Share via

Spelböcker för Microsoft Sentinel-incidenthantering för SAP

  • Artikel

I den här artikeln beskrivs hur du kan dra nytta av Funktionerna för säkerhetsorkestrering, automatisering och svar (SOAR) i Microsoft Sentinel tillsammans med SAP. Artikeln introducerar specialbyggda spelböcker som ingår i Microsoft Sentinel-lösningen för SAP-program®. Du kan använda dessa spelböcker för att svara automatiskt på misstänkt användaraktivitet i SAP-system, automatisera åtgärdsåtgärder i SAP RISE, SAP ERP, SAP Business Technology Platform (BTP) samt i Microsoft Entra-ID.

Med Microsoft Sentinel SAP-lösningen kan din organisation skydda sin SAP-miljö. En fullständig, detaljerad översikt över Sentinel SAP-lösningen finns i följande artiklar:

Med tillägg av dessa spelböcker till lösningen kan du inte bara övervaka och analysera säkerhetshändelser i realtid, du kan också automatisera SAP-arbetsflöden för incidenthantering för att förbättra effektiviteten och effektiviteten i säkerhetsåtgärder.

Microsoft Sentinel-lösningen för SAP-program® innehåller följande spelböcker:

  • SAP Incident Response – Lås användare från Teams – Basic
  • SAP-incidenthantering – Lås användare från Teams – Avancerat
  • SAP-incidentsvar – Återaktiveringsbar granskningsloggning när den har inaktiverats

Praktiska ärenden

Du har till uppgift att försvara din organisations SAP-miljö. Du har implementerat Microsoft Sentinel-lösningen för SAP-program®. Du har aktiverat lösningens analysregel "SAP – Körning av en känslig transaktionskod" och du har eventuellt anpassat lösningens bevakningslista "Känsliga transaktioner" så att den innehåller vissa transaktionskoder som du vill söka efter. En incident varnar dig för misstänkt aktivitet i ett av SAP-systemen. En användare försöker köra en av dessa mycket känsliga transaktioner. Du måste undersöka och svara på den här incidenten.

Under triagefasen bestämmer du dig för att vidta åtgärder mot den här användaren, sparka ut den från dina SAP ERP- eller BTP-system eller till och med från Microsoft Entra-ID.

Låsa ut en användare från ett enda system

Som ett exempel på hur du kan föra orkestrering och automatisering till den här processen ska vi skapa en automatiseringsregel för att anropa låsanvändaren från Teams – Basic-spelboken när en känslig transaktionskörning av en obehörig användare identifieras. Den här spelboken använder Teams funktion för anpassningsbara kort för att begära godkännande innan användaren ensidigt blockeras.

Mer information om hur du konfigurerar den här spelboken finns i det här SAP-blogginlägget.

Låsa ut en användare från flera system

Låsanvändaren från Teams – Avancerad spelbok uppnår samma mål, men är utformad för mer komplexa scenarier, vilket gör att en enda spelbok kan användas för flera SAP-system, var och en med sitt eget SAP SID. Spelboken hanterar sömlöst anslutningarna till alla dessa system och deras autentiseringsuppgifter med hjälp av den valfria dynamiska parametern InterfaceAttributes i SAP - Systems bevakningslista (ingår i Microsoft Sentinel-lösningen för SAP-program®) och Azure Key Vault. Med spelboken kan du också kommunicera med parterna i godkännandeprocessen med hjälp av Outlook-åtgärdsbara meddelanden utöver – och synkroniseras med – Teams, med hjälp av parametrarna TeamsChannelID och DestinationEmail i SAP_Dynamic_Audit_Log_Monitor_Configuration bevakningslista.

Mer information om hur du konfigurerar den här spelboken och i synnerhet hur du använder dynamiska parametrar i visningslistor för att hantera anslutningar till alla dina SAP-system finns i det här SAP-blogginlägget.

Förhindra inaktivering av granskningsloggning

Eftersom ditt uppdrag är att se till att säkerhetstäckningen för DIN SAP-miljö förblir omfattande och oavbruten kan du vara orolig för att SAP-granskningsloggen – en av källorna till din säkerhetsinformation – inaktiveras. Du vill skapa en automatiseringsregel baserat på sap – inaktivering av analysregeln för säkerhetsgranskningsloggar som anropar återaktiveringsbar granskningsloggning när den inaktiverade spelboken har inaktiverats för att se till att det inte sker. Den här spelboken använder också Teams, men bara för att informera säkerhetspersonal i efterhand, eftersom, med tanke på hur allvarligt brottet är och hur brådskande det är, kan omedelbara åtgärder vidtas utan godkännande krävs. Eftersom den här spelboken även använder Azure Key Vault för att hantera autentiseringsuppgifter liknar spelbokens konfiguration den tidigare. Mer information om den här spelboken och dess konfiguration finns i det här SAP-blogginlägget.

Spelböcker för standard kontra förbrukning

Med Microsoft Sentinel kan du skapa instanser av dessa spelböcker direkt från mallar om du använder spelböcker baserat på Azure Logic Apps förbrukningsplan . Om du har specifika krav för inmatningsstöd för virtuella nätverk (VNET) måste du antingen använda Azure API-hanteringenligt beskrivningen här tillsammans med din förbrukningslogikapp eller använda logikappar för Standard-plan.

Se den fullständiga förklaringen av de olika typerna av spelböcker. Se även det här SAP-blogginlägget i tabellen under rubriken "Skapa siktlinje för DITT SAP-system för SOAP-begäran" för konsekvenserna av att välja varje typ av logikapp.

Processen för att distribuera standardlogikappar är vanligtvis mer komplex än den är för förbrukningslogikappar, men vi har gjort en serie genvägar tillgängliga som gör att du snabbt kan distribuera dem från Microsoft Sentinel GitHub-lagringsplatsen. Följ proceduren som beskrivs där för att distribuera spelböckerna.

Tillgängliga Standard-spelböcker i GitHub:

Håll koll på MAPPEN SAP-spelböcker på GitHub-lagringsplatsen för fler spelböcker när de blir tillgängliga. Det finns också en kort introduktionsvideo (extern länk) som hjälper dig att komma igång.

Nästa steg

I den här artikeln har du lärt dig om de spelböcker som är tillgängliga i Microsoft Sentinel-lösningen för SAP-program®.