Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article détaille le contenu de sécurité disponible pour la solution Microsoft Sentinel pour SAP BTP.
Le contenu de sécurité disponible se compose actuellement d’un classeur et de règles analytiques intégrés. Vous pouvez également ajouter des watchlists liées à SAP à utiliser dans votre recherche, vos règles de détection, votre chasse des menaces et vos playbooks de réponse.
En savoir plus sur la solution.
Classeur SAP BTP
Le classeur d’activité BTP offre une vue d’ensemble de l’activité BTP sous la forme d’un tableau de bord.
L’onglet Vue d’ensemble affiche les éléments suivants :
- Une vue d’ensemble des sous-comptes BTP, ce qui aide les analystes à identifier les comptes les plus actifs et le type de données ingérées.
- Activité de connexion de sous-compte, aidant les analystes à identifier les pics et tendances susceptibles d’être associés à des échecs de connexion dans SAP Business Application Studio (BAS).
- La chronologie de l’activité BTP et le nombre d’alertes de sécurité BTP, ce qui aide les analystes à chercher une corrélation entre les deux.
L’onglet Identity Management présente une grille d’événements de gestion des identités, tels que les changements de rôle d’utilisateur et de sécurité, sous une forme explicite. La barre de recherche vous permet de trouver rapidement des changements spécifiques.
Pour plus d’informations, consultez Tutoriel : Visualiser et surveiller vos données et déployer la solution Microsoft Sentinel pour SAP BTP.
Règles analytiques intégrées
Ces règles d’analyse détectent les activités suspectes à l’aide des journaux d’audit SAP BTP. Les règles sont organisées par service SAP ou par zone de produit. Pour plus d’informations, consultez la documentation officielle de SAP sur les événements de sécurité enregistrés par Cloud Foundry Services sur SAP BTP.
Sources de données : SAPBTPAuditLog_CL
SAP Cloud Integration - Integration Suite
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| BTP - Falsification de la stratégie d’accès à l’intégration cloud | Détecte une modification non autorisée des stratégies d’accès qui pourraient permettre aux attaquants d’accéder à des artefacts d’intégration sensibles ou d’échapper aux contrôles de sécurité. | Créez, modifiez ou supprimez des stratégies d’accès ou des références d’artefact dans SAP Cloud Integration. | Évasion de défense, escalade de privilèges |
| BTP - Déploiement d’artefacts d’intégration cloud | Détecte le déploiement de flux d’intégration potentiellement malveillants qui peuvent être utilisés pour l’exfiltration de données, la persistance ou l’exécution de code non autorisé dans l’environnement d’intégration. | Déployer ou annuler le déploiement d’artefacts d’intégration dans SAP Cloud Integration. | Exécution, persistance |
| BTP - Modifications apportées à la source de données JDBC d’intégration cloud | Détecte la manipulation des connexions de base de données qui pourraient permettre un accès non autorisé aux systèmes principaux ou au vol d’informations d’identification à partir de chaînes de connexion stockées. | Déployer ou annuler le déploiement de sources de données JDBC dans SAP Cloud Integration. | Accès aux informations d’identification, mouvement latéral |
| BTP - Importation ou transport du package d’intégration cloud | Détecte les importations de packages potentiellement malveillantes susceptibles d’introduire des portes dérobées, des compromissions de la chaîne d’approvisionnement ou du code non autorisé dans l’environnement d’intégration. | Importer ou transporter des packages/artefacts d’intégration dans SAP Cloud Integration. | Accès initial, persistance |
| BTP - Falsification de l’intégration cloud avec du matériel de sécurité | Détecte l’accès non autorisé aux informations d’identification, aux certificats et aux clés de chiffrement qui pourraient permettre aux attaquants de compromettre des systèmes externes ou d’intercepter des communications chiffrées. | Créez, mettez à jour ou supprimez des informations d’identification, des certificats X.509 ou des clés PGP dans SAP Cloud Integration. | Accès aux informations d’identification, évasion de défense |
SAP Cloud Identity Service - Authentification des identités
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| BTP - Moniteur de configuration de l’application Cloud Identity Service | Détecte la création ou la modification d’applications fédérées (SAML/OIDC) qui pourraient permettre aux attaquants d’établir un accès par porte dérobée persistante via des configurations d’authentification unique non autorisées. | Créez, mettez à jour ou supprimez des configurations de domaine/de fournisseur de services SSO dans SAP Cloud Identity Service. | accès aux informations d’identification réaffectation de privilèges |
| BTP - Suppression massive d’utilisateurs dans Cloud Identity Service | Détecte la suppression de compte d’utilisateur à grande échelle qui pourrait indiquer une attaque destructrice, une tentative de couverture d’activité non autorisée ou un déni de service contre des utilisateurs légitimes. Seuil par défaut : 10 |
Supprimez le nombre de comptes d’utilisateurs sur le seuil défini dans SAP Cloud Identity Service. | Impact |
| BTP - Utilisateur ajouté à la liste administrateurs privilégiés | Détecte l’escalade des privilèges via l’attribution d’autorisations puissantes de gestion des identités qui pourraient permettre aux attaquants de créer des comptes de porte dérobée ou de modifier des contrôles d’authentification. | Accordez des autorisations d’administrateur privilégié à un utilisateur dans SAP Cloud Identity Service. | Mouvement latéral, réaffectation de privilèges |
SAP Business Application Studio (BAS)
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| BTP – Failed access attempts across multiple BAS subaccounts | Détecte l’activité de reconnaissance ou les attaques par pulvérisation d’informations d’identification ciblant des environnements de développement sur plusieurs sous-comptes, ce qui indique la préparation potentielle d’une compromission plus large. Seuil par défaut : 3 |
L’exécution de la connexion a échoué tente de bas sur le nombre de sous-comptes défini. | Découverte, Reconnaissance |
| BTP – Malware detected in BAS dev space | Détecte le code malveillant dans les espaces de travail de développement qui peuvent être utilisés pour compromettre la chaîne d’approvisionnement logicielle, injecter des portes dérobées dans des applications ou établir la persistance dans l’environnement de développement. | Copiez ou créez un fichier de programme malveillant dans un espace de développeur BAS. | Exécution, persistance, développement de la ressource |
Zone de travail de build SAP
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| BTP - Générer une zone de travail non autorisée et une falsification de rôle | Détecte les tentatives d’accès aux ressources du portail restreintes ou la suppression massive de contrôles d’accès susceptibles d’indiquer qu’un attaquant supprime les limites de sécurité ou couvre les pistes après une activité non autorisée. | Détectez l’accès au service OData non autorisé ou la suppression massive de rôles/utilisateurs dans la zone de travail sap Build. | Accès initial, persistance, évasion de défense |
Plateforme et sous-comptes SAP BTP
| Nom de la règle | Description | Action source | Tactique |
|---|---|---|---|
| BTP - Service de journal d’audit indisponible | Détecte la falsification potentielle de la journalisation d’audit qui pourrait indiquer qu’un attaquant tente de fonctionner sans détection en désactivant la surveillance de la sécurité ou en masquant les activités malveillantes. | Le sous-compte ne parvient pas à signaler les journaux d’audit dépassant le seuil configuré (valeur par défaut : 60 minutes). | Évasion de défense |
| BTP : Suppression en masse d’utilisateurs dans un sous compte | Détecte la suppression d’utilisateurs à grande échelle qui pourrait indiquer une attaque destructrice, une tentative de sabotage ou un effort pour perturber les opérations métier en supprimant l’accès utilisateur. Seuil par défaut : 10 |
Supprimez le nombre de comptes d’utilisateur au-delà du seuil défini. | Impact |
| BTP – Trust and authorization Identity Provider monitor | Détecte les modifications apportées aux paramètres de fédération et d’authentification qui peuvent permettre aux attaquants d’établir d’autres chemins d’authentification, de contourner les contrôles de sécurité ou d’obtenir un accès non autorisé via la manipulation du fournisseur d’identité. | Modifiez, lisez, mettez à jour ou supprimez les paramètres du fournisseur d’identité dans un sous-compte. | accès aux informations d’identification réaffectation de privilèges |
| BTP – User added to sensitive privileged role collection | Détecte les tentatives d’escalade de privilèges via l’attribution de rôles d’administration puissants qui pourraient permettre un contrôle total sur les sous-comptes, la connectivité et les configurations de sécurité. | Attribuez l’une des collections de rôles suivantes à un utilisateur : - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Mouvement latéral, réaffectation de privilèges |
Étapes suivantes
Dans cet article, vous avez découvert le contenu de sécurité fourni avec la solution Microsoft Sentinel pour SAP BTP.