Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve o log sap – Auditoria de Segurança e a pasta de trabalho de Acesso Inicial, usados para monitorar e acompanhar a atividade de auditoria do usuário em seus sistemas SAP. Use a pasta de trabalho para obter uma visão geral da atividade de auditoria do usuário, proteger melhor seus sistemas SAP e obter visibilidade rápida de ações suspeitas. Faça uma busca detalhada em eventos suspeitos conforme necessário.
Use a pasta de trabalho para monitoramento contínuo de seus sistemas SAP ou para revisar os sistemas após um incidente de segurança ou outra atividade suspeita.
Por exemplo:
O conteúdo deste artigo destina-se à sua equipe de segurança .
Pré-requisitos
Antes de começar a usar o log sap – auditoria de segurança e a pasta de trabalho acesso inicial, você deve ter:
Uma Solução do Microsoft Sentinel para SAP instalada e um conector de dados configurado. Para obter mais informações, consulte Implantar uma solução do Microsoft Sentinel para aplicativos SAP.
O log sap – auditoria de segurança e a pasta de trabalho acesso inicial instalados no workspace do Log Analytics habilitado para o Microsoft Sentinel. Para obter mais informações, consulte Visualizar e monitorar seus dados usando pastas de trabalho no Microsoft Sentinel.
Importante
O log sap – auditoria de segurança e a pasta de trabalho acesso inicial são hospedados pelo workspace em que a solução do Microsoft Sentinel para aplicativos SAP foram instalados. Por padrão, os dados SAP e SOC são considerados no workspace que hospeda a pasta de trabalho.
Se os dados SOC estiverem em um workspace diferente do workspace que hospeda a pasta de trabalho, inclua a assinatura desse workspace e selecione o workspace SOC no workspace de auditoria e atividade do Azure.
Pelo menos um incidente em seu workspace do
SecurityIncidentMicrosoft Sentinel, com pelo menos uma entrada disponível na tabela. Isso não precisa ser um incidente SAP e você pode gerar um incidente de demonstração usando uma regra de análise básica se não tiver outro.Se os dados do Microsoft Entra estiverem em um workspace diferente do Log Analytics, selecione as assinaturas e workspaces relevantes na parte superior da pasta de trabalho, em auditoria e atividades do Azure.
Recomendamos que você configure a auditoria para todas as mensagens do log de auditoria, em vez de apenas logs específicos. As diferenças no custo de ingestão são geralmente mínimas e os dados são úteis para detecções do Microsoft Sentinel e em investigações e buscas pós-comprometimento. Para obter mais informações, consulte Configurar a auditoria do SAP.
Filtros com suporte
O log sap – auditoria de segurança e a pasta de trabalho acesso inicial dão suporte aos seguintes filtros para ajudá-lo a se concentrar nos dados necessários:
- Intervalo de tempo. De quatro a 90 dias.
- Funções do sistema. As funções do sistema SAP, por exemplo: Desenvolvimento.
- Uso do sistema. Por exemplo, SAP GTS.
- Sistemas SAP. Você pode selecionar todos os sistemas, um sistema específico ou selecionar vários sistemas.
Se você selecionar sistemas que não estão configurados na watchlist de sistemas SAP, a pasta de trabalho mostrará um erro, especificando os sistemas com problemas. Nesse caso, configure a watchlist para incluir corretamente esses sistemas.
Dados do relatório de análise de logon
A guia relatório de análise de logon no log sap – Auditoria de Segurança e pasta de trabalho de Acesso Inicial mostra dados sobre falhas de entrada, como dados anômalos, dados do Microsoft Entra e muito mais.
Os dados são baseados na lista de observação de sistemas SAP.
A guia relatório de análise de logon inclui as seguintes áreas:
Análise de logon
A área de análise de logon mostra as entradas do usuário. Por exemplo:
A tabela a seguir descreve cada métrica na área de análise de logon :
| Área | Descrição |
|---|---|
| Logons de usuário exclusivos por sistema | Mostra o número de entradas exclusivas para cada sistema SAP e um gráfico com as tendências de entrada durante o tempo selecionado para cada sistema. Por exemplo: o sistema 012 tem tentativas de logon exclusivas de 1,4 K nos últimos 14 dias e, nesses 14 dias, o grafo mostra uma tendência de entrada relativamente crescente. |
| Tendência de tipos de logon | Mostra uma tendência do número de entradas de acordo com o tipo, por exemplo, logon via caixa de diálogo. Passe o mouse sobre o gráfico para mostrar o número de logons para datas diferentes. |
| Falhas de logon versus sucesso por usuários exclusivos – tendência | Mostra uma tendência de entradas bem-sucedidas e com falha no período selecionado. Passe o mouse sobre o gráfico para mostrar a quantidade de entradas bem-sucedidas e com falha em diferentes datas. |
Falhas de logon – Detecção de anomalias
As áreas em detecção de anomalias – filtrando tentativas de logon com falha barulhenta mostram dados de falha de logon para sistemas SAP e usuários. Para ver apenas os dados sinalizados, selecione Anômalo apenas ao lado de logons com falha à direita.
Para obter mais informações, consulte Monitorar o log de auditoria do SAP.
Por exemplo:
A tabela a seguir descreve cada métrica na área de detecção de anomalias :
| Área | Descrição |
|---|---|
| Taxa de falha de logon>Anomalias> de falha de logonLogons de usuário exclusivo com falha por sistema SAP | Mostra o número de entradas com falha exclusivas para cada sistema SAP. |
| SAP e Active Directory são melhores juntos | A tabela de falhas de logon anômalas mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra, listando usuários de acordo com o risco, com os usuários mais arriscados na parte superior. Para cada usuário, a tabela mostra: - Uma linha do tempo de tentativas de login com falha - Uma linha do tempo mostrando em que ponto ocorreu uma tentativa anômala fracassada - O tipo de anomalia - O endereço de e-mail do usuário - O indicador de risco do Microsoft Entra - O número de incidentes e alertas no Microsoft Sentinel Selecione a linha de um usuário para ver uma lista de alertas e incidentes relacionados. Os eventos de risco do Microsoft Entra são listados nos riscos de auditoria e de entrada do Azure para o usuário. |
| Taxa de falha de logon por sistema | Mostra os sistemas SAP selecionados, agrupados por tipo, com o número de falhas no período selecionado. A cor do sistema indica o número de tentativas com falha: verde para algumas tentativas de entrada suspeitas e vermelho para mais. Selecione um sistema para ver uma lista de entradas com falha, com detalhes sobre as falhas. |
Na captura de tela a seguir, observe os dados mostrados quando a primeira linha é selecionada na tabela falhas de logon anômalas . Os alertas específicos e as URLs de incidente são mostrados na visão geral de Incidentes/alertas para a tabela do usuário .
Na captura de tela a seguir, os riscos de auditoria e de entrada do Azure para a tabela de usuários mostram dados para o risco de entrada relacionado a esse usuário.
Na captura de tela a seguir, observe a taxa de falha de logon por área do sistema, em que o sistema 84e no grupo De teste está selecionado. Os logons com falha para a área do sistema à direita mostram eventos de falha para esse sistema.
Falhas de logon – Tendências
A área de tendências de falhas de logon mostra as tendências e o número de entradas com falha, agrupadas por diferentes tipos de dados. Por exemplo:
A tabela a seguir descreve cada métrica na área de tendências de falhas de logon :
| Área | Descrição |
|---|---|
| Falha de logon por causa | Mostra a tendência do número de falhas de entrada de acordo com a causa da falha, como dados de entrada incorretos. |
| Falha de logon por tipo | Mostra a tendência do número de falhas de entrada de acordo com o tipo, como a entrada disparada em um trabalho em segundo plano ou a entrada foi via HTTP. |
| Falha de logon por método | Mostra a tendência do número de falhas de entrada de acordo com o método, como SNC ou um tíquete de entrada. |
Guia Relatório de alertas de log de auditoria
A guia Alertas de log de auditoria mostra dados sobre os eventos de log de auditoria do SAP que a solução do Microsoft Sentinel para aplicativos SAP observa. Os dados são baseados na SAP_Dynamic_Audit_Log_Monitor_Configuration watchlist.
A guia Alertas de log de auditoria mostra as tendências de severidade e auditoria para cada usuário e sistema SAP. Todas as áreas desta guia mostram dados sinalizados apenas pela detecção de anomalias. Para todos os eventos, selecione Todos ao lado delogons com falha à direita.
Para obter mais informações, consulte Monitorar o log de auditoria do SAP.
Por exemplo:
A tabela a seguir descreve cada métrica na guia Alertas do log de auditoria :
| Área | Descrição |
|---|---|
| Tendências de severidade de alerta por ID do sistema | Mostra uma lista de sistemas, com um grafo de tendências de eventos de gravidade média e alta por sistema. Por exemplo, o sistema 012 teve muitos eventos de alta gravidade durante todo o período e alguns eventos de gravidade média , com um pico que mostra mais eventos de gravidade média no meio do período. |
| Tendência de auditoria por usuário | Mostra uma combinação de dados do Microsoft Sentinel e do Microsoft Entra, listando os usuários de acordo com o risco, com os usuários mais arriscados na parte superior. Para cada usuário, a pasta de trabalho mostra os seguintes dados: - Uma linha do tempo de eventos de severidade alta e média - O endereço de e-mail do usuário - O indicador de risco do Microsoft Entra - O número de incidentes e alertas no Microsoft Sentinel Selecione uma linha para ver uma lista de alertas e incidentes para esse usuário na visão geral de Incidentes/alertas para o usuário. Exiba eventos de risco do Microsoft Entra sob os riscos de auditoria e de entrada do Azure para o usuário. |
| Pontuação de risco por sistema | Representa visualmente cada sistema em forma de célula, mostrando a pontuação de risco para cada sistema e agrupando sistemas por tipo. A cor do sistema indica a pontuação de risco do sistema: verde para uma pontuação de risco mais baixa e vermelho para uma pontuação de risco mais alta. Selecione um sistema para ver uma lista de eventos SAP por sistema. |
| Eventos por táticas MITRE ATT&CK | Mostra uma lista de eventos SAP agrupados por táticas MITRE ATT&CK, como Acesso Inicial ou Evasão de Defesa. Passe o mouse sobre o gráfico para mostrar o número de entradas para datas diferentes. |
| Eventos por categoria | Mostra uma lista de tendências de eventos SAP agrupadas por categoria, como RfC Start ou Logon. Passe o mouse sobre o gráfico para mostrar o número de entrada para datas diferentes. |
| Eventos por grupo de autorização | Mostra uma lista de tendências de eventos SAP agrupadas pelo grupo de autorização sap, como USER ou SUPER. Passe o mouse sobre o gráfico para mostrar o número de entradas para datas diferentes. |
| Eventos por tipo de usuário | Mostra uma lista de tendências de eventos SAP agrupadas pelo tipo de usuário SAP, como Caixa de Diálogo ou Sistema. Passe o mouse sobre o gráfico para mostrar o número de entradas para datas diferentes. |
Na captura de tela a seguir, observe os dados mostrados quando a primeira linha é selecionada nas tendências de auditoria por tabela de usuário . Os alertas específicos e as URLs de incidente são mostrados na visão geral de Incidentes/alertas para a tabela do usuário .
Na captura de tela a seguir, observe a pontuação de risco por área do sistema, em que o sistema cb7 no grupo UAT está selecionado. Os eventos SAP para a área do sistema abaixo da visualização do sistema mostram o evento SAP para esse sistema.
Na captura de tela a seguir, observe as áreas com eventos e tendências de eventos agrupadas por diferentes tipos de dados: táticas MITRE ATT&CK, grupo de autorização SAP e tipo de usuário.
Conteúdo relacionado
Para obter mais informações, consulte Implantar a solução do Microsoft Sentinel para aplicativos SAP do hub de conteúdo e da solução do Microsoft Sentinel para aplicativos SAP: referência de conteúdo de segurança.