Решение Microsoft Sentinel для приложений SAP®: справочник по содержимому безопасности
В этой статье описывается содержимое системы безопасности, доступное для решения Microsoft Sentinel для SAP.
Внимание
Хотя решение Microsoft Sentinel для приложений SAP® находится в общедоступной версии, некоторые компоненты остаются в предварительной версии. В этой статье указаны компоненты, которые находятся в предварительной версии в соответствующих разделах ниже. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
К доступному содержимому системы безопасности относятся встроенные книги и правила аналитики. Можно также добавить связанные с SAP списки отслеживания для использования при поиске, в правилах обнаружения, при охоте на угрозы и в сборнике схем ответов.
Встроенные книги
Следующие встроенные книги позволяют визуализировать и отслеживать данные, полученные через соединитель данных SAP. После развертывания решения SAP вы можете найти книги SAP на вкладке "Мои книги ".
| Имя книги | Description | Журналы |
|---|---|---|
| SAP — обозреватель журналов аудита | Отображает такие данные, как: — Общее состояние системы, включая вход пользователей с течением времени, события, принятые системой, классы сообщений и идентификаторы, а также программы ABAP выполняются -Серьезность событий, происходящих в системе — события проверки подлинности и авторизации, происходящие в системе |
Использует данные из следующего журнала: ABAPAuditLog_CL |
| Элементы управления аудитом SAP | Помогает проверка элементы управления безопасностью среды SAP для соответствия выбранной платформе управления, используя средства для выполнения следующих действий: — Назначение правил аналитики в вашей среде определенным элементам управления безопасностью и семействам элементов управления — Отслеживайте и классифицируйте инциденты, созданные правилами аналитики на основе решений SAP — Отчет о соответствии |
Использует данные из следующих таблиц: - SecurityAlert- SecurityIncident |
Дополнительные сведения см. в руководстве по визуализации и мониторингу данных и развертыванию решения Microsoft Sentinel для приложений SAP®.
Встроенные правила аналитики
Мониторинг конфигурации статических параметров безопасности SAP (предварительная версия)
Чтобы защитить систему SAP, SAP определила параметры, связанные с безопасностью, которые необходимо отслеживать для изменений. С помощью правила "SAP - (предварительная версия) Конфиденциальный статический параметр изменен" решение Microsoft Sentinel для приложений SAP отслеживает более 52 статических параметров безопасности в системе SAP®, которые встроены в Microsoft Sentinel.
Примечание.
Чтобы решение Microsoft Sentinel для приложений SAP успешно отслеживало параметры безопасности SAP, решение должно успешно отслеживать таблицу SAP® PAHI через регулярные интервалы. Убедитесь, что решение может успешно отслеживать таблицу PAHI.
Чтобы понять изменения параметров в системе, решение Microsoft Sentinel для приложений SAP® использует таблицу журнала параметров, которая записывает изменения в системные параметры каждый час.
Параметры также отражаются в списке наблюдения SAPSystemParameters. Этот список наблюдения позволяет пользователям добавлять новые параметры, отключать существующие параметры и изменять значения и серьезность для каждого параметра и системной роли в рабочих или непроизводственных средах.
При изменении одного из этих параметров Microsoft Sentinel проверка, чтобы узнать, связано ли изменение с безопасностью и если значение задано в соответствии с рекомендуемыми значениями. Если изменение подозревается за пределами безопасной зоны, Microsoft Sentinel создает инцидент с подробными сведениями об изменении и определяет, кто сделал это изменение.
Просмотрите список параметров , отслеживаемых этим правилом.
Мониторинг журнала аудита SAP
Данные журнала аудита SAP используются во многих правилах аналитики решения Microsoft Sentinel для приложений SAP®. Некоторые правила аналитики ищут конкретные события в журнале, а другие сопоставляют признаки из нескольких журналов для создания оповещений и инцидентов с высокой точностью.
Кроме того, существуют два правила аналитики, предназначенные для размещения всего набора стандартных событий журнала аудита SAP (183 различных событий), а также любых других пользовательских событий, которые можно регистрировать с помощью журнала аудита SAP.
Оба правила аналитики журналов аудита SAP используют одни и те же источники данных и одну и ту же конфигурацию, но отличаются одним важным аспектом. В то время как правило SAP — динамический монитор журнала аудита требует детерминированных пороговых значений оповещений и правил исключения пользователей, правило "SAP - Динамический монитор журналов аудита на основе аномалий (предварительная версия)" применяет дополнительные алгоритмы машинного обучения для фильтрации фонового шума без контроля. По этой причине большинство типов событий (или идентификаторы сообщений SAP) журнала аудита SAP отправляются в правило аналитики "Аномалия на основе аномалий", а проще определить типы событий отправляются в правило детерминированной аналитики. Этот параметр вместе с другими связанными параметрами можно дополнительно настроить в соответствии с любыми системными условиями.
SAP — динамический детерминированный монитор журнала аудита
Правило динамической аналитики, предназначенное для охвата всего набора типов событий журнала аудита SAP, которые имеют детерминированное определение с точки зрения заполнения пользователей и пороговых значений событий.
- Настройка правила с помощью списка отслеживания SAP_Dynamic_Audit_Log_Monitor_Configuration
- Дополнительные сведения о настройке правила (полная процедура)
SAP — оповещения монитора по журналу аудита на основе динамических аномалий (предварительная версия)
Правило динамической аналитики, предназначенное для изучения нормального поведения системы и оповещения о действиях, наблюдаемых в журнале аудита SAP, которые считаются аномальными. Примените это правило к типам событий журнала аудита SAP, которые труднее определить с точки зрения заполнения пользователей, сетевых атрибутов и пороговых значений.
Подробнее:
- Настройка правила с помощью списков SAP_Dynamic_Audit_Log_Monitor_Configuration и SAP_User_Config контрольных списков
- Дополнительные сведения о настройке правила (полная процедура)
В следующих таблицах перечислены встроенные правила аналитики, включенные в решение Microsoft Sentinel для приложений SAP®, развернутые на платформе решений Microsoft Sentinel.
Первоначальный доступ
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — вход из непредвиденной сети | Определяет вход из непредвиденной сети. Поддержка сетей в списке отслеживания SAP — сети. |
Вход в серверную систему с IP-адреса, который не назначен ни одной из сетей. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ |
| SAP — атака SPNego | Определяет атаку воспроизведения SPNego. | Источники данных: SAPcon — журнал аудита | Влияние, боковое движение |
| SAP — попытка входа через диалоговое окно от имени привилегированного пользователя | Определяет попытки входа в диалоговое окно с типом AUM привилегированными пользователями в системе SAP. Дополнительные сведения см. в разделе SAPUsersGetPrivileged. | Попытка входа с одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени. Источники данных: SAPcon — журнал аудита |
Влияние, боковое движение |
| SAP — атаки методом подбора | Определяет атаки методом подбора в системе SAP с использованием входов RFC | Попытка войти из одного IP-адреса в несколько систем или клиентов в течение запланированного интервала времени с помощью RFC Источники данных: SAPcon — журнал аудита |
Доступ к четным данным |
| SAP — несколько входов с одного IP-адреса | Определяет вход нескольких пользователей с одного IP-адреса в течение запланированного интервала времени. Вариант использования: постоянное хранение |
Вход нескольких пользователей с одного IP-адреса. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ |
| SAP — множественные входы по пользователю | Определяет входы одного и того же пользователя с нескольких терминалов в течение запланированного интервала времени. Доступно только через метод Audit SAL для SAP версий 7.5 и выше. |
Вход одного и того же пользователя с использованием разных IP-адресов. Источники данных: SAPcon — журнал аудита |
PreAttack, доступ к учетным данным, начальный доступ, коллекция Вариант использования: постоянное хранение |
| SAP — информационное правило — жизненный цикл — в системе были реализованы примечания SAP | Определяет реализацию примечания SAP в системе. | Реализация примечания SAP с помощью SNOTE/TCI. Источники данных: SAPcon — запросы на изменение |
- |
Кража данных
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — FTP для неавторизованных серверов | Определяет FTP-подключение для неавторизованного сервера. | Создание нового FTP-подключения, например с помощью модуля функции FTP_CONNECT. Источники данных: SAPcon — журнал аудита |
Обнаружение, начальный доступ, управление и контроль |
| SAP — небезопасные конфигурации FTP-серверов | Определяет небезопасные конфигурации FTP-серверов, например, если список разрешений FTP пуст или содержит заполнители. | Не поддерживайте или поддерживайте значения, содержащие заполнители, в таблице SAPFTP_SERVERS, используя представление обслуживания SAPFTP_SERVERS_V. (SM30) Источники данных: SAPcon — журнал аудита |
Начальный доступ, управление и контроль |
| SAP — скачивание нескольких файлов | Определяет скачивания нескольких файлов для пользователя в пределах определенного интервала времени. | Скачивание нескольких файлов с помощью SAPGui для Excel, списков и т. д. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — выполнение нескольких очередей | Определяет выполнение пользователем нескольких очередей в пределах определенного интервала времени. | Создание и запуск пользователем нескольких заданий очередей любого типа. (SP01) Источники данных: SAPcon — журнал очереди, SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — выходные данные выполнения нескольких очередей | Определяет выполнение пользователем нескольких очередей в пределах определенного интервала времени. | Создание и запуск пользователем нескольких заданий очередей любого типа. (SP01) Источники данных: SAPcon — журнал вывода очереди, SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — прямой доступ к конфиденциальным таблицам с помощью входа RFC | Определяет доступ к универсальной таблице по входу RFC. Поддержка таблиц в списке отслеживания SAP — конфиденциальные таблицы. Примечание. Относится только к рабочим системам. |
Открытие содержимого таблицы с помощью SE11/SE16/SE16N. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных, доступ к учетным данным |
| SAP — перехват очереди | Определяет пользователя, выводящего запрос очереди, созданный кем-то другим. | Создание запроса очереди с помощью одного пользователя и затем его вывод с помощью другого пользователя. Источники данных: SAPcon — журнал очереди, SAPcon — журнал вывода очереди, SAPcon — журнал аудита |
Сбор, кража данных, управление и контроль |
| SAP — динамическое назначение RFC | Определяет выполнение RFC с использованием динамических назначений. Вариант использования: попытки обойти механизмы защиты SAP |
Выполнение отчета ABAP, в котором используются динамические назначения (cl_dynamic_destination). Например, DEMO_RFC_DYNAMIC_DEST. Источники данных: SAPcon — журнал аудита |
Сбор, кража данных |
| SAP — прямой доступ к конфиденциальным таблицам с помощью диалогового окна входа | Определяет доступ к универсальной таблице через диалоговое окно входа. | Открытие содержимого таблиц с помощью SE11/SE16/SE16N. Источники данных: SAPcon — журнал аудита |
Обнаружение |
| SAP - (предварительная версия) файл, скачанный с вредоносного IP-адреса | Определяет скачивание файла из системы SAP с помощью IP-адреса, известного как вредоносный. Вредоносные IP-адреса получаются из служб аналитики угроз. | Скачайте файл из вредоносного IP-адреса. Источники данных: журнал аудита безопасности SAP, аналитика угроз |
Кража |
| SAP — (предварительная версия) Экспорт данных из рабочей системы с помощью транспорта | Определяет экспорт данных из рабочей системы с помощью транспорта. Транспорт используется в системах разработки и похож на запросы на вытягивание. Это правило генерации оповещений активирует инциденты со средней серьезностью, когда транспорт, содержащий данные из любой таблицы, освобождается из рабочей системы. Правило создает инцидент с высокой серьезностью при экспорте данных из конфиденциальной таблицы. | Выпуск транспорта из рабочей системы. Источники данных: журнал SAP CR, SAP — конфиденциальные таблицы |
Кража |
| SAP — (предварительная версия) Конфиденциальные данные, сохраненные на USB-диске | Определяет экспорт данных SAP через файлы. Правило проверка для данных, сохраненных в недавно подключенном USB-накопителе, близком к выполнению конфиденциальной транзакции, конфиденциальной программе или прямому доступу к конфиденциальной таблице. | Экспортируйте данные SAP через файлы и сохраните его на USB-диске. Источники данных: журнал аудита безопасности SAP, DeviceFileEvents (Microsoft Defender для конечной точки), SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража |
| SAP — (предварительная версия) Печать потенциально конфиденциальных данных | Определяет запрос или фактическую печать потенциально конфиденциальных данных. Данные считаются конфиденциальными, если пользователь получает данные в рамках конфиденциальной транзакции, выполнения конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Печать или запрос на печать конфиденциальных данных. Источники данных: журнал аудита безопасности SAP, журналы sap Spool, SAP — конфиденциальные таблицы, SAP — конфиденциальные программы |
Кража |
| SAP — (предварительная версия) большой объем потенциально конфиденциальных данных, экспортированных | Определяет экспорт больших объемов данных через файлы в близости от выполнения конфиденциальной транзакции, конфиденциальной программы или прямого доступа к конфиденциальной таблице. | Экспорт больших объемов данных с помощью файлов. Источники данных: журнал аудита безопасности SAP, SAP — конфиденциальные таблицы, SAP — конфиденциальные транзакции, SAP — конфиденциальные программы |
Кража |
Настойчивости
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — активация или деактивация службы ICF | Определяет активацию или деактивацию служб ICF. | Активация службы с помощью SICF. Источники данных: SAPcon — журнал данных таблицы |
Управление и контроль, боковое движение, сохраняемость |
| SAP — модуль функции протестирован | Определяет тестирование модуля функции. | Тестирование модуля функции с помощью SE37 / SE80. Источники данных: SAPcon — журнал аудита |
Сбор, обход защиты, боковое движение |
| SAP — HANA DB (предварительная версия) — действия администратора пользователей | Определяет действия по администрированию пользователей. | Создание, обновление или удаление пользователя базы данных. Источники данных: агент Linux — Syslog* |
Повышение привилегий |
| SAP — новые обработчики служб ICF | Определяет создание обработчиков служб ICF. | Назначение нового обработчика службе с помощью SICF. Источники данных: SAPcon — журнал аудита |
Управление и контроль, боковое движение, сохраняемость |
| SAP — новые службы ICF | Определяет создание служб ICF. | Создание службы с помощью SICF. Источники данных: SAPcon — журнал данных таблицы |
Управление и контроль, боковое движение, сохраняемость |
| SAP — выполнение устаревшего или небезопасного модуля функции | Определяет выполнение модуля устаревшей или небезопасной функции ABAP. Поддержка устаревших функций в списке отслеживания SAP — модули устаревших функций. Обязательно активируйте изменения ведения журнала таблиц для таблицы EUFUNC в серверной части. (SE13)Примечание. Относится только к рабочим системам. |
Запуск модуля устаревшей или небезопасной функции напрямую с помощью SE37. Источники данных: SAPcon — журнал данных таблицы |
Обнаружение, управление и контроль |
| SAP — выполнение устаревшей или небезопасной программы | Определяет выполнение устаревшей или небезопасной программы ABAP. Поддерживайте устаревшие программы в списке отслеживания SAP — устаревшие программы. Примечание. Относится только к рабочим системам. |
Запуск программы напрямую с помощью SE38/SA38/SE80 или с помощью фонового задания. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и контроль |
| SAP — несколько смен паролей пользователем | Определяет несколько смен паролей пользователем. | Изменение пароля пользователя Источники данных: SAPcon — журнал аудита |
Доступ к четным данным |
Попытки обойти механизмы безопасности SAP
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — изменение конфигурации клиента | Определяет изменения конфигурации клиента, такие как роль клиента, или режим записи изменений. | Изменение конфигурации клиента с помощью кода транзакции SCC4. Источники данных: SAPcon — журнал аудита |
Обход защиты, кража данных, сохраняемость |
| SAP — изменились данные во время действия отладки | Определяет изменения для данных среды выполнения во время действия отладки. Вариант использования: постоянное хранение |
1. Активация отладки ("/h"). 2. Выбор поля для изменения и обновление его значения. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое движение |
| SAP — деактивация журнала аудита безопасности | Определяет деактивацию журнала аудита безопасности, | Отключение журнала аудита безопасности с помощью SM19/RSAU_CONFIG. Источники данных: SAPcon — журнал аудита |
Кража данных, обход защиты, сохраняемость |
| SAP — выполнение конфиденциальной программы ABAP | Определяет прямое выполнение конфиденциальной программы ABAP. Поддержка программ ABAP в списке отслеживания SAP — конфиденциальные программы ABAP. |
Запуск программы напрямую с помощью SE38/SA38/SE80. Источники данных: SAPcon — журнал аудита |
Кража данных, боковое движение, выполнение |
| SAP — выполнение кода конфиденциальной транзакции | Определяет выполнение кода конфиденциальной транзакции. Поддержка кодов транзакций в списке отслеживания SAP — коды конфиденциальных транзакций. |
Выполнение кода конфиденциальной транзакции. Источники данных: SAPcon — журнал аудита |
Обнаружение, выполнение |
| SAP — выполнение модуля конфиденциальной функции | Определяет выполнение модуля конфиденциальной функции ABAP. Вариант использования: постоянное хранение Примечание. Относится только к рабочим системам. Поддержка конфиденциальных функций в списке отслеживания SAP — модули конфиденциальных функций и обязательная активация изменений ведения журнала таблиц в серверной части для таблицы EUFUNC. (SE13) |
Запуск модуля конфиденциальной функции напрямую с помощью SE37. Источники данных: SAPcon — журнал данных таблицы |
Обнаружение, управление и контроль |
| SAP — HANA DB (предварительная версия) — изменения политики журнала аудита | Определяет изменения в политиках журнала аудита HANA DB. | Создание политики или обновление существующей политики аудита в определениях безопасности. Источники данных: агент Linux — Syslog |
Боковое движение, обход защиты, сохраняемость |
| SAP — HANA DB (предварительная версия) — отключение журнала аудита | Определяет отключение журнала аудита HANA DB. | Отключение журнала аудита в определении безопасности HANA DB. Источники данных: агент Linux — Syslog |
Сохраняемость, боковое движение, обход защиты |
| SAP — несанкционированное удаленное выполнение модуля конфиденциальной функции | Обнаруживает несанкционированные выполнения конфиденциальных виртуальных машин, сравнивая действие с профилем авторизации пользователя, игнорируя недавно измененные авторизации. Поддержка модулей функций в списке отслеживания SAP — модули конфиденциальных функций. |
Запуск модуля функции с помощью RFC. Источники данных: SAPcon — журнал аудита |
Выполнение, боковое движение, обнаружение |
| SAP — изменение конфигурации системы | Определяет изменения конфигурации системы. | Адаптация параметров изменения системы или модификации программного компонента с помощью кода транзакции SE06.Источники данных: SAPcon — журнал аудита |
Кража данных, обход защиты, сохраняемость |
| SAP — действия отладки | Определяет все действия, связанные с отладкой. Вариант использования: постоянное хранение |
Активация отладки ("/h") в системе, отладка активного процесса, добавление точки останова в исходный код и т. д. Источники данных: SAPcon — журнал аудита |
Обнаружение |
| SAP — изменение конфигурации журнала аудита безопасности | Определяет изменения в конфигурации журнала аудита безопасности | Изменение конфигурации журнала аудита безопасности с помощью SM19/RSAU_CONFIG, например фильтры, состояние, режим записи и т. д. Источники данных: SAPcon — журнал аудита |
Сохраняемость, кража данных, обход защиты |
| SAP — транзакция разблокирована | Определяет разблокировку транзакции. | Разблокировка кода транзакции с помощью SM01/SM01_DEV/SM01_CUS. Источники данных: SAPcon — журнал аудита |
Сохраняемость, выполнение |
| SAP — динамическая программа ABAP | Определяет выполнение динамического программирования ABAP. Например, при динамическом создании, изменении или удалении кода ABAP. Поддержка исключенных кодов транзакций в списке отслеживания SAP — транзакции для создания ABAP. |
Создание отчета ABAP, использующего команды генерирования программы ABAP, такие как INSERT REPORT и последующее выполнение отчета. Источники данных: SAPcon — журнал аудита |
Обнаружение, управление и контроль, влияние |
Подозрительные операции с привилегиями
| Имя правила | Description | Исходное действие | Тактика |
|---|---|---|---|
| SAP — изменение в конфиденциальном привилегированном пользователе | Определяет изменения привилегированных пользователей с конфиденциальными данными. Поддержка привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи. |
Изменение сведений о пользователях и авторизаций с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным |
| SAP — HANA DB (предварительная версия) — назначение авторизаций администратора | Определяет права или назначение роли администратора. | Назначение пользователя с любой ролью или правами администратора. Источники данных: агент Linux — Syslog |
Повышение привилегий |
| SAP — выполнен вход конфиденциального привилегированного пользователя | Определяет вход конфиденциального привилегированного пользователя. Поддержка привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи. |
Вход в серверную систему с помощью SAP* или другого привилегированного пользователя. Источники данных: SAPcon — журнал аудита |
Первоначальный доступ, доступ к учетным данным |
| SAP — конфиденциальный привилегированный пользователь вносит изменения в других пользователей | Определяет изменения конфиденциальных, привилегированных пользователей в других пользователях. | Изменение сведений о пользователях и авторизаций с помощью SU01. Источники данных: SAPcon — журнал аудита |
Повышение привилегий, доступ к учетным данным |
| SAP — изменение паролей и вход конфиденциальных пользователей | Определяет изменения паролей для привилегированных пользователей. | Изменение пароля привилегированного пользователя и выполнение входа в систему. Поддержка привилегированных пользователей в списке отслеживания SAP — привилегированные пользователи. Источники данных: SAPcon — журнал аудита |
Влияние, управление и контроль, повышение привилегий |
| SAP — пользователь создает и использует нового пользователя | Определяет пользователя, создающего и использующего других пользователей. Вариант использования: постоянное хранение |
Создание пользователя с помощью SU01 и выполнение входа с использованием только что созданного пользователя и того же IP-адреса. Источники данных: SAPcon — журнал аудита |
Обнаружение, предварительная атака, первоначальный доступ |
| SAP — пользователь разблокирует и использует других пользователей | Определяет пользователя, который разблокируется и используется другими пользователями. Вариант использования: постоянное хранение |
Разблокировка пользователя с помощью SU01 и выполнение входа с использованием разблокированного пользователя и того же IP-адреса. Источники данных: SAPcon — журнал аудита, SAPcon — журнал изменений документов |
Обнаружение, предварительная атака, первоначальный доступ, боковое движение |
| SAP — назначение конфиденциального профиля | Определяет новые назначения конфиденциального профиля пользователю. Поддержка конфиденциальных профилей в списке отслеживания SAP — конфиденциальные профили. |
Назначение профиля пользователю с помощью SU01. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — назначение конфиденциальной роли | Определяет новые назначения конфиденциальной роли пользователю. Поддержка конфиденциальных ролей в списке отслеживания SAP — конфиденциальные роли. |
Назначение роли пользователю с помощью SU01 / PFCG. Источники данных: SAPcon — журнал изменений документов, журнал аудита |
Повышение привилегий |
| SAP — назначение критических авторизаций (предварительная версия) — новое значение авторизации | Определяет назначение значения объекта критической авторизации новому пользователю. Поддержка объектов критической авторизации в списке отслеживания SAP — объекты критической авторизации. |
Назначение нового объекта авторизации или обновление существующего в роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — назначение критических авторизаций — назначение нового пользователя | Определяет назначение значения объекта критической авторизации новому пользователю. Поддержка объектов критической авторизации в списке отслеживания SAP — объекты критической авторизации. |
Назначение новому пользователю роли, содержащей значения критической авторизации, с помощью SU01/PFCG. Источники данных: SAPcon — журнал изменений документов |
Повышение привилегий |
| SAP — изменения конфиденциальных ролей | Определяет изменения в конфиденциальных ролях. Поддержка конфиденциальных ролей в списке отслеживания SAP — конфиденциальные роли. |
Изменение роли с помощью PFCG. Источники данных: SAPcon — журнал изменений документов, SAPcon — журнал аудита |
Влияние, повышение привилегий, сохраняемость |
Доступные списки отслеживания
В следующей таблице перечислены списки наблюдения, доступные для решения Microsoft Sentinel для приложений SAP®, а также поля в каждом списке наблюдения.
Эти списки наблюдения предоставляют конфигурацию решения Microsoft Sentinel для приложений SAP®. Списки к просмотру для SAP доступны в репозитории Microsoft Sentinel на GitHub.
| Имя списка отслеживания | Описание и поля |
|---|---|
| SAP — объекты критических авторизаций | Объекты критических авторизаций, в которых следует управлять назначениями. - AuthorizationObject: объект авторизации SAP, например S_DEVELOP, S_TCODE или Table TOBJ - AuthorizationField: поле авторизации SAP, например OBJTYP или TCD - AuthorizationValue: значение поля авторизации SAP, например DEBUG - ActivityField: поле действия SAP. В большинстве случаев это значение будет равно ACTVT. Для объектов авторизации без поля Действия или только с полем Действия, имеющим значение NOT_IN_USE. - Действие: действие SAP в соответствии с объектом авторизации, например 01: создание; 02: изменение; 03: отображение и т. д. - Описание: понятное описание объекта критической авторизации. |
| SAP — исключенные сети | Для внутреннего обслуживания исключенных сетей, например для пропуска веб-диспетчеров, серверов терминалов и т. д. -Сеть: сетевой IP-адрес или диапазон, например 111.68.128.0/17. -Описание: понятное описание сети. |
| SAP — исключенные пользователи | Системные пользователи, которые вошли в систему и должны игнорироваться. Например, оповещения о нескольких входах одного пользователя. - Пользователь: SAP User -Описание: понятное описание пользователя. |
| SAP — сети | Внутренние и обслуживающие сети для идентификации неавторизованных входов. - Сеть: сетевой IP-адрес или диапазон, например 111.68.128.0/17. - Описание: понятное описание сети. |
| SAP — привилегированные пользователи | Привилегированные пользователи, к которым применены дополнительные ограничения. - Пользователь — пользователь ABAP, например DDIC или SAP. - Описание: понятное описание пользователя. |
| SAP — конфиденциальные программы ABAP | Конфиденциальные программы ABAP (отчеты), требующие управления выполнением. - ABAPProgram: программа или отчет ABAP, например RSPFLDOC. - Описание: понятное описание программы. |
| SAP — модуль конфиденциальной функции | Внутренние и обслуживающие сети для идентификации неавторизованных входов. - FunctionModule: модуль функции ABAP, например RSAU_CLEAR_AUDIT_LOG. - Описание: понятное описание модуля. |
| SAP — конфиденциальные профили | Конфиденциальные профили, требующие управления назначениями. - Профиль: профиль авторизации SAP, например SAP_ALL или SAP_NEW. - Описание: понятное описание профиля. |
| SAP — конфиденциальные таблицы | Конфиденциальные таблицы, требующие управления доступом. - Таблица: таблица словаря ABAP, например USR02 или PA008. - Описание: понятное описание таблицы. |
| SAP — конфиденциальные роли | Конфиденциальные роли, требующие управления назначениями. - Роль: роль авторизации SAP, например SAP_BC_BASIS_ADMIN. - Описание: понятное описание роли. |
| SAP — конфиденциальные транзакции | Конфиденциальные транзакции, требующие управления выполнением. - TransactionCode: код транзакции SAP, например RZ11. - Описание: понятное описание кода. |
| SAP — системы | Описывает ландшафт систем SAP в соответствии с ролью, использованием и конфигурацией. - SystemID: идентификатор системы SAP (SYSID) - SystemRole: роль системы SAP, одно из следующих значений: Sandbox, Development, Quality Assurance, Training, Production. - SystemUsage: использование системы SAP, одно из следующих значений: ERP, BW, Solman, Gateway, Enterprise Portal. - InterfaceAttributes: необязательный динамический параметр для использования в сборниках схем. |
| SAPSystemParameters | Параметры для отслеживания подозрительных изменений конфигурации. Этот список наблюдения предварительно заполнен рекомендуемыми значениями (в соответствии с рекомендациями SAP), и вы можете расширить список наблюдения, чтобы включить дополнительные параметры. Если вы не хотите получать оповещения для параметра, задайте для EnableAlertsfalseпараметра значение .- ParameterName: имя параметра. - Примечание. Описание стандартного параметра SAP. - EnableAlerts: определяет, следует ли включить оповещения для этого параметра. Значения: true и false.- Параметр: определяет, в каком случае следует активировать оповещение: если значение параметра больше или равно (), меньше или равно ( GELE) или равно (EQ).Например, если login/fails_to_user_lock для параметра SAP задано LE значение (меньше или равно) и значение 5, когда Microsoft Sentinel обнаруживает изменение этого конкретного параметра, оно сравнивает только что сообщаемое значение и ожидаемое значение. Если новое значение равно 4, Microsoft Sentinel не активирует оповещение. Если новое значение равно 6, Microsoft Sentinel активирует оповещение.- ProductionSeverity: серьезность инцидентов для производственных систем. - ProductionValues: допустимые значения для рабочих систем. - NonProdSeverity: серьезность инцидентов для нерабочих систем. - NonProdValues: допустимые значения для непроизводственных систем. |
| SAP — исключенные пользователи | Системные пользователи, которые выполнили вход и должны быть проигнорированы, например для оповещения о нескольких входах пользователя. - Пользователь: SAP User - Описание: понятное описание пользователя. |
| SAP — исключенные сети | Поддержка внутренних, исключенных сетей для пропуска веб-диспетчеров, серверов терминалов и т. д. - Сеть: сетевой IP-адрес или диапазон, например 111.68.128.0/17. - Описание: понятное описание сети. |
| SAP — модули устаревших функций | Модули устаревших функций, требующие управления выполнением. - FunctionModule: модуль функции ABAP, например TH_SAPREL - Описание: понятное описание модуля функции. |
| SAP — устаревшие программы | Устаревшие программы ABAP (отчеты), требующие управления выполнением. - ABAPProgram:ABAP Program, например TH_ RSPFLDOC - Описание: понятное описание программы. |
| SAP — транзакции для создания программ ABAP | Транзакции для создания программ ABAP, требующих управления выполнением - TransactionCode: код транзакции, например SE11. - Описание: понятное описание кода транзакции. |
| SAP — FTP-серверы | FTP-серверы для идентификации неавторизованных подключений. - Клиент: например, 100. - FTP_Server_Name: имя FTP-сервера, например http://contoso.com/. -FTP_Server_Port: порт FTP-сервера, например 22. - Описание: понятное описание FTP-сервера. |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Настройте оповещения журнала аудита SAP, назначив каждому идентификатору сообщения необходимый уровень серьезности для каждой системной роли (рабочей, нерабочей). Этот список наблюдения содержит все доступные идентификаторы сообщений журнала аудита SAP уровня "Стандартный". Список наблюдения можно расширить, чтобы содержать дополнительные идентификаторы сообщений, которые можно создать самостоятельно с помощью усовершенствований ABAP в своих системах SAP NetWeaver. Этот список наблюдения также позволяет настроить назначенную команду для обработки каждого из типов событий и исключения пользователей ролями SAP, профилями SAP или тегами из списка наблюдения SAP_User_Config . Этот список наблюдения является одним из основных компонентов, используемых для настройкивстроенных правил аналитики SAP для мониторинга журнала аудита SAP. - MessageID: идентификатор сообщения SAP или тип события, например AUD (изменения основной записи пользователя) или AUB (изменения авторизации). - DetailedDescription: описание включено markdown, отображаемое на панели инцидентов. - ProductionSeverity — требуемый уровень серьезности для создания инцидента для рабочих систем High, Medium. Можно задать как Disabled. - NonProdSeverity — требуемый уровень серьезности для создания инцидента для нерабочих систем High, Medium. Можно задать как Disabled. - ProductionThreshold Число событий в час, которые следует рассматривать как подозрительные для производственных систем 60. - NonProdThreshold Число событий в час, которые следует рассматривать как подозрительные для непроизводственных систем 10. - RolesTagsToExclude — это поле принимает имя роли SAP, имена профилей SAP или теги из списка отслеживания SAP_User_Config. Затем они используются для исключения связанных пользователей из определенных типов событий. См. параметры тегов ролей в конце этого списка. - RuleType: используйте Deterministic для отправки типа события в SAP — динамический детерминированный монитор журнала аудита или AnomaliesOnly для того, чтобы это событие охватывало SAP — оповещения монитора журналов аудита на основе динамических аномалий (предварительная версия).- TeamsChannelID: необязательный динамический параметр для использования в сборниках схем. - DestinationEmail: необязательный динамический параметр для использования в сборниках схем. Для поля RoleTagsToExclude: — Если вы перечисляете роли SAP или профили SAP, это исключает любого пользователя с перечисленными ролями или профилями из этих типов событий для той же системы SAP. Например, если определить BASIC_BO_USERS роль ABAP для связанных типов событий RFC, пользователи бизнес-объектов не будут запускать инциденты при выполнении массовых вызовов RFC.— Добавление тегов к типу события аналогично указанию ролей или профилей SAP, но теги можно создавать в рабочей области, поэтому команды SOC могут исключить пользователей по действиям без зависимости от команды SAP. Например, идентификаторы сообщений аудита (изменения авторизации) и AUD (изменения главной записи пользователя) назначаются тегу MassiveAuthChanges . Пользователи, назначенные этим тегом, исключаются из проверка для этих действий. При выполнении функции рабочей области SAPAuditLogConfigRecommend создается список рекомендуемых тегов, назначенных пользователям, например Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Позволяет точно настроить оповещения, исключив/включая пользователей в определенных контекстах, а также используется для настройки встроенных правил аналитики SAP для мониторинга журнала аудита SAP. - SAPUser: пользователь SAP - Tags — теги используются для идентификации пользователей в определенных действиях. Например, добавление тегов ["GenericTablebyRFCOK"] для пользователя SENTINEL_SRV не позволит создавать связанные с RFC инциденты для этого конкретного пользователя. Другие идентификаторы пользователей Active Directory — идентификатор пользователя AD — локальный идентификатор пользователя — Имя субъекта-пользователя. |
Доступные сборники схем
| Имя сборника схем | Параметры | Связи |
|---|---|---|
| Ответ на инциденты SAP — блокировка пользователя из Teams — базовый | — SAP-SOAP-User-Password — SAP-SOAP-Username — SOAPApiBasePath — DefaultEmail — TeamsChannel |
— Microsoft Sentinel; — Microsoft Teams; |
| Ответ на инциденты SAP— блокировка пользователя из Teams — дополнительно | — SAP-SOAP-KeyVault-Credential-Name — Default Администратор Email — TeamsChannel |
— Microsoft Sentinel; — Журналы Azure Monitor — Office 365 Outlook — Идентификатор Microsoft Entra — Azure Key Vault; — Microsoft Teams; |
| Ответ на инциденты SAP — повторное ведение журнала аудита после деактивации | — SAP-SOAP-KeyVault-Credential-Name — Default Администратор Email — TeamsChannel |
— Microsoft Sentinel; — Azure Key Vault; — Журналы Azure Monitor — Microsoft Teams; |
Дальнейшие действия
Дополнительные сведения см. в разделе:
- Развертывание решения Microsoft Sentinel для приложений SAP®
- Справочник по решениям Microsoft Sentinel для журналов приложений SAP®
- Мониторинг работоспособности системы SAP
- Развертывание решения Microsoft Sentinel для соединителя данных приложений SAP® с помощью SNC
- Справочник по файлу конфигурации
- Предварительные требования для развертывания решения Microsoft Sentinel для приложений SAP®
- Устранение неполадок с решением Microsoft Sentinel для развертывания приложений SAP®