Microsoft Sentinel-lösning för SAP-program®: referens för säkerhetsinnehåll
Den här artikeln beskriver det säkerhetsinnehåll som är tillgängligt för Microsoft Sentinel-lösningen för SAP.
Viktigt!
Även om Microsoft Sentinel-lösningen för SAP-program® är i allmän tillgänglighet finns vissa specifika komponenter kvar i förhandsversionen. Den här artikeln anger de komponenter som finns i förhandsversionen i de relevanta avsnitten nedan. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Tillgängligt säkerhetsinnehåll innehåller inbyggda arbetsböcker och analysregler. Du kan också lägga till SAP-relaterade bevakningslistor som ska användas i dina sök-, identifieringsregler, hotjakt och svarsspelböcker.
Inbyggda arbetsböcker
Använd följande inbyggda arbetsböcker för att visualisera och övervaka data som matas in via SAP-dataanslutningen. När du har distribuerat SAP-lösningen hittar du SAP-arbetsböcker på fliken Mina arbetsböcker .
| Arbetsboksnamn | beskrivning | Loggar |
|---|---|---|
| SAP – Granskningsloggläsare | Visar data som: – Allmän systemhälsa, inklusive användarinloggningar över tid, händelser som matas in av systemet, meddelandeklasser och ID:t och ABAP-program körs -Allvarlighetsgrad för händelser som inträffar i systemet – Autentiserings- och auktoriseringshändelser som inträffar i systemet |
Använder data från följande logg: ABAPAuditLog_CL |
| SAP-granskningskontroller | Hjälper dig att kontrollera din SAP-miljös säkerhetskontroller för efterlevnad med ditt valda kontrollramverk med hjälp av verktyg som du kan göra följande: – Tilldela analysregler i din miljö till specifika säkerhetskontroller och kontrollfamiljer – Övervaka och kategorisera de incidenter som genereras av SAP-lösningsbaserade analysregler – Rapportera om din efterlevnad |
Använder data från följande tabeller: - SecurityAlert- SecurityIncident |
Mer information finns i Självstudie: Visualisera och övervaka dina data och Distribuera Microsoft Sentinel-lösning för SAP-program®.
Inbyggda analysregler
Övervaka konfigurationen av statiska SAP-säkerhetsparametrar (förhandsversion)
För att skydda SAP-systemet har SAP identifierat säkerhetsrelaterade parametrar som måste övervakas för ändringar. Med regeln "SAP – (förhandsversion) känslig statisk parameter har ändrats" spårar Microsoft Sentinel-lösningen för SAP-program® över 52 statiska säkerhetsrelaterade parametrar i SAP-systemet, som är inbyggda i Microsoft Sentinel.
Kommentar
För att Microsoft Sentinel-lösningen för SAP-program® ska kunna övervaka SAP-säkerhetsparametrarna måste lösningen övervaka SAP PAHI-tabellen med jämna mellanrum. Kontrollera att lösningen kan övervaka PAHI-tabellen.
För att förstå parameterändringar i systemet använder Microsoft Sentinel-lösningen för SAP-program® parameterhistoriktabellen, som registrerar ändringar som görs i systemparametrar varje timme.
Parametrarna återspeglas också i bevakningslistan för SAPSystemParameters. Med den här visningslistan kan användare lägga till nya parametrar, inaktivera befintliga parametrar och ändra värden och allvarlighetsgrad per parameter och systemroll i produktions- eller icke-produktionsmiljöer.
När en ändring görs i någon av dessa parametrar kontrollerar Microsoft Sentinel om ändringen är säkerhetsrelaterad och om värdet anges enligt de rekommenderade värdena. Om ändringen misstänks ligga utanför den säkra zonen skapar Microsoft Sentinel en incident som beskriver ändringen och identifierar vem som gjorde ändringen.
Granska listan över parametrar som den här regeln övervakar.
Övervaka SAP-granskningsloggen
SAP-granskningsloggdata används i många av analysreglerna i Microsoft Sentinel-lösningen för SAP-program®. Vissa analysregler letar efter specifika händelser i loggen, medan andra korrelerar indikationer från flera loggar för att skapa aviseringar och incidenter med hög återgivning.
Dessutom finns det två analysregler som är utformade för att hantera hela uppsättningen standardhändelser för SAP-granskningsloggar (183 olika händelser) och andra anpassade händelser som du kan välja att logga med hjälp av SAP-granskningsloggen.
Båda sap-granskningsloggens övervakningsanalysregler delar samma datakällor och samma konfiguration, men skiljer sig åt i en kritisk aspekt. Regeln "SAP – Dynamisk deterministisk granskningsloggövervakare" kräver deterministiska tröskelvärden för aviseringar och regler för användarundantag, men regeln "SAP – Dynamisk avvikelsebaserad övervakningsaviseringar för granskningsloggar (FÖRHANDSVERSION)" tillämpar ytterligare maskininlärningsalgoritmer för att filtrera bort bakgrundsbrus på ett oövervakat sätt. Därför skickas som standard de flesta händelsetyper (eller SAP-meddelande-ID:er) i SAP-granskningsloggen till analysregeln "Avvikelsebaserad", medan den enklare att definiera händelsetyper skickas till den deterministiska analysregeln. Den här inställningen, tillsammans med andra relaterade inställningar, kan konfigureras ytterligare för att passa alla systemvillkor.
SAP – Dynamisk deterministisk granskningsloggövervakare
En dynamisk analysregel som är avsedd för att täcka hela uppsättningen sap-granskningslogghändelsetyper som har en deterministisk definition när det gäller användarpopulation, händelsetrösklar.
- Konfigurera regeln med SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista
- Läs mer om hur du konfigurerar regeln (fullständig procedur)
SAP – Dynamiska avvikelsebaserade övervakningsaviseringar för granskningsloggar (FÖRHANDSVERSION)
En regel för dynamisk analys som är utformad för att lära sig normalt systembeteende och aviseringar om aktiviteter som observerats i SAP-granskningsloggen som anses vara avvikande. Tillämpa den här regeln på händelsetyperna för SAP-granskningsloggar som är svårare att definiera när det gäller användarpopulation, nätverksattribut och tröskelvärden.
Läs mer:
- Konfigurera regeln med bevakningslistor för SAP_Dynamic_Audit_Log_Monitor_Configuration och SAP_User_Config
- Läs mer om hur du konfigurerar regeln (fullständig procedur)
I följande tabeller visas de inbyggda analysregler som ingår i Microsoft Sentinel-lösningen för SAP-program® som distribueras från Microsoft Sentinel Solutions Marketplace.
Inledande åtkomst
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – Logga in från oväntat nätverk | Identifierar en inloggning från ett oväntat nätverk. Underhålla nätverk i bevakningslistan FÖR SAP – Nätverk . |
Logga in på serverdelssystemet från en IP-adress som inte är tilldelad till något av nätverken. Datakällor: SAPcon – Granskningslogg |
Inledande åtkomst |
| SAP – SPNego-attack | Identifierar SPNego Replay Attack. | Datakällor: SAPcon – Granskningslogg | Effekt, lateral förflyttning |
| SAP – Dialoginloggningsförsök från en privilegierad användare | Identifierar inloggningsförsök i dialogrutan, med AUM-typen , av privilegierade användare i ett SAP-system. Mer information finns i SAPUsersGetPrivileged. | Försök att logga in från samma IP-adress till flera system eller klienter inom det schemalagda tidsintervallet Datakällor: SAPcon – Granskningslogg |
Effekt, lateral förflyttning |
| SAP – Råstyrkeattacker | Identifierar råstyrkeattacker på SAP-systemet med RFC-inloggningar | Försök att logga in från samma IP-adress till flera system/klienter inom det schemalagda tidsintervallet med hjälp av RFC Datakällor: SAPcon – Granskningslogg |
Åtkomst till autentiseringsuppgifter |
| SAP – flera inloggningar från samma IP-adress | Identifierar inloggningen för flera användare från samma IP-adress inom ett schemalagt tidsintervall. Underanvändningsfall: Persistency |
Logga in med flera användare via samma IP-adress. Datakällor: SAPcon – Granskningslogg |
Inledande åtkomst |
| SAP – flera inloggningar efter användare | Identifierar inloggningar för samma användare från flera terminaler inom schemalagt tidsintervall. Endast tillgängligt via metoden Audit SAL för SAP-version 7.5 och senare. |
Logga in med samma användare med olika IP-adresser. Datakällor: SAPcon – Granskningslogg |
PreAttack, åtkomst till autentiseringsuppgifter, inledande åtkomst, samling Underanvändningsfall: Persistency |
| SAP – Information – Livscykel – SAP-anteckningar implementerades i systemet | Identifierar SAP Note-implementering i systemet. | Implementera en SAP-anteckning med hjälp av SNOTE/TCI. Datakällor: SAPcon – Ändringsbegäranden |
- |
Dataexfiltrering
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – FTP för icke-auktoriserade servrar | Identifierar en FTP-anslutning för en icke-auktoriserad server. | Skapa en ny FTP-anslutning, till exempel med hjälp av FTP_CONNECT-funktionsmodulen. Datakällor: SAPcon – Granskningslogg |
Identifiering, inledande åtkomst, kommando och kontroll |
| SAP – Osäker KONFIGURATION av FTP-servrar | Identifierar osäkra FTP-serverkonfigurationer, till exempel när en FTP-tillåtna lista är tom eller innehåller platshållare. | Underhåll inte eller underhåll inte värden som innehåller platshållare i SAPFTP_SERVERS tabellen med hjälp av SAPFTP_SERVERS_V underhållsvyn. (SM30) Datakällor: SAPcon – Granskningslogg |
Inledande åtkomst, kommando och kontroll |
| SAP – Nedladdning av flera filer | Identifierar flera filnedladdningar för en användare inom ett visst tidsintervall. | Ladda ned flera filer med hjälp av SAPGui för Excel, listor och så vidare. Datakällor: SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – flera Spool-körningar | Identifierar flera pooler för en användare inom ett visst tidsintervall. | Skapa och kör flera buffertjobb av valfri typ av användare. (SP01) Datakällor: SAPcon – Spool Log, SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Flera körningar av Spool-utdata | Identifierar flera pooler för en användare inom ett visst tidsintervall. | Skapa och kör flera buffertjobb av valfri typ av användare. (SP01) Datakällor: SAPcon – Spool Output Log, SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Direktåtkomst till känsliga tabeller med RFC-inloggning | Identifierar en allmän tabellåtkomst via RFC-inloggning. Underhålla tabeller i bevakningslistan SAP – Känsliga tabeller . Obs! Endast relevant för produktionssystem. |
Öppna tabellinnehållet med SE11/SE16/SE16N. Datakällor: SAPcon – Granskningslogg |
Samling, exfiltrering, åtkomst till autentiseringsuppgifter |
| SAP – Spool Takeover | Identifierar en användare som skriver ut en begäran om buffert som har skapats av någon annan. | Skapa en poolbegäran med en användare och mata sedan in den med en annan användare. Datakällor: SAPcon – Spool Log, SAPcon – Spool Output Log, SAPcon – Granskningslogg |
Samling, exfiltrering, kommando och kontroll |
| SAP – Dynamiskt RFC-mål | Identifierar körningen av RFC med dynamiska mål. Underanvändningsfall: Försök att kringgå SAP-säkerhetsmekanismer |
Kör en ABAP-rapport som använder dynamiska mål (cl_dynamic_destination). Till exempel DEMO_RFC_DYNAMIC_DEST. Datakällor: SAPcon – Granskningslogg |
Samling, exfiltrering |
| SAP – Direktåtkomst till känsliga tabeller efter dialoginloggning | Identifierar allmän tabellåtkomst via dialoginloggning. | Öppna tabellinnehåll med hjälp av SE11SE16N/SE16/. Datakällor: SAPcon – Granskningslogg |
Identifiering |
| SAP – (förhandsversion) Fil som laddats ned från en skadlig IP-adress | Identifierar nedladdning av en fil från ett SAP-system med en IP-adress som är känd för att vara skadlig. Skadliga IP-adresser hämtas från hotinformationstjänster. | Ladda ned en fil från en skadlig IP-adress. Datakällor: SAP-säkerhetsgranskningslogg, hotinformation |
Exfiltrering |
| SAP – (förhandsversion) Data som exporteras från ett produktionssystem med hjälp av en transport | Identifierar dataexport från ett produktionssystem med hjälp av en transport. Transporter används i utvecklingssystem och liknar pull-begäranden. Den här aviseringsregeln utlöser incidenter med medelhög allvarlighetsgrad när en transport som innehåller data från en tabell släpps från ett produktionssystem. Regeln skapar en incident med hög allvarlighetsgrad när exporten innehåller data från en känslig tabell. | Frigör en transport från ett produktionssystem. Datakällor: SAP CR-logg, SAP – känsliga tabeller |
Exfiltrering |
| SAP – (förhandsversion) Känsliga data som sparats i en USB-enhet | Identifierar export av SAP-data via filer. Regeln söker efter data som sparats i en nyligen monterad USB-enhet i närheten av en körning av en känslig transaktion, ett känsligt program eller direkt åtkomst till en känslig tabell. | Exportera SAP-data via filer och spara till en USB-enhet. Datakällor: SAP Security Audit Log, DeviceFileEvents (Microsoft Defender för Endpoint), SAP – Känsliga tabeller, SAP – Känsliga transaktioner, SAP – Känsliga program |
Exfiltrering |
| SAP – (förhandsversion) Utskrift av potentiellt känsliga data | Identifierar en begäran eller faktisk utskrift av potentiellt känsliga data. Data anses vara känsliga om användaren hämtar data som en del av en känslig transaktion, körning av ett känsligt program eller direkt åtkomst till en känslig tabell. | Skriv ut eller begär att känsliga data ska skrivas ut. Datakällor: SAP Security Audit Log, SAP Spool-loggar, SAP – Känsliga tabeller, SAP – Känsliga program |
Exfiltrering |
| SAP – (förhandsversion) Hög volym potentiellt känsliga data som exporteras | Identifierar export av en stor mängd data via filer i närheten av en körning av en känslig transaktion, ett känsligt program eller direkt åtkomst till känslig tabell. | Exportera stora mängder data via filer. Datakällor: SAP Security Audit Log, SAP – Känsliga tabeller, SAP – Känsliga transaktioner, SAP – Känsliga program |
Exfiltrering |
Beständighet
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – Aktivering eller inaktivering av ICF-tjänsten | Identifierar aktivering eller inaktivering av ICF-tjänster. | Aktivera en tjänst med hjälp av SICF. Datakällor: SAPcon – Tabelldatalogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – Funktionsmodulen har testats | Identifierar testning av en funktionsmodul. | Testa en funktionsmodul med .SE37 / SE80 Datakällor: SAPcon – Granskningslogg |
Samling, skyddundandragande, lateral förflyttning |
| SAP – (FÖRHANDSVERSION) HANA DB – Användaradministratörsåtgärder | Identifierar åtgärder för användaradministration. | Skapa, uppdatera eller ta bort en databasanvändare. Datakällor: Linux-agent – Syslog* |
Privilegieeskalering |
| SAP – Nya ICF-tjänsthanterare | Identifierar skapandet av ICF-hanterare. | Tilldela en ny hanterare till en tjänst med hjälp av SICF. Datakällor: SAPcon – Granskningslogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – Nya ICF-tjänster | Identifierar skapandet av ICF-tjänster. | Skapa en tjänst med HJÄLP av SICF. Datakällor: SAPcon – Tabelldatalogg |
Kommando och kontroll, lateral förflyttning, beständighet |
| SAP – Körning av föråldrad eller osäker funktionsmodul | Identifierar körningen av en föråldrad eller osäker ABAP-funktionsmodul. Underhålla föråldrade funktioner i bevakningslistan sap - föråldrade funktionsmoduler . Se till att aktivera ändringar i EUFUNC tabellloggning för tabellen i serverdelen. (SE13)Obs! Endast relevant för produktionssystem. |
Kör en föråldrad eller osäker funktionsmodul direkt med HJÄLP av SE37. Datakällor: SAPcon – Tabelldatalogg |
Identifiering, kommando och kontroll |
| SAP – Körning av föråldrat/osäkert program | Identifierar körningen av ett föråldrat eller osäkert ABAP-program. Underhåll föråldrade program i bevakningslistan SAP – Föråldrade program . Obs! Endast relevant för produktionssystem. |
Kör ett program direkt med SE38/SA38/SE80 eller med hjälp av ett bakgrundsjobb. Datakällor: SAPcon – Granskningslogg |
Identifiering, kommando och kontroll |
| SAP – Flera lösenordsändringar per användare | Identifierar flera lösenordsändringar per användare. | Ändra användarlösenord Datakällor: SAPcon – Granskningslogg |
Åtkomst till autentiseringsuppgifter |
Försök att kringgå SAP-säkerhetsmekanismer
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – Ändring av klientkonfiguration | Identifierar ändringar för klientkonfiguration, till exempel klientrollen eller ändringsinspelningsläget. | Utför ändringar i klientkonfigurationen med hjälp av transaktionskoden SCC4 . Datakällor: SAPcon – Granskningslogg |
Defense Evasion, Exfiltration, Persistence |
| SAP – Data har ändrats under felsökningsaktiviteten | Identifierar ändringar för körningsdata under en felsökningsaktivitet. Underanvändningsfall: Persistency |
1. Aktivera felsökning ("/h"). 2. Välj ett fält för ändring och uppdatera dess värde. Datakällor: SAPcon – Granskningslogg |
Körning, lateral förflyttning |
| SAP – Inaktivering av säkerhetsgranskningslogg | Identifierar inaktivering av säkerhetsgranskningsloggen, | Inaktivera säkerhetsgranskningsloggen med hjälp av SM19/RSAU_CONFIG. Datakällor: SAPcon – Granskningslogg |
Exfiltrering, försvarsundandragande, beständighet |
| SAP – Körning av ett känsligt ABAP-program | Identifierar direktkörning av ett känsligt ABAP-program. Underhåll ABAP-program i bevakningslistan FÖR SAP - Känsliga ABAP-program . |
Kör ett program direkt med .SE38/SA38/SE80 Datakällor: SAPcon – Granskningslogg |
Exfiltrering, lateral förflyttning, körning |
| SAP – Körning av en känslig transaktionskod | Identifierar körningen av en känslig transaktionskod. Underhålla transaktionskoder i bevakningslistan SAP – Känsliga transaktionskoder . |
Kör en känslig transaktionskod. Datakällor: SAPcon – Granskningslogg |
Identifiering, körning |
| SAP – Körning av modul för känslig funktion | Identifierar körningen av en känslig ABAP-funktionsmodul. Underanvändningsfall: Persistency Obs! Endast relevant för produktionssystem. Underhåll känsliga funktioner i bevakningslistan SAP – Känsliga funktionsmoduler och se till att aktivera ändringar i tabellloggning i serverdelen för EUFUNC-tabellen. (SE13) |
Kör en modul för känslig funktion direkt med HJÄLP av SE37. Datakällor: SAPcon – Tabelldatalogg |
Identifiering, kommando och kontroll |
| SAP – (FÖRHANDSVERSION) HANA DB – Principändringar för spårningsspårning | Identifierar ändringar för HANA DB-spårningsprinciper. | Skapa eller uppdatera den befintliga granskningsprincipen i säkerhetsdefinitioner. Datakällor: Linux-agent – Syslog |
Lateral rörelse, försvarsundandragande, beständighet |
| SAP – (FÖRHANDSVERSION) HANA DB -Inaktivering av spårningslogg | Identifierar inaktivering av HANA DB-granskningsloggen. | Inaktivera granskningsloggen i HANA DB-säkerhetsdefinitionen. Datakällor: Linux-agent – Syslog |
Beständighet, lateral rörelse, försvarsundandragande |
| SAP – Obehörig fjärrkörning av en modul för känslig funktion | Identifierar obehöriga körningar av känsliga virtuella datorer genom att jämföra aktiviteten med användarens auktoriseringsprofil samtidigt som nyligen ändrade auktoriseringar ignoreras. Underhålla funktionsmoduler i bevakningslistan SAP – Känsliga funktionsmoduler . |
Kör en funktionsmodul med hjälp av RFC. Datakällor: SAPcon – Granskningslogg |
Körning, lateral förflyttning, identifiering |
| SAP – Ändring av systemkonfiguration | Identifierar ändringar för systemkonfiguration. | Anpassa alternativ för systemändring eller ändring av programvarukomponenter med hjälp av transaktionskoden SE06 .Datakällor: SAPcon – Granskningslogg |
Exfiltrering, försvarsundandragande, beständighet |
| SAP – Felsökningsaktiviteter | Identifierar alla felsökningsrelaterade aktiviteter. Underanvändningsfall: Persistency |
Aktivera felsökning ("/h") i systemet, felsök en aktiv process, lägg till brytpunkt i källkoden och så vidare. Datakällor: SAPcon – Granskningslogg |
Identifiering |
| SAP – Konfigurationsändring för säkerhetsgranskningslogg | Identifierar ändringar i konfigurationen av säkerhetsgranskningsloggen | Ändra konfigurationen av säkerhetsgranskningsloggar med , SM19/RSAU_CONFIGtill exempel filter, status, inspelningsläge och så vidare. Datakällor: SAPcon – Granskningslogg |
Persistence, Exfiltration, Defense Evasion |
| SAP – Transaktionen har låsts upp | Identifierar upplåsning av en transaktion. | Lås upp en transaktionskod med .SM01/SM01_DEV/SM01_CUS Datakällor: SAPcon – Granskningslogg |
Beständighet, körning |
| SAP – Dynamiskt ABAP-program | Identifierar körningen av dynamisk ABAP-programmering. Till exempel när ABAP-kod skapades dynamiskt, ändrades eller togs bort. Underhåll undantagna transaktionskoder i bevakningslistan SAP – Transaktioner för ABAP Generations . |
Skapa en ABAP-rapport som använder ABAP-programgenereringskommandon, till exempel INSERT REPORT, och kör sedan rapporten. Datakällor: SAPcon – Granskningslogg |
Identifiering, kommando och kontroll, påverkan |
Åtgärder för misstänkta privilegier
| Regelnamn | beskrivning | Källåtgärd | Taktiker |
|---|---|---|---|
| SAP – Ändring i känslig privilegierad användare | Identifierar ändringar av känsliga privilegierade användare. Underhåll privilegierade användare i bevakningslistan SAP – Privilegierade användare . |
Ändra användarinformation/auktoriseringar med .SU01 Datakällor: SAPcon – Granskningslogg |
Behörighetseskalering, åtkomst till autentiseringsuppgifter |
| SAP – (FÖRHANDSVERSION) HANA DB – Tilldela administratörsauktoriseringar | Identifierar administratörsbehörighet eller rolltilldelning. | Tilldela en användare valfri administratörsroll eller behörighet. Datakällor: Linux-agent – Syslog |
Privilegieeskalering |
| SAP – Känslig privilegierad användare som är inloggad | Identifierar dialogrutans inloggning för en känslig privilegierad användare. Underhåll privilegierade användare i bevakningslistan SAP – Privilegierade användare . |
Logga in på serverdelssystemet med hjälp av SAP* eller en annan privilegierad användare. Datakällor: SAPcon – Granskningslogg |
Initial åtkomst, åtkomst till autentiseringsuppgifter |
| SAP – Känslig privilegierad användare gör en ändring i andra användare | Identifierar ändringar av känsliga, privilegierade användare i andra användare. | Ändra användarinformation/auktoriseringar med SU01. Datakällor: SAPcon – granskningslogg |
Behörighetseskalering, åtkomst till autentiseringsuppgifter |
| SAP – Lösenordsändring och inloggning för känsliga användare | Identifierar lösenordsändringar för privilegierade användare. | Ändra lösenordet för en privilegierad användare och logga in i systemet. Underhåll privilegierade användare i bevakningslistan SAP – Privilegierade användare . Datakällor: SAPcon – Granskningslogg |
Effekt, kommando och kontroll, behörighetseskalering |
| SAP – Användaren skapar och använder ny användare | Identifierar en användare som skapar och använder andra användare. Underanvändningsfall: Persistency |
Skapa en användare med SU01 och logga sedan in med den nyligen skapade användaren och samma IP-adress. Datakällor: SAPcon – Granskningslogg |
Identifiering, PreAttack, inledande åtkomst |
| SAP – Användaren låser upp och använder andra användare | Identifierar en användare som låss upp och används av andra användare. Underanvändningsfall: Persistency |
Lås upp en användare med SU01 och logga sedan in med den olåst användaren och samma IP-adress. Datakällor: SAPcon – Granskningslogg, SAPcon – Ändra dokumentlogg |
Identifiering, PreAttack, initial åtkomst, lateral förflyttning |
| SAP – Tilldelning av en känslig profil | Identifierar nya tilldelningar av en känslig profil till en användare. Underhålla känsliga profiler i bevakningslistan SAP – Känsliga profiler . |
Tilldela en profil till en användare med .SU01 Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Tilldelning av en känslig roll | Identifierar nya tilldelningar för en känslig roll för en användare. Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller . |
Tilldela en roll till en användare med hjälp av SU01 / PFCG. Datakällor: SAPcon – Ändra dokumentlogg, granskningslogg |
Privilegieeskalering |
| SAP – (FÖRHANDSVERSION) Tilldelning av kritiska auktoriseringar – Nytt auktoriseringsvärde | Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare. Underhålla kritiska auktoriseringsobjekt i bevakningslistan SAP – Kritiska auktoriseringsobjekt . |
Tilldela ett nytt auktoriseringsobjekt eller uppdatera ett befintligt objekt i en roll med hjälp av PFCG. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Tilldelning av kritiska auktoriseringar – Ny användartilldelning | Identifierar tilldelningen av ett kritiskt auktoriseringsobjektvärde till en ny användare. Underhålla kritiska auktoriseringsobjekt i bevakningslistan SAP – Kritiska auktoriseringsobjekt . |
Tilldela en ny användare till en roll som innehåller viktiga auktoriseringsvärden med hjälp av SU01/PFCG. Datakällor: SAPcon – Ändra dokumentlogg |
Privilegieeskalering |
| SAP – Ändringar i känsliga roller | Identifierar ändringar i känsliga roller. Underhålla känsliga roller i bevakningslistan SAP – Känsliga roller . |
Ändra en roll med hjälp av PFCG. Datakällor: SAPcon – Ändra dokumentlogg, SAPcon – granskningslogg |
Impact, Privilege Escalation, Persistence |
Tillgängliga visningslistor
I följande tabell visas de visningslistor som är tillgängliga för Microsoft Sentinel-lösningen för SAP-program® och fälten i varje visningslista.
Dessa visningslistor tillhandahåller konfigurationen för Microsoft Sentinel-lösningen för SAP-program®. SAP-bevakningslistor är tillgängliga på Microsoft Sentinel GitHub-lagringsplatsen.
| Namn på visningslista | Beskrivning och fält |
|---|---|
| SAP – kritiska auktoriseringsobjekt | Kritiskt auktoriseringsobjekt, där tilldelningar ska styras. - AuthorizationObject: Ett SAP-auktoriseringsobjekt, till exempel S_DEVELOP, S_TCODEeller Table TOBJ - AuthorizationField: Ett SAP-auktoriseringsfält, till exempel OBJTYP eller TCD - AuthorizationValue: Ett SAP-auktoriseringsfältvärde, till exempel DEBUG - ActivityField : SAP-aktivitetsfält. I de flesta fall är ACTVTdet här värdet . För auktoriseringsobjekt utan aktivitet, eller med endast ett aktivitetsfält, fyllt med NOT_IN_USE. - Aktivitet: SAP-aktivitet enligt auktoriseringsobjektet, till exempel: 01: Skapa; 02: Ändra; 03: Visa och så vidare. - Beskrivning: En beskrivande beskrivning av kritiskt auktoriseringsobjekt. |
| SAP – undantagna nätverk | För internt underhåll av exkluderade nätverk, till exempel för att ignorera webbsändare, terminalservrar och så vidare. -Nätverk: En nätverks-IP-adress eller ett intervall, till exempel 111.68.128.0/17. -Beskrivning: En beskrivande nätverksbeskrivning. |
| SAP-undantagna användare | Systemanvändare som är inloggade i systemet och måste ignoreras. Till exempel aviseringar för flera inloggningar av samma användare. - Användare: SAP-användare -Beskrivning: En beskrivande användarbeskrivning. |
| SAP – Nätverk | Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar. - Nätverk: Nätverks-IP-adress eller -intervall, till exempel 111.68.128.0/17 - Beskrivning: En beskrivande nätverksbeskrivning. |
| SAP – Privilegierade användare | Privilegierade användare som har extra begränsningar. - Användare: ABAP-användaren, till exempel DDIC eller SAP - Beskrivning: En beskrivande användarbeskrivning. |
| SAP – Känsliga ABAP-program | Känsliga ABAP-program (rapporter), där körningen ska styras. - ABAPProgram: ABAP-program eller rapport, till exempel RSPFLDOC - Beskrivning: En beskrivande programbeskrivning. |
| SAP – Modul för känslig funktion | Interna nätverk och underhållsnätverk för identifiering av obehöriga inloggningar. - FunctionModule: En ABAP-funktionsmodul, till exempel RSAU_CLEAR_AUDIT_LOG - Beskrivning: En beskrivande modulbeskrivning. |
| SAP – känsliga profiler | Känsliga profiler, där tilldelningar ska styras. - Profil: SAP-auktoriseringsprofil, till exempel SAP_ALL eller SAP_NEW - Beskrivning: En beskrivande profilbeskrivning. |
| SAP – känsliga tabeller | Känsliga tabeller, där åtkomst ska styras. - Tabell: ABAP-ordlistetabell, till exempel USR02 eller PA008 - Beskrivning: En beskrivande tabellbeskrivning. |
| SAP – känsliga roller | Känsliga roller, där tilldelningen ska styras. - Roll: SAP-auktoriseringsroll, till exempel SAP_BC_BASIS_ADMIN - Beskrivning: En beskrivande rollbeskrivning. |
| SAP – känsliga transaktioner | Känsliga transaktioner där körningen ska styras. - TransactionCode: SAP-transaktionskod, till exempel RZ11 - Beskrivning: En beskrivande kodbeskrivning. |
| SAP – System | Beskriver liggande SAP-system enligt roll, användning och konfiguration. - SystemID: SAP-system-ID (SYSID) - SystemRole: SAP-systemrollen, ett av följande värden: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: SAP-systemanvändningen, ett av följande värden: ERP, BW, Solman, , GatewayEnterprise Portal - InterfaceAttributes: en valfri dynamisk parameter för användning i spelböcker. |
| SAPSystemParameters | Parametrar för att hålla utkik efter misstänkta konfigurationsändringar. Den här visningslistan är förfylld med rekommenderade värden (enligt BÄSTA PRAXIS för SAP) och du kan utöka visningslistan så att den innehåller fler parametrar. Om du inte vill ta emot aviseringar för en parameter anger du EnableAlerts till false.- ParameterName: Namnet på parametern. - Kommentar: Beskrivning av SAP-standardparametern. - EnableAlerts: Definierar om du vill aktivera aviseringar för den här parametern. Värden är true och false.- Alternativ: Definierar i vilket fall en avisering ska utlösas: Om parametervärdet är större eller lika med ( GE), mindre eller lika med (LE) eller lika med (EQ).Om login/fails_to_user_lock SAP-parametern till exempel är inställd på LE (mindre eller lika) och värdet , när Microsoft Sentinel identifierar en ändring av 5den här specifika parametern, jämförs det nyligen rapporterade värdet och det förväntade värdet. Om det nya värdet är 4utlöser Inte Microsoft Sentinel någon avisering. Om det nya värdet är 6utlöser Microsoft Sentinel en avisering.- ProductionSeverity: Incidentens allvarlighetsgrad för produktionssystem. - ProductionValues: Tillåtna värden för produktionssystem. - NonProdSeverity: Incidentens allvarlighetsgrad för icke-produktionssystem. - NonProdValues: Tillåtna värden för icke-produktionssystem. |
| SAP – undantagna användare | Systemanvändare som är inloggade och måste ignoreras, till exempel för aviseringen Flera inloggningar efter användare. - Användare: SAP-användare - Beskrivning: En beskrivande användarbeskrivning |
| SAP – undantagna nätverk | Underhåll interna, exkluderade nätverk för att ignorera webbsändare, terminalservrar och så vidare. - Nätverk: Nätverks-IP-adress eller -intervall, till exempel 111.68.128.0/17 - Beskrivning: En beskrivande nätverksbeskrivning |
| SAP – föråldrade funktionsmoduler | Föråldrade funktionsmoduler, vars körning ska styras. - FunctionModule: ABAP-funktionsmodul, till exempel TH_SAPREL - Beskrivning: En beskrivande funktionsmodulbeskrivning |
| SAP – föråldrade program | Föråldrade ABAP-program (rapporter), vars körning ska styras. - ABAPProgram:ABAP Program, till exempel TH_ RSPFLDOC - Beskrivning: En meningsfull beskrivning av ABAP-programmet |
| SAP – Transaktioner för ABAP-generationer | Transaktioner för ABAP-generationer vars körning ska styras. - TransactionCode:Transaction Code, till exempel SE11. - Beskrivning: En beskrivande beskrivning av transaktionskod |
| SAP – FTP-servrar | FTP-servrar för identifiering av obehöriga anslutningar. - Klient:till exempel 100. - FTP_Server_Name: FTP-servernamn, till exempel http://contoso.com/ -FTP_Server_Port:FTP-serverport, till exempel 22. - BeskrivningEn beskrivande FTP Server-beskrivning |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurera SAP-granskningsloggaviseringar genom att tilldela varje meddelande-ID en allvarlighetsgrad som krävs av dig, per systemroll (produktion, icke-produktion). Den här visningslistan innehåller information om alla tillgängliga SAP-standardmeddelande-ID:er för granskningsloggar. Visningslistan kan utökas så att den innehåller ytterligare meddelande-ID:n som du kan skapa på egen hand med hjälp av ABAP-förbättringar i deras SAP NetWeaver-system. Den här bevakningslistan gör det också möjligt att konfigurera ett utsedd team för att hantera var och en av händelsetyperna och exkludera användare efter SAP-roller, SAP-profiler eller taggar från SAP_User_Config visningslista. Den här visningslistan är en av de viktigaste komponenterna som används för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen. - MessageID: SAP-meddelande-ID eller händelsetyp, till exempel AUD (ändringar i användarhuvudposten) eller AUB (auktoriseringsändringar). - DetailedDescription: En markdown-aktiverad beskrivning som ska visas i incidentfönstret. - ProductionSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för produktionssystem High, Medium. Kan anges som Disabled. - NonProdSeverity: Önskad allvarlighetsgrad för incidenten som ska skapas med för icke-produktionssystem High, Medium. Kan anges som Disabled. - ProductionThreshold Antalet händelser per timme som ska betraktas som misstänkta för produktionssystem 60. - NonProdThreshold Antalet händelser per timme som ska betraktas som misstänkta för icke-produktionssystem 10. - RolesTagsToExclude: Det här fältet accepterar SAP-rollnamn, SAP-profilnamn eller taggar från SAP_User_Config visningslista. Dessa används sedan för att undanta associerade användare från specifika händelsetyper. Se alternativ för rolltaggar i slutet av den här listan. - RuleType: Används Deterministic för att händelsetypen ska skickas till SAP – Dynamisk deterministisk granskningsloggövervakare, eller AnomaliesOnly för att låta den här händelsen omfattas av SAP – dynamiska avvikelsebaserade övervakningsaviseringar för granskningsloggar (FÖRHANDSVERSION).- TeamsChannelID: en valfri dynamisk parameter för användning i spelböcker. - DestinationEmail: en valfri dynamisk parameter för användning i spelböcker. För fältet RolesTagsToExclude : – Om du listar SAP-roller eller SAP-profiler utesluter detta alla användare med de listade rollerna eller profilerna från dessa händelsetyper för samma SAP-system. Om du till exempel definierar BASIC_BO_USERS ABAP-rollen för RFC-relaterade händelsetyper utlöser Business Objects-användare inte incidenter när de gör massiva RFC-anrop.– Taggning av en händelsetyp liknar att ange SAP-roller eller -profiler, men taggar kan skapas på arbetsytan, så SOC-team kan exkludera användare efter aktivitet utan att beroende på SAP-teamet. Till exempel tilldelas spårningsmeddelande-ID:t AUB (auktoriseringsändringar) och AUD (ändringar i användarhuvudposten) taggen MassiveAuthChanges . Användare som tilldelats den här taggen undantas från kontrollerna för dessa aktiviteter. När du kör arbetsytefunktionen SAPAuditLogConfigRecommend skapas en lista över rekommenderade taggar som ska tilldelas till användare, till exempel Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Tillåter finjusteringsaviseringar genom att exkludera /including users in specific contexts och används även för att konfigurera de inbyggda SAP-analysreglerna för övervakning av SAP-granskningsloggen. - SAPUser: SAP-användaren - Taggar: Taggar används för att identifiera användare mot viss aktivitet. Om du till exempel lägger till taggarna ["GenericTablebyRFCOK"] till användaren SENTINEL_SRV förhindrar du att RFC-relaterade incidenter skapas för den här specifika användaren Andra active directory-användaridentifierare – AD-användaridentifierare – Användarens lokala sid – Användarens huvudnamn |
Tillgängliga spelböcker
| Spelboksnamn | Parametrar | anslutningar |
|---|---|---|
| SAP Incident Response – Lås användare från Teams – Basic | – SAP-SOAP-User-Password - SAP-SOAP-Username – SOAPApiBasePath – DefaultEmail – TeamsChannel |
– Microsoft Sentinel – Microsoft Teams |
| SAP-incidenthantering – Lås användare från Teams – Avancerat | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail – TeamsChannel |
– Microsoft Sentinel – Azure Monitor-loggar – Office 365 Outlook – Microsoft Entra-ID – Azure Key Vault – Microsoft Teams |
| SAP-incidentsvar – Återaktiveringsbar granskningsloggning när den har inaktiverats | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail – TeamsChannel |
– Microsoft Sentinel – Azure Key Vault – Azure Monitor-loggar – Microsoft Teams |
Nästa steg
Mer information finns i:
- Distribuera Microsoft Sentinel-lösning för SAP-program®
- Referens för Microsoft Sentinel-lösning för SAP-programloggar®
- Övervaka hälsotillståndet för ditt SAP-system
- Distribuera Microsoft Sentinel-lösningen för SAP-programdataanslutningsappen® med SNC
- Referens för konfigurationsfil
- Förutsättningar för att distribuera Microsoft Sentinel-lösningen för SAP-program®
- Felsöka din Microsoft Sentinel-lösning för distribution av SAP-program®