Solusi Microsoft Azure Sentinel untuk aplikasi SAP: referensi konten keamanan
Artikel ini merinci konten keamanan yang tersedia untuk solusi Microsoft Azure Sentinel untuk SAP.
Penting
Sementara solusi Microsoft Sentinel untuk aplikasi SAP berada di GA, beberapa komponen tertentu tetap dalam PRATINJAU. Artikel ini menunjukkan komponen yang ada dalam pratinjau di bagian yang relevan di bawah ini. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Konten keamanan yang tersedia menyertakan buku kerja dan aturan analitik bawaan. Anda juga dapat menambahkan daftar tonton terkait SAP untuk digunakan dalam playbook pencarian, aturan deteksi, perburuan ancaman, dan respons Anda.
Konten dalam artikel ini ditujukan untuk tim keamanan Anda.
Buku kerja bawaan
Gunakan buku kerja bawaan berikut untuk memvisualisasikan dan memantau data yang diserap melalui konektor data SAP. Setelah menyebarkan solusi SAP, Anda bisa menemukan buku kerja SAP di tab Templat .
| Nama buku kerja | Deskripsi | Log |
|---|---|---|
| SAP - Browser Log Audit | Menampilkan data seperti: - Kesehatan sistem umum, termasuk rincian masuk pengguna dari waktu ke waktu, peristiwa yang diserap oleh sistem, kelas pesan dan ID, dan program ABAP berjalan -Tingkat keparahan peristiwa yang terjadi dalam sistem Anda - Peristiwa autentikasi dan otorisasi yang terjadi di sistem Anda |
Menggunakan data dari log berikut: ABAPAuditLog_CL |
| Kontrol Audit SAP | Membantu Anda memeriksa kontrol keamanan lingkungan SAP Anda untuk kepatuhan terhadap kerangka kerja kontrol yang Anda pilih, menggunakan alat bagi Anda untuk melakukan hal berikut: - Menetapkan aturan analitik di lingkungan Anda ke kontrol keamanan dan keluarga kontrol tertentu - Memantau dan mengategorikan insiden yang dihasilkan oleh aturan analitik berbasis solusi SAP - Laporkan kepatuhan Anda |
Menggunakan data dari tabel berikut: - SecurityAlert- SecurityIncident |
Untuk informasi selengkapnya, lihat Tutorial: Memvisualisasikan dan memantau data Anda dan Menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.
Aktifkan aturan analitik bawaan
Bagian ini menjelaskan pilihan aturan analitik bawaan yang disediakan bersama dengan solusi Microsoft Sentinel untuk aplikasi SAP. Untuk pembaruan terbaru, periksa hub konten Microsoft Azure Sentinel untuk aturan baru dan yang diperbarui.
Memantau konfigurasi parameter keamanan SAP statis (Pratinjau)
Untuk mengamankan sistem SAP, SAP telah mengidentifikasi parameter terkait keamanan yang perlu dipantau untuk perubahan. Dengan aturan "Parameter Statis Sensitif SAP - (Pratinjau) telah Berubah", solusi Microsoft Sentinel untuk aplikasi SAP melacak lebih dari 52 parameter terkait keamanan statis dalam sistem SAP, yang dibangun ke dalam Microsoft Sentinel.
Catatan
Agar solusi Microsoft Sentinel untuk aplikasi SAP berhasil memantau parameter keamanan SAP, solusi perlu berhasil memantau tabel SAP PAHI secara berkala. Untuk informasi selengkapnya, lihat Memverifikasi bahwa tabel PAHI diperbarui secara berkala.
Untuk memahami perubahan parameter dalam sistem, solusi Microsoft Sentinel untuk aplikasi SAP menggunakan tabel riwayat parameter, yang merekam perubahan yang dilakukan pada parameter sistem setiap jam.
Parameter juga tercermin dalam daftar pengawasan SAPSystemParameters. Daftar pengawasan ini memungkinkan pengguna untuk menambahkan parameter baru, menonaktifkan parameter yang ada, dan memodifikasi nilai dan tingkat keparahan per parameter dan peran sistem di lingkungan produksi atau nonproduksi.
Ketika perubahan dilakukan pada salah satu parameter ini, Microsoft Sentinel memeriksa untuk melihat apakah perubahan tersebut terkait dengan keamanan dan apakah nilai diatur sesuai dengan nilai yang direkomendasikan. Jika perubahan dicurigai berada di luar zona aman, Microsoft Sentinel membuat insiden yang merinci perubahan, dan mengidentifikasi siapa yang melakukan perubahan.
Tinjau daftar parameter yang dipantau aturan ini.
Memantau log audit SAP
Banyak aturan analitik dalam solusi Microsoft Sentinel untuk aplikasi SAP menggunakan data log audit SAP. Beberapa aturan analitik mencari peristiwa tertentu dalam log, sementara yang lain menghubungkan indikasi dari beberapa log untuk membuat pemberitahuan dan insiden dengan keakuratan tinggi.
Gunakan aturan analitik berikut untuk memantau semua peristiwa log audit pada sistem SAP Anda atau memicu pemberitahuan hanya ketika anomali terdeteksi:
| Nama aturan | Deskripsi |
|---|---|
| SAP - Konfigurasi yang hilang di Monitor Log Audit Keamanan Dinamis | Secara default, berjalan setiap hari untuk memberikan rekomendasi konfigurasi untuk modul log audit SAP. Gunakan templat aturan untuk membuat dan mengkustomisasi aturan untuk ruang kerja Anda. |
| SAP - Monitor Log Audit Deterministik Dinamis (PRATINJAU) | Secara default, berjalan setiap 10 menit dan berfokus pada peristiwa log audit SAP yang ditandai sebagai Deterministik. Gunakan templat aturan untuk membuat dan mengkustomisasi aturan untuk ruang kerja Anda, seperti untuk tingkat positif palsu yang lebih rendah. Aturan ini memerlukan ambang batas pemberitahuan deterministik dan aturan pengecualian pengguna. |
| SAP - Peringatan Monitor Log Audit berbasis Anomali Dinamis (PRATINJAU) | Secara default, berjalan per jam dan berfokus pada peristiwa SAP yang ditandai sebagai AnomaliOnly, memperingatkan peristiwa log audit SAP saat anomali terdeteksi. Aturan ini menerapkan algoritma pembelajaran mesin tambahan untuk memfilter kebisingan latar belakang dengan cara yang tidak diawasi. |
Secara default, sebagian besar jenis peristiwa atau ID pesan SAP dalam log audit SAP dikirim ke aturan analitik Pemberitahuan Monitor Log Audit (PRATINJAU) berbasis Anomali Dinamis berbasis anomali, sementara semakin mudah untuk menentukan jenis peristiwa dikirim ke aturan analitik Monitor Log Audit Deterministik Dinamis (PRATINJAU) deterministik. Pengaturan ini, bersama dengan pengaturan terkait lainnya, dapat dikonfigurasi lebih lanjut agar sesuai dengan kondisi sistem apa pun.
Aturan pemantauan log audit SAP dikirimkan sebagai bagian dari konten keamanan solusi Microsoft Azure Sentinel untuk SAP, dan memungkinkan penyempurnaan lebih lanjut menggunakan daftar tonton SAP_Dynamic_Audit_Log_Monitor_Configuration dan SAP_User_Config.
Misalnya, tabel berikut mencantumkan beberapa contoh bagaimana Anda dapat menggunakan daftar pengawasan SAP_Dynamic_Audit_Log_Monitor_Configuration untuk mengonfigurasi jenis peristiwa yang menghasilkan insiden, mengurangi jumlah insiden yang dihasilkan.
| Opsi | Deskripsi |
|---|---|
| Mengatur tingkat keparahan dan menonaktifkan peristiwa yang tidak diinginkan | Secara default, aturan deterministik dan aturan berdasarkan anomali membuat pemberitahuan untuk peristiwa yang ditandai dengan tingkat keparahan sedang dan tinggi. Anda mungkin ingin mengonfigurasi tingkat keparahan secara terpisah lingkungan produksi dan nonproduksi. Misalnya, Anda dapat mengatur peristiwa aktivitas penelusuran kesalahan sebagai tingkat keparahan tinggi dalam sistem produksi, dan menonaktifkan peristiwa yang sama sepenuhnya dalam sistem nonproduksi. |
| Mengecualikan pengguna dengan peran SAP atau profil SAP mereka | Microsoft Sentinel untuk SAP menyerap profil otorisasi pengguna SAP, termasuk penetapan peran, grup, dan profil langsung dan tidak langsung, sehingga Anda dapat berbicara bahasa SAP di SIEM Anda. Anda mungkin ingin mengonfigurasi peristiwa SAP untuk mengecualikan pengguna berdasarkan peran dan profil SAP mereka. Di daftar pengawasan, tambahkan peran atau profil yang mengelompokkan pengguna antarmuka RFC Anda di kolom RolesTagsToExclude , di samping akses tabel Generik oleh peristiwa RFC . Konfigurasi ini hanya memicu pemberitahuan untuk pengguna yang kehilangan peran ini. |
| Mengecualikan pengguna dengan tag SOC mereka | Gunakan tag untuk membuat pengelompokan Anda sendiri, tanpa mengandalkan definisi SAP yang rumit atau bahkan tanpa otorisasi SAP. Metode ini berguna untuk tim SOC yang ingin membuat pengelompokan mereka sendiri untuk pengguna SAP. Misalnya, jika Anda tidak ingin akun layanan tertentu diberi tahu untuk akses tabel Generik oleh peristiwa RFC , tetapi tidak dapat menemukan peran SAP atau profil SAP yang mengelompokkan pengguna ini, gunakan tag sebagai berikut: 1. Tambahkan tag GenTableRFCReadOK di samping peristiwa yang relevan dalam daftar pengawasan. 2. Buka daftar pengawasan SAP_User_Config dan tetapkan pengguna antarmuka tag yang sama. |
| Tentukan ambang frekuensi per jenis peristiwa dan peran sistem | Bekerja seperti batas kecepatan. Misalnya, Anda dapat mengonfigurasi peristiwa Perubahan Rekaman Master Pengguna untuk hanya memicu pemberitahuan jika lebih dari 12 aktivitas diamati dalam satu jam, oleh pengguna yang sama dalam sistem produksi. Jika pengguna melebihi batas 12 per jam—misalnya, 2 peristiwa dalam jendela 10 menit—insiden dipicu. |
| Determinisme atau anomali | Jika Anda mengetahui karakteristik acara, gunakan kemampuan deterministik. Jika Anda tidak yakin cara mengonfigurasi peristiwa dengan benar, izinkan kemampuan pembelajaran mesin untuk memutuskan untuk memulai, lalu buat pembaruan berikutnya sesuai kebutuhan. |
| Kemampuan SOAR | Gunakan Microsoft Azure Sentinel untuk mengatur, mengotomatiskan, dan merespons insiden yang dibuat oleh pemberitahuan dinamis log audit SAP. Untuk informasi selengkapnya, lihat Otomatisasi di Microsoft Azure Sentinel: Orkestrasi keamanan, otomatisasi, dan respons (SOAR). |
Untuk informasi selengkapnya, lihat Daftar pengawasan yang tersedia dan Microsoft Sentinel untuk SAP News - Fitur Monitor Log Audit Keamanan SAP Dinamis tersedia sekarang! (blog).
Akses awal
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - Masuk dari jaringan tak terduga | Mengidentifikasi masuk dari jaringan tak terduga. Pertahankan jaringan di daftar pengawasan SAP - Networks. |
Masuk ke sistem backend dari alamat IP yang tidak ditetapkan ke salah satu jaringan. Sumber data: SAPcon - Jejak Audit |
Akses Awal |
| SAP - SPNego Attack | Mengidentifikasi Serangan Putar Ulang SPNego. | Sumber data: SAPcon - Jejak Audit | Dampak, Gerakan Lateral |
| SAP - Upaya masuk dialog dari pengguna istimewa | Mengidentifikasi upaya masuk dialog, dengan jenis AUM , oleh pengguna istimewa dalam sistem SAP. Untuk informasi selengkapnya, lihat SAPUsersGetPrivileged. | Mencoba masuk dari alamat IP yang sama ke beberapa sistem atau klien dalam interval waktu yang dijadwalkan Sumber data: SAPcon - Jejak Audit |
Dampak, Gerakan Lateral |
| SAP - Serangan brute force | Mengidentifikasi serangan brute force pada sistem SAP menggunakan masuk RFC | Mencoba masuk dari IP yang sama ke beberapa sistem/klien dalam interval waktu terjadwal menggunakan RFC Sumber data: SAPcon - Jejak Audit |
Akses Info Masuk |
| SAP - Beberapa Masuk menurut IP | Mengidentifikasi masuknya beberapa pengguna dari alamat IP yang sama dalam interval waktu yang dijadwalkan. Kasus sub-penggunaan: Persistensi |
Masuk menggunakan beberapa pengguna melalui alamat IP yang sama. Sumber data: SAPcon - Jejak Audit |
Akses Awal |
|
SAP - Beberapa Upaya Masuk oleh Pengguna Hanya didukung untuk agen konektor data. Tidak tersedia dengan solusi tanpa agen SAP (pratinjau terbatas). |
Mengidentifikasi masuk pengguna yang sama dari beberapa terminal dalam interval waktu yang dijadwalkan. Hanya tersedia melalui metode Audit SAL, untuk versi SAP 7.5 dan yang lebih tinggi. |
Masuk menggunakan pengguna yang sama, menggunakan alamat IP yang berbeda. Sumber data: SAPcon - Jejak Audit |
Pra-serangan, Akses Kredensial, Akses Awal, Koleksi Kasus sub-penggunaan: Persistensi |
| SAP - Informasi - Siklus Hidup - SAP Notes diimplementasikan dalam sistem | Mengidentifikasi implementasi SAP Note dalam sistem. | Menerapkan SAP Note menggunakan SNOTE/TCI. Sumber data: SAPcon - Permintaan Pengubahan |
- |
| SAP - (Pratinjau) AS JAVA - Pengguna Dengan Hak Istimewa Sensitif Masuk | Mengidentifikasi masuk dari jaringan tak terduga. Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa. |
Masuk ke sistem backend menggunakan pengguna istimewa. Sumber data: SAPJAVAFilesLog |
Akses Awal |
| SAP - (Pratinjau) AS JAVA - Masuk dari Jaringan Tak Terduga | Mengidentifikasi rincian masuk dari jaringan tak terduga. Pertahankan pengguna istimewa di daftar tonton SAP - Jaringan . |
Masuk ke sistem backend dari alamat IP yang tidak ditetapkan ke salah satu jaringan dalam daftar pengawasan SAP - Networks Sumber data: SAPJAVAFilesLog |
Akses Awal, Pengintaian Pertahanan |
Penyelundupan data
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - FTP untuk server yang tidak diotorisasi | Mengidentifikasi koneksi FTP untuk server yang tidak sah. | Buat koneksi FTP baru, seperti dengan menggunakan modul FTP_CONNECT Modul Fungsi. Sumber data: SAPcon - Jejak Audit |
Penemuan, Akses Awal, Perintah dan Kontrol |
| SAP - Konfigurasi server FTP tidak aman | Mengidentifikasi konfigurasi server FTP yang tidak aman, seperti ketika daftar perbolehkan FTP kosong atau berisi tempat penampung. | Jangan pertahankan atau pertahankan nilai yang berisi tempat penampung dalam SAPFTP_SERVERS tabel, menggunakan SAPFTP_SERVERS_V tampilan pemeliharaan. (SM30) Sumber data: SAPcon - Jejak Audit |
Akses Awal, Perintah, dan Kontrol |
| SAP - Beberapa Unduhan File | Mengidentifikasi beberapa unduhan file untuk pengguna dalam rentang waktu tertentu. | Unduh beberapa file menggunakan SAPGui untuk Excel, daftar, dan sebagainya. Sumber data: SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Akses Info Masuk |
| SAP - Beberapa Eksekusi Penampung | Mengidentifikasi beberapa penampung untuk pengguna dalam rentang waktu tertentu. | Buat dan jalankan beberapa pekerjaan penampung dari jenis apa pun oleh pengguna. (SP01) Sumber data: SAPcon - Log Penampung, SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Akses Info Masuk |
| SAP - Beberapa Eksekusi Output Penampung | Mengidentifikasi beberapa penampung untuk pengguna dalam rentang waktu tertentu. | Buat dan jalankan beberapa pekerjaan penampung dari jenis apa pun oleh pengguna. (SP01) Sumber data: SAPcon - Log Output Penampung, SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Akses Info Masuk |
| SAP - Tabel Sensitif Akses Langsung Menurut Masuk RFC | Mengidentifikasi akses tabel generik dengan masuk RFC. Pertahankan tabel di daftar pengawasan SAP - Tabel Sensitif. Relevan hanya untuk sistem produksi. |
Buka konten tabel menggunakan SE11/SE16/SE16N. Sumber data: SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Akses Info Masuk |
| SAP - Pengambilalihan Penampung | Mengidentifikasi pengguna yang mencetak permintaan penampung yang dibuat oleh orang lain. | Buat permintaan penampung menggunakan satu pengguna, lalu keluarkan dalam menggunakan pengguna lain. Sumber data: SAPcon - Log Penampung, SAPcon - Log Output Penampung, SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi, Perintah, dan Kontrol |
| SAP - Tujuan RFC Dinamis | Mengidentifikasi eksekusi RFC menggunakan tujuan dinamis. Kasus sub-penggunaan: Upaya untuk melewati mekanisme keamanan SAP |
Jalankan laporan ABAP yang menggunakan tujuan dinamis (cl_dynamic_destination). Misalnya, DEMO_RFC_DYNAMIC_DEST. Sumber data: SAPcon - Jejak Audit |
Kumpulan, Eksfiltrasi |
| SAP - Tabel Sensitif Akses Langsung Menurut Masuk Dialog | Mengidentifikasi akses tabel generik melalui masuk dialog. | Buka konten tabel menggunakan SE11/SE16/SE16N. Sumber data: SAPcon - Jejak Audit |
Penemuan |
| SAP - (Pratinjau) File yang Diunduh Dari Alamat IP Berbahaya | Mengidentifikasi pengunduhan file dari sistem SAP menggunakan alamat IP yang diketahui berbahaya. Alamat IP berbahaya diperoleh dari layanan inteligensi ancaman. | Unduh file dari IP berbahaya. Sumber data: Log Audit keamanan SAP, Inteligensi Ancaman |
Penyelundupan |
| SAP - (Pratinjau) Data yang Diekspor dari Sistem Produksi menggunakan Transportasi | Mengidentifikasi ekspor data dari sistem produksi menggunakan transportasi. Transportasi digunakan dalam sistem pengembangan dan mirip dengan permintaan pull. Aturan pemberitahuan ini memicu insiden dengan tingkat keparahan sedang saat transportasi yang menyertakan data dari tabel apa pun dirilis dari sistem produksi. Aturan ini membuat insiden tingkat keparahan tinggi saat ekspor menyertakan data dari tabel sensitif. | Merilis transportasi dari sistem produksi. Sumber data: Log SAP CR, SAP - Tabel Sensitif |
Penyelundupan |
| SAP - (Pratinjau) Data Sensitif Disimpan ke drive USB | Mengidentifikasi ekspor data SAP melalui file. Aturan memeriksa data yang disimpan ke drive USB yang baru-baru ini dipasang di dekat eksekusi transaksi sensitif, program sensitif, atau akses langsung ke tabel sensitif. | Ekspor data SAP melalui file dan simpan ke drive USB. Sumber data: Log Audit Keamanan SAP, DeviceFileEvents (Microsoft Defender untuk Titik Akhir), SAP - Tabel Sensitif, SAP - Transaksi Sensitif, SAP - Program Sensitif |
Penyelundupan |
| SAP - (Pratinjau) Pencetakan data yang Berpotensi Sensitif | Mengidentifikasi permintaan atau pencetakan aktual data yang berpotensi sensitif. Data dianggap sensitif jika pengguna mendapatkan data sebagai bagian dari transaksi sensitif, eksekusi program sensitif, atau akses langsung ke tabel sensitif. | Cetak atau minta untuk mencetak data sensitif. Sumber data: Log Audit Keamanan SAP, log SAP Spool, SAP - Tabel Sensitif, SAP - Program Sensitif |
Penyelundupan |
| SAP - (Pratinjau) Volume Tinggi Data yang Berpotensi Sensitif Diekspor | Mengidentifikasi ekspor data dalam volume tinggi melalui file yang berdekatan dengan eksekusi transaksi sensitif, program sensitif, atau akses langsung ke tabel sensitif. | Ekspor data dalam volume tinggi melalui file. Sumber data: Log Audit Keamanan SAP, SAP - Tabel Sensitif, SAP - Transaksi Sensitif, SAP - Program Sensitif |
Penyelundupan |
Persistensi
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - Pengaktifan atau Penonaktifan Layanan ICF | Mengidentifikasi aktivasi atau penonaktifan Layanan ICF. | Mengaktifkan layanan menggunakan SICF. Sumber data: SAPcon - Log Data Tabel |
Komando dan Kontrol, Gerakan Lateral, Kegigihan |
| SAP - Modul Fungsi teruji | Mengidentifikasi pengujian modul fungsi. | Uji modul fungsi menggunakan SE37 / SE80. Sumber data: SAPcon - Jejak Audit |
Kumpulan, Penghindaran Pertahanan, Gerakan Lateral |
| SAP - (PRATINJAU) HANA DB - Tindakan Admin Pengguna | Mengidentifikasi tindakan administrasi pengguna. | Membuat, memperbarui, atau menghapus pengguna database. Sumber Data: Agen Linux - Syslog* |
Eskalasi Hak Istimewa |
| SAP - Penghandel Layanan ICF Baru | Mengidentifikasi penciptaan Peng-handel ICF. | Tetapkan peng-handel baru ke layanan menggunakan SICF. Sumber data: SAPcon - Jejak Audit |
Komando dan Kontrol, Gerakan Lateral, Kegigihan |
| SAP - Layanan ICF Baru | Mengidentifikasi pembuatan Layanan ICF. | Buat layanan menggunakan SICF. Sumber data: SAPcon - Log Data Tabel |
Komando dan Kontrol, Gerakan Lateral, Kegigihan |
| SAP - Eksekusi Modul Fungsi Usang atau Tidak Aman | Mengidentifikasi pelaksanaan modul fungsi ABAP yang usang atau tidak aman. Pertahankan fungsi usang dalam daftar tonton SAP - Modul Fungsi Usang. Pastikan untuk mengaktifkan perubahan pembuatan log tabel untuk tabel EUFUNC di backend. (SE13)Relevan hanya untuk sistem produksi. |
Jalankan modul fungsi usang atau tidak aman langsung menggunakan SE37. Sumber data: SAPcon - Log Data Tabel |
Penemuan, Perintah, dan Kontrol |
|
SAP - Eksekusi Program Usang/Tidak Aman Hanya didukung untuk agen konektor data. Tidak tersedia dengan solusi tanpa agen SAP (pratinjau terbatas). |
Mengidentifikasi pelaksanaan program ABAP yang usang atau tidak aman. Pertahankan program usang dalam daftar pengawasan SAP - Program Usang. Relevan hanya untuk sistem produksi. |
Jalankan program langsung menggunakan SE38/SA38/SE80, atau dengan menggunakan pekerjaan latar belakang. Sumber data: SAPcon - Jejak Audit |
Penemuan, Perintah, dan Kontrol |
| SAP - Beberapa Perubahan Kata Sandi | Mengidentifikasi beberapa perubahan kata sandi oleh pengguna. | Mengubah kata sandi pengguna Sumber data: SAPcon - Jejak Audit |
Akses Info Masuk |
| SAP - (Pratinjau) AS JAVA - Pengguna Membuat dan Menggunakan Pengguna Baru | Mengidentifikasi pembuatan atau manipulasi pengguna oleh admin dalam lingkungan SAP AS Java. | Masuk ke sistem backend menggunakan pengguna yang telah Anda buat atau manipulasi. Sumber data: SAPJAVAFilesLog |
Persistensi |
Upaya untuk melewati mekanisme keamanan SAP
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - Perubahan Konfigurasi Klien | Mengidentifikasi perubahan untuk konfigurasi klien seperti peran klien atau mode perekaman perubahan. | Lakukan perubahan konfigurasi klien menggunakan kode transaksi SCC4. Sumber data: SAPcon - Jejak Audit |
Penghindaran Pertahanan, Eksfiltrasi, Kegigihan |
| SAP - Data telah Berubah selama Aktivitas Penelusuran Kesalahan | Mengidentifikasi perubahan untuk data runtime selama aktivitas debugging. Kasus sub-penggunaan: Persistensi |
1. Aktifkan Debug ("/h"). 2. Pilih bidang untuk perubahan dan perbarui nilainya. Sumber data: SAPcon - Jejak Audit |
Eksekusi, Gerakan Lateral |
| SAP - Penonaktifan Log Audit Keamanan | Mengidentifikasi penonaktifan Jejak Audit Keamanan, | Nonaktifkan Jejak Audit keamanan menggunakan SM19/RSAU_CONFIG. Sumber data: SAPcon - Jejak Audit |
Eksfiltrasi, Penghindaran Pertahanan, Kegigihan |
| SAP - Eksekusi Program ABAP Sensitif | Mengidentifikasi eksekusi langsung dari program ABAP yang sensitif. Pertahankan Program ABAP dalam daftar tonton SAP - Program ABAP Sensitif. |
Jalankan program secara langsung menggunakan SE38/SA38/SE80. Sumber data: SAPcon - Jejak Audit |
Eksfiltrasi, Gerakan Lateral, Eksekusi |
| SAP - Eksekusi Kode Transaksi Sensitif | Mengidentifikasi eksekusi Kode Transaksi sensitif. Pertahankan kode transaksi dalam daftar tontonSAP - Kode Transaksi Sensitif. |
Jalankan kode transaksi sensitif. Sumber data: SAPcon - Jejak Audit |
Penemuan, Eksekusi |
| SAP - Eksekusi Modul Fungsi Sensitif | Mengidentifikasi eksekusi modul fungsi ABAP yang sensitif. Kasus sub-penggunaan: Persistensi Relevan hanya untuk sistem produksi. Pertahankan fungsi sensitif dalam daftar tonton SAP - Modul Fungsi Sensitif, dan pastikan untuk mengaktifkan perubahan pencatatan tabel di backend untuk tabel EUFUNC. (SE13) |
Jalankan modul fungsi sensitif secara langsung menggunakan SE37. Sumber data: SAPcon - Log Data Tabel |
Penemuan, Perintah, dan Kontrol |
| SAP - (PRATINJAU) HANA DB - Perubahan Kebijakan Jejak Audit | Mengidentifikasi perubahan untuk kebijakan jejak audit HANA DB. | Membuat atau memperbarui kebijakan audit yang ada dalam definisi keamanan. Sumber data: Agen Linux - Syslog |
Gerakan Lateral, Penghindaran Pertahanan |
| SAP - (PRATINJAU) HANA DB - Pennonaktifkan Jejak Audit | Mengidentifikasi penonaktifan log audit HANA DB. | Menonaktifkan log audit dalam definisi keamanan HANA DB. Sumber data: Agen Linux - Syslog |
Kegigihan, Gerakan Lateral, Penghindaran Pertahanan |
| SAP - Eksekusi Jarak Jauh Yang Tidak Sah dari Modul Fungsi Sensitif | Mendeteksi eksekusi FM sensitif yang tidak sah dengan membandingkan aktivitas dengan profil otorisasi pengguna sambil mengacuhkan otorisasi yang baru-baru ini berubah. Pertahankan modul fungsi dalam daftar pengawasan SAP - Modul Fungsi Sensitif. |
Jalankan modul fungsi menggunakan RFC. Sumber data: SAPcon - Jejak Audit |
Eksekusi, Gerakan Lateral, Penemuan |
| SAP - Perubahan Konfigurasi Sistem | Mengidentifikasi perubahan untuk konfigurasi sistem. | Menyesuaikan opsi perubahan sistem atau modifikasi komponen perangkat lunak menggunakan kode transaksi SE06.Sumber data: SAPcon - Jejak Audit |
Eksfiltrasi, Penghindaran Pertahanan, Kegigihan |
| SAP - Aktivitas Penelusuran Kesalahan | Mengidentifikasi semua aktivitas terkait debugging. Kasus sub-penggunaan: Persistensi |
Aktifkan Debug ("/h") dalam sistem, debug proses aktif, tambahkan titik henti ke kode sumber, dan sebagainya. Sumber data: SAPcon - Jejak Audit |
Penemuan |
| SAP - Perubahan Konfigurasi Log Audit Keamanan | Mengidentifikasi perubahan dalam konfigurasi Jejak Audit Keamanan | Ubah Konfigurasi Jejak Audit Keamanan apa pun menggunakan SM19/RSAU_CONFIG, seperti filter, status, mode perekaman, dan sebagainya. Sumber data: SAPcon - Jejak Audit |
Kegigihan, Eksfiltrasi, Penghindaran Pertahanan |
| SAP - Transaksi tidak terkunci | Mengidentifikasi pembukaan kunci transaksi. | Buka kunci kode transaksi menggunakan SM01/SM01_DEV/SM01_CUS. Sumber data: SAPcon - Jejak Audit |
Kegigihan,Eksekusi |
| SAP - Program ABAP Dinamis | Mengidentifikasi eksekusi pemrograman ABAP dinamis. Misalnya, ketika kode ABAP dibuat, diubah, atau dihapus secara dinamis. Pertahankan kode transaksi yang dikecualikan dalam daftar tonton SAP - Transaksi untuk Pembuatan ABAP. |
Buat Laporan ABAP yang menggunakan perintah pembuatan program ABAP, seperti INSERT REPORT, lalu jalankan laporan. Sumber data: SAPcon - Jejak Audit |
Penemuan, Perintah dan Kontrol, Dampak |
Operasi hak istimewa yang mencurigakan
| Nama aturan | Deskripsi | Tindakan sumber | Taktik |
|---|---|---|---|
| SAP - Perubahan pada Pengguna Dengan Hak Istimewa Sensitif | Mengidentifikasi perubahan pengguna hak istimewa yang sensitif. Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa. |
Ubah detail/otorisasi pengguna menggunakan SU01. Sumber data: SAPcon - Jejak Audit |
Eskalasi Hak Istimewa, Akses Info Masuk |
| SAP - (PARTINJAU) HANA DB - Tetapkan Otorisasi Admin | Mengidentifikasi hak istimewa admin atau penetapan peran. | Tetapkan pengguna dengan peran atau hak istimewa admin apa pun. Sumber data: Agen Linux - Syslog |
Eskalasi Hak Istimewa |
| SAP - Pengguna istimewa sensitif masuk | Mengidentifikasi dialog masuk dari pengguna istimewa yang sensitif. Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa. |
Masuk ke sistem backend menggunakan SAP* atau pengguna istimewa lainnya. Sumber data: SAPcon - Jejak Audit |
Akses Awal, Akses Info Masuk |
| SAP - Pengguna istimewa sensitif membuat perubahan pada pengguna lain | Mengidentifikasi perubahan pengguna yang sensitif dan istimewa pada pengguna lain. | Ubah detail/otorisasi pengguna menggunakan SU01. Sumber data: SAPcon - Log Audit |
Eskalasi Hak Istimewa, Akses Info Masuk |
| SAP - Perubahan Kata Sandi Pengguna Sensitif dan Masuk | Mengidentifikasi perubahan kata sandi untuk pengguna istimewa. | Ubah kata sandi untuk pengguna hak istimewa dan masuk ke sistem. Pertahankan pengguna hak istimewa dalam daftar tonton SAP - Pengguna Hak Istimewa. Sumber data: SAPcon - Jejak Audit |
Dampak, Komando dan Kontrol, Eskalasi Hak Istimewa |
| SAP - Pengguna Membuat dan menggunakan pengguna baru | Mengidentifikasi pengguna yang membuat dan menggunakan pengguna lain. Kasus sub-penggunaan: Persistensi |
Buat pengguna menggunakan SU01, lalu masuk dengan pengguna yang baru dibuat dan alamat IP yang sama. Sumber data: SAPcon - Jejak Audit |
Penemuan, Pra-Serangan, Akses Awal |
| SAP - Pengguna Membuka Kunci dan menggunakan pengguna lain | Mengidentifikasi pengguna yang sedang tidak terkunci dan digunakan oleh pengguna lain. Kasus sub-penggunaan: Persistensi |
Buka kunci pengguna menggunakan SU01, lalu masuk menggunakan pengguna yang tidak terkunci dan alamat IP yang sama. Sumber data: SAPcon - Audit Log, SAPcon - Log Perubahan Dokumen |
Penemuan, Pra-Serangan, Akses Awal, Gerakan Lateral |
| SAP - Penugasan profil sensitif | Mengidentifikasi tugas baru profil sensitif kepada pengguna. Pertahankan profil sensitif di daftar tonton SAP - Profil Sensitif. |
Tetapkan profil untuk pengguna menggunakan SU01. Sumber data: SAPcon - Ubah Log Dokumen |
Eskalasi Hak Istimewa |
| SAP - Penetapan peran sensitif | Mengidentifikasi tugas baru untuk peran sensitif kepada pengguna. Pertahankan peran sensitif dalam daftar tonton SAP - Peran Sensitif. |
Menetapkan peran kepada pengguna menggunakan SU01 / PFCG. Sumber data: SAPcon - Ubah Log Dokumen, Log Audit |
Eskalasi Hak Istimewa |
| SAP - (PRATINJAU) Penugasan otorisasi kritis - Nilai Otorisasi Baru | Mengidentifikasi penetapan nilai objek otorisasi kritis kepada pengguna baru. Pertahankan objek otorisasi kritis dalam daftar tonton SAP - Objek Otorisasi Kritis. |
Tetapkan objek otorisasi baru atau perbarui objek yang sudah ada dalam peran, menggunakan PFCG. Sumber data: SAPcon - Ubah Log Dokumen |
Eskalasi Hak Istimewa |
| SAP - Penugasan otorisasi kritis - Penugasan Pengguna Baru | Mengidentifikasi penetapan nilai objek otorisasi kritis kepada pengguna baru. Pertahankan objek otorisasi kritis dalam daftar tonton SAP - Objek Otorisasi Kritis. |
Tetapkan pengguna baru ke peran yang memegang nilai otorisasi penting, menggunakan SU01/PFCG. Sumber data: SAPcon - Ubah Log Dokumen |
Eskalasi Hak Istimewa |
| SAP - Perubahan Peran Sensitif | Mengidentifikasi perubahan dalam peran sensitif. Pertahankan peran sensitif dalam daftar tonton SAP - Peran Sensitif. |
Ubah peran menggunakan PFCG. Sumber data: SAPcon - Ubah Log Dokumen, SAPcon – Jejak Audit |
Dampak, Eskalasi Hak Istimewa, Kegigihan |
Daftar tonton yang tersedia
Tabel berikut mencantumkan daftar pengawasan yang tersedia untuk solusi Microsoft Sentinel untuk aplikasi SAP, dan bidang di setiap daftar pengawasan.
Daftar tonton ini menyediakan konfigurasi untuk solusi Microsoft Sentinel untuk aplikasi SAP. Daftar tonton SAP tersedia di repositori GitHub Microsoft Sentinel.
| Nama daftar tonton | Deskripsi dan bidang |
|---|---|
| SAP - Otorisasi Kritis | Otorisasi Kritis keberatan, di mana penugasan harus diatur. - AuthorizationObject: Objek otorisasi SAP, seperti S_DEVELOP, S_TCODE, atau Table TOBJ - AuthorizationField: Bidang otorisasi SAP, seperti OBJTYP atau TCD - AuthorizationValue: Nilai bidang otorisasi SAP, seperti DEBUG - ActivityField : Bidang aktivitas SAP. Untuk sebagian besar kasus, nilai ini adalah ACTVT. Untuk objek Otorisasi tanpa Aktivitas,atau hanya dengan bidang Aktivitas, diisi dengan NOT_IN_USE. - Aktivitas: Aktivitas SAP, sesuai dengan objek otorisasi, seperti: 01 : Buat; 02 : Ubah; : 03 Tampilan, dan sebagainya. - Deskripsi: Deskripsi Objek Otorisasi Kritis yang bermakna. |
| SAP - Jaringan Yang Dikecualikan | Untuk pemeliharaan internal jaringan yang dikecualikan, seperti mengabaikan dispatcher web, server terminal, dan sebagainya. - Jaringan: Alamat atau rentang IP jaringan, seperti 111.68.128.0/17. - Deskripsi: Deskripsi jaringan yang bermakna. |
| Pengguna Yang Dikecualikan SAP | Pengguna sistem yang masuk ke sistem dan harus diabaikan. Misalnya, pemberitahuan untuk beberapa masuk oleh pengguna yang sama. - Pengguna: Pengguna SAP - Deskripsi: Deskripsi pengguna yang bermakna. |
| SAP - Jaringan | Jaringan internal dan pemeliharaan untuk identifikasi login yang tidak sah. - Jaringan: Alamat IP jaringan atau jangkauan, seperti 111.68.128.0/17 - Deskripsi: Deskripsi jaringan yang bermakna. |
| SAP - Pengguna Hak Istimewa | Pengguna istimewa yang berada di bawah batasan tambahan. - Pengguna: pengguna ABAP, DDIC seperti atau SAP - Deskripsi: Deskripsi pengguna yang bermakna. |
| SAP - Program ABAP Sensitif | Program ABAP sensitif (laporan), tempat eksekusi harus diatur. - ABAPProgram: Program atau laporan ABAP, seperti RSPFLDOC - Deskripsi: Deskripsi program yang bermakna. |
| SAP - Modul Fungsi Sensitif | Jaringan internal dan pemeliharaan untuk identifikasi login yang tidak sah. - FunctionModule: Modul fungsi ABAP, seperti RSAU_CLEAR_AUDIT_LOG - Deskripsi: Deskripsi modul yang bermakna. |
| SAP - Profil Sensitif | Profil sensitif, di mana tugas harus diatur. - Profile: Profil otorisasi SAP, seperti SAP_ALL atau SAP_NEW - Deskripsi: Deskripsi profil yang bermakna. |
| SAP - Tabel Sensitif | Tabel sensitif, di mana akses harus diatur. - Tabel: Tabel Kamus ABAP, seperti USR02 atau PA008 - Deskripsi: Deskripsi tabel yang bermakna. |
| SAP - Peran Sensitif | Peran sensitif, di mana penugasan harus diatur. - Peran: Peran otorisasi SAP, seperti SAP_BC_BASIS_ADMIN - Deskripsi: Deskripsi peran yang bermakna. |
| SAP - Transaksi Sensitif | Transaksi sensitif di mana eksekusi harus diatur. - Kode Transaksi: Kode transaksi SAP, seperti RZ11 - Deskripsi: Deskripsi kode yang bermakna. |
| SAP - Sistem | Menjelaskan lanskap sistem SAP sesuai dengan peran, penggunaan, dan konfigurasi. - SystemID: ID sistem SAP (SYSID) - SystemRole: peran sistem SAP, salah satu nilai berikut: Sandbox, Development, Quality Assurance, Training, Production - SystemUsage: Penggunaan sistem SAP, salah satu nilai berikut: ERP, BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: parameter dinamis opsional untuk digunakan dalam playbook. |
| SAPSystemParameters | Parameter untuk mengawasi perubahan konfigurasi yang mencurigakan. Daftar pengawasan ini telah diisi sebelumnya dengan nilai yang direkomendasikan (sesuai dengan praktik terbaik SAP), dan Anda dapat memperluas daftar pengawasan untuk menyertakan lebih banyak parameter. Jika Anda tidak ingin menerima pemberitahuan untuk parameter, atur EnableAlerts ke false.- ParameterName: Nama parameter. - Komentar: Deskripsi parameter standar SAP. - EnableAlerts: Menentukan apakah akan mengaktifkan pemberitahuan untuk parameter ini. Nilai adalah true dan false.- Opsi: Menentukan dalam hal ini untuk memicu pemberitahuan: Jika nilai parameter lebih besar atau sama dengan ( GE), kurang atau sama dengan (LE), atau sama dengan (EQ)Misalnya, jika login/fails_to_user_lock parameter SAP diatur ke LE (kurang atau sama dengan), dan nilai 5, setelah Microsoft Sentinel mendeteksi perubahan pada parameter spesifik ini, parameter tersebut membandingkan nilai yang baru dilaporkan dan nilai yang diharapkan. Jika nilai baru adalah 4, Microsoft Azure Sentinel tidak memicu pemberitahuan. Jika nilai baru adalah 6, Microsoft Azure Sentinel memicu pemberitahuan.- ProductionSeverity: Tingkat keparahan insiden untuk sistem produksi. - ProductionValues: Nilai yang diizinkan untuk sistem produksi. - NonProdSeverity: Tingkat keparahan insiden untuk sistem nonproduksi. - NonProdValues: Nilai yang diizinkan untuk sistem nonproduksi. |
| SAP - Pengguna yang Dikecualikan | Pengguna sistem yang masuk dan perlu diabaikan, seperti untuk Beberapa log masuk menurut pemberitahuan pengguna. - Pengguna: Pengguna SAP - Deskripsi: Deskripsi pengguna yang bermakna |
| SAP - Jaringan Yang Dikecualikan | Pertahankan jaringan internal yang dikecualikan untuk mengabaikan dispatcher web, server terminal, dan sebagainya. - Jaringan: Alamat IP jaringan atau jangkauan, seperti 111.68.128.0/17 - Deskripsi: Deskripsi jaringan yang bermakna |
| SAP - Modul Fungsi Usang | Modul fungsi usang, yang eksekusinya harus diatur. - FunctionModule: Modul Fungsi ABAP, seperti TH_SAPREL - Deskripsi: Deskripsi modul fungsi yang bermakna |
| SAP - Program Usang | Program ABAP usang (laporan), yang eksekusinya harus diatur. - Program ABAPProgram:ABAP, seperti TH_ RSPFLDOC - Deskripsi: Deskripsi program ABAP yang bermakna |
| SAP - Transaksi untuk Generasi ABAP | Transaksi untuk generasi ABAP yang eksekusinya harus diatur. - TransactionCode: Kode Transaksi, seperti SE11. - Deskripsi: Deskripsi Kode Transaksi yang bermakna |
| SAP - Server FTP | Server FTP untuk identifikasi koneksi yang tidak sah. - Klien: seperti 100. - FTP_Server_Name:Nama server FTP, seperti http://contoso.com/ - FTP_Server_Port:FTP server port, seperti 22. - Deskripsi Deskripsi Server FTP yang bermakna |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Konfigurasikan pemberitahuan log audit SAP dengan menetapkan setiap ID pesan tingkat keparahan seperti yang Anda butuhkan, per peran sistem (produksi, nonproduksi). Daftar pengawasan ini merinci semua ID pesan log audit standar SAP yang tersedia. Daftar tonton dapat diperluas untuk berisi ID pesan tambahan yang mungkin Anda buat sendiri menggunakan penyempurnaan ABAP pada sistem SAP NetWeaver mereka. Daftar pengawasan ini juga memungkinkan untuk mengonfigurasi tim yang ditunjuk untuk menangani setiap jenis peristiwa, dan mengecualikan pengguna berdasarkan peran SAP, profil SAP, atau dengan tag dari daftar tonton SAP_User_Config. Daftar pengawasan ini adalah salah satu komponen inti yang digunakan untuk mengonfigurasi aturan analitik SAP bawaan untuk memantau log audit SAP. Untuk informasi selengkapnya, lihat Memantau log audit SAP. - MessageID: ID Pesan SAP, atau jenis peristiwa, seperti AUD (Perubahan rekaman master pengguna), atau AUB (perubahan otorisasi). - DetailedDescription: Deskripsi yang diaktifkan markdown untuk ditampilkan di panel insiden. - ProductionSeverity: Tingkat keparahan yang diinginkan untuk insiden yang akan dibuat dengan untuk sistem produksi High, Medium. Dapat diatur sebagai Disabled. - NonProdSeverity: Tingkat keparahan yang diinginkan untuk insiden yang akan dibuat dengan untuk sistem Highnonproduksi , Medium. Dapat diatur sebagai Disabled. - ProductionThreshold Jumlah peristiwa "Per jam" dianggap mencurigakan bagi sistem 60produksi . - NonProdThreshold Jumlah peristiwa "Per jam" dianggap mencurigakan bagi sistem 10nonproduksi . - RolesTagsToExclude: Bidang ini menerima nama peran SAP, nama profil SAP, atau tag dari daftar pengawasan SAP_User_Config. Ini kemudian digunakan untuk mengecualikan pengguna terkait dari jenis peristiwa tertentu. Lihat opsi untuk tag peran di akhir daftar ini. - RuleType: Gunakan Deterministic untuk jenis peristiwa yang akan dikirim ke aturan SAP - Dynamic Deterministic Audit Log Monitor , atau AnomaliesOnly agar kejadian ini dicakup oleh aturan SAP - Dynamic Anomaly Based Audit Log Monitor Alerts (PREVIEW). Untuk informasi selengkapnya, lihat Memantau log audit SAP. - TeamsChannelID: parameter dinamis opsional untuk digunakan dalam playbook. - DestinationEmail: parameter dinamis opsional untuk digunakan dalam playbook. Untuk bidang RolesTagsToExclude: - Jika Anda mencantumkan peran SAP atau profil SAP, ini mengecualikan pengguna mana pun dengan peran atau profil yang tercantum dari jenis peristiwa ini untuk sistem SAP yang sama. Misalnya, jika Anda menentukan BASIC_BO_USERS peran ABAP untuk jenis peristiwa terkait RFC, pengguna Objek Bisnis tidak akan memicu insiden saat melakukan panggilan RFC besar-besaran.- Menandai jenis peristiwa mirip dengan menentukan peran atau profil SAP, tetapi tag dapat dibuat di ruang kerja, sehingga tim SOC dapat mengecualikan pengguna berdasarkan aktivitas tanpa bergantung pada tim SAP BASIS. Misalnya, ID pesan audit AUB (perubahan otorisasi) dan AUD (perubahan catatan master pengguna) diberi MassiveAuthChanges tag. Pengguna yang diberi tag ini dikecualikan dari pemeriksaan untuk aktivitas ini. Menjalankan fungsi ruang SAPAuditLogConfigRecommend kerja menghasilkan daftar tag yang direkomendasikan untuk ditetapkan kepada pengguna, seperti Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Memungkinkan peringatan penyetelan halus dengan mengecualikan /termasuk pengguna dalam konteks tertentu dan juga digunakan untuk mengonfigurasi aturan analitik SAP bawaan untuk memantau log audit SAP. Untuk informasi selengkapnya, lihat Memantau log audit SAP. - SAPUser: Pengguna SAP - Tag: Tag digunakan untuk mengidentifikasi pengguna terhadap aktivitas tertentu. Misalnya Menambahkan tag ["GenericTablebyRFCOK"] ke SENTINEL_SRV pengguna akan mencegah insiden terkait RFC dibuat untuk pengguna tertentu ini Pengidentifikasi pengguna direktori aktif lainnya - Pengidentifikasi Pengguna AD - Sid Lokal Pengguna - Nama prinsipal pengguna |
Playbook yang tersedia
Playbook yang disediakan oleh solusi Microsoft Sentinel untuk aplikasi SAP membantu Anda mengotomatiskan beban kerja respons insiden SAP, meningkatkan efisiensi dan efektivitas operasi keamanan.
Bagian ini menjelaskan playbook analitik bawaan yang disediakan bersama dengan solusi Microsoft Sentinel untuk aplikasi SAP.
| Nama playbook | Parameter | Koneksi |
|---|---|---|
| Respons Insiden SAP - Mengunci pengguna dari Teams - Dasar | - SAP-SOAP-User-Password - SAP-SOAP-Nama Pengguna - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| Respons Insiden SAP - Mengunci pengguna dari Teams - Tingkat Lanjut | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Log Azure Monitor - Office 365 Outlook - ID Microsoft Entra - Azure Key Vault - Microsoft Teams |
| Respons Insiden SAP - Pengelogan audit yang dapat diaktifkan kembali setelah dinonaktifkan | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Log Azure Monitor - Microsoft Teams |
Bagian berikut menjelaskan contoh kasus penggunaan untuk setiap playbook yang disediakan, dalam skenario di mana insiden memperingatkan Anda tentang aktivitas mencurigakan di salah satu sistem SAP, di mana pengguna mencoba menjalankan salah satu transaksi yang sangat sensitif ini.
Selama fase triase insiden, Anda memutuskan untuk mengambil tindakan terhadap pengguna ini, mengeluarkannya dari sistem SAP ERP atau BTP Anda atau bahkan dari ID Microsoft Entra.
Untuk informasi selengkapnya, lihat Mengotomatiskan respons ancaman dengan playbook di Microsoft Azure Sentinel
Proses untuk menyebarkan aplikasi logika Standar umumnya lebih kompleks daripada untuk aplikasi logika Konsumsi. Kami telah membuat serangkaian pintasan untuk membantu Anda menyebarkannya dengan cepat dari repositori GitHub Microsoft Sentinel. Untuk informasi selengkapnya, lihat Panduan Penginstalan Langkah demi Langkah.
Tip
Tonton folder playbook SAP di repositori GitHub untuk lebih banyak playbook saat tersedia. Ada juga video pengantar singkat (tautan eksternal) di sana untuk membantu Anda memulai.
Mengunci pengguna dari satu sistem
Buat aturan otomatisasi untuk memanggil pengguna Kunci dari Teams - Playbook dasar setiap kali eksekusi transaksi sensitif oleh pengguna yang tidak sah terdeteksi. Playbook ini menggunakan fitur kartu adaptif Teams untuk meminta persetujuan sebelum memblokir pengguna secara sepihak.
Untuk informasi selengkapnya, lihat Dari cakupan keamanan nol hingga hero dengan Microsoft Sentinel untuk sinyal keamanan SAP penting Anda - Anda akan mendengar saya SOAR! Bagian 1 (posting blog SAP).
Pengguna Kunci dari Teams - Playbook Dasar adalah playbook Standar, dan playbook Standar umumnya lebih kompleks untuk disebarkan daripada playbook Konsumsi.
Kami telah membuat serangkaian pintasan untuk membantu Anda menyebarkannya dengan cepat dari repositori GitHub Microsoft Sentinel. Untuk informasi selengkapnya, lihat Panduan Penginstalan Langkah demi Langkah dan Jenis aplikasi logika yang didukung.
Mengunci pengguna dari beberapa sistem
Pengguna Kunci dari Teams - Playbook tingkat lanjut mencapai tujuan yang sama, tetapi dirancang untuk skenario yang lebih kompleks, memungkinkan satu playbook digunakan untuk beberapa sistem SAP, masing-masing dengan SAP SID sendiri.
Pengguna Kunci dari Teams - Playbook tingkat lanjut dengan mulus mengelola koneksi ke semua sistem ini, dan kredensialnya, menggunakan parameter dinamis opsional InterfaceAttributes di daftar pengawasan SAP - Systems dan Azure Key Vault.
Pengguna Kunci dari Teams - Playbook tingkat lanjut juga memungkinkan Anda berkomunikasi dengan para pihak dalam proses persetujuan menggunakan pesan yang dapat ditindaklanjuti Outlook bersama dengan Teams, menggunakan parameter TeamsChannelID dan DestinationEmail dalam daftar tonton SAP_Dynamic_Audit_Log_Monitor_Configuration .
Untuk informasi selengkapnya, lihat Dari cakupan keamanan nol hingga hero dengan Microsoft Sentinel untuk sinyal keamanan SAP penting Anda - Bagian 2 (posting blog SAP).
Mencegah penonaktifan pengelogan audit
Anda mungkin juga khawatir tentang log audit SAP, yang merupakan salah satu sumber data keamanan Anda, dinonaktifkan. Kami menyarankan agar Anda membuat aturan otomatisasi berdasarkan aturan SAP - Penonaktifan analitik Log Audit Keamanan untuk memanggil pengelogan audit yang dapat diaktifkan kembali setelah playbook yang dinonaktifkan untuk memastikan log audit SAP tidak dinonaktifkan.
Playbook SAP - Pennonaktifkan Log Audit Keamanan juga menggunakan Teams, memberi tahu personel keamanan setelah fakta. Tingkat keparahan pelanggaran dan urgensi mitigasinya menunjukkan bahwa tindakan segera dapat diambil tanpa persetujuan yang diperlukan.
Karena playbook SAP - Pennonaktifkan Log Audit Keamanan juga menggunakan Azure Key Vault untuk mengelola kredensial, konfigurasi playbook mirip dengan pengguna Kunci dari Teams - Playbook tingkat lanjut. Untuk informasi selengkapnya, lihat Dari cakupan keamanan nol hingga hero dengan Microsoft Sentinel untuk sinyal keamanan SAP penting Anda - Bagian 3 (posting blog SAP).
Konten terkait
Untuk informasi selengkapnya, lihat Menyebarkan solusi Microsoft Sentinel untuk aplikasi SAP.