Konfigurowanie reguł monitorowania dzienników inspekcji SAP
Dziennik inspekcji SAP rejestruje akcje inspekcji i zabezpieczeń w systemach SAP, takie jak nieudane próby logowania lub inne podejrzane akcje. W tym artykule opisano sposób monitorowania dziennika inspekcji SAP przy użyciu wbudowanych reguł analitycznych usługi Microsoft Sentinel.
Dzięki tym regułom można monitorować wszystkie zdarzenia dziennika inspekcji lub otrzymywać alerty tylko wtedy, gdy wykryto anomalie. Dzięki temu możesz lepiej zarządzać dziennikami SAP, zmniejszając hałas bez naruszenia wartości zabezpieczeń.
Do monitorowania i analizowania danych dziennika inspekcji SAP są używane dwie reguły analizy:
- SAP — dynamiczny monitor dziennika inspekcji deterministycznej (WERSJA ZAPOZNAWCZA). Alerty dotyczące zdarzeń dziennika inspekcji SAP z minimalną konfiguracją. Regułę można skonfigurować dla jeszcze niższego współczynnika fałszywie dodatniego. Dowiedz się, jak skonfigurować regułę.
- SAP — dynamiczne alerty monitora dzienników inspekcji oparte na anomalii (WERSJA ZAPOZNAWCZA). Alerty dotyczące zdarzeń dziennika inspekcji SAP po wykryciu anomalii przy użyciu funkcji uczenia maszynowego i bez konieczności kodowania. Dowiedz się, jak skonfigurować regułę.
Dwa reguły monitora dzienników inspekcji SAP są dostarczane jako gotowe do wyjścia z pudełka i umożliwiają dalsze dostrajanie przy użyciu SAP_Dynamic_Audit_Log_Monitor_Configuration i SAP_User_Config list obserwowanych.
Wykrywanie anomalii
Podczas próby zidentyfikowania zdarzeń zabezpieczeń w zróżnicowanym dzienniku aktywności, takiego jak dziennik inspekcji SAP, należy zrównoważyć nakład pracy konfiguracji i ilość szumu, który generują alerty.
Za pomocą modułu dziennika inspekcji SAP w rozwiązaniu Sentinel for SAP możesz wybrać następujące opcje:
- Które zdarzenia mają być sprawdzane determinicznie przy użyciu dostosowanych, wstępnie zdefiniowanych progów i filtrów.
- Które zdarzenia chcesz pominąć, aby maszyna mogła samodzielnie poznać parametry.
Po oznaczeniu typu zdarzenia dziennika inspekcji SAP na potrzeby wykrywania anomalii aparat alertów sprawdza zdarzenia ostatnio przesyłane strumieniowo z dziennika inspekcji SAP. Aparat sprawdza, czy zdarzenia wydają się normalne, biorąc pod uwagę historię, która się nauczyła.
Usługa Microsoft Sentinel sprawdza zdarzenie lub grupę zdarzeń pod kątem anomalii. Próbuje dopasować zdarzenie lub grupę zdarzeń z wcześniej widocznymi działaniami tego samego rodzaju na poziomie użytkownika i systemu. Algorytm uczy się cech sieci użytkownika na poziomie maski podsieci i zgodnie z sezonowością.
Dzięki tej możliwości można wyszukać anomalie w wcześniej cichych typach zdarzeń, takich jak zdarzenia logowania użytkownika. Jeśli na przykład użytkownik JohnDoe loguje się setki razy na godzinę, możesz teraz zezwolić usłudze Microsoft Sentinel na podjęcie decyzji, czy zachowanie jest podejrzane. Czy to John pochodzi z księgowości, wielokrotnie odświeża pulpit nawigacyjny finansowy z wieloma źródłami danych, czy atak DDoS tworzący się?
Konfigurowanie reguły alertów monitora dzienników inspekcji opartej na anomalii (WERSJA ZAPOZNAWCZA) systemu SAP — dynamicznego wykrywania anomalii
Jeśli dane dziennika inspekcji SAP nie są jeszcze przesyłane strumieniowo do obszaru roboczego usługi Microsoft Sentinel, dowiedz się, jak wdrożyć rozwiązanie.
- W menu nawigacji usługi Microsoft Sentinel w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości (wersja zapoznawcza).
- Sprawdź, czy ciągłe monitorowanie zagrożeń dla aplikacji SAP ma aktualizacje.
- W menu nawigacji w obszarze Analiza włącz następujące 3 alerty dziennika inspekcji:
- SAP — dynamiczny monitor dziennika inspekcji deterministycznej. Działa co 10 minut i koncentruje się na zdarzeniach dziennika inspekcji SAP oznaczonych jako Deterministic.
- SAP — (wersja zapoznawcza) Dynamiczne alerty monitora dzienników inspekcji oparte na anomalii. Uruchamia co godzinę i koncentruje się na zdarzeniach SAP oznaczonych jako AnomaliesOnly.
- SAP — brak konfiguracji w monitorze dzienników inspekcji zabezpieczeń dynamicznych. Uruchamia codziennie, aby udostępnić zalecenia dotyczące konfiguracji modułu dziennika inspekcji SAP.
Usługa Microsoft Sentinel skanuje teraz cały dziennik inspekcji SAP w regularnych odstępach czasu na potrzeby deterministycznych zdarzeń zabezpieczeń i anomalii. Zdarzenia generowane przez ten dziennik można wyświetlić na stronie Zdarzenia .
Podobnie jak w przypadku każdego rozwiązania uczenia maszynowego, będzie działać lepiej z czasem. Wykrywanie anomalii najlepiej sprawdza się przy użyciu historii dziennika inspekcji SAP z siedmiu dni lub więcej.
Konfigurowanie typów zdarzeń za pomocą listy SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist
Można dodatkowo skonfigurować typy zdarzeń, które generują zbyt wiele zdarzeń przy użyciu listy SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist. Poniżej przedstawiono kilka opcji zmniejszenia liczby zdarzeń.
| Opcja | Opis |
|---|---|
| Ustawianie ważności i wyłączanie niechcianych zdarzeń | Domyślnie zarówno reguły deterministyczne, jak i reguły oparte na anomaliach tworzą alerty dla zdarzeń oznaczonych średnimi i wysokimi ważnościami. Te ważności można ustawić specjalnie dla środowisk produkcyjnych i nieprodukcyjnych. Można na przykład ustawić zdarzenie działania debugowania jako wysoką ważność w systemach produkcyjnych i wyłączyć te zdarzenia w systemach nieprodukcyjnych. |
| Wykluczanie użytkowników według ról SAP lub profilów SAP | Usługa Microsoft Sentinel dla oprogramowania SAP pozyskuje profil autoryzacji użytkownika SAP, w tym bezpośrednie i pośrednie przypisania ról, grupy i profile, dzięki czemu można mówić o języku SAP w rozwiązaniu SIEM. Możesz skonfigurować zdarzenie SAP, aby wykluczyć użytkowników na podstawie ich ról i profilów SAP. Na liście obserwowanych dodaj role lub profile, które grupują użytkowników interfejsu RFC w kolumnie RolesTagsToExclude , obok zdarzeń Ogólnego dostępu do tabeli według RFC . Od teraz otrzymasz alerty tylko dla użytkowników, którzy nie mają tych ról. |
| Wykluczanie użytkowników według tagów SOC | Dzięki tagom można wymyślić własne grupowanie bez polegania na skomplikowanych definicjach SAP, a nawet bez autoryzacji SAP. Ta metoda jest przydatna w przypadku zespołów SOC, które chcą utworzyć własne grupowanie dla użytkowników sap. Koncepcyjnie wykluczanie użytkowników według tagów działa jak tagi nazw: można ustawić wiele zdarzeń w konfiguracji z wieloma tagami. Nie otrzymujesz alertów dla użytkownika z tagiem skojarzonym z określonym zdarzeniem. Na przykład nie chcesz, aby określone konta usług były powiadamiane o ogólnym dostępie do tabeli według zdarzeń RFC , ale nie można odnaleźć roli SAP ani profilu SAP, który grupuje tych użytkowników. W takim przypadku można dodać tag GenTableRFCReadOK obok odpowiedniego zdarzenia na liście obserwowanych, a następnie przejść do listy obserwowanych SAP_User_Config i przypisać użytkownikom interfejsu ten sam tag. |
| Określanie progu częstotliwości dla typu zdarzenia i roli systemu | Działa jak ograniczenie prędkości. Można na przykład zdecydować, że hałaśliwy rekord główny użytkownika zmiany wyzwala alerty tylko wtedy, gdy w systemie produkcyjnym zaobserwowano więcej niż 12 działań. Jeśli użytkownik przekroczy limit 12 godzin — na przykład 2 zdarzenia w 10-minutowym oknie — zdarzenie zostanie wyzwolone. |
| Determinizm lub anomalie | Jeśli znasz cechy zdarzenia, możesz użyć możliwości deterministycznych. Jeśli nie masz pewności, jak poprawnie skonfigurować zdarzenie, możliwości uczenia maszynowego mogą zdecydować. |
| Możliwości SOAR | Usługa Microsoft Sentinel umożliwia dalsze organizowanie, automatyzowanie i reagowanie na zdarzenia, które można zastosować do alertów dynamicznych dziennika inspekcji SAP. Dowiedz się więcej o orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). |
Następne kroki
W tym artykule przedstawiono sposób monitorowania dziennika inspekcji SAP przy użyciu wbudowanych reguł analitycznych usługi Microsoft Sentinel.