你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文详细介绍了适用于 SAP Microsoft Sentinel 解决方案的安全内容。
重要
本文中所述的已记下元素以预览版提供。 Azure预览版补充条款包括适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。
可用的安全内容包括内置工作簿和分析规则。 还可以添加与 SAP 相关的 监视列表 ,以用于搜索、检测规则、威胁搜寻和响应 playbook。
本文中的内容适用于 安全 团队。
内置工作簿
使用以下内置工作簿可视化和监视通过 SAP 数据连接器引入的数据。 部署 SAP 解决方案后,可以在“ 模板 ”选项卡中找到 SAP 工作簿。
| 工作簿名称 | 说明 | 日志 |
|---|---|---|
| SAP - 审核日志浏览器 | 显示如下数据: - 常规系统运行状况,包括一段时间内的用户登录、系统引入的事件、消息类和 ID 以及 ABAP 程序运行 -系统中发生的事件的严重性 - 系统中发生的身份验证和授权事件 |
使用以下日志中的数据: ABAPAuditLog |
| SAP 审核控制 | 使用工具,帮助你检查 SAP 环境的安全控制,以符合所选的控制框架: - 将环境中的分析规则分配给特定的安全控件和控制系列 - 监视 SAP 基于解决方案的分析规则生成的事件并对其进行分类 - 报告合规性 |
使用下表中的数据: - SecurityAlert- SecurityIncident |
有关详细信息,请参阅教程:可视化和监视数据和为 SAP 应用程序部署Microsoft Sentinel解决方案。
内置分析规则
本部分介绍与 SAP 应用程序的Microsoft Sentinel解决方案一起提供的一系列内置分析规则。 无代理数据连接器适用于一组合并的源。 有关最新更新,检查Microsoft Sentinel内容中心获取新的和更新的规则。
监视静态 SAP 安全参数的配置 (预览版)
为了保护 SAP 系统,SAP 已确定需要监视更改的安全相关参数。 使用“SAP - (预览版) 敏感静态参数已更改”规则,SAP 应用程序的Microsoft Sentinel解决方案跟踪 SAP 系统中的 52 个与静态安全相关的参数,这些参数内置于 Microsoft Sentinel 中。
注意
若要使 SAP 应用程序Microsoft Sentinel解决方案成功监视 SAP 安全参数,该解决方案需要定期成功监视 SAP PAHI 表。 有关详细信息,请参阅 验证是否定期更新 PAHI 表。
为了了解系统中的参数更改,SAP 应用程序的Microsoft Sentinel解决方案使用参数历史记录表,该表记录每小时对系统参数所做的更改。
参数也会反映在 SAPSystemParameters 监视列表中。 此监视列表允许用户添加新参数、禁用现有参数,以及修改生产或非生产环境中每个参数和系统角色的值和严重性。
对其中一个参数进行更改时,Microsoft Sentinel检查更改是否与安全相关,以及是否根据建议的值设置该值。 如果怀疑更改在安全区域之外,Microsoft Sentinel会创建一个事件,详细说明更改,并确定谁进行了更改。
查看此规则监视 的参数列表 。
监视 SAP 审核日志
适用于 SAP 应用程序的 Microsoft Sentinel 解决方案中的许多分析规则都使用 SAP 审核日志数据。 某些分析规则在日志中查找特定事件,而其他分析规则会关联来自多个日志的指示,以创建高保真警报和事件。
使用以下分析规则监视 SAP 系统上的所有审核日志事件,或仅在检测到异常时触发警报:
| 规则名称 | 说明 |
|---|---|
| SAP - 动态安全审核日志监视器中缺少配置 | 默认情况下,每天运行一次,以提供 SAP 审核日志模块的配置建议。 使用规则模板为工作区创建和自定义规则。 |
| SAP - 动态确定性审核日志监视器 (预览版) | 默认情况下,每 10 分钟运行一次,并专注于标记为 确定性的 SAP 审核日志事件。 使用规则模板为工作区创建和自定义规则,例如降低误报率。 此规则需要确定性警报阈值和用户排除规则。 |
| SAP - 基于动态异常的审核日志监视器警报 (预览版) | 默认情况下,每小时运行一次,并专注于标记为 AnomaliesOnly 的 SAP 事件,在检测到异常时针对 SAP 审核日志事件发出警报。 此规则应用额外的机器学习算法,以不受监督的方式筛选出背景噪音。 |
默认情况下,SAP 审核日志中的大多数事件类型或 SAP 消息 ID 都发送到基于异常的 基于动态异常的审核日志监视器警报 (预览) 分析规则,而更易于定义的事件类型则发送到确定性 动态确定性审核日志监视器 (预览版) 分析规则。 可以进一步配置此设置以及其他相关设置,以适应任何系统条件。
SAP 审核日志监视规则作为 SAP 解决方案安全内容Microsoft Sentinel的一部分提供,并允许使用SAP_Dynamic_Audit_Log_Monitor_Configuration和SAP_User_Config监视列表进行进一步微调。
例如,下表列出了一些示例,说明如何使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 监视列表来配置生成事件的事件类型,从而减少生成的事件数。
| 选项 | 说明 |
|---|---|
| 设置严重性并禁用不需要的事件 | 默认情况下,确定性规则和基于异常的规则为标记为中严重性和高严重性的事件创建警报。 你可能希望分别配置生产和非生产环境严重性。 例如,可以在生产系统中将调试活动事件设置为 高 严重性,并在非生产系统中完全关闭相同的事件。 |
| 按用户的 SAP 角色或 SAP 配置文件排除用户 | sap Microsoft Sentinel引入 SAP 用户的授权配置文件,包括直接和间接角色分配、组和配置文件,以便你可以在 SIEM 中讲 SAP 语言。 你可能希望将 SAP 事件配置为基于用户的 SAP 角色和配置文件排除用户。 在监视列表中,在“通过 RFC 访问的泛型表访问”事件旁的 RolesTagsToExclude 列中添加将 RFC 接口用户分组的角色或配置文件。 此配置仅针对缺少这些角色的用户触发警报。 |
| 按 SOC 标记排除用户 | 使用标记创建自己的分组,无需依赖复杂的 SAP 定义,甚至无需 SAP 授权。 此方法对于想要为 SAP 用户创建自己的分组的 SOC 团队非常有用。 例如,如果不希望特定服务帐户 收到 RFC 事件对通用表访问 的警报,但找不到对这些用户进行分组的 SAP 角色或 SAP 配置文件,请使用标记,如下所示: 1. 在监视列表中相关事件旁边添加 GenTableRFCReadOK 标记。 2. 转到 SAP_User_Config 监视列表,并为接口用户分配相同的标记。 |
| 为每个事件类型和系统角色指定频率阈值 | 工作方式类似于速度限制。 例如,可以将 用户主记录更改 事件配置为仅在生产系统中的同一用户一小时内观察到超过 12 个活动时触发警报。 如果用户超过每小时 12 个事件的限制(例如,在 10 分钟的窗口中有 2 个事件),则会触发事件。 |
| 确定性或异常 | 如果知道事件的特征,请使用确定性功能。 如果不确定如何正确配置事件,请允许机器学习功能决定启动,然后根据需要进行后续更新。 |
| SOAR 功能 | 使用 Microsoft Sentinel 进一步协调、自动化和响应 SAP 审核日志动态警报创建的事件。 有关详细信息,请参阅 Microsoft Sentinel中的自动化:安全业务流程、自动化和响应 (SOAR) 。 |
有关详细信息,请参阅 SAP 新闻的可用监视列表和Microsoft Sentinel - 动态 SAP 安全审核日志监视器功能现已推出! (博客) 。
初始访问
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 从意外网络登录 | 标识来自意外网络的登录。 维护 SAP - 网络 监视列表中的网络。 |
从未分配给其中一个网络的 IP 地址登录到后端系统。 数据源:SAPcon - 审核日志 |
初始访问 |
| SAP - SPNego 攻击 | 标识 SPNego 重播攻击。 | 数据源:SAPcon - 审核日志 | 影响、横向移动 |
| SAP - 来自特权用户的对话框登录尝试 | 标识 SAP 系统中特权用户使用 AUM 类型的对话框登录尝试。 有关详细信息,请参阅 SAPUsersGetPrivileged。 | 尝试在计划的时间间隔内从同一 IP 登录到多个系统或客户端 数据源:SAPcon - 审核日志 |
影响、横向移动 |
| SAP - 暴力攻击 | 使用 RFC 登录识别 SAP 系统上的暴力攻击 | 尝试使用 RFC 在计划的时间间隔内从同一 IP 登录到多个系统/客户端 数据源:SAPcon - 审核日志 |
凭据访问 |
| SAP - 按 IP 多次登录 | 标识在计划时间间隔内来自同一 IP 地址的多个用户的登录。 子用例: 持久性 |
通过同一 IP 地址使用多个用户登录。 数据源:SAPcon - 审核日志 |
初始访问 |
| SAP - 用户多次登录 | 标识在计划时间间隔内从多个终端登录同一用户的登录。 只能通过 Audit SAL 方法使用,适用于 SAP 版本 7.5 及更高版本。 |
使用相同的用户、使用不同的 IP 地址登录。 数据源:SAPcon - 审核日志 |
攻击前、凭据访问、初始访问、集合 子用例: 持久性 |
| SAP - 信息 - 生命周期 - SAP 说明已在系统中实现 | 标识系统中的 SAP 说明实现。 | 使用 SNOTE/TCI 实现 SAP 说明。 数据源:SAPcon - 更改请求 |
- |
| SAP - (Preview) AS JAVA - 敏感特权用户登录 | 标识来自意外网络的登录。 在 SAP - 特权 用户监视列表中维护特权用户。 |
使用特权用户登录到后端系统。 数据源:SAPJAVAFilesLog |
初始访问 |
| SAP - (预览版) AS JAVA - 从意外网络 Sign-In | 标识来自意外网络的登录。 在 SAP - 网络 监视列表中维护特权用户。 |
从未分配给 SAP - 网络监视列表中的某个网络的 IP 地址登录到后端系统 数据源:SAPJAVAFilesLog |
初始访问、防御规避 |
数据外泄
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 未授权服务器的 FTP | 标识非授权服务器的 FTP 连接。 | 创建新的 FTP 连接,例如使用 FTP_CONNECT 函数模块。 数据源:SAPcon - 审核日志 |
发现、初始访问、命令和控制 |
| SAP - 不安全的 FTP 服务器配置 | 标识不安全的 FTP 服务器配置,例如当 FTP 允许列表为空或包含占位符时。 | 不要使用SAPFTP_SERVERS_V维护视图维护表中包含占位符SAPFTP_SERVERS的值。 (SM30) 数据源:SAPcon - 审核日志 |
初始访问、命令和控制 |
| SAP - 多个Files下载 | 标识在特定时间范围内为用户下载的多个文件。 | 使用 SAPGui for Excel、列表等下载多个文件。 数据源:SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 多个后台处理程序执行 | 在特定时间范围内标识用户的多个假脱机。 | 由用户创建并运行任意类型的多个后台处理程序作业。 (SP01) 数据源:SAPcon - 后台处理程序日志、SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 多个后台处理程序输出执行 | 在特定时间范围内标识用户的多个假脱机。 | 由用户创建并运行任意类型的多个后台处理程序作业。 (SP01) 数据源:SAPcon - 假脱机输出日志、SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 通过 RFC 登录直接访问敏感表 | 通过 RFC 登录标识泛型表访问。 维护 SAP - 敏感表 监视列表中的表。 仅与生产系统相关。 |
使用 SE11/SE16/SE16N 打开表内容。 数据源:SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - Spool 接管 | 标识打印由其他人创建的假脱机请求的用户。 | 使用一个用户创建后台处理程序请求,然后使用其他用户将其输出到 中。 数据源:SAPcon - 假脱机日志、SAPcon - 假脱机输出日志、SAPcon - 审核日志 |
收集、外泄、命令和控制 |
| SAP - 动态 RFC 目标 | 使用动态目标标识 RFC 的执行。 子用例: 尝试绕过 SAP 安全机制 |
执行使用动态目标 (cl_dynamic_destination) 的 ABAP 报表。 例如,DEMO_RFC_DYNAMIC_DEST。 数据源:SAPcon - 审核日志 |
收集、外泄 |
| SAP - 敏感表通过对话框登录直接访问 | 通过对话框登录标识泛型表访问。 | 使用 SE11//SE16SE16N打开表内容。 数据源:SAPcon - 审核日志 |
发现 |
| SAP - 从恶意 IP 地址下载 (预览) 文件 | 使用已知为恶意的 IP 地址标识从 SAP 系统下载的文件。 恶意 IP 地址是从 威胁情报服务获取的。 | 从恶意 IP 下载文件。 数据源:SAP 安全审核日志、威胁情报 |
外泄 |
| SAP - (预览版) 使用传输从生产系统导出的数据 | 使用传输标识从生产系统导出的数据。 传输在开发系统中使用,类似于拉取请求。 当包含来自任何表的数据的传输从生产系统释放时,此警报规则会触发严重性中等的事件。 当导出包含敏感表中的数据时,规则会创建高严重性事件。 | 从生产系统释放传输。 数据源:SAP CR 日志、 SAP - 敏感表 |
外泄 |
| SAP - (预览版) 保存到 U 盘中的敏感数据 | 标识通过文件导出的 SAP 数据。 该规则检查在敏感事务、敏感程序或敏感表的直接访问附近保存到最近装载的 U 盘中的数据。 | 通过文件导出 SAP 数据并保存到 U 盘中。 数据源:SAP 安全审核日志、DeviceFileEvents (Microsoft Defender for Endpoint) 、SAP - 敏感表、SAP - 敏感事务、SAP - 敏感程序 |
外泄 |
| SAP - (预览) 打印潜在敏感数据 | 标识潜在敏感数据的请求或实际打印。 如果用户在敏感事务、执行敏感程序或直接访问敏感表时获取数据,则数据被视为敏感数据。 | 打印或请求打印敏感数据。 数据源:SAP 安全审核日志、SAP 假脱机日志、 SAP - 敏感表、 SAP - 敏感程序 |
外泄 |
| SAP - (预览) 导出的大量潜在敏感数据 | 识别在敏感事务、敏感程序执行或直接访问敏感表时通过文件导出大量数据。 | 通过文件导出大量数据。 数据源:SAP 安全审核日志、 SAP - 敏感表、 SAP - 敏感事务、 SAP - 敏感程序 |
外泄 |
持续
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 激活或停用 ICF 服务 | 标识 ICF 服务的激活或停用。 | 使用 SICF 激活服务。 数据源:SAPcon - 表数据日志 |
命令和控制、横向移动、持久性 |
| SAP - 函数模块测试 | 标识函数模块的测试。 | 使用 SE37 / SE80测试函数模块。 数据源:SAPcon - 审核日志 |
收集、防御规避、横向移动 |
| SAP - (预览版) HANA DB - 用户管理员操作 | 标识用户管理操作。 | 创建、更新或删除数据库用户。 数据源:Linux代理 - Syslog* |
特权提升 |
| SAP - 新的 ICF 服务处理程序 | 标识 ICF 处理程序的创建。 | 使用 SICF 将新处理程序分配给服务。 数据源:SAPcon - 审核日志 |
命令和控制、横向移动、持久性 |
| SAP - 新的 ICF 服务 | 标识 ICF 服务的创建。 | 使用 SICF 创建服务。 数据源:SAPcon - 表数据日志 |
命令和控制、横向移动、持久性 |
| SAP - 执行已过时或不安全的函数模块 | 标识已过时或不安全的 ABAP 函数模块的执行。 在 SAP - 过时的函数模块监视列表中维护过时的函数 。 确保激活后端中表的 EUFUNC 表日志记录更改。 (SE13)仅与生产系统相关。 |
直接使用 SE37 运行已过时或不安全的函数模块。 数据源:SAPcon - 表数据日志 |
发现、命令和控制 |
| SAP - 执行已过时/不安全的计划 | 标识已过时或不安全的 ABAP 程序的执行。 在 SAP - 过时 程序监视列表中维护过时的程序。 仅与生产系统相关。 |
直接使用 SE38/SA38/SE80 或使用后台作业运行程序。 数据源:SAPcon - 审核日志 |
发现、命令和控制 |
| SAP - 多个密码更改 | 按用户标识多个密码更改。 | 更改用户密码 数据源:SAPcon - 审核日志 |
凭据访问 |
| SAP - (Preview) AS JAVA - 用户创建和使用新用户 | 标识管理员在 SAP AS Java 环境中创建或操作用户。 | 使用已创建或操作的用户登录到后端系统。 数据源:SAPJAVAFilesLog |
持久性 |
尝试绕过 SAP 安全机制
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 客户端配置更改 | 标识客户端配置更改,例如客户端角色或更改记录模式。 | 使用 SCC4 事务代码执行客户端配置更改。 数据源:SAPcon - 审核日志 |
防御规避、外泄、持久性 |
| SAP - 调试活动期间数据已更改 | 标识调试活动期间运行时数据的更改。 子用例: 持久性 |
1. 激活调试 (“/h”) 。 2. 选择要更改的字段并更新其值。 数据源:SAPcon - 审核日志 |
执行、横向移动 |
| SAP - 停用安全审核日志 | 标识安全审核日志的停用, | 使用 SM19/RSAU_CONFIG禁用安全审核日志。 数据源:SAPcon - 审核日志 |
外泄、防御规避、持久性 |
| SAP - 敏感 ABAP 程序的执行 | 标识敏感 ABAP 程序的直接执行。 在 SAP - 敏感 ABAP 程序监视列表中维护 ABAP 程序 。 |
使用 SE38//SA38SE80直接运行程序。 数据源:SAPcon - 审核日志 |
外泄、横向移动、执行 |
| SAP - 敏感事务代码的执行 | 标识敏感事务代码的执行。 维护 SAP - 敏感事务代码监视列表中的事务代码 。 |
运行敏感事务代码。 数据源:SAPcon - 审核日志 |
发现、执行 |
| SAP - 敏感函数模块的执行 | 标识敏感 ABAP 函数模块的执行。 子用例: 持久性 仅与生产系统相关。 在 SAP - 敏感函数模块 监视列表中维护敏感函数,并确保在 EUFUNC 表的后端中激活表日志记录更改。 (SE13) |
使用 SE37 直接运行敏感函数模块。 数据源:SAPcon - 表数据日志 |
发现、命令和控制 |
| SAP - (PREVIEW) HANA DB - 审核跟踪策略更改 | 标识 HANA DB 审核跟踪策略的更改。 | 在安全定义中创建或更新现有审核策略。 数据源:Linux 代理 - Syslog |
横向移动、防御逃避、持久性 |
| SAP - (PREVIEW) HANA DB - 停用审核线索 | 标识 HANA DB 审核日志的停用。 | 停用 HANA DB 安全定义中的审核日志。 数据源:Linux 代理 - Syslog |
持久性、横向运动、防御逃避 |
| SAP - 未经授权的远程执行敏感函数模块 | 通过将活动与用户的授权配置文件进行比较,同时忽略最近更改的授权,检测敏感 FM 的未授权执行。 维护 SAP - 敏感函数模块监视列表中的函数模块 。 |
使用 RFC 运行函数模块。 数据源:SAPcon - 审核日志 |
执行、横向移动、发现 |
| SAP - 系统配置更改 | 标识系统配置的更改。 | 使用 SE06 事务代码调整系统更改选项或软件组件修改。数据源:SAPcon - 审核日志 |
外泄、防御规避、持久性 |
| SAP - 调试活动 | 标识所有与调试相关的活动。 子用例: 持久性 |
在系统中激活调试 (“/h”) 、调试活动进程、将断点添加到源代码等。 数据源:SAPcon - 审核日志 |
发现 |
| SAP - 安全审核日志配置更改 | 标识安全审核日志配置中的更改 | 使用 SM19/RSAU_CONFIG更改任何安全审核日志配置,例如筛选器、状态、录制模式等。 数据源:SAPcon - 审核日志 |
持久性、外泄、防御规避 |
| SAP - 事务已解锁 | 标识事务的解锁。 | 使用 SM01//SM01_DEVSM01_CUS解锁事务代码。 数据源:SAPcon - 审核日志 |
持久性、执行 |
| SAP - 动态 ABAP 计划 | 标识动态 ABAP 编程的执行。 例如,动态创建、更改或删除 ABAP 代码时。 在 SAP - ABAP 代系 事务监视列表中维护排除的事务代码。 |
创建使用 ABAP 程序生成命令(如 INSERT REPORT)的 ABAP 报表,然后运行报表。 数据源:SAPcon - 审核日志 |
发现、命令和控制、影响 |
可疑特权操作
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 敏感特权用户中的更改 | 标识敏感特权用户的更改。 在 SAP - 特权 用户监视列表中维护特权用户。 |
使用 SU01更改用户详细信息/授权。 数据源:SAPcon - 审核日志 |
权限提升、凭据访问 |
| SAP - (预览版) HANA DB -分配管理员授权 | 标识管理员特权或角色分配。 | 分配具有任何管理员角色或权限的用户。 数据源:Linux 代理 - Syslog |
特权提升 |
| SAP - 敏感特权用户登录 | 标识敏感特权用户的对话框登录。 在 SAP - 特权 用户监视列表中维护特权用户。 |
使用 SAP* 或其他特权用户登录到后端系统。 数据源:SAPcon - 审核日志 |
初始访问、凭据访问 |
| SAP - 敏感特权用户对其他用户进行更改 | 标识其他用户中敏感特权用户的更改。 | 使用 SU01 更改用户详细信息/授权。 数据源:SAPcon - 审核日志 |
权限提升、凭据访问 |
| SAP - 敏感用户密码更改和登录 | 标识特权用户的密码更改。 | 更改特权用户的密码并登录到系统。 在 SAP - 特权 用户监视列表中维护特权用户。 数据源:SAPcon - 审核日志 |
影响、命令和控制、特权提升 |
| SAP - 用户创建和使用新用户 | 标识创建和使用其他用户的用户。 子用例: 持久性 |
使用 SU01 创建用户,然后使用新创建的用户和相同的 IP 地址登录。 数据源:SAPcon - 审核日志 |
发现、攻击前、初始访问 |
| SAP - 用户解锁并使用其他用户 | 标识被其他用户解锁和使用的用户。 子用例: 持久性 |
使用 SU01 解锁用户,然后使用未锁定的用户和相同的 IP 地址登录。 数据源:SAPcon - 审核日志、SAPcon - 更改文档日志 |
发现、预攻击、初始访问、横向移动 |
| SAP - 敏感配置文件的分配 | 标识用户敏感配置文件的新分配。 维护 SAP - 敏感配置文件监视列表中的敏感配置文件 。 |
使用 SU01将配置文件分配给用户。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 敏感角色的分配 | 标识用户敏感角色的新分配。 在 SAP - 敏感角色监视列表中维护 敏感角色 。 |
使用 SU01 / PFCG向用户分配角色。 数据源:SAPcon - 更改文档日志、审核日志 |
特权提升 |
| SAP - (PREVIEW) 关键授权分配 - 新授权值 | 标识向新用户分配关键授权对象值。 在 SAP - 关键授权对象监视列表中维护 关键授权对象 。 |
使用 PFCG分配新的授权对象或更新角色中的现有授权对象。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 关键授权分配 - 新用户分配 | 标识向新用户分配关键授权对象值。 在 SAP - 关键授权对象监视列表中维护 关键授权对象 。 |
使用 SU01/PFCG将新用户分配到保存关键授权值的角色。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 敏感角色更改 | 标识敏感角色中的更改。 在 SAP - 敏感角色监视列表中维护 敏感角色 。 |
使用 PFCG 更改角色。 数据源:SAPcon - 更改文档日志、SAPcon – 审核日志 |
影响、特权提升、持久性 |
监视 SAP 审核日志
适用于 SAP 应用程序的 Microsoft Sentinel 解决方案中的许多分析规则都使用 SAP 审核日志数据。 某些分析规则在日志中查找特定事件,而其他分析规则会关联来自多个日志的指示,以创建高保真警报和事件。
使用以下分析规则监视 SAP 系统上的所有审核日志事件,或仅在检测到异常时触发警报:
| 规则名称 | 说明 |
|---|---|
| SAP - 动态安全审核日志监视器中缺少配置 | 默认情况下,每天运行一次,以提供 SAP 审核日志模块的配置建议。 使用规则模板为工作区创建和自定义规则。 |
| SAP - 动态确定性审核日志监视器 (预览版) | 默认情况下,每 10 分钟运行一次,并专注于标记为 确定性的 SAP 审核日志事件。 使用规则模板为工作区创建和自定义规则,例如降低误报率。 此规则需要确定性警报阈值和用户排除规则。 |
| SAP - 基于动态异常的审核日志监视器警报 (预览版) | 默认情况下,每小时运行一次,并专注于标记为 AnomaliesOnly 的 SAP 事件,在检测到异常时针对 SAP 审核日志事件发出警报。 此规则应用额外的机器学习算法,以不受监督的方式筛选出背景噪音。 |
默认情况下,SAP 审核日志中的大多数事件类型或 SAP 消息 ID 都发送到基于异常的 基于动态异常的审核日志监视器警报 (预览) 分析规则,而更易于定义的事件类型则发送到确定性 动态确定性审核日志监视器 (预览版) 分析规则。 可以进一步配置此设置以及其他相关设置,以适应任何系统条件。
SAP 审核日志监视规则作为 SAP 解决方案安全内容Microsoft Sentinel的一部分提供,并允许使用SAP_Dynamic_Audit_Log_Monitor_Configuration和SAP_User_Config监视列表进行进一步微调。
例如,下表列出了一些示例,说明如何使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 监视列表来配置生成事件的事件类型,从而减少生成的事件数。
| 选项 | 说明 |
|---|---|
| 设置严重性并禁用不需要的事件 | 默认情况下,确定性规则和基于异常的规则为标记为中严重性和高严重性的事件创建警报。 你可能希望分别配置生产和非生产环境严重性。 例如,可以在生产系统中将调试活动事件设置为 高 严重性,并在非生产系统中完全关闭相同的事件。 |
| 按用户的 SAP 角色或 SAP 配置文件排除用户 | sap Microsoft Sentinel引入 SAP 用户的授权配置文件,包括直接和间接角色分配、组和配置文件,以便你可以在 SIEM 中讲 SAP 语言。 你可能希望将 SAP 事件配置为基于用户的 SAP 角色和配置文件排除用户。 在监视列表中,在“通过 RFC 访问的泛型表访问”事件旁的 RolesTagsToExclude 列中添加将 RFC 接口用户分组的角色或配置文件。 此配置仅针对缺少这些角色的用户触发警报。 |
| 按 SOC 标记排除用户 | 使用标记创建自己的分组,无需依赖复杂的 SAP 定义,甚至无需 SAP 授权。 此方法对于想要为 SAP 用户创建自己的分组的 SOC 团队非常有用。 例如,如果不希望特定服务帐户 收到 RFC 事件对通用表访问 的警报,但找不到对这些用户进行分组的 SAP 角色或 SAP 配置文件,请使用标记,如下所示: 1. 在监视列表中相关事件旁边添加 GenTableRFCReadOK 标记。 2. 转到 SAP_User_Config 监视列表,并为接口用户分配相同的标记。 |
| 为每个事件类型和系统角色指定频率阈值 | 工作方式类似于速度限制。 例如,可以将 用户主记录更改 事件配置为仅在生产系统中的同一用户一小时内观察到超过 12 个活动时触发警报。 如果用户超过每小时 12 个事件的限制(例如,在 10 分钟的窗口中有 2 个事件),则会触发事件。 |
| 确定性或异常 | 如果知道事件的特征,请使用确定性功能。 如果不确定如何正确配置事件,请允许机器学习功能决定启动,然后根据需要进行后续更新。 |
| SOAR 功能 | 使用 Microsoft Sentinel 进一步协调、自动化和响应 SAP 审核日志动态警报创建的事件。 有关详细信息,请参阅 Microsoft Sentinel中的自动化:安全业务流程、自动化和响应 (SOAR) 。 |
有关详细信息,请参阅 SAP 新闻的可用监视列表和Microsoft Sentinel - 动态 SAP 安全审核日志监视器功能现已推出! (博客) 。
初始访问
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 从意外网络登录 | 标识来自意外网络的登录。 维护 SAP - 网络 监视列表中的网络。 |
从未分配给其中一个网络的 IP 地址登录到后端系统。 数据源:SAPcon - 审核日志 |
初始访问 |
| SAP - SPNego 攻击 | 标识 SPNego 重播攻击。 | 数据源:SAPcon - 审核日志 | 影响、横向移动 |
| SAP - 来自特权用户的对话框登录尝试 | 标识 SAP 系统中特权用户使用 AUM 类型的对话框登录尝试。 有关详细信息,请参阅 SAPUsersGetPrivileged。 | 尝试在计划的时间间隔内从同一 IP 登录到多个系统或客户端 数据源:SAPcon - 审核日志 |
影响、横向移动 |
| SAP - 暴力攻击 | 使用 RFC 登录识别 SAP 系统上的暴力攻击 | 尝试使用 RFC 在计划的时间间隔内从同一 IP 登录到多个系统/客户端 数据源:SAPcon - 审核日志 |
凭据访问 |
| SAP - 按 IP 多次登录 | 标识在计划时间间隔内来自同一 IP 地址的多个用户的登录。 子用例: 持久性 |
通过同一 IP 地址使用多个用户登录。 数据源:SAPcon - 审核日志 |
初始访问 |
| SAP - 用户多次登录 | 标识在计划时间间隔内从多个终端登录同一用户的登录。 只能通过 Audit SAL 方法使用,适用于 SAP 版本 7.5 及更高版本。 |
使用相同的用户、使用不同的 IP 地址登录。 数据源:SAPcon - 审核日志 |
攻击前、凭据访问、初始访问、集合 子用例: 持久性 |
数据外泄
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 未授权服务器的 FTP | 标识非授权服务器的 FTP 连接。 | 创建新的 FTP 连接,例如使用 FTP_CONNECT 函数模块。 数据源:SAPcon - 审核日志 |
发现、初始访问、命令和控制 |
| SAP - 不安全的 FTP 服务器配置 | 标识不安全的 FTP 服务器配置,例如当 FTP 允许列表为空或包含占位符时。 | 不要使用SAPFTP_SERVERS_V维护视图维护表中包含占位符SAPFTP_SERVERS的值。 (SM30) 数据源:SAPcon - 审核日志 |
初始访问、命令和控制 |
| SAP - 多个Files下载 | 标识在特定时间范围内为用户下载的多个文件。 | 使用 SAPGui for Excel、列表等下载多个文件。 数据源:SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 通过 RFC 登录直接访问敏感表 | 通过 RFC 登录标识泛型表访问。 维护 SAP - 敏感表 监视列表中的表。 仅与生产系统相关。 |
使用 SE11/SE16/SE16N 打开表内容。 数据源:SAPcon - 审核日志 |
集合、外泄、凭据访问 |
| SAP - 动态 RFC 目标 | 使用动态目标标识 RFC 的执行。 子用例: 尝试绕过 SAP 安全机制 |
执行使用动态目标 (cl_dynamic_destination) 的 ABAP 报表。 例如,DEMO_RFC_DYNAMIC_DEST。 数据源:SAPcon - 审核日志 |
收集、外泄 |
| SAP - 敏感表通过对话框登录直接访问 | 通过对话框登录标识泛型表访问。 | 使用 SE11//SE16SE16N打开表内容。 数据源:SAPcon - 审核日志 |
发现 |
| SAP - 从恶意 IP 地址下载 (预览) 文件 | 使用已知为恶意的 IP 地址标识从 SAP 系统下载的文件。 恶意 IP 地址是从 威胁情报服务获取的。 | 从恶意 IP 下载文件。 数据源:SAP 安全审核日志、威胁情报 |
外泄 |
| SAP - (预览版) 保存到 U 盘中的敏感数据 | 标识通过文件导出的 SAP 数据。 该规则检查在敏感事务、敏感程序或敏感表的直接访问附近保存到最近装载的 U 盘中的数据。 | 通过文件导出 SAP 数据并保存到 U 盘中。 数据源:SAP 安全审核日志、DeviceFileEvents (Microsoft Defender for Endpoint) 、SAP - 敏感表、SAP - 敏感事务、SAP - 敏感程序 |
外泄 |
| SAP - (预览) 导出的大量潜在敏感数据 | 识别在敏感事务、敏感程序执行或直接访问敏感表时通过文件导出大量数据。 | 通过文件导出大量数据。 数据源:SAP 安全审核日志、 SAP - 敏感表、 SAP - 敏感事务、 SAP - 敏感程序 |
外泄 |
持续
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 函数模块测试 | 标识函数模块的测试。 | 使用 SE37 / SE80测试函数模块。 数据源:SAPcon - 审核日志 |
收集、防御规避、横向移动 |
| SAP - (预览版) HANA DB - 用户管理员操作 | 标识用户管理操作。 | 创建、更新或删除数据库用户。 数据源:Linux代理 - Syslog* |
特权提升 |
| SAP - 执行已过时或不安全的函数模块 | 标识已过时或不安全的 ABAP 函数模块的执行。 在 SAP - 过时的函数模块监视列表中维护过时的函数 。 确保激活后端中表的 EUFUNC 表日志记录更改。 (SE13)仅与生产系统相关。 |
直接使用 SE37 运行已过时或不安全的函数模块。 数据源:SAPcon - 表数据日志 |
发现、命令和控制 |
| SAP - 执行已过时/不安全的计划 | 标识已过时或不安全的 ABAP 程序的执行。 在 SAP - 过时 程序监视列表中维护过时的程序。 仅与生产系统相关。 |
直接使用 SE38/SA38/SE80 或使用后台作业运行程序。 数据源:SAPcon - 审核日志 |
发现、命令和控制 |
| SAP - 多个密码更改 | 按用户标识多个密码更改。 | 更改用户密码 数据源:SAPcon - 审核日志 |
凭据访问 |
尝试绕过 SAP 安全机制
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 客户端配置更改 | 标识客户端配置更改,例如客户端角色或更改记录模式。 | 使用 SCC4 事务代码执行客户端配置更改。 数据源:SAPcon - 审核日志 |
防御规避、外泄、持久性 |
| SAP - 调试活动期间数据已更改 | 标识调试活动期间运行时数据的更改。 子用例: 持久性 |
1. 激活调试 (“/h”) 。 2. 选择要更改的字段并更新其值。 数据源:SAPcon - 审核日志 |
执行、横向移动 |
| SAP - 停用安全审核日志 | 标识安全审核日志的停用, | 使用 SM19/RSAU_CONFIG禁用安全审核日志。 数据源:SAPcon - 审核日志 |
外泄、防御规避、持久性 |
| SAP - 敏感 ABAP 程序的执行 | 标识敏感 ABAP 程序的直接执行。 在 SAP - 敏感 ABAP 程序监视列表中维护 ABAP 程序 。 |
使用 SE38//SA38SE80直接运行程序。 数据源:SAPcon - 审核日志 |
外泄、横向移动、执行 |
| SAP - 敏感事务代码的执行 | 标识敏感事务代码的执行。 维护 SAP - 敏感事务代码监视列表中的事务代码 。 |
运行敏感事务代码。 数据源:SAPcon - 审核日志 |
发现、执行 |
| SAP - 敏感函数模块的执行 | 标识敏感 ABAP 函数模块的执行。 子用例: 持久性 仅与生产系统相关。 在 SAP - 敏感函数模块 监视列表中维护敏感函数,并确保在 EUFUNC 表的后端中激活表日志记录更改。 (SE13) |
使用 SE37 直接运行敏感函数模块。 数据源:SAPcon - 表数据日志 |
发现、命令和控制 |
| SAP - (PREVIEW) HANA DB - 审核跟踪策略更改 | 标识 HANA DB 审核跟踪策略的更改。 | 在安全定义中创建或更新现有审核策略。 数据源:Linux 代理 - Syslog |
横向移动、防御逃避、持久性 |
| SAP - (PREVIEW) HANA DB - 停用审核线索 | 标识 HANA DB 审核日志的停用。 | 停用 HANA DB 安全定义中的审核日志。 数据源:Linux 代理 - Syslog |
持久性、横向运动、防御逃避 |
| SAP - 未经授权的远程执行敏感函数模块 | 通过将活动与用户的授权配置文件进行比较,同时忽略最近更改的授权,检测敏感 FM 的未授权执行。 维护 SAP - 敏感函数模块监视列表中的函数模块 。 |
使用 RFC 运行函数模块。 数据源:SAPcon - 审核日志 |
执行、横向移动、发现 |
| SAP - 系统配置更改 | 标识系统配置的更改。 | 使用 SE06 事务代码调整系统更改选项或软件组件修改。数据源:SAPcon - 审核日志 |
外泄、防御规避、持久性 |
| SAP - 调试活动 | 标识所有与调试相关的活动。 子用例: 持久性 |
在系统中激活调试 (“/h”) 、调试活动进程、将断点添加到源代码等。 数据源:SAPcon - 审核日志 |
发现 |
| SAP - 安全审核日志配置更改 | 标识安全审核日志配置中的更改 | 使用 SM19/RSAU_CONFIG更改任何安全审核日志配置,例如筛选器、状态、录制模式等。 数据源:SAPcon - 审核日志 |
持久性、外泄、防御规避 |
| SAP - 事务已解锁 | 标识事务的解锁。 | 使用 SM01//SM01_DEVSM01_CUS解锁事务代码。 数据源:SAPcon - 审核日志 |
持久性、执行 |
| SAP - 动态 ABAP 计划 | 标识动态 ABAP 编程的执行。 例如,动态创建、更改或删除 ABAP 代码时。 在 SAP - ABAP 代系 事务监视列表中维护排除的事务代码。 |
创建使用 ABAP 程序生成命令(如 INSERT REPORT)的 ABAP 报表,然后运行报表。 数据源:SAPcon - 审核日志 |
发现、命令和控制、影响 |
可疑特权操作
| 规则名称 | 说明 | 源操作 | 策略 |
|---|---|---|---|
| SAP - 敏感特权用户中的更改 | 标识敏感特权用户的更改。 在 SAP - 特权 用户监视列表中维护特权用户。 |
使用 SU01更改用户详细信息/授权。 数据源:SAPcon - 审核日志 |
权限提升、凭据访问 |
| SAP - (预览版) HANA DB -分配管理员授权 | 标识管理员特权或角色分配。 | 分配具有任何管理员角色或权限的用户。 数据源:Linux 代理 - Syslog |
特权提升 |
| SAP - 敏感特权用户登录 | 标识敏感特权用户的对话框登录。 在 SAP - 特权 用户监视列表中维护特权用户。 |
使用 SAP* 或其他特权用户登录到后端系统。 数据源:SAPcon - 审核日志 |
初始访问、凭据访问 |
| SAP - 敏感特权用户对其他用户进行更改 | 标识其他用户中敏感特权用户的更改。 | 使用 SU01 更改用户详细信息/授权。 数据源:SAPcon - 审核日志 |
权限提升、凭据访问 |
| SAP - 敏感用户密码更改和登录 | 标识特权用户的密码更改。 | 更改特权用户的密码并登录到系统。 在 SAP - 特权 用户监视列表中维护特权用户。 数据源:SAPcon - 审核日志 |
影响、命令和控制、特权提升 |
| SAP - 用户创建和使用新用户 | 标识创建和使用其他用户的用户。 子用例: 持久性 |
使用 SU01 创建用户,然后使用新创建的用户和相同的 IP 地址登录。 数据源:SAPcon - 审核日志 |
发现、攻击前、初始访问 |
| SAP - 用户解锁并使用其他用户 | 标识被其他用户解锁和使用的用户。 子用例: 持久性 |
使用 SU01 解锁用户,然后使用未锁定的用户和相同的 IP 地址登录。 数据源:SAPcon - 审核日志、SAPcon - 更改文档日志 |
发现、预攻击、初始访问、横向移动 |
| SAP - 敏感配置文件的分配 | 标识用户敏感配置文件的新分配。 维护 SAP - 敏感配置文件监视列表中的敏感配置文件 。 |
使用 SU01将配置文件分配给用户。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 敏感角色的分配 | 标识用户敏感角色的新分配。 在 SAP - 敏感角色监视列表中维护 敏感角色 。 |
使用 SU01 / PFCG向用户分配角色。 数据源:SAPcon - 更改文档日志、审核日志 |
特权提升 |
| SAP - (PREVIEW) 关键授权分配 - 新授权值 | 标识向新用户分配关键授权对象值。 在 SAP - 关键授权对象监视列表中维护 关键授权对象 。 |
使用 PFCG分配新的授权对象或更新角色中的现有授权对象。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 关键授权分配 - 新用户分配 | 标识向新用户分配关键授权对象值。 在 SAP - 关键授权对象监视列表中维护 关键授权对象 。 |
使用 SU01/PFCG将新用户分配到保存关键授权值的角色。 数据源:SAPcon - 更改文档日志 |
特权提升 |
| SAP - 敏感角色更改 | 标识敏感角色中的更改。 在 SAP - 敏感角色监视列表中维护 敏感角色 。 |
使用 PFCG 更改角色。 数据源:SAPcon - 更改文档日志、SAPcon – 审核日志 |
影响、特权提升、持久性 |
可用监视列表
下表列出了可用于 SAP 应用程序的Microsoft Sentinel解决方案的监视列表,以及每个监视列表中的字段。
这些监视列表为 SAP 应用程序的 Microsoft Sentinel 解决方案提供配置。 Microsoft Sentinel GitHub 存储库中提供了 SAP 监视列表。
| 监视列表名称 | 说明和字段 |
|---|---|
| SAP - 关键授权 | 关键授权对象,应在其中管理分配。 - AuthorizationObject:SAP 授权对象,例如 S_DEVELOP、 S_TCODE或 Table TOBJ - AuthorizationField:SAP 授权字段,例如 OBJTYP 或 TCD - AuthorizationValue:SAP 授权字段值,例如 DEBUG - ActivityField :SAP 活动字段。 在大多数情况下,此值为 ACTVT。 对于没有 Activity 或只有 Activity 字段的 Authorizations 对象,请 NOT_IN_USE填充 。 - 活动:根据授权对象确定的 SAP 活动,例如: 01::创建; 02:更改; 03:显示,等等。 - 说明:有意义的关键授权对象说明。 |
| SAP - 排除的网络 | 用于对排除的网络进行内部维护,例如忽略 Web 调度程序、终端服务器等。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17。 - 说明:有意义的网络说明。 |
| SAP 排除的用户 | 登录到系统且必须忽略的系统用户。 例如,同一用户多次登录的警报。 - 用户:SAP 用户 - 说明:有意义的用户说明。 |
| SAP - 网络 | 用于识别未经授权的登录名的内部和维护网络。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17 - 说明:有意义的网络说明。 |
| SAP - 特权用户 | 受额外限制的特权用户。 - 用户:ABAP 用户,例如 DDIC 或 SAP - 说明:有意义的用户说明。 |
| SAP - 敏感 ABAP 程序 | 敏感的 ABAP 程序 (报告) ,其中应控制执行。 - ABAPProgram:ABAP 程序或报表,例如 RSPFLDOC - 说明:有意义的程序说明。 |
| SAP - 敏感函数模块 | 用于识别未经授权的登录名的内部和维护网络。 - FunctionModule:ABAP 函数模块,例如 RSAU_CLEAR_AUDIT_LOG - 说明:有意义的模块说明。 |
| SAP - 敏感配置文件 | 应管理分配的敏感配置文件。 - 配置文件:SAP 授权配置文件,例如 SAP_ALL 或 SAP_NEW - 说明:有意义的配置文件说明。 |
| SAP - 敏感表 | 应控制访问的敏感表。 - 表:ABAP 字典表,例如 USR02 或 PA008 - 说明:有意义的表说明。 |
| SAP - 敏感角色 | 应管理分配的敏感角色。 - 角色:SAP 授权角色,例如 SAP_BC_BASIS_ADMIN - 说明:有意义的角色说明。 |
| SAP - 敏感事务 | 应在其中管理执行的敏感事务。 - TransactionCode:SAP 事务代码,例如 RZ11 - 说明:有意义的代码说明。 |
| SAP - 系统 | 根据角色、使用情况和配置描述 SAP 系统的环境。 - SystemID:SAP 系统 ID (SYSID) - SystemRole:SAP 系统角色,以下值之一: Sandbox、 Development、 Quality Assurance、 Training、 Production - SystemUsage:SAP 系统使用情况,以下值之一: ERP、 BW、 Solman、 Gateway、 Enterprise Portal - InterfaceAttributes:在 playbook 中使用的可选动态参数。 |
| SAPSystemParameters | 用于监视 可疑配置更改的参数。 根据 SAP 最佳做法) ,此监视列表预填充了 (建议的值,你可以扩展监视列表以包含更多参数。 如果不想接收参数的警报,请将 设置为 EnableAlertsfalse。- ParameterName:参数的名称。 - 注释:SAP 标准参数说明。 - EnableAlerts:定义是否为此参数启用警报。 true值为 和 false。- 选项:定义在哪种情况下触发警报:如果参数值大于或等于 () GE 、小于或等于 (LE) 或等于 (EQ)例如,如果将 login/fails_to_user_lock SAP 参数设置为 LE (小于或等于) ,并且 值5设置为 ,则Microsoft Sentinel检测到此特定参数的更改后,它将比较新报告的值和预期值。 如果新值为 4,Microsoft Sentinel不会触发警报。 如果新值为 6,Microsoft Sentinel将触发警报。- ProductionSeverity:生产系统的事件严重性。 - ProductionValues:生产系统的允许值。 - NonProdSeverity:非生产系统的事件严重性。 - NonProdValues:非生产系统允许的值。 |
| SAP - 排除的用户 | 已登录且需要忽略的系统用户,例如“用户多次登录”警报。 - 用户:SAP 用户 - 说明:有意义的用户说明 |
| SAP - 排除的网络 | 维护内部、排除的网络,以忽略 Web 调度程序、终端服务器等。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17 - 说明:有意义的网络说明 |
| SAP - 已过时的函数模块 | 已过时的函数模块,应控制其执行。 - FunctionModule:ABAP 函数模块,例如 TH_SAPREL - 说明:有意义的函数模块说明 |
| SAP - 过时的程序 | 过时的 ABAP 程序 (报告) ,应控制其执行。 - ABAPProgram:ABAP 程序,例如 TH_ RSPFLDOC - 说明:有意义的 ABAP 程序说明 |
| SAP - ABAP 代事务 | 应管理其执行的 ABAP 代系的事务。 - TransactionCode:事务代码,例如 SE11。 - 说明:有意义的事务代码说明 |
| SAP - FTP 服务器 | 用于识别未授权连接的 FTP 服务器。 - 客户端:例如 100。 - FTP_Server_Name:FTP 服务器名称,例如 http://contoso.com/ - FTP_Server_Port:FTP 服务器端口,例如 22。 - 描述有意义的 FTP 服务器说明 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | 配置 SAP 审核日志警报,方法是根据系统角色 (生产、非生产) ,根据需要为每个消息 ID 分配严重性级别。 此监视列表详细介绍了所有可用的 SAP 标准审核日志消息 ID。 可以扩展监视列表,以包含可以在其 SAP NetWeaver 系统上使用 ABAP 增强功能自行创建的额外消息 ID。 此监视列表还允许配置指定的团队来处理每个事件类型,以及按 SAP 角色、SAP 配置文件或 SAP_User_Config 监视列表中标记排除用户。 此监视列表是用于配置 内置 SAP 分析规则以监视 SAP 审核日志的核心组件之一。 有关详细信息,请参阅 监视 SAP 审核日志。 - MessageID:SAP 消息 ID 或事件类型,例如 AUD (用户主记录更改) ,或 AUB (授权更改) 。 - DetailedDescription:在事件窗格中显示已启用 markdown 的说明。 - ProductionSeverity:为生产系统 High创建事件所需的严重性。 Medium 可以设置为 Disabled。 - NonProdSeverity:为非生产系统 High创建事件所需的严重性。 Medium 可以设置为 Disabled。 - ProductionThreshold 对于生产系统 60,被视为可疑事件的“每小时”计数。 - NonProdThreshold 对于非生产系统 10,要被视为可疑的事件的“每小时”计数。 - RolesTagsToExclude:此字段接受来自SAP_User_Config监视列表的 SAP 角色名称、SAP 配置文件名称或标记。 然后,它们用于从特定事件类型中排除关联的用户。 请参阅此列表末尾的角色标记选项。 - RuleType:用于 Deterministic 将事件类型发送到 SAP - 动态确定性审核日志监视器 规则,或 AnomaliesOnly 使基于 SAP 的基于动态异常的审核日志监视器警报 (PREVIEW) 规则涵盖此事件。 有关详细信息,请参阅 监视 SAP 审核日志。 - TeamsChannelID: 在 playbook 中使用的可选动态参数。 - DestinationEmail:在 playbook 中使用的可选动态参数。 对于 RolesTagsToExclude 字段: - 如果列出 SAP 角色或 SAP 配置文件,则会从同一 SAP 系统的这些事件类型中排除具有所列角色或配置文件的任何用户。 例如,如果为 RFC 相关事件类型定义 BASIC_BO_USERS ABAP 角色,则业务对象用户在进行大规模 RFC 调用时不会触发事件。- 标记事件类型类似于指定 SAP 角色或配置文件,但可以在工作区中创建标记,因此 SOC 团队可以按活动排除用户,而无需依赖于 SAP BASIS 团队。 例如,审核消息 ID AUB (授权更改) 和 AUD (用户主记录更改) 分配 MassiveAuthChanges 标记。 分配此标记的用户将从这些活动的检查中排除。 运行工作区 SAPAuditLogConfigRecommend 函数会生成要分配给用户的推荐标记列表,例如 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist。 |
| SAP_User_Config | 允许通过排除 /包括特定上下文中的用户来微调警报,还用于配置 用于监视 SAP 审核日志的内置 SAP 分析规则。 有关详细信息,请参阅 监视 SAP 审核日志。 - SAPUser:SAP 用户 - 标记:标记用于根据特定活动标识用户。 例如,将标记 [“GenericTablebyRFCOK”] 添加到用户SENTINEL_SRV将阻止为此特定用户创建 RFC 相关事件 其他 Active Directory 用户标识符 - AD 用户标识符 - 用户本地 Sid - 用户主体名称 |
| 监视列表名称 | 说明和字段 |
|---|---|
| SAP - 关键授权 | 关键授权对象,应在其中管理分配。 - AuthorizationObject:SAP 授权对象,例如 S_DEVELOP、 S_TCODE或 Table TOBJ - AuthorizationField:SAP 授权字段,例如 OBJTYP 或 TCD - AuthorizationValue:SAP 授权字段值,例如 DEBUG - ActivityField :SAP 活动字段。 在大多数情况下,此值为 ACTVT。 对于没有 Activity 或只有 Activity 字段的 Authorizations 对象,请 NOT_IN_USE填充 。 - 活动:根据授权对象确定的 SAP 活动,例如: 01::创建; 02:更改; 03:显示,等等。 - 说明:有意义的关键授权对象说明。 |
| SAP - 排除的网络 | 用于对排除的网络进行内部维护,例如忽略 Web 调度程序、终端服务器等。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17。 - 说明:有意义的网络说明。 |
| SAP 排除的用户 | 登录到系统且必须忽略的系统用户。 例如,同一用户多次登录的警报。 - 用户:SAP 用户 - 说明:有意义的用户说明。 |
| SAP - 网络 | 用于识别未经授权的登录名的内部和维护网络。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17 - 说明:有意义的网络说明。 |
| SAP - 特权用户 | 受额外限制的特权用户。 - 用户:ABAP 用户,例如 DDIC 或 SAP - 说明:有意义的用户说明。 |
| SAP - 敏感 ABAP 程序 | 敏感的 ABAP 程序 (报告) ,其中应控制执行。 - ABAPProgram:ABAP 程序或报表,例如 RSPFLDOC - 说明:有意义的程序说明。 |
| SAP - 敏感函数模块 | 用于识别未经授权的登录名的内部和维护网络。 - FunctionModule:ABAP 函数模块,例如 RSAU_CLEAR_AUDIT_LOG - 说明:有意义的模块说明。 |
| SAP - 敏感配置文件 | 应管理分配的敏感配置文件。 - 配置文件:SAP 授权配置文件,例如 SAP_ALL 或 SAP_NEW - 说明:有意义的配置文件说明。 |
| SAP - 敏感表 | 应控制访问的敏感表。 - 表:ABAP 字典表,例如 USR02 或 PA008 - 说明:有意义的表说明。 |
| SAP - 敏感角色 | 应管理分配的敏感角色。 - 角色:SAP 授权角色,例如 SAP_BC_BASIS_ADMIN - 说明:有意义的角色说明。 |
| SAP - 敏感事务 | 应在其中管理执行的敏感事务。 - TransactionCode:SAP 事务代码,例如 RZ11 - 说明:有意义的代码说明。 |
| SAP - 系统 | 根据角色、使用情况和配置描述 SAP 系统的环境。 - SystemID:SAP 系统 ID (SYSID) - SystemRole:SAP 系统角色,以下值之一: Sandbox、 Development、 Quality Assurance、 Training、 Production - SystemUsage:SAP 系统使用情况,以下值之一: ERP、 BW、 Solman、 Gateway、 Enterprise Portal - InterfaceAttributes:在 playbook 中使用的可选动态参数。 |
| SAP - 排除的用户 | 已登录且需要忽略的系统用户,例如“用户多次登录”警报。 - 用户:SAP 用户 - 说明:有意义的用户说明 |
| SAP - 排除的网络 | 维护内部、排除的网络,以忽略 Web 调度程序、终端服务器等。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17 - 说明:有意义的网络说明 |
| SAP - 已过时的函数模块 | 已过时的函数模块,应控制其执行。 - FunctionModule:ABAP 函数模块,例如 TH_SAPREL - 说明:有意义的函数模块说明 |
| SAP - 过时的程序 | 过时的 ABAP 程序 (报告) ,应控制其执行。 - ABAPProgram:ABAP 程序,例如 TH_ RSPFLDOC - 说明:有意义的 ABAP 程序说明 |
| SAP - ABAP 代事务 | 应管理其执行的 ABAP 代系的事务。 - TransactionCode:事务代码,例如 SE11。 - 说明:有意义的事务代码说明 |
| SAP - FTP 服务器 | 用于识别未授权连接的 FTP 服务器。 - 客户端:例如 100。 - FTP_Server_Name:FTP 服务器名称,例如 http://contoso.com/ - FTP_Server_Port:FTP 服务器端口,例如 22。 - 描述有意义的 FTP 服务器说明 |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | 配置 SAP 审核日志警报,方法是根据系统角色 (生产、非生产) ,根据需要为每个消息 ID 分配严重性级别。 此监视列表详细介绍了所有可用的 SAP 标准审核日志消息 ID。 可以扩展监视列表,以包含可以在其 SAP NetWeaver 系统上使用 ABAP 增强功能自行创建的额外消息 ID。 此监视列表还允许配置指定的团队来处理每个事件类型,以及按 SAP 角色、SAP 配置文件或 SAP_User_Config 监视列表中标记排除用户。 此监视列表是用于配置 内置 SAP 分析规则以监视 SAP 审核日志的核心组件之一。 有关详细信息,请参阅 监视 SAP 审核日志。 - MessageID:SAP 消息 ID 或事件类型,例如 AUD (用户主记录更改) ,或 AUB (授权更改) 。 - DetailedDescription:在事件窗格中显示已启用 markdown 的说明。 - ProductionSeverity:为生产系统 High创建事件所需的严重性。 Medium 可以设置为 Disabled。 - NonProdSeverity:为非生产系统 High创建事件所需的严重性。 Medium 可以设置为 Disabled。 - ProductionThreshold 对于生产系统 60,被视为可疑事件的“每小时”计数。 - NonProdThreshold 对于非生产系统 10,要被视为可疑的事件的“每小时”计数。 - RolesTagsToExclude:此字段接受来自SAP_User_Config监视列表的 SAP 角色名称、SAP 配置文件名称或标记。 然后,它们用于从特定事件类型中排除关联的用户。 请参阅此列表末尾的角色标记选项。 - RuleType:用于 Deterministic 将事件类型发送到 SAP - 动态确定性审核日志监视器 规则,或 AnomaliesOnly 使基于 SAP 的基于动态异常的审核日志监视器警报 (PREVIEW) 规则涵盖此事件。 有关详细信息,请参阅 监视 SAP 审核日志。 - TeamsChannelID: 在 playbook 中使用的可选动态参数。 - DestinationEmail:在 playbook 中使用的可选动态参数。 对于 RolesTagsToExclude 字段: - 如果列出 SAP 角色或 SAP 配置文件,则会从同一 SAP 系统的这些事件类型中排除具有所列角色或配置文件的任何用户。 例如,如果为 RFC 相关事件类型定义 BASIC_BO_USERS ABAP 角色,则业务对象用户在进行大规模 RFC 调用时不会触发事件。- 标记事件类型类似于指定 SAP 角色或配置文件,但可以在工作区中创建标记,因此 SOC 团队可以按活动排除用户,而无需依赖于 SAP BASIS 团队。 例如,审核消息 ID AUB (授权更改) 和 AUD (用户主记录更改) 分配 MassiveAuthChanges 标记。 分配此标记的用户将从这些活动的检查中排除。 运行工作区 SAPAuditLogConfigRecommend 函数会生成要分配给用户的推荐标记列表,例如 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist。 |
| SAP_User_Config | 允许通过排除 /包括特定上下文中的用户来微调警报,还用于配置 用于监视 SAP 审核日志的内置 SAP 分析规则。 有关详细信息,请参阅 监视 SAP 审核日志。 - SAPUser:SAP 用户 - 标记:标记用于根据特定活动标识用户。 例如,将标记 [“GenericTablebyRFCOK”] 添加到用户SENTINEL_SRV将阻止为此特定用户创建 RFC 相关事件 其他 Active Directory 用户标识符 - AD 用户标识符 - 用户本地 Sid - 用户主体名称 |
可用的 playbook
Microsoft Sentinel SAP 应用程序解决方案提供的 Playbook 可帮助你自动执行 SAP 事件响应工作负载,提高安全操作的效率和有效性。
本部分介绍与 SAP 应用程序的Microsoft Sentinel解决方案一起提供的内置分析 playbook。
| Playbook 名称 | 参数 | Connections |
|---|---|---|
| SAP 事件响应 - 从 Teams 锁定用户 - 基本 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP 事件响应 - 从 Teams 锁定用户 - 高级 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure监视器日志 - Office 365 Outlook - Microsoft Entra ID - Azure 密钥保管库 - Microsoft Teams |
| SAP 事件响应 - 停用后可重新启用审核日志记录 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure 密钥保管库 - Azure监视器日志 - Microsoft Teams |
以下部分介绍每个提供的 playbook 的示例用例,其中一个事件警告你某个 SAP 系统中存在可疑活动,其中用户正尝试执行其中一个高度敏感的事务。
在事件会审阶段,你决定对此用户采取措施,将其踢出 SAP ERP 或 BTP 系统,甚至从Microsoft Entra ID。
有关详细信息,请参阅 Microsoft Sentinel 中的 playbook 自动执行威胁响应
部署Standard逻辑应用的过程通常比消耗型逻辑应用更复杂。 我们创建了一系列快捷方式,可帮助你从 gitHub 存储库Microsoft Sentinel快速部署它们。 有关详细信息,请参阅 分步安装指南。
提示
观看 GitHub 存储库中的 SAP playbooks 文件夹 ,了解更多 playbook 可用。 还有一个 简短的介绍视频 (外部链接) 帮助你入门。
从单个系统锁定用户
生成 自动化规则 ,每当检测到未经授权的用户的敏感事务执行时, 从 Teams 中调用 Lock 用户 - 基本 playbook。 此 playbook 使用 Teams 的自适应卡片功能在单方面阻止用户之前请求批准。
有关详细信息,请参阅针对关键 SAP 安全信号的Microsoft Sentinel从零到大的安全覆盖 - 你将听到我的 SOAR!第 1 部分 (SAP 博客文章) 。
Teams 中的锁定用户 - 基本 playbook 是一种Standard playbook,Standard playbook 的部署通常比消耗 playbook 更复杂。
我们创建了一系列快捷方式,可帮助你从 gitHub 存储库Microsoft Sentinel快速部署它们。 有关详细信息,请参阅 分步安装指南 和支持 的逻辑应用类型。
从多个系统锁定用户
Teams 中的锁定用户 - 高级 playbook 可实现相同的目标,但专为更复杂的方案而设计,允许将单个 playbook 用于多个 SAP 系统,每个系统都有自己的 SAP SID。
锁定 Teams 中的用户 - 高级 playbook 使用 SAP - 系统监视列表中的 InterfaceAttributes 可选动态参数和Azure 密钥保管库无缝管理与所有这些系统的连接及其凭据。
“锁定 Teams 中的用户 - 高级 playbook”还允许你在审批过程中使用 Outlook 可操作邮件和 Teams,使用SAP_Dynamic_Audit_Log_Monitor_Configuration监视列表中的 TeamsChannelID 和 DestinationEmail 参数与各方通信。
有关详细信息,请参阅关键 SAP 安全信号的Microsoft Sentinel从零到大的安全覆盖 - 第 2 部分 (SAP 博客文章) 。
防止停用审核日志记录
你可能还担心 SAP 审核日志(安全数据源之一)被停用。 建议基于 SAP - 停用安全审核日志 分析规则生成自动化规则,以在 停用后调用可重新启用的审核日志记录 playbook,以确保 SAP 审核日志未停用。
SAP - 停用安全审核日志 playbook 也使用 Teams,在事后通知安全人员。 犯罪的严重性和缓解的紧迫性表明,无需批准即可立即采取措施。
由于 SAP - 停用安全审核日志 playbook 也使用 Azure 密钥保管库 来管理凭据,因此 playbook 的配置类似于 Teams 中的 Lock 用户 - 高级 playbook 的配置。 有关详细信息,请参阅关键 SAP 安全信号的Microsoft Sentinel从零到大的安全覆盖 - 第 3 部分 (SAP 博客文章) 。
相关内容
有关详细信息,请参阅为 SAP 应用程序部署Microsoft Sentinel解决方案。