Configurar regras de monitorização de registos de auditoria sap
O registo de auditoria sap regista ações de auditoria e segurança em sistemas SAP, como tentativas de início de sessão falhadas ou outras ações suspeitas. Este artigo descreve como monitorizar o registo de auditoria sap com as regras de análise incorporadas do Microsoft Sentinel.
Com estas regras, pode monitorizar todos os eventos de registo de auditoria ou receber alertas apenas quando forem detetadas anomalias. Desta forma, pode gerir melhor os seus registos SAP, reduzindo o ruído sem comprometer o seu valor de segurança.
Utiliza duas regras de análise para monitorizar e analisar os dados de registo de auditoria do SAP:
- SAP – Monitor de Registo de Auditoria Determinista Dinâmico (PRÉ-VISUALIZAÇÃO). Alertas em quaisquer eventos de registo de auditoria sap com configuração mínima. Pode configurar a regra para uma taxa de falsos positivos ainda mais baixa. Saiba como configurar a regra.
- SAP – Alertas de Monitorização de Registos de Auditoria (PRÉ-VISUALIZAÇÃO) baseados em Anomalias Dinâmicas. Alertas sobre eventos de registo de auditoria sap quando são detetadas anomalias, utilizando capacidades de machine learning e sem necessidade de codificação. Saiba como configurar a regra.
As duas regras de monitorização do registo de Auditoria sap são entregues como prontas para serem executadas e permitem otimizar ainda mais com as listas de observação SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config.
Deteção de anomalias
Ao tentar identificar eventos de segurança num registo de atividades diversificado, como o registo de auditoria do SAP, tem de equilibrar o esforço de configuração e a quantidade de ruído que os alertas produzem.
Com o módulo de registo de auditoria sap na solução Sentinel para SAP, pode escolher:
- Que eventos pretende analisar de forma determinística, utilizando limiares e filtros personalizados e predefinidos.
- Que eventos quer deixar de fora, para que a máquina possa aprender os parâmetros por si só.
Depois de marcar um tipo de evento de registo de auditoria SAP para deteção de anomalias, o motor de alerta verifica os eventos transmitidos recentemente a partir do registo de auditoria sap. O motor verifica se os eventos parecem normais, tendo em conta o histórico que aprendeu.
O Microsoft Sentinel verifica se existem anomalias num evento ou grupo de eventos. Tenta corresponder o evento ou grupo de eventos com atividades vistas anteriormente do mesmo tipo, ao nível do utilizador e do sistema. O algoritmo aprende as características de rede do utilizador ao nível da máscara de sub-rede e de acordo com a sazonalidade.
Com esta capacidade, pode procurar anomalias em tipos de eventos previamente silenciosos, como eventos de início de sessão do utilizador. Por exemplo, se o utilizador JohnDoe iniciar sessão centenas de vezes por hora, agora pode deixar o Microsoft Sentinel decidir se o comportamento é suspeito. É o João da contabilidade, atualiza repetidamente um dashboard financeiro com várias origens de dados ou está a formar-se um ataque DDoS?
Configurar a regra alertas do Monitor de Registos de Auditoria (PRÉ-VISUALIZAÇÃO) baseados em Anomalias Dinâmicas para deteção de anomalias
Se os dados do registo de auditoria sap ainda não estiverem a transmitir dados para a área de trabalho do Microsoft Sentinel, saiba como implementar a solução.
- No menu de navegação do Microsoft Sentinel, em Gestão de conteúdos, selecione Hub de conteúdos (Pré-visualização).
- Verifique se a monitorização contínua de ameaças para a aplicação SAP tem atualizações.
- No menu de navegação, em Análise, ative estes 3 alertas de registo de auditoria:
- SAP – Monitor de Registo de Auditoria Determinista Dinâmico. É executado a cada 10 minutos e foca-se nos eventos de registo de auditoria sap marcados como Deterministas.
- SAP – (Pré-visualização) Alertas do Monitor de Registo de Auditorias baseados em Anomalias Dinâmicas. É executado à hora e foca-se em eventos SAP marcados como AnomaliesOnly.
- SAP – Configuração em falta no Monitor de Registo de Auditoria de Segurança Dinâmica. É executado diariamente para fornecer recomendações de configuração para o módulo de registo de auditoria sap.
O Microsoft Sentinel analisa agora todo o registo de auditoria sap em intervalos regulares, para ver se existem anomalias e eventos de segurança deterministas. Pode ver os incidentes gerados por este registo na página Incidentes .
Tal como acontece com todas as soluções de machine learning, terá um melhor desempenho com o tempo. A deteção de anomalias funciona melhor com um histórico de registos de auditoria SAP de sete dias ou mais.
Configurar tipos de eventos com a lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration
Pode configurar ainda mais os tipos de eventos que produzem demasiados incidentes com a lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration . Seguem-se algumas opções para reduzir incidentes.
| Opção | Descrição |
|---|---|
| Definir gravidades e desativar eventos indesejados | Por predefinição, tanto as regras deterministas como as regras baseadas em anomalias criam alertas para eventos marcados com gravidades médias e elevadas. Pode definir estas gravidades especificamente para ambientes de produção e não de produção. Por exemplo, pode definir um evento de atividade de depuração como alta gravidade nos sistemas de produção e desativar esses eventos em sistemas de não produção. |
| Excluir utilizadores pelas respetivas funções SAP ou perfis SAP | O Microsoft Sentinel para SAP ingere o perfil de autorização do utilizador sap, incluindo atribuições de funções diretas e indiretas, grupos e perfis, para que possa falar o idioma SAP no seu SIEM. Pode configurar um evento SAP para excluir utilizadores com base nas respetivas funções e perfis SAP. Na lista de observação, adicione as funções ou perfis que agrupam os utilizadores da interface RFC na coluna RolesTagsToExclude , junto ao acesso genérico à tabela por evento RFC . A partir de agora, receberá alertas apenas para os utilizadores que não têm estas funções. |
| Excluir utilizadores pelas respetivas etiquetas SOC | Com as etiquetas, pode criar o seu próprio agrupamento, sem depender de definições sap complicadas ou mesmo sem autorização SAP. Este método é útil para equipas SOC que querem criar o seu próprio agrupamento para os utilizadores do SAP. Conceptualmente, excluir utilizadores por etiquetas funciona como etiquetas de nome: pode definir vários eventos na configuração com múltiplas etiquetas. Não recebe alertas para um utilizador com uma etiqueta associada a um evento específico. Por exemplo, não quer que contas de serviço específicas sejam alertadas para o acesso genérico a tabelas por eventos RFC , mas não consegue encontrar uma função SAP ou um perfil SAP que agrupe estes utilizadores. Neste caso, pode adicionar a etiqueta GenTableRFCReadOK junto ao evento relevante na lista de observação e, em seguida, aceder à lista de observação SAP_User_Config e atribuir a mesma etiqueta aos utilizadores da interface. |
| Especificar um limiar de frequência por tipo de evento e função de sistema | Funciona como um limite de velocidade. Por exemplo, pode decidir que os eventos de Alteração do Registo Principal de Utilizadores ruidosos apenas acionam alertas se forem observadas mais de 12 atividades numa hora, pelo mesmo utilizador num sistema de produção. Se um utilizador exceder o limite de 12 por hora (por exemplo, 2 eventos numa janela de 10 minutos), é acionado um incidente. |
| Determinismo ou anomalias | Se souber as características do evento, pode utilizar as capacidades deterministas. Se não tiver a certeza de como configurar corretamente o evento, as capacidades de machine learning podem decidir. |
| Capacidades SOAR | Pode utilizar o Microsoft Sentinel para orquestrar, automatizar e responder a incidentes que podem ser aplicados aos alertas dinâmicos do registo de auditoria sap. Saiba mais sobre Orquestração de Segurança, Automatização e Resposta (SOAR). |
Passos seguintes
Neste artigo, aprendeu a monitorizar o registo de auditoria sap com as regras de análise incorporadas do Microsoft Sentinel.