Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule szczegółowo przedstawiono zawartość zabezpieczeń dostępną dla rozwiązania Microsoft Sentinel dla oprogramowania SAP BTP.
Dostępna zawartość zabezpieczeń zawiera obecnie wbudowane reguły skoroszytu i analizy. Możesz również dodać listy kontrolne związane z oprogramowaniem SAP do użycia w podręcznikach wyszukiwania, reguł wykrywania, wyszukiwania zagrożeń i reagowania na nie.
Dowiedz się więcej o rozwiązaniu.
Skoroszyt SAP BTP
Skoroszyt działania BTP zawiera omówienie działania BTP na pulpicie nawigacyjnym.
Na karcie Przegląd są wyświetlane następujące karty:
- Omówienie subaccounts BTP, pomagając analitykom identyfikować najbardziej aktywne konta i typ pozyskanych danych.
- Działanie logowania do konta podrzędnego, pomagając analitykom identyfikować skoki i trendy, które mogą być skojarzone z błędami logowania w programie SAP Business Application Studio (BAS).
- Oś czasu działania BTP i liczba alertów zabezpieczeń BTP, pomagając analitykom wyszukiwać wszelkie korelacje między nimi.
Karta Zarządzanie tożsamościami zawiera siatkę zdarzeń zarządzania tożsamościami, takich jak zmiany roli użytkownika i zabezpieczeń, w formacie czytelnym dla człowieka. Pasek wyszukiwania umożliwia szybkie znajdowanie określonych zmian.
Aby uzyskać więcej informacji, zobacz Samouczek: wizualizowanie i monitorowanie danych oraz Wdrażanie rozwiązania Microsoft Sentinel dla oprogramowania SAP BTP.
Wbudowane reguły analizy
Te reguły analizy wykrywają podejrzane działania przy użyciu dzienników inspekcji sap BTP. Reguły są zorganizowane według usługi SAP lub obszaru produktu. Aby uzyskać więcej informacji, zobacz oficjalną dokumentację systemu SAP dotyczącą zdarzeń zabezpieczeń zarejestrowanych przez usługi Cloud Foundry Services w systemie SAP BTP.
Źródła danych: SAPBTPAuditLog_CL
Integracja z chmurą SAP — Integration Suite
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| BTP — manipulowanie zasadami dostępu do integracji z chmurą | Wykrywa nieautoryzowane modyfikacje zasad dostępu, które mogą umożliwić osobom atakującym uzyskanie dostępu do poufnych artefaktów integracji lub uniknięcie mechanizmów kontroli zabezpieczeń. | Tworzenie, zmienianie lub usuwanie zasad dostępu lub odwołań do artefaktów w rozwiązaniu SAP Cloud Integration. | Uchylanie się od obrony, eskalacja uprawnień |
| BTP — wdrażanie artefaktu integracji z chmurą | Wykrywa wdrażanie potencjalnie złośliwych przepływów integracji, które mogą być używane do eksfiltracji danych, trwałości lub wykonywania nieautoryzowanego kodu w środowisku integracji. | Wdrażanie lub wdrażanie artefaktów integracji w rozwiązaniu SAP Cloud Integration. | Wykonywanie, trwałość |
| BTP — zmiany źródła danych JDBC integracji z chmurą | Wykrywa manipulowanie połączeniami bazy danych, które mogą umożliwić nieautoryzowany dostęp do systemów zaplecza lub kradzież poświadczeń z przechowywanych parametrów połączenia. | Wdrażanie lub wdrażanie źródeł danych JDBC w rozwiązaniu SAP Cloud Integration. | Dostęp poświadczeń, ruch boczny |
| BTP — importowanie lub transport pakietu integracji w chmurze | Wykrywa potencjalnie złośliwe importy pakietów, które mogą wprowadzać backdoors, naruszenia łańcucha dostaw lub nieautoryzowany kod w środowisku integracji. | Zaimportuj lub przetransportuj pakiety integracji/artefakty w rozwiązaniu SAP Cloud Integration. | Dostęp początkowy, trwałość |
| BTP — manipulowanie integracją z chmurą przy użyciu materiałów zabezpieczających | Wykrywa nieautoryzowany dostęp do poświadczeń, certyfikatów i kluczy szyfrowania, które mogą umożliwić atakującym naruszenie systemów zewnętrznych lub przechwycenie zaszyfrowanej komunikacji. | Tworzenie, aktualizowanie lub usuwanie poświadczeń, certyfikatów X.509 lub kluczy PGP w rozwiązaniu SAP Cloud Integration. | Dostęp poświadczeń, uchylanie się od obrony |
SAP Cloud Identity Service — uwierzytelnianie tożsamości
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| BTP — monitor konfiguracji aplikacji usługi Tożsamości w chmurze | Wykrywa tworzenie lub modyfikowanie aplikacji federacyjnych (SAML/OIDC), które mogą umożliwić osobie atakującej ustanowienie trwałego dostępu backdoor za pośrednictwem nieautoryzowanych konfiguracji logowania jednokrotnego. | Tworzenie, aktualizowanie lub usuwanie konfiguracji domeny/dostawcy usługi logowania jednokrotnego w usłudze SAP Cloud Identity Service. | Dostęp poświadczeń, eskalacja uprawnień |
| BTP — masowe usuwanie użytkowników w usłudze tożsamości w chmurze | Wykrywa usuwanie konta użytkownika na dużą skalę, które może wskazywać na destrukcyjny atak, próbę zakrywania nieautoryzowanej aktywności lub odmowy usługi przeciwko uprawnionym użytkownikom. Domyślny próg: 10 |
Usuń liczbę kont użytkowników powyżej zdefiniowanego progu w usłudze SAP Cloud Identity Service. | Wpływ |
| BTP — użytkownik dodany do listy uprzywilejowanych administratorów | Wykrywa eskalację uprawnień przez przypisanie zaawansowanych uprawnień do zarządzania tożsamościami, które mogą umożliwić osobom atakującym tworzenie kont zaplecza lub modyfikowanie kontrolek uwierzytelniania. | Przyznaj użytkownikowi uprawnienia uprzywilejowanego administratora w usłudze SAP Cloud Identity Service. | Ruch poprzeczny, eskalacja uprawnień |
SAP Business Application Studio (BAS)
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| BTP — nieudane próby dostępu w wielu podkontach BAS | Wykrywa działania rekonesansu lub ataki sprayu poświadczeń ukierunkowane na środowiska deweloperskie w wielu podkontach, co wskazuje potencjalne przygotowanie do szerszego naruszenia. Domyślny próg: 3 |
Uruchom nieudane próby logowania do bazy danych na podstawie zdefiniowanej liczby progów konta podrzędnego. | Odnajdywanie, rekonesans |
| BTP — złośliwe oprogramowanie wykryte w przestrzeni deweloperów BAS | Wykrywa złośliwy kod w obszarach roboczych programowania, które mogą służyć do naruszenia łańcucha dostaw oprogramowania, wstrzykiwania backdoorów do aplikacji lub ustanawiania trwałości w środowisku projektowym. | Skopiuj lub utwórz plik złośliwego oprogramowania w obszarze dewelopera BAS. | Wykonywanie, trwałość, programowanie zasobów |
Strefa robocza kompilacji SAP
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| BTP — nieautoryzowany dostęp do strefy roboczej kompilacji i manipulowanie rolami | Wykrywa próby uzyskania dostępu do zasobów portalu z ograniczeniami lub masowe usunięcie mechanizmów kontroli dostępu, które mogą wskazywać, że osoba atakująca usuwa granice zabezpieczeń lub obejmuje ścieżki po nieautoryzowanej aktywności. | Wykrywanie nieautoryzowanego dostępu do usługi OData lub masowego usuwania ról/użytkowników w strefie roboczej kompilacji sap. | Wstępny dostęp, trwałość, uchylanie się od obrony |
Platforma SAP BTP i konta podrzędne
| Nazwa reguły | opis | Akcja źródłowa | Taktyka |
|---|---|---|---|
| BTP — usługa dziennika inspekcji jest niedostępna | Wykrywa potencjalne manipulowanie rejestrowaniem inspekcji, które może wskazywać, że osoba atakująca próbuje działać bez wykrywania, wyłączając monitorowanie zabezpieczeń lub ukrywając złośliwe działanie. | Konto podrzędne nie może zgłaszać dzienników inspekcji przekraczających skonfigurowany próg (wartość domyślna: 60 minut). | Uchylanie się od obrony |
| BTP — masowe usuwanie użytkowników w podkonta | Wykrywa usuwanie użytkowników na dużą skalę, które może wskazywać na destrukcyjny atak, próbę sabotażu lub wysiłek, aby zakłócić operacje biznesowe, usuwając dostęp użytkowników. Domyślny próg: 10 |
Usuń liczbę kont użytkowników powyżej zdefiniowanego progu. | Wpływ |
| BTP — monitor dostawcy tożsamości zaufania i autoryzacji | Wykrywa modyfikacje ustawień federacji i uwierzytelniania, które mogą umożliwić osobom atakującym ustanowienie alternatywnych ścieżek uwierzytelniania, obejście mechanizmów kontroli zabezpieczeń lub uzyskanie nieautoryzowanego dostępu za pośrednictwem manipulowania dostawcą tożsamości. | Zmień, odczytaj, zaktualizuj lub usuń dowolne ustawienia dostawcy tożsamości w ramach konta podrzędnego. | Dostęp poświadczeń, eskalacja uprawnień |
| BTP — użytkownik dodany do poufnej kolekcji ról uprzywilejowanych | Wykrywa próby eskalacji uprawnień za pośrednictwem przypisywania zaawansowanych ról administracyjnych, które mogą umożliwić pełną kontrolę nad kontami podrzędnymi, łącznością i konfiguracjami zabezpieczeń. | Przypisz jedną z następujących kolekcji ról do użytkownika: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Ruch poprzeczny, eskalacja uprawnień |
Następne kroki
W tym artykule przedstawiono zawartość zabezpieczeń dostarczaną z rozwiązaniem Microsoft Sentinel dla oprogramowania SAP BTP.