Share via

Rozwiązanie Microsoft Sentinel dla aplikacji SAP® — SAP — dziennik inspekcji zabezpieczeń i skoroszyt dostępu początkowego

  • Artykuł

W tym artykule opisano dziennik inspekcji zabezpieczeń SAP i skoroszyt dostępu początkowego używany do monitorowania i śledzenia aktywności inspekcji użytkowników w systemach SAP. Możesz użyć skoroszytu, aby uzyskać wgląd w działania inspekcji użytkowników, aby lepiej zabezpieczyć systemy SAP i uzyskać szybki wgląd w podejrzane akcje. W razie potrzeby możesz przejść do szczegółów podejrzanych zdarzeń.

Możesz użyć skoroszytu na potrzeby ciągłego monitorowania systemów SAP lub przejrzeć systemy po zdarzeniu zabezpieczeń lub innym podejrzanym działaniu.

Rozpoczynanie korzystania ze skoroszytu

  1. W portalu usługi Microsoft Sentinel wybierz pozycję Skoroszyty z menu Zarządzanie zagrożeniami .

  2. W galerii Skoroszyty przejdź do pozycji Szablony i wprowadź ciąg SAP na pasku wyszukiwania, a następnie wybierz pozycję SAP -Security Audit log (Dziennik inspekcji zabezpieczeń) i Initial Access (Dostęp początkowy) spośród wyników.

  3. Wybierz pozycję Wyświetl szablon, aby użyć skoroszytu w stanie takim, w jakim jest, lub wybierz pozycję Zapisz, aby utworzyć edytowalną kopię skoroszytu. Po utworzeniu kopii wybierz pozycję Wyświetl zapisany skoroszyt.

    Screenshot of the top of the SAP -Security Audit log and Initial Access workbook.

    Ważne

    Dziennik inspekcji zabezpieczeń SAP i skoroszyt dostępu początkowego jest hostowany przez obszar roboczy, w którym zainstalowano rozwiązanie Microsoft Sentinel dla aplikacji SAP®. Domyślnie zakłada się, że zarówno system SAP, jak i dane SOC znajdują się w obszarze roboczym hostujący skoroszyt.

    Jeśli dane SOC znajdują się w innym obszarze roboczym niż obszar roboczy hostujący skoroszyt, pamiętaj o dołączeniu subskrypcji dla tego obszaru roboczego i wybraniu obszaru roboczego SOC z obszaru roboczego inspekcji i aktywności platformy Azure.

  4. Wybierz następujące pola, aby filtrować dane zgodnie z potrzebami:

    • Zakres czasu. Od czterech godzin do 90 dni.
    • Role systemowe. Role systemu SAP, na przykład: Programowanie.
    • Użycie systemu. Na przykład: SAP GTS.
    • Systemy SAP. Możesz wybrać wszystkie systemy, określony system lub wybrać wiele systemów.

    Jeśli wybierzesz systemy, które nie są skonfigurowane na liście kontrolnej "Systemy SAP", skoroszyt wyświetli błąd, określając systemy z problemami. W takim przypadku skonfiguruj listę obserwowanych, aby poprawnie uwzględnić te systemy.

Omówienie skoroszytu

Skoroszyt jest rozdzielony na dwie karty:

  • Raport analizy logowania. Przedstawia różne typy danych dotyczące niepowodzeń logowania. Dane obejmują nietypowe dane, dane firmy Microsoft Entra i inne. Dane są oparte na liście kontrolnej "systemy SAP".
  • Raport alertów dziennika inspekcji. Przedstawia różne typy danych dotyczących zdarzeń dziennika inspekcji SAP, które obserwuje rozwiązanie Microsoft Sentinel dla aplikacji SAP®. Dane są oparte na liście kontrolnej "SAP_Dynamic_Audit_Log_Monitor_Configuration".

Karta Raportu analizy logowania

Obejmuje obszary Analiza logowania i Błędy logowania.

Analiza logowania

Przedstawia różne typy danych dotyczących logowania użytkowników.

Screenshot of the Logon Analysis area of the SAP Audit workbook.

Obszar opis Opcje
Unikatowe logowania użytkowników na system Przedstawia liczbę unikatowych logów dla każdego systemu SAP oraz wykres z trendami logowania w wybranym czasie dla każdego systemu. Na przykład: system 012 ma unikatowe próby logowania 1,4 K w ciągu ostatnich 14 dni, a w tych 14 dniach wykres pokazuje stosunkowo rosnący trend logowania.
Trend typów logowania Pokazuje trend liczby logowań zgodnie z typem, na przykład logowanie za pośrednictwem okna dialogowego. Możesz umieścić wskaźnik myszy na grafie, aby wyświetlić liczbę logów dla różnych dat.
Niepowodzenia logowania a powodzenie przez unikatowych użytkowników — trend Przedstawia trend pomyślnych i zakończonych niepowodzeniem logowania w wybranym okresie. Możesz umieścić wskaźnik myszy na grafie, aby pokazać liczbę pomyślnych i nieudanych logów dla różnych dat.

Błędy logowania — wykrywanie anomalii

Obszary w obszarze Wykrywanie anomalii — odfiltrowanie hałaśliwych nieudanych prób logowania pokazują dane niepowodzenia logowania dla systemów SAP i użytkowników. Aby wyświetlić tylko dane oflagowane przez wykrywanie anomalii, wybierz pozycję Anomalous tylko obok pozycji Nieudane logowania po prawej stronie.

Screenshot of the sections in the Logon failures area of the SAP Audit workbook that you can filter by anomalous data.

Obszar opis Określone dane Opcje/notatki
Liczba niepowodzeń logowania Anomalie>błędów logowania Unikatowe logowania użytkownika nie powiodły się na system SAP> Przedstawia liczbę unikatowych nieudanych logów dla każdego systemu SAP.
Rozwiązania SAP i Active Directory są lepsze razem Tabela Anomalous login failures (Nietypowe błędy logowania) zawiera kombinację danych usługi Microsoft Sentinel i firmy Microsoft Entra. Skoroszyt wyświetla użytkowników według ryzyka: Użytkownicy, którzy wskazują na największe ryzyko, znajdują się na początku listy, a użytkownicy z mniejszym ryzykiem bezpieczeństwa znajdują się u dołu. Dla każdego użytkownika wyświetlane są następujące elementy:
• Oś czasu nieudanych prób logowania
• Oś czasu przedstawiająca, w którym momencie wystąpiła nietypowa próba niepowodzenia
• Typ anomalii
• Adres e-mail użytkownika
• Wskaźnik ryzyka firmy Microsoft Entra
• Liczba zdarzeń i alertów w usłudze Microsoft Sentinel		 • Po wybraniu wiersza można wyświetlić listę alertów i zdarzeń dla tego użytkownika w obszarze Przegląd zdarzeń/alertów dla użytkownika. Poniżej tej listy można również zobaczyć zdarzenia ryzyka firmy Microsoft Entra w obszarze Inspekcja platformy Azure i podpisywanie ryzyka związanego z użytkownikiem.
• Jeśli dane firmy Microsoft Entra są w innym obszarze roboczym usługi Log Analytics, upewnij się, że wybrano odpowiednie subskrypcje i obszary robocze w górnej części skoroszytu w obszarze Inspekcja i działania platformy Azure.
Współczynnik niepowodzeń logowania na system Wizualnie reprezentuje wybrane systemy SAP. • Dla każdego systemu pokazuje liczbę awarii w wybranym okresie
• Systemy są grupowane według typu.
• Kolor systemu wskazuje liczbę nieudanych prób: Green wskazuje kilka podejrzanych prób logowania, gdzie czerwony wskazuje bardziej podejrzane próby logowania.		 Możesz wybrać system, aby wyświetlić listę nieudanych logów ze szczegółowymi informacjami na temat błędów.

Na tym zrzucie ekranu widać dane wyświetlane po wybraniu pierwszego wiersza w tabeli Anomalous login failures (Nietypowe błędy logowania). Określone alerty i adresy URL zdarzeń są wyświetlane w sekcji Omówienie zdarzeń/alertów dla tabeli użytkowników .

Screenshot of data shown when a line is selected in the Anomalous login failures table.

Na tym zrzucie ekranu tabela inspekcji i logowania na platformie Azure zawiera dane dotyczące ryzyka logowania związanego z tym użytkownikiem.

Screenshot of audit and sign-in risk data shown when a line is selected in the Anomalous login failures table.

Na tym zrzucie ekranu widać współczynnik niepowodzeń logowania dla obszaru systemu , w którym wybrano system 84e w grupie Test . Logowanie nie powiodło się dla obszaru systemu po prawej stronie powoduje wyświetlenie zdarzeń awarii dla tego systemu.

Screenshot of the Login failure rate per system area of the SAP Audit workbook.

Niepowodzenia logowania — trendy

Obszar Trendy niepowodzeń logowania przedstawia trendy i liczbę nieudanych logów pogrupowanych według różnych typów danych.

Screenshot of the Logon failures trends area of the SAP Audit workbook.

Obszar opis
Niepowodzenie logowania według przyczyny Pokazuje trend liczby niepowodzeń logowania zgodnie z przyczyną niepowodzenia, na przykład: nieprawidłowe dane logowania.
Niepowodzenie logowania według typu Pokazuje trend liczby niepowodzeń logowania zgodnie z typem, na przykład: logowanie wyzwoliło zadanie w tle lub logowanie było za pośrednictwem protokołu HTTP.
Niepowodzenie logowania według metody Pokazuje trend liczby niepowodzeń logowania zgodnie z metodą, na przykład: SNC lub bilet logowania.

Karta Raport alertów dziennika inspekcji

Na tej karcie przedstawiono trendy ważności i inspekcji dla każdego systemu SAP i użytkownika. Wszystkie obszary na tej karcie zawierają tylko dane oflagowane przez wykrywanie anomalii. W przypadku wszystkich zdarzeń wybierz pozycję Wszystkie obok pozycji Nieudane logowania po prawej stronie.

Screenshot of the Audit Log Alerts area of the SAP Audit workbook.

Obszar opis Określone dane Opcje/notatki
Trendy ważności alertów na identyfikator systemu Przedstawia listę systemów z wykresem trendów zdarzeń o średniej i wysokiej ważności na system. Na przykład system 012 miał wiele zdarzeń o wysokiej ważności w całym okresie, a kilka zdarzeń o średniej ważności ze wzrostem, który pokazuje zdarzenia o większej średniej ważności w środku okresu.
Trend inspekcji na użytkownika Przedstawia kombinację danych Microsoft Sentinel i Microsoft Entra. Skoroszyt wyświetla użytkowników według ryzyka: użytkownicy, którzy wskazują na największe ryzyko, znajdują się na początku listy, a użytkownicy z mniejszym ryzykiem bezpieczeństwa znajdują się u dołu. Dla każdego użytkownika wyświetlane są następujące elementy:
• Oś czasu zdarzeń o wysokiej i średniej ważności
• Adres e-mail użytkownika
• Wskaźnik ryzyka firmy Microsoft Entra
• Liczba zdarzeń i alertów w usłudze Microsoft Sentinel		 Po wybraniu wiersza zobaczysz listę alertów i zdarzeń dla tego użytkownika w obszarze Przegląd zdarzeń/alertów dla użytkownika. Poniżej tej listy można również zobaczyć zdarzenia ryzyka firmy Microsoft Entra w obszarze Inspekcja platformy Azure i podpisywanie ryzyka związanego z użytkownikiem.
Ocena ryzyka na system Wizualnie reprezentuje każdy system w kształcie komórki. • Przedstawia ocenę ryzyka dla każdego systemu.
• Systemy są grupowane według typu.
• Kolor systemu wskazuje na ryzyko: Zielony wskazuje system o niższym wyniku ryzyka, gdzie czerwony wskazuje wyższy wskaźnik ryzyka.		 Możesz wybrać system, aby wyświetlić listę zdarzeń SAP na system.
Zdarzenia według taktyki MITRE ATT&CK® Przedstawia listę zdarzeń SAP pogrupowanych według taktyki MITRE ATT&CK®, takich jak wstępny dostęp lub uchylanie się od obrony. Możesz umieścić wskaźnik myszy na grafie, aby wyświetlić liczbę logów dla różnych dat.
Zdarzenia według kategorii Przedstawia listę trendów zdarzeń SAP pogrupowanych według kategorii, takich jak rozpoczęcie RFC lub logowanie. Możesz umieścić wskaźnik myszy na grafie, aby wyświetlić numer logowania dla różnych dat.
Zdarzenia według grupy autoryzacji Przedstawia listę trendów zdarzeń SAP pogrupowanych według grupy autoryzacji SAP, takiej jak USER lub SUPER. Możesz umieścić wskaźnik myszy na grafie, aby wyświetlić liczbę logów dla różnych dat.
Zdarzenia według typu użytkownika Przedstawia listę trendów zdarzeń SAP pogrupowanych według typu użytkownika SAP, takiego jak Okno dialogowe lub system. Możesz umieścić wskaźnik myszy na grafie, aby wyświetlić liczbę logów dla różnych dat.

Na tym zrzucie ekranu widać dane wyświetlane po wybraniu pierwszego wiersza w tabeli Przeprowadź inspekcję trendów dla poszczególnych użytkowników . Określone alerty i adresy URL zdarzeń są wyświetlane w sekcji Omówienie zdarzeń/alertów dla tabeli użytkowników .

Screenshot of data shown when a line is selected in the Audit trends per user table.

Na tym zrzucie ekranu widać wskaźnik ryzyka dla obszaru systemu , w którym wybrano system cb7 w grupie UAT . Zdarzenia SAP dla obszaru systemu poniżej wizualizacji systemu pokazują zdarzenie SAP dla tego systemu.

Screenshot of the Risk score per system area of the SAP Audit workbook.

Na tym zrzucie ekranu można zobaczyć obszary ze zdarzeniami i trendami zdarzeń pogrupowane według różnych typów danych: taktyka MITRE ATT&CK®, grupa autoryzacji SAP i typ użytkownika.

Screenshot of the different event data in the SAP Audit workbook.

Następne kroki

Aby uzyskać więcej informacji, zobacz: