SAP® uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu
Bu makalede, SAP için Microsoft Sentinel Çözümü için sağlanan güvenlik içeriği ayrıntılı olarak açıklanmaktadır.
Önemli
SAP® uygulamaları için Microsoft Sentinel çözümü GA'da olsa da bazı belirli bileşenler ÖNIZLEME aşamasında kalır. Bu makale, aşağıdaki ilgili bölümlerde önizleme aşamasında olan bileşenleri gösterir. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Kullanılabilir güvenlik içeriği, yerleşik çalışma kitaplarını ve analiz kurallarını içerir. Ayrıca arama, algılama kuralları, tehdit avcılığı ve yanıt playbook'larınızda kullanmak üzere SAP ile ilgili izleme listeleri de ekleyebilirsiniz.
Yerleşik çalışma kitapları
SAP veri bağlayıcısı aracılığıyla alınan verileri görselleştirmek ve izlemek için aşağıdaki yerleşik çalışma kitaplarını kullanın. SAP çözümünü dağıttığınızda, SAP çalışma kitaplarını Çalışma kitaplarım sekmesinde bulabilirsiniz.
| Çalışma kitabı adı | Açıklama | Günlükler |
|---|---|---|
| SAP - Denetim Günlüğü Tarayıcısı | Verileri görüntüler, örneğin: - Zaman içinde kullanıcı oturum açma işlemleri, sistem tarafından alınan olaylar, ileti sınıfları ve kimlikler ve ABAP programları da dahil olmak üzere genel sistem durumu -Sisteminizde gerçekleşen olayların önem dereceleri - Sisteminizde gerçekleşen kimlik doğrulaması ve yetkilendirme olayları |
Aşağıdaki günlükten verileri kullanır: ABAPAuditLog_CL |
| SAP Denetim Denetimleri | Aşağıdakileri yapmanız için araçlar kullanarak SAP ortamınızın güvenlik denetimlerini seçtiğiniz denetim çerçevesiyle uyumluluk açısından denetlemenize yardımcı olur: - Ortamınızdaki analiz kurallarını belirli güvenlik denetimlerine ve denetim ailelerine atama - SAP çözüm tabanlı analiz kuralları tarafından oluşturulan olayları izleme ve kategorilere ayırma - Uyumluluğunuzla ilgili rapor |
Aşağıdaki tablolardaki verileri kullanır: - SecurityAlert- SecurityIncident |
Daha fazla bilgi için bkz . Öğretici: Verilerinizi görselleştirme ve izleme ve SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma.
Yerleşik analiz kuralları
Statik SAP güvenlik parametrelerinin yapılandırmasını izleme (Önizleme)
SAP sisteminin güvenliğini sağlamak için SAP, değişiklikler için izlenmesi gereken güvenlikle ilgili parametreler tanımlamıştır. "SAP - (Önizleme) Hassas Statik Parametre Değişti" kuralıyla SAP uygulamaları için Microsoft Sentinel çözümü, SAP® sisteminde bulunan ve Microsoft Sentinel'de yerleşik olarak bulunan 52'den fazla statik güvenlikle ilgili parametreyi izler.
Not
SAP® uygulamalarına yönelik Microsoft Sentinel çözümünün SAP güvenlik parametrelerini başarıyla izlemesi için, çözümün SAP PAHI tablosunu düzenli aralıklarla başarıyla izlemesi gerekir. Çözümün PAHI tablosunu başarıyla izleyebildiğini doğrulayın.
Sistemdeki parametre değişikliklerini anlamak için SAP® uygulamaları için Microsoft Sentinel çözümü, sistem parametrelerinde saat başı yapılan değişiklikleri kaydeden parametre geçmişi tablosunu kullanır.
Parametreler SAPSystemParameters izleme listesine de yansıtılır. Bu izleme listesi, kullanıcıların yeni parametreler eklemesine, mevcut parametreleri devre dışı bırakmasına ve üretim veya üretim dışı ortamlarda parametre ve sistem rolü başına değerleri ve önem derecelerini değiştirmesine olanak tanır.
Bu parametrelerden birinde değişiklik yapıldığında, Microsoft Sentinel değişikliğin güvenlikle ilgili olup olmadığını ve değerin önerilen değerlere göre ayarlanıp ayarlanmadığını denetler. Değişikliğin güvenli bölgenin dışında olduğundan şüpheleniliyorsa, Microsoft Sentinel değişikliğin ayrıntılarını içeren bir olay oluşturur ve değişikliği kimin yaptığını tanımlar.
Bu kuralın izlediği parametrelerin listesini gözden geçirin.
SAP denetim günlüğünü izleme
SAP Denetim günlüğü verileri, SAP® uygulamaları için Microsoft Sentinel çözümünün analiz kurallarının çoğunda kullanılır. Bazı analiz kuralları günlükte belirli olayları ararken, diğerleri yüksek uygunluk uyarıları ve olaylar üretmek için çeşitli günlüklerdeki göstergeler arasında bağıntı oluşturur.
Ayrıca, standart SAP denetim günlüğü olaylarının tamamını (183 farklı olay) ve SAP denetim günlüğünü kullanarak günlüğe kaydetmeyi seçebileceğiniz diğer özel olayları kapsayacak şekilde tasarlanmış iki analiz kuralı vardır.
Her iki SAP denetim günlüğü izleme analizi kuralı da aynı veri kaynaklarını ve aynı yapılandırmayı paylaşır, ancak tek bir kritik açıdan farklılık gösterir. "SAP - Dinamik Deterministik Denetim Günlüğü İzleyicisi" kuralı belirlenimci uyarı eşikleri ve kullanıcı dışlama kuralları gerektirirken, "SAP - Dinamik Anomali tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME)" kuralı arka plan gürültüsünü denetimsiz bir şekilde filtrelemek için ek makine öğrenmesi algoritmaları uygular. Bu nedenle, sap denetim günlüğünün çoğu olay türü (veya SAP ileti kimlikleri) varsayılan olarak "Anomali tabanlı" analiz kuralına gönderilirken, olay türlerini tanımlamak daha kolay belirlenimci analiz kuralına gönderilir. Bu ayar, diğer ilgili ayarlarla birlikte tüm sistem koşullarına uyacak şekilde daha fazla yapılandırılabilir.
SAP - Dinamik Belirleyici Denetim Günlüğü İzleyicisi
Kullanıcı popülasyonu, olay eşikleri açısından belirleyici bir tanımı olan SAP denetim günlüğü olay türlerinin tamamını kapsayan dinamik analiz kuralı.
- Kuralı SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesiyle yapılandırma
- Kuralı yapılandırma hakkında daha fazla bilgi edinin (tam yordam)
SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME)
Normal sistem davranışını öğrenmek ve SAP denetim günlüğünde gözlemlenen ve anormal olarak kabul edilen etkinlikler hakkında uyarı vermek için tasarlanmış dinamik analiz kuralı. Kullanıcı popülasyonu, ağ öznitelikleri ve eşikler açısından tanımlanması zor olan SAP denetim günlüğü olay türlerine bu kuralı uygulayın.
Daha fazla bilgi edinin:
- kuralı SAP_Dynamic_Audit_Log_Monitor_Configuration ve SAP_User_Config izleme listeleriyle yapılandırma
- Kuralı yapılandırma hakkında daha fazla bilgi edinin (tam yordam)
Aşağıdaki tablolarda , Microsoft Sentinel Çözümleri marketinden dağıtılan SAP® uygulamaları için Microsoft Sentinel çözümüne dahil edilen yerleşik analiz kuralları listelenmiştir.
İlk erişim
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - Beklenmeyen ağdan oturum açma | Beklenmeyen bir ağdan oturum açmayı tanımlar. SAP - Networks izleme listesinde ağları koruyun. |
Ağlardan birine atanmamış bir IP adresinden arka uç sisteminde oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
İlk Erişim |
| SAP - SPNego Saldırısı | SPNego Yeniden Yürütme Saldırısını tanımlar. | Veri kaynakları: SAPcon - Denetim Günlüğü | Etki, YanAl Hareket |
| SAP - Ayrıcalıklı bir kullanıcıdan iletişim kutusu oturum açma girişimi | SAP sistemindeki ayrıcalıklı kullanıcılar tarafından AUM türüyle iletişim kutusu oturum açma girişimlerini tanımlar. Daha fazla bilgi için bkz . SAPUsersGetPrivileged. | Zamanlanan zaman aralığında aynı IP'den birkaç sistemde veya istemcide oturum açmayı deneme Veri kaynakları: SAPcon - Denetim Günlüğü |
Etki, YanAl Hareket |
| SAP - Deneme yanılma saldırıları | RFC oturum açmalarını kullanarak SAP sisteminde deneme yanılma saldırılarını tanımlar | RFC kullanarak zamanlanan zaman aralığında aynı IP'den birkaç sistem/istemciye oturum açmayı deneme Veri kaynakları: SAPcon - Denetim Günlüğü |
Kimlik Bilgisi Erişimi |
| SAP - Aynı IP'den Birden Çok Oturum Açma | Zamanlanmış bir zaman aralığı içinde aynı IP adresinden birkaç kullanıcının oturum açmasını tanımlar. Alt kullanım örneği: Kalıcılık |
Aynı IP adresi üzerinden birkaç kullanıcı kullanarak oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
İlk Erişim |
| SAP - Kullanıcıya Göre Birden Çok Oturum Açma | Zamanlanan zaman aralığı içinde birkaç terminalden aynı kullanıcının oturum açmalarını tanımlar. SAP 7.5 ve üzeri sürümler için yalnızca Audit SAL yöntemiyle kullanılabilir. |
Farklı IP adresleri kullanarak aynı kullanıcıyı kullanarak oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
PreAttack, Kimlik Bilgisi Erişimi, İlk Erişim, Koleksiyon Alt kullanım örneği: Kalıcılık |
| SAP - Bilgilendirme - Yaşam Döngüsü - SAP Notları sistemde uygulandı | Sistemdeki SAP Not uygulamasını tanımlar. | SNOTE/TCI kullanarak SAP Notu uygulama. Veri kaynakları: SAPcon - Değişiklik İstekleri |
- |
Veri sızdırma
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - Yetkili olmayan sunucular için FTP | Yetkili olmayan bir sunucu için FTP bağlantısı tanımlar. | örneğin, FTP_CONNECT İşlev Modülünü kullanarak yeni bir FTP bağlantısı oluşturun. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, İlk Erişim, Komut ve Denetim |
| SAP - Güvenli olmayan FTP sunucuları yapılandırması | Ftp izin verilenler listesinin boş olması veya yer tutucular içermesi gibi güvenli olmayan FTP sunucusu yapılandırmalarını tanımlar. | Bakım görünümünü kullanarak tabloda yer tutucular SAPFTP_SERVERS içeren değerleri korumayın veya bakımını yapmayın SAPFTP_SERVERS_V . (SM30) Veri kaynakları: SAPcon - Denetim Günlüğü |
İlk Erişim, Komut ve Denetim |
| SAP - Birden Çok Dosya İndirme | Belirli bir zaman aralığındaki bir kullanıcı için birden çok dosya indirmesi tanımlar. | Excel için SAPGui, listeler vb. kullanarak birden çok dosya indirin. Veri kaynakları: SAPcon - Denetim Günlüğü |
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi |
| SAP - Birden Çok Biriktirici Yürütmesi | Belirli bir zaman aralığında bir kullanıcı için birden çok biriktirici tanımlar. | Bir kullanıcı tarafından herhangi bir türde birden çok biriktirici işi oluşturun ve çalıştırın. (SP01) Veri kaynakları: SAPcon - Biriktirme Günlüğü, SAPcon - Denetim Günlüğü |
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi |
| SAP - Birden Çok Biriktirici Çıktı Yürütmesi | Belirli bir zaman aralığında bir kullanıcı için birden çok biriktirici tanımlar. | Bir kullanıcı tarafından herhangi bir türde birden çok biriktirici işi oluşturun ve çalıştırın. (SP01) Veri kaynakları: SAPcon - Biriktirme Çıktı Günlüğü, SAPcon - Denetim Günlüğü |
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi |
| SAP - RFC Oturum Açma ile Hassas Tablolara Doğrudan Erişim | RFC oturum açma yoluyla genel tablo erişimini tanımlar. SAP - Hassas Tablolar izleme listesinde tabloları koruyun. Not: Yalnızca üretim sistemleri için geçerlidir. |
SE11/SE16/SE16N kullanarak tablo içeriğini açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi |
| SAP - Spool Devralma | Başka biri tarafından oluşturulan bir biriktirici isteğini yazdıran bir kullanıcıyı tanımlar. | Bir kullanıcı kullanarak bir biriktirme isteği oluşturun ve ardından farklı bir kullanıcı kullanarak bu isteğin çıktısını oluşturun. Veri kaynakları: SAPcon - Biriktirme Günlüğü, SAPcon - Biriktirme Çıktı Günlüğü, SAPcon - Denetim Günlüğü |
Toplama, Sızdırma, Komut ve Denetim |
| SAP - Dinamik RFC Hedefi | Dinamik hedefleri kullanarak RFC'nin yürütülmesini tanımlar. Alt kullanım örneği: SAP güvenlik mekanizmalarını atlama girişimleri |
Dinamik hedefler (cl_dynamic_destination) kullanan bir ABAP raporu yürütür. Örneğin, DEMO_RFC_DYNAMIC_DEST. Veri kaynakları: SAPcon - Denetim Günlüğü |
Toplama, Sızdırma |
| SAP - Hassas Tablolar İletişim KutusuYla Doğrudan Erişim Oturum Açma | İletişim kutusuyla oturum açma yoluyla genel tablo erişimini tanımlar. | kullanarak SE11//SE16SE16Ntablo içeriğini açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma |
| SAP - (Önizleme) Kötü Amaçlı BIR IP Adresinden İndirilen Dosya | Kötü amaçlı olduğu bilinen bir IP adresi kullanarak SAP sisteminden dosya indirilmesini tanımlar. Kötü amaçlı IP adresleri tehdit bilgileri hizmetlerinden elde edilir. | Kötü amaçlı bir IP'den dosya indirin. Veri kaynakları: SAP güvenliği Denetim günlüğü, Tehdit Bilgileri |
Sızdırma |
| SAP - (Önizleme) Aktarım Kullanılarak Üretim Sisteminden Dışarı Aktarılan Veriler | Aktarım kullanarak üretim sisteminden veri dışarı aktarmayı tanımlar. Aktarımlar geliştirme sistemlerinde kullanılır ve çekme isteklerine benzer. Bu uyarı kuralı, herhangi bir tablodaki verileri içeren bir aktarım üretim sisteminden yayınlandığında orta önem derecesinde olayları tetikler. Dışarı aktarma işlemi hassas bir tablodaki verileri içerdiğinde kural yüksek önem derecesine sahip bir olay oluşturur. | Bir üretim sisteminden taşımayı serbest bırakın. Veri kaynakları: SAP CR günlüğü, SAP - Hassas Tablolar |
Sızdırma |
| SAP - (Önizleme) USB Sürücüsüne Kaydedilen Hassas Veriler | SAP verilerinin dosyalar aracılığıyla dışarı aktarımını tanımlar. Kural, hassas bir işlemin yürütülmesine, hassas bir programa veya hassas bir tabloya doğrudan erişime yakın bir şekilde yakın zamanda takılı bir USB sürücüsüne kaydedilen verileri denetler. | SAP verilerini dosyalar aracılığıyla dışarı aktarın ve bir USB sürücüsüne kaydedin. Veri kaynakları: SAP Güvenlik Denetim Günlüğü, DeviceFileEvents (Uç Nokta için Microsoft Defender), SAP - Hassas Tablolar, SAP - Hassas İşlemler, SAP - Hassas Programlar |
Sızdırma |
| SAP - (Önizleme) Hassas Olabilecek Verilerin Yazdırımı | Hassas olabilecek verilerin bir isteği veya gerçek yazdırmayı tanımlar. Kullanıcı verileri hassas bir işlem, hassas bir programın yürütülmesi veya hassas bir tabloya doğrudan erişim kapsamında alırsa veriler hassas olarak kabul edilir. | Hassas verileri yazdırmayı veya yazdırmayı isteme. Veri kaynakları: SAP Güvenlik Denetim Günlüğü, SAP Biriktirme günlükleri, SAP - Hassas Tablolar, SAP - Hassas Programlar |
Sızdırma |
| SAP - (Önizleme) Dışarı Aktarılan Hassas Olabilecek Yüksek Hacimli Veriler | Hassas bir işlemin yürütülmesine, hassas bir programa veya hassas tabloya doğrudan erişime yakın dosyalar aracılığıyla yüksek hacimli verilerin dışarı aktarımını tanımlar. | Dosyalar aracılığıyla yüksek hacimli verileri dışarı aktarın. Veri kaynakları: SAP Güvenlik Denetim Günlüğü, SAP - Hassas Tablolar, SAP - Hassas İşlemler, SAP - Hassas Programlar |
Sızdırma |
Kalıcılık
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - ICF Hizmetinin Etkinleştirilmesi veya Devre Dışı Bırakılması | ICF Hizmetlerini etkinleştirmeyi veya devre dışı bırakma işlemini tanımlar. | SICF kullanarak bir hizmeti etkinleştirme. Veri kaynakları: SAPcon - Tablo Veri Günlüğü |
Komut ve Denetim, YanAl Hareket, Kalıcılık |
| SAP - İşlev Modülü test edildi | İşlev modülünün testini tanımlar. | kullanarak bir işlev modülünü test edin SE37 / SE80. Veri kaynakları: SAPcon - Denetim Günlüğü |
Toplama, Savunma Kaçamak, Yanal Hareket |
| SAP - (ÖNİzLEME) HANA DB -Kullanıcı Yönetici eylemleri | Kullanıcı yönetimi eylemlerini tanımlar. | Veritabanı kullanıcısı oluşturma, güncelleştirme veya silme. Veri Kaynakları: Linux Aracısı - Syslog* |
Ayrıcalık Yükseltme |
| SAP - Yeni ICF Hizmet İşleyicileri | ICF İşleyicilerinin oluşturulmasını tanımlar. | SICF kullanarak hizmete yeni bir işleyici atayın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Komut ve Denetim, YanAl Hareket, Kalıcılık |
| SAP - Yeni ICF Hizmetleri | ICF Hizmetlerinin oluşturulmasını tanımlar. | SICF kullanarak bir hizmet oluşturun. Veri kaynakları: SAPcon - Tablo Veri Günlüğü |
Komut ve Denetim, YanAl Hareket, Kalıcılık |
| SAP - Eski veya Güvenli Olmayan İşlev Modülünün Yürütülmesi | Eski veya güvenli olmayan bir ABAP işlev modülünün yürütülmesini tanımlar. SAP - Eski İşlev Modülleri izleme listesinde eski işlevleri koruyun. Arka uçtaki tablo için EUFUNC tablo günlüğü değişikliklerini etkinleştirdiğinizden emin olun. (SE13)Not: Yalnızca üretim sistemleri için geçerlidir. |
SE37 kullanarak eski veya güvenli olmayan bir işlev modülünü doğrudan çalıştırın. Veri kaynakları: SAPcon - Tablo Veri Günlüğü |
Bulma, Komut ve Denetim |
| SAP - Kullanımdan Kaldırılmış/Güvenli Olmayan Programın Yürütülmesi | Eski veya güvenli olmayan bir ABAP programının yürütülmesini tanımlar. SAP - Eski Programlar izleme listesinde eski programları koruyun. Not: Yalnızca üretim sistemleri için geçerlidir. |
Se38/SA38/SE80 kullanarak veya arka plan işi kullanarak bir programı doğrudan çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, Komut ve Denetim |
| SAP - Kullanıcıya Göre Birden Çok Parola Değişikliği | Kullanıcıya göre birden çok parola değişikliği tanımlar. | Kullanıcı parolasını değiştirme Veri kaynakları: SAPcon - Denetim Günlüğü |
Kimlik Bilgisi Erişimi |
SAP güvenlik mekanizmalarını atlama girişimleri
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - İstemci Yapılandırma Değişikliği | İstemci rolü veya değişiklik kayıt modu gibi istemci yapılandırması değişikliklerini tanımlar. | İşlem kodunu kullanarak istemci yapılandırma değişiklikleri gerçekleştirin SCC4 . Veri kaynakları: SAPcon - Denetim Günlüğü |
Savunma Kaçamak, Sızdırma, Kalıcılık |
| SAP - Hata Ayıklama Etkinliği Sırasında Veriler Değişti | Hata ayıklama etkinliği sırasında çalışma zamanı verilerine yönelik değişiklikleri tanımlar. Alt kullanım örneği: Kalıcılık |
1. Hata Ayıklamayı Etkinleştir ("/h"). 2. Değişiklik için bir alan seçin ve değerini güncelleştirin. Veri kaynakları: SAPcon - Denetim Günlüğü |
Yürütme, YanAl Hareket |
| SAP - Güvenlik Denetim Günlüğünü Devre Dışı Bırakma | Güvenlik Denetim Günlüğü'nü devre dışı bırakma işlemini tanımlar, | kullanarak SM19/RSAU_CONFIGgüvenlik Denetim Günlüğü'nü devre dışı bırakın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Sızdırma, Savunma Kaçamak, Kalıcılık |
| SAP - Hassas BIR ABAP Programının Yürütülmesi | Hassas bir ABAP programının doğrudan yürütülmesini tanımlar. SAP - Hassas ABAP Programları izleme listesinde ABAP Programlarını koruyun. |
Kullanarak SE38//SA38SE80bir programı doğrudan çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Sızdırma, YanAl Hareket, Yürütme |
| SAP - Hassas İşlem Kodunu Yürütme | Hassas bir İşlem Kodunun yürütülmesini tanımlar. SAP - Hassas İşlem Kodları izleme listesinde işlem kodlarını koruyun. |
Hassas bir işlem kodu çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, Yürütme |
| SAP - Hassas İşlev Modülünün Yürütülmesi | Hassas bir ABAP işlev modülünün yürütülmesini tanımlar. Alt kullanım örneği: Kalıcılık Not: Yalnızca üretim sistemleri için geçerlidir. SAP - Hassas İşlev Modülleri izleme listesinde hassas işlevleri koruyun ve EUFUNC tablosunun arka uçtaki tablo günlüğü değişikliklerini etkinleştirdiğinizden emin olun. (SE13) |
SE37 kullanarak hassas bir işlev modülünü doğrudan çalıştırın. Veri kaynakları: SAPcon - Tablo Veri Günlüğü |
Bulma, Komut ve Denetim |
| SAP - (ÖNİzLEME) HANA DB -Denetim İzi İlkesi Değişiklikleri | HANA DB denetim izi ilkelerine yönelik değişiklikleri tanımlar. | Güvenlik tanımlarında mevcut denetim ilkesini oluşturun veya güncelleştirin. Veri kaynakları: Linux Aracısı - Syslog |
Yanal Hareket, Savunma Kaçamak, Kalıcılık |
| SAP - (ÖNİzLEME) HANA DB -Denetim İzinin Devre Dışı Bırakılması | HANA DB denetim günlüğünü devre dışı bırakma işlemini tanımlar. | HANA DB güvenlik tanımında denetim günlüğünü devre dışı bırakın. Veri kaynakları: Linux Aracısı - Syslog |
Kalıcılık, Yanal Hareket, Savunma Kaçamak |
| SAP - Hassas İşlev Modülünün Yetkisiz Uzaktan Yürütülmesi | Yakın zamanda değiştirilen yetkilendirmeleri göz ardı ederken etkinliği kullanıcının yetkilendirme profiliyle karşılaştırarak hassas FM'lerin yetkisiz yürütmelerini algılar. SAP - Hassas İşlev Modülleri izleme listesinde işlev modüllerini koruyun. |
RFC kullanarak bir işlev modülü çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Yürütme, YanAl Hareket, Keşif |
| SAP - Sistem Yapılandırma Değişikliği | Sistem yapılandırmasına yönelik değişiklikleri tanımlar. | İşlem kodunu kullanarak sistem değişikliği seçeneklerini veya yazılım bileşeni değişikliklerini uyarlayın SE06 .Veri kaynakları: SAPcon - Denetim Günlüğü |
Sızdırma, Savunma Kaçamak, Kalıcılık |
| SAP - Hata Ayıklama Etkinlikleri | Hata ayıklamayla ilgili tüm etkinlikleri tanımlar. Alt kullanım örneği: Kalıcılık |
Sistemde Hata Ayıklamayı ("/h") etkinleştirin, etkin bir işlemde hata ayıklayın, kaynak koda kesme noktası ekleyin vb. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma |
| SAP - Güvenlik Denetim Günlüğü Yapılandırma Değişikliği | Güvenlik Denetim Günlüğü yapılandırmasındaki değişiklikleri tanımlar | kullanarak SM19/RSAU_CONFIGfiltreler, durum, kayıt modu gibi güvenlik denetim günlüğü yapılandırmasını değiştirin. Veri kaynakları: SAPcon - Denetim Günlüğü |
Kalıcılık, Sızdırma, Savunma Kaçamak |
| SAP - İşlemin kilidi açık | Bir işlemin kilidinin açılmasını tanımlar. | kullanarak SM01//SM01_DEVSM01_CUSişlem kodunun kilidini açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Kalıcılık, Yürütme |
| SAP - Dinamik ABAP Programı | Dinamik ABAP programlamanın yürütülmesini tanımlar. Örneğin, ABAP kodu dinamik olarak oluşturulduğunda, değiştirildiğinde veya silindiğinde. SAP - ABAP Nesilleri için işlemler izleme listesinde hariç tutulan işlem kodlarını koruyun. |
INSERT REPORT gibi ABAP program oluşturma komutlarını kullanan bir ABAP Raporu oluşturun ve raporu çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, Komut ve Denetim, Etki |
Şüpheli ayrıcalık işlemleri
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - Hassas ayrıcalıklı kullanıcıda değişiklik | Hassas ayrıcalıklı kullanıcıların değişikliklerini tanımlar. SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun. |
kullanarak SU01kullanıcı ayrıntılarını /yetkilendirmelerini değiştirin. Veri kaynakları: SAPcon - Denetim Günlüğü |
Ayrıcalık Yükseltme, Kimlik Bilgisi Erişimi |
| SAP - (ÖNİzLEME) HANA DB -Yönetici Yetkilendirmeleri Atama | Yönetici ayrıcalığını veya rol atamalarını tanımlar. | Herhangi bir yönetici rolüne veya ayrıcalığına sahip bir kullanıcı atayın. Veri kaynakları: Linux Aracısı - Syslog |
Ayrıcalık Yükseltme |
| SAP - Oturum açmış hassas ayrıcalıklı kullanıcı | Hassas ayrıcalıklı bir kullanıcının İletişim kutusu oturum açmasını tanımlar. SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun. |
veya başka bir ayrıcalıklı kullanıcı kullanarak SAP* arka uç sisteminde oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
İlk Erişim, Kimlik Bilgisi Erişimi |
| SAP - Hassas ayrıcalıklı kullanıcı diğer kullanıcıda değişiklik yapar | Diğer kullanıcılardaki hassas, ayrıcalıklı kullanıcıların değişikliklerini tanımlar. | SU01 kullanarak kullanıcı ayrıntılarını /yetkilendirmelerini değiştirin. Veri Kaynakları: SAPcon - Denetim Günlüğü |
Ayrıcalık Yükseltme, Kimlik Bilgisi Erişimi |
| SAP - Hassas Kullanıcılar Parola Değişikliği ve Oturum Açma | Ayrıcalıklı kullanıcılar için parola değişikliklerini tanımlar. | Ayrıcalıklı bir kullanıcının parolasını değiştirin ve sistemde oturum açın. SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun. Veri kaynakları: SAPcon - Denetim Günlüğü |
Etki, Komut ve Denetim, Ayrıcalık Yükseltme |
| SAP - Kullanıcı Yeni kullanıcı oluşturur ve kullanır | Diğer kullanıcıları oluşturan ve kullanan bir kullanıcıyı tanımlar. Alt kullanım örneği: Kalıcılık |
SU01 kullanarak bir kullanıcı oluşturun ve yeni oluşturulan kullanıcıyı ve aynı IP adresini kullanarak oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, Önceden Ekleme, İlk Erişim |
| SAP - Kullanıcı Kilidini Açar ve diğer kullanıcıları kullanır | Kilidi açılmış ve diğer kullanıcılar tarafından kullanılan bir kullanıcıyı tanımlar. Alt kullanım örneği: Kalıcılık |
SU01 kullanarak bir kullanıcının kilidini açın ve ardından kilidi açılmış kullanıcıyı ve aynı IP adresini kullanarak oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü, SAPcon - Belge Günlüğünü Değiştir |
Keşif, Ön Saldırı, İlk Erişim, YanAl Hareket |
| SAP - Hassas profil atama | Kullanıcıya hassas bir profilin yeni atamalarını tanımlar. SAP - Hassas Profiller izleme listesinde hassas profilleri koruyun. |
kullanarak bir kullanıcıya profil atayın SU01. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir |
Ayrıcalık Yükseltme |
| SAP - Hassas bir rolün atanma | Kullanıcıya hassas bir rol için yeni atamalar tanımlar. SAP - Hassas Roller izleme listesinde hassas rolleri koruyun. |
kullanarak bir kullanıcıya rol atayın SU01 / PFCG. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir, Denetim Günlüğü |
Ayrıcalık Yükseltme |
| SAP - (ÖNİzLEME) Kritik yetkilendirme ataması - Yeni Yetkilendirme Değeri | Kritik yetkilendirme nesnesi değerinin yeni bir kullanıcıya atanma durumunu tanımlar. SAP - Kritik Yetkilendirme Nesneleri izleme listesinde kritik yetkilendirme nesnelerini koruyun. |
kullanarak PFCGyeni bir yetkilendirme nesnesi atayın veya bir roldeki mevcut bir nesneyi güncelleştirin. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir |
Ayrıcalık Yükseltme |
| SAP - Kritik yetkilendirme ataması - Yeni Kullanıcı Ataması | Kritik yetkilendirme nesnesi değerinin yeni bir kullanıcıya atanma durumunu tanımlar. SAP - Kritik Yetkilendirme Nesneleri izleme listesinde kritik yetkilendirme nesnelerini koruyun. |
kullanarak kritik yetkilendirme değerlerini barındıran bir role yeni bir kullanıcı atayın SU01/PFCG. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir |
Ayrıcalık Yükseltme |
| SAP - Hassas Rol Değişiklikleri | Hassas rollerdeki değişiklikleri tanımlar. SAP - Hassas Roller izleme listesinde hassas rolleri koruyun. |
PFCG kullanarak bir rolü değiştirin. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir, SAPcon – Denetim Günlüğü |
Etki, Ayrıcalık Yükseltme, Kalıcılık |
Kullanılabilir izleme listeleri
Aşağıdaki tabloda SAP® uygulamaları için Microsoft Sentinel çözümü için kullanılabilen izleme listeleri ve her izleme listesindeki alanlar listelenmiştir.
Bu izleme listeleri SAP® uygulamaları için Microsoft Sentinel çözümünün yapılandırmasını sağlar. SAP izleme listeleri Microsoft Sentinel GitHub deposunda bulunur.
| İzleme listesi adı | Açıklama ve alanlar |
|---|---|
| SAP - Kritik Yetkilendirme Nesneleri | Atamaların idare edilmesi gereken Kritik Yetkilendirmeler nesnesi. - AuthorizationObject: , S_TCODEveya gibi S_DEVELOPbir SAP yetkilendirme nesnesiTable TOBJ - AuthorizationField: veya gibi OBJTYP bir SAP yetkilendirme alanı TCD - AuthorizationValue: SAP yetkilendirme alanı değeri, örneğin DEBUG - ActivityField : SAP etkinlik alanı. Çoğu durumda, bu değer olur ACTVT. Etkinliği olmayan veya yalnızca Bir Etkinlik alanı olan ve ile NOT_IN_USEdoldurulmuş Yetkilendirme nesneleri için. - Etkinlik: Yetkilendirme nesnesine göre SAP etkinliği, örneğin: 01Oluşturma; 02: Değiştir; 03: Görüntüleme vb. - Açıklama: Anlamlı bir Kritik Yetkilendirme Nesnesi açıklaması. |
| SAP - Dışlanan Ağlar | Dışlanan ağların iç bakımı için, örneğin web dağıtıcılarını, terminal sunucularını vb. yoksayın. -Ağ: Gibi bir ağ IP adresi veya aralığı 111.68.128.0/17. -Açıklama: Anlamlı bir ağ açıklaması. |
| SAP Dışlanan Kullanıcılar | Sistemde oturum açmış olan ve yoksayılması gereken sistem kullanıcıları. Örneğin, aynı kullanıcı tarafından birden çok oturum açma için uyarılar. - Kullanıcı: SAP Kullanıcısı -Açıklama: Anlamlı bir kullanıcı açıklaması. |
| SAP - Ağlar | Yetkisiz oturum açma bilgilerinin tanımlanması için iç ve bakım ağları. - Ağ: Ağ IP adresi veya aralığı, örneğin 111.68.128.0/17 - Açıklama: Anlamlı bir ağ açıklaması. |
| SAP - Ayrıcalıklı Kullanıcılar | Ek kısıtlamalar altında olan ayrıcalıklı kullanıcılar. - Kullanıcı: VEYA gibi DDIC ABAP kullanıcısı SAP - Açıklama: Anlamlı bir kullanıcı açıklaması. |
| SAP - Hassas ABAP Programları | Yürütmenin idare edilmesi gereken hassas ABAP programları (raporlar). - ABAPProgram: ABAP programı veya raporu, örneğin RSPFLDOC - Açıklama: Anlamlı bir program açıklaması. |
| SAP - Hassas İşlev Modülü | Yetkisiz oturum açma bilgilerinin tanımlanması için iç ve bakım ağları. - FunctionModule: ABAP işlevi modülü, örneğin RSAU_CLEAR_AUDIT_LOG - Açıklama: Anlamlı bir modül açıklaması. |
| SAP - Hassas Profiller | Atamaların idare edilmesi gereken hassas profiller. - Profil: veya gibi SAP_ALL SAP yetkilendirme profili SAP_NEW - Açıklama: Anlamlı bir profil açıklaması. |
| SAP - Hassas Tablolar | Erişimin idare edilmesi gereken hassas tablolar. - Tablo: VEYA gibi USR02 ABAP Sözlük Tablosu PA008 - Açıklama: Anlamlı bir tablo açıklaması. |
| SAP - Hassas Roller | Atamanın yönetileceği hassas roller. - Rol: SAP yetkilendirme rolü, örneğin SAP_BC_BASIS_ADMIN - Açıklama: Anlamlı bir rol açıklaması. |
| SAP - Hassas İşlemler | Yürütmenin yönetilmesi gereken hassas işlemler. - TransactionCode: SAP işlem kodu, örneğin RZ11 - Açıklama: Anlamlı bir kod açıklaması. |
| SAP - Sistemler | SAP sistemlerinin ortamını role, kullanıma ve yapılandırmaya göre açıklar. - SystemID: SAP sistem kimliği (SYSID) - SystemRole: SAP sistem rolü, şu değerlerden biri: Sandbox, Development, Quality Assurance, Training, , Production - SystemUsage: SAP sistem kullanımı, şu değerlerden biri: ERP, BW, Solman, , Gateway, Enterprise Portal - InterfaceAttributes: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre. |
| SAPSystemParameters | Şüpheli yapılandırma değişikliklerini izlemek için parametreler. Bu izleme listesi önerilen değerlerle önceden doldurulur (SAP en iyi uygulamasına göre) ve izleme listesini daha fazla parametre içerecek şekilde genişletebilirsiniz. Bir parametre için uyarı almak istemiyorsanız olarak ayarlayın EnableAlertsfalse.- ParameterName: Parametrenin adı. - Açıklama: SAP standart parametre açıklaması. - EnableAlerts: Bu parametre için uyarıların etkinleştirilip etkinleştirilmeymeyeceğini tanımlar. Değerler ve falseşeklindedirtrue.- Seçenek: Hangi durumda uyarı tetikleyebileceğinizi tanımlar: Parametre değeri daha büyük veya eşit ( GE), küçük veya eşit (LE) veya eşittir (EQ ise).Örneğin, SAP parametresi (küçük veya eşit) olarak ayarlanırsa login/fails_to_user_lockLE ve 5değeri ise, Microsoft Sentinel bu parametrede bir değişiklik algıladıktan sonra, yeni bildirilen değeri ve beklenen değeri karşılaştırır. Yeni değer ise 4, Microsoft Sentinel uyarı tetiklemez. Yeni değer ise 6, Microsoft Sentinel bir uyarı tetikler.- ProductionSeverity: Üretim sistemleri için olay önem derecesi. - ProductionValues: Üretim sistemleri için izin verilen değerler. - NonProdSeverity: Üretim dışı sistemler için olay önem derecesi. - NonProdValues: Üretim dışı sistemler için izin verilen değerler. |
| SAP - Dışlanan Kullanıcılar | Oturum açmış ve kullanıcı tarafından birden çok oturum açma uyarısı gibi yoksayılması gereken sistem kullanıcıları. - Kullanıcı: SAP Kullanıcısı - Açıklama: Anlamlı bir kullanıcı açıklaması |
| SAP - Dışlanan Ağlar | Web dağıtıcılarını, terminal sunucularını vb. yoksaymak için dahili, dışlanmış ağları koruyun. - Ağ: Ağ IP adresi veya aralığı, örneğin 111.68.128.0/17 - Açıklama: Anlamlı bir ağ açıklaması |
| SAP - Eski İşlev Modülleri | Yürütmesi yönetilecek olan eski işlev modülleri. - FunctionModule: TH_SAPREL gibi ABAP İşlev Modülü - Açıklama: Anlamlı bir işlev modülü açıklaması |
| SAP - Eski Programlar | Yürütmesi yönetilecek olan eski ABAP programları (raporlar). - TH_ RSPFLDOC gibi ABAPProgram:ABAP Programı - Açıklama: Anlamlı bir ABAP programı açıklaması |
| SAP - ABAP Nesilleri için İşlemler | Yürütmenin idare edilmesi gereken ABAP nesilleri için işlemler. - TransactionCode:SE11 gibi İşlem Kodu. - Açıklama: Anlamlı bir İşlem Kodu açıklaması |
| SAP - FTP Sunucuları | Yetkisiz bağlantıların tanımlanması için FTP Sunucuları. - İstemci:100 gibi. - FTP_Server_Name: FTP sunucusu adı, örneğin http://contoso.com/ -FTP_Server_Port:FTP sunucu bağlantı noktası, örneğin 22. - AçıklamaAnlamlı bir FTP Sunucusu açıklaması |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Sistem rolü başına (üretim, üretim dışı) her ileti kimliğine sizin için gereken önem düzeyi atayarak SAP denetim günlüğü uyarılarını yapılandırın. Bu izleme listesi tüm kullanılabilir SAP standart denetim günlüğü ileti kimliklerini ayrıntılarıyla açıklar. İzleme listesi, SAP NetWeaver sistemlerinde ABAP geliştirmelerini kullanarak kendi başınıza oluşturabileceğiniz ek ileti kimlikleri içerecek şekilde genişletilebilir. Bu izleme listesi ayrıca, belirlenen bir ekibi olay türlerinin her birini işleyecek şekilde yapılandırmaya ve kullanıcıları SAP rollerine, SAP profillerine veya SAP_User_Config izleme listesindeki etiketlere göre hariç tutmanıza olanak tanır. Bu izleme listesi, SAP denetim günlüğünü izlemek için yerleşik SAP analiz kurallarını yapılandırmakiçin kullanılan temel bileşenlerden biridir. - MessageID: SAP İleti Kimliği veya (Kullanıcı ana kaydı değişiklikleri) veya AUB (yetkilendirme değişiklikleri) gibi AUD olay türü. - DetailedDescription: Olay bölmesinde gösterilecek markdown özellikli bir açıklama. - ProductionSeverity: üretim sistemleri Highiçin ile oluşturulacak olayın istenen önem derecesi, Medium. olarak Disabledayarlanabilir. - NonProdSeverity: üretim dışı sistemler Highiçin ile oluşturulacak olayın istenen önem derecesi . Medium olarak Disabledayarlanabilir. - ProductionThreshold Üretim sistemleri 60için şüpheli olarak değerlendirilecek olayların "saat başına" sayısı. - NonProdThreshold Üretim dışı sistemler 10için şüpheli olarak değerlendirilecek olayların "Saat başına" sayısı. - RolesTagsToExclude: Bu alan, SAP_User_Config izleme listesindeki SAP rol adını, SAP profil adlarını veya etiketlerini kabul eder. Bunlar daha sonra ilişkili kullanıcıları belirli olay türlerinin dışında tutmak için kullanılır. Bu listenin sonundaki rol etiketleri seçeneklerine bakın. - RuleType: OLAY türünün SAP - Dinamik Belirleyici Denetim Günlüğü İzleyicisi'ne gönderilmesi veya AnomaliesOnly bu olayın SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) kapsamında olması için kullanınDeterministic.- TeamsChannelID: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre. - DestinationEmail: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre. RolesTagsToExclude alanı için: - SAP rollerini veya SAP profillerini listelerseniz, bu, listelenen rollere veya profillere sahip tüm kullanıcıları aynı SAP sistemi için bu olay türlerinden dışlar. Örneğin, RFC ile ilgili olay türleri için ABAP rolünü tanımlarsanız BASIC_BO_USERS , İş Nesneleri kullanıcıları büyük RFC çağrıları yaparken olayları tetiklemez.- Bir olay türünü etiketlemek SAP rollerini veya profillerini belirtmeye benzer, ancak çalışma alanında etiketler oluşturulabilir, böylece SOC ekipleri SAP ekibine bağlı olmadan kullanıcıları etkinliğe göre dışlayabilir. Örneğin, denetim iletisi kimlikleri AUB (yetkilendirme değişiklikleri) ve AUD (kullanıcı ana kaydı değişiklikleri) etiketi atanır MassiveAuthChanges . Bu etikete atanan kullanıcılar, bu etkinliklere yönelik denetimlerden dışlanır. çalışma alanı SAPAuditLogConfigRecommend işlevini çalıştırmak, kullanıcılara atanması önerilen etiketlerin bir listesini oluşturur, örneğin Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Belirli bağlamlardaki /dahil kullanıcıları dışlayarak uyarıların ince ayarlanmasına olanak tanır ve SAP denetim günlüğünü izlemek için yerleşik SAP analiz kurallarını yapılandırmakiçin de kullanılır. - SAPUser: SAP kullanıcısı - Etiketler: Etiketler, belirli etkinliklere karşı kullanıcıları tanımlamak için kullanılır. Örneğin kullanıcı SENTINEL_SRV ["GenericTablebyRFCOK"] etiketlerini eklemek, bu kullanıcı için RFC ile ilgili olayların oluşturulmasını engeller Diğer Active Directory kullanıcı tanımlayıcıları - AD Kullanıcı Tanımlayıcısı - Kullanıcı Şirket İçi Sid - Kullanıcı Asıl Adı |
Kullanılabilir playbook'lar
| Playbook adı | Parametreler | Bağlantılar |
|---|---|---|
| SAP Olay Yanıtı - Kullanıcıyı Teams'den kilitleme - Temel | - SAP-SOAP-Kullanıcı Parolası - SAP-SOAP-Kullanıcı Adı - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP Olay Yanıtı - Kullanıcıyı Teams'den kilitleme - Gelişmiş | - SAP-SOAP-KeyVault-Credential-Name - Varsayılan Yönetici Email - TeamsChannel |
- Microsoft Sentinel - Azure İzleyici Günlükleri - Office 365 Outlook - Microsoft Entra Id - Azure Key Vault - Microsoft Teams |
| SAP Olay Yanıtı - Denetim günlüğünü devre dışı bırakıldıktan sonra yeniden etkinleştir | - SAP-SOAP-KeyVault-Credential-Name - Varsayılan Yönetici Email - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure İzleyici Günlükleri - Microsoft Teams |
Sonraki adımlar
Daha fazla bilgi için bkz.
- SAP® uygulamaları için Microsoft Sentinel çözümü dağıtma
- SAP® uygulamaları için Microsoft Sentinel çözümü günlük başvurusu
- SAP sisteminizin durumunu izleme
- SNC ile SAP® uygulamaları veri bağlayıcısı için Microsoft Sentinel çözümünü dağıtma
- Yapılandırma dosyası başvurusu
- SAP® uygulamaları için Microsoft Sentinel çözümünü dağıtma önkoşulları
- SAP® uygulamaları dağıtımı için Microsoft Sentinel çözümünüzün sorunlarını giderme