Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo detalha o conteúdo de segurança disponível para a Microsoft Sentinel Solution for SAP BTP.
O conteúdo de segurança disponível atualmente inclui uma pasta de trabalho interna e regras de análise. Você também pode adicionar listas de observação relacionadas ao SAP para usar em sua pesquisa, regras de deteção, caça a ameaças e playbooks de resposta.
Pasta de trabalho SAP BTP
A pasta de trabalho de atividade BTP fornece uma visão geral do painel da atividade BTP.
A guia Visão geral mostra:
- Uma visão geral das subcontas BTP, ajudando os analistas a identificar as contas mais ativas e o tipo de dados ingeridos.
- Atividade de login de subconta, ajudando os analistas a identificar picos e tendências que podem estar associados a falhas de login no SAP Business Application Studio (BAS).
- Linha do tempo da atividade do BTP e número de alertas de segurança do BTP, ajudando os analistas a procurar qualquer correlação entre os dois.
A guia Gerenciamento de Identidades mostra uma grade de eventos de gerenciamento de identidade, como alterações de função de usuário e segurança, em um formato legível por humanos. A barra de pesquisa permite-lhe encontrar rapidamente alterações específicas.
Para obter mais informações, consulte Tutorial: Visualizar e monitorar seus dados e Implantar a solução Microsoft Sentinel para SAP BTP.
Regras de análise incorporadas
Estas regras de análise detetam atividades suspeitas usando os registos de auditoria SAP BTP. As regras são organizadas por área de serviço ou produto SAP. Para mais informações, consulte a documentação oficial da SAP sobre Eventos de Segurança Registados pela Cloud Foundry Services no SAP BTP.
Fontes de dados: SAPBTPAuditLog_CL
SAP Cloud Integration - Integration Suite
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| BTP - Manipulação da política de acesso com integração cloud | Deteta modificações não autorizadas das políticas de acesso que possam permitir aos atacantes aceder a artefactos sensíveis de integração ou escapar aos controlos de segurança. | Crie, altere ou elimine políticas de acesso ou referências a artefactos no SAP Cloud Integration. | Evasão de Defesa, Escalada de Privilégios |
| BTP - Implementação de artefactos de integração cloud | Deteta a implementação de fluxos de integração potencialmente maliciosos que possam ser usados para exfiltração de dados, persistência ou execução de código não autorizado no ambiente de integração. | Implemente ou desimplante artefactos de integração no SAP Cloud Integration. | Execução, Persistência |
| BTP - Integração Cloud Alterações à fonte de dados JDBC | Deteta manipulação de ligações à base de dados que podem permitir acesso não autorizado a sistemas backend ou roubo de credenciais de cadeias de ligação armazenadas. | Implementar ou desimplantar fontes de dados JDBC na SAP Cloud Integration. | Acesso a credenciais, movimento lateral |
| BTP - Pacote de Integração Cloud importação ou transporte | Deteta importações de pacotes potencialmente maliciosas que podem introduzir backdoors, compromissos na cadeia de abastecimento ou código não autorizado no ambiente de integração. | Importar ou transportar pacotes/artefactos de integração no SAP Cloud Integration. | Acesso Inicial, Persistência |
| BTP - Integração na Cloud a manipular material de segurança | Deteta acessos não autorizados a credenciais, certificados e chaves de encriptação que possam permitir aos atacantes comprometer sistemas externos ou intercetar comunicações encriptadas. | Crie, atualize ou elimine credenciais, certificados X.509 ou chaves PGP na SAP Cloud Integration. | Acesso a Credenciais, Evasão de Defesa |
Serviço de Identidade SAP Cloud - Autenticação de Identidade
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| BTP - Cloud Identity Service Application Configuration Monitor | Deteta a criação ou modificação de aplicações federadas (SAML/OIDC) que poderiam permitir aos atacantes estabelecer acesso persistente por backdoor através de configurações SSO não autorizadas. | Criar, atualizar ou eliminar configurações de domínio/provedor de serviços SSO no SAP Cloud Identity Service. | Acesso a credenciais, escalonamento de privilégios |
| BTP - Eliminação em massa de utilizadores no Cloud Identity Service | Deteta eliminação em larga escala de contas de utilizador que pode indicar um ataque destrutivo, tentativa de encobrimento de atividade não autorizada ou negação de serviço contra utilizadores legítimos. Limite padrão: 10 |
Eliminar a contagem de contas de utilizador acima do limiar definido no SAP Cloud Identity Service. | Impacto |
| BTP - Utilizador adicionado à lista privilegiada de Administradores | Deteta escalada de privilégios através da atribuição de permissões poderosas de gestão de identidade que poderiam permitir aos atacantes criar contas backdoor ou modificar controlos de autenticação. | Conceda permissões privilegiadas de administrador a um utilizador no SAP Cloud Identity Service. | Movimento Lateral, Escalonamento de Privilégios |
SAP Business Application Studio (BAS)
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| BTP - Tentativas de acesso falhadas em várias subcontas BAS | Deteta atividade de reconhecimento ou ataques de spray credencial direcionados a ambientes de desenvolvimento em múltiplas subcontas, indicando uma possível preparação para um compromisso mais amplo. Limiar por defeito: 3 |
Execute tentativas de entrada com falha para BAS acima do número limite definido de subcontas. | Descoberta, Reconhecimento |
| BTP - Malware detetado no espaço de desenvolvimento BAS | Deteta código malicioso em espaços de trabalho de desenvolvimento que pode ser usado para comprometer a cadeia de abastecimento de software, injetar backdoors em aplicações ou estabelecer persistência no ambiente de desenvolvimento. | Copie ou crie um arquivo de malware em um espaço de desenvolvedor BAS. | Execução, Persistência, Desenvolvimento de Recursos |
Zona de Trabalho SAP Build
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| BTP - Construir Zona de Trabalho Acesso não autorizado e manipulação de funções | Deteta tentativas de aceder a recursos restritos do portal ou a eliminação em massa dos controlos de acesso que possam indicar que um atacante está a remover limites de segurança ou a cobrir pistas após atividade não autorizada. | Detetar acesso não autorizado a serviços OData ou eliminação em massa de funções/utilizadores na SAP Build Work Zone. | Acesso Inicial, Persistência, Evasão de Defesa |
Plataforma SAP BTP e subcontas
| Nome da regra | Description | Ação de origem | Táticas |
|---|---|---|---|
| BTP - Serviço de registo de auditoria indisponível | Deteta potenciais interferências nos registos de auditoria que possam indicar um atacante a tentar operar sem ser detetado, desativando a monitorização de segurança ou ocultando atividades maliciosas. | A subconta falha em reportar registos de auditoria que excedem o limiar configurado (padrão: 60 minutos). | Evasão de Defesa |
| BTP - Exclusão de usuário em massa em uma subconta | Deteta eliminação em larga escala de utilizadores que pode indicar um ataque destrutivo, tentativa de sabotagem ou tentativa de perturbar as operações do negócio através da remoção do acesso dos utilizadores. Limite padrão: 10 |
Exclua a contagem de contas de usuário acima do limite definido. | Impacto |
| BTP - Monitor de Provedor de Identidade de Confiança e Autorização | Deteta modificações nas configurações de federação e autenticação que poderiam permitir aos atacantes estabelecer caminhos alternativos de autenticação, contornar controlos de segurança ou obter acesso não autorizado através de manipulação de fornecedores de identidade. | Altere, leia, atualize ou exclua qualquer uma das configurações do provedor de identidade em uma subconta. | Acesso a credenciais, escalonamento de privilégios |
| BTP - Usuário adicionado à coleção de funções privilegiadas confidenciais | Deteta tentativas de escalonamento de privilégios através da atribuição de funções administrativas poderosas que poderiam permitir controlo total sobre subcontas, conectividade e configurações de segurança. | Atribua uma das seguintes coleções de funções a um usuário: - Subaccount Service Administrator- Subaccount Administrator- Connectivity and Destination Administrator- Destination Administrator- Cloud Connector Administrator |
Movimento Lateral, Escalonamento de Privilégios |
Próximos passos
Neste artigo, você aprendeu sobre o conteúdo de segurança fornecido com a Microsoft Sentinel Solution for SAP BTP.