Rozwiązanie Microsoft Sentinel dla aplikacji SAP®: dokumentacja zawartości zabezpieczeń
Ten artykuł zawiera szczegółowe informacje o zawartości zabezpieczeń dostępnej dla rozwiązania Microsoft Sentinel dla oprogramowania SAP.
Ważne
Chociaż rozwiązanie Usługi Microsoft Sentinel dla aplikacji SAP® jest ogólnie dostępne, niektóre składniki pozostają w wersji zapoznawczej. Ten artykuł wskazuje składniki, które są w wersji zapoznawczej w odpowiednich sekcjach poniżej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Dostępna zawartość zabezpieczeń obejmuje wbudowane skoroszyty i reguły analizy. Możesz również dodać listy kontrolne związane z oprogramowaniem SAP do użycia w podręcznikach wyszukiwania, reguł wykrywania, wyszukiwania zagrożeń i reagowania na nie.
Wbudowane skoroszyty
Użyj następujących wbudowanych skoroszytów, aby wizualizować i monitorować dane pozyskane za pośrednictwem łącznika danych SAP. Po wdrożeniu rozwiązania SAP można znaleźć skoroszyty SAP na karcie Moje skoroszyty .
| Nazwa skoroszytu | opis | Dzienniki |
|---|---|---|
| SAP — przeglądarka dziennika inspekcji | Wyświetla dane, takie jak: — Ogólna kondycja systemu, w tym logowania użytkowników w czasie, zdarzenia pozyskiwane przez system, klasy komunikatów i identyfikatory oraz programy ABAP są uruchamiane -Ważność zdarzeń występujących w systemie - Zdarzenia uwierzytelniania i autoryzacji występujące w systemie |
Używa danych z następującego dziennika: ABAPAuditLog_CL |
| Kontrole inspekcji SAP | Ułatwia sprawdzenie mechanizmów kontroli zabezpieczeń środowiska SAP pod kątem zgodności z wybraną strukturą kontroli przy użyciu narzędzi do wykonania następujących czynności: — Przypisywanie reguł analizy w środowisku do określonych mechanizmów kontroli zabezpieczeń i rodzin kontroli — Monitorowanie i kategoryzowanie zdarzeń generowanych przez reguły analizy opartej na rozwiązaniu SAP — Zgłaszanie zgodności |
Używa danych z następujących tabel: - SecurityAlert- SecurityIncident |
Aby uzyskać więcej informacji, zobacz Samouczek: wizualizowanie i monitorowanie danych oraz Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®.
Wbudowane reguły analizy
Monitorowanie konfiguracji statycznych parametrów zabezpieczeń sap (wersja zapoznawcza)
Aby zabezpieczyć system SAP, firma SAP zidentyfikowała parametry związane z zabezpieczeniami, które muszą być monitorowane pod kątem zmian. Dzięki regule "SAP — (wersja zapoznawcza) zmieniono poufne parametry statyczne, rozwiązanie Microsoft Sentinel dla aplikacji SAP® śledzi ponad 52 statyczne parametry związane z zabezpieczeniami w systemie SAP, które są wbudowane w usługę Microsoft Sentinel.
Uwaga
Aby rozwiązanie Microsoft Sentinel dla aplikacji SAP® pomyślnie monitorowało parametry zabezpieczeń SAP, rozwiązanie musi pomyślnie monitorować tabelę SAP PAHI w regularnych odstępach czasu. Sprawdź, czy rozwiązanie może pomyślnie monitorować tabelę PAHI.
Aby zrozumieć zmiany parametrów w systemie, rozwiązanie Microsoft Sentinel dla aplikacji SAP® używa tabeli historii parametrów, która rejestruje zmiany wprowadzone w parametrach systemowych co godzinę.
Parametry są również odzwierciedlone na liście kontrolnej SAPSystemParameters. Ta lista obserwowanych umożliwia użytkownikom dodawanie nowych parametrów, wyłączanie istniejących parametrów oraz modyfikowanie wartości i ważności dla parametru i roli systemu w środowiskach produkcyjnych lub nieprodukcyjnych.
Po wprowadzeniu zmiany w jednym z tych parametrów usługa Microsoft Sentinel sprawdza, czy zmiana jest powiązana z zabezpieczeniami i czy wartość jest ustawiona zgodnie z zalecanymi wartościami. Jeśli zmiana jest podejrzewana jako poza strefą bezpieczną, usługa Microsoft Sentinel tworzy zdarzenie zawierające szczegóły zmiany i identyfikuje osoby, które dokonały zmiany.
Przejrzyj listę parametrów monitorujących tę regułę.
Monitorowanie dziennika inspekcji SAP
Dane dziennika inspekcji SAP są używane w wielu regułach analitycznych rozwiązania Microsoft Sentinel dla aplikacji SAP®. Niektóre reguły analizy wyszukują określone zdarzenia w dzienniku, a inne korelują wskazania z kilku dzienników w celu wygenerowania alertów i zdarzeń o wysokiej wierności.
Ponadto istnieją dwie reguły analizy, które są przeznaczone do obsługi całego zestawu standardowych zdarzeń dziennika inspekcji SAP (183 różne zdarzenia) i innych zdarzeń niestandardowych, które można rejestrować przy użyciu dziennika inspekcji SAP.
Zarówno reguły analizy monitorowania dzienników inspekcji sap współużytkują te same źródła danych, jak i tę samą konfigurację, ale różnią się w jednym krytycznym aspekcie. Chociaż reguła "SAP — Dynamiczny monitor dziennika inspekcji deterministycznej" wymaga deterministycznych progów alertów i reguł wykluczeń użytkowników, reguła "SAP - Dynamic Anomaly-based Audit Log Monitor Alerts (PREVIEW)" stosuje dodatkowe algorytmy uczenia maszynowego do filtrowania szumów w tle w sposób nienadzorowany. Z tego powodu domyślnie większość typów zdarzeń (lub identyfikatorów komunikatów SAP) dziennika inspekcji SAP jest wysyłana do reguły analizy opartej na anomaliach, a łatwiejsze do zdefiniowania typów zdarzeń są wysyłane do reguły analizy deterministycznej. To ustawienie, wraz z innymi powiązanymi ustawieniami, można dodatkowo skonfigurować tak, aby odpowiadało wszelkim warunkom systemowemu.
SAP — dynamiczny monitor dziennika inspekcji deterministycznej
Dynamiczna reguła analizy przeznaczona do pokrycia całego zestawu typów zdarzeń dziennika inspekcji SAP, które mają definicję deterministyczną pod względem populacji użytkowników, progów zdarzeń.
- Konfigurowanie reguły przy użyciu listy SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist
- Dowiedz się więcej na temat konfigurowania reguły (pełna procedura)
SAP — dynamiczne alerty monitora dzienników inspekcji oparte na anomalii (WERSJA ZAPOZNAWCZA)
Reguła analizy dynamicznej przeznaczona do uczenia się normalnego zachowania systemu i alertów dotyczących działań obserwowanych w dzienniku inspekcji sap, które są uznawane za nietypowe. Zastosuj tę regułę dla typów zdarzeń dziennika inspekcji SAP, które są trudniejsze do zdefiniowania pod względem populacji użytkowników, atrybutów sieci i progów.
Więcej informacji:
- Konfigurowanie reguły przy użyciu SAP_Dynamic_Audit_Log_Monitor_Configuration i SAP_User_Config list do obejrzenia
- Dowiedz się więcej na temat konfigurowania reguły (pełna procedura)
W poniższych tabelach wymieniono wbudowane reguły analizy zawarte w rozwiązaniu Microsoft Sentinel dla aplikacji SAP® wdrożonych z witryny Microsoft Sentinel Solutions Marketplace.
Dostęp początkowy
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| SAP — logowanie z nieoczekiwanej sieci | Identyfikuje logowanie z nieoczekiwanej sieci. Obsługa sieci na liście obserwowanych sap — Networks . |
Zaloguj się do systemu zaplecza z adresu IP, który nie jest przypisany do jednej z sieci. Źródła danych: SAPcon — dziennik inspekcji |
Dostęp początkowy |
| SAP — atak SPNego | Identyfikuje atak replay SPNego. | Źródła danych: SAPcon — dziennik inspekcji | Wpływ, ruch poprzeczny |
| SAP — próba logowania w oknie dialogowym od uprzywilejowanego użytkownika | Identyfikuje próby logowania w oknie dialogowym z typem AUM przez uprzywilejowanych użytkowników w systemie SAP. Aby uzyskać więcej informacji, zobacz SAPUsersGetPrivileged. | Próba zalogowania się z tego samego adresu IP do kilku systemów lub klientów w zaplanowanym przedziale czasu Źródła danych: SAPcon — dziennik inspekcji |
Wpływ, ruch poprzeczny |
| SAP — ataki siłowe | Identyfikuje ataki siłowe na system SAP przy użyciu logowania RFC | Próba zalogowania się z tego samego adresu IP do kilku systemów/klientów w zaplanowanym przedziale czasu przy użyciu protokołu RFC Źródła danych: SAPcon — dziennik inspekcji |
Dostęp poświadczeń |
| SAP — wiele logów z tego samego adresu IP | Identyfikuje logowanie kilku użytkowników z tego samego adresu IP w zaplanowanym przedziale czasu. Przypadek podrzędnego użycia: Trwałość |
Zaloguj się przy użyciu kilku użytkowników za pośrednictwem tego samego adresu IP. Źródła danych: SAPcon — dziennik inspekcji |
Dostęp początkowy |
| SAP — wiele logów według użytkownika | Identyfikuje logowania tego samego użytkownika z kilku terminali w zaplanowanym przedziale czasu. Dostępne tylko za pośrednictwem metody Audit SAL dla systemu SAP w wersji 7.5 lub nowszej. |
Zaloguj się przy użyciu tego samego użytkownika, używając różnych adresów IP. Źródła danych: SAPcon — dziennik inspekcji |
Dostęp przed atakami, dostęp poświadczeń, dostęp początkowy, kolekcja Przypadek podrzędnego użycia: Trwałość |
| SAP — Informational — Lifecycle — SAP Notes zostały zaimplementowane w systemie | Identyfikuje implementację programu SAP Note w systemie. | Zaimplementuj notatkę SAP przy użyciu programu SNOTE/TCI. Źródła danych: SAPcon — żądania zmiany |
- |
Eksfiltracja danych
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| SAP — FTP dla nieautoryzowanych serwerów | Identyfikuje połączenie FTP dla nieautoryzowanego serwera. | Utwórz nowe połączenie FTP, na przykład przy użyciu modułu funkcji FTP_CONNECT. Źródła danych: SAPcon — dziennik inspekcji |
Odnajdywanie, dostęp początkowy, sterowanie i kontrola |
| SAP — niezabezpieczona konfiguracja serwerów FTP | Identyfikuje niezabezpieczone konfiguracje serwera FTP, takie jak wtedy, gdy lista dozwolonych FTP jest pusta lub zawiera symbole zastępcze. | Nie należy utrzymywać ani utrzymywać wartości zawierających symbole zastępcze w SAPFTP_SERVERS tabeli przy użyciu SAPFTP_SERVERS_V widoku konserwacji. (SM30) Źródła danych: SAPcon — dziennik inspekcji |
Dostęp początkowy, polecenie i kontrola |
| SAP — pobieranie wielu plików | Identyfikuje wiele plików do pobrania dla użytkownika w określonym zakresie czasu. | Pobierz wiele plików przy użyciu programu SAPGui dla programu Excel, list itd. Źródła danych: SAPcon — dziennik inspekcji |
Kolekcja, eksfiltracja, dostęp poświadczeń |
| SAP — wiele wykonań puli | Identyfikuje wiele buforów dla użytkownika w określonym zakresie czasu. | Tworzenie i uruchamianie wielu zadań buforowania dowolnego typu przez użytkownika. (SP01) Źródła danych: SAPcon — dziennik buforu, SAPcon — dziennik inspekcji |
Kolekcja, eksfiltracja, dostęp poświadczeń |
| SAP — wiele wykonań wyjściowych puli | Identyfikuje wiele buforów dla użytkownika w określonym zakresie czasu. | Tworzenie i uruchamianie wielu zadań buforowania dowolnego typu przez użytkownika. (SP01) Źródła danych: SAPcon — dziennik wyjściowy buforu, SAPcon — dziennik inspekcji |
Kolekcja, eksfiltracja, dostęp poświadczeń |
| SAP — bezpośredni dostęp do tabel poufnych za pomocą logowania RFC | Identyfikuje ogólny dostęp do tabeli przez logowanie RFC. Obsługa tabel na liście obserwowanych tabel SAP — Poufne tabele . Uwaga: dotyczy tylko systemów produkcyjnych. |
Otwórz zawartość tabeli przy użyciu se11/SE16/SE16N. Źródła danych: SAPcon — dziennik inspekcji |
Kolekcja, eksfiltracja, dostęp poświadczeń |
| SAP — przejęcie puli | Identyfikuje użytkownika drukującego żądanie buforu, które zostało utworzone przez inną osobę. | Utwórz żądanie buforu przy użyciu jednego użytkownika, a następnie wyprowadź je przy użyciu innego użytkownika. Źródła danych: SAPcon — dziennik buforu, SAPcon — dziennik wyjściowy puli, SAPcon — dziennik inspekcji |
Kolekcja, eksfiltracja, polecenia i kontrolka |
| SAP — dynamiczne miejsce docelowe RFC | Określa wykonywanie RFC przy użyciu dynamicznych miejsc docelowych. Przypadek użycia podrzędnego: próby obejścia mechanizmów zabezpieczeń SAP |
Wykonaj raport ABAP, który używa dynamicznych miejsc docelowych (cl_dynamic_destination). Na przykład DEMO_RFC_DYNAMIC_DEST. Źródła danych: SAPcon — dziennik inspekcji |
Kolekcja, Eksfiltracja |
| SAP — bezpośredni dostęp do tabel poufnych według logowania w oknie dialogowym | Identyfikuje ogólny dostęp do tabeli za pośrednictwem logowania w oknie dialogowym. | Otwórz zawartość tabeli przy użyciu polecenia SE11SE16N/SE16/. Źródła danych: SAPcon — dziennik inspekcji |
Odnajdowanie |
| SAP — (wersja zapoznawcza) Plik pobrany ze złośliwego adresu IP | Identyfikuje pobieranie pliku z systemu SAP przy użyciu adresu IP znanego jako złośliwy. Złośliwe adresy IP są uzyskiwane z usług analizy zagrożeń. | Pobierz plik ze złośliwego adresu IP. Źródła danych: dziennik inspekcji zabezpieczeń SAP, analiza zagrożeń |
Wyprowadzanie |
| SAP — (wersja zapoznawcza) Dane wyeksportowane z systemu produkcyjnego przy użyciu transportu | Identyfikuje eksport danych z systemu produkcyjnego przy użyciu transportu. Transporty są używane w systemach deweloperskich i są podobne do żądań ściągnięcia. Ta reguła alertu wyzwala zdarzenia o średniej ważności, gdy transport zawierający dane z dowolnej tabeli jest zwalniany z systemu produkcyjnego. Reguła tworzy zdarzenie o wysokiej ważności, gdy eksport zawiera dane z poufnej tabeli. | Zwolnij transport z systemu produkcyjnego. Źródła danych: dziennik SAP CR, SAP — tabele poufne |
Wyprowadzanie |
| SAP — (wersja zapoznawcza) Poufne dane zapisane na dysku USB | Identyfikuje eksport danych SAP za pośrednictwem plików. Reguła sprawdza dane zapisane w niedawno zainstalowanym dysku USB w pobliżu wykonywania poufnej transakcji, programu poufnego lub bezpośredniego dostępu do poufnej tabeli. | Eksportowanie danych SAP za pośrednictwem plików i zapisywanie ich na dysku USB. Źródła danych: Dziennik inspekcji zabezpieczeń SAP, DeviceFileEvents (Ochrona punktu końcowego w usłudze Microsoft Defender), SAP — poufne tabele, SAP — poufne transakcje, SAP — programy poufne |
Wyprowadzanie |
| SAP — (wersja zapoznawcza) Drukowanie potencjalnie poufnych danych | Identyfikuje żądanie lub rzeczywiste drukowanie potencjalnie poufnych danych. Dane są uznawane za poufne, jeśli użytkownik uzyskuje dane w ramach poufnej transakcji, wykonywania poufnego programu lub bezpośredniego dostępu do poufnej tabeli. | Drukuj lub żądaj drukowania poufnych danych. Źródła danych: dziennik inspekcji zabezpieczeń SAP, dzienniki buforu SAP, SAP — poufne tabele, SAP — programy poufne |
Wyprowadzanie |
| SAP — (wersja zapoznawcza) Duża liczba eksportowanych potencjalnie poufnych danych | Identyfikuje eksport dużej ilości danych za pośrednictwem plików znajdujących się w pobliżu wykonywania poufnej transakcji, programu poufnego lub bezpośredniego dostępu do poufnej tabeli. | Eksportowanie dużej ilości danych za pośrednictwem plików. Źródła danych: dziennik inspekcji zabezpieczeń SAP, SAP — tabele poufne, SAP — poufne transakcje, SAP — programy poufne |
Wyprowadzanie |
Trwałości
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| SAP — aktywacja lub dezaktywacja usługi ICF | Identyfikuje aktywację lub dezaktywację usług ICF. | Aktywowanie usługi przy użyciu interfejsu SICF. Źródła danych: SAPcon — dziennik danych tabeli |
Sterowanie i sterowanie, ruch boczny, trwałość |
| SAP — przetestowany moduł funkcji | Identyfikuje testowanie modułu funkcji. | Przetestuj moduł funkcji przy użyciu polecenia SE37 / SE80. Źródła danych: SAPcon — dziennik inspekcji |
Zbieranie, uchylanie się od obrony, ruch poprzeczny |
| SAP — (WERSJA ZAPOZNAWCZA) HANA DB — akcje Administracja użytkownika | Identyfikuje akcje administracyjne użytkowników. | Tworzenie, aktualizowanie lub usuwanie użytkownika bazy danych. Źródła danych: Agent systemu Linux — Dziennik systemu* |
Eskalacja uprawnień |
| SAP — nowe programy obsługi usług ICF | Identyfikuje tworzenie programów obsługi ICF. | Przypisz nową procedurę obsługi do usługi przy użyciu interfejsu SICF. Źródła danych: SAPcon — dziennik inspekcji |
Sterowanie i sterowanie, ruch boczny, trwałość |
| SAP — nowe usługi ICF | Identyfikuje tworzenie usług ICF. | Tworzenie usługi przy użyciu interfejsu SICF. Źródła danych: SAPcon — dziennik danych tabeli |
Sterowanie i sterowanie, ruch boczny, trwałość |
| SAP — wykonywanie przestarzałego lub niezabezpieczonego modułu funkcji | Identyfikuje wykonywanie przestarzałego lub niezabezpieczonego modułu funkcji ABAP. Obsługa przestarzałych funkcji na liście obserwowanych modułów funkcji SAP — przestarzałe. Pamiętaj, aby aktywować zmiany rejestrowania tabel dla EUFUNC tabeli w zapleczu. (SE13)Uwaga: dotyczy tylko systemów produkcyjnych. |
Uruchom przestarzały lub niezabezpieczony moduł funkcji bezpośrednio przy użyciu programu SE37. Źródła danych: SAPcon — dziennik danych tabeli |
Odnajdywanie, sterowanie i sterowanie |
| SAP — wykonywanie przestarzałego/niezabezpieczonego programu | Identyfikuje wykonywanie przestarzałego lub niezabezpieczonego programu ABAP. Obsługa przestarzałych programów na liście obserwowanych programów SAP — Przestarzałe programy . Uwaga: dotyczy tylko systemów produkcyjnych. |
Uruchamianie programu bezpośrednio przy użyciu programu SE38/SA38/SE80 lub przy użyciu zadania w tle. Źródła danych: SAPcon — dziennik inspekcji |
Odnajdywanie, sterowanie i sterowanie |
| SAP — wiele zmian haseł według użytkownika | Identyfikuje wiele zmian haseł według użytkownika. | Zmienianie hasła użytkownika Źródła danych: SAPcon — dziennik inspekcji |
Dostęp poświadczeń |
Próby obejścia mechanizmów zabezpieczeń SAP
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| SAP — zmiana konfiguracji klienta | Określa zmiany konfiguracji klienta, takie jak rola klienta lub tryb rejestrowania zmian. | Przeprowadź zmiany konfiguracji klienta przy użyciu SCC4 kodu transakcji. Źródła danych: SAPcon — dziennik inspekcji |
Uchylanie się od obrony, eksfiltracja, trwałość |
| SAP — dane uległy zmianie podczas działania debugowania | Identyfikuje zmiany danych środowiska uruchomieniowego podczas działania debugowania. Przypadek podrzędnego użycia: Trwałość |
1. Aktywuj debugowanie ("/h"). 2. Wybierz pole do zmiany i zaktualizuj jego wartość. Źródła danych: SAPcon — dziennik inspekcji |
Wykonywanie, ruch boczny |
| SAP — dezaktywacja dziennika inspekcji zabezpieczeń | Identyfikuje dezaktywację dziennika inspekcji zabezpieczeń, | Wyłącz dziennik inspekcji zabezpieczeń przy użyciu polecenia SM19/RSAU_CONFIG. Źródła danych: SAPcon — dziennik inspekcji |
Eksfiltracja, uchylanie się od obrony, trwałość |
| SAP — wykonywanie poufnego programu ABAP | Identyfikuje bezpośrednie wykonywanie poufnego programu ABAP. Obsługa programów ABAP na liście obserwowanych programów SAP — sensitive ABAP Programs . |
Uruchom program bezpośrednio przy użyciu polecenia SE38SE80/SA38/. Źródła danych: SAPcon — dziennik inspekcji |
Eksfiltracja, ruch poprzeczny, wykonywanie |
| SAP — wykonywanie poufnego kodu transakcji | Identyfikuje wykonywanie poufnego kodu transakcji. Obsługa kodów transakcji na liście obserwowanych kodów transakcji sap — poufne kody transakcji. |
Uruchom poufny kod transakcji. Źródła danych: SAPcon — dziennik inspekcji |
Odnajdywanie, wykonywanie |
| SAP — wykonywanie modułu funkcji poufnej | Identyfikuje wykonywanie poufnego modułu funkcji ABAP. Przypadek podrzędnego użycia: Trwałość Uwaga: dotyczy tylko systemów produkcyjnych. Obsługa funkcji poufnych na liście obserwowanych modułów funkcji SAP — Sensitive Function Modules i pamiętaj, aby aktywować zmiany rejestrowania tabel w zapleczu dla tabeli EUFUNC. (SE13) |
Uruchom moduł funkcji poufnej bezpośrednio przy użyciu programu SE37. Źródła danych: SAPcon — dziennik danych tabeli |
Odnajdywanie, sterowanie i sterowanie |
| SAP — (WERSJA ZAPOZNAWCZA) BAZA danych HANA — zmiany zasad dziennika inspekcji | Identyfikuje zmiany zasad dzienników inspekcji bazy danych HANA. | Utwórz lub zaktualizuj istniejące zasady inspekcji w definicjach zabezpieczeń. Źródła danych: Agent systemu Linux — Dziennik systemu |
Ruch poprzeczny, uchylanie się od obrony, trwałość |
| SAP — (WERSJA ZAPOZNAWCZA) BAZA danych HANA — dezaktywacja dziennika inspekcji | Określa dezaktywację dziennika inspekcji bazy danych HANA. | Dezaktywuj dziennik inspekcji w definicji zabezpieczeń bazy danych HANA. Źródła danych: Agent systemu Linux — Dziennik systemu |
Trwałość, ruch poprzeczny, uchylanie się od obrony |
| SAP — nieautoryzowane zdalne wykonywanie poufnego modułu funkcji | Wykrywa nieautoryzowane wykonania poufnych maszyn wirtualnych, porównując działanie z profilem autoryzacji użytkownika, pomijając ostatnio zmienione autoryzacje. Obsługa modułów funkcji na liście obserwowanych modułów funkcji SAP — Sensitive Function Modules . |
Uruchamianie modułu funkcji przy użyciu protokołu RFC. Źródła danych: SAPcon — dziennik inspekcji |
Wykonywanie, ruch poprzeczny, odnajdywanie |
| SAP — zmiana konfiguracji systemu | Identyfikuje zmiany konfiguracji systemu. | Dostosuj opcje zmiany systemu lub modyfikację SE06 składnika oprogramowania przy użyciu kodu transakcji.Źródła danych: SAPcon — dziennik inspekcji |
Eksfiltracja, uchylanie się od obrony, trwałość |
| SAP — działania debugowania | Identyfikuje wszystkie działania związane z debugowaniem. Przypadek podrzędnego użycia: Trwałość |
Aktywuj debugowanie ("/h") w systemie, debugowanie aktywnego procesu, dodawanie punktu przerwania do kodu źródłowego itd. Źródła danych: SAPcon — dziennik inspekcji |
Odnajdowanie |
| SAP — zmiana konfiguracji dziennika inspekcji zabezpieczeń | Identyfikuje zmiany w konfiguracji dziennika inspekcji zabezpieczeń | Zmień dowolną konfigurację dziennika inspekcji zabezpieczeń przy użyciu polecenia SM19/RSAU_CONFIG, na przykład filtry, stan, tryb nagrywania itd. Źródła danych: SAPcon — dziennik inspekcji |
Trwałość, eksfiltracja, uchylanie się od obrony |
| SAP — transakcja jest odblokowana | Identyfikuje odblokowywanie transakcji. | Odblokuj kod transakcji przy użyciu polecenia SM01SM01_CUS/SM01_DEV/. Źródła danych: SAPcon — dziennik inspekcji |
Trwałość, wykonywanie |
| SAP — dynamiczny program ABAP | Określa wykonywanie dynamicznego programowania ABAP. Na przykład gdy kod ABAP został dynamicznie utworzony, zmieniony lub usunięty. Obsługa wykluczonych kodów transakcji na liście kontrolnej SAP — Transakcje dla generacji ABAP. |
Utwórz raport ABAP, który używa poleceń generowania programu ABAP, takich jak INSERT REPORT, a następnie uruchom raport. Źródła danych: SAPcon — dziennik inspekcji |
Odnajdywanie, sterowanie i kontrola, wpływ |
Podejrzane operacje uprawnień
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| SAP — zmiana w poufnym uprzywilejowanym użytkowniku | Identyfikuje zmiany poufnych uprzywilejowanych użytkowników. Obsługa uprzywilejowanych użytkowników na liście obserwowanych sap — Privileged Users . |
Zmień szczegóły użytkownika/autoryzacje przy użyciu polecenia SU01. Źródła danych: SAPcon — dziennik inspekcji |
Eskalacja uprawnień, dostęp poświadczeń |
| SAP — (WERSJA ZAPOZNAWCZA) HANA DB — Przypisywanie autoryzacji Administracja | Identyfikuje uprawnienia administratora lub przypisanie roli. | Przypisz użytkownika z dowolną rolą lub uprawnieniami administratora. Źródła danych: Agent systemu Linux — Dziennik systemu |
Eskalacja uprawnień |
| SAP — zalogowany poufny użytkownik uprzywilejowany | Identyfikuje logowanie w oknie dialogowym poufnego uprzywilejowanego użytkownika. Obsługa uprzywilejowanych użytkowników na liście obserwowanych sap — Privileged Users . |
Zaloguj się do systemu zaplecza przy użyciu SAP* lub innego uprzywilejowanego użytkownika. Źródła danych: SAPcon — dziennik inspekcji |
Dostęp początkowy, dostęp poświadczeń |
| SAP — poufny użytkownik uprzywilejowany wprowadza zmianę w innym użytkowniku | Identyfikuje zmiany poufnych, uprzywilejowanych użytkowników w innych użytkownikach. | Zmień szczegóły użytkownika/autoryzacje przy użyciu protokołu SU01. Źródła danych: SAPcon — dziennik inspekcji |
Eskalacja uprawnień, dostęp poświadczeń |
| SAP — zmiana hasła użytkowników poufnych i logowanie | Identyfikuje zmiany haseł dla uprzywilejowanych użytkowników. | Zmień hasło uprzywilejowanego użytkownika i zaloguj się do systemu. Obsługa uprzywilejowanych użytkowników na liście obserwowanych sap — Privileged Users . Źródła danych: SAPcon — dziennik inspekcji |
Wpływ, sterowanie i kontrola, eskalacja uprawnień |
| SAP — użytkownik tworzy i używa nowego użytkownika | Identyfikuje użytkownika tworzącego i używającego innych użytkowników. Przypadek podrzędnego użycia: Trwałość |
Utwórz użytkownika przy użyciu protokołu SU01, a następnie zaloguj się przy użyciu nowo utworzonego użytkownika i tego samego adresu IP. Źródła danych: SAPcon — dziennik inspekcji |
Odnajdywanie, wstępne ataki, dostęp początkowy |
| SAP — odblokowywanie użytkowników i korzystanie z innych użytkowników | Identyfikuje użytkownika, który jest odblokowany i używany przez innych użytkowników. Przypadek podrzędnego użycia: Trwałość |
Odblokuj użytkownika przy użyciu protokołu SU01, a następnie zaloguj się przy użyciu odblokowanego użytkownika i tego samego adresu IP. Źródła danych: SAPcon — dziennik inspekcji, SAPcon — dziennik zmian dokumentów |
Odnajdywanie, atak wstępny, dostęp początkowy, ruch boczny |
| SAP — przypisywanie profilu poufnego | Identyfikuje nowe przypisania profilu poufnego dla użytkownika. Obsługa poufnych profilów na liście obserwowanych profilów sap — poufne profile. |
Przypisz profil do użytkownika przy użyciu polecenia SU01. Źródła danych: SAPcon — dziennik zmian dokumentów |
Eskalacja uprawnień |
| SAP — przypisywanie roli poufnej | Identyfikuje nowe przypisania dla roli poufnej dla użytkownika. Obsługa ról poufnych na liście obserwowanych ról poufnych SAP — role poufne . |
Przypisz rolę do użytkownika przy użyciu polecenia SU01 / PFCG. Źródła danych: SAPcon — dziennik zmian dokumentów, dziennik inspekcji |
Eskalacja uprawnień |
| SAP — (WERSJA ZAPOZNAWCZA) Przypisanie autoryzacji krytycznych — nowa wartość autoryzacji | Identyfikuje przypisanie wartości obiektu autoryzacji krytycznej dla nowego użytkownika. Obsługa krytycznych obiektów autoryzacji na liście obserwowanych obiektów autoryzacji krytycznej SAP - Critical Authorization Objects . |
Przypisz nowy obiekt autoryzacji lub zaktualizuj istniejący obiekt w roli przy użyciu polecenia PFCG. Źródła danych: SAPcon — dziennik zmian dokumentów |
Eskalacja uprawnień |
| SAP — przypisanie autoryzacji krytycznych — nowe przypisanie użytkownika | Identyfikuje przypisanie wartości obiektu autoryzacji krytycznej dla nowego użytkownika. Obsługa krytycznych obiektów autoryzacji na liście obserwowanych obiektów autoryzacji krytycznej SAP - Critical Authorization Objects . |
Przypisz nowego użytkownika do roli, która przechowuje krytyczne wartości autoryzacji przy użyciu polecenia SU01/PFCG. Źródła danych: SAPcon — dziennik zmian dokumentów |
Eskalacja uprawnień |
| SAP — zmiany ról poufnych | Identyfikuje zmiany w rolach poufnych. Obsługa ról poufnych na liście obserwowanych ról poufnych SAP — role poufne . |
Zmienianie roli przy użyciu pfCG. Źródła danych: SAPcon — dziennik zmian dokumentów, SAPcon — dziennik inspekcji |
Wpływ, Eskalacja uprawnień, Trwałość |
Dostępne listy do obejrzenia
W poniższej tabeli wymieniono listy obserwowanych dostępne dla rozwiązania Microsoft Sentinel dla aplikacji SAP® oraz pola na każdej liście obserwowanych.
Te listy kontrolne zawierają konfigurację rozwiązania Microsoft Sentinel dla aplikacji SAP®. Listy kontrolne sap są dostępne w repozytorium GitHub usługi Microsoft Sentinel.
| Nazwa listy obserwowanych | Opis i pola |
|---|---|
| SAP — krytyczne obiekty autoryzacji | Obiekt Autoryzacje krytyczne, w którym należy zarządzać przypisaniami. - AuthorizationObject: obiekt autoryzacji SAP, taki jak S_DEVELOP, S_TCODElub Table TOBJ - AuthorizationField: pole autoryzacji SAP, takie jak OBJTYP lub TCD - AuthorizationValue: wartość pola autoryzacji SAP, taka jak DEBUG - ActivityField : pole działania SAP. W większości przypadków ta wartość będzie mieć wartość ACTVT. W przypadku obiektów autoryzacji bez działania lub tylko z polem Działanie wypełnionym wartością NOT_IN_USE. - Działanie: działanie SAP zgodnie z obiektem autoryzacji, takie jak: 01: Create; : Change; 0302: Display itd. - Opis: opis obiektu autoryzacji krytycznej. |
| SAP — wykluczone sieci | W przypadku wewnętrznej konserwacji wykluczonych sieci, takich jak ignorowanie dyspozytorów sieci Web, serwerów terminali itd. -Sieć: adres IP sieci lub zakres, taki jak 111.68.128.0/17. -Opis: opis zrozumiały dla sieci. |
| Wykluczeni użytkownicy oprogramowania SAP | Użytkownicy systemu, którzy są zalogowani do systemu i muszą być ignorowani. Na przykład alerty dotyczące wielu logów przez tego samego użytkownika. - Użytkownik: użytkownik SAP -Opis: opis opisowy użytkownika. |
| SAP — Sieci | Sieci wewnętrzne i konserwacyjne do identyfikacji nieautoryzowanych logowań. - Sieć: adres IP sieci lub zakres, taki jak 111.68.128.0/17 - Opis: opis zrozumiały dla sieci. |
| SAP — uprzywilejowani użytkownicy | Uprzywilejowani użytkownicy, którzy są objęci dodatkowymi ograniczeniami. - Użytkownik: użytkownik ABAP, taki jak DDIC lub SAP - Opis: opis opisowy użytkownika. |
| SAP — poufne programy ABAP | Poufne programy ABAP (raporty), gdzie wykonywanie powinno być zarządzane. - ABAPProgram: program ABAP lub raport, taki jak RSPFLDOC - Opis: Opis programu. |
| SAP — moduł funkcji poufnej | Sieci wewnętrzne i konserwacyjne do identyfikacji nieautoryzowanych logowań. - FunctionModule: moduł funkcji ABAP, taki jak RSAU_CLEAR_AUDIT_LOG - Opis: opis modułu. |
| SAP — profile poufne | Profile poufne, w których należy zarządzać przypisaniami. - Profil: profil autoryzacji SAP, taki jak SAP_ALL lub SAP_NEW - Opis: opis opisowy profilu. |
| SAP — tabele poufne | Poufne tabele, w których dostęp powinien być regulowany. - Tabela: tabela słownika ABAP, taka jak USR02 lub PA008 - Opis: opis opisowej tabeli. |
| SAP — role poufne | Role poufne, w których należy określać przypisanie. - Rola: Rola autoryzacji SAP, taka jak SAP_BC_BASIS_ADMIN - Opis: opis znaczącej roli. |
| SAP — poufne transakcje | Poufne transakcje, w których należy zarządzać wykonywaniem. - TransactionCode: kod transakcji SAP, taki jak RZ11 - Opis: Opis kodu. |
| SAP — Systemy | Opisuje krajobraz systemów SAP zgodnie z rolą, użyciem i konfiguracją. - SystemID: identyfikator systemu SAP (SYSID) - SystemRole: rola systemu SAP, jedna z następujących wartości: Sandbox, , DevelopmentQuality Assurance, TrainingProduction - SystemUsage: użycie systemu SAP, jedna z następujących wartości: ERP, , BWSolman, GatewayEnterprise Portal - InterfaceAttributes: opcjonalny parametr dynamiczny do użycia w podręcznikach. |
| SAPSystemParameters | Parametry do obserwowana pod kątem podejrzanych zmian konfiguracji. Ta lista do obejrzenia jest wstępnie wypełniana zalecanymi wartościami (zgodnie z najlepszymi rozwiązaniami systemu SAP) i można rozszerzyć listę obserwowanych, aby zawierała więcej parametrów. Jeśli nie chcesz otrzymywać alertów dla parametru, ustaw wartość EnableAlertsfalse.- Nazwa parametru: nazwa parametru. - Komentarz: opis standardowego parametru SAP. - EnableAlerts: określa, czy włączyć alerty dla tego parametru. Wartości to true i false.- Opcja: definiuje, w którym przypadku wyzwalać alert: jeśli wartość parametru jest większa lub równa (), mniejsza lub równa ( GE) lub równa (EQLE).Jeśli na przykład login/fails_to_user_lock parametr SAP jest ustawiony na LE wartość (mniejszą lub równą), a wartość 5, gdy usługa Microsoft Sentinel wykryje zmianę tego konkretnego parametru, porównuje nowo zgłoszoną wartość i oczekiwaną wartość. Jeśli nowa wartość to 4, usługa Microsoft Sentinel nie wyzwoli alertu. Jeśli nowa wartość to 6, usługa Microsoft Sentinel wyzwala alert.- ProductionSeverity: ważność zdarzenia dla systemów produkcyjnych. - ProductionValues: dozwolone wartości dla systemów produkcyjnych. - NonProdSeverity: ważność zdarzenia dla systemów nieprodukcyjnych. - NonProdValues: dozwolone wartości dla systemów nieprodukcyjnych. |
| SAP — wykluczeni użytkownicy | Użytkownicy systemu, którzy są zalogowani i muszą być ignorowani, na przykład w przypadku logowania wielokrotnego według alertu użytkownika. - Użytkownik: użytkownik SAP - Opis: opis opisowy użytkownika |
| SAP — wykluczone sieci | Obsługa wewnętrznych, wykluczonych sieci do ignorowania dyspozytorów sieci Web, serwerów terminali itd. - Sieć: adres IP sieci lub zakres, taki jak 111.68.128.0/17 - Opis: opis znaczącej sieci |
| SAP — przestarzałe moduły funkcji | Przestarzałe moduły funkcji, których wykonywanie powinno być zarządzane. - FunctionModule: moduł funkcji ABAP, taki jak TH_SAPREL - Opis: opis zrozumiałego modułu funkcji |
| SAP — przestarzałe programy | Przestarzałe programy ABAP (raporty), których wykonywanie powinno być zarządzane. - ABAPProgram:ABAP Program, taki jak TH_ RSPFLDOC - Opis: opis znaczącego programu ABAP |
| SAP — transakcje dla generacji ABAP | Transakcje dla generacji ABAP, których wykonywanie powinno być zarządzane. - TransactionCode:Kod transakcji, taki jak SE11. - Opis: opis zrozumiałego kodu transakcji |
| SAP — serwery FTP | Serwery FTP do identyfikacji nieautoryzowanych połączeń. - Klient:taki jak 100. - FTP_Server_Name: nazwa serwera FTP, na przykład http://contoso.com/ -FTP_Server_Port:port serwera FTP, taki jak 22. - Opisopis opisowy serwera FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Skonfiguruj alerty dziennika inspekcji SAP, przypisując każdemu identyfikatorowi komunikatu poziom ważności zgodnie z wymaganiami dla roli systemu (produkcyjnej, nieprodukcyjnej). Ta lista obserwowanych zawiera szczegółowe informacje o wszystkich dostępnych identyfikatorach komunikatów dziennika inspekcji systemu SAP w warstwie Standardowa. Listę do obejrzenia można rozszerzyć, aby zawierała dodatkowe identyfikatory komunikatów, które można tworzyć samodzielnie przy użyciu ulepszeń protokołu ABAP w systemach SAP NetWeaver. Ta lista do obejrzenia umożliwia również skonfigurowanie wyznaczonego zespołu do obsługi każdego typu zdarzeń oraz wykluczanie użytkowników według ról SAP, profilów SAP lub tagów z listy obserwowanych SAP_User_Config . Ta lista do obejrzenia jest jednym z podstawowych składników używanych do konfigurowaniawbudowanych reguł analizy SAP na potrzeby monitorowania dziennika inspekcji SAP. - MessageID: identyfikator komunikatu SAP lub typ zdarzenia, taki jak AUD (zmiany rekordu głównego użytkownika) lub AUB (zmiany autoryzacji). - DetailedDescription: opis z włączonym znacznikiem markdown, który ma być wyświetlany w okienku incydentu. - ProductionSeverity: żądana ważność zdarzenia, która ma zostać utworzona dla systemów Highprodukcyjnych , Medium. Można ustawić jako Disabled. - NonProdSeverity: żądana ważność zdarzenia, która ma zostać utworzona dla systemów Highnieprodukcyjnych , Medium. Można ustawić jako Disabled. - ProductionThreshold liczba zdarzeń "na godzinę", które mają być traktowane jako podejrzane dla systemów 60produkcyjnych . - NonProdThreshold liczba zdarzeń "na godzinę", które mają być traktowane jako podejrzane dla systemów 10nieprodukcyjnych. - RolesTagsToExclude: to pole akceptuje nazwę roli SAP, nazwy profilów SAP lub tagi z listy SAP_User_Config watchlist. Są one następnie używane do wykluczania skojarzonych użytkowników z określonych typów zdarzeń. Zobacz opcje tagów ról na końcu tej listy. - RuleType: użyj Deterministic dla typu zdarzenia, który ma zostać wysłany do systemu SAP — dynamicznego monitora dziennika inspekcji deterministycznej, lub AnomaliesOnly aby to zdarzenie było objęte alertami sap - Dynamic Anomaly based Audit Log Monitor (WERSJA ZAPOZNAWCZA).- TeamsChannelID: opcjonalny parametr dynamiczny do użycia w podręcznikach. - DestinationEmail: opcjonalny parametr dynamiczny do użycia w podręcznikach. W polu RolesTagsToExclude : — Jeśli wyświetlasz listę ról SAP lub profilów SAP, wyklucza to wszystkich użytkowników z wymienionych ról lub profilów z tych typów zdarzeń dla tego samego systemu SAP. Jeśli na przykład zdefiniujesz BASIC_BO_USERS rolę ABAP dla typów zdarzeń związanych z RFC, użytkownicy obiektów biznesowych nie będą wyzwalać zdarzeń podczas wykonywania ogromnych wywołań RFC.— Tagowanie typu zdarzenia jest podobne do określania ról lub profilów SAP, ale tagi można tworzyć w obszarze roboczym, aby zespoły SOC mogły wykluczać użytkowników według działań bez względu na zespół SAP. Na przykład identyfikatory komunikatów inspekcji AUB (zmiany autoryzacji) i AUD (zmiany rekordu głównego użytkownika) są przypisane do tagu MassiveAuthChanges . Użytkownicy przypisani do tego tagu są wykluczeni z testów dla tych działań. Uruchomienie funkcji obszaru roboczego SAPAuditLogConfigRecommend powoduje utworzenie listy zalecanych tagów, które mają być przypisane do użytkowników, takich jak Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Umożliwia dostrajanie alertów przez wykluczenie /w tym użytkowników w określonych kontekstach i jest również używane do konfigurowaniawbudowanych reguł analizy SAP na potrzeby monitorowania dziennika inspekcji SAP. - SAPUser: użytkownik SAP - Tagi: tagi służą do identyfikowania użytkowników w odniesieniu do określonych działań. Na przykład dodanie tagów ["GenericTablebyRFCOK" do użytkownika SENTINEL_SRV uniemożliwi utworzenie zdarzeń związanych z RFC dla tego konkretnego użytkownika Inne identyfikatory użytkowników usługi Active Directory — Identyfikator użytkownika usługi AD — Lokalny identyfikator SID użytkownika - Główna nazwa użytkownika |
Dostępne podręczniki
| Nazwa podręcznika | Parametry | Połączenia |
|---|---|---|
| Reagowanie na zdarzenia SAP — blokowanie użytkownika z usługi Teams — podstawowa | — SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
— Microsoft Sentinel — Microsoft Teams |
| Reagowanie na zdarzenia SAP — blokowanie użytkownika z usługi Teams — zaawansowane | - SAP-SOAP-KeyVault-Credential-Name - Domyślna Administracja Email - TeamsChannel |
— Microsoft Sentinel — Dzienniki usługi Azure Monitor — Office 365 Outlook — Microsoft Entra ID — Azure Key Vault — Microsoft Teams |
| Reagowanie na zdarzenia SAP — ponowne włączanie rejestrowania inspekcji po dezaktywowaniu | - SAP-SOAP-KeyVault-Credential-Name - Domyślna Administracja Email - TeamsChannel |
— Microsoft Sentinel — Azure Key Vault — Dzienniki usługi Azure Monitor — Microsoft Teams |
Następne kroki
Aby uzyskać więcej informacji, zobacz:
- Wdrażanie rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Dokumentacja dzienników dzienników aplikacji SAP® w rozwiązaniu Microsoft Sentinel
- Monitorowanie kondycji systemu SAP
- Wdrażanie rozwiązania Microsoft Sentinel dla łącznika danych aplikacji SAP® za pomocą SNC
- Dokumentacja pliku konfiguracji
- Wymagania wstępne dotyczące wdrażania rozwiązania Microsoft Sentinel dla aplikacji SAP®
- Rozwiązywanie problemów z rozwiązaniem Microsoft Sentinel na potrzeby wdrażania aplikacji SAP®