Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo detalha o conteúdo de segurança disponível para a Solução do Microsoft Sentinel para SAP BTP.
O conteúdo de segurança disponível inclui uma pasta de trabalho integrada e regras de análise. Adicione watchlists relacionadas ao SAP para usar em sua pesquisa, regras de detecção, busca de ameaças e guias estratégicos de resposta.
Pasta de trabalho do SAP BTP
A pasta de trabalho de atividade BTP fornece uma visão geral do painel da atividade BTP.
A guia Visão geral mostra:
- Uma visão geral das subcontas BTP, ajudando os analistas a identificar as contas mais ativas e o tipo de dados ingeridos.
- Subconta da atividade de entrada, ajudando os analistas a identificar picos e tendências que podem estar associados a falhas de entrada no SAP Business Application Studio (BAS).
- Linha do tempo da atividade do BTP e número de alertas de segurança do BTP, ajudando os analistas a pesquisar qualquer correlação entre os dois.
A guia Gerenciamento de Identidades mostra uma grade de eventos de gerenciamento de identidade, como alterações de função de segurança e de usuário, em um formato legível por humanos. A barra de pesquisa permite que você encontre rapidamente alterações específicas.
Para obter mais informações, consulte Tutorial: Visualizar e monitorar seus dados e Implantar a Solução do Microsoft Sentinel para SAP BTP.
Regras de análise integradas
Essas regras de análise detectam atividades suspeitas usando logs de auditoria do SAP BTP. As regras são organizadas pelo serviço SAP ou área do produto. Para obter mais informações, consulte a documentação oficial da SAP sobre eventos de segurança registrados pelo Cloud Foundry Services no SAP BTP.
Fontes de dados: SAPBTPAuditLog_CL
Integração do SAP Cloud – Integration Suite
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| BTP – Violação da política de acesso à Integração de Nuvem | Detecta a modificação não autorizada das políticas de acesso que podem permitir que os invasores obtenham acesso a artefatos de integração confidenciais ou evitem controles de segurança. | Crie, altere ou exclua políticas de acesso ou referências de artefato na Integração de Nuvem do SAP. | Evasão de defesa, escalonamento de privilégios |
| BTP – Implantação de artefatos da Integração de Nuvem | Detecta a implantação de fluxos de integração potencialmente mal-intencionados que podem ser usados para exfiltração de dados, persistência ou execução de código não autorizado no ambiente de integração. | Implante ou desinstale artefatos de integração no SAP Cloud Integration. | Execução, persistência |
| BTP – Alterações na fonte de dados JDBC de integração de nuvem | Detecta a manipulação de conexões de banco de dados que podem habilitar o acesso não autorizado a sistemas de back-end ou roubo de credenciais de cadeias de conexão armazenadas. | Implantar ou desaplantar fontes de dados JDBC na Integração de Nuvem do SAP. | Acesso à credencial, movimento lateral |
| BTP – Importação ou transporte do pacote de Integração na Nuvem | Detecta importações de pacote potencialmente mal-intencionadas que podem introduzir backdoors, comprometimentos da cadeia de suprimentos ou código não autorizado no ambiente de integração. | Importar ou transportar pacotes/artefatos de integração no SAP Cloud Integration. | Acesso Inicial, Persistência |
| BTP – Integração de nuvem adulterando o material de segurança | Detecta o acesso não autorizado a credenciais, certificados e chaves de criptografia que podem permitir que invasores comprometam sistemas externos ou interceptem comunicações criptografadas. | Criar, atualizar ou excluir credenciais, certificados X.509 ou chaves PGP no SAP Cloud Integration. | Acesso a credenciais, evasão de defesa |
Sap Cloud Identity Service – Autenticação de Identidade
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| BTP – Monitor de configuração de aplicativo do Serviço de Identidade de Nuvem | Detecta a criação ou modificação de aplicativos federados (SAML/OIDC) que podem permitir que os invasores estabeleçam o acesso persistente ao backdoor por meio de configurações de SSO não autorizadas. | Crie, atualize ou exclua configurações do provedor de domínio/serviço do SSO no SAP Cloud Identity Service. | Acesso de credencial, elevação de privilégio |
| BTP – Exclusão de usuário em massa no Serviço de Identidade na Nuvem | Detecta a exclusão de conta de usuário em larga escala que pode indicar um ataque destrutivo, tentativa de acobertamento de atividade não autorizada ou negação de serviço contra usuários legítimos. Limite padrão: 10 |
Excluir a contagem de contas de usuário acima do limite definido no SAP Cloud Identity Service. | Impacto |
| BTP – Usuário adicionado à lista de Administradores privilegiados | Detecta o escalonamento de privilégios por meio da atribuição de permissões avançadas de gerenciamento de identidade que podem permitir que os invasores criem contas de backdoor ou modifiquem controles de autenticação. | Conceda permissões de administrador privilegiado a um usuário no SAP Cloud Identity Service. | Movimento lateral, elevação de privilégio |
SAP Business Application Studio (BAS)
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| BTP: tentativas de acesso com falha em várias subcontas do BAS | Detecta a atividade de reconhecimento ou ataques de spray de credencial direcionados a ambientes de desenvolvimento em várias subcontações, indicando uma possível preparação para um comprometimento mais amplo. Limite padrão: 3 |
Execute tentativas de entrada com falha no BAS acima do número limite definido de subcontas. | Descoberta, reconhecimento |
| BTP: malware detectado no espaço de desenvolvimento do BAS | Detecta código mal-intencionado em workspaces de desenvolvimento que podem ser usados para comprometer a cadeia de fornecimento de software, injetar backdoors em aplicativos ou estabelecer persistência no ambiente de desenvolvimento. | Copie ou crie um arquivo de malware em um espaço de desenvolvedor de BAS. | Execução, persistência, desenvolvimento de recursos |
Zona de trabalho de build do SAP
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| BTP – Criar acesso não autorizado e violação de função da Zona de Trabalho | Detecta tentativas de acessar recursos restritos do portal ou exclusão em massa de controles de acesso que podem indicar um invasor removendo limites de segurança ou cobrindo faixas após atividade não autorizada. | Detectar acesso de serviço OData não autorizado ou exclusão em massa de funções/usuários na Zona de Trabalho de Build do SAP. | Acesso inicial, persistência, evasão de defesa |
Plataforma e subcontações do SAP BTP
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| BTP – Serviço de log de auditoria indisponível | Detecta possíveis violações no log de auditoria que podem indicar um invasor tentando operar sem detecção desabilitando o monitoramento de segurança ou ocultando atividades mal-intencionadas. | A subcontagem falha ao relatar logs de auditoria que excedem o limite configurado (padrão: 60 minutos). | Evasão de defesa |
| BTP - exclusão de usuário em massa em uma subconta | Detecta a exclusão de usuário em larga escala que pode indicar um ataque destrutivo, uma tentativa de sabotagem ou um esforço para interromper as operações de negócios removendo o acesso do usuário. Limite padrão: 10 |
Excluir a contagem de contas de usuário acima do limite definido. | Impacto |
| BTP: monitor do Provedor de Identidade de Confiança e Autorização | Detecta modificações nas configurações de federação e autenticação que podem permitir que os invasores estabeleçam caminhos de autenticação alternativos, ignorem controles de segurança ou obtenham acesso não autorizado por meio da manipulação do provedor de identidade. | Altere, leia, atualize ou exclua qualquer uma das configurações do provedor de identidade em uma subconta. | Acesso de credencial, elevação de privilégio |
| BTP: usuário adicionado à coleção de funções privilegiadas confidenciais | Detecta tentativas de escalonamento de privilégios por meio da atribuição de funções administrativas poderosas que poderiam habilitar o controle total sobre subcontagens, conectividade e configurações de segurança. | Atribua uma das seguintes coleções de funções a um usuário: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Movimento lateral, elevação de privilégio |
Próximas etapas
Neste artigo, você aprendeu sobre o conteúdo de segurança fornecido com a Solução do Microsoft Sentinel para SAP BTP.