适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案:安全内容参考
本文详细介绍可供适用于 SAP 的 Microsoft Sentinel 解决方案使用的安全内容。
重要
虽然适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案已正式发布,但某些特定组件仍为预览版。 本文在以下相关部分指示预览版组件。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
可用安全内容包括内置工作簿和分析规则。 你也可添加与 SAP 相关的播放列表,以便在搜索、检测规则、威胁搜寻和响应 playbook 中使用。
内置工作簿
使用以下内置工作簿可对通过 SAP 数据连接器引入的数据进行可视化和监视。 部署 SAP 解决方案后,可以在“我的工作簿”选项卡中找到 SAP 工作簿。
工作簿名称 | 描述 | 日志 |
---|---|---|
SAP - 审核日志浏览器 | 显示如下数据: - 常规的系统运行状况,包括一段时间内的用户登录情况、系统引入的事件、消息类和 ID,以及已运行的 ABAP 程序 - 系统中发生的事件的严重性 - 系统中发生的身份验证和授权事件 |
使用以下日志中的数据: ABAPAuditLog_CL |
SAP 审核控制 | 帮助你检查 SAP 环境的安全控制是否符合所选的控制框架,使用工具执行以下操作: - 将环境中的分析规则分配给特定的安全控制和控制系列 - 监视和分类基于 SAP 解决方案的分析规则生成的事件 - 报告合规性 |
使用以下表中的数据: - SecurityAlert - SecurityIncident |
有关详细信息,请参阅教程:可视化和监视数据和部署适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案。
启用内置分析规则
监视静态 SAP 安全参数的配置(预览)
为了保护 SAP 系统,SAP 已经确定了需要监视更改情况的安全相关参数。 使用“SAP - (预览版) 敏感静态参数已更改”规则,适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案可跟踪 SAP 系统中内置的 超过 52 个静态安全相关参数 。
注意
为了成功监视 SAP 安全参数,适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案需要定期成功监视 SAP PAHI 表。 验证该解决方案是否可以成功监视 PAHI 表。
为了了解系统中的参数更改,适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案会使用参数历史记录表,该表记录系统参数每小时的更改。
这些参数也会反映在 SAPSystemParameters 监视列表中。 此监视列表允许用户添加新参数、禁用现有参数,以及修改生产或非生产环境中每个参数和系统角色的值和严重性。
如果这些参数中的任意一个发生更改,Microsoft Sentinel 会检查更改是否与安全相关,以及相应值是否是根据建议值设置的。 如果怀疑更改超出了安全范围,Microsoft Sentinel 会创建一个事件,详细描述该更改,并确认做出更改的用户。
查看此规则监视的参数列表 。
监视 SAP 审核日志
SAP 审核日志数据用于适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案的许多分析规则。 某些分析规则会查找日志上的特定事件,而其他规则会关联来自多个日志的指示,以生成高保真警报和事件。
此外,有两个分析规则旨在考虑整个标准 SAP 审核日志事件集(183 个不同的事件)以及可以选择使用 SAP 审核日志记录的任何其他自定义事件。
这两种 SAP 审核日志监视分析规则共享同一数据源和同一配置,但在一个关键方面存在差异。 “SAP - 具有确定性的动态审核日志监视器”规则需要确定性警报阈值和用户排除规则,而“SAP - 基于异常的动态审核日志监视器警报(预览版)”应用其他机器学习算法来以无人监督方式筛选掉背景噪音。 因此在默认情况下,SAP 审核日志的大多数事件类型(或 SAP 消息 ID)会发送到“基于异常”的分析规则,而更容易定义的事件类型会发送到确定性分析规则。 此设置以及其他相关设置可以进一步配置,以适应任何系统条件。
SAP - 动态确定性审核日志监视器
一种动态分析规则,旨在涵盖在用户总体、事件阈值方面具有确定性定义的整个 SAP 审核日志事件类型集。
SAP - 基于动态异常的审核日志监视器警报(预览版)
一种动态分析规则,旨在了解正常系统行为,并针对 SAP 审核日志上观察到的被视为异常的活动发出警报。 可将此规则应用于在用户总体、网络属性和阈值方面更难定义的 SAP 审核日志事件类型。
了解详细信息:
下表列出了适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案中包含的内置分析规则,这些规则通过 Microsoft Sentinel 解决方案商城部署。
初始访问
规则名称 | 说明 | 源操作 | 策略 |
---|---|---|---|
SAP - 从意外的网络登录 | 标识从意外网络的登录。 在 SAP - 网络播放列表中维护网络。 |
从未分配给其中一个网络的 IP 地址登录后端系统。 数据源:SAPcon - 审核日志 |
初始访问 |
SAP - SPNego 攻击 | 标识 SPNego 重播攻击。 | 数据源:SAPcon - 审核日志 | 影响、横向移动 |
SAP - 特权用户的对话框登录尝试 | 标识 SAP 系统中的特权用户使用 AUM 类型进行的对话登录尝试。 有关详细信息,请参阅 SAPUsersGetPrivileged。 | 在计划的时间间隔内,尝试从同一 IP 登录多个系统或客户端。 数据源:SAPcon - 审核日志 |
影响、横向移动 |
SAP - 暴力攻击 | 使用 RFC 登录名标识对 SAP 系统的暴力攻击 | 尝试使用 RFC 在计划的时间间隔内从同一 IP 登录到多个系统/客户端 数据源:SAPcon - 审核日志 |
凭据访问 |
SAP - 从同一 IP 多次登录 | 标识来自同一 IP 地址的多位用户在计划的时间间隔内的登录。 子用例:持久性 |
以多位用户身份在同一 IP 地址登录。 数据源:SAPcon - 审核日志 |
初始访问 |
SAP - 用户多次登录 | 标识相同用户在计划的时间间隔内从多个终端的登录。 仅通过 Audit SAL 方法使用,适用于 SAP 7.5 及更高版本。 |
以相同用户身份从不同的 IP 地址登录。 数据源:SAPcon - 审核日志 |
预攻击、凭据访问、初始访问、集合 子用例:持久性 |
SAP - 信息 - 生命周期 - 在系统中实现 SAP 说明 | 标识系统中的 SAP 说明实现。 | 使用 SNOTE/TCI 实现 SAP 说明。 数据源:SAPcon - 更改请求 |
- |
数据外泄
规则名称 | 说明 | 源操作 | 策略 |
---|---|---|---|
SAP - 非授权服务器的 FTP | 标识非授权服务器的 FTP 连接。 | 新建 FTP 连接,例如使用 FTP_CONNECT 函数模块。 数据源:SAPcon - 审核日志 |
发现、初始访问、命令和控制 |
SAP - 不安全的 FTP 服务器配置 | 标识不安全的 FTP 服务器配置,例如当 FTP 允许列表为空或包含占位符时。 | 请勿使用 SAPFTP_SERVERS_V 维护视图维护或维护包含 SAPFTP_SERVERS 表中占位符的值。 (SM30) 数据源:SAPcon - 审核日志 |
初始访问、命令和控制 |
SAP - 多个文件下载 | 标识用户在特定时间范围内的多个文件下载。 | 使用 SAPGui for Excel、列表等下载多个文件。 数据源:SAPcon - 审核日志 |
集合、外泄、凭据访问 |
SAP - 多项后台处理执行 | 标识用户在特定时间范围内的多项后台处理。 | 由用户创建并运行的多个任意类型的后台处理作业。 (SP01) 数据源:SAPcon - 后台处理日志、SAPcon - 审核日志 |
集合、外泄、凭据访问 |
SAP - 多项后台处理输出执行 | 标识用户在特定时间范围内的多项后台处理。 | 由用户创建并运行的多个任意类型的后台处理作业。 (SP01) 数据源:SAPcon - 后台处理输出日志、SAPcon - 审核日志 |
集合、外泄、凭据访问 |
SAP - 通过 RFC 登录直接访问的敏感表 | 标识通过 RFC 登录访问的通用表。 维护 SAP - 敏感表播放列表中的表。 注意:仅适用于生产系统。 |
使用 SE11/SE16/SE16N 打开表内容。 数据源:SAPcon - 审核日志 |
集合、外泄、凭据访问 |
SAP - 后台处理接管 | 标识用户,该用户打印由其他人创建的后台处理请求。 | 由一位用户创建后台处理请求,然后由其他用户输出请求。 数据源:SAPcon - 后台处理日志、SAPcon - 后台处理输出日志、SAPcon - 审核日志 |
集合、外泄、命令和控制 |
SAP - 动态 RFC 目标 | 使用动态目标标识 RFC 执行。 子用例:绕过 SAP 安全机制的尝试 |
执行使用动态目标 (cl_dynamic_destination) 的 ABAP 报表。 例如,DEMO_RFC_DYNAMIC_DEST。 数据源:SAPcon - 审核日志 |
集合、外泄 |
SAP - 通过对话框登录直接访问敏感表 | 标识通过对话框登录访问的通用表。 | 使用 SE11 /SE16 /SE16N 打开表内容。 数据源:SAPcon - 审核日志 |
发现 |
SAP -(预览版)从恶意 IP 地址下载了文件 | 识别到使用已知恶意的 IP 地址从 SAP 系统下载文件。 恶意 IP 地址是从威胁智能服务获取的。 | 从恶意 IP 下载文件。 数据源:SAP 安全审核日志、威胁智能 |
外泄 |
SAP -(预览版)使用传输功能从生产系统导出了数据 | 识别到使用传输从生产系统导出数据。 传输在开发系统中使用,类似于拉取请求。 当包含任何表中数据的传输从生产系统释放时,此警报规则将触发中等严重性的事件。 当导出包含敏感表中的数据时,该规则将创建高严重性事件。 | 从生产系统释放传输。 数据源:SAP CR 日志、SAP - 敏感表 |
外泄 |
SAP -(预览版)将敏感数据保存到 U 盘中 | 识别到通过文件导出 SAP 数据。 该规则检查保存在最近装载的 U 盘中的数据是否靠近执行敏感事务、敏感程序或直接访问敏感表的位置。 | 通过文件导出 SAP 数据并保存到 U 盘中。 数据源:SAP 安全审核日志、DeviceFileEvents (Microsoft Defender for Endpoint)、SAP - 敏感表、SAP - 敏感事务、SAP - 敏感程序 |
外泄 |
SAP -(预览版)打印潜在敏感的数据 | 标识到请求或实际打印潜在敏感的数据。 如果用户获取作为敏感事务的一部分的数据、执行敏感程序或直接访问敏感表,则数据被视为敏感数据。 | 打印或请求打印敏感数据。 数据源:SAP 安全审核日志、SAP 后台处理日志、SAP - 敏感表、SAP - 敏感程序 |
外泄 |
SAP -(预览版)已导出大量潜在敏感的数据 | 识别到在靠近执行敏感事务、敏感程序或直接访问敏感表的位置通过文件导出大量数据。 | 通过文件导出大量数据。 数据源:SAP 安全审核日志、SAP - 敏感表、SAP - 敏感事务、SAP - 敏感程序 |
外泄 |
持续
规则名称 | 说明 | 源操作 | 策略 |
---|---|---|---|
SAP - 激活或停用 ICF 服务 | 标识 ICF 服务的激活或停用。 | 使用 SICF 激活服务。 数据源:SAPcon - 表数据日志 |
命令和控制、横向移动、持久性 |
SAP - 函数模块已测试 | 标识函数模块测试。 | 使用 SE37 / SE80 测试函数。 数据源:SAPcon - 审核日志 |
集合、防御规避、横向移动 |
SAP -(预览版)HANA DB - 用户管理员操作 | 标识用户管理操作。 | 创建、更新或删除数据库用户。 数据源:Linux 代理 - Syslog* |
特权提升 |
SAP - 新 ICF 服务处理程序 | 标识 ICF 处理程序创建。 | 使用 SICF 为服务分配新处理程序。 数据源:SAPcon - 审核日志 |
命令和控制、横向移动、持久性 |
SAP - 新 ICF 服务 | 标识 ICF 服务创建。 | 使用 SICF 创建服务。 数据源:SAPcon - 表数据日志 |
命令和控制、横向移动、持久性 |
SAP - 执行过时或不安全的函数模块 | 标识已过时或不安全的 ABAP 函数模块。 维护 SAP - 已过时函数模块播放列表中的已过时函数。 请确保为后端的 EUFUNC 表激活表记录更改。 (SE13)注意:仅适用于生产系统。 |
使用 SE37 直接运行过时或不安全的函数模块。 数据源:SAPcon - 表数据日志 |
发现、命令和控制 |
SAP - 执行已过时/不安全的程序 | 标识已过时或不安全的 ABAP 程序执行。 维护 SAP - 已过时程序播放列表中的已过时应用程序。 注意:仅适用于生产系统。 |
使用 SE38/SA38/SE80 或通过后台作业直接运行程序。 数据源:SAPcon - 审核日志 |
发现、命令和控制 |
SAP - 用户进行多次密码更改 | 标识用户执行的多次密码更改。 | 更改用户密码 数据源:SAPcon - 审核日志 |
凭据访问 |
绕过 SAP 安全机制的尝试
规则名称 | 说明 | 源操作 | 策略 |
---|---|---|---|
SAP - 客户端配置更改 | 标识客户端配置更改,例如客户端角色或更改录制模式。 | 使用 SCC4 事务代码执行客户端配置更改。 数据源:SAPcon - 审核日志 |
防御规避、外泄、持久性 |
SAP - 数据在调试活动期间已更改 | 标识调试活动期间对运行时数据的更改。 子用例:持久性 |
1. 激活调试 ("/h")。 2. 选择要更改的字段并更新字段值。 数据源:SAPcon - 审核日志 |
执行、横向移动 |
SAP - 停用安全审核日志 | 标识停用安全审核日志。 | 使用 SM19/RSAU_CONFIG 禁用安全审核日志。 数据源:SAPcon - 审核日志 |
外泄、防御规避、持久性 |
SAP - 执行敏感 ABAP 程序 | 标识敏感 ABAP 程序的直接执行。 在 SAP - 敏感 ABAP 程序播放列表中维护 ABAP 程序。 |
使用 SE38 /SA38 /SE80 直接运行程序。 数据源:SAPcon - 审核日志 |
外泄、横向移动、执行 |
SAP - 执行敏感事务代码 | 标识敏感事务代码的执行。 在 SAP - 敏感事务代码播放列表中维护事务代码。 |
运行敏感事务代码。 数据源:SAPcon - 审核日志 |
发现、执行 |
SAP - 执行敏感函数模块 | 标识敏感 ABAP 函数模块的执行。 子用例:持久性 注意:仅适用于生产系统。 维护 SAP - 敏感函数模块播放列表中的敏感函数,并确保在 EUFUNC 表的后端激活表日志记录更改。 (SE13) |
使用 SE37 直接运行敏感函数模块。 数据源:SAPcon - 表数据日志 |
发现、命令和控制 |
SAP -(预览版)HANA DB - 审核线索策略更改 | 标识 HANA DB 审核线索策略更改。 | 在安全定义中创建或更新现有审核策略。 数据源:Linux 代理 - Syslog |
横向移动、防御规避、持久性 |
SAP -(预览版)HANA DB - 停用审核线索 | 标识 HANA DB 审核日志停用。 | 停用 HANA DB 安全定义中的审核日志。 数据源:Linux 代理 - Syslog |
持久性、横向移动、防御规避 |
SAP - 敏感函数模块的未授权远程执行 | 通过将活动与用户的授权配置文件进行比较来检测敏感 FM 的未授权执行,同时忽略最近更改的授权。 在 SAP - 敏感函数模块播放列表中维护函数模块。 |
使用 RFC 运行函数模块。 数据源:SAPcon - 审核日志 |
执行、横向移动、发现 |
SAP - 系统配置更改 | 标识系统配置更改。 | 使用 SE06 事务代码来调整系统更改选项或软件组件修改。数据源:SAPcon - 审核日志 |
外泄、防御规避、持久性 |
SAP - 调试活动 | 标识所有调试相关活动。 子用例:持久性 |
在系统中激活调试 ("/h")、调试活动进程、向源代码添加断点等。 数据源:SAPcon - 审核日志 |
发现 |
SAP - 安全审核日志配置更改 | 标识安全审核日志中的配置更改 | 使用 SM19 /RSAU_CONFIG (例如筛选器、状态、录制模式等)更改任何安全审核日志配置。 数据源:SAPcon - 审核日志 |
持久性、外泄、防御规避 |
SAP - 事务已解锁 | 标识事务解锁。 | 使用 SM01 /SM01_DEV /SM01_CUS 解锁事务代码。 数据源:SAPcon - 审核日志 |
持久性、执行 |
SAP - 动态 ABAP 程序 | 标识动态 ABAP 编程的执行。 例如,动态创建、更改或删除 ABAP 代码时。 维护 SAP - ABAP 生成事务播放列表中排除的事务代码。 |
创建使用 ABAP 程序生成命令(例如 INSERT REPORT)的 ABAP 报表,然后运行报表。 数据源:SAPcon - 审核日志 |
发现、命令和控制、影响 |
可疑的特权操作
规则名称 | 说明 | 源操作 | 策略 |
---|---|---|---|
SAP - 敏感特权用户更改 | 标识敏感特权用户更改。 在 SAP - 特权用户播放列表中维护特权用户。 |
使用 SU01 更改用户详细信息/授权。 数据源:SAPcon - 审核日志 |
特权提升、凭据访问 |
SAP -(预览版)HANA DB - 分配管理员授权 | 标识管理员权限或角色分配。 | 分配具有任何管理员角色或权限的用户。 数据源:Linux 代理 - Syslog |
特权提升 |
SAP - 已登录的敏感特权用户 | 标识敏感特权用户的对话框登录。 在 SAP - 特权用户播放列表中维护特权用户。 |
使用 SAP* 或其他特权用户登录后端系统。 数据源:SAPcon - 审核日志 |
初始访问、凭据访问 |
SAP - 敏感特权用户对其他用户进行更改 | 标识敏感特权用户对其他用户的更改。 | 使用 SU01 更改用户详细信息/授权。 数据源:SAPcon - 审核日志 |
特权提升、凭据访问 |
SAP - 敏感用户密码更改和登录 | 标识特权用户的密码更改。 | 为特权用户更改密码并登录系统。 在 SAP - 特权用户播放列表中维护特权用户。 数据源:SAPcon - 审核日志 |
影响、命令和控制、特权提升 |
SAP - 用户创建并使用新用户 | 标识创建和使用其他用户的用户。 子用例:持久性 |
使用 SU01 创建一个用户,然后使用新建用户和相同的 IP 地址登录。 数据源:SAPcon - 审核日志 |
发现、预攻击、初始访问 |
SAP - 用户解锁并使用其他用户 | 标识由其他用户解锁和使用的用户。 子用例:持久性 |
使用 SU01 解锁用户,然后使用已解锁用户和相同的 IP 地址登录。 数据源:SAPcon - 审核日志、SAPcon - 更改文档日志 |
发现、预攻击、初始访问、横向移动 |
SAP - 敏感配置文件分配 | 标识对用户新分配的敏感配置文件。 维护 SAP - 敏感配置文件播放列表中的敏感配置文件。 |
使用 SU01 向用户分配配置文件。 数据源:SAPcon - 更改文档日志 |
特权提升 |
SAP - 敏感角色分配 | 标识向用户新分配的敏感角色。 维护 SAP - 敏感角色播放列表中的敏感角色。 |
使用 SU01 / PFCG 向用户分配角色。 数据源:SAPcon - 更改文档日志、审核日志 |
特权提升 |
SAP -(预览版)关键授权分配 - 新授权值 | 标识向新用户分配的关键授权对象值。 维护 SAP - 关键授权对象播放列表中的关键授权对象。 |
使用 PFCG 在角色中分配新授权对象或更新现有授权对象。 数据源:SAPcon - 更改文档日志 |
特权提升 |
SAP - 关键授权分配 - 新用户分配 | 标识向新用户分配的关键授权对象值。 维护 SAP - 关键授权对象播放列表中的关键授权对象。 |
使用 SU01 /PFCG 将新用户分配给具有关键授权值的角色。 数据源:SAPcon - 更改文档日志 |
特权提升 |
SAP - 敏感角色 | 标识敏感角色更改。 维护 SAP - 敏感角色播放列表中的敏感角色。 |
使用 PFCG 更改角色。 数据源:SAPcon - 更改文档日志、SAPcon - 审核日志 |
影响、特权提升、持久性 |
可用播放列表
下表列出了可用于适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案的监视列表,以及每个监视列表中的字段。
这些监视列表提供适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案的配置。 Microsoft Sentinel GitHub 存储库提供了 SAP 监视列表。
播放列表名称 | 说明和字段 |
---|---|
SAP - 关键授权对象 | 应当控制其分配的关键授权对象。 - AuthorizationObject:SAP 授权对象,例如 S_DEVELOP 、S_TCODE 或 Table TOBJ - AuthorizationField:SAP 授权字段,例如 OBJTYP 或 TCD - AuthorizationValue:SAP 授权字段,例如 DEBUG - ActivityField:SAP 活动字段。 在大多数情况下,此值将为 ACTVT 。 对于无活动,或仅有活动字段的授权对象,请填充 NOT_IN_USE 。 - 活动:SAP 活动,取决于 01 :创建;02 :更改;03 :显示等授权对象。 - 说明:有意义的关键授权对象说明。 |
SAP - 排除的网络 | 用于已排除网络的内部维护,例如忽略 Web 调度程序、终端服务器等。 -网络:网络 IP 地址或范围,例如 111.68.128.0/17 。 -说明:有意义的网络说明。 |
SAP 排除的用户 | 已登录系统但必须忽略的系统用户。 例如,对同一用户进行多次登录发出警报。 - 用户:SAP 用户 -说明:有意义的用户说明。 |
SAP - 网络 | 用于标识未授权登录的内部和维护网络。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17 - 说明:有意义的网络说明。 |
SAP - 特权用户 | 受到额外限制的特权用户。 - 用户:ABAP 用户,例如 DDIC 或 SAP - 说明:有意义的用户说明。 |
SAP - 敏感 ABAP 程序 | 应当控制其执行的敏感 ABAP 程序(报表)。 - ABAPProgram:ABAP 程序或报表,例如 RSPFLDOC - 说明:有意义的程序说明。 |
SAP - 敏感函数模块 | 用于标识未授权登录的内部和维护网络。 - FunctionModule:ABAP 函数模块,例如 RSAU_CLEAR_AUDIT_LOG - 说明:有意义的模块说明。 |
SAP - 敏感配置文件 | 应当控制其分配的敏感配置文件。 - 配置文件:SAP 授权配置文件,例如 SAP_ALL 或 SAP_NEW - 说明:有意义的配置文件说明。 |
SAP - 敏感表 | 其访问权限应当受到控制的敏感表。 - 表:ABAP 字典表,例如 USR02 或 PA008 - 说明:有意义的表说明。 |
SAP - 敏感角色 | 应当控制其分配的敏感角色。 - 角色:SAP 授权角色,例如 SAP_BC_BASIS_ADMIN - 说明:有意义的角色说明。 |
SAP - 敏感事务 | 应当控制其执行的敏感事务。 - TransactionCode:SAP 事务代码,例如 RZ11 - 说明:有意义的代码说明。 |
SAP - 系统 | 根据角色、用法和配置描述 SAP 系统的总体情况。 - SystemID:SAP 系统 ID (SYSID) - SystemRole:SAP 系统角色,属于以下值之一: Sandbox 、Development 、Quality Assurance 、Training 、Production - SystemUsage:SAP 系统使用情况,属于以下值之一: ERP 、BW 、Solman 、Gateway 、Enterprise Portal - InterfaceAttributes:用于 playbook 的可选动态参数。 |
SAPSystemParameters | 用于监视可疑配置更改的参数。 根据 SAP 最佳做法,此监视列表预先填充了建议值 ,你可以扩展监视列表以包含更多参数。 如果不想接收关于某个参数的警报,请将 EnableAlerts 设置为 false 。- ParameterName:参数的名称。 - 注释:SAP 标准参数说明。 - EnableAlerts:定义是否为此参数启用警报。 值为 true 和 false 。- 选项:定义在哪种情况下触发警报:当参数值大于或等于 ( GE )、小于或等于 (LE ) 或在等于 (EQ ) 时。例如,如果 login/fails_to_user_lock SAP 参数设置为 LE (小于或等于),并且值为 5 ,则 Microsoft Sentinel 一旦检测到此特定参数发生变化,就会比较新报告的值和预期值。 如果新值为 4 ,则 Microsoft Sentinel 不会触发警报。 如果新值为 6 ,则 Microsoft Sentinel 会触发警报。- ProductionSeverity:生产系统的事件严重性。 - ProductionValues:生产系统允许的值。 - NonProdSeverity: 非生产系统的事件严重性。 - NonProdValues: 非生产系统允许的值。 |
SAP - 排除的用户 | 出于“用户多次登录”警报等原因,已登录且需要忽略的系统用户。 - 用户:SAP 用户 - 说明:有意义的用户说明 |
SAP - 排除的网络 | 维护已排除的内部网络,以忽略 Web 调度程序、终端服务器等。 - 网络:网络 IP 地址或范围,例如 111.68.128.0/17 - 说明:有意义的网络说明 |
SAP - 已过时函数模块 | 应当控制其执行的已过时函数模块。 - FunctionModule:ABAP 函数模块,例如 TH_SAPREL - 说明:有意义的函数模块说明 |
SAP - 已过时程序 | 应当控制其执行的已过时 ABAP 程序(报表)。 - ABAPProgram:ABAP 程序,例如 TH_ RSPFLDOC - 说明:有意义的 ABAP 程序说明 |
SAP - ABAP 生成事务 | 应当控制其执行的 ABAP 生成事务。 - TransactionCode:事务代码,例如 SE11 - 说明:有意义的事务代码说明 |
SAP - FTP 服务器 | 用于标识未授权连接的 FTP 服务器。 - 客户端:例如 100。 - FTP_Server_Name:FTP 服务器名称,例如 http://contoso.com/ -FTP_Server_Port:FTP 服务器端口,例如 22。 - 说明有意义的 FTP 服务器说明 |
SAP_Dynamic_Audit_Log_Monitor_Configuration | 根据系统角色(生产、非生产)为每个消息 ID 分配所需的严重性级别,以配置 SAP 审核日志警报。 此监视列表详细介绍了所有可用的 SAP 标准审核日志消息 ID。 可对此监视列表进行扩展,使之包含你可能在 SAP NetWeaver 系统上使用 ABAP 增强功能自行创建的其他消息 ID。 通过此监视列表,还可以配置指定团队来处理每种事件类型,以及通过 SAP 角色、SAP 配置文件或 SAP_User_Config 监视列表中的标记来排除用户。 此监视列表是用于配置用于监视 SAP 审核日志的内置 SAP 分析规则的核心组件之一。 - MessageID:SAP 消息 ID 或事件类型,例如 AUD (用户主记录更改)或 AUB (授权更改)。 - DetailedDescription:要在事件窗格中显示的已启用 Markdown 的说明。 - ProductionSeverity:为生产系统创建事件所需的严重性 High 、Medium 。 可设置为 Disabled 。 - NonProdSeverity:为非生产系统创建事件所需的严重性 High 、Medium 。 可设置为 Disabled 。 - ProductionThreshold:在生成系统中会被视为“可疑”的事件的“每小时”计数 60 。 - NonProdThreshold:在非生成系统中会视为“可疑”的事件的“每小时”计数 10 。 - RolesTagsToExclude:此字段从 SAP_User_Config 监视列表接受 SAP 角色名称、SAP 配置文件名称或标记。 然后,这些内容用于从特定事件类型中排除关联用户。 请参阅此列表末尾的角色标记选项。 - RuleType:将 Deterministic 用于要发送到 SAP - 动态确定性审核日志监视器的事件类型,或使用 AnomaliesOnly 让 SAP - 基于动态异常的审核日志监视器警报(预览版)涵盖此事件。- TeamsChannelID:用于 playbook 的可选动态参数。 - DestinationEmail:用于 playbook 的可选动态参数。 对于 RolesTagsToExclude 字段: - 如果列出 SAP 角色或 SAP 配置文件,则这会排除所列角色或配置文件来自同一 SAP 系统的这些事件类型的任何用户。 例如,如果为 RFC 相关事件类型定义 BASIC_BO_USERS ABAP 角色,则业务对象用户在进行大量 RFC 调用时不会触发事件。- 标记某个事件类型类似于指定 SAP 角色或配置文件,但标记可以在工作区中创建,因此 SOC 团队可以在不依赖于 SAP 团队的情况下按活动排除用户。 例如,审核消息 ID AUB(授权更改)和 AUD(用户主记录更改)分配有 MassiveAuthChanges 标记。 分配有此标记的用户会被排除在针对这些活动的检查之外。 运行工作区 SAPAuditLogConfigRecommend 函数会生成要分配给用户的推荐标记列表,例如 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist 。 |
SAP_User_Config | 允许通过在特定上下文中排除/包括用户来微调警报,并且还用于配置用于监视 SAP 审核日志的内置 SAP 分析规则。 - SAPUser:SAP 用户 - 标记:标记用于根据某项活动标识用户。 例如,向用户 SENTINEL_SRV 添加标记 [“GenericTablebyRFCOK”] 将阻止为此特定用户创建 RFC 相关事件 其他 Active Directory 用户标识符 - AD 用户标识符 - 用户本地 SID - 用户主体名称 |
可用的 playbook
Playbook 名称 | parameters | 连接 |
---|---|---|
SAP 事件响应 - 从 Teams 锁定用户 - 基本 | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath - DefaultEmail - TeamsChannel |
- Microsoft Sentinel - Microsoft Teams |
SAP 事件响应 - 从 Teams 锁定用户 - 高级 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure Monitor 日志 - Office 365 Outlook - Microsoft Entra ID - Azure 密钥保管库 - Microsoft Teams |
SAP 事件响应 - 停用后可重新启用审核日志记录 | - SAP-SOAP-KeyVault-Credential-Name - DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Azure 密钥保管库 - Azure Monitor 日志 - Microsoft Teams |
后续步骤
有关详细信息,请参阅: