Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo detalha o conteúdo de segurança disponível para as soluções do Microsoft Sentinel para SAP.
Importante
Os elementos observados descritos neste artigo estão em Versão Prévia. Os Termos Complementares de Visualização do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em beta, versão prévia ou ainda não liberados em disponibilidade geral.
O conteúdo de segurança disponível inclui uma lista de pastas de trabalho e regras de análise integradas. Você também pode adicionar watchlists relacionados ao SAP para usar em seus guias estratégicos de pesquisa, detecção, busca de ameaças e resposta.
O conteúdo deste artigo destina-se à sua equipe de segurança .
Pastas de trabalho internas
Use as seguintes pasta de trabalho internas para visualizar e monitorar dados ingeridos por meio do conector de dados SAP. Depois de implantar a solução SAP, você pode encontrar pastas de trabalho SAP na guia Modelos .
| Nome da pasta de trabalho | Descrição | Registros |
|---|---|---|
| SAP – Auditar o Navegador de Logs | Exibe dados como: - Integridade geral do sistema, incluindo entradas de usuário ao longo do tempo, eventos ingeridos pelo sistema, classes e IDs de mensagens e programas ABAP executados -Gravidade dos eventos que ocorrem em seu sistema - Eventos de autenticação e autorização que ocorrem em seu sistema |
Usa os dados do seguinte log: ABAPAuditLog_CL |
| Controles de auditoria sap | Ajuda a verificar os controles de segurança do ambiente SAP quanto à conformidade com a estrutura de controle escolhida, usando ferramentas para fazer o seguinte: - Atribua regras de análise em seu ambiente a controles de segurança específicos e famílias de controle - Monitorar e categorizar os incidentes gerados pelas regras de análise baseadas em soluções SAP - Relate sua conformidade |
Usa dados das seguintes tabelas: - SecurityAlert- SecurityIncident |
Para obter mais informações, consulte Tutorial: Visualizar e monitorar seus dados e implantar a solução do Microsoft Sentinel para aplicativos SAP.
Regras de análise integradas
Esta seção descreve uma seleção de regras de análise internas fornecidas junto com a solução do Microsoft Sentinel para aplicativos SAP. Para obter as atualizações mais recentes, verifique o hub de conteúdo do Microsoft Sentinel para regras novas e atualizadas.
Monitorar a configuração de parâmetros de segurança estáticos do SAP (versão prévia)
Para proteger o sistema SAP, o SAP identificou parâmetros relacionados à segurança que precisam ser monitorados quanto a alterações. Com a regra "SAP – (Versão Prévia) Parâmetro Estático Confidencial foi alterada", a solução do Microsoft Sentinel para aplicativos SAP controla mais de 52 parâmetros estáticos relacionados à segurança no sistema SAP, que são integrados ao Microsoft Sentinel.
Observação
Para que a solução do Microsoft Sentinel para aplicativos SAP monitore com êxito os parâmetros de segurança do SAP, a solução precisa monitorar com êxito a tabela SAP PAHI em intervalos regulares. Para obter mais informações, consulte Verificar se a tabela PAHI é atualizada em intervalos regulares.
Para entender as alterações de parâmetro no sistema, a solução do Microsoft Sentinel para aplicativos SAP usa a tabela de histórico de parâmetros, que registra as alterações feitas nos parâmetros do sistema a cada hora.
Os parâmetros também são refletidos na watchlist SAPSystemParameters. Essa lista de observação permite que os usuários adicionem novos parâmetros, desativem os parâmetros existentes e modifiquem os valores e as gravidades por parâmetro e função do sistema em ambientes de produção ou não produção.
Quando uma alteração é feita em um desses parâmetros, o Microsoft Sentinel verifica se a alteração é relacionada à segurança e se o valor está definido de acordo com os valores recomendados. Se houver uma suspeita de que a alteração ocorreu fora da zona segura, o Microsoft Sentinel criará um incidente detalhando a alteração e identificará quem fez a alteração.
Examine a lista de parâmetros que essa regra monitora.
Monitorar o log de auditoria do SAP
Muitas das regras de análise na solução do Microsoft Sentinel para aplicativos SAP usam dados de log de auditoria do SAP. Algumas regras de análise procuram eventos específicos no log, enquanto outras correlacionam indicações de vários logs para criar alertas e incidentes de alta fidelidade.
Use as seguintes regras de análise para monitorar todos os eventos de log de auditoria em seu sistema SAP ou acionar alertas somente quando forem detectadas anomalias:
| Nome da regra | Descrição |
|---|---|
| SAP – Configuração ausente no Monitor de Log de Auditoria de Segurança Dinâmica | Por padrão, é executado diariamente para fornecer recomendações de configuração para o módulo de log de auditoria do SAP. Use o modelo de regra para criar e personalizar uma regra para seu espaço de trabalho. |
| SAP – Monitor de Log de Auditoria Determinística Dinâmica (VERSÃO PRÉVIA) | Por padrão, é executado a cada 10 minutos e se concentra nos eventos de log de auditoria sap marcados como determinísticos. Use o modelo de regra para criar e personalizar uma regra para seu espaço de trabalho, como para uma taxa de falsos positivos mais baixa. Essa regra requer limites de alerta determinísticos e regras de exclusão de usuário. |
| SAP – Alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas (VERSÃO PRÉVIA) | Por padrão, é executado por hora e se concentra em eventos SAP marcados como AnomaliesOnly, alertando sobre eventos de log de auditoria sap quando anomalias são detectadas. Essa regra aplica algoritmos extras de aprendizado de máquina para filtrar o ruído de fundo de maneira não supervisionada. |
Por padrão, a maioria dos tipos de eventos ou IDs de mensagens SAP no log de auditoria do SAP são enviados para a regra de análise de alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas (PREVIEW) baseada em anomalias , enquanto os tipos de evento mais fáceis de definir são enviados para a regra de análise determinística do Monitor de Log de Auditoria Determinística Dinâmica (PREVIEW ). Essa definição, juntamente com outras configurações relacionadas, pode ser configurada ainda mais para atender a condições do sistema.
As regras de monitoramento de log de auditoria sap são entregues como parte do conteúdo de segurança da solução do Microsoft Sentinel para SAP e permitem ajustes mais finos usando as SAP_Dynamic_Audit_Log_Monitor_Configuration e SAP_User_Config watchlists.
Por exemplo, a tabela a seguir lista vários exemplos de como você pode usar a watchlist SAP_Dynamic_Audit_Log_Monitor_Configuration para configurar os tipos de eventos que produzem incidentes, reduzindo o número de incidentes gerados.
| Opção | Descrição |
|---|---|
| Definir severidades e desabilitar eventos indesejados | Por padrão, as regras determinísticas e as regras baseadas em anomalias criam alertas para eventos marcados com severidades médias e altas. Talvez você queira configurar as gravidades separadamente para ambientes de produção e não produção. Por exemplo, você pode definir um evento de atividade de depuração como alta gravidade em sistemas de produção e desativar os mesmos eventos inteiramente em sistemas de não produção. |
| Excluir usuários por suas funções SAP ou perfis SAP | O Microsoft Sentinel para SAP ingere o perfil de autorização do usuário SAP, incluindo atribuições de função diretas e indiretas, grupos e perfis, para que você possa falar o idioma SAP em seu SIEM. Talvez você queira configurar um evento SAP para excluir usuários com base em suas funções e perfis SAP. Na watchlist, adicione as funções ou perfis que agrupam os usuários da interface RFC na coluna RolesTagsToExclude , ao lado do acesso genérico à tabela por evento RFC . Essa configuração dispara alertas apenas para usuários que não têm essas funções. |
| Excluir usuários por suas marcas SOC | Use tags para criar seu próprio agrupamento, sem depender de definições complicadas do SAP ou mesmo sem autorização do SAP. Esse método é útil para equipes SOC que desejam criar seu próprio agrupamento para usuários SAP. Por exemplo, se você não quiser que contas de serviço específicas sejam alertadas para acesso genérico à tabela por eventos RFC , mas não encontrar uma função SAP ou um perfil SAP que agrupa esses usuários, use marcas da seguinte maneira: 1. Adicione a marca GenTableRFCReadOK ao lado do evento relevante na lista de observação. 2. Vá para a SAP_User_Config watchlist e atribua aos usuários da interface a mesma marca. |
| Especificar um limite de frequência por tipo de evento e função do sistema | Funciona como um limite de velocidade. Por exemplo, você pode configurar eventos de Alteração de Registro Mestre do Usuário para disparar apenas alertas se mais de 12 atividades forem observadas em uma hora, pelo mesmo usuário em um sistema de produção. Se um usuário exceder o limite de 12 por hora, por exemplo, dois eventos em uma janela de 10 minutos, um incidente será disparado. |
| Determinismo ou anomalias | Se você conhece as características do evento, use os recursos determinísticos. Se você não tiver certeza de como configurar corretamente o evento, permita que os recursos de aprendizado de máquina decidam iniciar e, em seguida, faça atualizações subsequentes conforme necessário. |
| Funcionalidades do SOAR | Use o Microsoft Sentinel para orquestrar, automatizar e responder ainda mais a incidentes criados por alertas dinâmicos do log de auditoria do SAP. Para obter mais informações, consulte Automação no Microsoft Sentinel: Orquestração de segurança, automação e resposta (SOAR). |
Para obter mais informações, consulte as watchlists disponíveis e o Microsoft Sentinel para SAP News – recurso dinâmico do Monitor de Log de Auditoria de Segurança do SAP disponível agora! (blog).
Acesso inicial
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Logon da rede inesperada | Identifica um logon a partir de uma rede inesperada. Manter redes na lista de observação SAP – Redes . |
Entre no sistema de back-end de um endereço IP que não esteja atribuído a uma das redes. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial |
| SAP – Ataque de SPNego | Identifica o ataque de reprodução de SPNego. | Fontes de dados: SAPcon – Log de Auditoria | Impacto, movimento lateral |
| SAP – Tentativa de logon de caixa de diálogo de um usuário privilegiado | Identifica tentativas de entrada de caixa de diálogo, com o tipo AUM , por usuários privilegiados em um sistema SAP. Para obter mais informações, consulte o SAPUsersGetPrivileged. | Tentativa de entrar a partir do mesmo IP em vários sistemas ou clientes dentro do intervalo de tempo agendado Fontes de dados: SAPcon – Log de Auditoria |
Impacto, movimento lateral |
| SAP – Ataques de força bruta | Identifica ataques de força bruta no sistema SAP usando logons RFC | Tente entrar do mesmo IP em vários sistemas/clientes dentro do intervalo de tempo agendado usando RFC Fontes de dados: SAPcon – Log de Auditoria |
Acesso com credencial |
| SAP – vários logons por IP | Identifica a entrada de vários usuários do mesmo endereço IP em um intervalo de tempo agendado. Caso de subutilização: persistência |
Entra usando vários usuários a partir do mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial |
|
SAP – Vários logons por usuário Com suporte apenas para o agente do conector de dados. Não há suporte para o conector de dados sem agente do SAP (versão prévia). |
Identifica entradas do mesmo usuário de vários terminais dentro do intervalo de tempo agendado. Disponível somente por meio do método Audit SAL, para as versões 7.5 e superiores do SAP. |
Entra usando o mesmo usuário e endereços IP diferentes. Fontes de dados: SAPcon – Log de Auditoria |
Pré-ataque, Acesso a Credenciais, Acesso Inicial, Coleta Caso de subutilização: persistência |
| SAP – Informativo – Ciclo de vida – Notas sap foram implementadas no sistema | Identifica a implementação de Nota do SAP no sistema. | Implementar uma Nota do SAP usando SNOTE/TCI. Fontes de dados: SAPcon – Solicitações de alteração |
- |
| SAP – (versão prévia) COMO JAVA – Usuário privilegiado confidencial conectado | Identifica um logon a partir de uma rede inesperada. Manter usuários privilegiados na lista de observação SAP – Usuários Privilegiados . |
Entre no sistema de back-end usando usuários privilegiados. Fontes de dados: SAPJAVAFilesLog |
Acesso inicial |
| SAP – (Versão prévia) COMO JAVA – Sign-In da Rede Inesperada | Identifica entradas de uma rede inesperada. Manter usuários privilegiados na lista de observação SAP – Redes . |
Entre no sistema de back-end de um endereço IP que não esteja atribuído a uma das redes na lista de controle SAP - Redes Fontes de dados: SAPJAVAFilesLog |
Acesso inicial, evasão de defesa |
Exfiltração dos dados
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – FTP para servidores não autorizados | Identifica uma conexão FTP para um servidor não autorizado. | Cria uma nova conexão FTP, usando, por exemplo, o módulo de função FTP_CONNECT. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, acesso inicial, comando e controle |
| SAP – Configuração de servidores FTP inseguros | Identifica configurações de servidores FTP não seguros, como quando uma lista de permissões de FTP está vazia ou contém espaços reservados. | Não mantenha ou mantenha valores que contenham espaços reservados na tabela, usando a SAPFTP_SERVERS exibição de SAPFTP_SERVERS_V manutenção. (SM30) Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial, comando e controle |
| SAP – Download de vários arquivos | Identifica downloads de vários arquivo por um usuário em um intervalo de tempo específico. | Baixa vários arquivos usando o SAPGui para o Excel, listas e outros. Fontes de dados: SAPcon – Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Várias execuções de Spool | Identifica spools múltiplos por um usuário em um intervalo de tempo específico. | Cria e executa vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon – Log do Spool, SAPcon – Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Várias execuções de saída de spool | Identifica spools múltiplos por um usuário em um intervalo de tempo específico. | Cria e executa vários trabalhos de spool de qualquer tipo por um usuário. (SP01) Fontes de dados: SAPcon – Log de Saída do Spool, SAPcon – Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Acesso direto a tabelas confidenciais por logon RFC | Identifica um acesso a tabela genérica por entrada via RFC. Manter tabelas na lista de observação SAP – Tabelas Confidenciais . Relevante apenas para sistemas de produção. |
Abre o conteúdo da tabela usando SE11/SE16/SE16N. Fontes de dados: SAPcon – Log de Auditoria |
Coleta, vazamento, acesso de credenciais |
| SAP – Aquisição de Spool | Identifica um usuário que esteja imprimindo uma solicitação de spool criada por outra pessoa. | Cria uma solicitação de spool usando um usuário e, em seguida, dá saída usando um usuário diferente. Fontes de dados: SAPcon – Log do Spool, SAPcon – Log de Saída do Spool, SAPcon – Log de Auditoria |
Coleção, exflitração, comando e controle |
| SAP – Destino rfc dinâmico | Identifica a execução do RFC usando destinos dinâmicos. Caso de subutilização: tentativas de ignorar mecanismos de segurança do SAP |
Executa um relatório ABAP que usa destinos dinâmicos (cl_dynamic_destination). Por exemplo, DEMO_RFC_DYNAMIC_DEST. Fontes de dados: SAPcon – Log de Auditoria |
Coleção, exfiltração |
| SAP – Acesso direto a tabelas confidenciais por logon de caixa de diálogo | Identifica o acesso genérico a tabelas após entrada por caixa de diálogo. | Abre o conteúdo da tabela usando SE11/SE16/SE16N. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta |
| ARQUIVO SAP – (versão prévia) baixado de um endereço IP mal-intencionado | Identifica o download de um arquivo de um sistema SAP usando um endereço IP conhecido como mal-intencionado. Endereços IP mal-intencionados são obtidos dos serviços de inteligência contra ameaças. | Baixe um arquivo de um IP mal-intencionado. Fontes de dados: log de auditoria de segurança do SAP, Inteligência contra Ameaças |
Exfiltração |
| SAP – (Versão prévia) Dados exportados de um sistema de produção usando um transporte | Identifica a exportação de dados de um sistema de produção usando um transporte. Transportes são usados em sistemas de desenvolvimento e são semelhantes às solicitações de pull. Essa regra de alerta dispara incidentes com severidade média quando um transporte que inclui dados de qualquer tabela é liberado de um sistema de produção. A regra cria um incidente de alta severidade quando a exportação inclui dados de uma tabela confidencial. | Libere um transporte de um sistema de produção. Fontes de dados: log sap cr, SAP - Tabelas confidenciais |
Exfiltração |
| SAP – (versão prévia) Dados confidenciais salvos em uma unidade USB | Identifica a exportação de dados SAP por meio de arquivos. A regra verifica se há dados salvos em uma unidade USB montada recentemente em proximidade a uma execução de uma transação confidencial, um programa confidencial ou acesso direto a uma tabela confidencial. | Exporte dados SAP por meio de arquivos e salve em uma unidade USB. Fontes de dados: Log de Auditoria de Segurança do SAP, DeviceFileEvents (Microsoft Defender para Ponto de Extremidade), SAP - Tabelas Confidenciais, SAP - Transações Confidenciais, SAP - Programas Confidenciais |
Exfiltração |
| SAP – (versão prévia) Impressão de dados potencialmente confidenciais | Identifica uma solicitação ou impressão real de dados potencialmente confidenciais. Os dados serão considerados confidenciais se o usuário obtiver os dados como parte de uma transação confidencial, execução de um programa confidencial ou acesso direto a uma tabela confidencial. | Imprima ou solicite a impressão de dados confidenciais. Fontes de dados: Log de Auditoria de Segurança do SAP, logs do SAP Spool, SAP - Tabelas Confidenciais, SAP - Programas Confidenciais |
Exfiltração |
| SAP – (versão prévia) alto volume de dados potencialmente confidenciais exportados | Identifica a exportação de um alto volume de dados por meio de arquivos em proximidade a uma execução de uma transação confidencial, um programa confidencial ou acesso direto a uma tabela confidencial. | Exporte um grande volume de dados por meio de arquivos. Fontes de dados: Log de Auditoria de Segurança do SAP, SAP - Tabelas Confidenciais, SAP - Transações Confidenciais, SAP - Programas Confidenciais |
Exfiltração |
Persistência
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Ativação ou desativação do serviço ICF | Identifica a ativação ou desativação de serviços ICF. | Ativa um serviço usando o SICF. Fontes de dados: SAPcon – Log de Dados da Tabela |
Comando e controle, movimento lateral, persistência |
| SAP – Módulo de função testado | Identifica o teste de um módulo de função. | Testa um módulo de função usando SE37 / SE80. Fontes de dados: SAPcon – Log de Auditoria |
Coleção, evasão de defesa, movimento lateral |
| SAP – (VERSÃO PRÉVIA) BD do HANA – Ações de administrador de usuário | Identifica ações de administração de usuários. | Cria, atualiza ou excluir um usuário do banco de dados. Fontes de dados: Agente do Linux – Syslog* |
Escalonamento de Privilégios |
| SAP – Novos manipuladores de serviço ICF | Identifica a criação de manipuladores ICF. | Atribui um novo manipulador a um serviço usando SICF. Fontes de dados: SAPcon – Log de Auditoria |
Comando e controle, movimento lateral, persistência |
| SAP – Novos Serviços do ICF | Identifica a criação de serviços ICF. | Cria um serviço usando o SICF. Fontes de dados: SAPcon – Log de Dados da Tabela |
Comando e controle, movimento lateral, persistência |
| SAP – Execução de um módulo de função obsoleto ou inseguro | Identifica a execução de um módulo de função ABAP obsoleto ou não seguro. Mantenha funções obsoletas na lista de observação SAP – Módulos de Função Obsoletos . Certifique-se de ativar as alterações de log de tabela para a EUFUNC tabela no back-end. (SE13)Relevante apenas para sistemas de produção. |
Executa um módulo de função obsoleto ou não seguro diretamente usando SE37. Fontes de dados: SAPcon – Log de Dados da Tabela |
Descoberta, comando e controle |
|
SAP – Execução de programa obsoleto/inseguro Com suporte apenas para o agente do conector de dados. Não há suporte para o conector de dados sem agente do SAP (versão prévia). |
Identifica a execução de um programa ABAP obsoleto ou não seguro. Mantenha programas obsoletos na lista de observação SAP – Programas Obsoletos . Relevante apenas para sistemas de produção. |
Executa um programa diretamente usando SE38/SA38/SE80 ou usando um trabalho em segundo plano. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, comando e controle |
| SAP – Várias alterações de senha | Identifica várias alterações de senha pelo usuário. | Alterar senha de usuário Fontes de dados: SAPcon – Log de Auditoria |
Acesso com credencial |
| SAP – (versão prévia) COMO JAVA – o usuário cria e usa o novo usuário | Identifica a criação ou manipulação de usuários por administradores no ambiente Java do SAP AS. | Entre no sistema de back-end usando usuários que você criou ou manipulou. Fontes de dados: SAPJAVAFilesLog |
Persistência |
Tentativas de ignorar os mecanismos de segurança do SAP
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Alteração de configuração do cliente | Identifica alterações na configuração do cliente, como a função do cliente ou o modo de gravação de alterações. | Executa alterações de configuração do cliente usando o SCC4 código de transação. Fontes de dados: SAPcon – Log de Auditoria |
Evasão de defesa, exfiltração, persistência |
| SAP – Os dados foram alterados durante a atividade de depuração | Identifica alterações de dados em execução durante uma atividade de depuração. Caso de subutilização: persistência |
1. Ativa Depuração ("/h"). 2. Seleciona um campo para alteração e atualiza o valor desse campo. Fontes de dados: SAPcon – Log de Auditoria |
Execução, movimento lateral |
| SAP – Desativação do Log de Auditoria de Segurança | Identifica a desativação do log de auditoria de segurança, | Desabilita o log de auditoria de segurança usando SM19/RSAU_CONFIG. Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, evasão de defesa, persistência |
| SAP – Execução de um programa ABAP confidencial | Identifica a execução direta de um programa ABAP confidencial. Manter programas ABAP na lista de observação SAP – Programas ABAP Confidenciais . |
Execute um programa diretamente usando SE38/SA38/SE80. Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, movimento lateral, execução |
| SAP – Execução de um código de transação confidencial | Identifica a execução de um código de transação confidencial. Manter códigos de transação na lista de observação SAP – Códigos de Transação Confidenciais . |
Executa um código de transação confidencial. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, execução |
| SAP – Execução do módulo de função confidencial | Identifica a execução de um módulo de função ABAP confidencial. Caso de subutilização: persistência Relevante apenas para sistemas de produção. Mantenha funções confidenciais na lista de observação SAP – Módulos de Função Confidenciais e ative as alterações de log de tabela no back-end da tabela EUFUNC. (SE13) |
Executa um módulo de função confidencial diretamente usando SE37. Fontes de dados: SAPcon – Log de Dados da Tabela |
Descoberta, comando e controle |
| SAP – (VERSÃO PRÉVIA) BD do HANA – Auditar alterações na política de trilha | Identifica as alterações nas políticas de trilha de auditoria do BD HANA. | Cria ou atualiza a política de auditoria existente nas definições de segurança. Fontes de dados: Agente do Linux – Syslog |
Movimento lateral, evasão de defesa, persistência |
| SAP – (VERSÃO PRÉVIA) BD do HANA – Desativação da Trilha de Auditoria | Identifica a desativação do log de auditoria do BD HANA. | Desativa o log de auditoria na definição de segurança do BD HANA. Fontes de dados: Agente do Linux – Syslog |
Persistência, movimento lateral, evasão de defesa |
| SAP – Execução remota não autorizada de um módulo de função confidencial | Detecta execuções não autorizadas de FMs confidenciais, comparando a atividade com o perfil de autorização do usuário, desconsiderando as autorizações recentemente alteradas. Manter módulos de função na lista de observação SAP – Módulos de Função Confidenciais . |
Testa um módulo de função usando o RFC. Fontes de dados: SAPcon – Log de Auditoria |
Execução, movimento lateral, descoberta |
| SAP – Alteração de configuração do sistema | Identifica alterações na configuração do sistema. | Adapta as opções de alteração do sistema ou a modificação do componente de software usando o código de transação SE06.Fontes de dados: SAPcon – Log de Auditoria |
Exfiltração, evasão de defesa, persistência |
| SAP – Atividades de depuração | Identifica todas as atividades relacionadas à depuração. Caso de subutilização: persistência |
Ativa a depuração ("/h") no sistema, depura um processo ativo, adiciona um ponto de interrupção ao código-fonte e assim por diante. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta |
| SAP – Alteração da configuração do log de auditoria de segurança | Identifica alterações na configuração do log de auditoria de segurança | Altera qualquer configuração de log de auditoria de segurança usando SM19/RSAU_CONFIG, como filtros, status, modo de gravação, entre outros. Fontes de dados: SAPcon – Log de Auditoria |
Persistência, exfiltração, evasão de defesa |
| SAP – A transação está desbloqueada | Identifica o desbloqueio de uma transação. | Desbloqueia um código de transação usando SM01/SM01_DEV/SM01_CUS. Fontes de dados: SAPcon – Log de Auditoria |
Persistência, execução |
| SAP – Programa ABAP Dinâmico | Identifica a execução de programação ABAP dinâmica. Por exemplo, quando o código ABAP for criado, alterado ou excluído dinamicamente. Manter códigos de transação excluídos na lista de observação SAP – Transações para Gerações ABAP . |
Cria um relatório ABAP que usa comandos de geração de programa ABAP, como INSERIR RELATÓRIO e, em seguida, executa o relatório. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, comando e controle, impacto |
Operações de privilégios suspeitas
| Nome da regra | Descrição | Ação de Origem | Táticas |
|---|---|---|---|
| SAP – Alteração em um usuário com privilégios confidenciais | Identifica alterações em usuários privilegiados confidenciais. Manter usuários privilegiados na lista de observação SAP – Usuários Privilegiados . |
Altera detalhes/autorizações de usuário usando SU01. Fontes de dados: SAPcon – Log de Auditoria |
Elevação de privilégio, acesso de credencial |
| SAP – (VERSÃO PRÉVIA) HANA DB -Assign Autorizações de Administrador | Identifica a atribuição de funções ou privilégios de administrador. | Atribui qualquer função ou privilégio de administrador a um usuário. Fontes de dados: Agente do Linux – Syslog |
Escalonamento de Privilégios |
| SAP – Usuário com privilégios confidenciais conectado | Identifica a caixa de diálogo de logon de um usuário com privilégios confidenciais. Manter usuários privilegiados na lista de observação SAP – Usuários Privilegiados . |
Entra no sistema de back-end usando SAP* ou outro usuário privilegiado. Fontes de dados: SAPcon – Log de Auditoria |
Acesso inicial, acesso de credencial |
| SAP – Usuário com privilégios confidenciais faz uma alteração em outro usuário | Identifica alterações de usuários privilegiados confidenciais em outros usuários. | Altera detalhes/autorizações de usuário usando SU01. Fontes de dados: SAPcon – Log de Auditoria |
Elevação de privilégio, acesso de credencial |
| SAP – Alteração e logon de senha de usuários confidenciais | Identifica as alterações de senha de usuários privilegiados. | Altera a senha de um usuário privilegiado e entra no sistema. Manter usuários privilegiados na lista de observação SAP – Usuários Privilegiados . Fontes de dados: SAPcon – Log de Auditoria |
Impacto, comando e controle, elevação de privilégio |
| SAP – O usuário cria e usa um novo usuário | Identifica um usuário que cria e utiliza outros usuários. Caso de subutilização: persistência |
Criar um usuário usando SU01 e, em seguida, fazer logon usando o usuário recém-criado e o mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria |
Descoberta, pré-ataque, acesso inicial |
| SAP – O usuário desbloqueia e usa outros usuários | Identifica um usuário que está sendo desbloqueado e usado por outros usuários. Caso de subutilização: persistência |
Cria um usuário usando SU01 e, em seguida, faz logon a partir do usuário recém-criado e do mesmo endereço IP. Fontes de dados: SAPcon – Log de Auditoria, SAPcon – Log de Documentos de Alteração |
Descoberta, Pré-Ataque, Acesso Inicial, Movimento Lateral |
| SAP – Atribuição de um perfil confidencial | Identifica novas atribuições de um perfil confidencial a um usuário. Mantenha perfis confidenciais na watchlist SAP – Perfis Confidenciais . |
Atribui um perfil a um usuário usando SU01. Fontes de dados: SAPcon – Alterar log de documentos |
Escalonamento de Privilégios |
| SAP – Atribuição de uma função sensível | Identifica novas atribuições de funções confidenciais a um usuário. Manter funções confidenciais na lista de observação SAP – Funções Confidenciais . |
Atribui uma função a um usuário utilizando SU01 / PFCG. Fontes de dados: SAPcon – Log de Documentos de Alteração, Log de Auditoria |
Escalonamento de Privilégios |
| SAP – (VERSÃO PRÉVIA) Atribuição de autorizações críticas – Novo Valor de Autorização | Identifica a atribuição de um valor de objeto de autorização crítica a um novo usuário. Mantenha objetos de autorização críticos na lista de observação SAP – Objetos de Autorização Crítica . |
Atribui um novo objeto de autorização ou atualiza um objeto existente em uma função usando PFCG. Fontes de dados: SAPcon – Alterar log de documentos |
Escalonamento de Privilégios |
| SAP – Atribuição de autorizações críticas – Nova Atribuição de Usuário | Identifica a atribuição de um valor de objeto de autorização crítica a um novo usuário. Mantenha objetos de autorização críticos na lista de observação SAP – Objetos de Autorização Crítica . |
Atribui um novo usuário a uma função que contém valores de autorização crítica usando SU01/PFCG. Fontes de dados: SAPcon – Alterar log de documentos |
Escalonamento de Privilégios |
| SAP – Alterações de funções confidenciais | Identifica alterações em funções confidenciais. Manter funções confidenciais na lista de observação SAP – Funções Confidenciais . |
Altera uma função usando PFCG. Fontes de dados: SAPcon – Log de Documentos de Alteração, SAPcon – Log de Auditoria |
Impacto, elevação de privilégio, persistência |
Watchlists disponíveis
A tabela a seguir lista as watchlists disponíveis para a solução do Microsoft Sentinel para aplicativos SAP e os campos em cada watchlist.
Essas watchlists fornecem a configuração para a solução do Microsoft Sentinel para aplicativos SAP. As watchlists do SAP estão disponíveis no repositório GitHub do Microsoft Sentinel.
| Nome da watchlist | Descrição e campos |
|---|---|
| SAP – Autorizações críticas | Objeto de autorizações críticas, que devem ter suas atribuições governadas. - AuthorizationObject: um objeto de autorização SAP, como S_DEVELOP, S_TCODEou Table TOBJ - AuthorizationField: um campo de autorização sap, como OBJTYP ou TCD - AuthorizationValue: um valor de campo de autorização sap, como DEBUG - ActivityField : campo de atividade sap. Para a maioria dos casos, esse valor é ACTVT. Para objetos Authorizations sem uma Atividade ou com apenas um campo atividade , preenchido com NOT_IN_USE. - Atividade: atividade sap, de acordo com o objeto de autorização, como: 01: Criar; 02: Alterar; 03: Exibir e assim por diante. - Descrição: uma descrição significativa de objeto de autorização crítica. |
| SAP – Redes excluídas | Para manutenção interna de redes excluídas, tal qual ignorar dispatchers da Web, servidores de terminal e assim por diante. - Rede: um endereço IP de rede ou intervalo, como 111.68.128.0/17. - Descrição: uma descrição de rede significativa. |
| Usuários excluídos do SAP | Usuários do sistema que estão conectados e devem ser ignorados. Por exemplo, alertas de vários logons pelo mesmo usuário. - Usuário: Usuário do SAP - Descrição: uma descrição significativa do usuário. |
| SAP – Redes | Redes internas e de manutenção para a identificação de logons não autorizados. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: uma descrição de rede significativa. |
| SAP – Usuários privilegiados | Usuários privilegiados que estão sob restrições extras. - Usuário: o usuário do ABAP, como DDIC ou SAP - Descrição: uma descrição significativa do usuário. |
| SAP – Programas ABAP confidenciais | Programas ABAP confidenciais (relatórios) cuja execução deve ser governada. - ABAPProgram: programa ou relatório do ABAP, como RSPFLDOC - Descrição: uma descrição significativa do programa. |
| SAP – Módulo de função confidencial | Redes internas e de manutenção para a identificação de logons não autorizados. - FunctionModule: um módulo de função ABAP, como RSAU_CLEAR_AUDIT_LOG - Descrição: uma descrição significativa do módulo. |
| SAP – Perfis Confidenciais | Perfis confidenciais, que devem ter suas atribuições governadas. - Perfil: perfil de autorização sap, como SAP_ALL ou SAP_NEW - Descrição: uma descrição significativa do perfil. |
| SAP – Tabelas confidenciais | Tabelas confidenciais, que devem ter seu acesso governado. - Tabela: Tabela de Dicionário ABAP, como USR02 ou PA008 - Descrição: uma descrição significativa da tabela. |
| SAP – Funções confidenciais | Funções confidenciais, que devem ter sua atribuição governada. - Função: função de autorização sap, como SAP_BC_BASIS_ADMIN - Descrição: uma descrição de função significativa. |
| SAP – Transações confidenciais | Transações confidenciais que devem ter sua execução governada. - TransactionCode: código de transação SAP, como RZ11 - Descrição: uma descrição de código significativa. |
| SAP – Sistemas | Descreva o panorama dos sistemas SAP de acordo com a função, uso e configuração. - SystemID: a ID do sistema SAP (SYSID) - SystemRole: a função do sistema SAP, um dos seguintes valores: Sandbox, , Development, Quality Assurance, Training, Production - SystemUsage: o uso do sistema SAP, um dos seguintes valores: ERP, , BW, Solman, Gateway, Enterprise Portal - InterfaceAttributes: um parâmetro dinâmico opcional para uso em guias estratégicos. |
| SAPSystemParameters | Parâmetros para observar alterações suspeitas de configuração. Essa lista de vigilância é preenchida previamente com valores recomendados (de acordo com as boas práticas do SAP) e você pode ampliar a watchlist de modo a incluir mais parâmetros. Se não quiser receber alertas para um parâmetro, defina EnableAlerts como false.- ParameterName: o nome do parâmetro. - Comentário: a descrição do parâmetro padrão sap. - EnableAlerts: define se os alertas devem ser habilitado para esse parâmetro. Os valores são true e false.- Opção: define nesse caso para disparar um alerta: se o valor do parâmetro for maior ou igual ( GE), menor ou igual (LE) ou igual (EQ)Por exemplo, se o login/fails_to_user_lockparâmetro do SAP for definido como LE (menor ou igual) e um valor de 5, assim que o Microsoft Sentinel detectar uma alteração nesse parâmetro específico, o Microsoft Sentinel irá comparar o valor que acabou de ser notificado ao valor esperado. Se o novo valor for 4, o Microsoft Sentinel não irá disparar um alerta. Se o novo valor for 6, o Microsoft Sentinel irá disparar um alerta.- ProductionSeverity: a gravidade do incidente para sistemas de produção. - ProductionValues: valores permitidos para sistemas de produção. - NonProdSeverity: a gravidade do incidente para sistemas de não produção. - NonProdValues: valores permitidos para sistemas de não produção. |
| SAP – Usuários excluídos | Usuários do sistema que estão conectados e devem ser ignorados, como o alerta Vários logons por usuário. - Usuário: Usuário do SAP - Descrição: uma descrição significativa do usuário |
| SAP – Redes excluídas | Mantém redes internas excluídas para ignorar dispatchers da Web, servidores de terminal e assim por diante. - Rede: endereço IP de rede ou intervalo, como 111.68.128.0/17 - Descrição: uma descrição de rede significativa |
| SAP – Módulos de função obsoletos | Módulos de funções obsoletas, que devem ter sua execução governada. - FunctionModule: Módulo de Função ABAP, como TH_SAPREL - Descrição: uma descrição significativa do módulo de função |
| SAP – Programas obsoletos | Programas ABAP confidenciais (relatórios), que devem ter sua execução governada. - Programa ABAPProgram:ABAP, como TH_ RSPFLDOC - Descrição: uma descrição significativa do programa ABAP |
| SAP – Transações para gerações ABAP | Transações para gerações do ABAP que devem ter sua execução governada. - TransactionCode: código de transação, como SE11. - Descrição: uma descrição significativa do código de transação |
| SAP – Servidores FTP | Servidores FTP para identificação de conexões não autorizadas. - Cliente: como 100. - FTP_Server_Name: nome do servidor FTP, como http://contoso.com/ - porta do servidor FTP_Server_Port:FTP, como 22. - DescriçãoUma descrição significativa do servidor FTP |
| SAP_Dynamic_Audit_Log_Monitor_Configuration | Configure os alertas do log de auditoria do SAP atribuindo a cada ID de mensagem um nível de gravidade, conforme exigido por você, por função do sistema (produção, não produção). Essa watchlist detalha todas as IDs de mensagem de log de auditoria padrão do SAP disponíveis. A lista de observação pode ser estendida para conter IDs de mensagem extras que você pode criar por conta própria usando aprimoramentos ABAP em seus sistemas SAP NetWeaver. Essa watchlist também permite configurar uma equipe designada para lidar com cada um dos tipos de evento e excluir usuários por funções SAP, perfis SAP ou por marcas da SAP_User_Config watchlist. Essa watchlist é um dos principais componentes usados para configurar as regras internas de análise do SAP para monitorar o log de auditoria do SAP. Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - MessageID: a ID da mensagem SAP ou o tipo de evento, como AUD (Alterações de registro mestre do usuário) ou AUB (alterações de autorização). - DetailedDescription: uma descrição habilitada para markdown a ser mostrada no painel de incidentes. - ProductionSeverity: a gravidade desejada para o incidente a ser criado para sistemas Highde produção, Medium. Pode ser definido como Disabled. - NonProdSeverity: a severidade desejada para o incidente a ser criado para sistemas Highde não produção, Medium. Pode ser definido como Disabled. - ProductionThreshold A contagem "por hora" de eventos a serem considerados suspeitos para sistemas 60de produção. - NonProdThreshold A contagem "por hora" de eventos a serem considerados suspeitos para sistemas 10de não produção. - RolesTagsToExclude: este campo aceita nome da função SAP, nomes de perfil SAP ou marcas da lista de observação SAP_User_Config. Eles são usados para excluir os usuários associados de tipos de eventos específicos. Confira as opções de marcas de função no final desta lista. - RuleType: use Deterministic para que o tipo de evento seja enviado para a regra SAP – Dynamic Deterministic Audit Log Monitor ou AnomaliesOnly para ter esse evento coberto pela regra SAP – Alertas do Monitor de Log de Auditoria Baseado em Anomalias Dinâmicas (PREVIEW). Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - TeamsChannelID: um parâmetro dinâmico opcional para uso em guias estratégicos. - DestinationEmail: um parâmetro dinâmico opcional para uso em guias estratégicos. Para o campo RolesTagsToExclude : - Se você listar funções SAP ou perfis SAP, isso excluirá qualquer usuário com as funções ou perfis listados desses tipos de evento para o mesmo sistema SAP. Por exemplo, se você definir a função ABAP BASIC_BO_USERS para os tipos de eventos relacionados à RFC, os usuários de Objetos de Negócios não dispararão incidentes ao fazerem chamadas RFC em massa.- A marcação de um tipo de evento é semelhante à especificação de funções ou perfis SAP, mas as tags podem ser criadas no espaço de trabalho, para que as equipes do SOC possam excluir usuários por atividade sem depender da equipe do SAP BASIS. Por exemplo, as IDs de mensagem de auditoria AUB (alterações de autorização) e AUD (alterações de registro mestre do usuário) são atribuídas à marca MassiveAuthChanges. Os usuários atribuídos a essa marca são excluídos das verificações dessas atividades. Executar o workspace da função SAPAuditLogConfigRecommend produz uma lista de marcas recomendadas que será atribuída aos usuários, como Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist. |
| SAP_User_Config | Permite ajustar alertas excluindo /incluindo usuários em contextos específicos e também é usado para configurar as regras internas de análise do SAP para monitorar o log de auditoria do SAP. Para obter mais informações, consulte Monitorar o log de auditoria do SAP. - SAPUser: o usuário sap - Marcas: as marcas são usadas para identificar usuários em relação a determinadas atividades. Por exemplo, adicionar as marcas ["GenericTablebyRFCOK"] ao usuário SENTINEL_SRV impedirá que incidentes relacionados à RFC sejam criados para esse usuário específico Outros identificadores de usuário do Active Directory – Identificador de usuário do AD – Sid local do usuário – Nome UPN |
Guias estratégicos disponíveis
Os guias estratégicos fornecidos pela solução do Microsoft Sentinel para aplicativos SAP ajudam você a automatizar as cargas de trabalho de resposta a incidentes do SAP, melhorando a eficiência e a eficácia das operações de segurança.
Esta seção descreve os guias estratégicos de análise internos fornecidos junto com a solução do Microsoft Sentinel para aplicativos SAP.
| Nome do guia estratégico | Parâmetros | conexões |
|---|---|---|
| Resposta a incidentes do SAP – Bloquear usuário do Teams – Básico | - SAP-SOAP-User-Password - SAP-SOAP-Username - SOAPApiBasePath – DefaultEmail - TeamsChannel |
- Microsoft Sentinel – Microsoft Teams |
| Resposta a incidentes do SAP – Bloquear usuário do Teams – Avançado | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel - Registros do Azure Monitor Office 365 Outlook – Microsoft Entra ID – Azure Key Vault – Microsoft Teams |
| Resposta a incidentes do SAP – registro em log de auditoria reencável após a desativação | - SAP-SOAP-KeyVault-Credential-Name – DefaultAdminEmail - TeamsChannel |
- Microsoft Sentinel – Azure Key Vault - Registros do Azure Monitor – Microsoft Teams |
As seções a seguir descrevem exemplos de casos de uso para cada um dos guias estratégicos fornecidos, em um cenário em que um incidente avisou sobre atividades suspeitas em um dos sistemas SAP, em que um usuário está tentando executar uma dessas transações altamente confidenciais.
Durante a fase de triagem de incidentes, você decide tomar medidas contra esse usuário, expulsando-o de seus sistemas SAP ERP ou BTP ou até mesmo do Microsoft Entra ID.
Para obter mais informações, consulte Automatizar a resposta a ameaças com guias estratégicos no Microsoft Sentinel
O processo de implantação de aplicativos lógicos Standard geralmente é mais complexo do que para aplicativos lógicos de consumo. Criamos uma série de atalhos para ajudá-lo a implantá-los rapidamente no repositório GitHub do Microsoft Sentinel. Para obter mais informações, consulte o Guia de Instalação Passo a Passo.
Dica
Assista à pasta de guias estratégicos sap no repositório GitHub para obter mais guias estratégicos à medida que eles se tornam disponíveis. Há também um breve vídeo introdutório (link externo) lá para ajudá-lo a começar.
Bloquear um usuário de um único sistema
Crie uma regra de automação para invocar o usuário lock do Teams – guia estratégico básico sempre que uma execução de transação confidencial por um usuário não autorizado for detectada. Esse guia estratégico usa o recurso de cartões adaptáveis do Teams para solicitar aprovação antes de bloquear unilateralmente o usuário.
Para obter mais informações, consulte De zero a cobertura de segurança de herói com o Microsoft Sentinel para seus sinais críticos de segurança sap - Você vai me ouvir SOAR! Parte 1 (postagem no blog do SAP).
O usuário lock do Teams – Guia estratégico básico é um guia estratégico Standard e os guias estratégicos Standard geralmente são mais complexos de implantar do que os guias estratégicos de consumo.
Criamos uma série de atalhos para ajudá-lo a implantá-los rapidamente no repositório GitHub do Microsoft Sentinel. Para obter mais informações, consulte o Guia de Instalação Passo a Passo e os tipos de aplicativo lógico com suporte.
Bloquear um usuário de vários sistemas
O usuário Lock do Teams – Guia estratégico avançado atinge o mesmo objetivo, mas foi projetado para cenários mais complexos, permitindo que um único guia estratégico seja usado para vários sistemas SAP, cada um com seu próprio SID SAP.
O usuário lock do Teams – Guia estratégico avançado gerencia perfeitamente as conexões com todos esses sistemas e suas credenciais, usando o parâmetro dinâmico opcional InterfaceAttributes na watchlist SAP – Sistemas e Azure Key Vault.
O usuário lock do Teams – Guia estratégico avançado também permite que você se comunique com as partes no processo de aprovação usando mensagens acionáveis do Outlook junto com o Teams, usando os parâmetros TeamsChannelID e DestinationEmail na lista de observação SAP_Dynamic_Audit_Log_Monitor_Configuration .
Para obter mais informações, consulte De zero para cobertura de segurança hero com o Microsoft Sentinel para seus sinais de segurança sap críticos – Parte 2 (postagem no blog sap).
Impedir a desativação do log de auditoria
Você também pode estar preocupado com a desativação do log de auditoria do SAP, que é uma de suas fontes de dados de segurança. Recomendamos que você crie uma regra de automação com base na regra SAP – Desativação da Análise de Logs de Auditoria de Segurança para invocar o log de auditoria reenable uma vez desativado para garantir que o log de auditoria do SAP não esteja desativado.
O guia estratégico SAP – Desativação do Log de Auditoria de Segurança também usa o Teams, informando a equipe de segurança após o fato. A gravidade da ofensa e a urgência de sua mitigação indicam que ações imediatas podem ser tomadas sem necessidade de aprovação.
Como o guia estratégico SAP – Desativação do Log de Auditoria de Segurança também usa o Azure Key Vault para gerenciar credenciais, a configuração do guia estratégico é semelhante à do usuário Lock do Teams – guia estratégico avançado. Para obter mais informações, consulte De zero para cobertura de segurança hero com o Microsoft Sentinel para seus sinais de segurança sap críticos – Parte 3 (postagem no blog sap).
Conteúdo relacionado
Para obter mais informações, consulte Implantando a solução do Microsoft Sentinel para aplicativos SAP.