Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se detalla el contenido de seguridad disponible para la solución microsoft Sentinel para SAP BTP.
Por el momento, el contenido de seguridad disponible incluye un libro de trabajo integrado y reglas de análisis. También puede agregar listas de seguimiento relacionadas con SAP para usarlas en búsquedas, reglas de detección, búsqueda de amenazas y cuadernos de estrategias de respuesta.
Más información sobre la solución.
Libro de SAP BTP
El libro de actividad BTP proporciona información general sobre el panel de la actividad BTP.
La pestaña Información general muestra:
- Información general de las subcuentas de BTP, que ayuda a los analistas a identificar las cuentas más activas y el tipo de datos ingeridos.
- Actividad de inicio de sesión de subcuenta, lo que ayuda a los analistas a identificar picos y tendencias que podrían estar asociados a errores de inicio de sesión en SAP Business Application Studio (BAS).
- Escala de tiempo de la actividad BTP y el número de alertas de seguridad de BTP, lo que ayuda a los analistas a buscar cualquier correlación entre los dos.
La pestaña Administración de identidades muestra una cuadrícula de eventos de administración de identidades, como cambios de usuario y de rol de seguridad, en un formato legible. La barra de búsqueda le permite encontrar rápidamente cambios específicos.
Para obtener más información, consulte Tutorial: Visualización y supervisión de los datos e Implementación de soluciones de Microsoft Sentinel para SAP BTP.
Reglas de análisis integradas
Estas reglas de análisis detectan actividad sospechosa mediante registros de auditoría de SAP BTP. Las reglas están organizadas por el servicio de SAP o el área de producto. Para más información, consulte la documentación oficial de SAP sobre eventos de seguridad registrados por Cloud Foundry Services en SAP BTP.
Orígenes de datos: SAPBTPAuditLog_CL
Integración en la nube de SAP: Integration Suite
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: alteración de la directiva de acceso a la integración en la nube | Detecta la modificación no autorizada de las directivas de acceso que podrían permitir a los atacantes obtener acceso a artefactos de integración confidenciales o eludir los controles de seguridad. | Cree, cambie o elimine directivas de acceso o referencias de artefactos en SAP Cloud Integration. | Evasión de defensa, elevación de privilegios |
| BTP: implementación de artefactos de integración en la nube | Detecta la implementación de flujos de integración potencialmente malintencionados que se podrían usar para la filtración de datos, la persistencia o la ejecución de código no autorizado en el entorno de integración. | Implementación o anulación de la implementación de artefactos de integración en SAP Cloud Integration. | Ejecución, persistencia |
| BTP: cambios en el origen de datos JDBC de Cloud Integration | Detecta la manipulación de conexiones de base de datos que podrían permitir el acceso no autorizado a sistemas back-end o robo de credenciales de cadenas de conexión almacenadas. | Implementar o anular la implementación de orígenes de datos JDBC en SAP Cloud Integration. | Acceso a credenciales, movimiento lateral |
| BTP: importación o transporte de paquetes de integración en la nube | Detecta importaciones de paquetes potencialmente malintencionadas que podrían introducir puertas traseras, compromisos en la cadena de suministro o código no autorizado en el entorno de integración. | Importación o transporte de paquetes o artefactos de integración en SAP Cloud Integration. | Acceso inicial, persistencia |
| BTP: manipulación de la integración en la nube con material de seguridad | Detecta el acceso no autorizado a credenciales, certificados y claves de cifrado que podrían permitir a los atacantes poner en peligro sistemas externos o interceptar comunicaciones cifradas. | Cree, actualice o elimine credenciales, certificados X.509 o claves PGP en SAP Cloud Integration. | Acceso a credenciales, evasión de defensa |
SAP Cloud Identity Service: Autenticación de identidad
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: monitor de configuración de aplicaciones de Cloud Identity Service | Detecta la creación o modificación de aplicaciones federadas (SAML/OIDC) que podrían permitir a los atacantes establecer el acceso persistente de la puerta trasera a través de configuraciones de SSO no autorizadas. | Cree, actualice o elimine configuraciones de proveedor de servicios o dominio de SSO en SAP Cloud Identity Service. | Acceso a credenciales, elevación de privilegios |
| BTP: eliminación masiva de usuarios en Cloud Identity Service | Detecta la eliminación de cuentas de usuario a gran escala que podrían indicar un ataque destructivo, tratar de cubrir actividades no autorizadas o denegación de servicio contra usuarios legítimos. Umbral predeterminado: 10 |
Elimine el recuento de cuentas de usuario por encima del umbral definido en SAP Cloud Identity Service. | Impacto |
| BTP: usuario agregado a la lista de administradores con privilegios | Detecta la elevación de privilegios mediante la asignación de permisos eficaces de administración de identidades que podrían permitir a los atacantes crear cuentas de backdoor o modificar controles de autenticación. | Conceda permisos de administrador con privilegios a un usuario de SAP Cloud Identity Service. | Movimiento lateral, elevación de privilegios |
SAP Business Application Studio (BAS)
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP - Intentos de acceso erróneos en varias subcuentas BAS | Detecta ataques de difusión de credenciales o actividad de reconocimiento dirigidos a entornos de desarrollo en varias subcuentas, lo que indica la posible preparación para un compromiso más amplio. Umbral predeterminado: 3 |
Ejecute intentos de inicio de sesión erróneos en BAS a través del número de umbral definido de subcuentas. | Detección, reconocimiento |
| BTP - Malware detectado en el espacio de desarrollo BAS | Detecta código malintencionado en áreas de trabajo de desarrollo que se podrían usar para poner en peligro la cadena de suministro de software, insertar puertas traseras en aplicaciones o establecer la persistencia en el entorno de desarrollo. | Copie o cree un archivo de malware en un espacio para desarrolladores de BAS. | Ejecución, persistencia, desarrollo de recursos |
Zona de trabajo de compilación de SAP
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: creación de acceso no autorizado de zona de trabajo y manipulación de roles | Detecta intentos de acceder a recursos del portal restringidos o eliminación masiva de controles de acceso que podrían indicar que un atacante quita los límites de seguridad o cubre pistas después de una actividad no autorizada. | Detecte el acceso al servicio OData no autorizado o la eliminación masiva de roles o usuarios en sap Build Work Zone. | Acceso inicial, persistencia, evasión de defensa |
Plataforma y subcuentas de SAP BTP
| Nombre de la regla | Descripción | Acción de origen | Tácticas |
|---|---|---|---|
| BTP: servicio de registro de auditoría no disponible | Detecta posibles alteraciones con el registro de auditoría que podrían indicar a un atacante que intenta operar sin detección al deshabilitar la supervisión de seguridad u ocultar actividades malintencionadas. | La subcuenta no puede notificar registros de auditoría que superen el umbral configurado (valor predeterminado: 60 minutos). | Evasión defensiva |
| BTP: eliminación masiva de usuarios en una subcuenta | Detecta la eliminación de usuarios a gran escala que podría indicar un ataque destructivo, un intento de sabotaje o un esfuerzo para interrumpir las operaciones empresariales mediante la eliminación del acceso de los usuarios. Umbral predeterminado: 10 |
Elimine el recuento de cuentas de usuario por encima del umbral definido. | Impacto |
| BTP - Supervisión del proveedor de identidades de confianza y autorización | Detecta modificaciones en la configuración de federación y autenticación que podrían permitir a los atacantes establecer rutas de acceso de autenticación alternativas, omitir controles de seguridad o obtener acceso no autorizado a través de la manipulación del proveedor de identidades. | Cambie, lea, actualice o elimine cualquiera de las opciones de configuración del proveedor de identidades dentro de una subcuenta. | Acceso a credenciales, elevación de privilegios |
| BTP - Usuario agregado a la colección de roles privilegiados sensibles | Detecta intentos de escalación de privilegios mediante la asignación de roles administrativos eficaces que podrían permitir el control total sobre las subcuentas, la conectividad y las configuraciones de seguridad. | Asigne una de las siguientes colecciones de roles a un usuario: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Movimiento lateral, elevación de privilegios |
Pasos siguientes
En este artículo, ha obtenido información sobre el contenido de seguridad proporcionado con la solución microsoft Sentinel para SAP BTP.