Memantau dan melacak aktivitas audit pengguna di seluruh sistem SAP
Artikel ini menjelaskan log SAP - Audit Keamanan dan buku kerja Akses Awal, digunakan untuk memantau dan melacak aktivitas audit pengguna di seluruh sistem SAP Anda. Gunakan buku kerja untuk mendapatkan tampilan langsung aktivitas audit pengguna, mengamankan sistem SAP Anda dengan lebih baik, dan mendapatkan visibilitas cepat ke dalam tindakan yang mencurigakan. Telusuri paling detail peristiwa mencurigakan sesuai kebutuhan.
Gunakan buku kerja baik untuk pemantauan sistem SAP Anda yang sedang berlangsung, atau untuk meninjau sistem setelah insiden keamanan atau aktivitas mencurigakan lainnya.
Contohnya:
Konten dalam artikel ini ditujukan untuk tim keamanan Anda.
Prasyarat
Sebelum Anda bisa mulai menggunakan log SAP - Audit Keamanan dan buku kerja Akses Awal, Anda harus memiliki:
Solusi Microsoft Sentinel untuk SAP terinstal dan konektor data dikonfigurasi. Untuk informasi selengkapnya, lihat Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP.
Log SAP - Audit Keamanan dan buku kerja Akses Awal yang diinstal di ruang kerja Analitik Log Anda diaktifkan untuk Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Memvisualisasikan dan memantau data Anda dengan menggunakan buku kerja di Microsoft Azure Sentinel.
Penting
Log SAP - Audit Keamanan dan buku kerja Akses Awal dihosting oleh ruang kerja tempat solusi Microsoft Azure Sentinel untuk aplikasi SAP diinstal. Secara default, data SAP dan SOC diasumsikan berada di ruang kerja yang menghosting buku kerja.
Jika data SOC berada di ruang kerja yang berbeda dari ruang kerja yang menghosting buku kerja, pastikan untuk menyertakan langganan untuk ruang kerja tersebut, dan pilih ruang kerja SOC dari audit Azure dan ruang kerja aktivitas.
Setidaknya satu insiden di ruang kerja Microsoft Azure Sentinel Anda, dengan setidaknya satu entri tersedia dalam
SecurityIncidenttabel. Ini tidak perlu menjadi insiden SAP, dan Anda dapat menghasilkan insiden demo menggunakan aturan analitik dasar jika Anda tidak memiliki insiden lain.Jika data Microsoft Entra Anda berada di ruang kerja Analitik Log yang berbeda, pastikan Anda memilih langganan dan ruang kerja yang relevan di bagian atas buku kerja, di bawah audit dan aktivitas Azure.
Kami menyarankan agar Anda mengonfigurasi audit untuk semua pesan dari log audit, bukan hanya log tertentu. Perbedaan biaya penyerapan umumnya minimal dan data berguna untuk deteksi Microsoft Azure Sentinel dan dalam penyelidikan dan perburuan pasca-kompromi. Untuk informasi selengkapnya, lihat Mengonfigurasi audit SAP.
Filter yang didukung
Log SAP - Audit Keamanan dan buku kerja Akses Awal mendukung filter berikut ini untuk membantu Anda fokus pada data yang Anda butuhkan:
- Rentang Waktu. Dari empat jam hingga 90 hari.
- Peran Sistem. Peran sistem SAP, misalnya: Pengembangan.
- Penggunaan Sistem. Misalnya: SAP GTS.
- Sistem SAP. Anda dapat memilih semua sistem, sistem tertentu, atau memilih beberapa sistem.
Jika Anda memilih sistem yang tidak dikonfigurasi dalam daftar tonton sistem SAP, buku kerja memperlihatkan kesalahan, menentukan sistem dengan masalah. Dalam hal ini, konfigurasikan daftar pengawasan untuk menyertakan sistem ini dengan benar.
Data laporan analisis log masuk
Tab Laporan analisis log masuk pada log SAP - Audit Keamanan dan buku kerja Akses Awal memperlihatkan data tentang kegagalan masuk, seperti data anomali, data Microsoft Entra, dan banyak lagi.
Data didasarkan pada daftar tonton sistem SAP.
Tab Laporan analisis masuk mencakup area berikut:
Analisis masuk
Area analisis Masuk menunjukkan mengenai rincian masuk pengguna. Misalnya:
Tabel berikut ini menjelaskan setiap metrik di area Analisis masuk:
| Area | Deskripsi |
|---|---|
| Logon pengguna unik per sistem | Memperlihatkan jumlah rincian masuk unik untuk setiap sistem SAP, dan grafik dengan tren masuk selama waktu yang dipilih untuk setiap sistem. Misalnya: sistem 012 memiliki upaya masuk unik 1,4 K dalam 14 hari terakhir, dan dalam 14 hari ini grafik menunjukkan tren masuk yang relatif meningkat. |
| Tren jenis log masuk | Memperlihatkan tren jumlah masuk sesuai dengan jenis, misalnya, masuk melalui dialog. Arahkan mouse ke atas grafik untuk memperlihatkan jumlah logon untuk tanggal yang berbeda. |
| Kegagalan masuk Vs. keberhasilan oleh pengguna unik - tren | Memperlihatkan tren masuk yang berhasil dan gagal dalam periode yang dipilih. Arahkan mouse ke atas grafik untuk memperlihatkan jumlah proses masuk yang berhasil dan gagal untuk tanggal yang berbeda. |
Kegagalan masuk - deteksi anomali
Area di bawah Deteksi anomali - memfilter upaya masuk yang gagal berisik menunjukkan data kegagalan masuk untuk sistem dan pengguna SAP. Untuk melihat hanya data yang ditandai oleh, pilih Anomali hanya di samping Logon gagal di sebelah kanan.
Untuk informasi selengkapnya, lihat Memantau log audit SAP.
Contohnya:
Tabel berikut ini menjelaskan setiap metrik di area Deteksi anomali:
| Area | Deskripsi |
|---|---|
| Anomali kegagalan log>masuk Anomali>kegagalan Pengguna Unik gagal masuk per sistem SAP | Menunjukkan jumlah proses masuk unik yang gagal untuk setiap sistem SAP. |
| SAP dan Direktori Aktif lebih baik bersama | Tabel Kegagalan masuk Anomali menunjukkan kombinasi data Microsoft Sentinel dan Microsoft Entra, mencantumkan pengguna sesuai dengan risiko, dengan pengguna paling berisiko di bagian atas. Untuk setiap pengguna, tabel menunjukkan: - Garis waktu upaya masuk yang gagal - Garis waktu yang menunjukkan di mana upaya anomali gagal terjadi - Jenis anomali - Alamat email pengguna - Indikator risiko Microsoft Entra - Jumlah insiden dan pemberitahuan di Microsoft Azure Sentinel Pilih baris pengguna untuk melihat daftar pemberitahuan dan insiden terkait. Peristiwa risiko Microsoft Entra tercantum di bawah audit Azure dan risiko masuk untuk pengguna. |
| Tingkat kegagalan masuk per sistem | Memperlihatkan sistem SAP yang dipilih, dikelompokkan menurut jenis, dengan jumlah kegagalan dalam periode yang dipilih. Warna sistem menunjukkan jumlah upaya yang gagal: Hijau untuk beberapa upaya masuk yang mencurigakan, dan merah untuk lebih banyak. Pilih sistem untuk melihat daftar rincian masuk yang gagal, dengan detail tentang kegagalan. |
Dalam cuplikan layar berikut, perhatikan data yang ditampilkan saat baris pertama dipilih dalam tabel Kegagalan masuk Anomali. Pemberitahuan dan URL insiden tertentu ditampilkan dalam gambaran umum Insiden/pemberitahuan untuk tabel pengguna .
Dalam cuplikan layar berikut, audit Azure dan risiko masuk untuk tabel pengguna memperlihatkan data untuk risiko masuk yang terkait dengan pengguna ini.
Dalam cuplikan layar berikut, perhatikan tingkat kegagalan Masuk per area sistem , di mana sistem 84e di bawah Grup pengujian dipilih. Logon Gagal untuk area sistem di sebelah kanan menunjukkan peristiwa kegagalan untuk sistem ini.
Kegagalan masuk - tren
Area tren kegagalan Masuk menunjukkan tren dan jumlah rincian masuk yang gagal, dikelompokkan menurut berbagai jenis data. Contohnya:
Tabel berikut ini menjelaskan setiap metrik di area tren kegagalan Masuk:
| Area | Deskripsi |
|---|---|
| Kegagalan masuk karena penyebabnya | Memperlihatkan tren jumlah kegagalan masuk sesuai dengan penyebab kegagalan, seperti data masuk yang salah. |
| Kegagalan masuk menurut jenis | Menunjukkan tren jumlah kegagalan masuk sesuai dengan jenis, seperti rincian masuk yang memicu pekerjaan latar belakang, atau masuk melalui HTTP. |
| Kegagalan masuk menurut metode | Menunjukkan tren jumlah kegagalan masuk sesuai dengan metode, seperti SNC atau tiket masuk. |
Tab laporan pemberitahuan log audit
Tab Pemberitahuan log audit menunjukkan data tentang peristiwa log Audit SAP yang ditonton solusi Microsoft Sentinel untuk aplikasi SAP. Data didasarkan pada daftar pengawasan SAP_Dynamic_Audit_Log_Monitor_Configuration.
Tab Pemberitahuan log audit menunjukkan tingkat keparahan dan tren audit untuk setiap sistem dan pengguna SAP. Semua area di tab ini hanya menampilkan data yang ditandai oleh deteksi anomali. Untuk semua peristiwa, pilih Semua di samping Gagal masuk di sebelah kanan.
Untuk informasi selengkapnya, lihat Memantau log audit SAP.
Contohnya:
Tabel berikut ini menjelaskan setiap metrik pada tab Pemberitahuan log audit:
| Area | Deskripsi |
|---|---|
| Tren tingkat keparahan pemberitahuan per ID sistem | Menampilkan daftar sistem, dengan grafik tren peristiwa tingkat keparahan Sedang dan Tinggi per sistem. Misalnya, sistem 012 memiliki banyak peristiwa tingkat keparahan Tinggi selama seluruh periode, dan beberapa peristiwa tingkat keparahan Sedang , dengan lonjakan yang menunjukkan lebih banyak peristiwa tingkat keparahan Sedang di tengah periode. |
| Tren audit per pengguna | Memperlihatkan kombinasi data Microsoft Sentinel dan Microsoft Entra, mencantumkan pengguna sesuai dengan risiko, dengan pengguna paling berisiko di bagian atas. Untuk setiap pengguna, buku kerja memperlihatkan data berikut: - Garis waktu peristiwa tingkat keparahan Tinggi dan Sedang - Alamat email pengguna - Indikator risiko Microsoft Entra - Jumlah insiden dan pemberitahuan di Microsoft Azure Sentinel Pilih baris untuk melihat daftar pemberitahuan dan insiden untuk pengguna tersebut di bawah Ringkasan insiden/pemberitahuan untuk pengguna. Lihat peristiwa risiko Microsoft Entra di bawah audit Azure dan risiko masuk untuk pengguna. |
| Skor risiko per sistem | Secara visual mewakili setiap sistem dalam bentuk sel, memperlihatkan skor risiko untuk setiap sistem dan sistem pengelompokan berdasarkan jenis. Warna sistem menunjukkan skor risiko sistem: Hijau untuk skor risiko yang lebih rendah dan merah untuk skor risiko yang lebih tinggi. Pilih sistem untuk melihat daftar peristiwa SAP per sistem. |
| Peristiwa berdasarkan taktik MITRE ATT&CK | Memperlihatkan daftar peristiwa SAP yang dikelompokkan menurut taktik MITRE ATT&CK, seperti Akses Awal atau Penggelapan Pertahanan. Arahkan mouse ke atas grafik untuk memperlihatkan jumlah rincian masuk untuk tanggal yang berbeda. |
| Peristiwa menurut kategori | Menampilkan daftar tren peristiwa SAP yang dikelompokkan menurut kategori, seperti Mulai atau Masuk RFC. Arahkan mouse ke atas grafik untuk memperlihatkan nomor masuk untuk tanggal yang berbeda. |
| Peristiwa menurut grup otorisasi | Menampilkan daftar tren peristiwa SAP yang dikelompokkan menurut grup otorisasi SAP, seperti USER atau SUPER. Arahkan mouse ke atas grafik untuk memperlihatkan jumlah rincian masuk untuk tanggal yang berbeda. |
| Peristiwa menurut jenis pengguna | Menampilkan daftar tren peristiwa SAP yang dikelompokkan menurut jenis pengguna SAP, seperti Dialog atau Sistem. Arahkan mouse ke atas grafik untuk memperlihatkan jumlah rincian masuk untuk tanggal yang berbeda. |
Dalam cuplikan layar berikut, perhatikan data yang ditampilkan saat baris pertama dipilih dalam tren Audit per tabel pengguna . Pemberitahuan dan URL insiden tertentu ditampilkan dalam gambaran umum Insiden/pemberitahuan untuk tabel pengguna .
Dalam cuplikan layar berikut, perhatikan skor Risiko per area sistem , di mana sistem cb7 di bawah grup UAT dipilih. Peristiwa SAP untuk area sistem di bawah visualisasi sistem menunjukkan peristiwa SAP untuk sistem ini.
Dalam cuplikan layar berikut, perhatikan area dengan peristiwa dan tren peristiwa yang dikelompokkan berdasarkan berbagai jenis data: taktik MITRE ATT&CK, grup otorisasi SAP, dan jenis pengguna.
Konten terkait
Untuk informasi selengkapnya, lihat Menyebarkan solusi Microsoft Azure Sentinel untuk aplikasi SAP dari hub konten dan solusi Microsoft Azure Sentinel untuk aplikasi SAP: referensi konten keamanan.