Compartir a través de

适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序 - SAP -安全审核日志和初始访问工作簿

本文介绍用于监视和跟踪 SAP 系统中用户审核活动的 SAP - 安全审核日志和初始访问工作簿。 可以使用该工作簿来获取用户审核活动的鸟瞰图,以更好地保护 SAP 系统并快速了解可疑操作。 可以根据需要向下钻取到可疑事件。

可以使用该工作簿持续监视 SAP 系统,或者在发生安全事件或其他可疑活动后审查系统。

开始使用该工作簿

  1. 在 Microsoft Sentinel 门户中,从“威胁管理”菜单中选择“工作簿” 。

  2. 在“工作簿”库中,转到“模板”并在搜索栏中输入“SAP”,然后从结果中选择“SAP - 安全审核日志和初始访问”。

  3. 选择“查看模板”以按原样使用工作簿,或选择“保存”以创建工作簿的可编辑副本。 创建复制时,选择“查看保存的工作簿”。

    SAP - 安全审核日志和初始访问工作簿顶部的屏幕截图。

    重要

    SAP 安全日志审核与初始访问工作簿由安装适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的工作区托管。 默认情况下,假设 SAP 和 SOC 数据都位于托管工作簿的工作区中。

    如果 SOC 数据所在的工作区不同于托管工作簿的工作区,请确保包含该工作区的订阅,并从 Azure 审核和活动工作区中选择 SOC 工作区。

  4. 选择以下字段以根据需要筛选数据:

    • 时间范围。 4 小时到 90 天。
    • 系统角色。 SAP 系统角色,例如:开发。
    • 系统用途。 例如:SAP GTS。
    • SAP 系统。 可以选择所有系统、特定系统,或选择多个系统。

    如果选择未在“SAP 系统”监视列表中配置的系统,工作簿会显示错误,指出存在问题的系统。 在这种情况下,请配置监视列表以正确包含这些系统。

工作簿概述

工作簿划分为两个选项卡:

登录分析报告选项卡

包括登录分析登录失败区域。

登录分析

显示有关用户登录的各种数据。

SAP 审核工作簿的“登录分析”区域的屏幕截图。

区域 说明 选项
每个系统的唯一用户登录 显示每个 SAP 系统的唯一登录次数,以及每个系统在选定时间的登录趋势图表。 例如:012 系统在最近 14 天发生了 1400 次唯一登录,图表显示这 14 天的登录次数呈相对上升趋势。
登录类型趋势 根据类型(例如通过对话框登录)显示登录次数趋势。 可将鼠标悬停在图表上以显示不同日期的登录次数。
唯一用户的登录失败与成功次数 - 趋势 显示所选时间段内登录成功和失败次数的趋势。 可将鼠标悬停在图表上以显示不同日期的成功和失败登录次数。

登录失败 - 异常情况检测

“异常情况检测 - 筛选掉干扰性失败登录尝试”下的区域显示 SAP 系统和用户的登录失败数据。 若要仅查看由异常情况检测标记的数据,请选择右侧“失败的登录”旁边的“仅异常”。

SAP 审核工作簿“登录失败”区域中可按异常数据筛选的部分的屏幕截图。

区域 说明 特定数据 选项/备注
登录失败率>登录失败异常>每个 SAP 系统的唯一用户登录失败次数 显示每个 SAP 系统的唯一失败登录次数。
将 SAP 和 Active Directory 结合使用效果更好 “异常登录失败”表既显示了 Microsoft Sentinel 数据,又显示了 Microsoft Entra 数据。 工作簿根据风险显示用户:风险最高的用户位于列表顶部,安全风险较低的用户位于底部。 对于每个用户,将显示:
• 失败登录尝试的时间线
• 显示异常失败尝试的时间线
• 异常情况的类型
• 用户的电子邮件地址
• Microsoft Entra 风险指示器
• Microsoft Sentinel 中的事件和警报数
• 选择某行时,可以在“用户的事件/警报概述”下看到该用户的警报和事件列表。 在此列表下,还可在“用户的 Azure 审核和登录风险”下看到 Microsoft Entra 风险事件。
• 如果你的 Microsoft Entra 数据位于不同的 Log Analytics 工作区中,请确保在工作簿顶部的“Azure 审核和活动”下选择相关的订阅和工作区。
每个系统的登录失败率 直观表示选定的 SAP 系统。 • 对于每个系统,显示选定时间段内的失败次数
• 系统按类型分组。
• 系统颜色指示失败尝试次数:绿色指示少数几次可疑登录尝试,红色指示较多次的可疑登录尝试。
可以选择某个系统来查看失败登录的列表,其中包含有关失败的详细信息。

在此屏幕截图中,可以看到在“异常登录失败”表中选择第一行时显示的数据。 特定的警报和事件 URL 显示在“用户的事件/警报概述”表中。

在“异常登录失败”表中选择某行时显示的数据的屏幕截图。

在此屏幕截图中,“用户的 Azure 审核和登录风险”表显示了与此用户相关的登录风险数据。

在“异常登录失败”表中选择某行时显示的审核和登录风险数据的屏幕截图。

在此屏幕截图中,可以看到“每个系统的登录失败率”区域,其中选择了“测试”组下的“84e”系统。 右侧的“系统的失败登录”区域显示了此系统的失败事件。

SAP 审核工作簿的“每个系统的登录失败率”区域的屏幕截图。

“登录失败趋势”区域显示失败登录的趋势和次数,显示内容按不同的数据类型分组。

SAP 审核工作簿的“登录失败趋势”区域的屏幕截图。

区域 说明
按原因列出的登录失败 根据失败原因(例如:登录数据不正确)显示登录失败次数的趋势。
按类型列出的登录失败 根据类型(例如:登录触发了后台作业,或者通过 HTTP 登录)显示登录失败次数的趋势。
按方法列出的登录失败 根据方法(例如:SNC 或登录票证)显示登录失败次数的趋势。

审核日志警报报告选项卡

此选项卡显示每个 SAP 系统和用户的严重性与审核趋势。 此选项卡中的所有区域仅显示异常情况检测标记的数据。 对于所有事件,选择右侧“失败登录”旁边的“全部”。

SAP 审核工作簿的“审核日志警报”区域的屏幕截图。

区域 说明 特定数据 选项/备注
每个系统 ID 的警报严重性趋势 显示系统的列表,以及每个系统的中高严重性事件趋势图。 例如,012 系统在整个时间段内发生了许多高严重性事件,以及少量几个中严重性的高峰事件,这表明在该时间段内发生了更多的中严重性事件。
每个用户的审核趋势 同时显示 Microsoft Sentinel 和 Microsoft Entra 数据。 工作簿根据风险显示用户:风险最高的用户位于列表顶部,安全风险较低的用户位于底部。 对于每个用户,将显示:
• 中高严重性事件的时间线
• 用户的电子邮件地址
• Microsoft Entra 风险指示器
• Microsoft Sentinel 中的事件和警报数
选择某行时,可以在“用户的事件/警报概述”下看到该用户的警报和事件列表。 在此列表下,还可在“用户的 Azure 审核和登录风险”下看到 Microsoft Entra 风险事件。
每个系统的风险评分 以单元格形状直观表示每个系统。 • 显示每个系统的风险评分。
• 系统按类型分组。
• 系统颜色指示风险:绿色表示风险评分较低的系统,红色表示风险评分较高的系统。
可以选择某个系统以查看该系统的 SAP 事件列表。
按 MITRE ATT&CK® 策略排列的事件 显示按 MITRE ATT&CK® 策略分组的 SAP 事件列表,例如初始访问或防御规避。 可将鼠标悬停在图表上以显示不同日期的登录次数。
按类别列出的事件 显示按类别(例如 RFC 启动或登录)分组的 SAP 事件趋势列表。 可将鼠标悬停在图表上以显示不同日期的登录次数。
按授权组列出的事件 显示按 SAP 授权组(例如 USER 或 SUPER)分组的 SAP 事件趋势列表。 可将鼠标悬停在图表上以显示不同日期的登录次数。
按用户类型列出的事件 显示按 SAP 用户类型(例如对话框或系统)分组的 SAP 事件趋势列表。 可将鼠标悬停在图表上以显示不同日期的登录次数。

在此屏幕截图中,可以看到在“每个用户的审核趋势”表中选择第一行时显示的数据。 特定的警报和事件 URL 显示在“用户的事件/警报概述”表中。

在“每个用户的审核趋势”表中选择某行时显示的数据的屏幕截图。

在此屏幕截图中,可以看到“每个系统的风险评分”区域,其中选择了“UAT”组下的“cb7”系统。 系统可视化效果下方的“系统的 SAP 事件”区域显示了此系统的 SAP 事件。

SAP 审核工作簿的“每个系统的风险评分”区域的屏幕截图。

在此屏幕截图中,可以看到事件和事件趋势按不同类型的数据分组的区域:MITRE ATT&CK® 策略、SAP 授权组和用户类型。

SAP 审核工作簿中不同事件数据的屏幕截图。

后续步骤

有关详细信息,请参阅: