Azure Sentinel SAP-lösning: referens för säkerhetsinnehåll (offentlig förhandsversion)

Den här artikeln beskriver säkerhetsinnehållet som är tillgängligt för Azure Sentinel SAP-lösningen.

Tillgängligt säkerhetsinnehåll innehåller en inbyggd arbetsbok och inbyggda analysregler. Du kan också lägga till SAP-relaterade visningslistor som ska användas i dina spelböcker för sökning, identifieringsregler, hotjakt och svar.

Viktigt

SAP Azure Sentinel lösningen finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som inte har släppts allmänt ännu.

SAP – Arbetsbok för systemprogram och produkter

Använd arbetsboken SAP – Systemprogram och produkter för att visualisera och övervaka de data som matas in via SAP-dataanslutningen.

Exempel:

SAP – Arbetsbok för systemprogram och produkter.

Mer information finns i Självstudie: Visualisera och övervaka dina data.

Inbyggda analysregler

I följande tabeller visas de inbyggda analysregler som ingår i den Azure Sentinel SAP-lösningen som distribueras från marknadsplatsen för Azure Sentinel Solutions.

Inbyggda sap-lösningsanalysregler på hög nivå

Regelnamn Beskrivning Källåtgärd Taktiker
SAP – hög – ändring i känslig privilegierad användare Identifierar ändringar av känsliga privilegierade användare.

Underhålla privilegierade användare i visningslistan för SAP – Privilegierade användare.
Ändra användarinformation/auktoriseringar med hjälp av SU01 .

Datakällor: SAPcon – granskningslogg
Behörighetseskalering, åtkomst till autentiseringsuppgifter
SAP – Hög – Ändring av klientkonfiguration Identifierar ändringar för klientkonfiguration, till exempel klientrollen eller läget för ändringsinspelning. Utför ändringar i klientkonfigurationen med SCC4 hjälp av transaktionskoden.

Datakällor: SAPcon – granskningslogg
Skydd för beständighet, exfiltrering, beständighet
SAP – Hög – Data har ändrats under felsökningsaktiviteten Identifierar ändringar för körningsdata under en felsökningsaktivitet. 1. Aktivera felsökning ("/h").
2. Välj ett fält för att ändra och uppdatera dess värde.

Datakällor: SAPcon – granskningslogg
Körning, lateral förflyttning
SAP – Hög – Inaktivering av säkerhetsgranskningslogg Identifierar inaktivering av säkerhetsgranskningsloggen, Inaktivera säkerhetsgranskningsloggen med hjälp av SM19/RSAU_CONFIG .

Datakällor: SAPcon – granskningslogg
Exfiltrering, försvarsutbrott, beständighet
SAP – hög – körning av ett känsligt ABAP-program Identifierar direkt körning av ett känsligt ABAP-program.

Underhåll ABAP-program i visningslistan för SAP – Känsliga ABAP-program.
Kör ett program direkt med hjälp av SE38 / SA38 / SE80 .

Datakällor: SAPcon – granskningslogg
Exfiltrering, lateral förflyttning, körning
SAP – hög – körning av en känslig transaktionskod Identifierar körningen av en känslig transaktionskod.

Behåll transaktionskoder i bevakningslistan SAP – Känsliga transaktionskoder.
Kör en känslig transaktionskod.

Datakällor: SAPcon – granskningslogg
Identifiering, körning
SAP – Hög – funktionsmodul testad Identifierar testning av en funktionsmodul. Testa en funktionsmodul med SE37 / SE80 .

Datakällor: SAPcon – granskningslogg
Samling, skydd och lateral förflyttning
SAP – Hög – HANA DB – Tilldela administratörsauktoriseringar Identifierar administratörsbehörighet eller rolltilldelning. Tilldela en användare med valfri administratörsroll eller behörighet.

Datakällor: Linux-agent – Syslog
Privilegieeskalering
SAP – Hög – HANA DB – Principändringar i granskningslogg Identifierar ändringar för HANA DB-granskningsloggprinciper. Skapa eller uppdatera den befintliga granskningsprincipen i säkerhetsdefinitioner.

Datakällor: Linux-agent – Syslog
Lateral förflyttning, skydd – beständighet
SAP – Hög – HANA DB – Inaktivering av granskningslogg Identifierar inaktiveringen av HANA DB-granskningsloggen. Inaktivera granskningsloggen i SÄKERHETSdefinitionen för HANA DB.

Datakällor: Linux-agent – Syslog
Beständighet, lateral förflyttning, skydd
SAP – Hög – HANA DB – Åtgärder för användaradministratör Identifierar användaradministrationsåtgärder. Skapa, uppdatera eller ta bort en databasanvändare.

Datakällor: Linux-agent – Syslog*
Privilegieeskalering
SAP – hög – inloggning från oväntat nätverk Identifierar en inloggning från ett oväntat nätverk.

Underhålla nätverk i sap - Networks-visningslistan.
Logga in på backend-systemet från en IP-adress som inte har tilldelats något av nätverken.

Datakällor: SAPcon – granskningslogg
Första åtkomst
SAP – Hög – RFC-körning av en känslig funktionsmodul Känsliga funktionsmodeller som ska användas i relevanta identifieringar.

Underhåll funktionsmoduler i visningslistan för SAP – Sensitive Function Modules.
Kör en funktionsmodul med RFC.

Datakällor: SAPcon – granskningslogg
Körning, lateral förflyttning, identifiering
SAP – Hög – känslig privilegierad användare inloggad Identifierar inloggningen i dialogrutan för en känslig privilegierad användare.

Underhålla privilegierade användare i visningslistan för SAP – Privilegierade användare.
Logga in på backend-systemet med hjälp SAP* av eller en annan privilegierad användare.

Datakällor: SAPcon – granskningslogg
Första åtkomst, åtkomst till autentiseringsuppgifter
SAP – Hög – Känslig privilegierad användare gör en ändring i en annan användare Identifierar ändringar av känsliga, privilegierade användare i andra användare. Ändra användarinformation/auktoriseringar med SU01.

Datakällor: SAPcon – granskningslogg
Behörighetseskalering, åtkomst till autentiseringsuppgifter
SAP – Hög – Ändring av systemkonfiguration Identifierar ändringar för systemkonfiguration. Anpassa systemändringsalternativ eller ändring av programvarukomponenter med hjälp av SE06 transaktionskoden.

Datakällor: SAPcon – granskningslogg
Exfiltrering, försvarsutbrott, beständighet

Inbyggda sap-lösningsanalysregler på medelnivå

Regelnamn Beskrivning Källåtgärd Taktiker
SAP – Medel – Tilldelning av en känslig profil Identifierar nya tilldelningar av en känslig profil för en användare.

Underhålla känsliga profiler i bevakningslistan för SAP – känsliga profiler.
Tilldela en profil till en användare med hjälp av SU01 .

Datakällor: SAPcon – Ändra dokumentlogg
Privilegieeskalering
SAP – Medel – Tilldelning av en känslig roll Identifierar nya tilldelningar för en känslig roll för en användare.

Underhålla känsliga roller i bevakningslistan SAP – känsliga roller.
Tilldela en roll till en användare med hjälp av SU01 / PFCG .

Datakällor: SAPcon – ändra dokumentlogg, granskningslogg
Privilegieeskalering
SAP – Medel – Brute force-attacker Identifierar brute force-attacker på SAP-systemet enligt misslyckade inloggningsförsök för backend-systemet. Försök att logga in från samma IP-adress till flera system/klienter inom det schemalagda tidsintervallet.

Datakällor: SAPcon – granskningslogg
Åtkomst till autentiseringsuppgifter
SAP – Medel – Tilldelning av kritiska auktoriseringar – Nytt auktoriseringsvärde Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare.

Underhåll kritiska auktoriseringsobjekt i bevakningslistan SAP – Critical Authorization Objects.
Tilldela ett nytt auktoriseringsobjekt eller uppdatera ett befintligt objekt i en roll med hjälp av PFCG .

Datakällor: SAPcon – ändra dokumentlogg
Privilegieeskalering
SAP – Medel – Tilldelning av kritiska auktoriseringar – Ny användartilldelning Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare.

Underhåll kritiska auktoriseringsobjekt i bevakningslistan SAP – Critical Authorization Objects.
Tilldela en ny användare till en roll som innehåller kritiska auktoriseringsvärden med hjälp av SU01 / PFCG .

Datakällor: SAPcon – ändra dokumentlogg
Privilegieeskalering
SAP – Medel – felsökningsaktiviteter Identifierar alla felsökningsrelaterade aktiviteter. Aktivera Felsökning ("/h") i systemet, felsök en aktiv process, lägg till brytpunkt i källkoden och så vidare.

Datakällor: SAPcon – granskningslogg
Identifiering
SAP – medel – flera inloggningar efter IP Identifierar inloggningen för flera användare från samma IP-adress inom ett schemalagt tidsintervall. Logga in med flera användare via samma IP-adress.

Datakällor: SAPcon – granskningslogg
Första åtkomst
SAP – medel – flera inloggningar per användare Identifierar inloggningar för samma användare från flera terminaler inom ett schemalagt tidsintervall.

Endast tillgängligt via audit SAL-metoden för SAP-version 7.5 och senare.
Logga in med samma användare med olika IP-adresser.

Datakällor: SAPcon – granskningslogg
PreAttack, Credential Access, Initial Access, Collection
SAP – Medel – Ändring av säkerhetsgranskningsloggens konfiguration Identifierar ändringar i konfigurationen av säkerhetsgranskningsloggen Ändra eventuell konfiguration av säkerhetsgranskningslogg SM19 / RSAU_CONFIG med , till exempel filter, status, inspelningsläge och så vidare.

Datakällor: SAPcon – granskningslogg
Persistence, Exfiltration, DefenseSistence
SAP – Medel – Transaktionen är upplåst Identifierar upplåsning av en transaktion. Låsa upp en transaktionskod med hjälp av SM01 / SM01_DEV / SM01_CUS .

Datakällor: SAPcon – granskningslogg
Beständighet, körning

Inbyggda sap-lösningsanalysregler på låg nivå

Regelnamn Beskrivning Källåtgärd Taktiker
SAP – låg – flera lösenordsändringar per användare Identifierar flera lösenordsändringar per användare. Ändra användarlösenord

Datakällor: SAPcon – granskningslogg
Åtkomst till autentiseringsuppgifter
SAP – låg – känslig tabell direktåtkomst efter dialoginloggning Identifierar allmän tabellåtkomst via inloggning i dialogrutan. Öppna tabellinnehållet med hjälp av SE11 / SE16 / SE16N .

Datakällor: SAPcon – granskningslogg
Identifiering

Tillgängliga visningslistor

I följande tabell visas de visningslistor som är tillgängliga Azure Sentinel SAP-lösningen och fälten i varje visningslista.

Dessa visningslistor tillhandahåller konfigurationen för lösningen Azure Sentinel SAP Continuous Threat Monitoring och är tillgängliga i github Azure Sentinel databasen på https://github.com/Azure/Azure-Sentinel/tree/master/Solutions/SAP/Analytics/Watchlists .

Namn på visningslista Beskrivning och fält
SAP – kritiska auktoriseringsobjekt Objekt för kritiska auktoriseringar, där tilldelningar ska styras.

- AuthorizationObject: Ett SAP-auktoriseringsobjekt, S_DEVELOP till exempel , S_TCODE eller Table TOBJ
- AuthorizationField: Ett SAP-auktoriseringsfält, till OBJTYP exempel eller TCD
- AuthorizationValue: Ett fältvärde för SAP-auktorisering, till exempel DEBUG
- ActivityField: SAP-aktivitetsfält. I de flesta fall är det här värdet ACTVT . För auktoriseringsobjekt utan en aktivitet , eller med endast ett aktivitetsfält, fyllt med NOT_IN_USE .
- Aktivitet: SAP-aktivitet, enligt auktoriseringsobjektet, till exempel: 01 : Skapa; 02 : Ändra; : Visa och så 03 vidare.
- Beskrivning: En beskrivande beskrivning av kritiskt auktoriseringsobjekt.
SAP – Undantagna nätverk För internt underhåll av undantagna nätverk, till exempel för att ignorera web dispatchers, terminalservrar och så vidare.

-Nätverk: En IP-adress eller ett intervall för nätverket, till exempel 111.68.128.0/17 .
-Beskrivning: En beskrivande nätverksbeskrivning.
SAP-exkluderade användare Systemanvändare som är inloggade på systemet och måste ignoreras. Till exempel aviseringar för flera inloggningar av samma användare.

- Användare: SAP-användare
-Beskrivning: En beskrivande användarbeskrivning.
SAP – Nätverk Interna och underhållsnätverk för identifiering av obehöriga inloggningar.

- Nätverk: Nätverkets IP-adress eller intervall, till exempel 111.68.128.0/17
- Beskrivning: En beskrivande nätverksbeskrivning.
SAP – privilegierade användare Privilegierade användare som är under extra begränsningar.

- Användare: ABAP-användaren, till exempel DDIC eller SAP
- Beskrivning: En beskrivande användarbeskrivning.
SAP – känsliga ABAP-program Känsliga ABAP-program (rapporter), där körningen ska styras.

- ABAPProgram: ABAP-program eller -rapport, till exempel RSPFLDOC
- Beskrivning: En beskrivande programbeskrivning.
SAP – Modul för känslig funktion Interna och underhållsnätverk för identifiering av obehöriga inloggningar.

- FunctionModule: En ABAP-funktionsmodul, till exempel RSAU_CLEAR_AUDIT_LOG
- Beskrivning: En beskrivande modulbeskrivning.
SAP – känsliga profiler Känsliga profiler, där tilldelningar ska styras.

- Profil: SAP-auktoriseringsprofil, till SAP_ALL exempel eller SAP_NEW
- Beskrivning: En beskrivande profilbeskrivning.
SAP – känsliga tabeller Känsliga tabeller, där åtkomsten ska styras.

- Tabell: ABAP-ordlistetabell, till exempel USR02 eller PA008
- Beskrivning: En beskrivande tabellbeskrivning.
SAP – känsliga roller Känsliga roller, där tilldelningen ska styras.

- Roll: SAP-auktoriseringsroll, till exempel SAP_BC_BASIS_ADMIN
- Beskrivning: En beskrivande rollbeskrivning.
SAP – känsliga transaktioner Känsliga transaktioner där körningen ska styras.

- TransactionCode: SAP-transaktionskod, till exempel RZ11
- Beskrivning: En beskrivande kodbeskrivning.
SAP – System Beskriver SAP-systemens landskap enligt roll och användning.

- SystemID: SAP-system-ID (SYSID)
- SystemRole: SAP-systemrollen, ett av följande värden: Sandbox , , , Development Quality Assurance Training , Production
- SystemUsage: SAP-systemanvändningen, ett av följande värden: ERP , , , BW Solman Gateway , Enterprise Portal

Nästa steg

Mer information finns i: