Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Sicherheitsinhalte beschrieben, die für die Microsoft Sentinel-Lösung für SAP BTP verfügbar sind.
Verfügbare sicherheitsbezogene Inhalte umfassen derzeit eine integrierte Arbeitsmappe sowie integrierte Analyseregeln. Sie können auch SAP-bezogene Watchlists hinzufügen, um sie in Ihrer Suche, für Erkennungsregeln, bei der Bedrohungssuche sowie in Playbooks für die Reaktion auf Bedrohungen zu verwenden.
Erfahren Sie mehr über die Lösung.
SAP BTP-Arbeitsmappe
Die „BTP-Aktivität“-Arbeitsmappe bietet eine Dashboardübersicht der BTP-Aktivitäten.
Die Registerkarte Übersicht zeigt Folgendes:
- Eine Übersicht über BTP-Unterkonten, die Analysten dabei hilft, die aktivsten Konten sowie den Typ der erfassten Daten zu identifizieren.
- Subaccount-Anmeldeaktivitäten, die Analysten helfen, Spitzen und Trends zu identifizieren, die mit Anmeldefehlern in SAP Business Application Studio (BAS) verknüpft sein können.
- Zeitachse der BTP-Aktivität und Anzahl von BTP-Sicherheitswarnungen, die Analysten bei der Suche nach einer Korrelation zwischen den beiden Werten helfen.
Auf der Registerkarte Identitätsverwaltung wird ein Raster der Identitätsverwaltungsereignisse wie Änderungen der Benutzer- und Sicherheitsrolle in einem lesbaren Format angezeigt. Über die Suchleiste lassen sich bestimmte Änderungen schnell finden.
Weitere Informationen finden Sie im Lernprogramm: Visualisieren und Überwachen Ihrer Daten und Bereitstellen der Microsoft Sentinel-Lösung für SAP BTP.
Integrierte Analyseregeln
Diese Analyseregeln erkennen verdächtige Aktivitäten mithilfe von SAP BTP-Überwachungsprotokollen. Die Regeln werden nach SAP-Service oder Produktbereich organisiert. Weitere Informationen finden Sie in der offiziellen Dokumentation von SAP zu Sicherheitsereignissen, die von Cloud Foundry Services auf SAP BTP protokolliert werden.
Datenquellen: SAPBTPAuditLog_CL
SAP Cloud Integration - Integration Suite
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP – Manipulation der Zugriffsrichtlinie für die Cloudintegration | Erkennt nicht autorisierte Änderungen von Zugriffsrichtlinien, mit denen Angreifer Zugriff auf vertrauliche Integrationsartefakte erhalten oder Sicherheitskontrollen umgehen können. | Erstellen, Ändern oder Löschen von Zugriffsrichtlinien oder Artefaktverweise in DER SAP Cloud Integration. | Verteidigungshinterziehung, Berechtigungseskalation |
| BTP – Bereitstellung von Cloudintegrationsartefakten | Erkennt die Bereitstellung potenziell schädlicher Integrationsflüsse, die für Datenexfiltration, Persistenz oder Ausführung nicht autorisierter Code in der Integrationsumgebung verwendet werden können. | Bereitstellen oder Aufheben der Bereitstellung von Integrationsartefakten in der SAP-Cloudintegration. | Ausführung, Persistenz |
| BTP – Änderungen an der Cloudintegration VON DATENQUELLEN | Erkennt die Manipulation von Datenbankverbindungen, die nicht autorisierten Zugriff auf Back-End-Systeme oder den Diebstahl von Anmeldeinformationen aus gespeicherten Verbindungszeichenfolgen ermöglichen könnten. | Bereitstellen oder Aufheben der Bereitstellung von IMAGES-Datenquellen in DER SAP Cloud Integration. | Zugriff auf Anmeldeinformationen, Lateral Movement |
| BTP – Import oder Transport des Cloudintegrationspakets | Erkennt potenziell schädliche Paketimporte, die Backdoors, Lieferkettenkompromittierungen oder nicht autorisierten Code in die Integrationsumgebung einführen könnten. | Importieren oder Transportintegrationspakete/Artefakte in der SAP Cloud Integration. | Erstzugriff, Persistenz |
| BTP – Manipulation der Cloudintegration mit Sicherheitsmaterial | Erkennt nicht autorisierten Zugriff auf Anmeldeinformationen, Zertifikate und Verschlüsselungsschlüssel, mit denen Angreifer externe Systeme kompromittieren oder verschlüsselte Kommunikationen abfangen können. | Erstellen, Aktualisieren oder Löschen von Anmeldeinformationen, X.509-Zertifikaten oder PGP-Schlüsseln in der SAP Cloud Integration. | Zugriff auf Anmeldeinformationen, Verteidigungshinterziehung |
SAP Cloud Identity Service – Identitätsauthentifizierung
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP – Cloud Identity Service-Anwendungskonfigurationsmonitor | Erkennt die Erstellung oder Änderung von Verbundanwendungen (SAML/OIDC), die Es Angreifern ermöglichen kann, dauerhaften Backdoor-Zugriff über gefälschte SSO-Konfigurationen einzurichten. | Erstellen, Aktualisieren oder Löschen von SSO-Domänen-/Dienstanbieterkonfigurationen in SAP Cloud Identity Service. | Anmeldeinformationszugriff, Berechtigungseskalation |
| BTP – Massenlöschung von Benutzern in Cloud Identity Service | Erkennt das Löschen eines umfangreichen Benutzerkontos, das auf einen destruktiven Angriff hinweisen kann, versucht, nicht autorisierte Aktivitäten abzudecken oder denial of service gegen legitime Benutzer zu verweigern. Standardschwellenwert: 10 |
Die Anzahl der Benutzerkonten über dem definierten Schwellenwert in SAP Cloud Identity Service löschen. | Wirkung |
| BTP – Benutzer, der der Liste der privilegierten Administratoren hinzugefügt wurde | Erkennt die Berechtigungseskalation durch Zuweisung leistungsstarker Identitätsverwaltungsberechtigungen, mit denen Angreifer Backdoor-Konten erstellen oder Authentifizierungssteuerelemente ändern können. | Erteilen sie privilegierten Administratorberechtigungen für einen Benutzer in SAP Cloud Identity Service. | Lateral Movement, Privilege Eskalation |
SAP Business Application Studio (BAS)
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP: Fehlgeschlagene Zugriffsversuche für mehrere BAS-Unterkonten | Erkennt Aufklärungsaktivitäten oder Credential Spray-Angriffe auf Entwicklungsumgebungen über mehrere Unterkonten hinweg, was die potenzielle Vorbereitung auf eine umfassendere Kompromittierung angibt. Standardschwellenwert: 3 |
Fehler beim Ausführen von Anmeldeversuchen bei BAS über der definierten Schwellenwertanzahl von Unterkonten. | Entdeckung, Aufklärung |
| BTP: Schadsoftware im BAS-Entwicklungsbereich erkannt | Erkennt bösartigen Code in Entwicklungsarbeitsbereichen, die verwendet werden können, um die Software-Lieferkette zu kompromittieren, Hintertüren in Anwendungen einzufügen oder Persistenz in der Entwicklungsumgebung herzustellen. | Kopieren oder erstellen Sie eine Schadsoftwaredatei in einem BAS-Entwicklerbereich. | Ausführung, Persistenz, Ressourcenentwicklung |
SAP Build Work Zone
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP – Erstellen von nicht autorisiertem Zugriff auf Arbeitszone und Rollenmanipulation | Erkennt Versuche, auf eingeschränkte Portalressourcen zuzugreifen, oder das Massenlöschen von Zugriffssteuerungen, die darauf hindeuten könnten, dass ein Angreifer Sicherheitsgrenzen entfernt oder Spuren nach unbefugter Aktivität verdeckt. | Erkennen sie nicht autorisierten OData-Dienstzugriff oder massenhafte Löschung von Rollen/Benutzern in der SAP Build Work Zone. | Anfänglicher Zugriff, Persistenz, Verteidigungshinterziehung |
SAP BTP-Plattform und Unterkonten
| Regelname | Beschreibung | Quellaktion | Taktik |
|---|---|---|---|
| BTP – Überwachungsprotokolldienst nicht verfügbar | Erkennt potenzielle Manipulationen mit der Überwachungsprotokollierung, die darauf hindeuten könnte, dass ein Angreifer ohne Erkennung versucht, indem die Sicherheitsüberwachung deaktiviert oder schädliche Aktivitäten ausgeblendet werden. | Das Unterkonto meldet überwachungsprotokolle nicht, die den konfigurierten Schwellenwert überschreiten (Standard: 60 Minuten). | Umgehen von Verteidigungsmaßnahmen |
| BTP – Massenlöschung von Benutzern in einem Unterkonto | Erkennt das Löschen großer Benutzer, die auf einen destruktiven Angriff, einen Sabotageversuch oder einen Versuch zur Unterbrechung von Geschäftsvorgängen hinweisen können, indem der Benutzerzugriff entfernt wird. Standardschwellenwert: 10 |
Löschen Sie die Anzahl der Benutzerkonten, die den definierten Schwellenwert überschreiten. | Wirkung |
| BTP: Vertrauensstellungs- und Autorisierungsidentitätsanbieter-Monitor | Erkennt Änderungen an Verbund- und Authentifizierungseinstellungen, mit denen Angreifer alternative Authentifizierungspfade einrichten, Sicherheitskontrollen umgehen oder nicht autorisierten Zugriff über die Manipulation des Identitätsanbieters erhalten können. | Ändern, lesen, aktualisieren oder löschen der Einstellungen des Identitätsanbieters in einem Unterkonto. | Anmeldeinformationszugriff, Berechtigungseskalation |
| BTP: Benutzer zu Sammlung vertraulicher privilegierter Rollen hinzugefügt | Erkennt Berechtigungseskalationsversuche durch Zuweisung leistungsstarker Administrativer Rollen, die die vollständige Kontrolle über Unterkonten, Konnektivität und Sicherheitskonfigurationen ermöglichen können. | Weisen Sie einem Benutzer eine der folgenden Rollensammlungen zu: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Lateral Movement, Privilege Eskalation |
Nächste Schritte
In diesem Artikel haben Sie mehr über den Sicherheitsinhalt erfahren, der mit der Microsoft Sentinel-Lösung für SAP BTP bereitgestellt wird.