适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序 - SAP -安全审核日志和初始访问工作簿
本文介绍用于监视和跟踪 SAP 系统中用户审核活动的 SAP - 安全审核日志和初始访问工作簿。 可以使用该工作簿来获取用户审核活动的鸟瞰图,以更好地保护 SAP 系统并快速了解可疑操作。 可以根据需要向下钻取到可疑事件。
可以使用该工作簿持续监视 SAP 系统,或者在发生安全事件或其他可疑活动后审查系统。
开始使用该工作簿
在 Microsoft Sentinel 门户中,从“威胁管理”菜单中选择“工作簿” 。
在“工作簿”库中,转到“模板”并在搜索栏中输入“SAP”,然后从结果中选择“SAP - 安全审核日志和初始访问”。
选择“查看模板”以按原样使用工作簿,或选择“保存”以创建工作簿的可编辑副本。 创建复制时,选择“查看保存的工作簿”。
重要
SAP 安全日志审核与初始访问工作簿由安装适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序的工作区托管。 默认情况下,假设 SAP 和 SOC 数据都位于托管工作簿的工作区中。
如果 SOC 数据所在的工作区不同于托管工作簿的工作区,请确保包含该工作区的订阅,并从 Azure 审核和活动工作区中选择 SOC 工作区。
选择以下字段以根据需要筛选数据:
- 时间范围。 4 小时到 90 天。
- 系统角色。 SAP 系统角色,例如:开发。
- 系统用途。 例如:SAP GTS。
- SAP 系统。 可以选择所有系统、特定系统,或选择多个系统。
如果选择未在“SAP 系统”监视列表中配置的系统,工作簿会显示错误,指出存在问题的系统。 在这种情况下,请配置监视列表以正确包含这些系统。
工作簿概述
工作簿划分为两个选项卡:
- 登录分析报告。 显示有关登录失败的各种数据。 数据包括异常数据、Microsoft Entra 数据等。 数据基于“SAP 系统”监视列表。
- 审核日志警报报告。 显示有关适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序所监视的 SAP 审核日志事件的各种数据。 数据基于“SAP_Dynamic_Audit_Log_Monitor_Configuration”监视列表。
登录分析报告选项卡
登录分析
显示有关用户登录的各种数据。
| 区域 | 说明 | 选项 |
|---|---|---|
| 每个系统的唯一用户登录 | 显示每个 SAP 系统的唯一登录次数,以及每个系统在选定时间的登录趋势图表。 例如:012 系统在最近 14 天发生了 1400 次唯一登录,图表显示这 14 天的登录次数呈相对上升趋势。 | |
| 登录类型趋势 | 根据类型(例如通过对话框登录)显示登录次数趋势。 | 可将鼠标悬停在图表上以显示不同日期的登录次数。 |
| 唯一用户的登录失败与成功次数 - 趋势 | 显示所选时间段内登录成功和失败次数的趋势。 | 可将鼠标悬停在图表上以显示不同日期的成功和失败登录次数。 |
登录失败 - 异常情况检测
“异常情况检测 - 筛选掉干扰性失败登录尝试”下的区域显示 SAP 系统和用户的登录失败数据。 若要仅查看由异常情况检测标记的数据,请选择右侧“失败的登录”旁边的“仅异常”。
| 区域 | 说明 | 特定数据 | 选项/备注 |
|---|---|---|---|
| 登录失败率>登录失败异常>每个 SAP 系统的唯一用户登录失败次数 | 显示每个 SAP 系统的唯一失败登录次数。 | ||
| 将 SAP 和 Active Directory 结合使用效果更好 | “异常登录失败”表既显示了 Microsoft Sentinel 数据,又显示了 Microsoft Entra 数据。 工作簿根据风险显示用户:风险最高的用户位于列表顶部,安全风险较低的用户位于底部。 | 对于每个用户,将显示: • 失败登录尝试的时间线 • 显示异常失败尝试的时间线 • 异常情况的类型 • 用户的电子邮件地址 • Microsoft Entra 风险指示器 • Microsoft Sentinel 中的事件和警报数 |
• 选择某行时,可以在“用户的事件/警报概述”下看到该用户的警报和事件列表。 在此列表下,还可在“用户的 Azure 审核和登录风险”下看到 Microsoft Entra 风险事件。 • 如果你的 Microsoft Entra 数据位于不同的 Log Analytics 工作区中,请确保在工作簿顶部的“Azure 审核和活动”下选择相关的订阅和工作区。 |
| 每个系统的登录失败率 | 直观表示选定的 SAP 系统。 | • 对于每个系统,显示选定时间段内的失败次数 • 系统按类型分组。 • 系统颜色指示失败尝试次数:绿色指示少数几次可疑登录尝试,红色指示较多次的可疑登录尝试。 |
可以选择某个系统来查看失败登录的列表,其中包含有关失败的详细信息。 |
在此屏幕截图中,可以看到在“异常登录失败”表中选择第一行时显示的数据。 特定的警报和事件 URL 显示在“用户的事件/警报概述”表中。
在此屏幕截图中,“用户的 Azure 审核和登录风险”表显示了与此用户相关的登录风险数据。
在此屏幕截图中,可以看到“每个系统的登录失败率”区域,其中选择了“测试”组下的“84e”系统。 右侧的“系统的失败登录”区域显示了此系统的失败事件。
登录失败 - 趋势
“登录失败趋势”区域显示失败登录的趋势和次数,显示内容按不同的数据类型分组。
| 区域 | 说明 |
|---|---|
| 按原因列出的登录失败 | 根据失败原因(例如:登录数据不正确)显示登录失败次数的趋势。 |
| 按类型列出的登录失败 | 根据类型(例如:登录触发了后台作业,或者通过 HTTP 登录)显示登录失败次数的趋势。 |
| 按方法列出的登录失败 | 根据方法(例如:SNC 或登录票证)显示登录失败次数的趋势。 |
审核日志警报报告选项卡
此选项卡显示每个 SAP 系统和用户的严重性与审核趋势。 此选项卡中的所有区域仅显示异常情况检测标记的数据。 对于所有事件,选择右侧“失败登录”旁边的“全部”。
| 区域 | 说明 | 特定数据 | 选项/备注 |
|---|---|---|---|
| 每个系统 ID 的警报严重性趋势 | 显示系统的列表,以及每个系统的中高严重性事件趋势图。 例如,012 系统在整个时间段内发生了许多高严重性事件,以及少量几个中严重性的高峰事件,这表明在该时间段内发生了更多的中严重性事件。 | ||
| 每个用户的审核趋势 | 同时显示 Microsoft Sentinel 和 Microsoft Entra 数据。 工作簿根据风险显示用户:风险最高的用户位于列表顶部,安全风险较低的用户位于底部。 | 对于每个用户,将显示: • 中高严重性事件的时间线 • 用户的电子邮件地址 • Microsoft Entra 风险指示器 • Microsoft Sentinel 中的事件和警报数 |
选择某行时,可以在“用户的事件/警报概述”下看到该用户的警报和事件列表。 在此列表下,还可在“用户的 Azure 审核和登录风险”下看到 Microsoft Entra 风险事件。 |
| 每个系统的风险评分 | 以单元格形状直观表示每个系统。 | • 显示每个系统的风险评分。 • 系统按类型分组。 • 系统颜色指示风险:绿色表示风险评分较低的系统,红色表示风险评分较高的系统。 |
可以选择某个系统以查看该系统的 SAP 事件列表。 |
| 按 MITRE ATT&CK® 策略排列的事件 | 显示按 MITRE ATT&CK® 策略分组的 SAP 事件列表,例如初始访问或防御规避。 | 可将鼠标悬停在图表上以显示不同日期的登录次数。 | |
| 按类别列出的事件 | 显示按类别(例如 RFC 启动或登录)分组的 SAP 事件趋势列表。 | 可将鼠标悬停在图表上以显示不同日期的登录次数。 | |
| 按授权组列出的事件 | 显示按 SAP 授权组(例如 USER 或 SUPER)分组的 SAP 事件趋势列表。 | 可将鼠标悬停在图表上以显示不同日期的登录次数。 | |
| 按用户类型列出的事件 | 显示按 SAP 用户类型(例如对话框或系统)分组的 SAP 事件趋势列表。 | 可将鼠标悬停在图表上以显示不同日期的登录次数。 |
在此屏幕截图中,可以看到在“每个用户的审核趋势”表中选择第一行时显示的数据。 特定的警报和事件 URL 显示在“用户的事件/警报概述”表中。
在此屏幕截图中,可以看到“每个系统的风险评分”区域,其中选择了“UAT”组下的“cb7”系统。 系统可视化效果下方的“系统的 SAP 事件”区域显示了此系统的 SAP 事件。
在此屏幕截图中,可以看到事件和事件趋势按不同类型的数据分组的区域:MITRE ATT&CK® 策略、SAP 授权组和用户类型。
后续步骤
有关详细信息,请参阅: