مراقبة نشاط تدقيق المستخدم وتعقبه عبر أنظمة SAP
توضح هذه المقالة SAP - سجل تدقيق الأمان ومصنف الوصول الأولي، المستخدم لمراقبة نشاط تدقيق المستخدم وتعقبه عبر أنظمة SAP الخاصة بك. استخدم المصنف للحصول على عرض شامل لنشاط تدقيق المستخدم، وتأمين أنظمة SAP بشكل أفضل، والحصول على رؤية سريعة للإجراءات المشبوهة. التنقل لأسفل في الأحداث المشبوهة حسب الحاجة.
استخدم المصنف إما للمراقبة المستمرة لأنظمة SAP الخاصة بك، أو لمراجعة الأنظمة بعد حادث أمني أو نشاط مشبوه آخر.
على سبيل المثال:
المحتوى الوارد في هذه المقالة مخصص لفريق الأمان الخاص بك.
المتطلبات الأساسية
قبل أن تتمكن من البدء في استخدام SAP - سجل تدقيق الأمان ومصنف الوصول الأولي، يجب أن يكون لديك:
تم تثبيت حل Microsoft Sentinel ل SAP وتكوين موصل بيانات. لمزيد من المعلومات، راجع نشر حل Microsoft Sentinel لتطبيقات SAP.
تم تمكين سجل تدقيق الأمان SAP ومصنف الوصول الأولي المثبت في مساحة عمل Log Analytics ل Microsoft Sentinel. لمزيد من المعلومات، راجع تصور بياناتك ومراقبتها باستخدام المصنفات في Microsoft Sentinel.
هام
تتم استضافة سجل SAP - Security Audit ومصنف الوصول الأولي بواسطة مساحة العمل حيث تم تثبيت حل Microsoft Sentinel لتطبيقات SAP. بشكل افتراضي، يفترض أن تكون بيانات SAP وSOC على مساحة العمل التي تستضيف المصنف.
إذا كانت بيانات SOC موجودة على مساحة عمل مختلفة عن مساحة العمل التي تستضيف المصنف، فتأكد من تضمين الاشتراك لمساحة العمل هذه، وحدد مساحة عمل SOC من تدقيق Azure ومساحة عمل النشاط.
حدث واحد على الأقل في مساحة عمل Microsoft Sentinel، مع إدخال واحد على الأقل متوفر في
SecurityIncidentالجدول. لا يلزم أن يكون هذا حدث SAP، ويمكنك إنشاء حدث تجريبي باستخدام قاعدة تحليلات أساسية إذا لم يكن لديك حدث آخر.إذا كانت بيانات Microsoft Entra موجودة في مساحة عمل Log Analytics مختلفة، فتأكد من تحديد الاشتراكات ومساحات العمل ذات الصلة في أعلى المصنف، ضمن تدقيق Azure وأنشطته.
نوصي بتكوين التدقيق لكافة الرسائل من سجل التدقيق، بدلا من سجلات محددة فقط. عادة ما تكون اختلافات تكلفة الاستيعاب ضئيلة والبيانات مفيدة لاكتشافات Microsoft Sentinel وفي التحقيقات والتتبع بعد الاختراق. لمزيد من المعلومات، راجع تكوين تدقيق SAP.
عوامل التصفيةِ المدعومة
يدعم سجل SAP - Security Audit ومصنف الوصول الأولي عوامل التصفية التالية لمساعدتك على التركيز على البيانات التي تحتاج إليها:
- النطاق الزمني. من أربع ساعات إلى 90 يوما.
- أدوار النظام. أدوار نظام SAP، على سبيل المثال: التطوير.
- استخدام النظام. على سبيل المثال: SAP GTS.
- أنظمة SAP. يمكنك تحديد جميع الأنظمة أو نظام معين أو تحديد أنظمة متعددة.
إذا قمت بتحديد الأنظمة التي لم يتم تكوينها في قائمة مراقبة أنظمة SAP، يعرض المصنف خطأ، مع تحديد الأنظمة ذات المشكلات. في هذه الحالة، قم بتكوين قائمة المشاهدة لتضمين هذه الأنظمة بشكل صحيح.
بيانات تقرير تحليل تسجيل الدخول
تعرض علامة تبويب تقرير تحليل تسجيل الدخول في SAP - سجل تدقيق الأمان ومصنف الوصول الأولي بيانات حول حالات فشل تسجيل الدخول، مثل البيانات الشاذة وبيانات Microsoft Entra والمزيد.
تستند البيانات إلى قائمة مراقبة أنظمة SAP.
تتضمن علامة التبويب تقرير تحليل تسجيل الدخول المجالات التالية:
تحليل تسجيل الدخول
تظهر منطقة تحليل تسجيل الدخول فيما يتعلق بتسجيل دخول المستخدم. على سبيل المثال:
يصف الجدول التالي كل مقياس في منطقة تحليل تسجيل الدخول:
| المنطقة | الوصف |
|---|---|
| تسجيل دخول المستخدم الفريد لكل نظام | يظهر عدد عمليات تسجيل الدخول الفريدة لكل نظام SAP، ورسم بياني مع اتجاهات تسجيل الدخول خلال الوقت المحدد لكل نظام. على سبيل المثال: يحتوي نظام 012 على محاولات تسجيل دخول فريدة 1.4 كيلوبايت في آخر 14 يوما، وفي هذه الأيام ال 14 يظهر الرسم البياني اتجاه تسجيل دخول مرتفع نسبيا. |
| اتجاه أنواع تسجيل الدخول | يظهر اتجاه عدد عمليات تسجيل الدخول وفقا للنوع، على سبيل المثال، تسجيل الدخول عبر مربع الحوار. مرر مؤشر الماوس فوق الرسم البياني لإظهار عدد عمليات تسجيل الدخول لتواريخ مختلفة. |
| فشل تسجيل الدخول مقابل النجاح من قبل المستخدمين الفريدين - الاتجاه | يظهر اتجاه عمليات تسجيل الدخول الناجحة والف الفاشلة في الفترة المحددة. مرر مؤشر الماوس فوق الرسم البياني لإظهار مقدار عمليات تسجيل الدخول الناجحة والفشلة لتواريخ مختلفة. |
فشل تسجيل الدخول - الكشف عن الحالات الشاذة
تظهر المناطق الموجودة ضمن الكشف عن الحالات الشاذة - تصفية محاولات تسجيل الدخول الفاشلة صاخبة بيانات فشل تسجيل الدخول لأنظمة SAP والمستخدمين. لمشاهدة البيانات التي تم وضع علامة عليها فقط، حدد Anomalous فقط بجوار عمليات تسجيل الدخول الفاشلة على اليمين.
لمزيد من المعلومات، راجع مراقبة سجل تدقيق SAP.
على سبيل المثال:
يصف الجدول التالي كل مقياس في منطقة الكشف عن الحالات الشاذة:
| المنطقة | الوصف |
|---|---|
| حالات فشل تسجيل>الدخول غير الطبيعية>لتسجيل الدخول المستخدم الفريد فشل عمليات تسجيل الدخول لكل نظام SAP | يظهر عدد عمليات تسجيل الدخول الفاشلة الفريدة لكل نظام SAP. |
| SAP وActive Directory أفضل معا |
يعرض جدول حالات فشل تسجيل الدخول الشاذة مزيجا من بيانات Microsoft Sentinel وMicrosoft Entra، مع سرد المستخدمين وفقا للمخاطر، مع وجود المستخدمين الأكثر خطورة في الأعلى. لكل مستخدم، يعرض الجدول: - مخطط زمني لمحاولات تسجيل الدخول الفاشلة - مخطط زمني يوضح عند هذه النقطة حدوث محاولة فاشلة شاذة - نوع الشذوذ - عنوان البريد الإلكتروني للمستخدم - مؤشر مخاطر Microsoft Entra - عدد الحوادث والتنبيهات في Microsoft Sentinel حدد صف المستخدم للاطلاع على قائمة بالتنبيهات والحوادث ذات الصلة. يتم سرد أحداث مخاطر Microsoft Entra ضمن تدقيق Azure ومخاطر تسجيل الدخول للمستخدم. |
| معدل فشل تسجيل الدخول لكل نظام | يعرض أنظمة SAP المحددة، مجمعة حسب النوع، مع عدد حالات الفشل في الفترة المحددة. يشير لون النظام إلى عدد المحاولات الفاشلة: أخضر لعدد قليل من محاولات تسجيل الدخول المشبوهة، والأحمر لمزيد من المحاولات. حدد نظاما لمشاهدة قائمة بتسجيلات الدخول الفاشلة، مع تفاصيل حول حالات الفشل. |
في لقطة الشاشة التالية، لاحظ البيانات المعروضة عند تحديد السطر الأول في جدول حالات فشل تسجيل الدخول غير الطبيعية. يتم عرض التنبيهات المحددة وعناوين URL للحوادث في نظرة عامة على الحوادث/التنبيهات لجدول المستخدم .
في لقطة الشاشة التالية، تعرض مخاطر تدقيق Azure وتسجيل الدخول لجدول المستخدم بيانات مخاطر تسجيل الدخول المتعلقة بهذا المستخدم.
في لقطة الشاشة التالية، لاحظ معدل فشل تسجيل الدخول لكل منطقة نظام ، حيث يتم تحديد نظام 84e ضمن مجموعة الاختبار . تعرض عمليات تسجيل الدخول الفاشلة لمنطقة النظام على اليمين أحداث الفشل لهذا النظام.
فشل تسجيل الدخول - الاتجاهات
تعرض منطقة اتجاهات فشل تسجيل الدخول اتجاهات وعدد عمليات تسجيل الدخول الفاشلة، مجمعة حسب أنواع مختلفة من البيانات. على سبيل المثال:
يصف الجدول التالي كل مقياس في منطقة اتجاهات فشل تسجيل الدخول:
| المنطقة | الوصف |
|---|---|
| فشل تسجيل الدخول حسب السبب | يظهر اتجاه عدد حالات فشل تسجيل الدخول وفقا لسبب الفشل، مثل بيانات تسجيل الدخول غير الصحيحة. |
| فشل تسجيل الدخول حسب النوع | يظهر اتجاه عدد حالات فشل تسجيل الدخول وفقا للنوع، مثل تسجيل الدخول الذي أدى إلى تشغيل مهمة في الخلفية، أو كان تسجيل الدخول عبر HTTP. |
| فشل تسجيل الدخول حسب الأسلوب | يظهر اتجاه عدد حالات فشل تسجيل الدخول وفقا للأسلوب، مثل SNC أو تذكرة تسجيل الدخول. |
علامة تبويب تقرير تنبيهات سجل التدقيق
تعرض علامة التبويب تنبيهات سجل التدقيق بيانات حول أحداث سجل تدقيق SAP التي يراقبها حل Microsoft Sentinel لتطبيقات SAP. تستند البيانات إلى قائمة مراقبة SAP_Dynamic_Audit_Log_Monitor_Configuration.
تعرض علامة التبويب تنبيهات سجل التدقيق اتجاهات الخطورة والتدقيق لكل نظام SAP ومستخدم. تعرض جميع المناطق في علامة التبويب هذه البيانات التي تم وضع علامة عليها بواسطة الكشف عن الحالات الشاذة فقط. بالنسبة لكافة الأحداث، حدد الكل بجوار عمليات تسجيل الدخول الفاشلة على اليمين.
لمزيد من المعلومات، راجع مراقبة سجل تدقيق SAP.
على سبيل المثال:
يصف الجدول التالي كل مقياس في علامة التبويب تنبيهات سجل التدقيق:
| المنطقة | الوصف |
|---|---|
| اتجاهات خطورة التنبيه لكل معرف نظام | يعرض قائمة بالأنظمة، مع رسم بياني لاتجاهات الأحداث المتوسطة والعالية الخطورة لكل نظام. على سبيل المثال، كان نظام 012 يحتوي على العديد من الأحداث عالية الخطورة على مدار الفترة بأكملها، وبعض أحداث الخطورة المتوسطة ، مع ارتفاع يظهر المزيد من أحداث الخطورة المتوسطة في منتصف الفترة. |
| اتجاه التدقيق لكل مستخدم | يظهر مزيجا من بيانات Microsoft Sentinel وMicrosoft Entra، مع سرد المستخدمين وفقا للمخاطر، مع المستخدمين الأكثر خطورة في الأعلى. يعرض المصنف البيانات التالية لكل مستخدم: - مخطط زمني للأحداث عالية ومتوسطة الخطورة - عنوان البريد الإلكتروني للمستخدم - مؤشر مخاطر Microsoft Entra - عدد الحوادث والتنبيهات في Microsoft Sentinel حدد صفا لمشاهدة قائمة بالتنبيهات والحوادث لهذا المستخدم ضمن نظرة عامة على الحوادث/التنبيهات للمستخدم. عرض أحداث مخاطر Microsoft Entra ضمن تدقيق Azure ومخاطر تسجيل الدخول للمستخدم. |
| درجة المخاطر لكل نظام | يمثل بصريا كل نظام في شكل خلية، ويعرض درجة المخاطر لكل نظام وأنظمة تجميع حسب النوع. يشير لون النظام إلى درجة مخاطر النظام: أخضر لدرجة مخاطر أقل وأحمر للحصول على درجة مخاطر أعلى. حدد نظاما لمشاهدة قائمة أحداث SAP لكل نظام. |
| الأحداث بواسطة تكتيكات MITRE ATT CK | يعرض قائمة بأحداث SAP التي تم تجميعها بواسطة تكتيكات MITRE ATT&CK، مثل الوصول الأولي أو التهرب الدفاعي. مرر مؤشر الماوس فوق الرسم البياني لإظهار عدد عمليات تسجيل الدخول لتواريخ مختلفة. |
| الأحداث حسب الفئة | يعرض قائمة اتجاهات أحداث SAP مجمعة حسب الفئة، مثل RFC Start أو Logon. مرر مؤشر الماوس فوق الرسم البياني لإظهار رقم تسجيل الدخول لتواريخ مختلفة. |
| الأحداث حسب مجموعة التخويل | يعرض قائمة اتجاهات أحداث SAP التي تم تجميعها بواسطة مجموعة تخويل SAP، مثل USER أو SUPER. مرر مؤشر الماوس فوق الرسم البياني لإظهار عدد عمليات تسجيل الدخول لتواريخ مختلفة. |
| الأحداث حسب نوع المستخدم | يعرض قائمة اتجاهات أحداث SAP مجمعة حسب نوع مستخدم SAP، مثل مربع الحوار أو النظام. مرر مؤشر الماوس فوق الرسم البياني لإظهار عدد عمليات تسجيل الدخول لتواريخ مختلفة. |
في لقطة الشاشة التالية، لاحظ البيانات المعروضة عند تحديد السطر الأول في جدول تدقيق الاتجاهات لكل مستخدم . يتم عرض التنبيهات المحددة وعناوين URL للحوادث في نظرة عامة على الحوادث/التنبيهات لجدول المستخدم .
في لقطة الشاشة التالية، لاحظ درجة المخاطر لكل منطقة نظام ، حيث يتم تحديد نظام cb7 ضمن مجموعة UAT . تظهر أحداث SAP لمنطقة النظام أسفل مرئيات النظام حدث SAP لهذا النظام.
في لقطة الشاشة التالية، لاحظ المناطق التي بها أحداث واتجاهات أحداث مجمعة حسب أنواع مختلفة من البيانات: تكتيكات MITRE ATT&CK ومجموعة تخويل SAP ونوع المستخدم.
المحتوى ذو الصلة
لمزيد من المعلومات، راجع نشر حل Microsoft Sentinel لتطبيقات SAP من مركز المحتوى وحل Microsoft Sentinel لتطبيقات SAP: مرجع محتوى الأمان.