Konfigurera övervakningsregler för SAP-granskningsloggar
SAP-granskningsloggen registrerar gransknings- och säkerhetsåtgärder på SAP-system, till exempel misslyckade inloggningsförsök eller andra misstänkta åtgärder. Den här artikeln beskriver hur du övervakar SAP-granskningsloggen med hjälp av inbyggda analysregler i Microsoft Sentinel.
Med dessa regler kan du övervaka alla granskningslogghändelser eller bara få aviseringar när avvikelser identifieras. På så sätt kan du bättre hantera dina SAP-loggar, vilket minskar bruset utan att äventyra ditt säkerhetsvärde.
Du använder två analysregler för att övervaka och analysera dina SAP-granskningsloggdata:
- SAP – Dynamisk deterministisk granskningsloggövervakare (förhandsversion). Aviseringar om sap-granskningslogghändelser med minimal konfiguration. Du kan konfigurera regeln för en ännu lägre falskt positiv hastighet. Lär dig hur du konfigurerar regeln.
- SAP – Dynamiska avvikelsebaserade övervakningsaviseringar för granskningsloggar (FÖRHANDSVERSION). Aviseringar om SAP-granskningslogghändelser när avvikelser identifieras, med hjälp av maskininlärningsfunktioner och utan kodning krävs. Lär dig hur du konfigurerar regeln.
De två övervakningsreglerna för SAP-granskningsloggar levereras som klara att ta slut och möjliggör ytterligare finjustering med hjälp av SAP_Dynamic_Audit_Log_Monitor_Configuration och SAP_User_Config visningslistor.
Avvikelseidentifiering
När du försöker identifiera säkerhetshändelser i en aktivitetslogg som SAP-granskningsloggen måste du balansera konfigurationsarbetet och mängden brus som aviseringarna producerar.
Med SAP-granskningsloggmodulen i Sentinel för SAP-lösningen kan du välja:
- Vilka händelser du vill titta på deterministiskt med hjälp av anpassade, fördefinierade tröskelvärden och filter.
- Vilka händelser du vill utelämna, så att datorn kan lära sig parametrarna på egen hand.
När du har markerat en händelsetyp för SAP-granskningsloggen för avvikelseidentifiering kontrollerar aviseringsmotorn de händelser som nyligen strömmats från SAP-granskningsloggen. Motorn kontrollerar om händelserna verkar normala, med tanke på den historik som den har lärt sig.
Microsoft Sentinel kontrollerar en händelse eller grupp med händelser efter avvikelser. Den försöker matcha händelsen eller gruppen av händelser med tidigare sedda aktiviteter av samma slag, på användar- och systemnivå. Algoritmen lär sig nätverksegenskaperna för användaren på nätmasknivå och enligt säsongsvariationer.
Med den här möjligheten kan du söka efter avvikelser i tidigare tysta händelsetyper, till exempel användarinloggningshändelser. Om användaren JohnDoe till exempel loggar in hundratals gånger i timmen kan du nu låta Microsoft Sentinel avgöra om beteendet är misstänkt. Är detta John från redovisning, upprepade gånger uppdatera en finansiell instrumentpanel med flera datakällor, eller en DDoS-attack bildas?
Konfigurera regeln SAP – dynamisk avvikelsebaserad övervakning av aviseringar för granskningsloggar (FÖRHANDSVERSION) för avvikelseidentifiering
Om dina SAP-granskningsloggdata inte redan strömmar data till Microsoft Sentinel-arbetsytan lär du dig hur du distribuerar lösningen.
- Välj Innehållshubb (förhandsversion) under Innehållshantering på Microsoft Sentinel-navigeringsmenyn.
- Kontrollera om den kontinuerliga hotövervakningen för SAP-programmet har uppdateringar.
- Aktivera följande tre granskningsloggaviseringar under Analys på navigeringsmenyn:
- SAP – Dynamisk deterministisk granskningsloggövervakare. Körs var tionde minut och fokuserar på sap-granskningslogghändelserna som markerats som deterministiska.
- SAP – (förhandsversion) Aviseringar om dynamisk avvikelsebaserad övervakning av granskningsloggar. Körs varje timme och fokuserar på SAP-händelser som markerats som AvvikelserOnly.
- SAP – Konfiguration saknas i övervakaren för dynamisk säkerhetsgranskningslogg. Körs dagligen för att ge konfigurationsrekommendationer för SAP-granskningsloggmodulen.
Microsoft Sentinel söker nu igenom hela SAP-granskningsloggen med jämna mellanrum efter deterministiska säkerhetshändelser och avvikelser. Du kan visa de incidenter som den här loggen genererar på sidan Incidenter .
Precis som med varje maskininlärningslösning fungerar den bättre med tiden. Avvikelseidentifiering fungerar bäst med hjälp av en SAP-granskningslogghistorik på sju dagar eller mer.
Konfigurera händelsetyper med SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista
Du kan ytterligare konfigurera händelsetyper som producerar för många incidenter med hjälp av SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista. Här är några alternativ för att minska incidenter.
| Alternativ | Beskrivning |
|---|---|
| Ange allvarlighetsgrad och inaktivera oönskade händelser | Som standard skapar både deterministiska regler och regler som baseras på avvikelser aviseringar för händelser som har markerats med medelhög och hög allvarlighetsgrad. Du kan ange dessa allvarlighetsgrader specifikt för produktions- och icke-produktionsmiljöer. Du kan till exempel ange en felsökningsaktivitetshändelse som hög allvarlighetsgrad i produktionssystem och inaktivera dessa händelser i icke-produktionssystem. |
| Exkludera användare efter deras SAP-roller eller SAP-profiler | Microsoft Sentinel för SAP matar in SAP-användarens auktoriseringsprofil, inklusive direkta och indirekta rolltilldelningar, grupper och profiler, så att du kan tala SAP-språket i din SIEM. Du kan konfigurera en SAP-händelse för att undanta användare baserat på deras SAP-roller och -profiler. I visningslistan lägger du till de roller eller profiler som grupperar dina RFC-gränssnittsanvändare i kolumnen RolesTagsToExclude bredvid händelsen Allmän tabellåtkomst via RFC . Från och med nu får du endast aviseringar för användare som saknar dessa roller. |
| Exkludera användare efter deras SOC-taggar | Med taggar kan du komma med din egen gruppering, utan att förlita dig på komplicerade SAP-definitioner eller till och med utan SAP-auktorisering. Den här metoden är användbar för SOC-team som vill skapa en egen gruppering för SAP-användare. Konceptuellt fungerar exkluderingen av användare efter taggar som namntaggar: du kan ange flera händelser i konfigurationen med flera taggar. Du får inga aviseringar för en användare med en tagg som är associerad med en viss händelse. Du vill till exempel inte att specifika tjänstkonton ska aviseras för allmän tabellåtkomst av RFC-händelser , men det går inte att hitta en SAP-roll eller en SAP-profil som grupperar dessa användare. I det här fallet kan du lägga till taggen GenTableRFCReadOK bredvid relevant händelse i visningslistan och sedan gå till SAP_User_Config visningslista och tilldela gränssnittsanvändarna samma tagg. |
| Ange ett frekvenströskelvärde per händelsetyp och systemroll | Fungerar som en hastighetsgräns. Du kan till exempel bestämma att händelser för ändring av användarhuvudposter endast utlöser aviseringar om fler än 12 aktiviteter observeras på en timme, av samma användare i ett produktionssystem. Om en användare överskrider gränsen på 12 per timme, till exempel 2 händelser i ett fönster på 10 minuter, utlöses en incident. |
| Determinism eller avvikelser | Om du känner till händelsens egenskaper kan du använda de deterministiska funktionerna. Om du inte är säker på hur händelsen ska konfigureras korrekt kan maskininlärningsfunktionerna bestämma. |
| SOAR-funktioner | Du kan använda Microsoft Sentinel för att ytterligare samordna, automatisera och svara på incidenter som kan tillämpas på dynamiska aviseringar i SAP-granskningsloggen. Lär dig mer om säkerhetsorkestrering, automatisering och svar (SOAR). |
Nästa steg
I den här artikeln har du lärt dig hur du övervakar SAP-granskningsloggen med hjälp av inbyggda analysregler i Microsoft Sentinel.