Övervaka och spåra användargranskningsaktivitet i SAP-system

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I den här artikeln beskrivs SAP – Säkerhetsgranskningslogg och arbetsbok för inledande åtkomst som används för övervakning och spårning av användargranskningsaktivitet i dina SAP-system. Använd arbetsboken för att få en fågelperspektiv över användargranskningsaktiviteten, skydda SAP-systemen bättre och få snabb insyn i misstänkta åtgärder. Öka detaljnivån för misstänkta händelser efter behov.

Använd arbetsboken antingen för löpande övervakning av dina SAP-system eller för att granska systemen efter en säkerhetsincident eller annan misstänkt aktivitet.

Till exempel:

Skärmbild överst i SAP -Security-granskningsloggen och arbetsboken För inledande åtkomst.

Innehållet i den här artikeln är avsett för ditt säkerhetsteam .

Förutsättningar

Innan du kan börja använda SAP – Säkerhetsgranskningsloggen och arbetsboken För inledande åtkomst måste du ha:

  • Microsoft Sentinel-lösningen för SAP-programlösningen installerad och en dataanslutningsagent distribuerad. Mer information finns i Distribuera Microsoft Sentinel-lösning för SAP-program.

  • SAP - Security Audit-loggen och arbetsboken För inledande åtkomst som är installerad på din Log Analytics-arbetsyta är aktiverad för Microsoft Sentinel. Mer information finns i Visualisera och övervaka dina data med hjälp av arbetsböcker i Microsoft Sentinel.

    Viktigt!

    ARBETSboken SAP – Security Audit och initial åtkomst hanteras av arbetsytan där Microsoft Sentinel-lösningen för SAP-program installerades. Som standard antas både SAP- och SOC-data finnas på arbetsytan som är värd för arbetsboken.

    Om SOC-data finns på en annan arbetsyta än arbetsytan som är värd för arbetsboken ska du inkludera prenumerationen för den arbetsytan och välja SOC-arbetsytan från Azure-gransknings- och aktivitetsarbetsytan.

  • Minst en incident på din Microsoft Sentinel-arbetsyta, med minst en post tillgänglig i SecurityIncident tabellen. Detta behöver inte vara en SAP-incident och du kan generera en demoincident med hjälp av en grundläggande analysregel om du inte har någon annan.

  • Om dina Microsoft Entra-data finns på en annan Log Analytics-arbetsyta kontrollerar du att du väljer relevanta prenumerationer och arbetsytor överst i arbetsboken under Azure-granskning och -aktiviteter.

Filter som stöds

SAP - Security Audit-loggen och arbetsboken för inledande åtkomst stöder följande filter som hjälper dig att fokusera på de data du behöver:

  • Tidsintervall. Från fyra timmar till 90 dagar.
  • Systemroller. SAP-systemrollerna, till exempel: Utveckling.
  • Systemanvändning. Till exempel: SAP GTS.
  • SAP-system. Du kan välja alla system, ett visst system eller välja flera system.

Om du väljer system som inte är konfigurerade i bevakningslistan för SAP-system visas ett fel i arbetsboken som anger vilka system som har problem. I det här fallet konfigurerar du visningslistan så att den inkluderar dessa system på rätt sätt.

Rapportdata för inloggningsanalys

Fliken Rapport för inloggningsanalys i sap- och säkerhetsgranskningsloggen och arbetsboken För inledande åtkomst visar data om inloggningsfel, till exempel avvikande data, Microsoft Entra-data med mera.

Data baseras på bevakningslistan för SAP-system.

Fliken Rapport för inloggningsanalys innehåller följande områden:

Inloggningsanalys

Området Inloggningsanalys visar om användarinloggningar. Till exempel:

Skärmbild av området Inloggningsanalys i SAP-granskningsarbetsboken.

I följande tabell beskrivs varje mått i området Inloggningsanalys :

Område beskrivning
Unika användarinloggning per system Visar antalet unika inloggningar för varje SAP-system och ett diagram med inloggningstrenderna under den valda tiden för varje system.

Till exempel: 012-systemet har 1,4 K unika inloggningsförsök under de senaste 14 dagarna, och under dessa 14 dagar visar diagrammet en relativt stigande inloggningstrend.
Trend för inloggningstyper Visar en trend för antalet inloggningar efter typ, till exempel inloggning via dialogruta.

Hovra över diagrammet för att visa antalet inloggningar för olika datum.
Inloggningsfel Jämfört med unika användares framgång – trend Visar en trend med lyckade och misslyckade inloggningar under den valda perioden.

Hovra över diagrammet för att visa mängden lyckade och misslyckade inloggningar för olika datum.

Inloggningsfel – avvikelseidentifiering

Områdena under Avvikelseidentifiering – filtrering av misslyckade inloggningsförsök visar inloggningsfeldata för SAP-system och användare. Om du bara vill se data som flaggas av väljer du Endast avvikande bredvid Misslyckade inloggningar till höger.

Mer information finns i Övervaka SAP-granskningsloggen.

Till exempel:

Skärmbild av avsnitten i området Inloggningsfel i SAP-granskningsarbetsboken som du kan filtrera efter avvikande data.

I följande tabell beskrivs varje mått i området Avvikelseidentifiering :

Område beskrivning
Felfrekvens>vid inloggning Inloggningsfel>– Avvikelser för unik användare misslyckades med inloggningar per SAP-system Visar antalet unika misslyckade inloggningar för varje SAP-system.
SAP och Active Directory är bättre tillsammans Tabellen Avvikande inloggningsfel visar en kombination av Microsoft Sentinel- och Microsoft Entra-data som visar användare efter risk, med de mest riskfyllda användarna högst upp.

För varje användare visas följande i tabellen:
– En tidslinje för misslyckade inloggningsförsök
– En tidslinje som visar vid vilken tidpunkt ett avvikande misslyckat försök inträffade
- Typ av avvikelse
– Användarens e-postadress
– Riskindikatorn för Microsoft Entra
– Antalet incidenter och aviseringar i Microsoft Sentinel

Välj en användares rad för att se en lista över relaterade aviseringar och incidenter. Microsoft Entra-riskhändelser visas under Azure-gransknings- och inloggningsrisker för användaren.
Felfrekvens för inloggning per system Visar de valda SAP-systemen, grupperade efter typ, med antalet fel under den valda perioden.

Systemets färg anger antalet misslyckade försök: Grön för några misstänkta inloggningsförsök och röd för mer.

Välj ett system för att se en lista över misslyckade inloggningar med information om felen.

I följande skärmbild noterar du de data som visas när den första raden väljs i tabellen Avvikande inloggningsfel . De specifika aviseringarna och incident-URL:erna visas i översikten Incidenter/aviseringar för användartabellen .

Skärmbild av data som visas när en rad har valts i tabellen Avvikande inloggningsfel.

I följande skärmbild visar Azure-gransknings - och inloggningsriskerna för användartabellen data för inloggningsrisken som är relaterad till den här användaren.

Skärmbild av gransknings- och inloggningsriskdata som visas när en rad väljs i tabellen Avvikande inloggningsfel.

I följande skärmbild noterar du felfrekvensen för inloggning per systemområde , där 84e-systemet under testgruppen har valts. Misslyckade inloggningar för systemområdet till höger visar felhändelser för det här systemet.

Skärmbild av felfrekvensen för inloggning per systemområde i SAP-granskningsarbetsboken.

Inloggningsfel – trender

Området Trender för inloggningsfel visar trender och antalet misslyckade inloggningar, grupperade efter olika typer av data. Till exempel:

Skärmbild av området Trender för inloggningsfel i SAP-granskningsarbetsboken.

I följande tabell beskrivs varje mått i området Trender för inloggningsfel :

Område beskrivning
Inloggningsfel efter orsak Visar trenden för antalet inloggningsfel beroende på felorsak, till exempel felaktiga inloggningsdata.
Inloggningsfel efter typ Visar trenden för antalet inloggningsfel beroende på typ, till exempel att inloggningen utlöste ett bakgrundsjobb eller att inloggningen var via HTTP.
Inloggningsfel per metod Visar trenden för antalet inloggningsfel enligt metoden, till exempel SNC eller ett inloggningsärende.

Rapportflik för granskningsloggaviseringar

Fliken Granskningsloggaviseringar visar data om händelser i SAP-granskningsloggen som Microsoft Sentinel-lösningen för SAP-program bevakar. Data baseras på SAP_Dynamic_Audit_Log_Monitor_Configuration visningslista.

Fliken Granskningsloggaviseringar visar allvarlighetsgrad och granskningstrender för varje SAP-system och användare. Alla områden på den här fliken visar endast data som flaggats av avvikelseidentifiering. För alla händelser väljer du Alla bredvid Misslyckade inloggningar till höger.

Mer information finns i Övervaka SAP-granskningsloggen.

Till exempel:

Skärmbild av området Granskningsloggaviseringar i SAP-granskningsarbetsboken.

I följande tabell beskrivs varje mått på fliken Granskningsloggaviseringar :

Område beskrivning
Trender för allvarlighetsgrad för aviseringar per system-ID Visar en lista över system med ett diagram över trender för händelser med medelhög och hög allvarlighetsgrad per system.

Till exempel hade 012-systemet många händelser med hög allvarlighetsgrad under hela perioden och några händelser med medelhög allvarlighetsgrad, med en topp som visar fler händelser med medelhög allvarlighetsgrad i mitten av perioden.
Granskningstrend per användare Visar en kombination av Microsoft Sentinel- och Microsoft Entra-data som visar användare efter risk, med de mest riskfyllda användarna högst upp.

För varje användare visar arbetsboken följande data:
– En tidslinje över händelser med hög och medelhög allvarlighetsgrad
– Användarens e-postadress
– Riskindikatorn för Microsoft Entra
– Antalet incidenter och aviseringar i Microsoft Sentinel

Välj en rad för att se en lista över aviseringar och incidenter för användaren under Översikt över incidenter/aviseringar för användaren.

Visa Microsoft Entra-riskhändelser under Azure-gransknings- och inloggningsrisker för användaren.
Riskpoäng per system Representerar visuellt varje system i en cellform, som visar riskpoängen för varje system och grupperingssystem efter typ.

Systemets färg anger systemets riskpoäng: Grön för en lägre riskpoäng och röd för en högre riskpoäng.

Välj ett system för att se en lista över SAP-händelser per system.
Händelser av MITRE ATT&CK-taktik Visar en lista över SAP-händelser grupperade efter MITRE ATT&CK-taktiker, till exempel initial åtkomst eller försvarsundandragande.

Hovra över diagrammet för att visa antalet inloggningar för olika datum.
Händelser efter kategori Visar en lista över SAP-händelsetrender grupperade efter kategori, till exempel RFC-start eller inloggning.

Hovra över diagrammet för att visa inloggningsnumret för olika datum.
Händelser efter auktoriseringsgrupp Visar en lista över SAP-händelsetrender grupperade efter SAP-auktoriseringsgruppen, till exempel ANVÄNDARE eller SUPER.

Hovra över diagrammet för att visa antalet inloggningar för olika datum.
Händelser efter användartyp Visar en lista över SAP-händelsetrender grupperade efter SAP-användartyp, till exempel Dialog eller System.

Hovra över diagrammet för att visa antalet inloggningar för olika datum.

I följande skärmbild noterar du de data som visas när den första raden väljs i tabellen Granska trender per användare . De specifika aviseringarna och incident-URL:erna visas i översikten Incidenter/aviseringar för användartabellen .

Skärmbild av data som visas när en rad väljs i tabellen Granska trender per användare.

I följande skärmbild noterar du riskpoängen per systemområde , där cb7-systemet under UAT-gruppen väljs. SAP-händelserna för systemområdet under systemvisualiseringen visar SAP-händelsen för det här systemet.

Skärmbild av området Riskpoäng per system i SAP-granskningsarbetsboken.

I följande skärmbild noterar du områden med händelser och händelsetrender grupperade efter olika typer av data: MITRE ATT&CK-taktik, SAP-auktoriseringsgrupp och användartyp.

Skärmbild av olika händelsedata i SAP-granskningsarbetsboken.

Relaterat innehåll

Mer information finns i Distribuera Microsoft Sentinel-lösningen för SAP-program från innehållshubben och Microsoft Sentinel-lösningen för SAP-program: referens för säkerhetsinnehåll.