara mengonfigurasi aturan (prosedur penuh)
SAP - Peringatan Pemantauan Log Audit berbasis Anomali Dinamis (PRATINJAU)
Aturan analitik dinamis yang dirancang untuk mempelajari perilaku sistem normal, dan memperingatkan aktivitas yang diamati pada log audit SAP yang dianggap anomali. Terapkan aturan ini pada jenis peristiwa log audit SAP yang lebih sulit ditentukan dalam hal populasi pengguna, atribut jaringan, dan ambang.
Pelajari lebih lanjut:
- Mengonfigurasi aturan dengan daftar pengawasan SAP_Dynamic_Audit_Log_Monitor_Configuration dan SAP_User_Config
- Pelajari selengkapnya tentang cara mengonfigurasi aturan (prosedur penuh)
Tabel berikut mencantumkan aturan analitik bawaan yang disertakan dalam solusi Microsoft Sentinel untuk aplikasi SAP®, yang disebarkan dari marketplace Solusi Microsoft Sentinel.
Akses awal
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - Masuk dari jaringan tak terduga | Mengidentifikasi masuk dari jaringan tak terduga. Pertahankan jaringan di daftar pengawasan SAP - Networks. |
Masuk ke sistem backend dari alamat IP yang tidak ditetapkan ke salah satu jaringan. Sumber data: SAPcon - Jejak Audit |
Akses Awal |
| SAP - SPNego Attack | Mengidentifikasi Serangan Putar Ulang SPNego. | Sumber data: SAPcon - Jejak Audit | Dampak, Gerakan Lateral |
| SAP - Upaya masuk dialog dari pengguna istimewa | Mengidentifikasi upaya masuk dialog, dengan jenis AUM , oleh pengguna istimewa dalam sistem SAP. Untuk informasi selengkapnya, lihat SAPUsersGetPrivileged. | Mencoba masuk dari alamat IP yang sama ke beberapa sistem atau klien dalam interval waktu yang dijadwalkan Sumber data: SAPcon - Jejak Audit |
Dampak, Gerakan Lateral |
| SAP - Serangan brute force | Mengidentifikasi serangan brute force pada sistem SAP menggunakan masuk RFC | Mencoba masuk dari IP yang sama ke beberapa sistem/klien dalam interval waktu terjadwal menggunakan RFC Sumber data: SAPcon - Jejak Audit |
Akses Info Masuk |
| SAP - Beberapa Upaya Masuk dari IP yang sama | Mengidentifikasi masuknya beberapa pengguna dari alamat IP yang sama dalam interval waktu yang dijadwalkan. Kasus sub-penggunaan: Persistensi |
Masuk menggunakan beberapa pengguna melalui alamat IP yang sama. Sumber data: SAPcon - Jejak Audit |
Akses Awal |
| SAP - Beberapa Upaya Masuk oleh Pengguna | Mengidentifikasi masuk pengguna yang sama dari beberapa terminal dalam interval waktu yang dijadwalkan. Hanya tersedia melalui metode Audit SAL, untuk versi SAP 7.5 dan yang lebih tinggi. |
Masuk menggunakan pengguna yang sama, menggunakan alamat IP yang berbeda. Sumber data: SAPcon - Jejak Audit |
PreAttack, Akses Kredensial, Akses Awal, Koleksi Kasus sub-penggunaan: Persistensi |
| SAP - Informasi - Siklus Hidup - SAP Notes diimplementasikan dalam sistem | Mengidentifikasi implementasi SAP Note dalam sistem. | Menerapkan SAP Note menggunakan SNOTE/TCI. Sumber data: SAPcon - Permintaan Pengubahan |
- |
Penyelundupan data
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - FTP untuk server yang tidak diotorisasi | Mengidentifikasi koneksi FTP untuk server yang tidak berwenang. | Buat koneksi FTP baru, seperti dengan menggunakan modul FTP_CONNECT Modul Fungsi. Sumber data: SAPcon - Jejak Audit |
Penemuan, Akses Awal, Perintah dan Kontrol |
| SAP - Konfigurasi server FTP tidak aman | Mengidentifikasi konfigurasi server FTP yang tidak aman, seperti ketika daftar perbolehkan FTP kosong atau berisi tempat penampung. | Jangan pertahankan atau pertahankan nilai yang berisi tempat penampung SAPFTP_SERVERS dalam tabel, menggunakan SAPFTP_SERVERS_V tampilan pemeliharaan. (SM30) Sumber data: SAPcon - Jejak Audit |
Akses Awal, Perintah, dan Kontrol |
| SAP - Beberapa Unduhan File | Mengidentifikasi beberapa unduhan file untuk pengguna dalam rentang waktu tertentu. | Unduh beberapa file menggunakan SAPGui untuk Excel, daftar, dan sebagainya. Sumber data: SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Akses Info Masuk |
| SAP - Beberapa Eksekusi Penampung | Mengidentifikasi beberapa penampung untuk pengguna dalam rentang waktu tertentu. | Buat dan jalankan beberapa pekerjaan penampung dari jenis apa pun oleh pengguna. (SP01) Sumber data: SAPcon - Log Penampung, SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Akses Info Masuk |
| SAP - Beberapa Eksekusi Output Penampung | Mengidentifikasi beberapa penampung untuk pengguna dalam rentang waktu tertentu. | Buat dan jalankan beberapa pekerjaan penampung dari jenis apa pun oleh pengguna. (SP01) Sumber data: SAPcon - Log Output Penampung, SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Akses Info Masuk |
| SAP - Tabel Sensitif Akses Langsung Menurut Masuk RFC | Mengidentifikasi akses tabel generik dengan masuk RFC. Pertahankan tabel di daftar pengawasan SAP - Tabel Sensitif. Catatan: Relevan hanya untuk sistem produksi. |
Buka konten tabel menggunakan SE11/SE16/SE16N. Sumber data: SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Akses Info Masuk |
| SAP - Pengambilalihan Penampung | Mengidentifikasi pengguna yang mencetak permintaan penampung yang dibuat oleh orang lain. | Buat permintaan penampung menggunakan satu pengguna, lalu keluarkan dalam menggunakan pengguna lain. Sumber data: SAPcon - Log Penampung, SAPcon - Log Output Penampung, SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Perintah, dan Kontrol |
| SAP - Tujuan RFC Dinamis | Mengidentifikasi eksekusi RFC menggunakan tujuan dinamis. Kasus sub-penggunaan: Upaya untuk melewati mekanisme keamanan SAP |
Jalankan laporan ABAP yang menggunakan tujuan dinamis (cl_dynamic_destination). Misalnya, DEMO_RFC_DYNAMIC_DEST. Sumber data: SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi |
| SAP - Tabel Sensitif Akses Langsung Menurut Masuk Dialog | Mengidentifikasi akses tabel generik melalui masuk dialog. | Buka konten tabel menggunakan SE11/SE16/SE16N. Sumber data: SAPcon - Jejak Audit |
Penemuan |
| SAP - (Pratinjau) File yang Diunduh Dari Alamat IP Berbahaya | Mengidentifikasi pengunduhan file dari sistem SAP menggunakan alamat IP yang diketahui berbahaya. Alamat IP berbahaya diperoleh dari layanan inteligensi ancaman. | Unduh file dari IP berbahaya. Sumber data: Log Audit keamanan SAP, Inteligensi Ancaman |
Penyelundupan |
| SAP - (Pratinjau) Data yang Diekspor dari Sistem Produksi menggunakan Transportasi | Mengidentifikasi ekspor data dari sistem produksi menggunakan transportasi. Transportasi digunakan dalam sistem pengembangan dan mirip dengan permintaan pull. Aturan pemberitahuan ini memicu insiden dengan tingkat keparahan sedang saat transportasi yang menyertakan data dari tabel apa pun dirilis dari sistem produksi. Aturan ini membuat insiden tingkat keparahan tinggi saat ekspor menyertakan data dari tabel sensitif. | Merilis transportasi dari sistem produksi. Sumber data: Log SAP CR, SAP - Tabel Sensitif |
Penyelundupan |
| SAP - (Pratinjau) Data Sensitif Disimpan ke drive USB | Mengidentifikasi ekspor data SAP melalui file. Aturan memeriksa data yang disimpan ke drive USB yang baru-baru ini dipasang di dekat eksekusi transaksi sensitif, program sensitif, atau akses langsung ke tabel sensitif. | Ekspor data SAP melalui file dan simpan ke drive USB. Sumber data: Log Audit Keamanan SAP, DeviceFileEvents (Microsoft Defender untuk Titik Akhir), SAP - Tabel Sensitif, SAP - Transaksi Sensitif, SAP - Program Sensitif |
Penyelundupan |
| SAP - (Pratinjau) Pencetakan data yang Berpotensi Sensitif | Mengidentifikasi permintaan atau pencetakan aktual data yang berpotensi sensitif. Data dianggap sensitif jika pengguna mendapatkan data sebagai bagian dari transaksi sensitif, eksekusi program sensitif, atau akses langsung ke tabel sensitif. | Cetak atau minta untuk mencetak data sensitif. Sumber data: Log Audit Keamanan SAP, log SAP Spool, SAP - Tabel Sensitif, SAP - Program Sensitif |
Penyelundupan |
| SAP - (Pratinjau) Volume Tinggi Data yang Berpotensi Sensitif Diekspor | Mengidentifikasi ekspor data dalam volume tinggi melalui file yang berdekatan dengan eksekusi transaksi sensitif, program sensitif, atau akses langsung ke tabel sensitif. | Ekspor data dalam volume tinggi melalui file. Sumber data: Log Audit Keamanan SAP, SAP - Tabel Sensitif, SAP - Transaksi Sensitif, SAP - Program Sensitif |
Penyelundupan |
Persistensi
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - Pengaktifan atau Penonaktifan Layanan ICF | Mengidentifikasi aktivasi atau penonaktifan Layanan ICF. | Mengaktifkan layanan menggunakan SICF. Sumber data: SAPcon - Log Data Tabel |
Komando dan Kontrol, Gerakan Lateral, Kegigihan |
| SAP - Modul Fungsi teruji | Mengidentifikasi pengujian modul fungsi. | Uji modul fungsi menggunakan SE37 / SE80. Sumber data: SAPcon - Jejak Audit |
Kumpulan, Penghindaran Pertahanan, Gerakan Lateral |
| SAP - (PRATINJAU) HANA DB -tindakan Admin Pengguna | Mengidentifikasi tindakan administrasi pengguna. | Membuat, memperbarui, atau menghapus pengguna database. Sumber Data: Agen Linux - Syslog* |
Eskalasi Hak Istimewa |
| SAP - Penghandel Layanan ICF Baru | Mengidentifikasi penciptaan Peng-handel ICF. | Tetapkan peng-handel baru ke layanan menggunakan SICF. Sumber data: SAPcon - Jejak Audit |
Komando dan Kontrol, Gerakan Lateral, Kegigihan |
| SAP - Layanan ICF Baru | Mengidentifikasi pembuatan Layanan ICF. | Buat layanan menggunakan SICF. Sumber data: SAPcon - Log Data Tabel |
Komando dan Kontrol, Gerakan Lateral, Kegigihan |
| SAP - Eksekusi Modul Fungsi Usang atau Tidak Aman | Mengidentifikasi pelaksanaan modul fungsi ABAP yang usang atau tidak aman. Pertahankan fungsi usang dalam daftar tonton SAP - Modul Fungsi Usang. Pastikan untuk mengaktifkan perubahan pembuatan log tabel untuk tabel EUFUNC di backend. (SE13)Catatan: Relevan hanya untuk sistem produksi. |
Jalankan modul fungsi usang atau tidak aman langsung menggunakan SE37. Sumber data: SAPcon - Log Data Tabel |
Penemuan, Perintah, dan Kontrol |
| SAP - Eksekusi Program Usang/Tidak Aman | Mengidentifikasi pelaksanaan program ABAP yang usang atau tidak aman. Pertahankan program usang dalam daftar pengawasan SAP - Program Usang. Catatan: Relevan hanya untuk sistem produksi. |
Jalankan program langsung menggunakan SE38/SA38/SE80, atau dengan menggunakan pekerjaan latar belakang. Sumber data: SAPcon - Jejak Audit |
Penemuan, Perintah, dan Kontrol |
| SAP - Beberapa Perubahan Kata Sandi oleh Pengguna | Mengidentifikasi beberapa perubahan kata sandi oleh pengguna. | Mengubah kata sandi pengguna Sumber data: SAPcon - Jejak Audit |
Akses Info Masuk |
Upaya untuk melewati mekanisme keamanan SAP
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - Perubahan Konfigurasi Klien | Mengidentifikasi perubahan untuk konfigurasi klien seperti peran klien atau mode perekaman perubahan. | Lakukan perubahan konfigurasi klien menggunakan kode transaksi SCC4. Sumber data: SAPcon - Jejak Audit |
Penghindaran Pertahanan, Eksfiltrasi, Kegigihan |
| SAP - Data telah Berubah selama Aktivitas Penelusuran Kesalahan | Mengidentifikasi perubahan untuk data runtime selama aktivitas debugging. Kasus sub-penggunaan: Persistensi |
1. Aktifkan Debug ("/h"). 2. Pilih bidang untuk perubahan dan perbarui nilainya. Sumber data: SAPcon - Jejak Audit |
Eksekusi, Gerakan Lateral |
| SAP - Penonaktifan Log Audit Keamanan | Mengidentifikasi penonaktifan Jejak Audit Keamanan, | Nonaktifkan Jejak Audit keamanan menggunakan SM19/RSAU_CONFIG. Sumber data: SAPcon - Jejak Audit |
Eksfiltrasi, Penghindaran Pertahanan, Kegigihan |
| SAP - Eksekusi Program ABAP Sensitif | Mengidentifikasi eksekusi langsung dari program ABAP yang sensitif. Pertahankan Program ABAP dalam daftar tonton SAP - Program ABAP Sensitif. |
Jalankan program secara langsung menggunakan SE38/SA38/SE80. Sumber data: SAPcon - Jejak Audit |
Eksfiltrasi, Gerakan Lateral, Eksekusi |
| SAP - Eksekusi Kode Transaksi Sensitif | Mengidentifikasi eksekusi Kode Transaksi sensitif. Pertahankan kode transaksi dalam daftar tontonSAP - Kode Transaksi Sensitif. |
Jalankan kode transaksi sensitif. Sumber data: SAPcon - Jejak Audit |
Penemuan, Eksekusi |
| SAP - Eksekusi Modul Fungsi Sensitif | Mengidentifikasi eksekusi modul fungsi ABAP yang sensitif. Kasus sub-penggunaan: Persistensi Catatan: Relevan hanya untuk sistem produksi. Pertahankan fungsi sensitif dalam daftar tonton SAP - Modul Fungsi Sensitif, dan pastikan untuk mengaktifkan perubahan pencatatan tabel di backend untuk tabel EUFUNC. (SE13) |
Jalankan modul fungsi sensitif secara langsung menggunakan SE37. Sumber data: SAPcon - Log Data Tabel |
Penemuan, Perintah, dan Kontrol |
| SAP - (PRATINJAU) HANA DB - Perubahan Policy Jejak Audit | Mengidentifikasi perubahan untuk kebijakan jejak audit HANA DB. | Membuat atau memperbarui kebijakan audit yang ada dalam definisi keamanan. Sumber data: Agen Linux - Syslog |
Gerakan Lateral, Penghindaran Pertahanan |
| SAP - (PRATINJAU) HANA DB - Penonaktifan Jejak Audit | Mengidentifikasi penonaktifan log audit HANA DB. | Menonaktifkan log audit dalam definisi keamanan HANA DB. Sumber data: Agen Linux - Syslog |
Kegigihan, Gerakan Lateral, Penghindaran Pertahanan |
| SAP - Eksekusi Jarak Jauh Yang Tidak Sah dari Modul Fungsi Sensitif | Mendeteksi eksekusi FM sensitif yang tidak sah dengan membandingkan aktivitas dengan profil otorisasi pengguna sambil mengacuhkan otorisasi yang baru-baru ini berubah. Pertahankan modul fungsi dalam daftar pengawasan SAP - Modul Fungsi Sensitif. |
Jalankan modul fungsi menggunakan RFC. Sumber data: SAPcon - Jejak Audit |
Eksekusi, Gerakan Lateral, Penemuan |
| SAP - Perubahan Konfigurasi Sistem | Mengidentifikasi perubahan untuk konfigurasi sistem. | Menyesuaikan opsi perubahan sistem atau modifikasi komponen perangkat lunak menggunakan kode transaksi SE06.Sumber data: SAPcon - Jejak Audit |
Eksfiltrasi, Penghindaran Pertahanan, Kegigihan |
| SAP - Aktivitas Penelusuran Kesalahan | Mengidentifikasi semua aktivitas terkait debugging. Kasus sub-penggunaan: Persistensi |
Aktifkan Debug ("/h") dalam sistem, debug proses aktif, tambahkan titik henti ke kode sumber, dan sebagainya. Sumber data: SAPcon - Jejak Audit |
Penemuan |
| SAP - Perubahan Konfigurasi Log Audit Keamanan | Mengidentifikasi perubahan dalam konfigurasi Jejak Audit Keamanan | Ubah Konfigurasi Jejak Audit Keamanan apa pun menggunakan SM19/RSAU_CONFIG, seperti filter, status, mode perekaman, dan sebagainya. Sumber data: SAPcon - Jejak Audit |
Kegigihan, Eksfiltrasi, Penghindaran Pertahanan |
| SAP - Transaksi tidak terkunci | Mengidentifikasi pembukaan kunci transaksi. | Buka kunci kode transaksi menggunakan SM01/SM01_DEV/SM01_CUS. Sumber data: SAPcon - Jejak Audit |
Kegigihan,Eksekusi |
| SAP - Program ABAP Dinamis | Mengidentifikasi eksekusi pemrograman ABAP dinamis. Misalnya, ketika kode ABAP dibuat, diubah, atau dihapus secara dinamis. Pertahankan kode transaksi yang dikecualikan dalam daftar tonton SAP - Transaksi untuk Pembuatan ABAP. |
Buat Laporan ABAP yang menggunakan perintah pembuatan program ABAP, seperti INSERT REPORT, lalu jalankan laporan. Sumber data: SAPcon - Jejak Audit |
Penemuan, Perintah dan Kontrol, Dampak |
Operasi hak istimewa yang mencurigakan
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - Perubahan bagi pengguna istimewa Sensitif | Mengidentifikasi perubahan pengguna hak istimewa yang sensitif. Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa. |
Ubah detail/otorisasi pengguna menggunakan SU01. Sumber data: SAPcon - Jejak Audit |
Eskalasi Hak Istimewa, Akses Info Masuk |
| SAP - (PARTINJAU) HANA DB - Tetapkan Otorisasi Admin | Mengidentifikasi hak istimewa admin atau penetapan peran. | Tetapkan pengguna dengan peran atau hak istimewa admin apa pun. Sumber data: Agen Linux - Syslog |
Eskalasi Hak Istimewa |
| SAP - Pengguna istimewa sensitif masuk | Mengidentifikasi dialog masuk dari pengguna istimewa yang sensitif. Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa. |
Masuk ke sistem backend menggunakan SAP* atau pengguna istimewa lainnya. Sumber data: SAPcon - Jejak Audit |
Akses Awal, Akses Info Masuk |
| SAP - Pengguna istimewa sensitif membuat perubahan pada pengguna lain | Mengidentifikasi perubahan pengguna yang sensitif dan istimewa pada pengguna lain. | Ubah detail/otorisasi pengguna menggunakan SU01. Sumber data: SAPcon - Log Audit |
Eskalasi Hak Istimewa, Akses Info Masuk |
| SAP - Perubahan Kata Sandi Pengguna Sensitif dan Masuk | Mengidentifikasi perubahan kata sandi untuk pengguna istimewa. | Ubah kata sandi untuk pengguna hak istimewa dan masuk ke sistem. Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa. Sumber data: SAPcon - Jejak Audit |
Dampak, Komando dan Kontrol, Eskalasi Hak Istimewa |
| SAP - Pengguna Membuat dan menggunakan pengguna baru | Mengidentifikasi pengguna yang membuat dan menggunakan pengguna lain. Kasus sub-penggunaan: Persistensi |
Buat pengguna menggunakan SU01, lalu masuk dengan pengguna yang baru dibuat dan alamat IP yang sama. Sumber data: SAPcon - Jejak Audit |
Penemuan, PreAttack, Akses Awal |
| SAP - Pengguna Membuka Kunci dan menggunakan pengguna lain | Mengidentifikasi pengguna yang sedang tidak terkunci dan digunakan oleh pengguna lain. Kasus sub-penggunaan: Persistensi |
Buka kunci pengguna menggunakan SU01, lalu masuk menggunakan pengguna yang tidak terkunci dan alamat IP yang sama. Sumber data: SAPcon - Audit Log, SAPcon - Log Perubahan Dokumen |
Penemuan, PreAttack, Akses Awal, Gerakan Lateral |
| SAP - Penugasan profil sensitif | Mengidentifikasi tugas baru profil sensitif kepada pengguna. Pertahankan profil sensitif di daftar tonton SAP - Profil Sensitif. |
Tetapkan profil untuk pengguna menggunakan SU01. Sumber data: SAPcon - Ubah Log Dokumen |
Eskalasi Hak Istimewa |
| SAP - Penetapan peran sensitif | Mengidentifikasi tugas baru untuk peran sensitif kepada pengguna. Pertahankan peran sensitif dalam daftar tonton SAP - Peran Sensitif. |
Menetapkan peran kepada pengguna menggunakan SU01 / PFCG. Sumber data: SAPcon - Ubah Log Dokumen, Log Audit |
Eskalasi Hak Istimewa |
| SAP - (PRATINJAU) Penugasan otorisasi kritis - Nilai Otorisasi Baru | Mengidentifikasi penetapan nilai objek otorisasi kritis kepada pengguna baru. Pertahankan objek otorisasi kritis dalam daftar tonton SAP - Objek Otorisasi Kritis. |
Tetapkan objek otorisasi baru atau perbarui objek yang sudah ada dalam peran, menggunakan PFCG. Sumber data: SAPcon - Ubah Log Dokumen |
Eskalasi Hak Istimewa |
| SAP - Penugasan otorisasi kritis - Penugasan Pengguna Baru | Mengidentifikasi penetapan nilai objek otorisasi kritis kepada pengguna baru. Pertahankan objek otorisasi kritis dalam daftar tonton SAP - Objek Otorisasi Kritis. |
Tetapkan pengguna baru ke peran yang memegang nilai otorisasi penting, menggunakan SU01/PFCG. Sumber data: SAPcon - Ubah Log Dokumen |
Eskalasi Hak Istimewa |
| SAP - Perubahan Peran Sensitif | Mengidentifikasi perubahan dalam peran sensitif. Pertahankan peran sensitif dalam daftar tonton SAP - Peran Sensitif. |
Ubah peran menggunakan PFCG. Sumber data: SAPcon - Ubah Log Dokumen, SAPcon – Jejak Audit |
Dampak, Eskalasi Hak Istimewa, Kegigihan |
Daftar tonton yang tersedia
Tabel berikut mencantumkan daftar pengawasan yang tersedia untuk solusi Microsoft Sentinel untuk aplikasi SAP®, dan bidang di setiap daftar pengawasan.
Daftar tonton ini menyediakan konfigurasi untuk solusi Microsoft Sentinel untuk aplikasi SAP®. Daftar tonton SAP tersedia di repositori GitHub Microsoft Sentinel.
| Nama daftar tonton | Deskripsi dan bidang |
|---|---|
| SAP - Objek Otorisasi Kritis | Otorisasi Kritis keberatan, di mana penugasan harus diatur. - AuthorizationObject: Objek otorisasi SAP, seperti S_DEVELOP, S_TCODE, atau Table TOBJ - AuthorizationField: Bidang otorisasi SAP, seperti OBJTYP atau TCD - AuthorizationValue: Nilai bidang otorisasi SAP, seperti DEBUG - ActivityField : Bidang aktivitas SAP. Untuk sebagian besar kasus, nilai ini akan menjadi ACTVT. Untuk objek Otorisasi tanpa Aktivitas,atau hanya dengan bidang Aktivitas, diisi dengan NOT_IN_USE. - Aktivitas: Aktivitas SAP, sesuai dengan objek otorisasi, seperti: 01 : Buat; 02 : Ubah; : 03 Tampilan, dan sebagainya. - Deskripsi: Deskripsi Objek Otorisasi Kritis yang bermakna. |
| SAP - Jaringan Yang Dikecualikan | Untuk pemeliharaan internal jaringan yang dikecualikan, seperti mengabaikan dispatcher web, server terminal, dan sebagainya. -Jaringan: Alamat atau rentang IP jaringan, seperti 111.68.128.0/17. -Deskripsi: Deskripsi jaringan yang bermakna. |
| Pengguna Yang Dikecualikan SAP | Pengguna sistem yang masuk ke sistem dan harus diabaikan. Misalnya, pemberitahuan untuk beberapa masuk oleh pengguna yang sama. - Pengguna: Pengguna SAP -Deskripsi: Deskripsi pengguna yang bermakna. |
| SAP - Jaringan | Jaringan internal dan pemeliharaan untuk identifikasi login yang tidak sah. - Jaringan: Alamat IP jaringan atau jangkauan, seperti 111.68.128.0/17 - Deskripsi: Deskripsi jaringan yang bermakna. |
| SAP - Pengguna Hak Istimewa | Pengguna istimewa yang berada di bawah batasan tambahan. - Pengguna: pengguna ABAP, DDIC seperti atau SAP - Deskripsi: Deskripsi pengguna yang bermakna. |
| SAP - Program ABAP Sensitif | Program ABAP sensitif (laporan), tempat eksekusi harus diatur. - ABAPProgram: Program atau laporan ABAP, seperti RSPFLDOC - Deskripsi: Deskripsi program yang bermakna. |
| SAP - Modul Fungsi Sensitif | Jaringan internal dan pemeliharaan untuk identifikasi login yang tidak sah. - FunctionModule: Modul fungsi ABAP, seperti RSAU_CLEAR_AUDIT_LOG - Deskripsi: Deskripsi modul yang bermakna. |
| SAP - Profil Sensitif | Profil sensitif, di mana tugas harus diatur. - Profile: Profil otorisasi SAP, seperti SAP_ALL atau SAP_NEW - Deskripsi: Deskripsi profil yang bermakna. |
| SAP - Tabel Sensitif | Tabel sensitif, di mana akses harus diatur. - Tabel: Tabel Kamus ABAP, seperti USR02 atau PA008 - Deskripsi: Deskripsi tabel yang bermakna. |
| SAP - Peran Sensitif | Peran sensitif, di mana penugasan harus diatur. - Peran: Peran otorisasi SAP, seperti SAP_BC_BASIS_ADMIN - Deskripsi: Deskripsi peran yang bermakna. |
| SAP - Transaksi Sensitif | Transaksi sensitif di mana eksekusi harus diatur. - Kode Transaksi: Kode transaksi SAP, seperti RZ11 - Deskripsi: Deskripsi kode yang bermakna. |
| SAP - Sistem | Menjelaskan lanskap sistem SAP sesuai dengan peran, penggunaan, dan konfigurasi. - SystemID: ID sistem SAP (SYSID) - SystemRole: peran sistem SAP, salah satu nilai berikut: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: Penggunaan sistem SAP, salah satu nilai berikut: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: parameter dinamis opsional untuk digunakan dalam playbook. |
| SAPSystemParameters | Parameter untuk mengawasi perubahan konfigurasi yang mencurigakan. Daftar pengawasan ini telah diisi sebelumnya dengan nilai yang direkomendasikan (sesuai dengan praktik terbaik SAP), dan Anda dapat memperluas daftar pengawasan untuk menyertakan lebih banyak parameter. Jika Anda tidak ingin menerima pemberitahuan untuk parameter, atur EnableAlerts ke false.- ParameterName: Nama parameter. - Komentar: Deskripsi parameter standar SAP. - EnableAlerts: Menentukan apakah akan mengaktifkan pemberitahuan untuk parameter ini. Nilai adalah true dan false.- Opsi: Menentukan dalam hal ini untuk memicu pemberitahuan: Jika nilai parameter lebih besar atau sama dengan ( GE), kurang atau sama dengan (LE), atau sama dengan (EQ).Misalnya, jika login/fails_to_user_lock parameter SAP diatur ke LE (kurang atau sama dengan), dan nilai 5, setelah Microsoft Sentinel mendeteksi perubahan pada parameter spesifik ini, parameter tersebut membandingkan nilai yang baru dilaporkan dan nilai yang diharapkan. Jika nilai baru adalah 4, Microsoft Azure Sentinel tidak memicu pemberitahuan. Jika nilai baru adalah 6, Microsoft Azure Sentinel memicu pemberitahuan.- ProductionSeverity: Tingkat keparahan insiden untuk sistem produksi. - ProductionValues: Nilai yang diizinkan untuk sistem produksi. - NonProdSeverity: Tingkat keparahan insiden untuk sistem non-produksi. - NonProdValues: Nilai yang diizinkan untuk sistem non-produksi. |
| SAP - Pengguna yang Dikecualikan | Pengguna sistem yang masuk dan perlu diabaikan, seperti untuk Beberapa log masuk menurut pemberitahuan pengguna. - Pengguna: Pengguna SAP - Deskripsi: Deskripsi pengguna yang bermakna |
| SAP - Jaringan Yang Dikecualikan | Pertahankan jaringan internal yang dikecualikan untuk mengabaikan dispatcher web, server terminal, dan sebagainya. - Jaringan: Alamat IP jaringan atau jangkauan, seperti 111.68.128.0/17 - Deskripsi: Deskripsi jaringan yang bermakna |
| SAP - Modul Fungsi Usang | Modul fungsi usang, yang eksekusinya harus diatur. - FunctionModule: Modul Fungsi ABAP, seperti TH_SAPREL - Deskripsi: Deskripsi modul fungsi yang bermakna |
| SAP - Program Usang | Program ABAP usang (laporan), yang eksekusinya harus diatur. - Program ABAPProgram:ABAP, seperti TH_ RSPFLDOC - Deskripsi: Deskripsi program ABAP yang bermakna |
| SAP - Transaksi untuk Generasi ABAP | Transaksi untuk generasi ABAP yang eksekusinya harus diatur. - TransactionCode:Kode Transaksi, seperti SE11. - Deskripsi: Deskripsi Kode Transaksi yang bermakna |
| SAP - Server FTP | Server FTP untuk identifikasi koneksi yang tidak sah. - Klien:seperti 100. - FTP_Server_Name:Nama server FTP, seperti http://contoso.com/ -FTP_Server_Port:FTP server port, seperti 22. - Deskripsi Deskripsi Server FTP yang bermakna |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurasikan peringatan log audit SAP dengan menetapkan setiap ID pesan tingkat keparahan seperti yang Anda perlukan, per peran sistem (produksi, non-produksi). Daftar pengawasan ini merinci semua ID pesan log audit standar SAP yang tersedia. Daftar tonton dapat diperluas untuk berisi ID pesan tambahan yang mungkin Anda buat sendiri menggunakan penyempurnaan ABAP pada sistem SAP NetWeaver mereka. Daftar pengawasan ini juga memungkinkan untuk mengonfigurasi tim yang ditunjuk untuk menangani setiap jenis peristiwa, dan mengecualikan pengguna berdasarkan peran SAP, profil SAP, atau dengan tag dari daftar tonton SAP_User_Config. Daftar pengawasan ini adalah salah satu komponen inti yang digunakan untuk mengonfigurasiaturan analitik SAP bawaan untuk memantau log audit SAP. - MessageID: ID Pesan SAP, atau jenis peristiwa, seperti AUD (Perubahan rekaman master pengguna), atau AUB (perubahan otorisasi). - DetailedDescription: Deskripsi yang diaktifkan markdown untuk ditampilkan di panel insiden. - ProductionSeverity: Tingkat keparahan yang diinginkan untuk insiden yang akan dibuat dengan untuk sistem produksi High, Medium. Dapat diatur sebagai Disabled. - NonProdSeverity: Tingkat keparahan yang diinginkan untuk insiden yang akan dibuat dengan untuk sistem non-produksi High, Medium. Dapat diatur sebagai Disabled. - ProductionThreshold Jumlah peristiwa "Per jam" dianggap mencurigakan bagi sistem 60produksi . - NonProdThreshold Jumlah peristiwa "Per jam" dianggap mencurigakan bagi sistem 10non-produksi . - RolesTagsToExclude: Bidang ini menerima nama peran SAP, nama profil SAP, atau tag dari daftar pengawasan SAP_User_Config. Ini kemudian digunakan untuk mengecualikan pengguna terkait dari jenis peristiwa tertentu. Lihat opsi untuk tag peran di akhir daftar ini. - RuleType: Gunakan Deterministic untuk jenis peristiwa yang akan dikirim ke SAP - Monitor Log Audit Deterministik Dinamis, atau AnomaliesOnly untuk mencakup peristiwa ini oleh SAP - Pemberitahuan Monitor Log Audit berbasis Anomali Dinamis (PRATINJAU).- TeamsChannelID: parameter dinamis opsional untuk digunakan dalam playbook. - DestinationEmail: parameter dinamis opsional untuk digunakan dalam playbook. Untuk bidang RolesTagsToExclude: - Jika Anda mencantumkan peran SAP atau profil SAP, ini mengecualikan pengguna mana pun dengan peran atau profil yang tercantum dari jenis peristiwa ini untuk sistem SAP yang sama. Misalnya, jika Anda menentukan BASIC_BO_USERS peran ABAP untuk jenis peristiwa terkait RFC, pengguna Objek Bisnis tidak akan memicu insiden saat melakukan panggilan RFC besar-besaran.- Menandai jenis peristiwa mirip dengan menentukan peran atau profil SAP, tetapi tag dapat dibuat di ruang kerja, sehingga tim SOC dapat mengecualikan pengguna berdasarkan aktivitas tanpa bergantung pada tim SAP. Misalnya, ID pesan audit AUB (perubahan otorisasi) dan AUD (perubahan catatan master pengguna) diberi MassiveAuthChanges tag. Pengguna yang diberi tag ini dikecualikan dari pemeriksaan untuk aktivitas ini. Menjalankan fungsi ruang SAPAuditLogConfigRecommend kerja menghasilkan daftar tag yang direkomendasikan untuk ditetapkan kepada pengguna, seperti Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Memungkinkan peringatan penyetelan halus dengan mengecualikan /termasuk pengguna dalam konteks tertentu dan juga digunakan untuk mengonfigurasiaturan analitik SAP bawaan untuk memantau log audit SAP. - SAPUser: Pengguna SAP - Tag: Tag digunakan untuk mengidentifikasi pengguna terhadap aktivitas tertentu. Misalnya Menambahkan tag ["GenericTablebyRFCOK"] ke SENTINEL_SRV pengguna akan mencegah insiden terkait RFC dibuat untuk pengguna tertentu ini Pengidentifikasi pengguna direktori aktif lainnya - Pengidentifikasi Pengguna AD - Sid Lokal Pengguna - Nama prinsipal pengguna |
Playbook yang tersedia
| Nama playbook | Parameter | Koneksi |
|---|---|---|
| Respons Insiden SAP - Mengunci pengguna dari Teams - Dasar | - SAP-SOAP-User-Password - SAP-SOAP-Nama Pengguna - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Respons Insiden SAP - Mengunci pengguna dari Teams - Tingkat Lanjut | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Log Azure Monitor - Office 365 Outlook - ID Microsoft Entra - Azure Key Vault - Microsoft Teams |
| Respons Insiden SAP - Pengelogan audit yang dapat diaktifkan kembali setelah dinonaktifkan | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Log Azure Monitor - Microsoft Teams |
Langkah berikutnya
Untuk informasi selengkapnya, lihat:
- Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Solusi Microsoft Azure Sentinel untuk referensi log aplikasi SAP®
- Memantau kesehatan sistem SAP Anda
- Menyebarkan solusi Microsoft Azure Sentinel untuk konektor data aplikasi SAP® dengan SNC
- Referensi file konfigurasi
- Prasyarat untuk menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP®
- Memecahkan masalah solusi Microsoft Azure Sentinel Anda untuk penyebaran aplikasi SAP®