适用于 SAP 的 Microsoft Sentinel 事件响应 playbook
本文介绍如何将 Microsoft Sentinel 的安全业务流程、自动化和响应 (SOAR) 功能与 SAP 结合使用。 本文介绍适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序中包含的专用 playbook。 可以使用这些剧本自动响应 SAP 系统中的可疑用户活动,从而在 SAP RISE、SAP ERP、SAP 业务技术平台 (BTP) 以及 Microsoft Entra ID 中自动执行修正操作。
Microsoft Sentinel SAP 解决方案使组织能够保护其 SAP 环境。 有关 Sentinel SAP 解决方案的完整详细概述,请参阅以下文章:
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序概述
- 部署适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序
- 适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序:安全内容参考
将这些 playbook 添加到解决方案后,不仅可以实时监视和分析安全事件,还可以自动执行 SAP 事件响应工作流,以提高安全操作的效率和有效性。
适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序包括以下 playbook:
- SAP 事件响应 - 从 Teams 锁定用户 - 基本
- SAP 事件响应 - 从 Teams 锁定用户 - 高级
- SAP 事件响应 - 停用后可重新启用审核日志记录
用例
你的任务是保护组织的 SAP 环境。 你已实施适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序。 你已启用解决方案的分析规则“SAP - 执行敏感事务代码”,并且可能已自定义解决方案的“敏感事务”监视列表,以包含要筛选的特定事务代码。 事件会警告你其中一个 SAP 系统中存在可疑活动。 用户正在尝试执行其中一个高度敏感的事务。 必须调查并响应此事件。
在会审阶段,你决定对此用户采取措施,将其踢出 SAP ERP 或 BTP 系统,甚至将其从 Microsoft Entra ID 中踢出。
从单个系统锁定用户
作为如何将业务流程和自动化引入此过程的示例,让我们构建一个自动化规则,以便在检测到未经授权的用户执行敏感事务时,调用“从 Teams 锁定用户 - 基本”playbook。 此 playbook 使用 Teams 的自适应卡片功能在单方面阻止用户之前请求批准。
有关配置此 playbook 的详细信息,请参阅此 SAP 博客文章。
从多个系统锁定用户
“从 Teams 锁定用户 - 高级”playbook 可实现相同的目标,但专为更复杂的方案而设计,允许将单个 playbook 用于多个 SAP 系统,每个系统都有自己的 SAP SID。 该 playbook 使用“SAP - 系统”监视列表(适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序附带)和 Azure 密钥保管库中的可选动态参数 InterfaceAttributes 无缝管理与所有这些系统的连接及其凭据。 通过该 playbook,除了使用 SAP_Dynamic_Audit_Log_Monitor_Configuration 监视列表中的 TeamsChannelID 和 DestinationEmail 参数外,还可以使用 Outlook 可操作邮件(并与 Teams 同步)与批准流程中的各方进行通信。
有关配置此 playbook 的详细信息,特别是有关如何使用监视列表中的动态参数来管理与所有 SAP 系统的连接,请参阅此 SAP 博客文章。
防止停用审核日志记录
由于你的任务是确保 SAP 环境的安全覆盖范围保持全面且不间断,你可能会担心 SAP 审核日志(安全信息的来源之一)被停用。 你想要基于“SAP - 停用安全审核日志”分析规则构建自动化规则,该规则将调用“停用后可重新启用审核日志记录”playbook,以确保不会发生这种情况。 此 playbook 也使用 Teams,但仅在事后通知安全人员,因为鉴于犯罪的严重性和缓解的紧迫性,无需批准即可立即采取措施。 由于此 playbook 还使用 Azure 密钥保管库来管理凭据,因此该 playbook 的配置与上一个 playbook 的配置类似。 有关此 playbook 及其配置的详细信息,请参阅此 SAP 博客文章。
标准与消耗 playbook
如果基于 Azure 逻辑应用的“消耗”计划使用 playbook,Microsoft Sentinel 允许直接从模板创建这些 playbook 的实例。 如果对虚拟网络 (VNET) 注入支持有特定要求,则必须使用 Azure API 管理 ,如此处所述, 会与消耗逻辑应用结合使用,或使用标准计划逻辑应用。
请参阅不同类型的 playbook 的完整说明。 此外,请参阅这篇 SAP 博客文章,在标题为“为 SOAP 请求创建 SAP 系统视域”下的表中,了解选择每种类型的逻辑应用的后果。
部署标准逻辑应用的过程通常比消耗逻辑应用更复杂,但我们提供了一系列快捷方式,使你能够从 Microsoft Sentinel GitHub 存储库快速部署它们。 按照其中概述的过程部署 playbook。
GitHub 中当前可用的标准 playbook:
密切关注 GitHub 存储库中的 SAP playbook 文件夹,以获取更多可用的剧本。
后续步骤
在本文中,您了解了适用于 SAP® 的 Microsoft Sentinel 解决方案应用程序中提供的 playbook。