SAP uygulamaları için Microsoft Sentinel çözümü: güvenlik içeriği başvurusu
Bu makalede, SAP için Microsoft Sentinel Çözümü için sağlanan güvenlik içeriği ayrıntılı olarak açıklanmaktadır.
Önemli
SAP uygulamaları için Microsoft Sentinel çözümü GA'da olsa da bazı belirli bileşenler ÖNIZLEME aşamasında kalır. Bu makale, aşağıdaki ilgili bölümlerde önizleme aşamasında olan bileşenleri gösterir. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.
Kullanılabilir güvenlik içeriği, yerleşik çalışma kitaplarını ve analiz kurallarını içerir. Ayrıca arama, algılama kuralları, tehdit avcılığı ve yanıt playbook'larınızda kullanmak üzere SAP ile ilgili izleme listeleri de ekleyebilirsiniz.
Bu makaledeki içerik güvenlik ekibinize yöneliktir.
Yerleşik çalışma kitapları
SAP veri bağlayıcısı aracılığıyla alınan verileri görselleştirmek ve izlemek için aşağıdaki yerleşik çalışma kitaplarını kullanın. SAP çözümünü dağıttığınızda, SAP çalışma kitaplarını Şablonlar sekmesinde bulabilirsiniz.
| Çalışma kitabı adı | Açıklama | Günlükler |
|---|---|---|
| SAP - Denetim Günlüğü Tarayıcısı | Verileri görüntüler, örneğin: - Zaman içinde kullanıcı oturum açma işlemleri, sistem tarafından alınan olaylar, ileti sınıfları ve kimlikler ve ABAP programları da dahil olmak üzere genel sistem durumu -Sisteminizde gerçekleşen olayların önem dereceleri - Sisteminizde gerçekleşen kimlik doğrulaması ve yetkilendirme olayları |
Aşağıdaki günlükten verileri kullanır: ABAPAuditLog_CL |
| SAP Denetim Denetimleri | Aşağıdakileri yapmanız için araçlar kullanarak SAP ortamınızın güvenlik denetimlerini seçtiğiniz denetim çerçevesiyle uyumluluk açısından denetlemenize yardımcı olur: - Ortamınızdaki analiz kurallarını belirli güvenlik denetimlerine ve denetim ailelerine atama - SAP çözüm tabanlı analiz kuralları tarafından oluşturulan olayları izleme ve kategorilere ayırma - Uyumluluğunuzla ilgili rapor |
Aşağıdaki tablolardaki verileri kullanır: - SecurityAlert- SecurityIncident |
Daha fazla bilgi için bkz . Öğretici: Verilerinizi görselleştirme ve izleme ve SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma.
Yerleşik analiz kuralları
Bu bölümde, SAP uygulamaları için Microsoft Sentinel çözümüyle birlikte sağlanan çeşitli yerleşik analiz kuralları açıklanmaktadır. En son güncelleştirmeler için Yeni ve güncelleştirilmiş kurallar için Microsoft Sentinel içerik hub'ına bakın.
Statik SAP güvenlik parametrelerinin yapılandırmasını izleme (Önizleme)
SAP sisteminin güvenliğini sağlamak için SAP, değişiklikler için izlenmesi gereken güvenlikle ilgili parametreler tanımlamıştır. "SAP - (Önizleme) Hassas Statik Parametre Değişti" kuralıyla SAP uygulamaları için Microsoft Sentinel çözümü, SAP sisteminde bulunan ve Microsoft Sentinel'de yerleşik olarak bulunan 52'den fazla statik güvenlikle ilgili parametreyi izler.
Not
SAP uygulamalarına yönelik Microsoft Sentinel çözümünün SAP güvenlik parametrelerini başarıyla izlemesi için, çözümün SAP PAHI tablosunu düzenli aralıklarla başarıyla izlemesi gerekir. Daha fazla bilgi için bkz . PAHI tablosunun düzenli aralıklarla güncelleştirildiğini doğrulama.
Sistemdeki parametre değişikliklerini anlamak için SAP uygulamaları için Microsoft Sentinel çözümü, sistem parametrelerinde saat başı yapılan değişiklikleri kaydeden parametre geçmişi tablosunu kullanır.
Parametreler SAPSystemParameters izleme listesine de yansıtılır. Bu izleme listesi, kullanıcıların yeni parametreler eklemesine, mevcut parametreleri devre dışı bırakmasına ve üretim veya üretim dışı ortamlarda parametre ve sistem rolü başına değerleri ve önem derecelerini değiştirmesine olanak tanır.
Bu parametrelerden birinde değişiklik yapıldığında, Microsoft Sentinel değişikliğin güvenlikle ilgili olup olmadığını ve değerin önerilen değerlere göre ayarlanıp ayarlanmadığını denetler. Değişikliğin güvenli bölgenin dışında olduğundan şüpheleniliyorsa, Microsoft Sentinel değişikliğin ayrıntılarını içeren bir olay oluşturur ve değişikliği kimin yaptığını tanımlar.
Bu kuralın izlediği parametrelerin listesini gözden geçirin.
SAP denetim günlüğünü izleme
SAP uygulamaları için Microsoft Sentinel çözümündeki analiz kurallarının çoğu SAP denetim günlüğü verilerini kullanır. Bazı analiz kuralları günlükteki belirli olayları ararken, diğerleri yüksek uygunluk uyarıları ve olayları oluşturmak için çeşitli günlüklerdeki göstergelerle bağıntı oluşturur.
SAP sisteminizdeki tüm denetim günlüğü olaylarını izlemek veya yalnızca anomaliler algılandığında uyarıları tetiklemek için aşağıdaki analiz kurallarını kullanın:
| Kural adı | Açıklama |
|---|---|
| SAP - Dinamik Güvenlik Denetim Günlüğü İzleyicisi'nde yapılandırma eksik | Varsayılan olarak, SAP denetim günlüğü modülü için yapılandırma önerileri sağlamak üzere günlük olarak çalışır. Çalışma alanınız için bir kural oluşturmak ve özelleştirmek için kural şablonunu kullanın. |
| SAP - Dinamik Belirleyici Denetim Günlüğü İzleyicisi (ÖNİzLEME) | Varsayılan olarak, her 10 dakikada bir çalışır ve Deterministic olarak işaretlenmiş SAP denetim günlüğü olaylarına odaklanır. Çalışma alanınız için daha düşük hatalı pozitif oran gibi bir kural oluşturmak ve özelleştirmek için kural şablonunu kullanın. Bu kural, belirlenici uyarı eşikleri ve kullanıcı dışlama kuralları gerektirir. |
| SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) | Varsayılan olarak, saatlik olarak çalıştırılır ve AnomalilerOnly olarak işaretlenmiş SAP olaylarına odaklanır ve anomaliler algılandığında SAP denetim günlüğü olaylarında uyarır. Bu kural, arka plan gürültüsünü denetimsiz bir şekilde filtrelemek için ek makine öğrenmesi algoritmaları uygular. |
Varsayılan olarak, SAP denetim günlüğündeki olay türlerinin veya SAP ileti kimliklerinin çoğu anomali tabanlı Dinamik Anomali tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) analiz kuralına gönderilirken, olay türlerini tanımlaması daha kolay belirlenimci Dinamik Belirleyici Denetim Günlüğü İzleyicisi (ÖNİzLEME) analiz kuralına gönderilir. Bu ayar, diğer ilgili ayarlarla birlikte tüm sistem koşullarına uyacak şekilde daha fazla yapılandırılabilir.
SAP denetim günlüğü izleme kuralları, SAP çözümü için Microsoft Sentinel güvenlik içeriğinin bir parçası olarak sunulur ve SAP_Dynamic_Audit_Log_Monitor_Configuration ve SAP_User_Config izleme listelerini kullanarak daha fazla ince ayara olanak sağlar.
Örneğin, aşağıdaki tabloda, SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesini kullanarak olay oluşturan olay türlerini yapılandırmaya ve oluşturulan olay sayısını azaltmaya yönelik çeşitli örnekler listelenmiştir.
| Seçenek | Açıklama |
|---|---|
| Önem derecelerini ayarlama ve istenmeyen olayları devre dışı bırakma | Varsayılan olarak, hem belirleyici kurallar hem de anomalilere dayalı kurallar orta ve yüksek önem dereceleriyle işaretlenmiş olaylar için uyarılar oluşturur. Önem derecelerini üretim ve üretim dışı ortamları ayrı ayrı yapılandırmak isteyebilirsiniz. Örneğin, bir hata ayıklama etkinliği olayını üretim sistemlerinde yüksek önem derecesi olarak ayarlayabilir ve üretim dışı sistemlerde aynı olayları tamamen kapatabilirsiniz. |
| Kullanıcıları SAP rollerine veya SAP profillerine göre dışlama | SAP için Microsoft Sentinel, SIEM'inizde SAP dilini konuşabilmeniz için doğrudan ve dolaylı rol atamaları, gruplar ve profiller dahil olmak üzere SAP kullanıcısının yetkilendirme profilini alır. Sap rollerine ve profillerine göre kullanıcıları dışlamak için bir SAP olayı yapılandırmak isteyebilirsiniz. İzleme listesinde RFC arabirimi kullanıcılarınızı gruplandıran rolleri veya profilleri RolesTagsToExclude sütununa RFC olayına göre genel tablo erişimi'nin yanına ekleyin. Bu yapılandırma yalnızca bu rolleri eksik olan kullanıcılar için uyarıları tetikler. |
| Kullanıcıları SOC etiketleriyle dışlama | Etiketleri kullanarak karmaşık SAP tanımlarına güvenmeden ve hatta SAP yetkilendirmesi olmadan kendi gruplandırmanızı oluşturabilirsiniz. Bu yöntem, SAP kullanıcıları için kendi gruplandırmalarını oluşturmak isteyen SOC ekipleri için kullanışlıdır. Örneğin, RFC olayları tarafından genel tablo erişimi için belirli hizmet hesaplarının uyarılmasını istemiyorsanız, ancak bu kullanıcıları gruplandıran bir SAP rolü veya SAP profili bulamıyorsanız, etiketleri aşağıdaki gibi kullanın: 1. İzleme listesindeki ilgili olayın yanına GenTableRFCReadOK etiketini ekleyin. 2. SAP_User_Config izleme listesine gidin ve arabirim kullanıcılarına aynı etiketi atayın. |
| Olay türü ve sistem rolü başına bir sıklık eşiği belirtin | Hız sınırı gibi çalışır. Örneğin, Kullanıcı Ana Kayıt Değişikliği olaylarını yalnızca bir saat içinde aynı kullanıcı tarafından üretim sisteminde 12'den fazla etkinlik gözlemlendiğinde uyarıları tetiklemek üzere yapılandırabilirsiniz. Kullanıcı saat başına 12 sınırını aşarsa (örneğin, 10 dakikalık bir zaman penceresindeki 2 olay) bir olay tetikler. |
| Determinizm veya anomaliler | Olayın özelliklerini biliyorsanız belirleyici özellikleri kullanın. Olayı doğru şekilde nasıl yapılandırabileceğinizden emin değilseniz makine öğrenmesi özelliklerinin başlamaya karar vermesine ve ardından gerektiğinde sonraki güncelleştirmeleri yapmasına izin verin. |
| SOAR özellikleri | SAP denetim günlüğü dinamik uyarıları tarafından oluşturulan olayları daha fazla yönetmek, otomatikleştirmek ve yanıtlamak için Microsoft Sentinel'i kullanın. Daha fazla bilgi için bkz. Microsoft Sentinel'de Otomasyon: Güvenlik düzenleme, otomasyon ve yanıt (SOAR). |
Daha fazla bilgi için bkz . Kullanılabilir izleme listeleri ve SAP News için Microsoft Sentinel - Dinamik SAP Güvenlik Denetim Günlüğü İzleyicisi özelliği şu anda kullanılabilir! (blog).
İlk erişim
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - Beklenmeyen ağdan oturum açma | Beklenmeyen bir ağdan oturum açmayı tanımlar. SAP - Networks izleme listesinde ağları koruyun. |
Ağlardan birine atanmamış bir IP adresinden arka uç sisteminde oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
İlk Erişim |
| SAP - SPNego Saldırısı | SPNego Yeniden Yürütme Saldırısını tanımlar. | Veri kaynakları: SAPcon - Denetim Günlüğü | Etki, YanAl Hareket |
| SAP - Ayrıcalıklı bir kullanıcıdan iletişim kutusu oturum açma girişimi | SAP sistemindeki ayrıcalıklı kullanıcılar tarafından AUM türüyle iletişim kutusu oturum açma girişimlerini tanımlar. Daha fazla bilgi için bkz . SAPUsersGetPrivileged. | Zamanlanan zaman aralığında aynı IP'den birkaç sistemde veya istemcide oturum açmayı deneme Veri kaynakları: SAPcon - Denetim Günlüğü |
Etki, YanAl Hareket |
| SAP - Deneme yanılma saldırıları | RFC oturum açmalarını kullanarak SAP sisteminde deneme yanılma saldırılarını tanımlar | RFC kullanarak zamanlanan zaman aralığında aynı IP'den birkaç sistemde/istemcide oturum açmayı deneme Veri kaynakları: SAPcon - Denetim Günlüğü |
Kimlik Bilgisi Erişimi |
| SAP - Aynı IP'den Birden Çok Oturum Açma | Zamanlanmış bir zaman aralığı içinde aynı IP adresinden birkaç kullanıcının oturum açmasını tanımlar. Alt kullanım örneği: Kalıcılık |
Aynı IP adresi üzerinden birkaç kullanıcı kullanarak oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
İlk Erişim |
| SAP - Kullanıcıya Göre Birden Çok Oturum Açma | Zamanlanan zaman aralığı içinde birkaç terminalden aynı kullanıcının oturum açmalarını tanımlar. SAP 7.5 ve üzeri sürümler için yalnızca Audit SAL yöntemiyle kullanılabilir. |
Farklı IP adresleri kullanarak aynı kullanıcıyı kullanarak oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Saldırı Öncesi, Kimlik Bilgisi Erişimi, İlk Erişim, Koleksiyon Alt kullanım örneği: Kalıcılık |
| SAP - Bilgilendirme - Yaşam Döngüsü - SAP Notları sistemde uygulandı | Sistemdeki SAP Not uygulamasını tanımlar. | SNOTE/TCI kullanarak SAP Notu uygulama. Veri kaynakları: SAPcon - Değişiklik İstekleri |
- |
| SAP - (Önizleme) AS JAVA - Hassas Ayrıcalıklı Kullanıcı Oturum Açtı | Beklenmeyen bir ağdan oturum açmayı tanımlar. SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun. |
Ayrıcalıklı kullanıcıları kullanarak arka uç sisteminde oturum açın. Veri kaynakları: SAPJAVAFilesLog |
İlk Erişim |
| SAP - (Önizleme) AS JAVA - Beklenmeyen Ağdan Oturum Açma | Beklenmeyen bir ağdan oturum açmaları tanımlar. SAP - Networks izleme listesinde ayrıcalıklı kullanıcıları koruyun. |
SAP - Networks izleme listesindeki ağlardan birine atanmamış bir IP adresinden arka uç sisteminde oturum açın Veri kaynakları: SAPJAVAFilesLog |
İlk Erişim, Savunma Kaçamak |
Veri sızdırma
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - Yetkili olmayan sunucular için FTP | Kimliği doğrulanmamış bir sunucu için FTP bağlantısı tanımlar. | örneğin, FTP_CONNECT İşlev Modülünü kullanarak yeni bir FTP bağlantısı oluşturun. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, İlk Erişim, Komut ve Denetim |
| SAP - Güvenli olmayan FTP sunucuları yapılandırması | Ftp izin verilenler listesinin boş olması veya yer tutucular içermesi gibi güvenli olmayan FTP sunucusu yapılandırmalarını tanımlar. | Bakım görünümünü kullanarak SAPFTP_SERVERS_V tabloda yer tutucular SAPFTP_SERVERS içeren değerlerin bakımını yapmayın veya bakımını yapmayın. (SM30) Veri kaynakları: SAPcon - Denetim Günlüğü |
İlk Erişim, Komut ve Denetim |
| SAP - Birden Çok Dosya İndirme | Belirli bir zaman aralığındaki bir kullanıcı için birden çok dosya indirmesi tanımlar. | Excel için SAPGui, listeler vb. kullanarak birden çok dosya indirin. Veri kaynakları: SAPcon - Denetim Günlüğü |
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi |
| SAP - Birden Çok Biriktirici Yürütmesi | Belirli bir zaman aralığında bir kullanıcı için birden çok biriktirici tanımlar. | Bir kullanıcı tarafından herhangi bir türde birden çok biriktirici işi oluşturun ve çalıştırın. (SP01) Veri kaynakları: SAPcon - Biriktirme Günlüğü, SAPcon - Denetim Günlüğü |
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi |
| SAP - Birden Çok Biriktirici Çıktı Yürütmesi | Belirli bir zaman aralığında bir kullanıcı için birden çok biriktirici tanımlar. | Bir kullanıcı tarafından herhangi bir türde birden çok biriktirici işi oluşturun ve çalıştırın. (SP01) Veri kaynakları: SAPcon - Biriktirme Çıktı Günlüğü, SAPcon - Denetim Günlüğü |
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi |
| SAP - RFC Oturum Açma ile Hassas Tablolara Doğrudan Erişim | RFC oturum açma yoluyla genel tablo erişimini tanımlar. SAP - Hassas Tablolar izleme listesinde tabloları koruyun. Yalnızca üretim sistemleri için geçerlidir. |
SE11/SE16/SE16N kullanarak tablo içeriğini açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Koleksiyon, Sızdırma, Kimlik Bilgisi Erişimi |
| SAP - Spool Devralma | Başka biri tarafından oluşturulan bir biriktirici isteğini yazdıran bir kullanıcıyı tanımlar. | Bir kullanıcı kullanarak bir biriktirme isteği oluşturun ve ardından farklı bir kullanıcı kullanarak bu isteğin çıktısını oluşturun. Veri kaynakları: SAPcon - Biriktirme Günlüğü, SAPcon - Biriktirme Çıktı Günlüğü, SAPcon - Denetim Günlüğü |
Toplama, Sızdırma, Komut ve Denetim |
| SAP - Dinamik RFC Hedefi | Dinamik hedefleri kullanarak RFC'nin yürütülmesini tanımlar. Alt kullanım örneği: SAP güvenlik mekanizmalarını atlama girişimleri |
Dinamik hedefler (cl_dynamic_destination) kullanan bir ABAP raporu yürütür. Örneğin, DEMO_RFC_DYNAMIC_DEST. Veri kaynakları: SAPcon - Denetim Günlüğü |
Toplama, Sızdırma |
| SAP - Hassas Tablolar İletişim KutusuYla Doğrudan Erişim Oturum Açma | İletişim kutusuyla oturum açma yoluyla genel tablo erişimini tanımlar. | kullanarak SE11//SE16SE16Ntablo içeriğini açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma |
| SAP - (Önizleme) Kötü Amaçlı BIR IP Adresinden İndirilen Dosya | Kötü amaçlı olduğu bilinen bir IP adresi kullanarak SAP sisteminden dosya indirilmesini tanımlar. Kötü amaçlı IP adresleri tehdit bilgileri hizmetlerinden elde edilir. | Kötü amaçlı bir IP'den dosya indirin. Veri kaynakları: SAP güvenliği Denetim günlüğü, Tehdit Bilgileri |
Sızdırma |
| SAP - (Önizleme) Aktarım Kullanılarak Üretim Sisteminden Dışarı Aktarılan Veriler | Aktarım kullanarak üretim sisteminden veri dışarı aktarmayı tanımlar. Aktarımlar geliştirme sistemlerinde kullanılır ve çekme isteklerine benzer. Bu uyarı kuralı, herhangi bir tablodaki verileri içeren bir aktarım üretim sisteminden yayınlandığında orta önem derecesinde olayları tetikler. Dışarı aktarma işlemi hassas bir tablodaki verileri içerdiğinde kural yüksek önem derecesine sahip bir olay oluşturur. | Bir üretim sisteminden taşımayı serbest bırakın. Veri kaynakları: SAP CR günlüğü, SAP - Hassas Tablolar |
Sızdırma |
| SAP - (Önizleme) USB Sürücüsüne Kaydedilen Hassas Veriler | SAP verilerinin dosyalar aracılığıyla dışarı aktarımını tanımlar. Kural, hassas bir işlemin yürütülmesine, hassas bir programa veya hassas bir tabloya doğrudan erişime yakın bir şekilde yakın zamanda takılı bir USB sürücüsüne kaydedilen verileri denetler. | SAP verilerini dosyalar aracılığıyla dışarı aktarın ve bir USB sürücüsüne kaydedin. Veri kaynakları: SAP Güvenlik Denetim Günlüğü, DeviceFileEvents (Uç Nokta için Microsoft Defender), SAP - Hassas Tablolar, SAP - Hassas İşlemler, SAP - Hassas Programlar |
Sızdırma |
| SAP - (Önizleme) Hassas Olabilecek Verilerin Yazdırımı | Hassas olabilecek verilerin bir isteği veya gerçek yazdırmayı tanımlar. Kullanıcı verileri hassas bir işlem, hassas bir programın yürütülmesi veya hassas bir tabloya doğrudan erişim kapsamında alırsa veriler hassas olarak kabul edilir. | Hassas verileri yazdırmayı veya yazdırmayı isteme. Veri kaynakları: SAP Güvenlik Denetim Günlüğü, SAP Biriktirme günlükleri, SAP - Hassas Tablolar, SAP - Hassas Programlar |
Sızdırma |
| SAP - (Önizleme) Dışarı Aktarılan Hassas Olabilecek Yüksek Hacimli Veriler | Hassas bir işlemin yürütülmesine, hassas bir programa veya hassas tabloya doğrudan erişime yakın dosyalar aracılığıyla yüksek hacimli verilerin dışarı aktarımını tanımlar. | Dosyalar aracılığıyla yüksek hacimli verileri dışarı aktarın. Veri kaynakları: SAP Güvenlik Denetim Günlüğü, SAP - Hassas Tablolar, SAP - Hassas İşlemler, SAP - Hassas Programlar |
Sızdırma |
Kalıcılık
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - ICF Hizmetinin Etkinleştirilmesi veya Devre Dışı Bırakılması | ICF Hizmetlerini etkinleştirmeyi veya devre dışı bırakma işlemini tanımlar. | SICF kullanarak bir hizmeti etkinleştirme. Veri kaynakları: SAPcon - Tablo Veri Günlüğü |
Komut ve Denetim, YanAl Hareket, Kalıcılık |
| SAP - İşlev Modülü test edildi | İşlev modülünün testini tanımlar. | kullanarak bir işlev modülünü test edin SE37 / SE80. Veri kaynakları: SAPcon - Denetim Günlüğü |
Toplama, Savunma Kaçamak, Yanal Hareket |
| SAP - (ÖNİzLEME) HANA DB -Kullanıcı Yöneticisi eylemleri | Kullanıcı yönetimi eylemlerini tanımlar. | Veritabanı kullanıcısı oluşturma, güncelleştirme veya silme. Veri Kaynakları: Linux Aracısı - Syslog* |
Ayrıcalık Yükseltme |
| SAP - Yeni ICF Hizmet İşleyicileri | ICF İşleyicilerinin oluşturulmasını tanımlar. | SICF kullanarak hizmete yeni bir işleyici atayın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Komut ve Denetim, YanAl Hareket, Kalıcılık |
| SAP - Yeni ICF Hizmetleri | ICF Hizmetlerinin oluşturulmasını tanımlar. | SICF kullanarak bir hizmet oluşturun. Veri kaynakları: SAPcon - Tablo Veri Günlüğü |
Komut ve Denetim, YanAl Hareket, Kalıcılık |
| SAP - Eski veya Güvenli Olmayan İşlev Modülünün Yürütülmesi | Eski veya güvenli olmayan bir ABAP işlev modülünün yürütülmesini tanımlar. SAP - Eski İşlev Modülleri izleme listesinde eski işlevleri koruyun. Arka uçtaki tablo için EUFUNC tablo günlüğü değişikliklerini etkinleştirdiğinizden emin olun. (SE13)Yalnızca üretim sistemleri için geçerlidir. |
SE37 kullanarak eski veya güvenli olmayan bir işlev modülünü doğrudan çalıştırın. Veri kaynakları: SAPcon - Tablo Veri Günlüğü |
Bulma, Komut ve Denetim |
| SAP - Kullanımdan Kaldırılmış/Güvenli Olmayan Programın Yürütülmesi | Eski veya güvenli olmayan bir ABAP programının yürütülmesini tanımlar. SAP - Eski Programlar izleme listesinde eski programları koruyun. Yalnızca üretim sistemleri için geçerlidir. |
Se38/SA38/SE80 kullanarak veya arka plan işi kullanarak bir programı doğrudan çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, Komut ve Denetim |
| SAP - Kullanıcıya Göre Birden Çok Parola Değişikliği | Kullanıcıya göre birden çok parola değişikliği tanımlar. | Kullanıcı parolasını değiştirme Veri kaynakları: SAPcon - Denetim Günlüğü |
Kimlik Bilgisi Erişimi |
| SAP - (Önizleme) AS JAVA - Kullanıcı Yeni Kullanıcı Oluşturup Kullanıyor | SAP AS Java ortamındaki yöneticiler tarafından kullanıcıların oluşturulmasını veya değiştirilmesini tanımlar. | Oluşturduğunuz veya değiştirdiğiniz kullanıcıları kullanarak arka uç sisteminde oturum açın. Veri kaynakları: SAPJAVAFilesLog |
Kalıcılık |
SAP güvenlik mekanizmalarını atlama girişimleri
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - İstemci Yapılandırma Değişikliği | İstemci rolü veya değişiklik kayıt modu gibi istemci yapılandırması değişikliklerini tanımlar. | İşlem kodunu kullanarak istemci yapılandırma değişiklikleri gerçekleştirin SCC4 . Veri kaynakları: SAPcon - Denetim Günlüğü |
Savunma Kaçamak, Sızdırma, Kalıcılık |
| SAP - Hata Ayıklama Etkinliği Sırasında Veriler Değişti | Hata ayıklama etkinliği sırasında çalışma zamanı verilerine yönelik değişiklikleri tanımlar. Alt kullanım örneği: Kalıcılık |
1. Hata Ayıklamayı Etkinleştir ("/h"). 2. Değişiklik için bir alan seçin ve değerini güncelleştirin. Veri kaynakları: SAPcon - Denetim Günlüğü |
Yürütme, YanAl Hareket |
| SAP - Güvenlik Denetim Günlüğünü Devre Dışı Bırakma | Güvenlik Denetim Günlüğü'nü devre dışı bırakma işlemini tanımlar, | kullanarak SM19/RSAU_CONFIGgüvenlik Denetim Günlüğü'nü devre dışı bırakın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Sızdırma, Savunma Kaçamak, Kalıcılık |
| SAP - Hassas BIR ABAP Programının Yürütülmesi | Hassas bir ABAP programının doğrudan yürütülmesini tanımlar. SAP - Hassas ABAP Programları izleme listesinde ABAP Programlarını koruyun. |
Kullanarak SE38//SA38SE80bir programı doğrudan çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Sızdırma, YanAl Hareket, Yürütme |
| SAP - Hassas İşlem Kodunu Yürütme | Hassas bir İşlem Kodunun yürütülmesini tanımlar. SAP - Hassas İşlem Kodları izleme listesinde işlem kodlarını koruyun. |
Hassas bir işlem kodu çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, Yürütme |
| SAP - Hassas İşlev Modülünün Yürütülmesi | Hassas bir ABAP işlev modülünün yürütülmesini tanımlar. Alt kullanım örneği: Kalıcılık Yalnızca üretim sistemleri için geçerlidir. SAP - Hassas İşlev Modülleri izleme listesinde hassas işlevleri koruyun ve EUFUNC tablosunun arka uçtaki tablo günlüğü değişikliklerini etkinleştirdiğinizden emin olun. (SE13) |
SE37 kullanarak hassas bir işlev modülünü doğrudan çalıştırın. Veri kaynakları: SAPcon - Tablo Veri Günlüğü |
Bulma, Komut ve Denetim |
| SAP - (ÖNİzLEME) HANA DB -Denetim İzi İlkesi Değişiklikleri | HANA DB denetim izi ilkelerine yönelik değişiklikleri tanımlar. | Güvenlik tanımlarında mevcut denetim ilkesini oluşturun veya güncelleştirin. Veri kaynakları: Linux Aracısı - Syslog |
Yanal Hareket, Savunma Kaçamak, Kalıcılık |
| SAP - (ÖNİzLEME) HANA DB -Denetim İzinin Devre Dışı Bırakılması | HANA DB denetim günlüğünü devre dışı bırakma işlemini tanımlar. | HANA DB güvenlik tanımında denetim günlüğünü devre dışı bırakın. Veri kaynakları: Linux Aracısı - Syslog |
Kalıcılık, Yanal Hareket, Savunma Kaçamak |
| SAP - Hassas İşlev Modülünün Yetkisiz Uzaktan Yürütülmesi | Yakın zamanda değiştirilen yetkilendirmeleri göz ardı ederken etkinliği kullanıcının yetkilendirme profiliyle karşılaştırarak hassas FM'lerin yetkisiz yürütmelerini algılar. SAP - Hassas İşlev Modülleri izleme listesinde işlev modüllerini koruyun. |
RFC kullanarak bir işlev modülü çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Yürütme, YanAl Hareket, Keşif |
| SAP - Sistem Yapılandırma Değişikliği | Sistem yapılandırmasına yönelik değişiklikleri tanımlar. | İşlem kodunu kullanarak sistem değişikliği seçeneklerini veya yazılım bileşeni değişikliklerini uyarlayın SE06 .Veri kaynakları: SAPcon - Denetim Günlüğü |
Sızdırma, Savunma Kaçamak, Kalıcılık |
| SAP - Hata Ayıklama Etkinlikleri | Hata ayıklamayla ilgili tüm etkinlikleri tanımlar. Alt kullanım örneği: Kalıcılık |
Sistemde Hata Ayıklamayı ("/h") etkinleştirin, etkin bir işlemde hata ayıklayın, kaynak koda kesme noktası ekleyin vb. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma |
| SAP - Güvenlik Denetim Günlüğü Yapılandırma Değişikliği | Güvenlik Denetim Günlüğü yapılandırmasındaki değişiklikleri tanımlar | kullanarak SM19/RSAU_CONFIGfiltreler, durum, kayıt modu gibi güvenlik denetim günlüğü yapılandırmasını değiştirin. Veri kaynakları: SAPcon - Denetim Günlüğü |
Kalıcılık, Sızdırma, Savunma Kaçamak |
| SAP - İşlemin kilidi açık | Bir işlemin kilidinin açılmasını tanımlar. | kullanarak SM01//SM01_DEVSM01_CUSişlem kodunun kilidini açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Kalıcılık, Yürütme |
| SAP - Dinamik ABAP Programı | Dinamik ABAP programlamanın yürütülmesini tanımlar. Örneğin, ABAP kodu dinamik olarak oluşturulduğunda, değiştirildiğinde veya silindiğinde. SAP - ABAP Nesilleri için işlemler izleme listesinde hariç tutulan işlem kodlarını koruyun. |
INSERT REPORT gibi ABAP program oluşturma komutlarını kullanan bir ABAP Raporu oluşturun ve raporu çalıştırın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, Komut ve Denetim, Etki |
Şüpheli ayrıcalık işlemleri
| Kural adı | Açıklama | Kaynak eylemi | Taktikler |
|---|---|---|---|
| SAP - Hassas ayrıcalıklı kullanıcıda değişiklik | Hassas ayrıcalıklı kullanıcıların değişikliklerini tanımlar. SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun. |
kullanarak SU01kullanıcı ayrıntılarını /yetkilendirmelerini değiştirin. Veri kaynakları: SAPcon - Denetim Günlüğü |
Ayrıcalık Yükseltme, Kimlik Bilgisi Erişimi |
| SAP - (ÖNİzLEME) HANA DB -Yönetici Yetkilendirmeleri Atama | Yönetici ayrıcalığını veya rol atamalarını tanımlar. | Herhangi bir yönetici rolüne veya ayrıcalığına sahip bir kullanıcı atayın. Veri kaynakları: Linux Aracısı - Syslog |
Ayrıcalık Yükseltme |
| SAP - Oturum açmış hassas ayrıcalıklı kullanıcı | Hassas ayrıcalıklı bir kullanıcının İletişim kutusu oturum açmasını tanımlar. SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun. |
veya başka bir ayrıcalıklı kullanıcı kullanarak SAP* arka uç sisteminde oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
İlk Erişim, Kimlik Bilgisi Erişimi |
| SAP - Hassas ayrıcalıklı kullanıcı diğer kullanıcıda değişiklik yapar | Diğer kullanıcılardaki hassas, ayrıcalıklı kullanıcıların değişikliklerini tanımlar. | SU01 kullanarak kullanıcı ayrıntılarını /yetkilendirmelerini değiştirin. Veri Kaynakları: SAPcon - Denetim Günlüğü |
Ayrıcalık Yükseltme, Kimlik Bilgisi Erişimi |
| SAP - Hassas Kullanıcılar Parola Değişikliği ve Oturum Açma | Ayrıcalıklı kullanıcılar için parola değişikliklerini tanımlar. | Ayrıcalıklı bir kullanıcının parolasını değiştirin ve sistemde oturum açın. SAP - Privileged Users izleme listesinde ayrıcalıklı kullanıcıları koruyun. Veri kaynakları: SAPcon - Denetim Günlüğü |
Etki, Komut ve Denetim, Ayrıcalık Yükseltme |
| SAP - Kullanıcı Yeni kullanıcı oluşturur ve kullanır | Diğer kullanıcıları oluşturan ve kullanan bir kullanıcıyı tanımlar. Alt kullanım örneği: Kalıcılık |
SU01 kullanarak bir kullanıcı oluşturun ve yeni oluşturulan kullanıcıyı ve aynı IP adresini kullanarak oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü |
Bulma, Saldırı Öncesi, İlk Erişim |
| SAP - Kullanıcı Kilidini Açar ve diğer kullanıcıları kullanır | Kilidi açılmış ve diğer kullanıcılar tarafından kullanılan bir kullanıcıyı tanımlar. Alt kullanım örneği: Kalıcılık |
SU01 kullanarak bir kullanıcının kilidini açın ve ardından kilidi açılmış kullanıcıyı ve aynı IP adresini kullanarak oturum açın. Veri kaynakları: SAPcon - Denetim Günlüğü, SAPcon - Belge Günlüğünü Değiştir |
Keşif, Saldırı Öncesi, İlk Erişim, YanAl Hareket |
| SAP - Hassas profil atama | Kullanıcıya hassas bir profilin yeni atamalarını tanımlar. SAP - Hassas Profiller izleme listesinde hassas profilleri koruyun. |
kullanarak bir kullanıcıya profil atayın SU01. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir |
Ayrıcalık Yükseltme |
| SAP - Hassas bir rolün atanma | Kullanıcıya hassas bir rol için yeni atamalar tanımlar. SAP - Hassas Roller izleme listesinde hassas rolleri koruyun. |
kullanarak bir kullanıcıya rol atayın SU01 / PFCG. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir, Denetim Günlüğü |
Ayrıcalık Yükseltme |
| SAP - (ÖNİzLEME) Kritik yetkilendirme ataması - Yeni Yetkilendirme Değeri | Kritik yetkilendirme nesnesi değerinin yeni bir kullanıcıya atanma durumunu tanımlar. SAP - Kritik Yetkilendirme Nesneleri izleme listesinde kritik yetkilendirme nesnelerini koruyun. |
kullanarak PFCGyeni bir yetkilendirme nesnesi atayın veya bir roldeki mevcut bir nesneyi güncelleştirin. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir |
Ayrıcalık Yükseltme |
| SAP - Kritik yetkilendirme ataması - Yeni Kullanıcı Ataması | Kritik yetkilendirme nesnesi değerinin yeni bir kullanıcıya atanma durumunu tanımlar. SAP - Kritik Yetkilendirme Nesneleri izleme listesinde kritik yetkilendirme nesnelerini koruyun. |
kullanarak kritik yetkilendirme değerlerini barındıran bir role yeni bir kullanıcı atayın SU01/PFCG. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir |
Ayrıcalık Yükseltme |
| SAP - Hassas Rol Değişiklikleri | Hassas rollerdeki değişiklikleri tanımlar. SAP - Hassas Roller izleme listesinde hassas rolleri koruyun. |
PFCG kullanarak bir rolü değiştirin. Veri kaynakları: SAPcon - Belge Günlüğünü Değiştir, SAPcon – Denetim Günlüğü |
Etki, Ayrıcalık Yükseltme, Kalıcılık |
Kullanılabilir izleme listeleri
Aşağıdaki tabloda SAP uygulamaları için Microsoft Sentinel çözümü için kullanılabilen izleme listeleri ve her izleme listesindeki alanlar listelenmiştir.
Bu izleme listeleri SAP uygulamaları için Microsoft Sentinel çözümünün yapılandırmasını sağlar. SAP izleme listeleri Microsoft Sentinel GitHub deposunda bulunur.
| İzleme listesi adı | Açıklama ve alanlar |
|---|---|
| SAP - Kritik Yetkilendirme Nesneleri | Atamaların idare edilmesi gereken Kritik Yetkilendirmeler nesnesi. - AuthorizationObject: , S_TCODEveya gibi S_DEVELOPbir SAP yetkilendirme nesnesiTable TOBJ - AuthorizationField: veya gibi OBJTYP bir SAP yetkilendirme alanı TCD - AuthorizationValue: SAP yetkilendirme alanı değeri, örneğin DEBUG - ActivityField : SAP etkinlik alanı. Çoğu durumda, bu değer şeklindedir ACTVT. Etkinliği olmayan veya yalnızca Bir Etkinlik alanı olan ve ile NOT_IN_USEdoldurulmuş Yetkilendirme nesneleri için. - Etkinlik: Yetkilendirme nesnesine göre SAP etkinliği, örneğin: 01Oluşturma; 02: Değiştir; 03: Görüntüleme vb. - Açıklama: Anlamlı bir Kritik Yetkilendirme Nesnesi açıklaması. |
| SAP - Dışlanan Ağlar | Dışlanan ağların iç bakımı için, örneğin web dağıtıcılarını, terminal sunucularını vb. yoksayın. -Ağ: Gibi bir ağ IP adresi veya aralığı 111.68.128.0/17. -Açıklama: Anlamlı bir ağ açıklaması. |
| SAP Dışlanan Kullanıcılar | Sistemde oturum açmış olan ve yoksayılması gereken sistem kullanıcıları. Örneğin, aynı kullanıcı tarafından birden çok oturum açma için uyarılar. - Kullanıcı: SAP Kullanıcısı -Açıklama: Anlamlı bir kullanıcı açıklaması. |
| SAP - Ağlar | Yetkisiz oturum açma bilgilerinin tanımlanması için iç ve bakım ağları. - Ağ: Ağ IP adresi veya aralığı, örneğin 111.68.128.0/17 - Açıklama: Anlamlı bir ağ açıklaması. |
| SAP - Ayrıcalıklı Kullanıcılar | Ek kısıtlamalar altında olan ayrıcalıklı kullanıcılar. - Kullanıcı: VEYA gibi DDIC ABAP kullanıcısı SAP - Açıklama: Anlamlı bir kullanıcı açıklaması. |
| SAP - Hassas ABAP Programları | Yürütmenin idare edilmesi gereken hassas ABAP programları (raporlar). - ABAPProgram: ABAP programı veya raporu, örneğin RSPFLDOC - Açıklama: Anlamlı bir program açıklaması. |
| SAP - Hassas İşlev Modülü | Yetkisiz oturum açma bilgilerinin tanımlanması için iç ve bakım ağları. - FunctionModule: ABAP işlevi modülü, örneğin RSAU_CLEAR_AUDIT_LOG - Açıklama: Anlamlı bir modül açıklaması. |
| SAP - Hassas Profiller | Atamaların idare edilmesi gereken hassas profiller. - Profil: veya gibi SAP_ALL SAP yetkilendirme profili SAP_NEW - Açıklama: Anlamlı bir profil açıklaması. |
| SAP - Hassas Tablolar | Erişimin idare edilmesi gereken hassas tablolar. - Tablo: VEYA gibi USR02 ABAP Sözlük Tablosu PA008 - Açıklama: Anlamlı bir tablo açıklaması. |
| SAP - Hassas Roller | Atamanın yönetileceği hassas roller. - Rol: SAP yetkilendirme rolü, örneğin SAP_BC_BASIS_ADMIN - Açıklama: Anlamlı bir rol açıklaması. |
| SAP - Hassas İşlemler | Yürütmenin yönetilmesi gereken hassas işlemler. - TransactionCode: SAP işlem kodu, örneğin RZ11 - Açıklama: Anlamlı bir kod açıklaması. |
| SAP - Sistemler | SAP sistemlerinin ortamını role, kullanıma ve yapılandırmaya göre açıklar. - SystemID: SAP sistem kimliği (SYSID) - SystemRole: SAP sistem rolü, şu değerlerden biri: Sandbox, Development, Quality Assurance, Training, , Production - SystemUsage: SAP sistem kullanımı, şu değerlerden biri: ERP, BW, Solman, , Gateway, Enterprise Portal - InterfaceAttributes: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre. |
| SAPSystemParameters | Şüpheli yapılandırma değişikliklerini izlemek için parametreler. Bu izleme listesi önerilen değerlerle önceden doldurulur (SAP en iyi uygulamasına göre) ve izleme listesini daha fazla parametre içerecek şekilde genişletebilirsiniz. Bir parametre için uyarı almak istemiyorsanız olarak ayarlayın EnableAlerts false.- ParameterName: Parametrenin adı. - Açıklama: SAP standart parametre açıklaması. - EnableAlerts: Bu parametre için uyarıların etkinleştirilip etkinleştirilmeymeyeceğini tanımlar. Değerler ve falseşeklindedirtrue.- Seçenek: Hangi durumda uyarı tetikleyebileceğinizi tanımlar: Parametre değeri daha büyük veya eşitse ( GE), küçük veya eşit (LE) veya eşittir (EQ)Örneğin, SAP parametresi (küçük veya eşit) olarak ayarlanırsa login/fails_to_user_lock LE ve 5değeri ise, Microsoft Sentinel bu parametrede bir değişiklik algıladıktan sonra, yeni bildirilen değeri ve beklenen değeri karşılaştırır. Yeni değer ise 4, Microsoft Sentinel uyarı tetiklemez. Yeni değer ise 6, Microsoft Sentinel bir uyarı tetikler.- ProductionSeverity: Üretim sistemleri için olay önem derecesi. - ProductionValues: Üretim sistemleri için izin verilen değerler. - NonProdSeverity: Üretim dışı sistemler için olay önem derecesi. - NonProdValues: Üretim dışı sistemler için izin verilen değerler. |
| SAP - Dışlanan Kullanıcılar | Oturum açmış ve kullanıcı tarafından birden çok oturum açma uyarısı gibi yoksayılması gereken sistem kullanıcıları. - Kullanıcı: SAP Kullanıcısı - Açıklama: Anlamlı bir kullanıcı açıklaması |
| SAP - Dışlanan Ağlar | Web dağıtıcılarını, terminal sunucularını vb. yoksaymak için dahili, dışlanmış ağları koruyun. - Ağ: Ağ IP adresi veya aralığı, örneğin 111.68.128.0/17 - Açıklama: Anlamlı bir ağ açıklaması |
| SAP - Eski İşlev Modülleri | Yürütmesi yönetilecek olan eski işlev modülleri. - FunctionModule: TH_SAPREL gibi ABAP İşlev Modülü - Açıklama: Anlamlı bir işlev modülü açıklaması |
| SAP - Eski Programlar | Yürütmesi yönetilecek olan eski ABAP programları (raporlar). - TH_ RSPFLDOC gibi ABAPProgram:ABAP Programı - Açıklama: Anlamlı bir ABAP programı açıklaması |
| SAP - ABAP Nesilleri için İşlemler | Yürütmenin idare edilmesi gereken ABAP nesilleri için işlemler. - TransactionCode: SE11 gibi İşlem Kodu. - Açıklama: Anlamlı bir İşlem Kodu açıklaması |
| SAP - FTP Sunucuları | Yetkisiz bağlantıların tanımlanması için FTP Sunucuları. - İstemci: 100 gibi. - FTP_Server_Name: FTP sunucusu adı, örneğin http://contoso.com/ -FTP_Server_Port:FTP sunucu bağlantı noktası, örneğin 22. - AçıklamaAnlamlı bir FTP Sunucusu açıklaması |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Her ileti kimliğine sistem rolü başına (üretim, üretim dışı) gereken önem düzeyi atayarak SAP denetim günlüğü uyarılarını yapılandırın. Bu izleme listesi tüm kullanılabilir SAP standart denetim günlüğü ileti kimliklerini ayrıntılarıyla açıklar. İzleme listesi, SAP NetWeaver sistemlerinde ABAP geliştirmelerini kullanarak kendi başınıza oluşturabileceğiniz ek ileti kimlikleri içerecek şekilde genişletilebilir. Bu izleme listesi ayrıca, belirlenen bir ekibi olay türlerinin her birini işleyecek şekilde yapılandırmaya ve kullanıcıları SAP rollerine, SAP profillerine veya SAP_User_Config izleme listesindeki etiketlere göre hariç tutmanıza olanak tanır. Bu izleme listesi, SAP denetim günlüğünü izlemek için yerleşik SAP analiz kurallarını yapılandırmak için kullanılan temel bileşenlerden biridir. Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme. - MessageID: SAP İleti Kimliği veya (Kullanıcı ana kaydı değişiklikleri) veya AUB (yetkilendirme değişiklikleri) gibi AUD olay türü. - DetailedDescription: Olay bölmesinde gösterilecek markdown özellikli bir açıklama. - ProductionSeverity: üretim sistemleri Highiçin ile oluşturulacak olayın istenen önem derecesi, Medium. olarak Disabledayarlanabilir. - NonProdSeverity: üretim dışı sistemler Highiçin ile oluşturulacak olayın istenen önem derecesi , Medium. olarak Disabledayarlanabilir. - ProductionThreshold Üretim sistemleri 60için şüpheli olarak değerlendirilecek olayların "saat başına" sayısı. - NonProdThreshold Üretim dışı sistemler 10için şüpheli olarak değerlendirilecek olayların "Saat başına" sayısı. - RolesTagsToExclude: Bu alan, SAP_User_Config izleme listesindeki SAP rol adını, SAP profil adlarını veya etiketlerini kabul eder. Bunlar daha sonra ilişkili kullanıcıları belirli olay türlerinin dışında tutmak için kullanılır. Bu listenin sonundaki rol etiketleri seçeneklerine bakın. - RuleType: OLAY türünün SAP - Dinamik Belirleyici Denetim Günlüğü İzleyicisi kuralına gönderilmesi veya AnomaliesOnly bu olayın SAP - Dinamik Anomali Tabanlı Denetim Günlüğü İzleyicisi Uyarıları (ÖNİzLEME) kuralının kapsamına alınması için kullanınDeterministic. Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme. - TeamsChannelID: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre. - DestinationEmail: playbook'larda kullanmak için isteğe bağlı bir dinamik parametre. RolesTagsToExclude alanı için: - SAP rollerini veya SAP profillerini listelerseniz, bu, listelenen rollere veya profillere sahip tüm kullanıcıları aynı SAP sistemi için bu olay türlerinden dışlar. Örneğin, RFC ile ilgili olay türleri için ABAP rolünü tanımlarsanız BASIC_BO_USERS , İş Nesneleri kullanıcıları büyük RFC çağrıları yaparken olayları tetiklemez.- Bir olay türünün etiketlenmesi SAP rollerini veya profillerini belirtmeye benzer, ancak çalışma alanında etiketler oluşturulabilir, böylece SOC ekipleri SAP BASIS ekibine bağlı olmadan kullanıcıları etkinliğe göre dışlayabilir. Örneğin, denetim iletisi kimlikleri AUB (yetkilendirme değişiklikleri) ve AUD (kullanıcı ana kaydı değişiklikleri) etiketi atanır MassiveAuthChanges . Bu etikete atanan kullanıcılar, bu etkinliklere yönelik denetimlerden dışlanır. çalışma alanı SAPAuditLogConfigRecommend işlevini çalıştırmak, kullanıcılara atanması önerilen etiketlerin bir listesini oluşturur, örneğin Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Belirli bağlamlardaki /dahil kullanıcıları dışlayarak uyarıların ince ayarlanmasına olanak tanır ve SAP denetim günlüğünü izlemek için yerleşik SAP analiz kurallarını yapılandırmak için de kullanılır. Daha fazla bilgi için bkz . SAP denetim günlüğünü izleme. - SAPUser: SAP kullanıcısı - Etiketler: Etiketler, belirli etkinliklere karşı kullanıcıları tanımlamak için kullanılır. Örneğin kullanıcı SENTINEL_SRV ["GenericTablebyRFCOK"] etiketlerini eklemek, bu kullanıcı için RFC ile ilgili olayların oluşturulmasını engeller Diğer Active Directory kullanıcı tanımlayıcıları - AD Kullanıcı Tanımlayıcısı - Kullanıcı Şirket İçi Sid - Kullanıcı Asıl Adı |
Kullanılabilir playbook'lar
SAP uygulamaları için Microsoft Sentinel çözümü tarafından sağlanan playbook'lar SAP olay yanıtı iş yüklerini otomatikleştirmenize yardımcı olur ve güvenlik işlemlerinin verimliliğini ve verimliliğini artırır.
Bu bölümde, SAP uygulamaları için Microsoft Sentinel çözümüyle birlikte sağlanan yerleşik analiz playbook'ları açıklanmaktadır.
| Playbook adı | Parametreler | Bağlantılar |
|---|---|---|
| SAP Olay Yanıtı - Kullanıcıyı Teams'den kilitleme - Temel | - SAP-SOAP-Kullanıcı Parolası - SAP-SOAP-Kullanıcı Adı - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
| SAP Olay Yanıtı - Kullanıcıyı Teams'den kilitleme - Gelişmiş | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure İzleyici Günlükleri - Office 365 Outlook - Microsoft Entra Id - Azure Key Vault - Microsoft Teams |
| SAP Olay Yanıtı - Denetim günlüğünü devre dışı bırakıldıktan sonra yeniden etkinleştir | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Key Vault - Azure İzleyici Günlükleri - Microsoft Teams |
Aşağıdaki bölümlerde, bir olayın sap sistemlerinden birinde şüpheli etkinlik konusunda sizi uyardığı ve kullanıcının bu son derece hassas işlemlerden birini yürütmeye çalıştığı bir senaryoda sağlanan playbook'ların her biri için örnek kullanım örnekleri açıklanmaktadır.
Olay önceliklendirme aşamasında, sap ERP veya BTP sistemlerinizden, hatta Microsoft Entra ID'den başlatarak bu kullanıcıya karşı işlem yapmaya karar verirsiniz.
Daha fazla bilgi için bkz. Microsoft Sentinel'de playbook'larla tehdit yanıtlarını otomatikleştirme
Standart mantıksal uygulamaları dağıtma işlemi genellikle Tüketim mantığı uygulamalarına göre daha karmaşıktır. Bunları Microsoft Sentinel GitHub deposundan hızla dağıtmanıza yardımcı olacak bir dizi kısayol oluşturduk. Daha fazla bilgi için bkz . Adım Adım Yükleme Kılavuzu.
İpucu
Kullanılabilir hale geldikçe daha fazla playbook için GitHub deposundaki SAP playbooks klasörünü izleyin. Başlamanıza yardımcı olacak kısa bir tanıtım videosu (dış bağlantı) da vardır.
Kullanıcıyı tek bir sistemden kilitleme
Yetkisiz bir kullanıcı tarafından hassas bir işlem yürütme algılandığında Teams - Temel playbook'tan Kilit kullanıcısını çağırmak için bir otomasyon kuralı oluşturun. Bu playbook, kullanıcıyı tek taraflı olarak engellemeden önce onay istemek için Teams'in uyarlamalı kartlar özelliğini kullanır.
Daha fazla bilgi için kritik SAP güvenlik sinyalleriniz için bkz . Microsoft Sentinel ile sıfırdan kahramana güvenlik kapsamı - Beni duyacaksınız SOAR! Bölüm 1 (SAP blog gönderisi).
Teams 'den Kilit kullanıcısı - Temel playbook bir Standart playbook'tır ve Standart playbook'ların dağıtılması genellikle Tüketim playbook'larından daha karmaşıktır.
Bunları Microsoft Sentinel GitHub deposundan hızla dağıtmanıza yardımcı olacak bir dizi kısayol oluşturduk. Daha fazla bilgi için bkz . Adım Adım Yükleme Kılavuzu ve Desteklenen mantıksal uygulama türleri.
Kullanıcıyı birden çok sistemden kilitleme
Teams - Gelişmiş playbook'tan Kilit kullanıcısı aynı hedefi gerçekleştirir, ancak daha karmaşık senaryolar için tasarlanmıştır ve her biri kendi SAP SID'sine sahip birden çok SAP sistemi için tek bir playbook kullanılmasına olanak tanır.
Teams 'den Kullanıcıyı Kilitle - Gelişmiş playbook, SAP - Systems izleme listesindeki ve Azure Key Vault'taki isteğe bağlı Dinamik InterfaceAttributes parametresini kullanarak bu sistemlerin tümüne ve kimlik bilgilerine yönelik bağlantıları sorunsuz bir şekilde yönetir.
Teams'den kullanıcıyı kilitle - Gelişmiş playbook, SAP_Dynamic_Audit_Log_Monitor_Configuration izleme listesindeki TeamsChannelID ve DestinationEmail parametrelerini kullanarak Teams ile birlikte Outlook eyleme dönüştürülebilir iletileri kullanarak onay sürecindeki taraflarla iletişim kurmanızı da sağlar.
Daha fazla bilgi için bkz . Kritik SAP güvenlik sinyalleriniz için Microsoft Sentinel ile sıfırdan kahramana güvenlik kapsamı – Bölüm 2 (SAP blog gönderisi).
Denetim günlüğünün devre dışı bırakılmasını önleme
Ayrıca, güvenlik veri kaynaklarınızdan biri olan SAP denetim günlüğünün devre dışı bırakılmasından da endişe duyabilirsiniz. SAP denetim günlüğünün devre dışı bırakılmadığından emin olmak için playbook devre dışı bırakıldıktan sonra Yeniden Etkinleştir denetim günlüğünü çağırmak için SAP - Güvenlik Denetim Günlüğü analizinin devre dışı bırakılması kuralını temel alan bir otomasyon kuralı oluşturmanızı öneririz.
SAP - Güvenlik Denetim Günlüğü playbook'unun devre dışı bırakılması, Teams'i de kullanır ve güvenlik personelini bundan sonra bilgilendirir. Suçun önem derecesi ve risk azaltmanın aciliyeti, onay gerektirmeden anında işlem yapılabilmesini gösterir.
SAP - Güvenlik Denetim Günlüğü playbook'unun devre dışı bırakılması kimlik bilgilerini yönetmek için Azure Key Vault'u da kullandığından, playbook'un yapılandırması Teams 'den kullanıcıyı kilitle - Gelişmiş playbook'unkine benzer. Daha fazla bilgi için kritik SAP güvenlik sinyalleriniz için Microsoft Sentinel ile sıfırdan kahramana güvenlik kapsamı – Bölüm 3 (SAP blog gönderisi) bölümüne bakın.
İlgili içerik
Daha fazla bilgi için bkz . SAP uygulamaları için Microsoft Sentinel çözümünü dağıtma.