Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die sicherheitsrelevanten Inhalte beschrieben, die für die Microsoft Sentinel Lösungen für SAP verfügbar sind.
Wichtig
Die in diesem Artikel beschriebenen Elemente befinden sich in der Vorschauphase. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Verfügbare Sicherheitsinhalte umfassen integrierte Arbeitsmappen und Analyseregeln. Sie können auch SAP-bezogene Watchlists hinzufügen, die Sie in Ihren Such-, Erkennungsregeln, Bedrohungssuche und Reaktionsplaybooks verwenden können.
Die Inhalte in diesem Artikel sind für Ihr Sicherheitsteam bestimmt.
Integrierte Arbeitsmappen
Verwenden Sie die folgenden integrierten Arbeitsmappen, um die über den SAP-Datenconnector erfassten Daten zu visualisieren und zu überwachen. Nachdem Sie die SAP-Lösung bereitgestellt haben, finden Sie SAP-Arbeitsmappen auf der Registerkarte Vorlagen .
| Arbeitsmappenname | Beschreibung | Protokolle |
|---|---|---|
| SAP – Überwachungsprotokollbrowser | Zeigt Daten an, z. B.: - Allgemeine Systemintegrität, einschließlich Benutzeranmeldungen im Zeitverlauf, vom System erfasste Ereignisse, Nachrichtenklassen und IDs sowie ausgeführte ABAP-Programme -Schweregrade von Ereignissen, die in Ihrem System auftreten - Authentifizierungs- und Autorisierungsereignisse, die in Ihrem System auftreten |
Verwendet Daten aus dem folgenden Protokoll: ABAPAuditLog |
| SAP-Überwachungssteuerelemente | Hilft Ihnen, die Sicherheitskontrollen Ihrer SAP-Umgebung auf Konformität mit dem ausgewählten Steuerungsframework zu überprüfen, indem Sie Tools für Die folgenden Aktionen verwenden: – Zuweisen von Analyseregeln in Ihrer Umgebung zu bestimmten Sicherheitskontrollen und Steuerungsfamilien – Überwachen und Kategorisieren der Incidents, die von den SAP-lösungsbasierten Analyseregeln generiert werden - Bericht über Ihre Compliance |
Verwendet Daten aus den folgenden Tabellen: - SecurityAlert- SecurityIncident |
Weitere Informationen finden Sie unter Tutorial: Visualisieren und Überwachen Ihrer Daten und Bereitstellen Microsoft Sentinel Lösung für SAP-Anwendungen.
Integrierte Analyseregeln
In diesem Abschnitt wird eine Auswahl integrierter Analyseregeln beschrieben, die zusammen mit der Microsoft Sentinel Lösung für SAP-Anwendungen bereitgestellt werden. Der Agentlose Datenconnector arbeitet mit einer konsolidierten Gruppe von Quellen. Die neuesten Updates finden Sie im Microsoft Sentinel Inhaltshub nach neuen und aktualisierten Regeln.
Überwachen der Konfiguration statischer SAP-Sicherheitsparameter (Vorschau)
Um das SAP-System zu schützen, hat SAP sicherheitsrelevante Parameter identifiziert, die auf Änderungen überwacht werden müssen. Mit der Regel "SAP – (Vorschau) Sensitive Static Parameter has Changed" verfolgt die Microsoft Sentinel Lösung für SAP-Anwendungen mehr als 52 statische sicherheitsbezogene Parameter im SAP-System nach, die in Microsoft Sentinel integriert sind.
Hinweis
Damit die Microsoft Sentinel Lösung für SAP-Anwendungen die SAP-Sicherheitsparameter erfolgreich überwachen kann, muss die Lösung die SAP PAHI-Tabelle in regelmäßigen Abständen erfolgreich überwachen. Weitere Informationen finden Sie unter Überprüfen, ob die PAHI-Tabelle in regelmäßigen Abständen aktualisiert wird.
Um Parameteränderungen im System zu verstehen, verwendet die Microsoft Sentinel-Lösung für SAP-Anwendungen die Parameterverlaufstabelle, in der stündliche Änderungen an Systemparametern aufgezeichnet werden.
Die Parameter werden auch in der SapSystemParameters-Watchlist wider. Mit dieser Watchlist können Benutzer neue Parameter hinzufügen, vorhandene Parameter deaktivieren und die Werte und Schweregrade pro Parameter und Systemrolle in Produktions- oder Nichtproduktionsumgebungen ändern.
Wenn eine Änderung an einem dieser Parameter vorgenommen wird, überprüft Microsoft Sentinel, ob die Änderung sicherheitsbezogen ist und ob der Wert gemäß den empfohlenen Werten festgelegt ist. Wenn die Änderung als außerhalb der sicheren Zone vermutet wird, erstellt Microsoft Sentinel einen Incident, der die Änderung detailliert beschreibt, und identifiziert, wer die Änderung vorgenommen hat.
Überprüfen Sie die Liste der Parameter , die diese Regel überwacht.
Überwachen des SAP-Überwachungsprotokolls
Viele der Analyseregeln in der Microsoft Sentinel Lösung für SAP-Anwendungen verwenden SAP-Überwachungsprotokolldaten. Einige Analyseregeln suchen nach bestimmten Ereignissen im Protokoll, während andere Angaben aus mehreren Protokollen korrelieren, um Warnungen und Incidents mit hoher Genauigkeit zu erstellen.
Verwenden Sie die folgenden Analyseregeln, um entweder alle Überwachungsprotokollereignisse in Ihrem SAP-System zu überwachen oder Warnungen nur auszulösen, wenn Anomalien erkannt werden:
| Regelname | Beschreibung |
|---|---|
| SAP: Fehlende Konfiguration im Dynamischen Sicherheitsüberwachungsprotokollmonitor | Standardmäßig wird täglich ausgeführt, um Konfigurationsempfehlungen für das SAP-Überwachungsprotokollmodul bereitzustellen. Verwenden Sie die Regelvorlage, um eine Regel für Ihren Arbeitsbereich zu erstellen und anzupassen. |
| SAP – Dynamischer deterministischer Überwachungsprotokollmonitor (VORSCHAU) | Standardmäßig wird alle 10 Minuten ausgeführt und konzentriert sich auf die SAP-Überwachungsprotokollereignisse, die als deterministisch gekennzeichnet sind. Verwenden Sie die Regelvorlage, um eine Regel für Ihren Arbeitsbereich zu erstellen und anzupassen, z. B. für eine niedrigere False Positive-Rate. Diese Regel erfordert deterministische Warnungsschwellenwerte und Benutzerausschlussregeln. |
| SAP – Warnungen des überwachungsprotokollbasierten Überwachungsprotokollmonitors auf Dynamischer Anomalie (VORSCHAU) | Standardmäßig wird stündlich ausgeführt und konzentriert sich auf SAP-Ereignisse, die als AnomaliesOnly gekennzeichnet sind. Warnungen zu SAP-Überwachungsprotokollereignissen, wenn Anomalien erkannt werden. Diese Regel wendet zusätzliche Machine Learning-Algorithmen an, um Hintergrundgeräusche unüberwacht herauszufiltern. |
Standardmäßig werden die meisten Ereignistypen oder SAP-Nachrichten-IDs im SAP-Überwachungsprotokoll an die auf Anomalien basierende analyseregel dynamic anomaly based Audit Log Monitor Alerts (PREVIEW) gesendet, während die einfacher zu definierenden Ereignistypen an die deterministische Dynamic Deterministic Audit Log Monitor (PREVIEW)- Analyseregel gesendet werden. Diese Einstellung kann zusammen mit anderen zugehörigen Einstellungen so konfiguriert werden, dass sie allen Systembedingungen entspricht.
Die Überwachungsregeln für SAP-Überwachungsprotokolle werden als Teil der Microsoft Sentinel für Sicherheitsinhalte der SAP-Lösung bereitgestellt und ermöglichen eine weitere Feinabstimmung mithilfe der watchlistsSAP_Dynamic_Audit_Log_Monitor_Configuration und SAP_User_Config.
Die folgende Tabelle enthält z. B. mehrere Beispiele dafür, wie Sie die SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist verwenden können, um die Ereignistypen zu konfigurieren, die Incidents erzeugen, wodurch die Anzahl der generierten Incidents reduziert wird.
| Option | Beschreibung |
|---|---|
| Festlegen von Schweregraden und Deaktivieren unerwünschter Ereignisse | Standardmäßig erstellen sowohl die deterministischen Regeln als auch die auf Anomalien basierenden Regeln Warnungen für Ereignisse, die mit mittleren und hohen Schweregraden gekennzeichnet sind. Möglicherweise möchten Sie Schweregrade für Produktions- und Nichtproduktionsumgebungen separat konfigurieren. Beispielsweise können Sie ein Debugaktivitätsereignis in Produktionssystemen als hohen Schweregrad festlegen und dieselben Ereignisse in Nichtproduktionssystemen vollständig deaktivieren. |
| Ausschließen von Benutzern nach ihren SAP-Rollen oder SAP-Profilen | Microsoft Sentinel für SAP erfasst das Autorisierungsprofil des SAP-Benutzers, einschließlich direkter und indirekter Rollenzuweisungen, Gruppen und Profile, damit Sie die SAP-Sprache in Ihrem SIEM sprechen können. Möglicherweise möchten Sie ein SAP-Ereignis so konfigurieren, dass Benutzer basierend auf ihren SAP-Rollen und -Profilen ausgeschlossen werden. Fügen Sie in der Watchlist die Rollen oder Profile hinzu, die Ihre BENUTZER der RFC-Schnittstelle in der Spalte RolesTagsToExclude neben dem Ereignis Generischer Tabellenzugriff nach RFC gruppieren. Diese Konfiguration löst Warnungen nur für Benutzer aus, denen diese Rollen fehlen. |
| Ausschließen von Benutzern durch ihre SOC-Tags | Verwenden Sie Tags, um Ihre eigene Gruppierung zu erstellen, ohne sich auf komplizierte SAP-Definitionen zu verlassen oder sogar ohne SAP-Autorisierung. Diese Methode ist nützlich für SOC-Teams, die eine eigene Gruppierung für SAP-Benutzer erstellen möchten. Wenn Sie beispielsweise nicht möchten, dass bestimmte Dienstkonten für generischen Tabellenzugriff durch RFC-Ereignisse benachrichtigt werden, aber keine SAP-Rolle oder ein SAP-Profil finden können, das diese Benutzer gruppiert, verwenden Sie Tags wie folgt: 1. Fügen Sie das GenTableRFCReadOK-Tag neben dem relevanten Ereignis in der Watchlist hinzu. 2. Wechseln Sie zur SAP_User_Config Watchlist, und weisen Sie den Benutzer der Benutzeroberfläche das gleiche Tag zu. |
| Angeben eines Häufigkeitsschwellenwerts pro Ereignistyp und Systemrolle | Funktioniert wie eine Geschwindigkeitsbegrenzung. Beispielsweise können Sie Benutzerstammdatensatzänderungsereignisse so konfigurieren, dass nur Warnungen ausgelöst werden, wenn mehr als 12 Aktivitäten in einer Stunde von demselben Benutzer in einem Produktionssystem beobachtet werden. Wenn ein Benutzer den Grenzwert von 12 pro Stunde überschreitet , z. B. 2 Ereignisse in einem 10-Minuten-Zeitfenster, wird ein Incident ausgelöst. |
| Determinismus oder Anomalien | Wenn Sie die Merkmale des Ereignisses kennen, verwenden Sie die deterministischen Funktionen. Wenn Sie nicht sicher sind, wie das Ereignis ordnungsgemäß konfiguriert wird, lassen Sie die Machine Learning-Funktionen zu, zu starten, und nehmen Sie dann nach Bedarf nachfolgende Updates vor. |
| SOAR-Funktionen | Verwenden Sie Microsoft Sentinel, um Incidents, die von dynamischen SAP-Überwachungsprotokollwarnungen erstellt wurden, weiter zu orchestrieren, zu automatisieren und darauf zu reagieren. Weitere Informationen finden Sie unter Automation in Microsoft Sentinel: Security orchestration, automation, and response (SOAR). |
Weitere Informationen finden Sie unter Verfügbare Watchlists und Microsoft Sentinel für SAP News – Dynamisches Feature des SAP-Sicherheitsüberwachungsprotokollmonitors jetzt verfügbar! (Blog).
Erstzugriff
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP : Anmeldung über ein unerwartetes Netzwerk | Identifiziert eine Anmeldung aus einem unerwarteten Netzwerk. Verwalten von Netzwerken in der Watchlist "SAP – Netzwerke ". |
Melden Sie sich über eine IP-Adresse, die keinem der Netzwerke zugewiesen ist, beim Back-End-System an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff |
| SAP – SPNego-Angriff | Identifiziert SPNego Replay-Angriff. | Datenquellen: SAPcon – Überwachungsprotokoll | Auswirkung, Lateral Movement |
| SAP : Anmeldeversuch eines Dialogfelds von einem privilegierten Benutzer | Identifiziert Anmeldeversuche des Dialogfelds mit dem Typ AUM von privilegierten Benutzern in einem SAP-System. Weitere Informationen finden Sie unter SAPUsersGetPrivileged. | Versuchen Sie, sich innerhalb des geplanten Zeitintervalls von derselben IP-Adresse bei mehreren Systemen oder Clients anzumelden. Datenquellen: SAPcon – Überwachungsprotokoll |
Auswirkung, Lateral Movement |
| SAP – Brute-Force-Angriffe | Identifiziert Brute-Force-Angriffe auf das SAP-System mithilfe von RFC-Anmeldungen | Versuchen Sie, sich mit RFC von derselben IP-Adresse innerhalb des geplanten Zeitintervalls bei mehreren Systemen/Clients anzumelden. Datenquellen: SAPcon – Überwachungsprotokoll |
Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Anmeldungen nach IP | Identifiziert die Anmeldung mehrerer Benutzer von derselben IP-Adresse innerhalb eines geplanten Zeitintervalls. Untergeordneter Anwendungsfall: Persistenz |
Melden Sie sich mit mehreren Benutzern über dieselbe IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff |
| SAP – Mehrere Anmeldungen nach Benutzer | Identifiziert Anmeldungen desselben Benutzers von mehreren Terminals innerhalb eines geplanten Zeitintervalls. Nur über die Audit SAL-Methode für SAP-Versionen 7.5 und höher verfügbar. |
Melden Sie sich mit demselben Benutzer mit unterschiedlichen IP-Adressen an. Datenquellen: SAPcon – Überwachungsprotokoll |
Vorangriff, Zugriff auf Anmeldeinformationen, Erstzugriff, Sammlung Untergeordneter Anwendungsfall: Persistenz |
| SAP – Information – Lebenszyklus – SAP-Hinweise wurden im System implementiert | Identifiziert die SAP-Hinweisimplementierung im System. | Implementieren Sie eine SAP-Notiz mithilfe von SNOTE/TCI. Datenquellen: SAPcon – Änderungsanforderungen |
- |
| SAP – (Vorschau) AS JAVA – Angemeldeter vertraulicher privilegierter Benutzer | Identifiziert eine Anmeldung aus einem unerwarteten Netzwerk. Verwalten privilegierter Benutzer in der Watchlist "SAP – Privilegierte Benutzer ". |
Melden Sie sich mit privilegierten Benutzern beim Back-End-System an. Datenquellen: SAPJAVAFilesLog |
Erstzugriff |
| SAP – (Vorschau) AS JAVA – Sign-In aus unerwartetem Netzwerk | Identifiziert Anmeldungen aus einem unerwarteten Netzwerk. Verwalten privilegierter Benutzer in der SAP -Networks-Watchlist . |
Melden Sie sich über eine IP-Adresse beim Back-End-System an, die keinem der Netzwerke in der Watchlist SAP – Netzwerke zugewiesen ist. Datenquellen: SAPJAVAFilesLog |
Erstzugriff, Verteidigungsumgehung |
Datenexfiltration
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – FTP für nicht autorisierte Server | Identifiziert eine FTP-Verbindung für einen nicht authentifizierten Server. | Erstellen Sie eine neue FTP-Verbindung, z. B. mithilfe des FTP_CONNECT Funktionsmoduls. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Erstzugriff, Befehl und Steuerung |
| SAP – Konfiguration unsicherer FTP-Server | Identifiziert unsichere FTP-Serverkonfigurationen, z. B. wenn eine FTP-Positivliste leer ist oder Platzhalter enthält. | Verwalten Sie keine Werte, die Platzhalter in der SAPFTP_SERVERS Tabelle enthalten, indem Sie die SAPFTP_SERVERS_V Wartungsansicht verwenden. (SM30) Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff, Befehl und Steuerung |
| SAP – Mehrere Files Herunterladen | Identifiziert mehrere Dateidownloads für einen Benutzer innerhalb eines bestimmten Zeitraums. | Laden Sie mehrere Dateien mithilfe von SAPGui für Excel, Listen usw. herunter. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Spoolausführungen | Identifiziert mehrere Spools für einen Benutzer innerhalb eines bestimmten Zeitbereichs. | Erstellen und Ausführen mehrerer Spoolaufträge eines beliebigen Typs durch einen Benutzer. (SP01) Datenquellen: SAPcon – Spoolprotokoll, SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Spoolausgabeausführungen | Identifiziert mehrere Spools für einen Benutzer innerhalb eines bestimmten Zeitbereichs. | Erstellen und Ausführen mehrerer Spoolaufträge eines beliebigen Typs durch einen Benutzer. (SP01) Datenquellen: SAPcon – Spoolausgabeprotokoll, SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Direkter Zugriff auf sensible Tabellen durch RFC-Anmeldung | Identifiziert einen generischen Tabellenzugriff durch RFC-Anmeldung. Verwalten von Tabellen in der Watchlist "SAP – Sensible Tabellen ". Nur für Produktionssysteme relevant. |
Öffnen Sie den Tabelleninhalt mit SE11/SE16/SE16N. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Spool-Übernahme | Identifiziert einen Benutzer, der eine Spoolanforderung druckt, die von einer anderen Person erstellt wurde. | Erstellen Sie eine Spoolanforderung mit einem Benutzer, und geben Sie sie dann mit einem anderen Benutzer aus. Datenquellen: SAPcon – Spoolprotokoll, SAPcon – Spoolausgabeprotokoll, SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Befehl und Kontrolle |
| SAP – Dynamisches RFC-Ziel | Identifiziert die Ausführung von RFC mithilfe dynamischer Ziele. Unteranwendungsfall: Versuche, SAP-Sicherheitsmechanismen zu umgehen |
Führen Sie einen ABAP-Bericht aus, der dynamische Ziele (cl_dynamic_destination) verwendet. Beispiel: DEMO_RFC_DYNAMIC_DEST. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration |
| SAP – Sensitive Tables Direct Access by Dialog Logon | Identifiziert den generischen Tabellenzugriff über die Anmeldung im Dialogfeld. | Öffnen Sie den Tabelleninhalt mithilfe von SE11SE16N/SE16/. Datenquellen: SAPcon – Überwachungsprotokoll |
Suche |
| SAP- (Vorschau)-Datei, die von einer schädlichen IP-Adresse heruntergeladen wurde | Identifiziert das Herunterladen einer Datei aus einem SAP-System unter Verwendung einer IP-Adresse, die als böswillig bekannt ist. Böswillige IP-Adressen werden von Threat Intelligence-Diensten abgerufen. | Laden Sie eine Datei von einer schädlichen IP-Adresse herunter. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, Threat Intelligence |
Exfiltration |
| SAP – (Vorschau) Daten, die mithilfe eines Transports aus einem Produktionssystem exportiert wurden | Identifiziert den Datenexport aus einem Produktionssystem mithilfe eines Transports. Transporte werden in Entwicklungssystemen verwendet und ähneln Pull Requests. Diese Warnungsregel löst Vorfälle mit mittlerem Schweregrad aus, wenn ein Transport, der Daten aus einer beliebigen Tabelle enthält, aus einem Produktionssystem freigegeben wird. Die Regel erstellt einen Incident mit hohem Schweregrad, wenn der Export Daten aus einer vertraulichen Tabelle enthält. | Freigeben eines Transports aus einem Produktionssystem. Datenquellen: SAP CR-Protokoll, SAP – Sensible Tabellen |
Exfiltration |
| SAP – (Vorschau) Vertrauliche Daten, die auf einem USB-Laufwerk gespeichert werden | Identifiziert den Export von SAP-Daten über Dateien. Die Regel überprüft, ob Daten auf einem kürzlich bereitgestellten USB-Laufwerk in der Nähe einer Ausführung einer vertraulichen Transaktion, eines sensiblen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle gespeichert sind. | Exportieren Sie SAP-Daten über Dateien, und speichern Sie sie auf einem USB-Laufwerk. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, DeviceFileEvents (Microsoft Defender for Endpoint), SAP – Sensible Tabellen, SAP – Sensible Transaktionen, SAP – Sensible Programme |
Exfiltration |
| SAP – (Vorschau) Drucken potenziell vertraulicher Daten | Identifiziert eine Anforderung oder den tatsächlichen Druck potenziell vertraulicher Daten. Daten werden als vertraulich betrachtet, wenn der Benutzer die Daten im Rahmen einer vertraulichen Transaktion, der Ausführung eines sensiblen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle erhält. | Drucken oder Anfordern des Druckens vertraulicher Daten. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP-Spoolprotokolle, SAP – Sensible Tabellen, SAP – Sensible Programme |
Exfiltration |
| SAP – (Vorschau) Große Menge potenziell vertraulicher Daten, die exportiert wurden | Identifiziert den Export einer großen Datenmenge über Dateien in der Nähe einer Ausführung einer vertraulichen Transaktion, eines sensiblen Programms oder des direkten Zugriffs auf sensible Tabellen. | Exportieren sie eine große Menge an Daten über Dateien. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP – Sensible Tabellen, SAP – Sensible Transaktionen, SAP – Sensible Programme |
Exfiltration |
Persistenz
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP : Aktivierung oder Deaktivierung des ICF-Diensts | Identifiziert die Aktivierung oder Deaktivierung von ICF-Diensten. | Aktivieren sie einen Dienst mithilfe von SICF. Datenquellen: SAPcon – Tabellendatenprotokoll |
Befehl und Kontrolle, Lateral Movement, Persistenz |
| SAP – Funktionsmodul getestet | Identifiziert das Testen eines Funktionsmoduls. | Testen Sie ein Funktionsmodul mit SE37 / SE80. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Verteidigungsumgehung, Lateral Movement |
| SAP – HANA DB (VORSCHAU) – Benutzeraktionen Admin | Identifiziert Benutzerverwaltungsaktionen. | Erstellen, Aktualisieren oder Löschen eines Datenbankbenutzers Datenquellen: Linux-Agent – Syslog* |
Rechteausweitung |
| SAP – Neue ICF-Diensthandler | Identifiziert die Erstellung von ICF-Handlern. | Weisen Sie einem Dienst mithilfe von SICF einen neuen Handler zu. Datenquellen: SAPcon – Überwachungsprotokoll |
Befehl und Kontrolle, Lateral Movement, Persistenz |
| SAP – Neue ICF-Dienste | Identifiziert die Erstellung von ICF-Diensten. | Erstellen Sie einen Dienst mithilfe von SICF. Datenquellen: SAPcon – Tabellendatenprotokoll |
Befehl und Kontrolle, Lateral Movement, Persistenz |
| SAP – Ausführung eines veralteten oder unsicheren Funktionsmoduls | Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Funktionsmoduls. Verwalten veralteter Funktionen in der Watchlist "SAP – Veraltete Funktionsmodule ". Stellen Sie sicher, dass Sie änderungen an der Tabellenprotokollierung für die EUFUNC Tabelle im Back-End aktivieren. (SE13)Nur für Produktionssysteme relevant. |
Führen Sie ein veraltetes oder unsicheres Funktionsmodul direkt mit SE37 aus. Datenquellen: SAPcon – Tabellendatenprotokoll |
Ermittlung, Befehl und Kontrolle |
| SAP – Ausführung eines veralteten/unsicheren Programms | Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Programms. Verwalten Veralteter Programme in der Watchlist "SAP – Veraltete Programme ". Nur für Produktionssysteme relevant. |
Führen Sie ein Programm direkt mit SE38/SA38/SE80 oder mithilfe eines Hintergrundauftrags aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Befehl und Kontrolle |
| SAP – Mehrere Kennwortänderungen | Identifiziert mehrere Kennwortänderungen nach Benutzer. | Benutzerkennwort ändern Datenquellen: SAPcon – Überwachungsprotokoll |
Zugriff auf Anmeldeinformationen |
| SAP – (Vorschau) AS JAVA – Benutzer erstellt und verwendet neuen Benutzer | Identifiziert die Erstellung oder Bearbeitung von Benutzern durch Administratoren innerhalb der SAP AS Java-Umgebung. | Melden Sie sich beim Back-End-System mit Benutzern an, die Sie erstellt oder bearbeitet haben. Datenquellen: SAPJAVAFilesLog |
Persistenz |
Versuche, SAP-Sicherheitsmechanismen zu umgehen
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Änderung der Clientkonfiguration | Identifiziert Änderungen für die Clientkonfiguration, z. B. die Clientrolle oder den Änderungsaufzeichnungsmodus. | Führen Sie Änderungen an der Clientkonfiguration mithilfe des SCC4 Transaktionscodes aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Verteidigungsumgehung, Exfiltration, Persistenz |
| SAP: Daten wurden während der Debugaktivität geändert | Identifiziert Änderungen an Laufzeitdaten während einer Debugaktivität. Untergeordneter Anwendungsfall: Persistenz |
1. Debug aktivieren ("/h"). 2. Wählen Sie ein Feld für die Änderung aus, und aktualisieren Sie seinen Wert. Datenquellen: SAPcon – Überwachungsprotokoll |
Ausführung, Lateral Movement |
| SAP – Deaktivierung des Sicherheitsüberwachungsprotokolls | Identifiziert die Deaktivierung des Sicherheitsüberwachungsprotokolls, | Deaktivieren Sie das Sicherheitsüberwachungsprotokoll mit SM19/RSAU_CONFIG. Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Verteidigungsumgehung, Persistenz |
| SAP - Ausführung eines sensiblen ABAP-Programms | Identifiziert die direkte Ausführung eines sensiblen ABAP-Programms. Verwalten Sie ABAP-Programme in der Watchlist SAP – Sensible ABAP-Programme . |
Führen Sie ein Programm direkt mit ausSE38SE80/SA38/. Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Lateral Movement, Ausführung |
| SAP – Ausführung eines vertraulichen Transaktionscodes | Identifiziert die Ausführung eines vertraulichen Transaktionscodes. Verwalten Sie Transaktionscodes in der Watchlist SAP – Sensible Transaktionscodes . |
Führen Sie einen vertraulichen Transaktionscode aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Ausführung |
| SAP – Ausführung des Sensiblen Funktionsmoduls | Identifiziert die Ausführung eines sensiblen ABAP-Funktionsmoduls. Untergeordneter Anwendungsfall: Persistenz Nur für Produktionssysteme relevant. Verwalten Sie sensible Funktionen in der Watchlist "SAP – Sensitive Function Modules ", und stellen Sie sicher, dass Sie Änderungen an der Tabellenprotokollierung im Back-End für die EUFUNC-Tabelle aktivieren. (SE13) |
Führen Sie ein sensibles Funktionsmodul direkt mit SE37 aus. Datenquellen: SAPcon – Tabellendatenprotokoll |
Ermittlung, Befehl und Kontrolle |
| SAP – (VORSCHAU) HANA DB – Richtlinienänderungen überwachen | Identifiziert Änderungen für HANA DB-Überwachungspfadrichtlinien. | Erstellen oder aktualisieren Sie die vorhandene Überwachungsrichtlinie in Sicherheitsdefinitionen. Datenquellen: Linux-Agent – Syslog |
Lateral Movement, Defense Evasion, Persistenz |
| SAP – (VORSCHAU) HANA DB – Deaktivierung des Überwachungspfads | Identifiziert die Deaktivierung des HANA DB-Überwachungsprotokolls. | Deaktivieren Sie das Überwachungsprotokoll in der HANA DB-Sicherheitsdefinition. Datenquellen: Linux-Agent – Syslog |
Persistenz, Lateral Movement, Verteidigungsumgehung |
| SAP : Nicht autorisierte Remoteausführung eines sensiblen Funktionsmoduls | Erkennt nicht autorisierte Ausführungen vertraulicher FMs, indem die Aktivität mit dem Autorisierungsprofil des Benutzers verglichen wird, während kürzlich geänderte Autorisierungen ignoriert werden. Verwalten von Funktionsmodulen in der Watchlist "SAP – Sensible Funktionsmodule ". |
Führen Sie ein Funktionsmodul mithilfe von RFC aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ausführung, Lateral Movement, Ermittlung |
| SAP – Änderung der Systemkonfiguration | Identifiziert Änderungen für die Systemkonfiguration. | Passen Sie Systemänderungsoptionen oder Änderungen an Softwarekomponenten mithilfe des SE06 Transaktionscodes an.Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Verteidigungsumgehung, Persistenz |
| SAP – Debugaktivitäten | Identifiziert alle debugbezogenen Aktivitäten. Untergeordneter Anwendungsfall: Persistenz |
Aktivieren Sie Debuggen ("/h") im System, debuggen Sie einen aktiven Prozess, fügen Sie dem Quellcode Einen Haltepunkt hinzu usw. Datenquellen: SAPcon – Überwachungsprotokoll |
Suche |
| SAP – Änderung der Konfiguration des Sicherheitsüberwachungsprotokolls | Identifiziert Änderungen in der Konfiguration des Sicherheitsüberwachungsprotokolls | Ändern Sie alle Sicherheitsüberwachungsprotokollkonfigurationen mithilfe von SM19/RSAU_CONFIG, z. B. Filter, status, Aufzeichnungsmodus usw. Datenquellen: SAPcon – Überwachungsprotokoll |
Persistenz, Exfiltration, Verteidigungsumgehung |
| SAP – Transaktion ist entsperrt | Identifiziert das Entsperren einer Transaktion. | Entsperren Sie einen Transaktionscode mithilfe von SM01SM01_CUS/SM01_DEV/. Datenquellen: SAPcon – Überwachungsprotokoll |
Persistenz, Ausführung |
| SAP – Dynamisches ABAP-Programm | Identifiziert die Ausführung der dynamischen ABAP-Programmierung. Beispielsweise, wenn ABAP-Code dynamisch erstellt, geändert oder gelöscht wurde. Verwalten Sie ausgeschlossene Transaktionscodes in der Watchlist SAP - Transactions for ABAP Generations . |
Erstellen Sie einen ABAP-Bericht, der ABAP-Programmgenerierungsbefehle wie INSERT REPORT verwendet, und führen Sie dann den Bericht aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Befehl und Kontrolle, Auswirkung |
Vorgänge mit verdächtigen Berechtigungen
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP : Änderung in einem vertraulichen privilegierten Benutzer | Identifiziert Änderungen vertraulicher privilegierter Benutzer. Verwalten privilegierter Benutzer in der Watchlist "SAP – Privilegierte Benutzer ". |
Ändern Sie Benutzerdetails/Autorisierungen mithilfe von SU01. Datenquellen: SAPcon – Überwachungsprotokoll |
Rechteausweitung, Zugriff auf Anmeldeinformationen |
| SAP – (VORSCHAU) HANA DB – Zuweisen Admin Autorisierungen | Identifiziert Administratorrechte oder Rollenzuweisungen. | Weisen Sie einen Benutzer mit einer beliebigen Administratorrolle oder -berechtigung zu. Datenquellen: Linux-Agent – Syslog |
Rechteausweitung |
| SAP: Angemeldeter vertraulicher privilegierter Benutzer | Identifiziert die Dialoganmeldung eines sensiblen privilegierten Benutzers. Verwalten privilegierter Benutzer in der Watchlist "SAP – Privilegierte Benutzer ". |
Melden Sie sich mit SAP* oder einem anderen privilegierten Benutzer beim Back-End-System an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff, Zugriff auf Anmeldeinformationen |
| SAP : Sensibler privilegierter Benutzer nimmt eine Änderung an einem anderen Benutzer vor | Identifiziert Änderungen vertraulicher, privilegierter Benutzer in anderen Benutzern. | Ändern von Benutzerdetails/Autorisierungen mithilfe von SU01. Datenquellen: SAPcon – Überwachungsprotokoll |
Rechteausweitung, Zugriff auf Anmeldeinformationen |
| SAP – Kennwortänderung und Anmeldung vertraulicher Benutzer | Identifiziert Kennwortänderungen für privilegierte Benutzer. | Ändern Sie das Kennwort für einen privilegierten Benutzer, und melden Sie sich beim System an. Verwalten privilegierter Benutzer in der Watchlist "SAP – Privilegierte Benutzer ". Datenquellen: SAPcon – Überwachungsprotokoll |
Auswirkung, Befehl und Kontrolle, Rechteausweitung |
| SAP : Benutzer erstellt und verwendet einen neuen Benutzer. | Identifiziert einen Benutzer, der andere Benutzer erstellt und verwendet. Untergeordneter Anwendungsfall: Persistenz |
Erstellen Sie einen Benutzer mithilfe von SU01, und melden Sie sich dann mit dem neu erstellten Benutzer und derselben IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Vorangriff, Erstzugriff |
| SAP : Benutzer entsperrt und verwendet andere Benutzer | Identifiziert einen Benutzer, der entsperrt und von anderen Benutzern verwendet wird. Untergeordneter Anwendungsfall: Persistenz |
Entsperren Sie einen Benutzer mithilfe von SU01, und melden Sie sich dann mit dem entsperrten Benutzer und derselben IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll, SAPcon – Änderungsdokumentprotokoll |
Ermittlung, Vorangriff, Erstzugriff, Lateral Movement |
| SAP: Zuweisung eines vertraulichen Profils | Identifiziert neue Zuweisungen eines sensiblen Profils für einen Benutzer. Verwalten Sie vertrauliche Profile in der Watchlist SAP – Sensible Profile . |
Weisen Sie einem Benutzer mithilfe von SU01ein Profil zu. Datenquellen: SAPcon – Änderungsdokumentprotokoll |
Rechteausweitung |
| SAP: Zuweisung einer vertraulichen Rolle | Identifiziert neue Zuweisungen für eine sensible Rolle für einen Benutzer. Verwalten vertraulicher Rollen in der Watchlist "SAP – Sensible Rollen ". |
Weisen Sie einem Benutzer mithilfe SU01 / PFCGvon eine Rolle zu. Datenquellen: SAPcon – Änderungsdokumentprotokoll, Überwachungsprotokoll |
Rechteausweitung |
| SAP – (VORSCHAU) Zuweisung kritischer Autorisierungen – Neuer Autorisierungswert | Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer. Verwalten kritischer Autorisierungsobjekte in der Watchlist "SAP – Kritische Autorisierungsobjekte ". |
Weisen Sie mithilfe PFCGvon ein neues Autorisierungsobjekt zu, oder aktualisieren Sie ein vorhandenes in einer Rolle. Datenquellen: SAPcon – Änderungsdokumentprotokoll |
Rechteausweitung |
| SAP – Zuweisung kritischer Autorisierungen – Neue Benutzerzuweisung | Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer. Verwalten kritischer Autorisierungsobjekte in der Watchlist "SAP – Kritische Autorisierungsobjekte ". |
Weisen Sie mit einer Rolle, die kritische Autorisierungswerte enthält, SU01/PFCGeinen neuen Benutzer zu. Datenquellen: SAPcon – Änderungsdokumentprotokoll |
Rechteausweitung |
| SAP – Änderungen vertraulicher Rollen | Identifiziert Änderungen an vertraulichen Rollen. Verwalten vertraulicher Rollen in der Watchlist "SAP – Sensible Rollen ". |
Ändern einer Rolle mithilfe von PFCG. Datenquellen: SAPcon – Änderungsdokumentprotokoll, SAPcon – Überwachungsprotokoll |
Auswirkung, Rechteausweitung, Persistenz |
Überwachen des SAP-Überwachungsprotokolls
Viele der Analyseregeln in der Microsoft Sentinel Lösung für SAP-Anwendungen verwenden SAP-Überwachungsprotokolldaten. Einige Analyseregeln suchen nach bestimmten Ereignissen im Protokoll, während andere Angaben aus mehreren Protokollen korrelieren, um Warnungen und Incidents mit hoher Genauigkeit zu erstellen.
Verwenden Sie die folgenden Analyseregeln, um entweder alle Überwachungsprotokollereignisse in Ihrem SAP-System zu überwachen oder Warnungen nur auszulösen, wenn Anomalien erkannt werden:
| Regelname | Beschreibung |
|---|---|
| SAP: Fehlende Konfiguration im Dynamischen Sicherheitsüberwachungsprotokollmonitor | Standardmäßig wird täglich ausgeführt, um Konfigurationsempfehlungen für das SAP-Überwachungsprotokollmodul bereitzustellen. Verwenden Sie die Regelvorlage, um eine Regel für Ihren Arbeitsbereich zu erstellen und anzupassen. |
| SAP – Dynamischer deterministischer Überwachungsprotokollmonitor (VORSCHAU) | Standardmäßig wird alle 10 Minuten ausgeführt und konzentriert sich auf die SAP-Überwachungsprotokollereignisse, die als deterministisch gekennzeichnet sind. Verwenden Sie die Regelvorlage, um eine Regel für Ihren Arbeitsbereich zu erstellen und anzupassen, z. B. für eine niedrigere False Positive-Rate. Diese Regel erfordert deterministische Warnungsschwellenwerte und Benutzerausschlussregeln. |
| SAP – Warnungen des überwachungsprotokollbasierten Überwachungsprotokollmonitors auf Dynamischer Anomalie (VORSCHAU) | Standardmäßig wird stündlich ausgeführt und konzentriert sich auf SAP-Ereignisse, die als AnomaliesOnly gekennzeichnet sind. Warnungen zu SAP-Überwachungsprotokollereignissen, wenn Anomalien erkannt werden. Diese Regel wendet zusätzliche Machine Learning-Algorithmen an, um Hintergrundgeräusche unüberwacht herauszufiltern. |
Standardmäßig werden die meisten Ereignistypen oder SAP-Nachrichten-IDs im SAP-Überwachungsprotokoll an die auf Anomalien basierende analyseregel dynamic anomaly based Audit Log Monitor Alerts (PREVIEW) gesendet, während die einfacher zu definierenden Ereignistypen an die deterministische Dynamic Deterministic Audit Log Monitor (PREVIEW)- Analyseregel gesendet werden. Diese Einstellung kann zusammen mit anderen zugehörigen Einstellungen so konfiguriert werden, dass sie allen Systembedingungen entspricht.
Die Überwachungsregeln für SAP-Überwachungsprotokolle werden als Teil der Microsoft Sentinel für Sicherheitsinhalte der SAP-Lösung bereitgestellt und ermöglichen eine weitere Feinabstimmung mithilfe der watchlistsSAP_Dynamic_Audit_Log_Monitor_Configuration und SAP_User_Config.
Die folgende Tabelle enthält z. B. mehrere Beispiele dafür, wie Sie die SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist verwenden können, um die Ereignistypen zu konfigurieren, die Incidents erzeugen, wodurch die Anzahl der generierten Incidents reduziert wird.
| Option | Beschreibung |
|---|---|
| Festlegen von Schweregraden und Deaktivieren unerwünschter Ereignisse | Standardmäßig erstellen sowohl die deterministischen Regeln als auch die auf Anomalien basierenden Regeln Warnungen für Ereignisse, die mit mittleren und hohen Schweregraden gekennzeichnet sind. Möglicherweise möchten Sie Schweregrade für Produktions- und Nichtproduktionsumgebungen separat konfigurieren. Beispielsweise können Sie ein Debugaktivitätsereignis in Produktionssystemen als hohen Schweregrad festlegen und dieselben Ereignisse in Nichtproduktionssystemen vollständig deaktivieren. |
| Ausschließen von Benutzern nach ihren SAP-Rollen oder SAP-Profilen | Microsoft Sentinel für SAP erfasst das Autorisierungsprofil des SAP-Benutzers, einschließlich direkter und indirekter Rollenzuweisungen, Gruppen und Profile, damit Sie die SAP-Sprache in Ihrem SIEM sprechen können. Möglicherweise möchten Sie ein SAP-Ereignis so konfigurieren, dass Benutzer basierend auf ihren SAP-Rollen und -Profilen ausgeschlossen werden. Fügen Sie in der Watchlist die Rollen oder Profile hinzu, die Ihre BENUTZER der RFC-Schnittstelle in der Spalte RolesTagsToExclude neben dem Ereignis Generischer Tabellenzugriff nach RFC gruppieren. Diese Konfiguration löst Warnungen nur für Benutzer aus, denen diese Rollen fehlen. |
| Ausschließen von Benutzern durch ihre SOC-Tags | Verwenden Sie Tags, um Ihre eigene Gruppierung zu erstellen, ohne sich auf komplizierte SAP-Definitionen zu verlassen oder sogar ohne SAP-Autorisierung. Diese Methode ist nützlich für SOC-Teams, die eine eigene Gruppierung für SAP-Benutzer erstellen möchten. Wenn Sie beispielsweise nicht möchten, dass bestimmte Dienstkonten für generischen Tabellenzugriff durch RFC-Ereignisse benachrichtigt werden, aber keine SAP-Rolle oder ein SAP-Profil finden können, das diese Benutzer gruppiert, verwenden Sie Tags wie folgt: 1. Fügen Sie das GenTableRFCReadOK-Tag neben dem relevanten Ereignis in der Watchlist hinzu. 2. Wechseln Sie zur SAP_User_Config Watchlist, und weisen Sie den Benutzer der Benutzeroberfläche das gleiche Tag zu. |
| Angeben eines Häufigkeitsschwellenwerts pro Ereignistyp und Systemrolle | Funktioniert wie eine Geschwindigkeitsbegrenzung. Beispielsweise können Sie Benutzerstammdatensatzänderungsereignisse so konfigurieren, dass nur Warnungen ausgelöst werden, wenn mehr als 12 Aktivitäten in einer Stunde von demselben Benutzer in einem Produktionssystem beobachtet werden. Wenn ein Benutzer den Grenzwert von 12 pro Stunde überschreitet , z. B. 2 Ereignisse in einem 10-Minuten-Zeitfenster, wird ein Incident ausgelöst. |
| Determinismus oder Anomalien | Wenn Sie die Merkmale des Ereignisses kennen, verwenden Sie die deterministischen Funktionen. Wenn Sie nicht sicher sind, wie das Ereignis ordnungsgemäß konfiguriert wird, lassen Sie die Machine Learning-Funktionen zu, zu starten, und nehmen Sie dann nach Bedarf nachfolgende Updates vor. |
| SOAR-Funktionen | Verwenden Sie Microsoft Sentinel, um Incidents, die von dynamischen SAP-Überwachungsprotokollwarnungen erstellt wurden, weiter zu orchestrieren, zu automatisieren und darauf zu reagieren. Weitere Informationen finden Sie unter Automation in Microsoft Sentinel: Security orchestration, automation, and response (SOAR). |
Weitere Informationen finden Sie unter Verfügbare Watchlists und Microsoft Sentinel für SAP News – Dynamisches Feature des SAP-Sicherheitsüberwachungsprotokollmonitors jetzt verfügbar! (Blog).
Erstzugriff
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP : Anmeldung über ein unerwartetes Netzwerk | Identifiziert eine Anmeldung aus einem unerwarteten Netzwerk. Verwalten von Netzwerken in der Watchlist "SAP – Netzwerke ". |
Melden Sie sich über eine IP-Adresse, die keinem der Netzwerke zugewiesen ist, beim Back-End-System an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff |
| SAP – SPNego-Angriff | Identifiziert SPNego Replay-Angriff. | Datenquellen: SAPcon – Überwachungsprotokoll | Auswirkung, Lateral Movement |
| SAP : Anmeldeversuch eines Dialogfelds von einem privilegierten Benutzer | Identifiziert Anmeldeversuche des Dialogfelds mit dem Typ AUM von privilegierten Benutzern in einem SAP-System. Weitere Informationen finden Sie unter SAPUsersGetPrivileged. | Versuchen Sie, sich innerhalb des geplanten Zeitintervalls von derselben IP-Adresse bei mehreren Systemen oder Clients anzumelden. Datenquellen: SAPcon – Überwachungsprotokoll |
Auswirkung, Lateral Movement |
| SAP – Brute-Force-Angriffe | Identifiziert Brute-Force-Angriffe auf das SAP-System mithilfe von RFC-Anmeldungen | Versuchen Sie, sich mit RFC von derselben IP-Adresse innerhalb des geplanten Zeitintervalls bei mehreren Systemen/Clients anzumelden. Datenquellen: SAPcon – Überwachungsprotokoll |
Zugriff auf Anmeldeinformationen |
| SAP – Mehrere Anmeldungen nach IP | Identifiziert die Anmeldung mehrerer Benutzer von derselben IP-Adresse innerhalb eines geplanten Zeitintervalls. Untergeordneter Anwendungsfall: Persistenz |
Melden Sie sich mit mehreren Benutzern über dieselbe IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff |
| SAP – Mehrere Anmeldungen nach Benutzer | Identifiziert Anmeldungen desselben Benutzers von mehreren Terminals innerhalb eines geplanten Zeitintervalls. Nur über die Audit SAL-Methode für SAP-Versionen 7.5 und höher verfügbar. |
Melden Sie sich mit demselben Benutzer mit unterschiedlichen IP-Adressen an. Datenquellen: SAPcon – Überwachungsprotokoll |
Vorangriff, Zugriff auf Anmeldeinformationen, Erstzugriff, Sammlung Untergeordneter Anwendungsfall: Persistenz |
Datenexfiltration
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – FTP für nicht autorisierte Server | Identifiziert eine FTP-Verbindung für einen nicht authentifizierten Server. | Erstellen Sie eine neue FTP-Verbindung, z. B. mithilfe des FTP_CONNECT Funktionsmoduls. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Erstzugriff, Befehl und Steuerung |
| SAP – Konfiguration unsicherer FTP-Server | Identifiziert unsichere FTP-Serverkonfigurationen, z. B. wenn eine FTP-Positivliste leer ist oder Platzhalter enthält. | Verwalten Sie keine Werte, die Platzhalter in der SAPFTP_SERVERS Tabelle enthalten, indem Sie die SAPFTP_SERVERS_V Wartungsansicht verwenden. (SM30) Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff, Befehl und Steuerung |
| SAP – Mehrere Files Herunterladen | Identifiziert mehrere Dateidownloads für einen Benutzer innerhalb eines bestimmten Zeitraums. | Laden Sie mehrere Dateien mithilfe von SAPGui für Excel, Listen usw. herunter. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Direkter Zugriff auf sensible Tabellen durch RFC-Anmeldung | Identifiziert einen generischen Tabellenzugriff durch RFC-Anmeldung. Verwalten von Tabellen in der Watchlist "SAP – Sensible Tabellen ". Nur für Produktionssysteme relevant. |
Öffnen Sie den Tabelleninhalt mit SE11/SE16/SE16N. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration, Zugriff auf Anmeldeinformationen |
| SAP – Dynamisches RFC-Ziel | Identifiziert die Ausführung von RFC mithilfe dynamischer Ziele. Unteranwendungsfall: Versuche, SAP-Sicherheitsmechanismen zu umgehen |
Führen Sie einen ABAP-Bericht aus, der dynamische Ziele (cl_dynamic_destination) verwendet. Beispiel: DEMO_RFC_DYNAMIC_DEST. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Exfiltration |
| SAP – Sensitive Tables Direct Access by Dialog Logon | Identifiziert den generischen Tabellenzugriff über die Anmeldung im Dialogfeld. | Öffnen Sie den Tabelleninhalt mithilfe von SE11SE16N/SE16/. Datenquellen: SAPcon – Überwachungsprotokoll |
Suche |
| SAP- (Vorschau)-Datei, die von einer schädlichen IP-Adresse heruntergeladen wurde | Identifiziert das Herunterladen einer Datei aus einem SAP-System unter Verwendung einer IP-Adresse, die als böswillig bekannt ist. Böswillige IP-Adressen werden von Threat Intelligence-Diensten abgerufen. | Laden Sie eine Datei von einer schädlichen IP-Adresse herunter. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, Threat Intelligence |
Exfiltration |
| SAP – (Vorschau) Vertrauliche Daten, die auf einem USB-Laufwerk gespeichert werden | Identifiziert den Export von SAP-Daten über Dateien. Die Regel überprüft, ob Daten auf einem kürzlich bereitgestellten USB-Laufwerk in der Nähe einer Ausführung einer vertraulichen Transaktion, eines sensiblen Programms oder des direkten Zugriffs auf eine vertrauliche Tabelle gespeichert sind. | Exportieren Sie SAP-Daten über Dateien, und speichern Sie sie auf einem USB-Laufwerk. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, DeviceFileEvents (Microsoft Defender for Endpoint), SAP – Sensible Tabellen, SAP – Sensible Transaktionen, SAP – Sensible Programme |
Exfiltration |
| SAP – (Vorschau) Große Menge potenziell vertraulicher Daten, die exportiert wurden | Identifiziert den Export einer großen Datenmenge über Dateien in der Nähe einer Ausführung einer vertraulichen Transaktion, eines sensiblen Programms oder des direkten Zugriffs auf sensible Tabellen. | Exportieren sie eine große Menge an Daten über Dateien. Datenquellen: SAP-Sicherheitsüberwachungsprotokoll, SAP – Sensible Tabellen, SAP – Sensible Transaktionen, SAP – Sensible Programme |
Exfiltration |
Persistenz
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Funktionsmodul getestet | Identifiziert das Testen eines Funktionsmoduls. | Testen Sie ein Funktionsmodul mit SE37 / SE80. Datenquellen: SAPcon – Überwachungsprotokoll |
Sammlung, Verteidigungsumgehung, Lateral Movement |
| SAP – HANA DB (VORSCHAU) – Benutzeraktionen Admin | Identifiziert Benutzerverwaltungsaktionen. | Erstellen, Aktualisieren oder Löschen eines Datenbankbenutzers Datenquellen: Linux-Agent – Syslog* |
Rechteausweitung |
| SAP – Ausführung eines veralteten oder unsicheren Funktionsmoduls | Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Funktionsmoduls. Verwalten veralteter Funktionen in der Watchlist "SAP – Veraltete Funktionsmodule ". Stellen Sie sicher, dass Sie änderungen an der Tabellenprotokollierung für die EUFUNC Tabelle im Back-End aktivieren. (SE13)Nur für Produktionssysteme relevant. |
Führen Sie ein veraltetes oder unsicheres Funktionsmodul direkt mit SE37 aus. Datenquellen: SAPcon – Tabellendatenprotokoll |
Ermittlung, Befehl und Kontrolle |
| SAP – Ausführung eines veralteten/unsicheren Programms | Identifiziert die Ausführung eines veralteten oder unsicheren ABAP-Programms. Verwalten Veralteter Programme in der Watchlist "SAP – Veraltete Programme ". Nur für Produktionssysteme relevant. |
Führen Sie ein Programm direkt mit SE38/SA38/SE80 oder mithilfe eines Hintergrundauftrags aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Befehl und Kontrolle |
| SAP – Mehrere Kennwortänderungen | Identifiziert mehrere Kennwortänderungen nach Benutzer. | Benutzerkennwort ändern Datenquellen: SAPcon – Überwachungsprotokoll |
Zugriff auf Anmeldeinformationen |
Versuche, SAP-Sicherheitsmechanismen zu umgehen
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP – Änderung der Clientkonfiguration | Identifiziert Änderungen für die Clientkonfiguration, z. B. die Clientrolle oder den Änderungsaufzeichnungsmodus. | Führen Sie Änderungen an der Clientkonfiguration mithilfe des SCC4 Transaktionscodes aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Verteidigungsumgehung, Exfiltration, Persistenz |
| SAP: Daten wurden während der Debugaktivität geändert | Identifiziert Änderungen an Laufzeitdaten während einer Debugaktivität. Untergeordneter Anwendungsfall: Persistenz |
1. Debug aktivieren ("/h"). 2. Wählen Sie ein Feld für die Änderung aus, und aktualisieren Sie seinen Wert. Datenquellen: SAPcon – Überwachungsprotokoll |
Ausführung, Lateral Movement |
| SAP – Deaktivierung des Sicherheitsüberwachungsprotokolls | Identifiziert die Deaktivierung des Sicherheitsüberwachungsprotokolls, | Deaktivieren Sie das Sicherheitsüberwachungsprotokoll mit SM19/RSAU_CONFIG. Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Verteidigungsumgehung, Persistenz |
| SAP - Ausführung eines sensiblen ABAP-Programms | Identifiziert die direkte Ausführung eines sensiblen ABAP-Programms. Verwalten Sie ABAP-Programme in der Watchlist SAP – Sensible ABAP-Programme . |
Führen Sie ein Programm direkt mit ausSE38SE80/SA38/. Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Lateral Movement, Ausführung |
| SAP – Ausführung eines vertraulichen Transaktionscodes | Identifiziert die Ausführung eines vertraulichen Transaktionscodes. Verwalten Sie Transaktionscodes in der Watchlist SAP – Sensible Transaktionscodes . |
Führen Sie einen vertraulichen Transaktionscode aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Ausführung |
| SAP – Ausführung des Sensiblen Funktionsmoduls | Identifiziert die Ausführung eines sensiblen ABAP-Funktionsmoduls. Untergeordneter Anwendungsfall: Persistenz Nur für Produktionssysteme relevant. Verwalten Sie sensible Funktionen in der Watchlist "SAP – Sensitive Function Modules ", und stellen Sie sicher, dass Sie Änderungen an der Tabellenprotokollierung im Back-End für die EUFUNC-Tabelle aktivieren. (SE13) |
Führen Sie ein sensibles Funktionsmodul direkt mit SE37 aus. Datenquellen: SAPcon – Tabellendatenprotokoll |
Ermittlung, Befehl und Kontrolle |
| SAP – (VORSCHAU) HANA DB – Richtlinienänderungen überwachen | Identifiziert Änderungen für HANA DB-Überwachungspfadrichtlinien. | Erstellen oder aktualisieren Sie die vorhandene Überwachungsrichtlinie in Sicherheitsdefinitionen. Datenquellen: Linux-Agent – Syslog |
Lateral Movement, Defense Evasion, Persistenz |
| SAP – (VORSCHAU) HANA DB – Deaktivierung des Überwachungspfads | Identifiziert die Deaktivierung des HANA DB-Überwachungsprotokolls. | Deaktivieren Sie das Überwachungsprotokoll in der HANA DB-Sicherheitsdefinition. Datenquellen: Linux-Agent – Syslog |
Persistenz, Lateral Movement, Verteidigungsumgehung |
| SAP : Nicht autorisierte Remoteausführung eines sensiblen Funktionsmoduls | Erkennt nicht autorisierte Ausführungen vertraulicher FMs, indem die Aktivität mit dem Autorisierungsprofil des Benutzers verglichen wird, während kürzlich geänderte Autorisierungen ignoriert werden. Verwalten von Funktionsmodulen in der Watchlist "SAP – Sensible Funktionsmodule ". |
Führen Sie ein Funktionsmodul mithilfe von RFC aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ausführung, Lateral Movement, Ermittlung |
| SAP – Änderung der Systemkonfiguration | Identifiziert Änderungen für die Systemkonfiguration. | Passen Sie Systemänderungsoptionen oder Änderungen an Softwarekomponenten mithilfe des SE06 Transaktionscodes an.Datenquellen: SAPcon – Überwachungsprotokoll |
Exfiltration, Verteidigungsumgehung, Persistenz |
| SAP – Debugaktivitäten | Identifiziert alle debugbezogenen Aktivitäten. Untergeordneter Anwendungsfall: Persistenz |
Aktivieren Sie Debuggen ("/h") im System, debuggen Sie einen aktiven Prozess, fügen Sie dem Quellcode Einen Haltepunkt hinzu usw. Datenquellen: SAPcon – Überwachungsprotokoll |
Suche |
| SAP – Änderung der Konfiguration des Sicherheitsüberwachungsprotokolls | Identifiziert Änderungen in der Konfiguration des Sicherheitsüberwachungsprotokolls | Ändern Sie alle Sicherheitsüberwachungsprotokollkonfigurationen mithilfe von SM19/RSAU_CONFIG, z. B. Filter, status, Aufzeichnungsmodus usw. Datenquellen: SAPcon – Überwachungsprotokoll |
Persistenz, Exfiltration, Verteidigungsumgehung |
| SAP – Transaktion ist entsperrt | Identifiziert das Entsperren einer Transaktion. | Entsperren Sie einen Transaktionscode mithilfe von SM01SM01_CUS/SM01_DEV/. Datenquellen: SAPcon – Überwachungsprotokoll |
Persistenz, Ausführung |
| SAP – Dynamisches ABAP-Programm | Identifiziert die Ausführung der dynamischen ABAP-Programmierung. Beispielsweise, wenn ABAP-Code dynamisch erstellt, geändert oder gelöscht wurde. Verwalten Sie ausgeschlossene Transaktionscodes in der Watchlist SAP - Transactions for ABAP Generations . |
Erstellen Sie einen ABAP-Bericht, der ABAP-Programmgenerierungsbefehle wie INSERT REPORT verwendet, und führen Sie dann den Bericht aus. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Befehl und Kontrolle, Auswirkung |
Vorgänge mit verdächtigen Berechtigungen
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| SAP : Änderung in einem vertraulichen privilegierten Benutzer | Identifiziert Änderungen vertraulicher privilegierter Benutzer. Verwalten privilegierter Benutzer in der Watchlist "SAP – Privilegierte Benutzer ". |
Ändern Sie Benutzerdetails/Autorisierungen mithilfe von SU01. Datenquellen: SAPcon – Überwachungsprotokoll |
Rechteausweitung, Zugriff auf Anmeldeinformationen |
| SAP – (VORSCHAU) HANA DB – Zuweisen Admin Autorisierungen | Identifiziert Administratorrechte oder Rollenzuweisungen. | Weisen Sie einen Benutzer mit einer beliebigen Administratorrolle oder -berechtigung zu. Datenquellen: Linux-Agent – Syslog |
Rechteausweitung |
| SAP: Angemeldeter vertraulicher privilegierter Benutzer | Identifiziert die Dialoganmeldung eines sensiblen privilegierten Benutzers. Verwalten privilegierter Benutzer in der Watchlist "SAP – Privilegierte Benutzer ". |
Melden Sie sich mit SAP* oder einem anderen privilegierten Benutzer beim Back-End-System an. Datenquellen: SAPcon – Überwachungsprotokoll |
Erstzugriff, Zugriff auf Anmeldeinformationen |
| SAP : Sensibler privilegierter Benutzer nimmt eine Änderung an einem anderen Benutzer vor | Identifiziert Änderungen vertraulicher, privilegierter Benutzer in anderen Benutzern. | Ändern von Benutzerdetails/Autorisierungen mithilfe von SU01. Datenquellen: SAPcon – Überwachungsprotokoll |
Rechteausweitung, Zugriff auf Anmeldeinformationen |
| SAP – Kennwortänderung und Anmeldung vertraulicher Benutzer | Identifiziert Kennwortänderungen für privilegierte Benutzer. | Ändern Sie das Kennwort für einen privilegierten Benutzer, und melden Sie sich beim System an. Verwalten privilegierter Benutzer in der Watchlist "SAP – Privilegierte Benutzer ". Datenquellen: SAPcon – Überwachungsprotokoll |
Auswirkung, Befehl und Kontrolle, Rechteausweitung |
| SAP : Benutzer erstellt und verwendet einen neuen Benutzer. | Identifiziert einen Benutzer, der andere Benutzer erstellt und verwendet. Untergeordneter Anwendungsfall: Persistenz |
Erstellen Sie einen Benutzer mithilfe von SU01, und melden Sie sich dann mit dem neu erstellten Benutzer und derselben IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll |
Ermittlung, Vorangriff, Erstzugriff |
| SAP : Benutzer entsperrt und verwendet andere Benutzer | Identifiziert einen Benutzer, der entsperrt und von anderen Benutzern verwendet wird. Untergeordneter Anwendungsfall: Persistenz |
Entsperren Sie einen Benutzer mithilfe von SU01, und melden Sie sich dann mit dem entsperrten Benutzer und derselben IP-Adresse an. Datenquellen: SAPcon – Überwachungsprotokoll, SAPcon – Änderungsdokumentprotokoll |
Ermittlung, Vorangriff, Erstzugriff, Lateral Movement |
| SAP: Zuweisung eines vertraulichen Profils | Identifiziert neue Zuweisungen eines sensiblen Profils für einen Benutzer. Verwalten Sie vertrauliche Profile in der Watchlist SAP – Sensible Profile . |
Weisen Sie einem Benutzer mithilfe von SU01ein Profil zu. Datenquellen: SAPcon – Änderungsdokumentprotokoll |
Rechteausweitung |
| SAP: Zuweisung einer vertraulichen Rolle | Identifiziert neue Zuweisungen für eine sensible Rolle für einen Benutzer. Verwalten vertraulicher Rollen in der Watchlist "SAP – Sensible Rollen ". |
Weisen Sie einem Benutzer mithilfe SU01 / PFCGvon eine Rolle zu. Datenquellen: SAPcon – Änderungsdokumentprotokoll, Überwachungsprotokoll |
Rechteausweitung |
| SAP – (VORSCHAU) Zuweisung kritischer Autorisierungen – Neuer Autorisierungswert | Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer. Verwalten kritischer Autorisierungsobjekte in der Watchlist "SAP – Kritische Autorisierungsobjekte ". |
Weisen Sie mithilfe PFCGvon ein neues Autorisierungsobjekt zu, oder aktualisieren Sie ein vorhandenes in einer Rolle. Datenquellen: SAPcon – Änderungsdokumentprotokoll |
Rechteausweitung |
| SAP – Zuweisung kritischer Autorisierungen – Neue Benutzerzuweisung | Identifiziert die Zuweisung eines kritischen Autorisierungsobjektwerts zu einem neuen Benutzer. Verwalten kritischer Autorisierungsobjekte in der Watchlist "SAP – Kritische Autorisierungsobjekte ". |
Weisen Sie mit einer Rolle, die kritische Autorisierungswerte enthält, SU01/PFCGeinen neuen Benutzer zu. Datenquellen: SAPcon – Änderungsdokumentprotokoll |
Rechteausweitung |
| SAP – Änderungen vertraulicher Rollen | Identifiziert Änderungen an vertraulichen Rollen. Verwalten vertraulicher Rollen in der Watchlist "SAP – Sensible Rollen ". |
Ändern einer Rolle mithilfe von PFCG. Datenquellen: SAPcon – Änderungsdokumentprotokoll, SAPcon – Überwachungsprotokoll |
Auswirkung, Rechteausweitung, Persistenz |
Verfügbare Watchlists
In der folgenden Tabelle sind die watchlists aufgeführt, die für die Microsoft Sentinel-Lösung für SAP-Anwendungen verfügbar sind, sowie die Felder in jeder Watchlist.
Diese Watchlists stellen die Konfiguration für die Microsoft Sentinel Lösung für SAP-Anwendungen bereit. Die SAP-Watchlists sind im Microsoft Sentinel GitHub-Repository verfügbar.
| Watchlistname | Beschreibung und Felder |
|---|---|
| SAP – Kritische Autorisierungen | Kritisches Autorisierungsobjekt, in dem Zuweisungen gesteuert werden sollen. - AuthorizationObject: Ein SAP-Autorisierungsobjekt, z S_DEVELOP. B. , S_TCODEoder Table TOBJ - AuthorizationField: Ein SAP-Autorisierungsfeld, z OBJTYP . B. oder TCD - AuthorizationValue: Ein SAP-Autorisierungsfeldwert, z. B. DEBUG - ActivityField : SAP-Aktivitätsfeld. In den meisten Fällen ist ACTVTdieser Wert . Für Authorizations-Objekte ohne Aktivität oder nur mit einem Aktivitätsfeld , das mit NOT_IN_USEgefüllt ist. - Aktivität: SAP-Aktivität gemäß dem Autorisierungsobjekt, z. B.: 01: Erstellen; 02: Ändern; 03: Anzeigen usw. - Beschreibung: Eine aussagekräftige Beschreibung des Kritischen Autorisierungsobjekts. |
| SAP – Ausgeschlossene Netzwerke | Für die interne Wartung ausgeschlossener Netzwerke, z. B. zum Ignorieren von Webverteilern, Terminalservern usw. - Netzwerk: Eine Netzwerk-IP-Adresse oder ein Netzwerkbereich, z 111.68.128.0/17. B. . - Beschreibung: Eine aussagekräftige Netzwerkbeschreibung. |
| Ausgeschlossene SAP-Benutzer | Systembenutzer, die beim System angemeldet sind und ignoriert werden müssen. Beispielsweise Warnungen für mehrere Anmeldungen durch denselben Benutzer. - Benutzer: SAP-Benutzer - Beschreibung: Eine aussagekräftige Benutzerbeschreibung. |
| SAP – Netzwerke | Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen. - Netzwerk: Netzwerk-IP-Adresse oder -Bereich, z. B. 111.68.128.0/17 - Beschreibung: Eine aussagekräftige Netzwerkbeschreibung. |
| SAP – Privilegierte Benutzer | Privilegierte Benutzer, die zusätzlichen Einschränkungen unterliegen. - Benutzer: der ABAP-Benutzer, z DDIC . B. oder SAP - Beschreibung: Eine aussagekräftige Benutzerbeschreibung. |
| SAP – Sensible ABAP-Programme | Vertrauliche ABAP-Programme (Berichte), bei denen die Ausführung gesteuert werden soll. - ABAPProgram: ABAP-Programm oder -Bericht, z. B. RSPFLDOC - Beschreibung: Eine aussagekräftige Programmbeschreibung. |
| SAP – Sensibles Funktionsmodul | Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen. - FunctionModule: Ein ABAP-Funktionsmodul, z. B. RSAU_CLEAR_AUDIT_LOG - Beschreibung: Eine aussagekräftige Modulbeschreibung. |
| SAP – Sensible Profile | Vertrauliche Profile, in denen Zuweisungen gesteuert werden sollen. - Profil: SAP-Autorisierungsprofil, z SAP_ALL . B. oder SAP_NEW - Beschreibung: Eine aussagekräftige Profilbeschreibung. |
| SAP – Sensible Tabellen | Sensible Tabellen, in denen der Zugriff gesteuert werden soll. - Tabelle: ABAP-Wörterbuchtabelle, z USR02 . B. oder PA008 - Beschreibung: Eine aussagekräftige Tabellenbeschreibung. |
| SAP – Sensible Rollen | Sensible Rollen, bei denen die Zuweisung gesteuert werden soll. - Rolle: SAP-Autorisierungsrolle, z. B. SAP_BC_BASIS_ADMIN - Beschreibung: Eine aussagekräftige Rollenbeschreibung. |
| SAP – Sensible Transaktionen | Vertrauliche Transaktionen, bei denen die Ausführung gesteuert werden soll. - TransactionCode: SAP-Transaktionscode, z. B. RZ11 - Beschreibung: Eine aussagekräftige Codebeschreibung. |
| SAP - Systeme | Beschreibt die Landschaft von SAP-Systemen gemäß Rolle, Verwendung und Konfiguration. - SystemID: die SAP-System-ID (SYSID) - SystemRole: die SAP-Systemrolle, einer der folgenden Werte: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: Die SAP-Systemnutzung, einer der folgenden Werte: ERP, BW, Solman, , GatewayEnterprise Portal - InterfaceAttributes: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. |
| SAPSystemParameters | Parameter, die auf verdächtige Konfigurationsänderungen überwacht werden sollen. Diese Watchlist ist bereits mit empfohlenen Werten gefüllt (gemäß bewährter SAP-Methode), und Sie können die Watchlist erweitern, um weitere Parameter einzuschließen. Wenn Sie keine Warnungen für einen Parameter erhalten möchten, legen Sie auf fest EnableAlertsfalse.- ParameterName: Der Name des Parameters. - Kommentar: Die Beschreibung des SAP-Standardparameters. - EnableAlerts: Definiert, ob Warnungen für diesen Parameter aktiviert werden sollen. Die Werte sind true und false.- Option: Definiert, in welchem Fall eine Warnung ausgelöst werden soll: Wenn der Parameterwert größer oder gleich ( GE), kleiner oder gleich (LE) oder gleich (EQ) istWenn der login/fails_to_user_lock SAP-Parameter beispielsweise auf LE (kleiner oder gleich) festgelegt ist, und der Wert 5, sobald Microsoft Sentinel eine Änderung an diesem spezifischen Parameter erkennt, vergleicht er den neu gemeldeten Wert und den erwarteten Wert. Wenn der neue Wert ist4, löst Microsoft Sentinel keine Warnung aus. Wenn der neue Wert ist6, löst Microsoft Sentinel eine Warnung aus.- ProductionSeverity: Der Incidentschweregrad für Produktionssysteme. - ProductionValues: Zulässige Werte für Produktionssysteme. - NonProdSeverity: Der Incidentschweregrad für Nichtproduktionssysteme. - NonProdValues: Zulässige Werte für Nichtproduktionssysteme. |
| SAP – Ausgeschlossene Benutzer | Systembenutzer, die angemeldet sind und ignoriert werden müssen, z. B. für die Warnung Mehrere Anmeldungen nach Benutzer. - Benutzer: SAP-Benutzer - Beschreibung: Eine aussagekräftige Benutzerbeschreibung |
| SAP – Ausgeschlossene Netzwerke | Verwalten Sie interne, ausgeschlossene Netzwerke, um Webverteiler, Terminalserver usw. zu ignorieren. - Netzwerk: Netzwerk-IP-Adresse oder -Bereich, z. B. 111.68.128.0/17 - Beschreibung: Eine aussagekräftige Netzwerkbeschreibung |
| SAP – Veraltete Funktionsmodule | Veraltete Funktionsmodule, deren Ausführung gesteuert werden soll. - FunctionModule: ABAP-Funktionsmodul, z. B. TH_SAPREL - Beschreibung: Eine aussagekräftige Funktionsmodulbeschreibung |
| SAP – Veraltete Programme | Veraltete ABAP-Programme (Berichte), deren Ausführung gesteuert werden soll. - ABAPProgram:ABAP-Programm, z. B. TH_ RSPFLDOC - Beschreibung: Eine aussagekräftige ABAP-Programmbeschreibung |
| SAP – Transaktionen für ABAP-Generationen | Transaktionen für ABAP-Generationen, deren Ausführung gesteuert werden soll. - TransactionCode: Transaktionscode, z. B. SE11. - Beschreibung: Eine aussagekräftige Beschreibung des Transaktionscodes |
| SAP – FTP-Server | FTP-Server zur Identifizierung nicht autorisierter Verbindungen. - Client: z. B. 100. - FTP_Server_Name: FTP-Servername, z. B. http://contoso.com/ - FTP_Server_Port:FTP-Serverport, z. B. 22. - BeschreibungEine aussagekräftige FTP-Serverbeschreibung |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurieren Sie die SAP-Überwachungsprotokollwarnungen, indem Sie jeder Nachrichten-ID einen von Ihnen erforderlichen Schweregrad pro Systemrolle (Produktion, Nichtproduktion) zuweisen. Diese Watchlist enthält alle verfügbaren NACHRICHTEN-IDs des SAP-Standardüberwachungsprotokolls. Die Watchlist kann erweitert werden, um zusätzliche Nachrichten-IDs zu enthalten, die Sie selbst mithilfe von ABAP-Erweiterungen auf ihren SAP NetWeaver-Systemen erstellen können. Diese Watchlist ermöglicht es auch, ein bestimmtes Team für die Behandlung der einzelnen Ereignistypen zu konfigurieren und Benutzer nach SAP-Rollen, SAP-Profilen oder Tags aus der SAP_User_Config Watchlist auszuschließen. Diese Watchlist ist eine der Kernkomponenten, die zum Konfigurieren der integrierten SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls verwendet werden. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - MessageID: Die SAP-Nachrichten-ID oder der Ereignistyp, z AUD . B. (Benutzer master Änderungen aufzeichnen) oder AUB (Autorisierungsänderungen). - DetailedDescription: Eine Markdown-aktivierte Beschreibung, die im Incidentbereich angezeigt werden soll. - ProductionSeverity: Der gewünschte Schweregrad für den Incident, der mit für Produktionssysteme Higherstellt werden soll, Medium. Kann als Disabledfestgelegt werden. - NonProdSeverity: Der gewünschte Schweregrad für den Incident, der für Nichtproduktionssysteme Higherstellt werden soll, Medium. Kann als Disabledfestgelegt werden. - ProductionThreshold Die Anzahl der Ereignisse pro Stunde, die für Produktionssysteme 60als verdächtig eingestuft werden sollen. - NonProdThreshold Die Anzahl der Ereignisse pro Stunde, die für Nichtproduktionssysteme 10als verdächtig eingestuft werden sollen. - RolesTagsToExclude: Dieses Feld akzeptiert SAP-Rollennamen, SAP-Profilnamen oder Tags aus der SAP_User_Config Watchlist. Diese werden dann verwendet, um die zugeordneten Benutzer von bestimmten Ereignistypen auszuschließen. Die Optionen für Rollentags finden Sie am Ende dieser Liste. - RuleType: Wird verwendet Deterministic , um den Ereignistyp an die Regel SAP – Dynamic Deterministic Audit Log Monitor zu senden oder AnomaliesOnly um dieses Ereignis von der Regel SAP – Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) zu erfassen. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - TeamsChannelID: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. - DestinationEmail: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. Für das Feld RolesTagsToExclude : - Wenn Sie SAP-Rollen oder SAP-Profile auflisten, schließt dies alle Benutzer mit den aufgeführten Rollen oder Profilen aus diesen Ereignistypen für dasselbe SAP-System aus. Wenn Sie beispielsweise die BASIC_BO_USERS ABAP-Rolle für die RFC-bezogenen Ereignistypen definieren, lösen Business Objects-Benutzer bei umfangreichen RFC-Aufrufen keine Incidents aus.- Das Markieren eines Ereignistyps ähnelt dem Angeben von SAP-Rollen oder -Profilen, aber Tags können im Arbeitsbereich erstellt werden, sodass SOC-Teams Benutzer nach Aktivitäten ausschließen können, ohne vom SAP BASIS-Team abhängig zu sein. Beispielsweise wird den Überwachungsmeldungs-IDs AUB (Autorisierungsänderungen) und AUD (Benutzer master Datensatzänderungen) das MassiveAuthChanges Tag zugewiesen. Benutzer, denen dieses Tag zugewiesen ist, sind von den Überprüfungen für diese Aktivitäten ausgeschlossen. Das Ausführen der Arbeitsbereichsfunktion SAPAuditLogConfigRecommend erzeugt eine Liste empfohlener Tags, die Benutzern zugewiesen werden sollen, z Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. B. . |
| SAP_User_Config | Ermöglicht die Optimierung von Warnungen durch Ausschließen von /including-Benutzern in bestimmten Kontexten und wird auch zum Konfigurieren der integrierten SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls verwendet. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - SAPUser: Der SAP-Benutzer - Tags: Tags werden verwendet, um Benutzer für bestimmte Aktivitäten zu identifizieren. Wenn Sie beispielsweise die Tags ["GenericTablebyRFCOK"] zum Benutzer SENTINEL_SRV hinzufügen, wird verhindert, dass RFC-bezogene Incidents für diesen bestimmten Benutzer erstellt werden. Andere Active Directory-Benutzerbezeichner – AD-Benutzer-ID – Lokale Sid des Benutzers – Benutzerprinzipalname |
| Watchlistname | Beschreibung und Felder |
|---|---|
| SAP – Kritische Autorisierungen | Kritisches Autorisierungsobjekt, in dem Zuweisungen gesteuert werden sollen. - AuthorizationObject: Ein SAP-Autorisierungsobjekt, z S_DEVELOP. B. , S_TCODEoder Table TOBJ - AuthorizationField: Ein SAP-Autorisierungsfeld, z OBJTYP . B. oder TCD - AuthorizationValue: Ein SAP-Autorisierungsfeldwert, z. B. DEBUG - ActivityField : SAP-Aktivitätsfeld. In den meisten Fällen ist ACTVTdieser Wert . Für Authorizations-Objekte ohne Aktivität oder nur mit einem Aktivitätsfeld , das mit NOT_IN_USEgefüllt ist. - Aktivität: SAP-Aktivität gemäß dem Autorisierungsobjekt, z. B.: 01: Erstellen; 02: Ändern; 03: Anzeigen usw. - Beschreibung: Eine aussagekräftige Beschreibung des Kritischen Autorisierungsobjekts. |
| SAP – Ausgeschlossene Netzwerke | Für die interne Wartung ausgeschlossener Netzwerke, z. B. zum Ignorieren von Webverteilern, Terminalservern usw. - Netzwerk: Eine Netzwerk-IP-Adresse oder ein Netzwerkbereich, z 111.68.128.0/17. B. . - Beschreibung: Eine aussagekräftige Netzwerkbeschreibung. |
| Ausgeschlossene SAP-Benutzer | Systembenutzer, die beim System angemeldet sind und ignoriert werden müssen. Beispielsweise Warnungen für mehrere Anmeldungen durch denselben Benutzer. - Benutzer: SAP-Benutzer - Beschreibung: Eine aussagekräftige Benutzerbeschreibung. |
| SAP – Netzwerke | Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen. - Netzwerk: Netzwerk-IP-Adresse oder -Bereich, z. B. 111.68.128.0/17 - Beschreibung: Eine aussagekräftige Netzwerkbeschreibung. |
| SAP – Privilegierte Benutzer | Privilegierte Benutzer, die zusätzlichen Einschränkungen unterliegen. - Benutzer: der ABAP-Benutzer, z DDIC . B. oder SAP - Beschreibung: Eine aussagekräftige Benutzerbeschreibung. |
| SAP – Sensible ABAP-Programme | Vertrauliche ABAP-Programme (Berichte), bei denen die Ausführung gesteuert werden soll. - ABAPProgram: ABAP-Programm oder -Bericht, z. B. RSPFLDOC - Beschreibung: Eine aussagekräftige Programmbeschreibung. |
| SAP – Sensibles Funktionsmodul | Interne und Wartungsnetzwerke zur Identifizierung nicht autorisierter Anmeldungen. - FunctionModule: Ein ABAP-Funktionsmodul, z. B. RSAU_CLEAR_AUDIT_LOG - Beschreibung: Eine aussagekräftige Modulbeschreibung. |
| SAP – Sensible Profile | Vertrauliche Profile, in denen Zuweisungen gesteuert werden sollen. - Profil: SAP-Autorisierungsprofil, z SAP_ALL . B. oder SAP_NEW - Beschreibung: Eine aussagekräftige Profilbeschreibung. |
| SAP – Sensible Tabellen | Sensible Tabellen, in denen der Zugriff gesteuert werden soll. - Tabelle: ABAP-Wörterbuchtabelle, z USR02 . B. oder PA008 - Beschreibung: Eine aussagekräftige Tabellenbeschreibung. |
| SAP – Sensible Rollen | Sensible Rollen, bei denen die Zuweisung gesteuert werden soll. - Rolle: SAP-Autorisierungsrolle, z. B. SAP_BC_BASIS_ADMIN - Beschreibung: Eine aussagekräftige Rollenbeschreibung. |
| SAP – Sensible Transaktionen | Vertrauliche Transaktionen, bei denen die Ausführung gesteuert werden soll. - TransactionCode: SAP-Transaktionscode, z. B. RZ11 - Beschreibung: Eine aussagekräftige Codebeschreibung. |
| SAP - Systeme | Beschreibt die Landschaft von SAP-Systemen gemäß Rolle, Verwendung und Konfiguration. - SystemID: die SAP-System-ID (SYSID) - SystemRole: die SAP-Systemrolle, einer der folgenden Werte: Sandbox, Development, Quality Assurance, , TrainingProduction - SystemUsage: Die SAP-Systemnutzung, einer der folgenden Werte: ERP, BW, Solman, , GatewayEnterprise Portal - InterfaceAttributes: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. |
| SAP – Ausgeschlossene Benutzer | Systembenutzer, die angemeldet sind und ignoriert werden müssen, z. B. für die Warnung Mehrere Anmeldungen nach Benutzer. - Benutzer: SAP-Benutzer - Beschreibung: Eine aussagekräftige Benutzerbeschreibung |
| SAP – Ausgeschlossene Netzwerke | Verwalten Sie interne, ausgeschlossene Netzwerke, um Webverteiler, Terminalserver usw. zu ignorieren. - Netzwerk: Netzwerk-IP-Adresse oder -Bereich, z. B. 111.68.128.0/17 - Beschreibung: Eine aussagekräftige Netzwerkbeschreibung |
| SAP – Veraltete Funktionsmodule | Veraltete Funktionsmodule, deren Ausführung gesteuert werden soll. - FunctionModule: ABAP-Funktionsmodul, z. B. TH_SAPREL - Beschreibung: Eine aussagekräftige Funktionsmodulbeschreibung |
| SAP – Veraltete Programme | Veraltete ABAP-Programme (Berichte), deren Ausführung gesteuert werden soll. - ABAPProgram:ABAP-Programm, z. B. TH_ RSPFLDOC - Beschreibung: Eine aussagekräftige ABAP-Programmbeschreibung |
| SAP – Transaktionen für ABAP-Generationen | Transaktionen für ABAP-Generationen, deren Ausführung gesteuert werden soll. - TransactionCode: Transaktionscode, z. B. SE11. - Beschreibung: Eine aussagekräftige Beschreibung des Transaktionscodes |
| SAP – FTP-Server | FTP-Server zur Identifizierung nicht autorisierter Verbindungen. - Client: z. B. 100. - FTP_Server_Name: FTP-Servername, z. B. http://contoso.com/ - FTP_Server_Port:FTP-Serverport, z. B. 22. - BeschreibungEine aussagekräftige FTP-Serverbeschreibung |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurieren Sie die SAP-Überwachungsprotokollwarnungen, indem Sie jeder Nachrichten-ID einen von Ihnen erforderlichen Schweregrad pro Systemrolle (Produktion, Nichtproduktion) zuweisen. Diese Watchlist enthält alle verfügbaren NACHRICHTEN-IDs des SAP-Standardüberwachungsprotokolls. Die Watchlist kann erweitert werden, um zusätzliche Nachrichten-IDs zu enthalten, die Sie selbst mithilfe von ABAP-Erweiterungen auf ihren SAP NetWeaver-Systemen erstellen können. Diese Watchlist ermöglicht es auch, ein bestimmtes Team für die Behandlung der einzelnen Ereignistypen zu konfigurieren und Benutzer nach SAP-Rollen, SAP-Profilen oder Tags aus der SAP_User_Config Watchlist auszuschließen. Diese Watchlist ist eine der Kernkomponenten, die zum Konfigurieren der integrierten SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls verwendet werden. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - MessageID: Die SAP-Nachrichten-ID oder der Ereignistyp, z AUD . B. (Benutzer master Änderungen aufzeichnen) oder AUB (Autorisierungsänderungen). - DetailedDescription: Eine Markdown-aktivierte Beschreibung, die im Incidentbereich angezeigt werden soll. - ProductionSeverity: Der gewünschte Schweregrad für den Incident, der mit für Produktionssysteme Higherstellt werden soll, Medium. Kann als Disabledfestgelegt werden. - NonProdSeverity: Der gewünschte Schweregrad für den Incident, der für Nichtproduktionssysteme Higherstellt werden soll, Medium. Kann als Disabledfestgelegt werden. - ProductionThreshold Die Anzahl der Ereignisse pro Stunde, die für Produktionssysteme 60als verdächtig eingestuft werden sollen. - NonProdThreshold Die Anzahl der Ereignisse pro Stunde, die für Nichtproduktionssysteme 10als verdächtig eingestuft werden sollen. - RolesTagsToExclude: Dieses Feld akzeptiert SAP-Rollennamen, SAP-Profilnamen oder Tags aus der SAP_User_Config Watchlist. Diese werden dann verwendet, um die zugeordneten Benutzer von bestimmten Ereignistypen auszuschließen. Die Optionen für Rollentags finden Sie am Ende dieser Liste. - RuleType: Wird verwendet Deterministic , um den Ereignistyp an die Regel SAP – Dynamic Deterministic Audit Log Monitor zu senden oder AnomaliesOnly um dieses Ereignis von der Regel SAP – Dynamic Anomaly based Audit Log Monitor Alerts (PREVIEW) zu erfassen. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - TeamsChannelID: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. - DestinationEmail: ein optionaler dynamischer Parameter für die Verwendung in Playbooks. Für das Feld RolesTagsToExclude : - Wenn Sie SAP-Rollen oder SAP-Profile auflisten, schließt dies alle Benutzer mit den aufgeführten Rollen oder Profilen aus diesen Ereignistypen für dasselbe SAP-System aus. Wenn Sie beispielsweise die BASIC_BO_USERS ABAP-Rolle für die RFC-bezogenen Ereignistypen definieren, lösen Business Objects-Benutzer bei umfangreichen RFC-Aufrufen keine Incidents aus.- Das Markieren eines Ereignistyps ähnelt dem Angeben von SAP-Rollen oder -Profilen, aber Tags können im Arbeitsbereich erstellt werden, sodass SOC-Teams Benutzer nach Aktivitäten ausschließen können, ohne vom SAP BASIS-Team abhängig zu sein. Beispielsweise wird den Überwachungsmeldungs-IDs AUB (Autorisierungsänderungen) und AUD (Benutzer master Datensatzänderungen) das MassiveAuthChanges Tag zugewiesen. Benutzer, denen dieses Tag zugewiesen ist, sind von den Überprüfungen für diese Aktivitäten ausgeschlossen. Das Ausführen der Arbeitsbereichsfunktion SAPAuditLogConfigRecommend erzeugt eine Liste empfohlener Tags, die Benutzern zugewiesen werden sollen, z Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. B. . |
| SAP_User_Config | Ermöglicht die Optimierung von Warnungen durch Ausschließen von /including-Benutzern in bestimmten Kontexten und wird auch zum Konfigurieren der integrierten SAP-Analyseregeln für die Überwachung des SAP-Überwachungsprotokolls verwendet. Weitere Informationen finden Sie unter Überwachen des SAP-Überwachungsprotokolls. - SAPUser: Der SAP-Benutzer - Tags: Tags werden verwendet, um Benutzer für bestimmte Aktivitäten zu identifizieren. Wenn Sie beispielsweise die Tags ["GenericTablebyRFCOK"] zum Benutzer SENTINEL_SRV hinzufügen, wird verhindert, dass RFC-bezogene Incidents für diesen bestimmten Benutzer erstellt werden. Andere Active Directory-Benutzerbezeichner – AD-Benutzer-ID – Lokale Sid des Benutzers – Benutzerprinzipalname |
Verfügbare Playbooks
Playbooks, die von Microsoft Sentinel Lösung für SAP-Anwendungen bereitgestellt werden, helfen Ihnen, SAP-Workloads zur Reaktion auf Vorfälle zu automatisieren und so die Effizienz und Effektivität von Sicherheitsvorgängen zu verbessern.
In diesem Abschnitt werden integrierte Analyseplaybooks beschrieben, die zusammen mit der Microsoft Sentinel Lösung für SAP-Anwendungen bereitgestellt werden.
| Playbookname | Parameter | Verbindungen |
|---|---|---|
| REAKTION AUF SAP-Vorfälle – Benutzer aus Teams sperren – Basic | – SAP-SOAP-User-Password – SAP-SOAP-Username – SOAPApiBasePath - DefaultEmail – TeamsChannel |
– Microsoft Sentinel – Microsoft Teams |
| REAKTION AUF SAP-Vorfälle – Benutzer aus Teams sperren – Erweitert | – SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail – TeamsChannel |
– Microsoft Sentinel – Azure-Überwachungsprotokolle – Office 365 Outlook – Microsoft Entra ID – Azure Key Vault – Microsoft Teams |
| SAP Incident Response – Überwachungsprotokollierung nach der Deaktivierung erneut aktivieren | – SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail – TeamsChannel |
– Microsoft Sentinel – Azure Key Vault – Azure-Überwachungsprotokolle – Microsoft Teams |
In den folgenden Abschnitten werden Beispielanwendungsfälle für jedes der bereitgestellten Playbooks in einem Szenario beschrieben, in dem Sie durch einen Incident vor verdächtigen Aktivitäten in einem der SAP-Systeme gewarnt wurden, bei denen ein Benutzer versucht, eine dieser hochsensiblen Transaktionen auszuführen.
Während der Incident-Selektierungsphase entscheiden Sie sich, maßnahmen gegen diesen Benutzer zu ergreifen und ihn aus Ihren SAP ERP- oder BTP-Systemen oder sogar aus Microsoft Entra ID zu verwerfen.
Weitere Informationen finden Sie unter Automatisieren der Reaktion auf Bedrohungen mit Playbooks in Microsoft Sentinel
Der Prozess zum Bereitstellen von Standard Logik-Apps ist im Allgemeinen komplexer als bei Verbrauchslogik-Apps. Wir haben eine Reihe von Verknüpfungen erstellt, mit denen Sie diese schnell aus dem Microsoft Sentinel GitHub-Repository bereitstellen können. Weitere Informationen finden Sie unter Schritt-für-Schritt-Installationshandbuch.
Tipp
Sehen Sie sich den Ordner SAP-Playbooks im GitHub-Repository an, um weitere Playbooks zu erhalten, sobald sie verfügbar werden. Es gibt auch ein kurzes Einführungsvideo (externer Link), um Ihnen den Einstieg zu erleichtern.
Sperren eines Benutzers von einem einzelnen System
Erstellen Sie eine Automatisierungsregel , um das Playbook Benutzer aus Teams sperren – Basic aufzurufen, wenn eine vertrauliche Transaktionsausführung durch einen nicht autorisierten Benutzer erkannt wird. Dieses Playbook verwendet das Feature für adaptive Karten von Teams, um die Genehmigung anzufordern, bevor der Benutzer einseitig blockiert wird.
Weitere Informationen finden Sie unter From zero to hero security coverage with Microsoft Sentinel for your critical SAP security signals – You're will to hear me SOAR! Teil 1 (SAP-Blogbeitrag).
Das Playbook Benutzer aus Teams – Basic sperren ist ein Standard Playbook, und Standard Playbooks sind in der Regel komplexer bereitzustellen als Verbrauchs-Playbooks.
Wir haben eine Reihe von Verknüpfungen erstellt, mit denen Sie diese schnell aus dem Microsoft Sentinel GitHub-Repository bereitstellen können. Weitere Informationen finden Sie unter Schritt-für-Schritt-Installationshandbuch und Unterstützte Logik-App-Typen.
Sperren eines Benutzers von mehreren Systemen
Das Playbook Benutzer aus Teams sperren – Erweitert erreicht das gleiche Ziel, ist aber für komplexere Szenarien konzipiert, sodass ein einzelnes Playbook für mehrere SAP-Systeme mit jeweils eigener SAP-SID verwendet werden kann.
Das Playbook Benutzer aus Teams – Erweitert sperren verwaltet nahtlos die Verbindungen mit all diesen Systemen und deren Anmeldeinformationen mithilfe des optionalen dynamischen Parameters InterfaceAttributes in der Watchlist von SAP - Systems und Azure Key Vault.
Mit dem Playbook Benutzer aus Teams sperren – Erweitert können Sie auch mit den Parteien im Genehmigungsprozess kommunizieren, indem Sie Outlook-Nachrichten mit Aktionen zusammen mit Teams verwenden, indem Sie die Parameter TeamsChannelID und DestinationEmail in der SAP_Dynamic_Audit_Log_Monitor_Configuration Watchlist verwenden.
Weitere Informationen finden Sie unter From zero to hero security coverage with Microsoft Sentinel for your critical SAP security signals – Part 2 (SAP blog post).
Deaktivieren der Überwachungsprotokollierung verhindern
Möglicherweise sind Sie auch besorgt darüber, dass das SAP-Überwachungsprotokoll, das eine Ihrer Sicherheitsdatenquellen ist, deaktiviert wird. Es wird empfohlen, eine Automatisierungsregel zu erstellen, die auf der Analyseregel SAP – Deaktivierung des Sicherheitsüberwachungsprotokolls basiert, um das Playbook "Überwachungsprotokollierung erneut aktivieren" nach der Deaktivierung aufzurufen, um sicherzustellen, dass das SAP-Überwachungsprotokoll nicht deaktiviert ist.
Das Playbook SAP – Deaktivierung des Sicherheitsüberwachungsprotokolls verwendet ebenfalls Teams und informiert das Sicherheitspersonal danach. Die Schwere der Straftat und die Dringlichkeit ihrer Entschärfung deuten darauf hin, dass sofortige Maßnahmen ergriffen werden können, ohne dass eine Genehmigung erforderlich ist.
Da das Playbook SAP – Deaktivierung des Sicherheitsüberwachungsprotokolls auch Azure Key Vault verwendet, um Anmeldeinformationen zu verwalten, ähnelt die Konfiguration des Playbooks der Playbook "Benutzer aus Teams sperren – Erweitert". Weitere Informationen finden Sie unter From zero to hero security coverage with Microsoft Sentinel for your critical SAP security signals – Part 3 (SAP blog post).
Verwandte Inhalte
Weitere Informationen finden Sie unter Bereitstellen Microsoft Sentinel Lösung für SAP-Anwendungen.