Aplicativos da Solução do Microsoft Sentinel para SAP®: referência de conteúdo de segurança
Este artigo detalha o conteúdo de segurança disponível na solução Microsoft Sentinel para SAP.
Importante
A solução do Microsoft Sentinel para SAP® conta com disponibilidade geral, mas alguns componentes específicos permanecem em VERSÃO PRÉVIA. Este artigo indica os componentes que estão em versão prévia nas seções relevantes abaixo. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O conteúdo de segurança disponível inclui uma lista de pastas de trabalho e regras de análise integradas. Adicione watchlists relacionadas ao SAP para usar em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta.
Pastas de trabalho internas
Use as seguintes pasta de trabalho internas para visualizar e monitorar dados ingeridos por meio do conector de dados SAP. Depois de implantar a solução SAP, você pode encontrar pastas de trabalho SAP na guia Minhas pastas de trabalho.
| Nome da pasta de trabalho | Descrição | Logs |
|---|---|---|
| SAP - Navegador de log de auditoria | Exibe dados como: - Integridade geral do sistema, incluindo entradas de usuários ao longo do tempo, eventos ingeridos pelo sistema, classes de mensagens e IDs, e programas ABAP executados -Severidades de eventos que ocorrem em seu sistema - Eventos de autenticação e autorização que ocorrem em seu sistema |
Usa os dados do seguinte log: ABAPAuditLog_CL |
| Controles de auditoria SAP | Ajuda a verificar a conformidade dos controles de segurança do ambiente SAP com a estrutura de controle escolhida, usando ferramentas para que você faça o seguinte: - Atribua regras de análise em seu ambiente a controles de segurança específicos e famílias de controle - Monitorar e categorizar os incidentes gerados pelas regras de análise baseadas em soluções SAP - Relate sua conformidade |
Usa dados das tabelas a seguir: - SecurityAlert- SecurityIncident |
Para obter mais informações, consulte Tutorial: visualizar e monitorar seus dados e Implantar os aplicativos da solução Microsoft Sentinel para SAP®.
Regras de análise integradas
Como monitorar a configuração de parâmetros estáticos de segurança do SAP (Versão prévia)
Para proteger o sistema SAP, o SAP identificou parâmetros relacionados à segurança que precisam ser monitorados quanto a alterações. Com a regra "SAP: (versão prévia) o Parâmetro Estático Confidencial foi alterado", a solução do Microsoft Sentinel para aplicativos do SAP® rastreia mais de 52 parâmetros estáticos relacionados à segurança no sistema SAP, que são integrados ao Microsoft Sentinel.
Observação
Para que a solução do Microsoft Sentinel para aplicativos SAP® monitore com êxito os parâmetros de segurança do SAP, a solução precisa monitorar com êxito a tabela DE PAHI do SAP em intervalos regulares. Verifique se a solução pode monitorar com êxito a tabela PAHI.
Para entender as alterações de parâmetros no sistema, a solução do Microsoft Sentinel para aplicativos do SAP® usa a tabela de histórico de parâmetros, que registra as alterações feitas nos parâmetros do sistema de hora em hora.
Os parâmetros também são refletidos na lista de vigilância SAPSystemParameters. Essa lista de vigilância permite que os usuários adicionem novos parâmetros, desabilitem os parâmetros existentes e modifiquem os valores e níveis de gravidade por parâmetro e função do sistema em ambientes de produção ou que não sejam de produção.
Quando uma alteração é feita em um desses parâmetros, o Microsoft Sentinel verifica se a alteração é relacionada à segurança e se o valor está definido de acordo com os valores recomendados. Se houver uma suspeita de que a alteração ocorreu fora da zona segura, o Microsoft Sentinel criará um incidente detalhando a alteração e identificará quem fez a alteração.
Leia a lista de parâmetros que essa regra monitora.
Como monitorar o log de auditoria do SAP
Os dados de log de Auditoria SAP são usados em muitas das regras de análise dos aplicativos da solução Microsoft Sentinel para SAP®. Algumas regras de análise procuram eventos específicos no log, enquanto outras correlacionam indicações de vários logs para produzir alertas e incidentes de alta fidelidade.
Além disso, há duas regras de análise que foram projetadas para acomodar todo o conjunto de eventos de log de auditoria SAP padrão (183 eventos diferentes) e quaisquer outros eventos personalizados que você pode optar por registrar usando o log de auditoria SAP.
Ambas as regras de análise de monitoramento de log de auditoria SAP compartilham as mesmas fontes de dados e a mesma configuração, mas diferem em um aspecto crítico. Embora a regra "SAP: Monitor Determinístico Dinâmico dos Logs de Auditoria" requeira limites determinísticos do alerta e regras de exclusão do usuário, a regra "SAP: Alertas do Monitor Dinâmico dos Logs de Auditoria Baseado em Anomalias (VERSÃO PRÉVIA)" aplica algoritmos adicionais de aprendizado de máquina para filtrar o ruído em segundo plano de maneira não supervisionada. Por esse motivo, por padrão, a maioria dos tipos de evento (ou IDs de mensagem SAP) do log de auditoria SAP está sendo enviada para a regra de análise "baseada em anomalias", enquanto os tipos de evento mais fáceis de definir são enviados para a regra de análise determinística. Essa definição, juntamente com outras configurações relacionadas, pode ser configurada ainda mais para atender a condições do sistema.
SAP – Monitor de Log de Auditoria Determinística Dinâmica
Uma regra de análise dinâmica que se destina a abranger todo o conjunto de tipos de eventos de log de auditoria SAP que têm uma definição determinística em termos de população de usuários, limites de evento.
- Configurar a regra com a watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration
- Saiba mais sobre como configurar a regra (procedimento completo)
SAP – Alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas (VERSÃO PRÉVIA)
Uma regra de análise dinâmica projetada para aprender o comportamento normal do sistema e alertar sobre as atividades observadas no log de auditoria SAP que são consideradas anômalas. Aplique essa regra nos tipos de evento de log de auditoria SAP que são mais difíceis de definir em termos de população de usuários, atributos de rede e limites.
Saiba mais:
- Configurar a regra com as watchlists SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config
- Saiba mais sobre como configurar a regra (procedimento completo)
As tabelas a seguir listam as regras de análise integradas incluídas nos aplicativos da solução Microsoft Sentinel para SAP implantadas a partir do marketplace de soluções do Microsoft Sentinel.
Acesso inicial
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Logon de rede inesperada | Identifica um logon a partir de uma rede inesperada. Mantém redes na watchlist SAP – Redes. |
Entra no sistema de back-end a partir de um endereço IP que não está atribuído a uma das redes. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial |
| SAP – Ataque de SPNego | Identifica o ataque de reprodução de SPNego. | Fontes de dados: SAPcon – Log de Auditoria | Impacto, movimento lateral |
| SAP – Tentativa de logon de diálogo de um usuário com privilégios | Identifica as tentativas de entrada de diálogo, com o tipo AUM, por usuários privilegiados em um sistema SAP. Para obter mais informações, consulte o SAPUsersGetPrivileged. | Tentativa de entrar a partir do mesmo IP em vários sistemas ou clientes dentro do intervalo de tempo agendado Fontes de dados: SAPcon – Log de Auditoria |
Impacto, movimento lateral |
| SAP – Ataques de força bruta | Identifica ataques de força bruta no sistema SAP usando logons RFC | Tentativa de logon com o mesmo endereço IP em vários sistemas/clientes dentro do intervalo de tempo agendado usando RFC Fontes de dados: SAPcon – Log de Auditoria |
Acesso com credencial |
| SAP – Vários logons do mesmo IP | Identifica a entrada de vários usuários do mesmo endereço IP em um intervalo de tempo agendado. Caso de sub-uso: persistência |
Entra usando vários usuários a partir do mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial |
| SAP – Vários logons por usuário | Identifica entradas do mesmo usuário de vários terminais dentro do intervalo de tempo agendado. Disponível somente por meio do método Audit SAL, para as versões 7.5 e superiores do SAP. |
Entra usando o mesmo usuário e endereços IP diferentes. Fontes de dados: SAPcon – Log de Auditoria |
PreAttack, acesso de credencial, acesso inicial, coleção Caso de sub-uso: persistência |
| SAP – Informativa – Ciclo de vida – Foram implementadas notas do SAP no sistema | Identifica a implementação de Nota do SAP no sistema. | Implementar uma Nota do SAP usando SNOTE/TCI. Fontes de dados: SAPcon – Solicitações de alteração |
- |
Exfiltração dos dados
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – FTP para servidores não autorizados | Identifica uma conexão FTP de um servidor não autorizado. | Cria uma nova conexão FTP, usando, por exemplo, o módulo de função FTP_CONNECT. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, acesso inicial, comando e controle |
| SAP – Configuração de servidores FTP não seguros | Identifica configurações de servidores FTP não seguros, como quando uma lista de permissões de FTP está vazia ou contém espaços reservados. | Despreza ou mantém valores que contenham espaços reservados na tabela SAPFTP_SERVERS, usando o modo de exibição de manutenção SAPFTP_SERVERS_V. (SM30) Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial, comando e controle |
| SAP – Download múltiplo de arquivos | Identifica downloads de vários arquivo por um usuário em um intervalo de tempo específico. | Baixa vários arquivos usando o SAPGui para o Excel, listas e outros. Fontes de dados: SAPcon – Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Execuções múltiplas de spool | Identifica spools múltiplos por um usuário em um intervalo de tempo específico. | Cria e executa vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon - Log de Spool, SAPcon - Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Execuções múltiplas de saída de spool | Identifica spools múltiplos por um usuário em um intervalo de tempo específico. | Cria e executa vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon - Log de Saída de Spool, SAPcon - Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Acesso direto a tabelas confidenciais pelo logon do RFC | Identifica um acesso a tabela genérica por entrada via RFC. Mantém tabelas na watchlist SAP - Tabelas sensíveis. Observação: relevante somente para sistemas de produção. |
Abre o conteúdo da tabela usando SE11/SE16/SE16N. Fontes de dados: SAPcon – Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Aquisições do spool | Identifica um usuário que esteja imprimindo uma solicitação de spool criada por outra pessoa. | Cria uma solicitação de spool usando um usuário e, em seguida, dá saída usando um usuário diferente. Fontes de dados: SAPcon – Log de Spool, SAPcon – Log de Saída de Spool, SAPcon – Log de Auditoria |
Coleção, exflitração, comando e controle |
| SAP – Destino RFC dinâmico | Identifica a execução do RFC usando destinos dinâmicos. Caso de sub-uso: tentativas de ignorar os mecanismos de segurança do SAP |
Executa um relatório ABAP que usa destinos dinâmicos (cl_dynamic_destination). Por exemplo, DEMO_RFC_DYNAMIC_DEST. Fontes de dados: SAPcon – Log de Auditoria |
Coleção, exfiltração |
| SAP – Acesso direto a tabelas confidenciais por logon de diálogo | Identifica o acesso genérico a tabelas após entrada por caixa de diálogo. | Abre o conteúdo da tabela usando SE11/SE16/SE16N. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta |
| SAP – Arquivo baixado de um endereço IP mal-intencionado (versão prévia) | Identifica o download de um arquivo de um sistema SAP usando um endereço IP conhecido como mal-intencionado. Endereços IP mal-intencionados são obtidos de serviços de inteligência contra ameaças. | Baixe um arquivo de um IP mal-intencionado. Fontes de dados: log de auditoria de segurança do SAP, inteligência contra ameaças |
Exfiltração |
| SAP – Dados exportados de um sistema de produção usando um transporte (versão prévia) | Identifica a exportação de dados de um sistema de produção usando um transporte. Transportes são usados em sistemas de desenvolvimento e são semelhantes às solicitações de pull. Essa regra de alerta dispara incidentes com severidade média quando um transporte que inclui dados de qualquer tabela é liberado de um sistema de produção. A regra cria um incidente de alta severidade quando a exportação inclui dados de uma tabela confidencial. | Libere um transporte de um sistema de produção. Fontes de dados: Log do SAP CR; SAP – Tabelas Confidenciais |
Exfiltração |
| SAP – Dados confidenciais salvos em uma unidade USB (versão prévia) | Identifica a exportação de dados SAP por meio de arquivos. A regra verifica se há dados salvos em uma unidade USB montada recentemente em proximidade a uma execução de uma transação confidencial, um programa confidencial ou acesso direto a uma tabela confidencial. | Exporte dados SAP por meio de arquivos e salve em uma unidade USB. Fontes de dados: Log de Auditoria de Segurança do SAP, DeviceFileEvents (Microsoft Defender para Ponto de Extremidade); SAP – Tabelas Confidenciais; SAP – Transações Confidenciais; SAP – Programas Confidenciais |
Exfiltração |
| SAP –Impressão de dados potencialmente confidenciais (versão prévia) | Identifica uma solicitação ou impressão real de dados potencialmente confidenciais. Os dados serão considerados confidenciais se o usuário obtiver os dados como parte de uma transação confidencial, execução de um programa confidencial ou acesso direto a uma tabela confidencial. | Imprima ou solicite a impressão de dados confidenciais. Fontes de dados: Log de Auditoria de Segurança do SAP, logs de Spool do SAP; SAP – Tabelas Confidenciais; SAP – Programas Confidenciais |
Exfiltração |
| SAP – Alto volume de dados potencialmente confidenciais exportados (versão prévia) | Identifica a exportação de um alto volume de dados por meio de arquivos em proximidade a uma execução de uma transação confidencial, um programa confidencial ou acesso direto a uma tabela confidencial. | Exporte um grande volume de dados por meio de arquivos. Fontes de dados: Log de Auditoria de Segurança do SAP; SAP – Tabelas Confidenciais; SAP – Transações Confidenciais; SAP – Programas Confidenciais |
Exfiltração |
Persistência
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Ativação ou desativação do serviço ICF | Identifica a ativação ou desativação de serviços ICF. | Ativa um serviço usando o SICF. Fontes de dados: SAPcon - Log de Dados de Tabela |
Comando e controle, movimento lateral, persistência |
| SAP – Módulo de função testado | Identifica o teste de um módulo de função. | Testa um módulo de função usando SE37 / SE80. Fontes de dados: SAPcon – Log de Auditoria |
Coleção, evasão de defesa, movimento lateral |
| SAP – (VERSÃO PRÉVIA) BD HANA – Ações de administrador de usuários | Identifica ações de administração de usuários. | Cria, atualiza ou excluir um usuário do banco de dados. Fontes de dados: Agente do Linux – Syslog* |
Escalonamento de Privilégios |
| SAP – Novos manipuladores de serviço ICF | Identifica a criação de manipuladores ICF. | Atribui um novo manipulador a um serviço usando SICF. Fontes de dados: SAPcon – Log de Auditoria |
Comando e controle, movimento lateral, persistência |
| SAP – Novos serviços ICF | Identifica a criação de serviços ICF. | Cria um serviço usando o SICF. Fontes de dados: SAPcon - Log de Dados de Tabela |
Comando e controle, movimento lateral, persistência |
| SAP – Execução de módulo de função obsoleto ou não seguro | Identifica a execução de um módulo de função ABAP obsoleto ou não seguro. Mantêm funções obsoletas na watchlist SAP - Módulos de funções obsoletos. Certifique-se de ativar as alterações de log de tabela para a EUFUNC tabela no back-end. (SE13)Observação: relevante somente para sistemas de produção. |
Executa um módulo de função obsoleto ou não seguro diretamente usando SE37. Fontes de dados: SAPcon - Log de Dados de Tabela |
Descoberta, comando e controle |
| SAP – Execução de programa obsoleto/não seguro | Identifica a execução de um programa ABAP obsoleto ou não seguro. Mantém programas obsoletos na watchlist SAP - programas obsoletos. Observação: relevante somente para sistemas de produção. |
Executa um programa diretamente usando SE38/SA38/SE80 ou usando um trabalho em segundo plano. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, comando e controle |
| SAP – Alterações múltiplas de senha por usuário | Identifica várias alterações de senha pelo usuário. | Alterar senha de usuário Fontes de dados: SAPcon – Log de Auditoria |
Acesso com credencial |
Tentativas de ignorar os mecanismos de segurança do SAP
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Alteração de configuração do cliente | Identifica alterações na configuração do cliente, como a função do cliente ou o modo de gravação de alterações. | Executa alterações de configuração do cliente usando o SCC4 código de transação. Fontes de dados: SAPcon – Log de Auditoria |
Evasão de defesa, exfiltração, persistência |
| SAP – Dados alterados durante a atividade de depuração | Identifica alterações de dados em execução durante uma atividade de depuração. Caso de sub-uso: persistência |
1. Ativa Depuração ("/h"). 2. Seleciona um campo para alteração e atualiza o valor desse campo. Fontes de dados: SAPcon – Log de Auditoria |
Execução, movimento lateral |
| SAP – Desativação do log de auditoria de segurança | Identifica a desativação do log de auditoria de segurança, | Desabilita o log de auditoria de segurança usando SM19/RSAU_CONFIG. Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, evasão de defesa, persistência |
| SAP – Execução de um programa ABAP confidencial | Identifica a execução direta de um programa ABAP confidencial. Mantém programas ABAP na watchlist SAP - Programas ABAP confidenciais. |
Execute um programa diretamente usando SE38/SA38/SE80. Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, movimento lateral, execução |
| SAP – Execução de um código de transação confidencial | Identifica a execução de um código de transação confidencial. Mantém os códigos de transação na watchlist SAP – Códigos de Transação Confidenciais. |
Executa um código de transação confidencial. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, execução |
| SAP – Execução de módulo de função confidencial | Identifica a execução de um módulo de função ABAP confidencial. Caso de sub-uso: persistência Observação: relevante somente para sistemas de produção. Mantém funções confidenciais na watchlist SAP - módulos de funções confidenciais e certifica-se de ativar as alterações de registros de tabela no back-end para a tabela EUFUNC. (SE13) |
Executa um módulo de função confidencial diretamente usando SE37. Fontes de dados: SAPcon - Log de Dados de Tabela |
Descoberta, comando e controle |
| SAP – (VERSÃO PRÉVIA) – BD HANA – Alterações na política de trilha de auditoria | Identifica as alterações nas políticas de trilha de auditoria do BD HANA. | Cria ou atualiza a política de auditoria existente nas definições de segurança. Fontes de dados: Agente do Linux – Syslog |
Movimento lateral, evasão de defesa, persistência |
| SAP – (VERSÃO PRÉVIA) BD HANA – Desativação da trilha de auditoria | Identifica a desativação do log de auditoria do BD HANA. | Desativa o log de auditoria na definição de segurança do BD HANA. Fontes de dados: Agente do Linux – Syslog |
Persistência, movimento lateral, evasão de defesa |
| SAP - Execução Remota Não Autorizada de um Módulo de Funções Confidenciais | Detecta execuções não autorizadas de FMs confidenciais, comparando a atividade com o perfil de autorização do usuário, desconsiderando as autorizações recentemente alteradas. Mantém os módulos de função na watchlist SAP – módulos de funções confidenciais. |
Testa um módulo de função usando o RFC. Fontes de dados: SAPcon – Log de Auditoria |
Execução, movimento lateral, descoberta |
| SAP – Alteração de configuração do sistema | Identifica alterações na configuração do sistema. | Adapta as opções de alteração do sistema ou a modificação do componente de software usando o código de transação SE06.Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, evasão de defesa, persistência |
| SAP – Atividades de depuração | Identifica todas as atividades relacionadas à depuração. Caso de sub-uso: persistência |
Ativa a depuração ("/h") no sistema, depura um processo ativo, adiciona um ponto de interrupção ao código-fonte e assim por diante. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta |
| SAP – Alteração de configuração do log de auditoria de segurança | Identifica alterações na configuração do log de auditoria de segurança | Altera qualquer configuração de log de auditoria de segurança usando SM19/RSAU_CONFIG, como filtros, status, modo de gravação, entre outros. Fontes de dados: SAPcon – Log de Auditoria |
Persistência, exfiltração, evasão de defesa |
| SAP – A transação está desbloqueada | Identifica o desbloqueio de uma transação. | Desbloqueia um código de transação usando SM01/SM01_DEV/SM01_CUS. Fontes de dados: SAPcon – Log de Auditoria |
Persistência, execução |
| SAP – Programa ABAP dinâmico | Identifica a execução de programação ABAP dinâmica. Por exemplo, quando o código ABAP for criado, alterado ou excluído dinamicamente. Mantém códigos de transação excluídos na watchlist SAP - Transações para gerações do ABAP. |
Cria um relatório ABAP que usa comandos de geração de programa ABAP, como INSERIR RELATÓRIO e, em seguida, executa o relatório. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, comando e controle, impacto |
Operações de privilégios suspeitas
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Alteração no Usuário com privilégios confidenciais | Identifica alterações em usuários privilegiados confidenciais. Mantém usuários privilegiados na watchlist SAP – Usuários Privilegiados. |
Altera detalhes/autorizações de usuário usando SU01. Fontes de dados: SAPcon – Log de Auditoria |
Elevação de privilégio, acesso de credencial |
| SAP – (VERSÃO PRÉVIA) BD HANA – Atribuir autorizações de administrador | Identifica a atribuição de funções ou privilégios de administrador. | Atribui qualquer função ou privilégio de administrador a um usuário. Fontes de dados: Agente do Linux – Syslog |
Escalonamento de Privilégios |
| SAP – Usuário com privilégios confidenciais conectado | Identifica a caixa de diálogo de logon de um usuário com privilégios confidenciais. Mantém usuários privilegiados na watchlist SAP – Usuários Privilegiados. |
Entra no sistema de back-end usando SAP* ou outro usuário privilegiado. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial, acesso de credencial |
| SAP – Usuário com privilégios confidenciais faz uma alteração em outro usuário | Identifica alterações de usuários privilegiados confidenciais em outros usuários. | Altera detalhes/autorizações de usuário usando SU01. Fontes de dados: SAPcon – Log de Auditoria |
Elevação de privilégio, acesso de credencial |
| SAP – Alteração de senha de usuários confidenciais e logon | Identifica as alterações de senha de usuários privilegiados. | Altera a senha de um usuário privilegiado e entra no sistema. Mantém usuários privilegiados na watchlist SAP – Usuários Privilegiados. Fontes de dados: SAPcon – Log de Auditoria |
Impacto, comando e controle, elevação de privilégio |
| SAP – Usuário cria e utiliza um novo usuário | Identifica um usuário que cria e utiliza outros usuários. Caso de sub-uso: persistência |
Criar um usuário usando SU01 e, em seguida, fazer logon usando o usuário recém-criado e o mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, PreAttack, acesso inicial |
| SAP – Usuário desbloqueia e utiliza outros usuários | Identifica um usuário que está sendo desbloqueado e usado por outros usuários. Caso de sub-uso: persistência |
Cria um usuário usando SU01 e, em seguida, faz logon a partir do usuário recém-criado e do mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria, SAPcon – Log de Alteração de Documentos |
Descoberta, PreAttack, acesso inicial, movimento lateral |
| SAP – Atribuição de um perfil confidencial | Identifica novas atribuições de um perfil confidencial a um usuário. Mantém perfis confidenciais na watchlist SAP - Perfis confidenciais. |
Atribui um perfil a um usuário usando SU01. Fontes de dados: SAPcon - Log de Alteração de Documentos |
Escalonamento de Privilégios |
| SAP – Atribuição de um perfil confidencial | Identifica novas atribuições de funções confidenciais a um usuário. Mantém funções confidenciais na watchlist SAP - Funções confidenciais. |
Atribui uma função a um usuário utilizando SU01 / PFCG. Fontes de dados: SAPcon - Log de Alteração de Documentos |
Escalonamento de Privilégios |
| SAP – (VERSÃO PRÉVIA) Atribuição de autorizações críticas – Novo valor de autorização | Identifica a atribuição de um valor de objeto de autorização crítica a um novo usuário. Mantém objetos de autorização crítica na watchlist SAP - Objetos de autorização crítica. |
Atribui um novo objeto de autorização ou atualiza um objeto existente em uma função usando PFCG. Fontes de dados: SAPcon - Log de Alteração de Documentos |
Escalonamento de Privilégios |
| SAP – Atribuição de autorizações críticas – Nova atribuição de usuário | Identifica a atribuição de um valor de objeto de autorização crítica a um novo usuário. Mantém objetos de autorização crítica na watchlist SAP - Objetos de autorização crítica. |
Atribui um novo usuário a uma função que contém valores de autorização crítica usando SU01/PFCG. Fontes de dados: SAPcon - Log de Alteração de Documentos |
Escalonamento de Privilégios |
| SAP – Alterações de funções confidenciais | Identifica alterações em funções confidenciais. Mantém funções confidenciais na watchlist SAP - Funções confidenciais. |
Altera uma função usando PFCG. Fontes de dados: SAPcon - Log de Alteração de Documentos - Log de auditoria |
Impacto, elevação de privilégio, persistência |
Watchlists disponíveis
A tabela a seguir relaciona as watchlists disponíveis nos aplicativos da solução Microsoft Sentinel para SAP e os campos em cada watchlist.
Essas watchlists fornecem a configuração para os aplicativos da solução Microsoft Sentinel para SAP®. O SAP watchlists está disponível no repositório do GitHub para Microsoft Azure Sentinel.
| Nome da watchlist | Descrição e campos |
|---|---|
| SAP – Objetos de autorização crítica | Objeto de autorizações críticas, que devem ter suas atribuições governadas. - AuthorizationObject: um objeto de autorização SAP, como S_DEVELOP,S_TCODE ou Table TOBJ - AuthorizationField: um campo de autorização SAP, como OBJTYP ou TCD - AuthorizationValue: um valor de campo de autorização SAP, como DEBUG - ActivityField: um campo de atividade SAP. Na maioria dos casos, esse valor será ACTVT. Para objetos de autorizações sem Atividade ou com apenas um campo Atividade, preenchido com NOT_IN_USE. - Atividade: atividade do SAP, de acordo com o objeto de autorização, como: 01: Criar; 02: Alterar; :03 Exibir e assim por diante. - Descrição: descrição significativa de um objeto de autorização crítica. |
| SAP – Redes excluídas | Para manutenção interna de redes excluídas, tal qual ignorar dispatchers da Web, servidores de terminal e assim por diante. -Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17. -Descrição: descrição de rede significativa. |
| Usuários excluídos do SAP | Usuários do sistema que estão conectados e devem ser ignorados. Por exemplo, alertas de vários logons pelo mesmo usuário. - Usuário: Usuário do SAP -Descrição: descrição significativa do usuário. |
| SAP – Redes | Redes internas e de manutenção para a identificação de logons não autorizados. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: descrição de rede significativa. |
| SAP - Usuários privilegiados | Usuários privilegiados que estão sob restrições extras. - Usuário: o usuário ABAP, como DDIC ou SAP - Descrição: descrição significativa do usuário. |
| SAP – Programas ABAP confidenciais | Programas ABAP confidenciais (relatórios) cuja execução deve ser governada. - ABAPProgram: programa ou relatório ABAP, como RSPFLDOC - Descrição: uma descrição significativa do programa. |
| SAP – Módulo de função confidencial | Redes internas e de manutenção para a identificação de logons não autorizados. - FunctionModule: módulo de função ABAP, como RSAU_CLEAR_AUDIT_LOG - Descrição: descrição significativa do usuário. |
| SAP – Perfis Confidenciais | Perfis confidenciais, que devem ter suas atribuições governadas. - Perfil: perfil de autorização do SAP, como SAP_ALL ou SAP_NEW - Descrição: uma descrição significativa do perfil. |
| SAP – Tabelas confidenciais | Tabelas confidenciais, que devem ter seu acesso governado. - Tabela: tabela de dicionário ABAP, como USR02 ou PA008 - Descrição: descrição significativa do usuário. |
| SAP – Funções confidenciais | Funções confidenciais, que devem ter sua atribuição governada. - Função: função de autorização do SAP, como SAP_BC_BASIS_ADMIN - Descrição: descrição significativa do usuário. |
| SAP – Transações confidenciais | Transações confidenciais que devem ter sua execução governada. - TransactionCode: código de transação do SAP, como RZ11 - Descrição: descrição significativa do usuário. |
| SAP – Sistemas | Descreva o panorama dos sistemas SAP de acordo com a função, uso e configuração. - SystemID: a ID de sistema do SAP (SYSID) - SystemRole: a função do sistema SAP, um dos seguintes valores: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: o uso do sistema SAP, um dos seguintes valores: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: um parâmetro dinâmico opcional para uso em guias estratégicos. |
| SAPSystemParameters | Parâmetros a serem observados para detectar alterações de configuração suspeitas. Essa lista de vigilância é preenchida previamente com valores recomendados (de acordo com as boas práticas do SAP) e você pode ampliar a watchlist de modo a incluir mais parâmetros. Se não quiser receber alertas para um parâmetro, defina EnableAlerts como false.- ParameterName: o nome do parâmetro. - Comment: a descrição do parâmetro padrão do SAP. - EnableAlerts: define se os alertas devem ser habilitados para esse parâmetro. Os valores são true e false.- Option: define em quais casos um alerta deve ser disparado — se o valor do parâmetro for maior ou igual ( GE), menor ou igual (LE) ou igual (EQ).Por exemplo, se o login/fails_to_user_lockparâmetro do SAP for definido como LE (menor ou igual) e um valor de 5, assim que o Microsoft Sentinel detectar uma alteração nesse parâmetro específico, o Microsoft Sentinel irá comparar o valor que acabou de ser notificado ao valor esperado. Se o novo valor for 4, o Microsoft Sentinel não irá disparar um alerta. Se o novo valor for 6, o Microsoft Sentinel irá disparar um alerta.- ProductionSeverity: o nível de gravidade do incidente para os sistemas de produção. - ProductionValues: valores permitidos para os sistemas de produção. - NonProdSeverity: o nível de gravidade do incidente para os sistemas que não sejam de produção. - NonProdValues: valores permitidos para os sistemas que não sejam de produção. |
| SAP - Usuários excluídos | Usuários do sistema que estão conectados e devem ser ignorados, como o alerta Vários logons por usuário. - Usuário: Usuário do SAP - Descrição: descrição significativa do usuário |
| SAP - Redes excluídas | Mantém redes internas excluídas para ignorar dispatchers da Web, servidores de terminal e assim por diante. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: descrição de rede significativa |
| SAP – Módulos de funções obsoletas | Módulos de funções obsoletas, que devem ter sua execução governada. - FunctionModule: módulo de função ABAP, como TH_SAPREL - Descrição: descrição significativa do usuário |
| SAP – Programas obsoletos | Programas ABAP confidenciais (relatórios), que devem ter sua execução governada. - ABAPProgram: Programa ABAP, como TH_ RSPFLDOC - Descrição: descrição significativa do programa ABAP |
| SAP – Transações para gerações do ABAP | Transações para gerações do ABAP que devem ter sua execução governada. - TransactionCode: código de transação, como SE11. - Descrição: descrição significativa do código de transação |
| SAP – Servidores FTP | Servidores FTP para identificação de conexões não autorizadas. - Cliente: como 100. - FTP_Server_Name: nome do servidor FTP, como http://contoso.com/ -FTP_Server_Port: porta do servidor FTP, como 22. - Descrição: descrição significativa do servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure os alertas de log de auditoria SAP atribuindo a cada ID de mensagem um nível de severidade conforme exigido por você, por função do sistema (produção, não produção). Essa watchlist detalha todas as IDs de mensagem de log de auditoria padrão do SAP disponíveis. A watchlist pode ser estendida para conter IDs de mensagem adicionais que você pode criar por conta própria usando aprimoramentos do ABAP em seus sistemas SAP NetWeaver. Essa watchlist também permite configurar uma equipe designada para tratar cada um dos tipos de evento e excluir usuários por funções SAP, perfis SAP ou por marcas da watchlist SAP_User_Config. Essa watchlist é um dos principais componentes usados para configurar as regras de análise internas do SAP para monitorar o log de auditoria SAP. - MessageID: a ID da mensagem SAP ou o tipo de evento, como AUD (alterações de registro mestre do usuário) ou AUB (alterações de autorização). - DetailedDescription: uma descrição habilitada para markdown a ser mostrada no painel de incidentes. - ProductionSeverity: a severidade desejada para o incidente a ser criado para sistemas de produção High, Medium. Pode ser definido como Disabled. - NonProdSeverity: a severidade desejada para o incidente a ser criado para sistemas de não produção High, Medium. Pode ser definido como Disabled. - ProductionThreshold A contagem "por hora" de eventos a serem considerados suspeitos para sistemas de produção 60. - NonProdThreshold A contagem "por hora" de eventos a serem considerados suspeitos para sistemas de não produção 10. - RolesTagsToExclude: esse campo aceita o nome da função SAP, nomes de perfil SAP ou marcas da watchlist SAP_User_Config. Eles são usados para excluir os usuários associados de tipos de eventos específicos. Confira as opções de marcas de função no final desta lista. - RuleType: use Deterministic para que o tipo de evento seja enviado para o SAP – Monitor de Log de Auditoria Determinística Dinâmica ou AnomaliesOnly para que esse evento seja coberto pelo SAP – Alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas (VERSÃO PRÉVIA).- TeamsChannelID: um parâmetro dinâmico opcional para uso em guias estratégicos. - DestinationEmail: um parâmetro dinâmico opcional para uso em guias estratégicos. No campo RolesTagsToExclude: – Se você listar funções SAP ou perfis SAP, isso excluirá todo usuário com as funções ou perfis listados desses tipos de evento para o mesmo sistema SAP. Por exemplo, se você definir a função ABAP BASIC_BO_USERS para os tipos de eventos relacionados à RFC, os usuários de Objetos de Negócios não dispararão incidentes ao fazerem chamadas RFC em massa.– Marcar um tipo de evento é semelhante à especificação de funções ou perfis SAP, mas as marcas podem ser criadas no workspace, portanto, as equipes do SOC podem excluir usuários por atividade sem depender da equipe do SAP. Por exemplo, as IDs de mensagem de auditoria AUB (alterações de autorização) e AUD (alterações de registro mestre do usuário) são atribuídas à marca MassiveAuthChanges. Os usuários atribuídos a essa marca são excluídos das verificações dessas atividades. Executar o workspace da função SAPAuditLogConfigRecommend produz uma lista de marcas recomendadas que será atribuída aos usuários, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite ajustar alertas excluindo/incluindo usuários em contextos específicos e também é usado para configurar as regras de análise internas do SAP para monitorar o log de auditoria SAP. - SAPUser: o usuário do SAP - Marcas: as marcas são usadas para identificar usuários em relação a determinada atividade. Por exemplo, adicionar as marcas ["GenericTablebyRFCOK"] ao usuário SENTINEL_SRV impedirá que incidentes relacionados à RFC sejam criados para esse usuário específico Outros identificadores de usuário do Active Directory – Identificador de usuário do AD – Sid local do usuário – Nome UPN |
Guias estratégicos disponíveis
| Nome do guia estratégico | Parâmetros | conexões |
|---|---|---|
| Resposta a incidentes SAP - Bloquear usuário do Teams - Básico | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath – DefaultEmail - TeamsChannel |
- Microsoft Sentinel – Microsoft Teams |
| Resposta a incidentes SAP - Bloquear usuário do Teams - Avançado | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Registros do Azure Monitor Office 365 Outlook – Microsoft Entra ID – Azure Key Vault – Microsoft Teams |
| Resposta a incidentes SAP – Reabilitar o log de auditoria depois de desativado | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel – Azure Key Vault - Registros do Azure Monitor – Microsoft Teams |
Próximas etapas
Para obter mais informações, consulte:
- Implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®
- Referência dos logs dos aplicativos da solução do Microsoft Sentinel para SAP®
- Monitore a integridade do seu sistema SAP
- Implante o conector de dados dos aplicativos da Solução do Microsoft Sentinel para SAP® com o SNC
- Referência do arquivo de configuração
- Pré-requisitos para implantar os aplicativos da Solução do Microsoft Sentinel para SAP®
- Solução de problemas de implantação dos aplicativos da Solução do Microsoft Sentinel para SAP®