Azure Sentinel SAP çözümü: güvenlik içeriği başvurusu (genel önizleme)

Bu makalede, sap çözümü için kullanılabilir güvenlik Azure Sentinel ayrıntıları ve sağlanmaktadır.

Kullanılabilir güvenlik içeriği, yerleşik bir çalışma kitabı ve yerleşik analiz kuralları içerir. Arama, algılama kuralları, tehdit avcılığı ve yanıt playbook'larında kullanmak üzere SAP ile ilgili izleme listeleri de indirebilirsiniz.

Önemli

Sap Azure Sentinel şu anda ÖNizle özelliğindedir. Azure Önizleme Ek Koşulları, beta, önizleme veya henüz genel kullanılabilirlik aşamasında yayımlanmayacak Olan Azure özellikleri için geçerli olan ek yasal koşulları içerir.

SAP - Sistem Uygulamaları ve Ürünleri çalışma kitabı

SAP veri bağlayıcısı aracılığıyla gelen verileri görselleştirmek ve izlemek için SAP - Sistem Uygulamaları ve Ürünleri çalışma kitabını kullanın.

Örnek:

SAP - Sistem Uygulamaları ve Ürünleri çalışma kitabı.

Daha fazla bilgi için bkz. Öğretici: Verilerinizi görselleştirme ve izleme.

Yerleşik analiz kuralları

Aşağıdaki tablolarda, Azure Sentinel Solutions marketten dağıtılan Azure Sentinel SAP çözümüne dahil olan yerleşik analiz kuralları listelemektedir.

Üst düzey, yerleşik SAP çözüm analizi kuralları

Kural adı Açıklama Kaynak eylemi Taktikler
SAP - Yüksek - Hassas ayrıcalıklı kullanıcıda değişiklik Hassas ayrıcalıklı kullanıcıların değişikliklerini tanımlar.

SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruma.
kullanarak kullanıcı ayrıntılarını/yetkilendirmelerini SU01 değiştirme.

Veri kaynakları: sapcon-denetim günlüğü
Ayrıcalık yükseltme, kimlik bilgisi erişimi
SAP-yüksek Istemci yapılandırma değişikliği İstemci rolü veya değişiklik kaydetme modu gibi istemci yapılandırması değişikliklerini tanımlar. İşlem kodunu kullanarak istemci yapılandırma değişiklikleri gerçekleştirin SCC4 .

Veri kaynakları: sapcon-denetim günlüğü
Savunma Evasion, exfiltration, kalıcılık
SAP-yüksek-veriler hata ayıklama etkinliği sırasında değiştirildi Hata ayıklama etkinliği sırasında çalışma zamanı verileri değişikliklerini tanımlar. 1. hata ayıklamayı etkinleştirin ("/h").
2. değişiklik için bir alan seçin ve değerini güncelleştirin.

Veri kaynakları: sapcon-denetim günlüğü
Yürütme, yan yana taşıma
SAP-yüksek-güvenlik denetim günlüğünün devre dışı bırakılması Güvenlik denetim günlüğünü devre dışı bırakmayı tanımlar, Kullanarak güvenlik denetim günlüğünü devre dışı bırakın SM19/RSAU_CONFIG .

Veri kaynakları: sapcon-denetim günlüğü
Exfiltration, savunma Evasion, kalıcılık
SAP-hassas bir ABAP programının yüksek yürütmesi Hassas bir ABAP programının doğrudan yürütmesini tanımlar.

SAP - Hassas ABAP Programları izlemelistesinde ABAP Programlarını koruma.
kullanarak bir programı doğrudan SE38 / SA38 / SE80 çalıştırın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Sızma, YanAl Hareket, Yürütme
SAP - Yüksek - Hassas İşlem Kodunun Yürütülmesi Hassas bir İşlem Kodunun yürütülmesini tanımlar.

SAP - Hassas İşlem Kodları izleme listesinde işlem kodlarını koruma.
Hassas bir işlem kodu çalıştırın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Bulma, Yürütme
SAP - Yüksek - İşlev Modülü test edildi İşlev modülünün testlerini tanımlar. kullanarak bir işlev modülünü test SE37 / SE80 etmek.

Veri kaynakları: SAPcon - Denetim Günlüğü
Toplama, Savunma Kaçışı, YanAl Hareket
SAP - Yüksek - HANA DB - Yönetici Yetkilendirmeleri Atama Yönetici ayrıcalığını veya rol atamasını tanımlar. Herhangi bir yönetici rolüne veya ayrıcalığı olan bir kullanıcıya atama.

Veri kaynakları: Linux Aracısı - Syslog
Ayrıcalık Yükseltme
SAP - Yüksek - HANA DB - Denetim İzi İlkesi Değişiklikleri HANA DB denetim izi ilkelerine yönelik değişiklikleri tanımlar. Güvenlik tanımlarında mevcut denetim ilkesi oluşturun veya güncelleştirin.

Veri kaynakları: Linux Aracısı - Syslog
YanAl Hareket, SavunmaYı Kaçırma, Kalıcılık
SAP - Yüksek - HANA DB - Denetim İzi'nin Devre Dışı Bırakılması HANA DB denetim günlüğünün devre dışı bırakışlarını tanımlar. HANA DB güvenlik tanımında denetim günlüğünü devre dışı bırakma.

Veri kaynakları: Linux Aracısı - Syslog
Kalıcılık, YanAl Hareket, SavunmaDan Kurtulma
SAP - Yüksek - HANA DB - Kullanıcı Yöneticisi eylemleri Kullanıcı yönetimi eylemlerini tanımlar. Veritabanı kullanıcısı oluşturma, güncelleştirme veya silme.

Veri Kaynakları: Linux Aracısı - Syslog*
Ayrıcalık Yükseltme
SAP - Yüksek - Beklenmeyen ağdan oturum açma Beklenmeyen bir ağdan oturum açma olduğunu tanımlar.

SAP - Networks izleme listesi'ne ağları bakım.
Ağlardan biri için atanmamış bir IP adresiyle arka uç sisteminde oturum açma.

Veri kaynakları: SAPcon - Denetim Günlüğü
İlk Erişim
SAP - Yüksek - Hassas İşlev Modülünün RFC Yürütmesi İlgili Algılamalarda kullanılacak hassas işlev modelleri.

SAP duyarlı Işlev modüllerinde listem işlev modüllerini koruyun.
RFC kullanarak bir işlev modülü çalıştırın.

Veri kaynakları: sapcon-denetim günlüğü
Yürütme, yan yana taşıma, bulma
SAP-yüksek duyarlıklı ayrıcalıklı kullanıcı oturum açtı Hassas ayrıcalıklı bir kullanıcının Iletişim kutusu oturumunu tanımlar.

SAP ayrıcalıklı kullanıcılar listem ayrıcalıklı kullanıcıları koruyun.
Veya başka bir ayrıcalıklı kullanıcı kullanarak arka uç sisteminde oturum açın SAP* .

Veri kaynakları: sapcon-denetim günlüğü
İlk erişim, kimlik bilgisi erişimi
SAP-yüksek duyarlıklı ayrıcalıklı kullanıcı diğer Kullanıcı tarafından değişiklik yapar Diğer kullanıcılar içindeki hassas, ayrıcalıklı kullanıcıların değişikliklerini tanımlar. SU01 kullanarak Kullanıcı ayrıntılarını/yetkilerini değiştirin.

Veri kaynakları: sapcon-denetim günlüğü
Ayrıcalık yükseltme, kimlik bilgisi erişimi
SAP-yüksek sistem yapılandırma değişikliği Sistem yapılandırması için değişiklikleri belirler. İşlem kodunu kullanarak sistem değişiklik seçeneklerini veya yazılım bileşeni değişikliğini uyarlayın SE06 .

Veri kaynakları: sapcon-denetim günlüğü
Exfiltration, Defense Evasion, Persistence

Orta düzey, yerleşik SAP çözüm analizi kuralları

Kural adı Açıklama Kaynak eylemi Taktikler
SAP - Orta - Hassas bir profilin ataması Bir kullanıcıya hassas bir profilin yeni atamalarını tanımlar.

SAP - Hassas Profiller izlemelistesinde hassas profillerin bakımını oluşturun.
kullanarak bir kullanıcıya profil SU01 atama.

Veri kaynakları: SAPcon - Belge Günlüğünü Değiştirme
Ayrıcalık Yükseltme
SAP - Orta - Hassas bir rolün ataması Bir kullanıcıya hassas bir rol için yeni atamalar tanımlar.

SAP - Hassas Roller izlemelistesinde hassas rolleri koruma.
kullanarak bir kullanıcıya rol SU01 / PFCG atama.

Veri kaynakları: SAPcon - Belge Günlüğünü Değiştirme, Denetim Günlüğü
Ayrıcalık Yükseltme
SAP - Orta - Deneme yanılma saldırıları Arka uç sistemi için başarısız oturum açma girişimlerine göre SAP sisteminde deneme yanılma saldırılarını tanımlar. Zamanlanan zaman aralığında aynı IP adresiyle birkaç sistem/istemcide oturum açma girişiminde bulundunuz.

Veri kaynakları: SAPcon - Denetim Günlüğü
Kimlik Bilgileri Erişimi
SAP - Orta - Kritik yetkilendirme ataması - Yeni Yetkilendirme Değeri Kritik bir yetkilendirme nesnesi değerinin yeni bir kullanıcıya ataması tanımlar.

SAP-kritik yetkilendirme nesnelerinde kritik yetkilendirme nesnelerini koruyun listem.
Kullanarak yeni bir yetkilendirme nesnesi atayın veya bir roldeki mevcut bir rolü güncelleştirin PFCG .

Veri kaynakları: sapcon-belge günlüğünü değiştirme
Ayrıcalık Yükseltme
SAP-orta-kritik yetkilendirmeler ataması-yeni kullanıcı ataması Kritik yetkilendirme nesnesi değerinin yeni bir kullanıcıya atanmasını tanımlar.

SAP-kritik yetkilendirme nesnelerinde kritik yetkilendirme nesnelerini koruyun listem.
Kullanarak kritik yetkilendirme değerlerini tutan bir role yeni bir Kullanıcı atayın SU01 / PFCG .

Veri kaynakları: sapcon-belge günlüğünü değiştirme
Ayrıcalık Yükseltme
SAP-orta-hata ayıklama etkinlikleri Tüm hata ayıklama ilgili etkinliklerini tanımlar. Sistemde hata ayıklamayı ("/h") etkinleştirin, etkin bir işlemde hata ayıklayın, kaynak koda kesme noktası ekleyin ve bu şekilde devam edin.

Veri kaynakları: sapcon-denetim günlüğü
Bulma
SAP-orta-IP 'ye göre birden çok oturum açma Zamanlanan bir zaman aralığı içinde aynı IP adresinden birkaç kullanıcının oturum açma adını tanımlar. Aynı IP adresi aracılığıyla birkaç kullanıcı kullanarak oturum açın.

Veri kaynakları: sapcon-denetim günlüğü
İlk erişim
SAP-orta-kullanıcıya göre birden çok oturum açma Zamanlanan zaman aralığı içinde birkaç terminalde aynı kullanıcının oturum açma işlemlerini tanımlar.

Yalnızca, SAP sürümleri 7,5 ve üzeri için denetim SAL yöntemi aracılığıyla kullanılabilir.
Farklı IP adresleri kullanarak aynı kullanıcıyla oturum açma.

Veri kaynakları: SAPcon - Denetim Günlüğü
PreAttack, Kimlik Bilgileri Erişimi, İlk Erişim, Koleksiyon
SAP - Orta - Güvenlik Denetim Günlüğü Yapılandırma Değişikliği Güvenlik Denetim Günlüğü yapılandırmasında yapılan değişiklikleri tanımlar Filtreler, durum, kayıt modu gibi kullanarak herhangi SM19 / RSAU_CONFIG bir Güvenlik Denetim Günlüğü Yapılandırmasını değiştirebilirsiniz.

Veri kaynakları: SAPcon - Denetim Günlüğü
Kalıcılık, Sızma, Savunma Kurtulma
SAP - Orta - İşlem kilidi açık Bir işlem kilidinin açılmasını tanımlar. kullanarak bir işlem kodunun kilidini SM01 / SM01_DEV / SM01_CUS açın.

Veri kaynakları: SAPcon - Denetim Günlüğü
Kalıcılık, Yürütme

Düşük düzeyli, yerleşik SAP çözüm analizi kuralları

Kural adı Açıklama Kaynak eylemi Taktikler
SAP - Düşük - Kullanıcıya Göre Birden Çok Parola Değişikliği Kullanıcıya göre birden çok parola değişikliğini tanımlar. Kullanıcı parolasını değiştirme

Veri kaynakları: SAPcon - Denetim Günlüğü
Kimlik Bilgileri Erişimi
SAP - Düşük - Hassas Tablolar İletişim Kutusu Oturum Açma ile Doğrudan Erişim İletişim kutusu oturumu aracılığıyla genel tablo erişimini tanımlar. Kullanarak tablo içeriğini açın SE11 / SE16 / SE16N .

Veri kaynakları: sapcon-denetim günlüğü
Bulma

Kullanılabilir Watchlists

Aşağıdaki tabloda, Azure Sentinel SAP çözümü için kullanılabilen Watchlists ve her listem içindeki alanlar listelenmektedir.

Bu Watchlists, Azure Sentinel SAP sürekli tehdit Izleme çözümü için yapılandırma sağlar ve konumundaki Azure Sentinel GitHub deposunda erişilebilir https://github.com/Azure/Azure-Sentinel/tree/master/Solutions/SAP/Analytics/Watchlists .

Listem adı Açıklama ve alanlar
SAP-kritik yetkilendirme nesneleri Atamaların yönetilmesi gereken kritik yetkilendirmeler nesnesi.

- Authorizationobject:, veya gıbı bir SAP yetkilendirme nesnesi S_DEVELOP S_TCODE``Table TOBJ
- Authorizationfield: veya gıbı bir SAP yetkilendirme alanı OBJTYP``TCD
- Authorizationvalue: bir SAP yetkilendirme alanı değeri, örneğin DEBUG
- Activityfield : SAP etkinlik alanı. Çoğu durumda bu değer olacaktır ACTVT . Bir etkinliği olmayan ya da yalnızca bir etkinlik alanı olan veya ile doldurulmuş bir etkinlik içeren nesneler için NOT_IN_USE .
- Etkinlik:: 01 Create; 02 : Change;: Display gibi yetkilendirme nesnesine göre SAP etkinliği 03 .
- Açıklama: anlamlı bir kritik yetkilendirme nesnesi açıklaması.
SAP dışlanan ağlar Dışlanan ağların iç bakımı için (örneğin, Web dispatchers, Terminal sunucuları vb.).

-Ağ: Gibi bir ağ IP adresi veya 111.68.128.0/17 aralığı.
-Açıklama: Anlamlı bir ağ açıklaması.
SAP Dışlanan Kullanıcılar Sistemde oturum açık olan ve yoksayılan sistem kullanıcıları. Örneğin, aynı kullanıcı tarafından birden çok oturum açma uyarısı.

- Kullanıcı: SAP Kullanıcısı
-Açıklama: Anlamlı bir kullanıcı açıklaması.
SAP - Ağlar Yetkisiz oturum açmaların belirlenmesi için iç ve bakım ağları.

- Ağ: Ağ IP adresi veya aralığı, örneğin 111.68.128.0/17
- Açıklama: Anlamlı bir ağ açıklaması.
SAP - Ayrıcalıklı Kullanıcılar Ek kısıtlamalar altında olan ayrıcalıklı kullanıcılar.

- Kullanıcı: veya gibi ABAP DDIC kullanıcısı SAP
- Açıklama: Anlamlı bir kullanıcı açıklaması.
SAP - Hassas ABAP Programları Yürütmenin idaresi gereken hassas ABAP programları (raporlar).

- ABAPProgram: ABAP programı veya raporu, örneğin RSPFLDOC
- Açıklama: Anlamlı bir program açıklaması.
SAP - Hassas İşlev Modülü Yetkisiz oturum açma bilgilerinin tanımlanması için dahili ve bakım ağları.

- Functionmodule: bir ABAP Function modülü, örneğin RSAU_CLEAR_AUDIT_LOG
- Açıklama: anlamlı bir modül açıklaması.
SAP duyarlı profiller Gizli profiller, atamaların yönetilmelidir.

- Profil: veya gibi SAP yetkilendirme profili SAP_ALL``SAP_NEW
- Açıklama: anlamlı bir profil açıklaması.
SAP duyarlı tablolar Gizli tablolar, erişimin yönetilmelidir.

- Tablo: veya gibi ABAP Dictionary tablosu USR02``PA008
- Açıklama: anlamlı bir tablo açıklaması.
SAP duyarlı roller Gizli roller, atamanın yönetilmelidir.

- Rol: SAP yetkilendirme rolü, örneğin SAP_BC_BASIS_ADMIN
- Açıklama: anlamlı bir rol açıklaması.
SAP duyarlı Işlemler Yürütmenin yönetilme olması gereken hassas işlemler.

- Transactioncode: SAP işlem kodu, örneğin RZ11
- Açıklama: anlamlı bir kod açıklaması.
SAP-Systems SAP sistemlerinin rol ve kullanım alanlarını açıklar.

- SystemID: SAP sistem kimliği (SYSID)
- SystemRole: SAP sistem rolü, şu değerlerden biri: Sandbox , , , Development Quality Assurance Training , Production
- SystemUsage: Sap sistem kullanımı, şu değerlerden biri: ERP , , , BW Solman Gateway , Enterprise Portal

Sonraki adımlar

Daha fazla bilgi için bkz.