Solução Microsoft Sentinel para aplicativos SAP - SAP® -Log de auditoria de segurança e pasta de trabalho de acesso inicial
Este artigo descreve o log SAP -Security Audit e a pasta de trabalho Initial Access, usados para monitorar e acompanhar a atividade de auditoria do usuário em seus sistemas SAP. Você pode usar a pasta de trabalho para obter uma visão panorâmica da atividade de auditoria do usuário, para proteger melhor seus sistemas SAP e obter visibilidade rápida de ações suspeitas. Você pode detalhar eventos suspeitos conforme necessário.
Você pode usar a pasta de trabalho para monitoramento contínuo de seus sistemas SAP ou para revisar os sistemas após um incidente de segurança ou outra atividade suspeita.
Começar a usar a pasta de trabalho
No portal do Microsoft Sentinel, selecione Pastas de trabalho no menu Gerenciamento de ameaças.
Na galeria Pastas de trabalho, vá para Modelos e insira SAP na barra de pesquisa e selecione SAP -Security Audit log e Acesso Inicial entre os resultados.
Selecione Ver modelo para utilizar o livro tal como está ou selecione Guardar para criar uma cópia editável do livro. Quando a cópia for criada, selecione Ver livro guardado.
Importante
O log SAP -Security Audit e a pasta de trabalho de Acesso Inicial são hospedados no espaço de trabalho onde a solução Microsoft Sentinel para aplicativos SAP® foi instalada. Por padrão, presume-se que os dados SAP e SOC estejam no espaço de trabalho que hospeda a pasta de trabalho.
Se os dados SOC estiverem em um espaço de trabalho diferente do espaço de trabalho que hospeda a pasta de trabalho, certifique-se de incluir a assinatura para esse espaço de trabalho e selecione o espaço de trabalho SOC no espaço de trabalho de auditoria e atividade do Azure.
Selecione os seguintes campos para filtrar os dados de acordo com as suas necessidades:
- Intervalo de tempo. De quatro horas a 90 dias.
- Funções do sistema. As funções do sistema SAP, por exemplo: Desenvolvimento.
- Utilização do Sistema. Por exemplo: SAP GTS.
- Sistemas SAP. Você pode selecionar todos os sistemas, um sistema específico ou vários sistemas.
Se você selecionar sistemas que não estão configurados na lista de observação "Sistemas SAP", a pasta de trabalho mostrará um erro, especificando os sistemas com problemas. Nesse caso, configure a lista de observação para incluir corretamente esses sistemas.
Visão geral da pasta de trabalho
A pasta de trabalho é separada em duas guias:
- Relatório de análise de logon. Mostra diferentes tipos de dados relativos a falhas de início de sessão. Os dados incluem dados anômalos, dados do Microsoft Entra e muito mais. Os dados são baseados na lista de observação "sistemas SAP".
- Relatório de alertas do log de auditoria. Mostra diferentes tipos de dados sobre os eventos de log de auditoria SAP que a solução Microsoft Sentinel para aplicativos SAP® observa. Os dados baseiam-se na lista de observação "SAP_Dynamic_Audit_Log_Monitor_Configuration".
Guia Relatório de análise de logon
Inclui as áreas Análise de Logon e Falhas de Logon.
Análise de logon
Mostra diferentes tipos de dados sobre entradas de usuários.
| Área | Description | Opções |
|---|---|---|
| Logons de usuário exclusivos por sistema | Mostra o número de entradas exclusivas para cada sistema SAP e um gráfico com as tendências de login ao longo do tempo selecionado para cada sistema. Por exemplo: o sistema 012 tem tentativas de logon exclusivas de 1,4 K nos últimos 14 dias e, nesses 14 dias, o gráfico mostra uma tendência de entrada relativamente crescente. | |
| Tendência de tipos de logon | Mostra uma tendência do número de entradas de acordo com o tipo, por exemplo, login via caixa de diálogo. | Você pode passar o mouse sobre o gráfico para mostrar o número de logons para diferentes datas. |
| Falhas de logon Vs. sucesso por usuários únicos - tendência | Mostra uma tendência de entradas bem-sucedidas e falhadas no período selecionado. | Você pode passar o mouse sobre o gráfico para mostrar a quantidade de entradas bem-sucedidas e falhadas para datas diferentes. |
Falhas de logon - deteção de anomalias
As áreas sob Deteção de anomalias - filtrando tentativas de login ruidosas e falhadas mostram dados de falha de login para sistemas SAP e usuários. Para ver apenas os dados sinalizados pela deteção de anomalias, selecione Somente anômalo ao lado de Logons com falha à direita.
| Área | Description | Dados específicos | Opções/notas |
|---|---|---|---|
| Taxa de falha de logon Anomalias>de falha de logon Logons com falha de>usuário exclusivo por sistema SAP | Mostra o número de entradas com falha exclusivas para cada sistema SAP. | ||
| SAP e Ative Directory são melhores juntos | A tabela Anomalias de início de sessão mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra. A pasta de trabalho exibe os usuários de acordo com o risco: os usuários que indicam o maior risco estão no topo da lista e os usuários com menos risco de segurança estão na parte inferior. | Para cada usuário, mostra: • Uma cronologia de tentativas de início de sessão falhadas • Uma linha do tempo mostrando em que ponto ocorreu uma tentativa anômala fracassada • O tipo de anomalia • O endereço de e-mail do utilizador • O indicador de risco Microsoft Entra • O número de incidentes e alertas no Microsoft Sentinel |
• Ao selecionar uma linha, você pode ver uma lista de alertas e incidentes para esse usuário em Visão geral de incidentes/alertas para o usuário. Abaixo desta lista, você também pode ver os eventos de risco do Microsoft Entra em Auditoria do Azure e riscos de entrada para o usuário. • Se os dados do Microsoft Entra estiverem em um espaço de trabalho diferente do Log Analytics, certifique-se de selecionar as assinaturas e espaços de trabalho relevantes na parte superior da pasta de trabalho, em Auditoria e atividades do Azure. |
| Taxa de falha de logon por sistema | Representa visualmente os sistemas SAP selecionados. | • Para cada sistema, mostra o número de falhas no período selecionado • Os sistemas são agrupados por tipo. • A cor do sistema indica o número de tentativas falhadas: Verde indica algumas tentativas de início de sessão suspeitas, onde vermelho indica mais tentativas de início de sessão suspeitas. |
Você pode selecionar um sistema para ver uma lista de entradas com falha com detalhes sobre as falhas. |
Nesta captura de tela, você pode ver os dados mostrados quando a primeira linha é selecionada na tabela Falhas de login anômalas . Os alertas específicos e URLs de incidentes são mostrados na tabela Visão geral de incidentes/alertas para o usuário .
Nesta captura de tela, a tabela Riscos de auditoria e entrada do Azure para o usuário mostra dados para o risco de entrada relacionado a esse usuário .
Nesta captura de tela, você pode ver a taxa de falha de login por área do sistema, onde o sistema 84e no grupo Teste está selecionado. A área Logon com falha para o sistema à direita mostra eventos de falha para este sistema .
Falhas de logon - tendências
A área Tendências de falhas de logon mostra as tendências e o número de entradas com falha, agrupadas por diferentes tipos de dados.
| Área | Description |
|---|---|
| Falha de login por causa | Mostra uma tendência do número de falhas de entrada de acordo com a causa da falha, por exemplo: dados de entrada incorretos. |
| Falha de login por tipo | Mostra uma tendência do número de falhas de entrada de acordo com o tipo, por exemplo: o login disparou um trabalho em segundo plano ou o login foi via HTTP. |
| Falha de login por método | Mostra uma tendência do número de falhas de entrada de acordo com o método, por exemplo: SNC ou um tíquete de entrada. |
Guia Relatório de alertas do log de auditoria
Esta guia mostra as tendências de severidade e auditoria para cada sistema SAP e usuário. Todas as áreas nesta guia mostram dados sinalizados apenas pela deteção de anomalias. Para todos os eventos, selecione Todos ao lado de Logons com falha à direita.
| Área | Description | Dados específicos | Opções/notas |
|---|---|---|---|
| Tendências de gravidade do alerta por ID do sistema | Mostra uma lista de sistemas, com um gráfico de tendências de eventos de gravidade média e alta por sistema. Por exemplo, o sistema 012 teve muitos eventos de alta gravidade durante todo o período e alguns eventos de gravidade média com um pico que mostra mais eventos de gravidade média no meio do período. | ||
| Tendência de auditoria por usuário | Mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra. A pasta de trabalho exibe os usuários de acordo com o risco: os usuários que indicam o maior risco estão no topo da lista e os usuários com menos risco de segurança estão na parte inferior. | Para cada usuário, mostra: • Uma linha do tempo de eventos de alta e média gravidade • O endereço de e-mail do utilizador • O indicador de risco Microsoft Entra • O número de incidentes e alertas no Microsoft Sentinel |
Ao selecionar uma linha, você pode ver uma lista de alertas e incidentes para esse usuário em Visão geral de incidentes/alertas para o usuário. Abaixo desta lista, você também pode ver os eventos de risco do Microsoft Entra em Auditoria do Azure e riscos de entrada para o usuário. |
| Pontuação de risco por sistema | Representa visualmente cada sistema em forma de célula. | • Mostra a pontuação de risco para cada sistema. • Os sistemas são agrupados por tipo. • A cor do sistema indica o risco: Verde indica um sistema com uma pontuação de risco mais baixa, onde vermelho indica uma pontuação de risco mais alta. |
Você pode selecionar um sistema para ver uma lista de eventos SAP por sistema. |
| Eventos por MITRE ATT&CK TACTICS® | Mostra uma lista de eventos SAP agrupados por táticas MITRE ATT&CK®, como Acesso Inicial ou Evasão de Defesa. | Você pode passar o mouse sobre o gráfico para mostrar o número de entradas para diferentes datas. | |
| Eventos por categoria | Mostra uma lista de tendências de eventos SAP agrupadas por categoria, como RFC Start ou Logon. | Você pode passar o mouse sobre o gráfico para mostrar o número de entrada para datas diferentes. | |
| Eventos por grupo de autorização | Mostra uma lista de tendências de eventos SAP agrupadas pelo grupo de autorização SAP, como USER ou SUPER. | Você pode passar o mouse sobre o gráfico para mostrar o número de entradas para diferentes datas. | |
| Eventos por tipo de utilizador | Mostra uma lista de tendências de eventos SAP agrupadas pelo tipo de usuário SAP, como Dialog ou system. | Você pode passar o mouse sobre o gráfico para mostrar o número de entradas para diferentes datas. |
Nesta captura de tela, você pode ver os dados mostrados quando a primeira linha é selecionada na tabela Tendências de auditoria por usuário . Os alertas específicos e URLs de incidentes são mostrados na tabela Visão geral de incidentes/alertas para o usuário .
Nesta captura de tela, você pode ver a pontuação de risco por área do sistema, onde o sistema cb7 sob o grupo UAT está selecionado. Os eventos SAP para a área do sistema abaixo da visualização do sistema mostram o evento SAP para este sistema .
Nesta captura de tela, você pode ver áreas com eventos e tendências de eventos agrupados por diferentes tipos de dados: táticas MITRE ATT&CK®, grupo de autorização SAP e tipo de usuário.
Próximos passos
Para obter mais informações, consulte:
- Implantando a solução Microsoft Sentinel para aplicativos SAP®
- Referência de logs da solução Microsoft Sentinel para aplicativos SAP®
- Monitore a integridade do seu sistema SAP
- Implante o conector de dados da solução Microsoft Sentinel para aplicativos SAP® com SNC
- Referência do arquivo de configuração
- Pré-requisitos para implantar a solução Microsoft Sentinel para aplicativos SAP®
- Solução de problemas da implantação da solução Microsoft Sentinel para aplicativos SAP®