SAP sistemleri genelinde kullanıcı denetim etkinliğini izleme ve izleme
Bu makalede SAP sistemlerinizde kullanıcı denetim etkinliğini izlemek ve izlemek için kullanılan SAP - Güvenlik Denetimi günlüğü ve İlk Erişim çalışma kitabı açıklanmaktadır. Kullanıcı denetim etkinliğini kuş bakışı görmek, SAP sistemlerinizin güvenliğini sağlamak ve şüpheli eylemlere hızlı bir şekilde görünürlük sağlamak için çalışma kitabını kullanın. Gerektiğinde şüpheli olaylarda detaya gidin.
ÇALıŞMA kitabını SAP sistemlerinizin sürekli izlenmesi için veya bir güvenlik olayını veya diğer şüpheli etkinlikleri izleyen sistemleri gözden geçirmek için kullanın.
Örneğin:
Bu makaledeki içerik güvenlik ekibinize yöneliktir.
SAP - Güvenlik Denetimi günlüğünü ve İlk Erişim çalışma kitabını kullanmaya başlamadan önce aşağıdakilere sahip olmanız gerekir:
SAP için Microsoft Sentinel çözümü yüklü ve yapılandırılmış bir veri bağlayıcısı. Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümü dağıtma.
Microsoft Sentinel için etkinleştirilen Log Analytics çalışma alanınızda yüklü SAP - Güvenlik Denetimi günlüğü ve İlk Erişim çalışma kitabı. Daha fazla bilgi için bkz . Microsoft Sentinel'de çalışma kitaplarını kullanarak verilerinizi görselleştirme ve izleme.
Önemli
SAP - Güvenlik Denetimi günlüğü ve İlk Erişim çalışma kitabı, SAP uygulamaları için Microsoft Sentinel çözümünün yüklendiği çalışma alanı tarafından barındırılır. Varsayılan olarak, hem SAP hem de SOC verilerinin çalışma kitabını barındıran çalışma alanında olduğu varsayılır.
SOC verileri çalışma kitabını barındıran çalışma alanından farklı bir çalışma alanındaysa, söz konusu çalışma alanının aboneliğini eklediğinizden emin olun ve Azure denetim ve etkinlik çalışma alanından SOC çalışma alanını seçin.
Microsoft Sentinel çalışma alanınızda en az bir olay ve tabloda en az bir giriş bulunur
SecurityIncident. Bunun bir SAP olayı olması gerekmez ve başka bir tane yoksa temel analiz kuralı kullanarak bir tanıtım olayı oluşturabilirsiniz.Microsoft Entra verileriniz farklı bir Log Analytics çalışma alanındaysa, çalışma kitabının üst kısmındaki Azure denetimi ve etkinlikleri bölümünde ilgili abonelikleri ve çalışma alanlarını seçtiğinizden emin olun.
Yalnızca belirli günlükler yerine denetim günlüğündeki tüm iletiler için denetimi yapılandırmanızı öneririz. Alım maliyeti farklılıkları genellikle en düşük düzeydedir ve veriler Microsoft Sentinel algılamaları ve güvenlik ihlalleri sonrası araştırmalarda ve tehdit avcılığında kullanışlıdır. Daha fazla bilgi için bkz. SAP denetimini yapılandırma.
SAP - Güvenlik Denetimi günlüğü ve İlk Erişim çalışma kitabı, ihtiyacınız olan verilere odaklanmanıza yardımcı olmak için aşağıdaki filtreleri destekler:
- Zaman Aralığı. Dört saatten 90 güne kadar.
- Sistem Rolleri. SAP sistem rolleri, örneğin: Geliştirme.
- Sistem Kullanımı. Örneğin: SAP GTS.
- SAP sistemleri. Tüm sistemleri, belirli bir sistemi veya birden çok sistemi seçebilirsiniz.
SAP sistemleri izleme listesinde yapılandırılmamış sistemleri seçerseniz, çalışma kitabı sorunları olan sistemleri belirten bir hata gösterir. Bu durumda, izleme listesini bu sistemleri doğru şekilde içerecek şekilde yapılandırın.
SAP - Güvenlik Denetimi günlüğü ve İlk Erişim çalışma kitabındaki Oturum Açma analizi raporu sekmesi, anormal veriler, Microsoft Entra verileri ve daha fazlası gibi oturum açma hataları hakkındaki verileri gösterir.
Veriler SAP sistemleri izleme listesini temel alır.
Oturum açma analizi raporu sekmesi aşağıdaki alanları içerir:
Oturum açma çözümleme alanı, kullanıcı oturum açma işlemleriyle ilgili olarak gösterilir. Mesela:
Aşağıdaki tabloda Oturum Açma çözümleme alanındaki her ölçüm açıklanmaktadır:
| Alan | Açıklama |
|---|---|
| Sistem başına benzersiz kullanıcı oturum açma işlemleri | Her SAP sistemi için benzersiz oturum açma sayısını ve her sistem için seçilen zaman içindeki oturum açma eğilimlerini içeren bir grafik gösterir. Örneğin: 012 sisteminde son 14 gün içinde 1,4-K benzersiz oturum açma girişimleri vardır ve bu 14 gün içinde grafik görece artan bir oturum açma eğilimi gösterir. |
| Oturum açma türleri eğilimi | Türe göre, örneğin iletişim kutusu aracılığıyla oturum açma gibi oturum açma sayısı eğilimini gösterir. Farklı tarihlerin oturum açma sayısını göstermek için grafiğin üzerine gelin. |
| Oturum açma hataları Benzersiz kullanıcıların başarısını karşılaştırma - eğilim | Seçili dönemde başarılı ve başarısız oturum açma eğilimlerini gösterir. Farklı tarihler için başarılı ve başarısız oturum açmaların miktarını göstermek için grafiğin üzerine gelin. |
Anomali algılama - gürültülü başarısız oturum açma girişimlerinin filtrelenmesi altındaki alanlarda SAP sistemleri ve kullanıcıları için oturum açma hatası verileri gösterilir. Yalnızca bayrak eklenmiş verileri görmek için sağdaki Başarısız oturum açma işlemleri'nin yanındaki Yalnızca anormal'i seçin.
Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme.
Örneğin:
Aşağıdaki tabloda Anomali algılama alanındaki her ölçüm açıklanmaktadır:
| Alan | Açıklama |
|---|---|
| Oturum açma hatası oranı>Oturum açma hatası anomalileri>Benzersiz Kullanıcı SAP sistemi başına oturum açamadı | Her SAP sistemi için benzersiz başarısız oturum açma sayısını gösterir. |
| SAP ve Active Directory birlikte daha iyidir |
Anormal oturum açma hataları tablosu, Microsoft Sentinel ve Microsoft Entra verilerinin bir bileşimini gösterir ve kullanıcıları riske göre listeler ve en riskli kullanıcılar en üstte olur. Her kullanıcı için tabloda şu gösterilir: - Başarısız oturum açma girişimlerinin zaman çizelgesi - Anormal bir başarısız girişimin hangi noktada gerçekleştiğini gösteren zaman çizelgesi - Anomalinin türü - Kullanıcının e-posta adresi - Microsoft Entra risk göstergesi - Microsoft Sentinel'de olay ve uyarı sayısı İlgili uyarıların ve olayların listesini görmek için kullanıcının satırını seçin. Microsoft Entra risk olayları, Kullanıcı için Azure denetim ve oturum açma riskleri altında listelenir. |
| Sistem başına oturum açma hatası oranı | Seçilen dönemdeki hata sayısıyla, türe göre gruplandırılmış seçili SAP sistemlerini gösterir. Sistemin rengi başarısız deneme sayısını gösterir: Birkaç şüpheli oturum açma girişimi için yeşil ve daha fazlası için kırmızı. Başarısız oturum açma işlemleri listesini ve hatalarla ilgili ayrıntıları görmek için bir sistem seçin. |
Aşağıdaki ekran görüntüsünde, Anormal oturum açma hataları tablosunda ilk satır seçildiğinde gösterilen verileri not edin. Belirli uyarılar ve olay URL'leri, kullanıcı tablosu için Olaylara/uyarılara genel bakış bölümünde gösterilir.
Aşağıdaki ekran görüntüsünde , kullanıcı tablosu için Azure denetim ve oturum açma riskleri, bu kullanıcıyla ilgili oturum açma riskine ilişkin verileri gösterir.
Aşağıdaki ekran görüntüsünde, Test grubu altındaki 84e sisteminin seçili olduğu sistem alanı başına oturum açma hatası oranına dikkat edin. Sağdaki sistem alanı için Başarısız oturum açma işlemleri, bu sistem için hata olaylarını gösterir.
Oturum açma hataları eğilimleri alanı, farklı veri türlerine göre gruplandırılmış olarak eğilimleri ve başarısız oturum açma sayısını gösterir. Örneğin:
Aşağıdaki tabloda, Oturum açma hataları eğilimleri alanındaki her ölçüm açıklanmaktadır:
| Alan | Açıklama |
|---|---|
| Nedene göre oturum açma hatası | Hatalı oturum açma verileri gibi hata nedenine göre oturum açma hatası sayısının eğilimini gösterir. |
| Türe göre oturum açma hatası | Oturum açma işleminin arka plan işini tetiklediği veya oturum açma işleminin HTTP üzerinden olduğu gibi, türe göre oturum açma hatası sayısının eğilimini gösterir. |
| Yönteme göre oturum açma hatası | SNC veya oturum açma bileti gibi yönteme göre oturum açma hatası sayısının eğilimini gösterir. |
Denetim günlüğü uyarıları sekmesi, SAP uygulamaları için Microsoft Sentinel çözümünün izlediği SAP Denetim günlüğü olayları hakkındaki verileri gösterir. Veriler SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesini temel alır.
Denetim günlüğü uyarıları sekmesi, her SAP sistemi ve kullanıcı için önem derecesini ve denetim eğilimlerini gösterir. Bu sekmedeki tüm alanlar yalnızca anomali algılama tarafından bayrak eklenmiş verileri gösterir. Tüm olaylar için sağ taraftaki Başarısız oturum açmalar'ınyanındaki Tümü'ne tıklayın.
Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme.
Örneğin:
Aşağıdaki tabloda Denetim günlüğü uyarıları sekmesindeki her ölçüm açıklanmaktadır :
| Alan | Açıklama |
|---|---|
| Sistem kimliği başına uyarı önem derecesi eğilimleri | Sistem başına Orta ve Yüksek önem derecesi olay eğilimleri grafiğiyle sistemlerin listesini gösterir. Örneğin, 012 sisteminde tüm dönem boyunca birçok Yüksek önem derecesi olayı ve dönemin ortasında daha fazla Orta önem derecesi olayı gösteren bir ani artışla birkaç Orta önem derecesi olayı vardı. |
| Kullanıcı başına denetim eğilimi | Microsoft Sentinel ve Microsoft Entra verilerinin bir bileşimini gösterir ve kullanıcıları riske göre listeler ve en riskli kullanıcılar en üsttedir. Çalışma kitabı her kullanıcı için aşağıdaki verileri gösterir: - Yüksek ve Orta önem dereceli olayların zaman çizelgesi - Kullanıcının e-posta adresi - Microsoft Entra risk göstergesi - Microsoft Sentinel'de olay ve uyarı sayısı Kullanıcı için olaylara/uyarılara genel bakış bölümünde bu kullanıcıya yönelik uyarıların ve olayların listesini görmek için bir satır seçin. Kullanıcı için Azure denetimi ve oturum açma riskleri altında Microsoft Entra risk olaylarını görüntüleyin. |
| Sistem başına risk puanı | Her sistem için risk puanını ve türe göre gruplandırma sistemlerini gösteren bir hücre şeklindeki her sistemi görsel olarak temsil eder. Sistemin rengi, sistemin risk puanını gösterir: Daha düşük bir risk puanı için yeşil ve daha yüksek bir risk puanı için kırmızı. Sistem başına SAP olaylarının listesini görmek için bir sistem seçin. |
| MITRE ATT&CK taktiklerine göre olaylar | İlk Erişim veya Savunma Kaçamak gibi MITRE ATT&CK taktiklerine göre gruplandırılmış SAP olaylarının listesini gösterir. Farklı tarihler için oturum açma sayısını göstermek için grafiğin üzerine gelin. |
| Kategoriye göre olaylar | RFC Başlat veya Oturum Açma gibi kategoriye göre gruplandırılmış SAP olay eğilimlerinin listesini gösterir. Farklı tarihlerin oturum açma numarasını göstermek için grafiğin üzerine gelin. |
| Yetkilendirme grubuna göre olaylar | USER veya SUPER gibi SAP yetkilendirme grubuna göre gruplandırılmış SAP olay eğilimlerinin listesini gösterir. Farklı tarihler için oturum açma sayısını göstermek için grafiğin üzerine gelin. |
| Kullanıcı türüne göre olaylar | İletişim Kutusu veya Sistem gibi SAP kullanıcı türüne göre gruplandırılmış SAP olay eğilimlerinin listesini gösterir. Farklı tarihler için oturum açma sayısını göstermek için grafiğin üzerine gelin. |
Aşağıdaki ekran görüntüsünde, Kullanıcı başına eğilimleri denetle tablosunda ilk satır seçildiğinde gösterilen verileri not edin. Belirli uyarılar ve olay URL'leri, kullanıcı tablosu için Olaylara/uyarılara genel bakış bölümünde gösterilir.
Aşağıdaki ekran görüntüsünde, UAT grubu altındaki cb7 sisteminin seçili olduğu sistem alanı başına risk puanını not edin. Sistem görselleştirmesinin altındaki sistem alanı için SAP olayları, bu sistemin SAP olayını gösterir.
Aşağıdaki ekran görüntüsünde, olayları ve olay eğilimlerini farklı veri türlerine göre gruplandırılmış olarak not edin: MITRE ATT&CK taktikleri, SAP yetkilendirme grubu ve kullanıcı türü.
Daha fazla bilgi için bkz . İçerik hub'ından SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma ve SAP uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu.