Solution Microsoft Sentinel pour SAP BTP : informations de référence sur le contenu de sécurité

Cet article détaille le contenu de sécurité disponible pour la solution Microsoft Sentinel pour SAP BTP.

Le contenu de sécurité disponible se compose actuellement d’un classeur et de règles analytiques intégrés. Vous pouvez également ajouter des watchlists liées à SAP à utiliser dans votre recherche, vos règles de détection, votre chasse des menaces et vos playbooks de réponse.

En savoir plus sur la solution.

Classeur SAP BTP

Le classeur d’activité BTP offre une vue d’ensemble de l’activité BTP sous la forme d’un tableau de bord.

Capture d’écran de l’onglet Overview du classeur SAP BTP.

L’onglet Vue d’ensemble affiche les éléments suivants :

  • Une vue d’ensemble des sous-comptes BTP, ce qui aide les analystes à identifier les comptes les plus actifs et le type de données ingérées.
  • Activité de connexion de sous-compte, aidant les analystes à identifier les pics et tendances susceptibles d’être associés à des échecs de connexion dans SAP Business Application Studio (BAS).
  • La chronologie de l’activité BTP et le nombre d’alertes de sécurité BTP, ce qui aide les analystes à chercher une corrélation entre les deux.

L’onglet Identity Management présente une grille d’événements de gestion des identités, tels que les changements de rôle d’utilisateur et de sécurité, sous une forme explicite. La barre de recherche vous permet de trouver rapidement des changements spécifiques.

Capture d’écran de l’onglet Identity Management du classeur SAP BTP.

Pour plus d’informations, consultez Tutoriel : Visualiser et surveiller vos données et déployer la solution Microsoft Sentinel pour SAP BTP.

Règles analytiques intégrées

Nom de la règle Description Action source Tactique
BTP – Failed access attempts across multiple BAS subaccounts Identifie les tentatives d’accès Business Application Studio (BAS) ayant échoué pour un nombre prédéfini de sous-comptes.
Seuil par défaut : 3
L’exécution de la connexion a échoué tente de bas sur le nombre de sous-comptes défini.

Sources de données : SAPBTPAuditLog_CL
Découverte, Reconnaissance
BTP – Malware detected in BAS dev space Identifie les instances de programmes malveillants détectées par l’agent anti-programmes malveillants interne SAP au sein d’espaces de développement BAS. Copiez ou créez un fichier de programme malveillant dans un espace de développeur BAS.

Sources de données : SAPBTPAuditLog_CL
Exécution, persistance, développement de la ressource
BTP – User added to sensitive privileged role collection Identifie les actions de gestion des identités dans lesquelles un utilisateur est ajouté à un ensemble de collections de rôles privilégiés supervisés. Attribuez l’une des collections de rôles suivantes à un utilisateur :
- Subaccount Service Administrator
- Subaccount Administrator
- Connectivity and Destination Administrator
- Destination Administrator
- Cloud Connector Administrator

Sources de données : SAPBTPAuditLog_CL
Mouvement latéral, réaffectation de privilèges
BTP – Trust and authorization Identity Provider monitor Identifie les opérations de création, lecture, mise à jour et suppression (CRUD) dans les paramètres du fournisseur d’identité d’un sous-compte. Modifiez, lisez, mettez à jour ou supprimez les paramètres du fournisseur d’identité dans un sous-compte.

Sources de données : SAPBTPAuditLog_CL
accès aux informations d’identification réaffectation de privilèges
BTP : Suppression en masse d’utilisateurs dans un sous compte Identifie les activités de suppression de comptes d’utilisateurs dans lesquelles le nombre d’utilisateurs supprimés dépasse un seuil prédéfini.
Seuil par défaut : 10
Supprimez le nombre de comptes d’utilisateur au-delà du seuil défini.

Sources de données : SAPBTPAuditLog_CL
Impact

Étapes suivantes

Dans cet article, vous avez découvert le contenu de sécurité fourni avec la solution Microsoft Sentinel pour SAP BTP.