配置 SAP 审核日志监视规则

SAP 审核日志会记录针对 SAP 系统执行的审核和安全操作,例如失败的登录尝试或其他可疑操作。 本文介绍如何使用 Microsoft Sentinel 内置分析规则监视 SAP 审核日志。

使用这些规则可以监视所有审核日志事件,或仅在检测到异常时接收警报。 这样,就可以更好地管理 SAP 日志,并在不损害安全机制作用的情况下减少干扰。

使用两个分析规则来监视和分析 SAP 审核日志数据:

  • SAP - 动态确定性审核日志监视器(预览版)。 只需完成极少量的配置,就能对任何 SAP 审核日志事件发出警报。 可以配置规则以进一步降低误报率。 了解如何配置规则
  • SAP - 基于异常的动态审核日志监视器警报(预览版)。 在检测到异常时,使用机器学习功能针对 SAP 审核日志事件发出警报,无需编写代码。 了解如何配置规则

提供了两个随时可运行的现成 SAP 审核日志监视器规则,可以使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 和 SAP_User_Config 监视列表进一步对其进行微调。

异常检测

尝试识别 SAP 审核日志等各种活动日志中的安全事件时,需要平衡配置工作和警报产生的干扰量。

通过适用于 SAP 的 Sentinel 解决方案中的 SAP 审核日志模块,可以选择:

  • 要使用自定义的预定义阈值和筛选器以确定性方式分析哪些事件。
  • 要忽略哪些事件,使机器能够自行学习参数。

将 SAP 审核日志事件类型标记为进行异常情况检测后,警报引擎会检查最近从 SAP 审核日志流式传输的事件。 引擎将在考虑它所习得的历史记录的情况下检查这些事件是否正常。

Microsoft Sentinel 检查一个事件或一组事件是否存在异常。 它会尝试在用户和系统级别将这一个事件或一组事件与以前发现的同类活动相匹配。 算法将在子网掩码级别根据季节性学习用户的网络特征。

借助此功能,可在以前处于静置状态的事件类型(例如用户登录事件)中查找异常。 例如,如果用户 JohnDoe 每小时登录数百次,你现在可以让 Microsoft Sentinel 判断行为是否可疑。 问题是在于 John 来自会计部门,因此需要反复刷新包含多个数据源的财务仪表板,还是 DDoS 攻击正在成形?

为异常情况检测设置“SAP - 基于异常的动态审核日志监视器警报(预览版)”规则

如果 SAP 审核日志数据尚未将数据流式传输到 Microsoft Sentinel 工作区,请了解如何部署解决方案

  1. 在 Microsoft Sentinel 导航菜单的“内容管理”下,选择“内容中心(预览版)” 。
  2. 检查 SAP 持续威胁监视应用程序是否有更新。
  3. 在导航菜单中的“分析”下,启用以下 3 个审核日志警报
    • SAP - 动态确定性审核日志监视器。 每隔 10 分钟运行一次,并重点关注标有“Deterministic”的 SAP 审核日志事件。
    • SAP - 基于异常的动态审核日志监视器警报(预览版)。 每小时运行一次,并重点关注标有“AnomaliesOnly”的 SAP 事件。
    • SAP - 动态安全审核日志监视器中缺少配置。 每日运行,以提供 SAP 审核日志模块的配置建议。

Microsoft Sentinel 现在会定期扫描整个 SAP 审核日志中的确定性安全事件和异常。 可以在“事件”页中查看此日志生成的事件。

与每种机器学习解决方案一样,它会随着时间的推移而表现得更好。 使用七天或更长时间的 SAP 审核日志历史执行异常情况检测的效果最好。

使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 监视列表配置事件类型

可以使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 监视列表进一步配置生成过多事件的事件类型。 在此处可以使用几个选项来减少事件。

选项 说明
设置严重性并禁用不需要的事件 默认情况下,确定性规则和基于异常的规则都会针对标记为中等严重性和高严重性的事件创建警报。 你可以专门为生产和非生产环境设置这些严重性。 例如,可以在生产系统中将调试活动事件设置为高严重性,在非生产系统中禁用这些事件。
按用户的 SAP 角色或 SAP 配置文件排除用户 适用于 SAP 的 Microsoft Sentinel 引入 SAP 用户的授权配置文件(包括直接和间接角色分配、组和配置文件),以便可以在 SIEM 中使用 SAP 语言。

可以配置 SAP 事件以根据用户的 SAP 角色和配置文件排除用户。 在监视列表的“RolesTagsToExclude”列中“RFC 进行常规表访问”事件旁边,添加角色或用于对 RFC 界面用户进行分组的配置文件。 从现在开始,你只会收到针对缺少这些角色的用户发出的警报。
按用户的 SOC 标记排除用户 使用标记可以指定你自己的分组,而无需依赖复杂的 SAP 定义,甚至无需 SAP 授权。 此方法对于想要为 SAP 用户创建自己的分组的 SOC 团队很有用。

从概念上讲,按标记排除用户类似于使用名称标记:可以使用多个标记在配置中设置多个事件。 对于具有与特定事件关联的标记的用户,你不会收到警报。 例如,你不希望向特定的服务帐户发出“RFC 进行常规表访问”事件的警报,但找不到某个 SAP 角色或用于对这些用户进行分组的 SAP 配置文件。 在这种情况下,可以在监视列表中的相关事件旁边添加“GenTableRFCReadOK”标记,然后转到“SAP_User_Config”监视列表并为界面用户分配相同的标记。
按事件类型和系统角色指定频率阈值 工作方式如同限速。 例如,你可以确定,仅当观察到生产系统中同一用户在一小时内发生了 12 个以上的活动时,干扰性“用户主记录更改”事件才触发警报。 如果用户超过了每小时 12 个活动的限制(例如,在 10 分钟时段内发生了 2 个事件),则触发事件。
确定性或异常 如果知道事件的特征,则可以使用确定性功能。 如果你不确定如何正确配置事件,机器学习功能可以确定。
SOAR 功能 可以使用 Microsoft Sentinel 来进一步协调、自动化和响应可应用于 SAP 审核日志动态警报的事件。 了解安全业务流程、自动化和响应 (SOAR)

后续步骤

在本文中,已介绍如何使用 Microsoft Sentinel 内置分析规则监视 SAP 审核日志。