Soluzione Microsoft Sentinel per le applicazioni SAP®: informazioni di riferimento sul contenuto di sicurezza
Questo articolo descrive in dettaglio il contenuto della sicurezza disponibile per la soluzione Microsoft Sentinel per SAP.
Importante
Mentre la soluzione Microsoft Sentinel per le applicazioni SAP® è disponibile a livello generale, alcuni componenti specifici rimangono in ANTEPRIMA. Questo articolo indica i componenti in anteprima nelle sezioni pertinenti riportate di seguito. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Il contenuto di sicurezza disponibile include cartelle di lavoro predefinite e regole di analisi. È anche possibile aggiungere watchlist correlati a SAP da usare nei playbook di ricerca, regole di rilevamento, ricerca delle minacce e playbook di risposta.
Cartelle di lavoro predefinite
Usare le cartelle di lavoro predefinite seguenti per visualizzare e monitorare i dati inseriti tramite il connettore dati SAP. Dopo aver distribuito la soluzione SAP, è possibile trovare cartelle di lavoro SAP nella scheda Cartelle di lavoro personali .
| Nome cartella di lavoro | Descrizione | Registri |
|---|---|---|
| SAP - Browser log di controllo | Visualizza i dati, ad esempio: - Integrità generale del sistema, inclusi gli accessi utente nel tempo, gli eventi inseriti dal sistema, le classi di messaggi e gli ID e i programmi ABAP vengono eseguiti -Gravità degli eventi che si verificano nel sistema - Eventi di autenticazione e autorizzazione che si verificano nel sistema |
Usa i dati del log seguente: ABAPAuditLog_CL |
| Controlli di controllo SAP | Consente di controllare la conformità dei controlli di sicurezza dell'ambiente SAP con il framework di controllo scelto, usando gli strumenti necessari per eseguire le operazioni seguenti: - Assegnare regole di analisi nell'ambiente a specifici controlli di sicurezza e famiglie di controllo - Monitorare e classificare gli eventi imprevisti generati dalle regole di analisi basate su soluzioni SAP - Segnalare la conformità |
Usa i dati delle tabelle seguenti: - SecurityAlert- SecurityIncident |
Per altre informazioni, vedere Esercitazione: Visualizzare e monitorare i dati e Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP®.
Regole di analisi predefinite
Monitoraggio della configurazione dei parametri di sicurezza SAP statici (anteprima)
Per proteggere il sistema SAP, SAP ha identificato i parametri correlati alla sicurezza che devono essere monitorati per le modifiche. Con la regola "SAP - (anteprima) Sensitive Static Parameter has Changed", la soluzione Microsoft Sentinel per le applicazioni SAP® tiene traccia di oltre 52 parametri statici correlati alla sicurezza nel sistema SAP, integrati in Microsoft Sentinel.
Nota
Per consentire alle applicazioni SAP di monitorare correttamente i parametri di sicurezza SAP®, la soluzione deve monitorare correttamente la tabella SAP PAHI a intervalli regolari. Verificare che la soluzione possa monitorare correttamente la tabella PAHI.
Per comprendere le modifiche ai parametri nel sistema, la soluzione Microsoft Sentinel per le applicazioni SAP® usa la tabella della cronologia dei parametri, che registra le modifiche apportate ai parametri di sistema ogni ora.
I parametri si riflettono anche nell'elenco di controllo S piattaforma di strumenti analitici ystemParameters. Questo watchlist consente agli utenti di aggiungere nuovi parametri, disabilitare i parametri esistenti e modificare i valori e i livelli di gravità per parametro e ruolo di sistema negli ambienti di produzione o non di produzione.
Quando viene apportata una modifica a uno di questi parametri, Microsoft Sentinel verifica se la modifica è correlata alla sicurezza e se il valore viene impostato in base ai valori consigliati. Se la modifica è sospetta all'esterno dell'area sicura, Microsoft Sentinel crea un evento imprevisto che descrive in dettaglio la modifica e identifica chi ha apportato la modifica.
Esaminare l'elenco dei parametri monitorati da questa regola.
Monitoraggio del log di controllo SAP
I dati del log di controllo SAP vengono usati in molte delle regole di analisi della soluzione Microsoft Sentinel per le applicazioni SAP®. Alcune regole di analisi cercano eventi specifici nel log, mentre altre correlano indicazioni da diversi log per produrre avvisi e eventi imprevisti ad alta fedeltà.
Sono inoltre disponibili due regole di analisi progettate per supportare l'intero set di eventi del log di controllo SAP standard (183 eventi diversi) e qualsiasi altro evento personalizzato che è possibile scegliere di registrare usando il log di controllo SAP.
Entrambe le regole di analisi del monitoraggio dei log di controllo SAP condividono le stesse origini dati e la stessa configurazione, ma differiscono in un aspetto critico. Mentre la regola "SAP - Dynamic Deterministic Audit Log Monitor" richiede soglie di avviso deterministiche e regole di esclusione utente, la regola "SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)" applica algoritmi di Machine Learning aggiuntivi per filtrare il rumore di fondo in modo non supervisionato. Per questo motivo, per impostazione predefinita, la maggior parte dei tipi di evento (o ID messaggio SAP) del log di controllo SAP viene inviata alla regola di analisi "Basata su anomalie", mentre la più semplice definizione dei tipi di evento viene inviata alla regola di analisi deterministica. Questa impostazione, insieme ad altre impostazioni correlate, può essere ulteriormente configurata in base a qualsiasi condizione di sistema.
SAP - Monitoraggio del log di controllo deterministico dinamico
Regola di analisi dinamica destinata a coprire l'intero set di tipi di eventi del log di controllo SAP che hanno una definizione deterministica in termini di popolamento degli utenti, soglie di eventi.
- Configurare la regola con l'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration
- Altre informazioni su come configurare la regola (procedura completa)
SAP - Avvisi di Monitoraggio log di controllo dinamici basati su anomalie (ANTEPRIMA)
Una regola di analisi dinamica progettata per apprendere il normale comportamento del sistema e avvisare le attività osservate nel log di controllo SAP considerate anomale. Applicare questa regola ai tipi di eventi del log di controllo SAP che sono più difficili da definire in termini di popolamento degli utenti, attributi di rete e soglie.
Altre informazioni:
- Configurare la regola con gli elenchi di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config
- Altre informazioni su come configurare la regola (procedura completa)
Le tabelle seguenti elencano le regole di analisi predefinite incluse nella soluzione Microsoft Sentinel per le applicazioni SAP®, distribuite dal marketplace delle soluzioni Microsoft Sentinel.
Accesso iniziale
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Accesso da una rete imprevista | Identifica un accesso da una rete imprevista. Gestire le reti nell'elenco di controllo SAP - Networks . |
Accedere al sistema back-end da un indirizzo IP non assegnato a una delle reti. Origini dati: SAPcon - Log di controllo |
Accesso iniziale |
| SAP - Attacco SPNego | Identifica l'attacco SPNego Replay. | Origini dati: SAPcon - Log di controllo | Impatto, movimento laterale |
| SAP - Tentativo di accesso alla finestra di dialogo da un utente con privilegi | Identifica i tentativi di accesso alla finestra di dialogo, con il tipo AUM , dagli utenti con privilegi in un sistema SAP. Per altre informazioni, vedere SAPUsersGetPrivileged. | Tentare di accedere dallo stesso INDIRIZZO IP a diversi sistemi o client entro l'intervallo di tempo pianificato Origini dati: SAPcon - Log di controllo |
Impatto, movimento laterale |
| SAP - Attacchi di forza bruta | Identifica gli attacchi di forza bruta nel sistema SAP usando gli accessi RFC | Tentare di accedere dallo stesso INDIRIZZO IP a diversi sistemi/client entro l'intervallo di tempo pianificato usando RFC Origini dati: SAPcon - Log di controllo |
Accesso tramite credenziali |
| SAP - Più accessi dallo stesso IP | Identifica l'accesso di più utenti dello stesso indirizzo IP entro un intervallo di tempo pianificato. Caso d'uso secondario: Persistenza |
Accedere usando più utenti tramite lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo |
Accesso iniziale |
| SAP - Più accessi per utente | Identifica gli accessi dello stesso utente da diversi terminali entro l'intervallo di tempo pianificato. Disponibile solo tramite il metodo Audit SAL, per le versioni SAP 7.5 e successive. |
Accedere usando lo stesso utente, usando indirizzi IP diversi. Origini dati: SAPcon - Log di controllo |
PreAttack, Accesso alle credenziali, Accesso iniziale, Raccolta Caso d'uso secondario: Persistenza |
| SAP - Informativo - Ciclo di vita - Le note SAP sono state implementate nel sistema | Identifica l'implementazione della nota SAP nel sistema. | Implementare una nota SAP usando SNOTE/TCI. Origini dati: SAPcon - Richieste di modifica |
- |
Esfiltrazione di dati
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - FTP per server non autorizzati | Identifica una connessione FTP per un server non autorizzato. | Creare una nuova connessione FTP, ad esempio usando il modulo funzione FTP_CONNECT. Origini dati: SAPcon - Log di controllo |
Individuazione, accesso iniziale, comando e controllo |
| SAP - Configurazione dei server FTP non sicuri | Identifica le configurazioni non sicure del server FTP, ad esempio quando un elenco di elementi consentiti FTP è vuoto o contiene segnaposto. | Non mantenere o mantenere i valori che contengono segnaposto nella SAPFTP_SERVERS tabella, utilizzando la SAPFTP_SERVERS_V visualizzazione di manutenzione. (SM30) Origini dati: SAPcon - Log di controllo |
Accesso iniziale, comando e controllo |
| SAP - Download di più file | Identifica più download di file per un utente entro un intervallo di tempo specifico. | Scaricare più file usando SAPGui per Excel, elenchi e così via. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Esecuzioni multiple di Spool | Identifica più spool per un utente all'interno di un intervallo di tempo specifico. | Creare ed eseguire più processi di spooling di qualsiasi tipo da parte di un utente. (SP01) Origini dati: SAPcon - Log Spool, SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Esecuzioni di output multiple Spool | Identifica più spool per un utente all'interno di un intervallo di tempo specifico. | Creare ed eseguire più processi di spooling di qualsiasi tipo da parte di un utente. (SP01) Origini dati: SAPcon - Log di output Spool, SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Accesso diretto alle tabelle sensibili tramite accesso RFC | Identifica l'accesso a una tabella generica dall'accesso RFC. Gestire le tabelle nell'elenco di controllo SAP - Tabelle sensibili. Nota: rilevante solo per i sistemi di produzione. |
Aprire il sommario usando edizione Standard 11/edizione Standard 16/edizione Standard 16N. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione, accesso alle credenziali |
| SAP - Acquisizione di Spool | Identifica un utente che stampa una richiesta di spooling creata da un altro utente. | Creare una richiesta di spooling usando un utente e quindi restituirla usando un utente diverso. Origini dati: SAPcon - Log Spool, SAPcon - Log di output Spool, SAPcon - Log di controllo |
Raccolta, esfiltrazione, comando e controllo |
| SAP - Destinazione RFC dinamica | Identifica l'esecuzione di RFC usando destinazioni dinamiche. Caso d'uso secondario: tentativi di ignorare i meccanismi di sicurezza SAP |
Eseguire un report ABAP che usa destinazioni dinamiche (cl_dynamic_destination). Ad esempio, DEMO_RFC_DYNAMIC_DEST. Origini dati: SAPcon - Log di controllo |
Raccolta, esfiltrazione |
| SAP - Accesso diretto alle tabelle sensibili per accesso alla finestra di dialogo | Identifica l'accesso generico alle tabelle tramite l'accesso alla finestra di dialogo. | Aprire il contenuto del sommario usando SE11SE16N/SE16/. Origini dati: SAPcon - Log di controllo |
Individuazione |
| SAP - (anteprima) File scaricato da un indirizzo IP dannoso | Identifica il download di un file da un sistema SAP usando un indirizzo IP noto come dannoso. Gli indirizzi IP dannosi vengono ottenuti dai servizi di intelligence sulle minacce. | Scaricare un file da un indirizzo IP dannoso. Origini dati: log di controllo della sicurezza SAP, Intelligence per le minacce |
Esfiltrazione |
| SAP - (anteprima) Dati esportati da un sistema di produzione tramite un trasporto | Identifica l'esportazione dei dati da un sistema di produzione usando un trasporto. I trasporti vengono usati nei sistemi di sviluppo e sono simili alle richieste pull. Questa regola di avviso attiva eventi imprevisti con gravità media quando un trasporto che include i dati di qualsiasi tabella viene rilasciato da un sistema di produzione. La regola crea un evento imprevisto di gravità elevata quando l'esportazione include dati da una tabella sensibile. | Rilasciare un trasporto da un sistema di produzione. Origini dati: log SAP CR, SAP - Tabelle sensibili |
Esfiltrazione |
| SAP - (anteprima) Dati sensibili salvati in un'unità USB | Identifica l'esportazione dei dati SAP tramite file. La regola verifica la presenza di dati salvati in un'unità USB montata di recente in prossimità di un'esecuzione di una transazione sensibile, di un programma sensibile o di accesso diretto a una tabella sensibile. | Esportare i dati SAP tramite file e salvarli in un'unità USB. Origini dati: log di controllo della sicurezza SAP, DeviceFileEvents (Microsoft Defender per endpoint), SAP - Tabelle sensibili, SAP - Transazioni sensibili, SAP - Programmi sensibili |
Esfiltrazione |
| SAP - (anteprima) Stampa di dati potenzialmente sensibili | Identifica una richiesta o la stampa effettiva di dati potenzialmente sensibili. I dati sono considerati sensibili se l'utente ottiene i dati come parte di una transazione sensibile, l'esecuzione di un programma sensibile o l'accesso diretto a una tabella sensibile. | Stampare o richiedere di stampare dati sensibili. Origini dati: log di controllo della sicurezza SAP, log di Spool SAP, SAP - Tabelle sensibili, SAP - Programmi sensibili |
Esfiltrazione |
| SAP - (anteprima) Volume elevato di dati potenzialmente sensibili esportati | Identifica l'esportazione di un volume elevato di dati tramite file in prossimità di un'esecuzione di una transazione sensibile, un programma sensibile o l'accesso diretto a una tabella sensibile. | Esportare un volume elevato di dati tramite file. Origini dati: log di controllo della sicurezza SAP, SAP - Tabelle sensibili, SAP - Transazioni sensibili, SAP - Programmi sensibili |
Esfiltrazione |
Persistenza
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Attivazione o disattivazione del servizio ICF | Identifica l'attivazione o la disattivazione dei servizi ICF. | Attivare un servizio tramite SICF. Origini dati: SAPcon - Log dati tabella |
Comando e controllo, spostamento laterale, persistenza |
| SAP - Modulo funzione testato | Identifica il test di un modulo di funzione. | Testare un modulo di funzione usando SE37 / SE80. Origini dati: SAPcon - Log di controllo |
Raccolta, evasione della difesa, movimento laterale |
| SAP - (ANTEPRIMA) DATABASE HANA - Azioni di Amministrazione utente | Identifica le azioni di amministrazione degli utenti. | Creare, aggiornare o eliminare un utente del database. Origini dati: Agente Linux - Syslog* |
Escalation dei privilegi |
| SAP - Nuovi gestori del servizio ICF | Identifica la creazione di gestori ICF. | Assegnare un nuovo gestore a un servizio usando SICF. Origini dati: SAPcon - Log di controllo |
Comando e controllo, spostamento laterale, persistenza |
| SAP - Nuovi servizi ICF | Identifica la creazione di ICF Services. | Creare un servizio usando SICF. Origini dati: SAPcon - Log dati tabella |
Comando e controllo, spostamento laterale, persistenza |
| SAP - Esecuzione di un modulo funzione obsoleto o non sicuro | Identifica l'esecuzione di un modulo di funzione ABAP obsoleto o non sicuro. Mantenere le funzioni obsolete nell'elenco di controllo SAP - Obsolete Function Modules . Assicurarsi di attivare le modifiche di registrazione delle tabelle per la EUFUNC tabella nel back-end. (edizione Standard 13)Nota: rilevante solo per i sistemi di produzione. |
Eseguire direttamente un modulo di funzione obsoleto o non sicuro usando edizione Standard 37. Origini dati: SAPcon - Log dati tabella |
Individuazione, comando e controllo |
| SAP - Esecuzione di un programma obsoleto/non sicuro | Identifica l'esecuzione di un programma ABAP obsoleto o non sicuro. Gestire programmi obsoleti nell'elenco di controllo SAP - Programmi obsoleti. Nota: rilevante solo per i sistemi di produzione. |
Eseguire un programma direttamente usando edizione Standard 38/SA38/edizione Standard 80 o usando un processo in background. Origini dati: SAPcon - Log di controllo |
Individuazione, comando e controllo |
| SAP - Modifiche multiple delle password da parte dell'utente | Identifica più modifiche alla password da parte dell'utente. | Modificare la password utente Origini dati: SAPcon - Log di controllo |
Accesso tramite credenziali |
Tentativi di ignorare i meccanismi di sicurezza SAP
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Modifica della configurazione client | Identifica le modifiche per la configurazione client, ad esempio il ruolo client o la modalità di registrazione delle modifiche. | Eseguire modifiche alla configurazione del client usando il codice della SCC4 transazione. Origini dati: SAPcon - Log di controllo |
Evasione di difesa, esfiltrazione, persistenza |
| SAP - I dati sono stati modificati durante l'attività di debug | Identifica le modifiche per i dati di runtime durante un'attività di debug. Caso d'uso secondario: Persistenza |
1. Attivare il debug ("/h"). 2. Selezionare un campo per modificare e aggiornarne il valore. Origini dati: SAPcon - Log di controllo |
Esecuzione, spostamento laterale |
| SAP - Disattivazione del log di controllo della sicurezza | Identifica la disattivazione del log di controllo di sicurezza, | Disabilitare il log di controllo di sicurezza usando SM19/RSAU_CONFIG. Origini dati: SAPcon - Log di controllo |
Esfiltrazione, evasione della difesa, persistenza |
| SAP - Esecuzione di un programma ABAP sensibile | Identifica l'esecuzione diretta di un programma ABAP sensibile. Gestire i programmi ABAP nell'elenco di controllo SAP - Sensitive ABAP Programs ( Programmi ABAP sensibili). |
Eseguire un programma direttamente usando SE38//SA38SE80. Origini dati: SAPcon - Log di controllo |
Esfiltrazione, spostamento laterale, esecuzione |
| SAP - Esecuzione di un codice di transazione sensibile | Identifica l'esecuzione di un codice di transazione sensibile. Gestire i codici delle transazioni nell'elenco di controllo SAP - Codici transazioni sensibili. |
Eseguire un codice di transazione sensibile. Origini dati: SAPcon - Log di controllo |
Individuazione, esecuzione |
| SAP - Esecuzione del modulo di funzione sensibile | Identifica l'esecuzione di un modulo di funzione ABAP sensibile. Caso d'uso secondario: Persistenza Nota: rilevante solo per i sistemi di produzione. Mantenere le funzioni sensibili nell'elenco di controllo SAP - Sensitive Function Modules e assicurarsi di attivare le modifiche di registrazione delle tabelle nel back-end per la tabella EUFUNC. (edizione Standard 13) |
Eseguire un modulo di funzione sensibile direttamente usando edizione Standard 37. Origini dati: SAPcon - Log dati tabella |
Individuazione, comando e controllo |
| SAP - (ANTEPRIMA) HANA DB -Modifiche ai criteri audit trail | Identifica le modifiche per i criteri di audit trail del database HANA. | Creare o aggiornare i criteri di controllo esistenti nelle definizioni di sicurezza. Origini dati: Agente Linux - Syslog |
Movimento laterale, evasione della difesa, persistenza |
| SAP - (ANTEPRIMA) DATABASE HANA - Disattivazione del audit trail | Identifica la disattivazione del log di controllo del database HANA. | Disattivare il log di controllo nella definizione di sicurezza del database HANA. Origini dati: Agente Linux - Syslog |
Persistenza, movimento laterale, evasione della difesa |
| SAP - Esecuzione remota non autorizzata di un modulo di funzione sensibile | Rileva esecuzioni non autorizzate di macchine virtuali sensibili confrontando l'attività con il profilo di autorizzazione dell'utente ignorando le autorizzazioni modificate di recente. Gestire i moduli di funzione nell'elenco di controllo SAP - Sensitive Function Modules .Maintain function modules in the SAP - Sensitive Function Modules watchlist. |
Eseguire un modulo di funzione usando RFC. Origini dati: SAPcon - Log di controllo |
Esecuzione, spostamento laterale, individuazione |
| SAP - Modifica della configurazione del sistema | Identifica le modifiche per la configurazione di sistema. | Adattare le opzioni di modifica del sistema o la modifica del componente software usando il codice della SE06 transazione.Origini dati: SAPcon - Log di controllo |
Esfiltrazione, evasione della difesa, persistenza |
| SAP - Attività di debug | Identifica tutte le attività correlate al debug. Caso d'uso secondario: Persistenza |
Attivare debug ("/h") nel sistema, eseguire il debug di un processo attivo, aggiungere un punto di interruzione al codice sorgente e così via. Origini dati: SAPcon - Log di controllo |
Individuazione |
| SAP - Modifica della configurazione del log di controllo della sicurezza | Identifica le modifiche nella configurazione del log di controllo di sicurezza | Modificare qualsiasi configurazione del log di controllo di sicurezza usando SM19/RSAU_CONFIG, ad esempio i filtri, lo stato, la modalità di registrazione e così via. Origini dati: SAPcon - Log di controllo |
Persistenza, esfiltrazione, evasione della difesa |
| SAP - La transazione è sbloccata | Identifica lo sblocco di una transazione. | Sbloccare un codice di transazione usando SM01SM01_CUS/SM01_DEV/. Origini dati: SAPcon - Log di controllo |
Persistenza, esecuzione |
| SAP - Programma ABAP dinamico | Identifica l'esecuzione della programmazione ABAP dinamica. Ad esempio, quando il codice ABAP è stato creato, modificato o eliminato dinamicamente. Gestire i codici delle transazioni esclusi nell'elenco di controllo SAP - Transactions for ABAP Generations . |
Creare un report ABAP che usa i comandi di generazione del programma ABAP, ad esempio IN edizione Standard RT REPORT, quindi eseguire il report. Origini dati: SAPcon - Log di controllo |
Individuazione, comando e controllo, impatto |
Operazioni con privilegi sospetti
| Nome regola | Descrizione | Azione di origine | Tattiche |
|---|---|---|---|
| SAP - Modifica dell'utente con privilegi sensibili | Identifica le modifiche degli utenti con privilegi sensibili. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Utenti con privilegi. |
Modificare i dettagli utente/autorizzazioni usando SU01. Origini dati: SAPcon - Log di controllo |
Escalation dei privilegi, accesso alle credenziali |
| SAP - (ANTEPRIMA) DATABASE HANA - Assegnare autorizzazioni di Amministrazione | Identifica i privilegi di amministratore o l'assegnazione di ruolo. | Assegnare un utente con qualsiasi ruolo di amministratore o privilegi. Origini dati: Agente Linux - Syslog |
Escalation dei privilegi |
| SAP - Utente con privilegi sensibili connesso | Identifica l'accesso alla finestra di dialogo di un utente con privilegi sensibili. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Utenti con privilegi. |
Accedere al sistema back-end usando SAP* o un altro utente con privilegi. Origini dati: SAPcon - Log di controllo |
Accesso iniziale, accesso alle credenziali |
| SAP : l'utente con privilegi sensibili apporta una modifica in un altro utente | Identifica le modifiche degli utenti sensibili e con privilegi in altri utenti. | Modificare i dettagli utente/autorizzazioni usando SU01. Origini dati: SAPcon - Log di controllo |
Escalation dei privilegi, accesso alle credenziali |
| SAP - Modifica e accesso delle password degli utenti sensibili | Identifica le modifiche delle password per gli utenti con privilegi. | Modificare la password per un utente con privilegi e accedere al sistema. Gestire gli utenti con privilegi nell'elenco di controllo SAP - Utenti con privilegi. Origini dati: SAPcon - Log di controllo |
Impatto, comando e controllo, escalation dei privilegi |
| SAP : l'utente crea e usa un nuovo utente | Identifica un utente che crea e usa altri utenti. Caso d'uso secondario: Persistenza |
Creare un utente usando SU01 e quindi accedere usando l'utente appena creato e lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo |
Individuazione, preattack, accesso iniziale |
| SAP - User Unlocks and uses other users | Identifica un utente sbloccato e usato da altri utenti. Caso d'uso secondario: Persistenza |
Sbloccare un utente usando SU01 e quindi accedere usando l'utente sbloccato e lo stesso indirizzo IP. Origini dati: SAPcon - Log di controllo, SAPcon - Log delle modifiche dei documenti |
Individuazione, preattack, accesso iniziale, spostamento laterale |
| SAP - Assegnazione di un profilo sensibile | Identifica le nuove assegnazioni di un profilo sensibile a un utente. Mantenere i profili sensibili nell'elenco di controllo SAP - Profili sensibili. |
Assegnare un profilo a un utente usando SU01. Origini dati: SAPcon - Log delle modifiche dei documenti |
Escalation dei privilegi |
| SAP - Assegnazione di un ruolo sensibile | Identifica le nuove assegnazioni per un ruolo sensibile a un utente. Mantenere i ruoli sensibili nell'elenco di controllo SAP - Ruoli sensibili. |
Assegnare un ruolo a un utente usando SU01 / PFCG. Origini dati: SAPcon - Log di modifica documenti, Log di controllo |
Escalation dei privilegi |
| Assegnazione di autorizzazioni critiche SAP - (ANTEPRIMA) - Nuovo valore di autorizzazione | Identifica l'assegnazione di un valore dell'oggetto di autorizzazione critico a un nuovo utente. Mantenere gli oggetti di autorizzazione critici nell'elenco di controllo SAP - Critical Authorization Objects . |
Assegnare un nuovo oggetto di autorizzazione o aggiornare uno esistente in un ruolo usando PFCG. Origini dati: SAPcon - Log delle modifiche dei documenti |
Escalation dei privilegi |
| Assegnazione di autorizzazioni sap - Critica - Nuova assegnazione utente | Identifica l'assegnazione di un valore dell'oggetto di autorizzazione critico a un nuovo utente. Mantenere gli oggetti di autorizzazione critici nell'elenco di controllo SAP - Critical Authorization Objects . |
Assegnare un nuovo utente a un ruolo che contiene valori di autorizzazione critici, usando SU01/PFCG. Origini dati: SAPcon - Log delle modifiche dei documenti |
Escalation dei privilegi |
| SAP - Modifiche ai ruoli sensibili | Identifica le modifiche nei ruoli sensibili. Mantenere i ruoli sensibili nell'elenco di controllo SAP - Ruoli sensibili. |
Modificare un ruolo usando PFCG. Origini dati: SAPcon - Log delle modifiche dei documenti, SAPcon - Log di controllo |
Impatto, escalation dei privilegi, persistenza |
Elenchi di controllo disponibili
Nella tabella seguente sono elencate le watchlist disponibili per la soluzione Microsoft Sentinel per le applicazioni SAP® e i campi in ogni watchlist.
Questi watchlist forniscono la configurazione per la soluzione Microsoft Sentinel per le applicazioni SAP®. Gli elenchi di controllo SAP sono disponibili nel repository GitHub di Microsoft Sentinel.
| Nome elenco di controllo | Descrizione e campi |
|---|---|
| SAP - Oggetti di autorizzazione critici | Oggetto Authorizations critico, in cui devono essere regolate le assegnazioni. - AuthorizationObject: oggetto di autorizzazione SAP, ad esempio S_DEVELOP, S_TCODEo Table TOBJ - AuthorizationField: campo di autorizzazione SAP, ad esempio OBJTYP o TCD - AuthorizationValue: valore del campo di autorizzazione SAP, ad esempio DEBUG - ActivityField : campo attività SAP. Per la maggior parte dei casi, questo valore sarà ACTVT. Per gli oggetti Authorizations senza un'attività o con solo un campo Activity, compilato con NOT_IN_USE. - Attività: attività SAP, in base all'oggetto di autorizzazione, ad esempio: : 01Create; 02: Change; 03: Display e così via. - Descrizione: una descrizione significativa dell'oggetto autorizzazione critica. |
| SAP - Reti escluse | Per la manutenzione interna delle reti escluse, ad esempio ignorare i dispatcher Web, i server terminal e così via. -Rete: un indirizzo IP o un intervallo di rete, ad esempio 111.68.128.0/17. -Descrizione: una descrizione di rete significativa. |
| Utenti esclusi da SAP | Gli utenti di sistema che hanno eseguito l'accesso al sistema e devono essere ignorati. Ad esempio, avvisi per più accessi da parte dello stesso utente. - Utente: utente SAP -Descrizione: descrizione significativa dell'utente. |
| SAP - Reti | Reti interne e di manutenzione per l'identificazione di account di accesso non autorizzati. - Rete: indirizzo IP o intervallo di rete, ad esempio 111.68.128.0/17 - Descrizione: una descrizione di rete significativa. |
| SAP - Utenti con privilegi | Utenti con privilegi con restrizioni aggiuntive. - Utente: utente ABAP, ad esempio DDIC o SAP - Descrizione: descrizione significativa dell'utente. |
| SAP - Programmi ABAP sensibili | Programmi ABAP sensibili (report), dove l'esecuzione deve essere governata. - ABAPProgram: programma o report ABAP, ad esempio RSPFLDOC - Descrizione: una descrizione significativa del programma. |
| SAP - Modulo funzione sensibile | Reti interne e di manutenzione per l'identificazione di account di accesso non autorizzati. - FunctionModule: modulo di funzione ABAP, ad esempio RSAU_CLEAR_AUDIT_LOG - Descrizione: una descrizione significativa del modulo. |
| SAP - Profili sensibili | Profili sensibili, in cui devono essere regolate le assegnazioni. - Profilo: profilo di autorizzazione SAP, ad esempio SAP_ALL o SAP_NEW - Descrizione: una descrizione significativa del profilo. |
| SAP - Tabelle sensibili | Tabelle sensibili, in cui l'accesso deve essere regolato. - Tabella: tabella del dizionario ABAP, ad esempio USR02 o PA008 - Descrizione: descrizione significativa della tabella. |
| SAP - Ruoli sensibili | Ruoli sensibili, in cui l'assegnazione deve essere governata. - Ruolo: ruolo di autorizzazione SAP, ad esempio SAP_BC_BASIS_ADMIN - Descrizione: una descrizione significativa del ruolo. |
| SAP - Transazioni sensibili | Transazioni sensibili in cui deve essere disciplinata l'esecuzione. - TransactionCode: codice di transazione SAP, ad esempio RZ11 - Descrizione: descrizione significativa del codice. |
| SAP - Sistemi | Descrive il panorama dei sistemi SAP in base al ruolo, all'utilizzo e alla configurazione. - SystemID: ID sistema SAP (SYSID) - SystemRole: ruolo del sistema SAP, uno dei valori seguenti: Sandbox, Development, Quality Assurance, TrainingProduction - SystemUsage: utilizzo del sistema SAP, uno dei valori seguenti: ERP, BW, Solman, GatewayEnterprise Portal - InterfaceAttributes: parametro dinamico facoltativo da usare nei playbook. |
| S piattaforma di strumenti analitici ystemParameters | Parametri da controllare per verificare le modifiche di configurazione sospette. Questo watchlist viene precompilato con i valori consigliati (in base alla procedura consigliata sap) ed è possibile estendere l'elenco di controllo per includere più parametri. Se non si desidera ricevere avvisi per un parametro, impostare su EnableAlertsfalse.- ParameterName: nome del parametro. - Commento: Descrizione del parametro standard SAP. - EnableAlerts: definisce se abilitare gli avvisi per questo parametro. I valori sono true e false.- Opzione: definisce nel qual caso attivare un avviso: se il valore del parametro è maggiore o uguale ( GE), minore o uguale (LE) o uguale (EQ).Ad esempio, se il login/fails_to_user_lock parametro SAP è impostato su LE (minore o uguale) e un valore pari 5a , dopo che Microsoft Sentinel rileva una modifica a questo parametro specifico, confronta il valore appena segnalato e il valore previsto. Se il nuovo valore è 4, Microsoft Sentinel non attiva un avviso. Se il nuovo valore è 6, Microsoft Sentinel attiva un avviso.- ProductionSeverity: gravità dell'evento imprevisto per i sistemi di produzione. - ProductionValues: valori consentiti per i sistemi di produzione. - NonProdSeverity: gravità dell'evento imprevisto per i sistemi non di produzione. - NonProdValues: valori consentiti per sistemi non di produzione. |
| SAP - Utenti esclusi | Gli utenti di sistema che hanno eseguito l'accesso e devono essere ignorati, ad esempio per più accessi da parte dell'utente. - Utente: utente SAP - Descrizione: descrizione significativa dell'utente |
| SAP - Reti escluse | Mantenere le reti interne escluse per ignorare i dispatcher Web, i server terminal e così via. - Rete: indirizzo IP o intervallo di rete, ad esempio 111.68.128.0/17 - Descrizione: Descrizione significativa della rete |
| SAP - Moduli di funzione obsoleti | Moduli di funzione obsoleti, la cui esecuzione deve essere governata. - FunctionModule: modulo di funzione ABAP, ad esempio TH_SAPREL - Descrizione: Descrizione di un modulo di funzione significativo |
| SAP - Programmi obsoleti | Programmi ABAP obsoleti (report), la cui esecuzione deve essere governata. - ABAPProgram:ABAP Program, ad esempio TH_ RSPFLDOC - Descrizione: Descrizione significativa del programma ABAP |
| SAP - Transazioni per generazioni ABAP | Transazioni per generazioni ABAP le cui esecuzioni devono essere regolate. - TransactionCode:Transaction Code, ad esempio edizione Standard 11. - Descrizione: una descrizione significativa del codice di transazione |
| SAP - Server FTP | Server FTP per l'identificazione di connessioni non autorizzate. - Client: ad esempio 100. - FTP_Server_Name: nome del server FTP, ad esempio http://contoso.com/ -FTP_Server_Port:porta server FTP, ad esempio 22. - Descrizione Descrizione Diun server FTP significativo |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configurare gli avvisi del log di controllo SAP assegnando a ogni ID messaggio un livello di gravità, come richiesto dall'utente, per ogni ruolo di sistema (produzione, non di produzione). Questo watchlist descrive in dettaglio tutti gli ID dei messaggi del log di controllo standard SAP disponibili. L'elenco di controllo può essere esteso per contenere ID messaggi aggiuntivi che è possibile creare autonomamente usando miglioramenti ABAP nei sistemi SAP NetWeaver. Questo watchlist consente anche di configurare un team designato per gestire ogni tipo di evento ed escludere gli utenti dai ruoli SAP, dai profili SAP o dai tag dell'elenco di controllo SAP_User_Config . Questo watchlist è uno dei componenti principali usati per configurare le regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP. - MessageID: ID messaggio SAP o tipo di evento, ad esempio AUD (modifiche al record master utente) o AUB (modifiche all'autorizzazione). - DetailedDescription: una descrizione abilitata per markdown da visualizzare nel riquadro degli eventi imprevisti. - ProductionSeverity: gravità desiderata per l'evento imprevisto da creare con per i sistemi Highdi produzione , Medium. Può essere impostato su Disabled. - NonProdSeverity: gravità desiderata per l'evento imprevisto da creare con per i sistemi Highnon di produzione , Medium. Può essere impostato su Disabled. - ProductionThreshold Conteggio "Per ora" degli eventi da considerare sospetti per i sistemi 60di produzione. - NonProdThreshold Conteggio "Per ora" degli eventi da considerare sospetti per i sistemi 10non di produzione. - RolesTagsToExclude: questo campo accetta il nome del ruolo SAP, i nomi dei profili SAP o i tag dall'elenco di controllo SAP_User_Config. Questi vengono quindi usati per escludere gli utenti associati da tipi di evento specifici. Vedere le opzioni per i tag di ruolo alla fine di questo elenco. - RuleType: usare Deterministic per il tipo di evento da inviare a SAP - Monitoraggio del log di controllo deterministico dinamico o AnomaliesOnly per fare in modo che questo evento sia coperto dagli avvisi di Monitoraggio dei log di controllo basati su anomalie dinamici (ANTEPRIMA).- TeamsChannelID: parametro dinamico facoltativo da usare nei playbook. - DestinationEmail: parametro dinamico facoltativo da usare nei playbook. Per il campo RolesTagsToExclude : - Se si elencano i ruoli SAP o i profili SAP, questo esclude qualsiasi utente con i ruoli o i profili elencati da questi tipi di evento per lo stesso sistema SAP. Ad esempio, se si definisce il BASIC_BO_USERS ruolo ABAP per i tipi di eventi correlati AFC, gli utenti di Business Objects non attiveranno eventi imprevisti quando effettuano chiamate RFC di grandi dimensioni.- L'assegnazione di tag a un tipo di evento è simile alla specifica di ruoli o profili SAP, ma i tag possono essere creati nell'area di lavoro, in modo che i team SOC possano escludere gli utenti per attività senza dipendere dal team SAP. Ad esempio, agli ID messaggio di controllo AUB (modifiche di autorizzazione) e AUD (modifiche al record master utente) viene assegnato il MassiveAuthChanges tag. Gli utenti assegnati a questo tag vengono esclusi dai controlli per queste attività. L'esecuzione della funzione dell'area di lavoro SAPAuditLogConfigRecommend genera un elenco di tag consigliati da assegnare agli utenti, ad esempio Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Consente di ottimizzare gli avvisi escludendo /inclusi gli utenti in contesti specifici e viene usato anche per configurare le regole di analisi SAP predefinite per il monitoraggio del log di controllo SAP. - SAPUser: l'utente SAP - Tag: i tag vengono usati per identificare gli utenti rispetto a determinate attività. Ad esempio, l'aggiunta dei tag ["GenericTablebyRFCOK"] all'utente edizione Standard NTINEL_SRV impedirà la creazione di eventi imprevisti correlati a RFC per questo utente specifico Altri identificatori utente di Active Directory - Identificatore utente di ACTIVE Directory - Sid locale dell'utente - Nome entità utente |
Playbook disponibili
| Nome del playbook | Parametri | Connessioni |
|---|---|---|
| Risposta agli eventi imprevisti SAP - Bloccare l'utente da Teams - Basic | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Risposta agli eventi imprevisti SAP - Bloccare l'utente da Teams - Avanzate | - SAP-SOAP-KeyVault-Credential-Name - Impostazione predefinita Amministrazione Email - TeamsChannel |
- Microsoft Sentinel - Log di Monitoraggio di Azure - Office 365 Outlook - Microsoft Entra ID - Azure Key Vault - Microsoft Teams |
| Risposta agli eventi imprevisti SAP - Riattivare la registrazione di controllo dopo la disattivazione | - SAP-SOAP-KeyVault-Credential-Name - Impostazione predefinita Amministrazione Email - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Log di Monitoraggio di Azure - Microsoft Teams |
Passaggi successivi
Per altre informazioni, vedi:
- Distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®
- Informazioni di riferimento sulla soluzione Microsoft Sentinel per i log delle applicazioni SAP®
- Monitorare l'integrità del sistema SAP
- Distribuire la soluzione Microsoft Sentinel per il connettore dati delle applicazioni SAP® con SNC
- Informazioni di riferimento sul file di configurazione
- Prerequisiti per la distribuzione della soluzione Microsoft Sentinel per le applicazioni SAP®
- Risoluzione dei problemi della soluzione Microsoft Sentinel per la distribuzione di applicazioni SAP®