适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案:安全内容参考

本文详细介绍可供适用于 SAP 的 Microsoft Sentinel 解决方案使用的安全内容。

重要

虽然适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案已正式发布,但某些特定组件仍为预览版。 本文在以下相关部分指示预览版组件。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

可用安全内容包括内置工作簿和分析规则。 你也可添加与 SAP 相关的播放列表,以便在搜索、检测规则、威胁搜寻和响应 playbook 中使用。

内置工作簿

使用以下内置工作簿可对通过 SAP 数据连接器引入的数据进行可视化和监视。 部署 SAP 解决方案后,可以在“我的工作簿”选项卡中找到 SAP 工作簿。

工作簿名称 描述 日志
SAP - 审核日志浏览器 显示如下数据:

- 常规的系统运行状况,包括一段时间内的用户登录情况、系统引入的事件、消息类和 ID,以及已运行的 ABAP 程序
- 系统中发生的事件的严重性
- 系统中发生的身份验证和授权事件
使用以下日志中的数据:

ABAPAuditLog_CL
SAP 审核控制 帮助你检查 SAP 环境的安全控制是否符合所选的控制框架,使用工具执行以下操作:

- 将环境中的分析规则分配给特定的安全控制和控制系列
- 监视和分类基于 SAP 解决方案的分析规则生成的事件
- 报告合规性
使用以下表中的数据:

- SecurityAlert
- SecurityIncident

有关详细信息,请参阅教程:可视化和监视数据部署适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案

启用内置分析规则

监视静态 SAP 安全参数的配置(预览)

为了保护 SAP 系统,SAP 已经确定了需要监视更改情况的安全相关参数。 使用“SAP - (预览版) 敏感静态参数已更改”规则,适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案可跟踪 SAP 系统中内置的 超过 52 个静态安全相关参数

注意

为了成功监视 SAP 安全参数,适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案需要定期成功监视 SAP PAHI 表。 验证该解决方案是否可以成功监视 PAHI 表

为了了解系统中的参数更改,适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案会使用参数历史记录表,该表记录系统参数每小时的更改。

这些参数也会反映在 SAPSystemParameters 监视列表中。 此监视列表允许用户添加新参数、禁用现有参数,以及修改生产或非生产环境中每个参数和系统角色的值和严重性。

如果这些参数中的任意一个发生更改,Microsoft Sentinel 会检查更改是否与安全相关,以及相应值是否是根据建议值设置的。 如果怀疑更改超出了安全范围,Microsoft Sentinel 会创建一个事件,详细描述该更改,并确认做出更改的用户。

查看此规则监视的参数列表

监视 SAP 审核日志

SAP 审核日志数据用于适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案的许多分析规则。 某些分析规则会查找日志上的特定事件,而其他规则会关联来自多个日志的指示,以生成高保真警报和事件。

此外,有两个分析规则旨在考虑整个标准 SAP 审核日志事件集(183 个不同的事件)以及可以选择使用 SAP 审核日志记录的任何其他自定义事件。

这两种 SAP 审核日志监视分析规则共享同一数据源和同一配置,但在一个关键方面存在差异。 “SAP - 具有确定性的动态审核日志监视器”规则需要确定性警报阈值和用户排除规则,而“SAP - 基于异常的动态审核日志监视器警报(预览版)”应用其他机器学习算法来以无人监督方式筛选掉背景噪音。 因此在默认情况下,SAP 审核日志的大多数事件类型(或 SAP 消息 ID)会发送到“基于异常”的分析规则,而更容易定义的事件类型会发送到确定性分析规则。 此设置以及其他相关设置可以进一步配置,以适应任何系统条件。

SAP - 动态确定性审核日志监视器

一种动态分析规则,旨在涵盖在用户总体、事件阈值方面具有确定性定义的整个 SAP 审核日志事件类型集。

SAP - 基于动态异常的审核日志监视器警报(预览版)

一种动态分析规则,旨在了解正常系统行为,并针对 SAP 审核日志上观察到的被视为异常的活动发出警报。 可将此规则应用于在用户总体、网络属性和阈值方面更难定义的 SAP 审核日志事件类型。

了解详细信息:

下表列出了适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案中包含的内置分析规则,这些规则通过 Microsoft Sentinel 解决方案商城部署。

初始访问

规则名称 说明 源操作 策略
SAP - 从意外的网络登录 标识从意外网络的登录。

SAP - 网络播放列表中维护网络。
从未分配给其中一个网络的 IP 地址登录后端系统。

数据源:SAPcon - 审核日志
初始访问
SAP - SPNego 攻击 标识 SPNego 重播攻击。 数据源:SAPcon - 审核日志 影响、横向移动
SAP - 特权用户的对话框登录尝试 标识 SAP 系统中的特权用户使用 AUM 类型进行的对话登录尝试。 有关详细信息,请参阅 SAPUsersGetPrivileged 在计划的时间间隔内,尝试从同一 IP 登录多个系统或客户端。

数据源:SAPcon - 审核日志
影响、横向移动
SAP - 暴力攻击 使用 RFC 登录名标识对 SAP 系统的暴力攻击 尝试使用 RFC 在计划的时间间隔内从同一 IP 登录到多个系统/客户端

数据源:SAPcon - 审核日志
凭据访问
SAP - 从同一 IP 多次登录 标识来自同一 IP 地址的多位用户在计划的时间间隔内的登录。

子用例:持久性
以多位用户身份在同一 IP 地址登录。

数据源:SAPcon - 审核日志
初始访问
SAP - 用户多次登录 标识相同用户在计划的时间间隔内从多个终端的登录。

仅通过 Audit SAL 方法使用,适用于 SAP 7.5 及更高版本。
以相同用户身份从不同的 IP 地址登录。

数据源:SAPcon - 审核日志
预攻击、凭据访问、初始访问、集合

子用例:持久性
SAP - 信息 - 生命周期 - 在系统中实现 SAP 说明 标识系统中的 SAP 说明实现。 使用 SNOTE/TCI 实现 SAP 说明。

数据源:SAPcon - 更改请求
-
SAP -(预览版)AS JAVA - 已登录的敏感特权用户 标识从意外网络的登录。

SAP - 特权用户播放列表中维护特权用户。
使用特权用户登录后端系统。

数据源:SAPJAVAFilesLog
初始访问
SAP -(预览版)AS JAVA - 从意外网络登录 识别来自意外网络的登录。

SAP - 网络监视列表中维护特权用户。
使用未分配给 SAP - 网络监控列表中某个网络的 IP 地址登录后端系统

数据源:SAPJAVAFilesLog
初始访问,防御规避

数据外泄

规则名称 说明 源操作 策略
SAP - 非授权服务器的 FTP 标识非授权服务器的 FTP 连接。 新建 FTP 连接,例如使用 FTP_CONNECT 函数模块。

数据源:SAPcon - 审核日志
发现、初始访问、命令和控制
SAP - 不安全的 FTP 服务器配置 标识不安全的 FTP 服务器配置,例如当 FTP 允许列表为空或包含占位符时。 请勿使用 SAPFTP_SERVERS_V 维护视图维护或维护包含 SAPFTP_SERVERS 表中占位符的值。 (SM30)

数据源:SAPcon - 审核日志
初始访问、命令和控制
SAP - 多个文件下载 标识用户在特定时间范围内的多个文件下载。 使用 SAPGui for Excel、列表等下载多个文件。

数据源:SAPcon - 审核日志
集合、外泄、凭据访问
SAP - 多项后台处理执行 标识用户在特定时间范围内的多项后台处理。 由用户创建并运行的多个任意类型的后台处理作业。 (SP01)

数据源:SAPcon - 后台处理日志、SAPcon - 审核日志
集合、外泄、凭据访问
SAP - 多项后台处理输出执行 标识用户在特定时间范围内的多项后台处理。 由用户创建并运行的多个任意类型的后台处理作业。 (SP01)

数据源:SAPcon - 后台处理输出日志、SAPcon - 审核日志
集合、外泄、凭据访问
SAP - 通过 RFC 登录直接访问的敏感表 标识通过 RFC 登录访问的通用表。

维护 SAP - 敏感表播放列表中的表。

注意:仅适用于生产系统。
使用 SE11/SE16/SE16N 打开表内容。

数据源:SAPcon - 审核日志
集合、外泄、凭据访问
SAP - 后台处理接管 标识用户,该用户打印由其他人创建的后台处理请求。 由一位用户创建后台处理请求,然后由其他用户输出请求。

数据源:SAPcon - 后台处理日志、SAPcon - 后台处理输出日志、SAPcon - 审核日志
集合、外泄、命令和控制
SAP - 动态 RFC 目标 使用动态目标标识 RFC 执行。

子用例:绕过 SAP 安全机制的尝试
执行使用动态目标 (cl_dynamic_destination) 的 ABAP 报表。 例如,DEMO_RFC_DYNAMIC_DEST。

数据源:SAPcon - 审核日志
集合、外泄
SAP - 通过对话框登录直接访问敏感表 标识通过对话框登录访问的通用表。 使用 SE11/SE16/SE16N 打开表内容。

数据源:SAPcon - 审核日志
发现
SAP -(预览版)从恶意 IP 地址下载了文件 识别到使用已知恶意的 IP 地址从 SAP 系统下载文件。 恶意 IP 地址是从威胁智能服务获取的。 从恶意 IP 下载文件。

数据源:SAP 安全审核日志、威胁智能
外泄
SAP -(预览版)使用传输功能从生产系统导出了数据 识别到使用传输从生产系统导出数据。 传输在开发系统中使用,类似于拉取请求。 当包含任何表中数据的传输从生产系统释放时,此警报规则将触发中等严重性的事件。 当导出包含敏感表中的数据时,该规则将创建高严重性事件。 从生产系统释放传输。

数据源:SAP CR 日志、SAP - 敏感表
外泄
SAP -(预览版)将敏感数据保存到 U 盘中 识别到通过文件导出 SAP 数据。 该规则检查保存在最近装载的 U 盘中的数据是否靠近执行敏感事务、敏感程序或直接访问敏感表的位置。 通过文件导出 SAP 数据并保存到 U 盘中。

数据源:SAP 安全审核日志、DeviceFileEvents (Microsoft Defender for Endpoint)、SAP - 敏感表SAP - 敏感事务SAP - 敏感程序
外泄
SAP -(预览版)打印潜在敏感的数据 标识到请求或实际打印潜在敏感的数据。 如果用户获取作为敏感事务的一部分的数据、执行敏感程序或直接访问敏感表,则数据被视为敏感数据。 打印或请求打印敏感数据。

数据源:SAP 安全审核日志、SAP 后台处理日志、SAP - 敏感表SAP - 敏感程序
外泄
SAP -(预览版)已导出大量潜在敏感的数据 识别到在靠近执行敏感事务、敏感程序或直接访问敏感表的位置通过文件导出大量数据。 通过文件导出大量数据。

数据源:SAP 安全审核日志、SAP - 敏感表SAP - 敏感事务SAP - 敏感程序
外泄

持续

规则名称 说明 源操作 策略
SAP - 激活或停用 ICF 服务 标识 ICF 服务的激活或停用。 使用 SICF 激活服务。

数据源:SAPcon - 表数据日志
命令和控制、横向移动、持久性
SAP - 函数模块已测试 标识函数模块测试。 使用 SE37 / SE80 测试函数。

数据源:SAPcon - 审核日志
集合、防御规避、横向移动
SAP -(预览版)HANA DB - 用户管理员操作 标识用户管理操作。 创建、更新或删除数据库用户。

数据源:Linux 代理 - Syslog*
特权提升
SAP - 新 ICF 服务处理程序 标识 ICF 处理程序创建。 使用 SICF 为服务分配新处理程序。

数据源:SAPcon - 审核日志
命令和控制、横向移动、持久性
SAP - 新 ICF 服务 标识 ICF 服务创建。 使用 SICF 创建服务。

数据源:SAPcon - 表数据日志
命令和控制、横向移动、持久性
SAP - 执行过时或不安全的函数模块 标识已过时或不安全的 ABAP 函数模块。

维护 SAP - 已过时函数模块播放列表中的已过时函数。 请确保为后端的 EUFUNC 表激活表记录更改。 (SE13)

注意:仅适用于生产系统。
使用 SE37 直接运行过时或不安全的函数模块。

数据源:SAPcon - 表数据日志
发现、命令和控制
SAP - 执行已过时/不安全的程序 标识已过时或不安全的 ABAP 程序执行。

维护 SAP - 已过时程序播放列表中的已过时应用程序。

注意:仅适用于生产系统。
使用 SE38/SA38/SE80 或通过后台作业直接运行程序。

数据源:SAPcon - 审核日志
发现、命令和控制
SAP - 用户进行多次密码更改 标识用户执行的多次密码更改。 更改用户密码

数据源:SAPcon - 审核日志
凭据访问
SAP -(预览版)AS JAVA - 用户创建和使用新用户 识别 SAP AS Java 环境中的管理员对用户的创建或操作。 使用你创建或操作的用户登录后端系统。

数据源:SAPJAVAFilesLog
持久性

绕过 SAP 安全机制的尝试

规则名称 说明 源操作 策略
SAP - 客户端配置更改 标识客户端配置更改,例如客户端角色或更改录制模式。 使用 SCC4 事务代码执行客户端配置更改。

数据源:SAPcon - 审核日志
防御规避、外泄、持久性
SAP - 数据在调试活动期间已更改 标识调试活动期间对运行时数据的更改。

子用例:持久性
1. 激活调试 ("/h")。
2. 选择要更改的字段并更新字段值。

数据源:SAPcon - 审核日志
执行、横向移动
SAP - 停用安全审核日志 标识停用安全审核日志。 使用 SM19/RSAU_CONFIG 禁用安全审核日志。

数据源:SAPcon - 审核日志
外泄、防御规避、持久性
SAP - 执行敏感 ABAP 程序 标识敏感 ABAP 程序的直接执行。

SAP - 敏感 ABAP 程序播放列表中维护 ABAP 程序。
使用 SE38/SA38/SE80 直接运行程序。

数据源:SAPcon - 审核日志
外泄、横向移动、执行
SAP - 执行敏感事务代码 标识敏感事务代码的执行。

SAP - 敏感事务代码播放列表中维护事务代码。
运行敏感事务代码。

数据源:SAPcon - 审核日志
发现、执行
SAP - 执行敏感函数模块 标识敏感 ABAP 函数模块的执行。

子用例:持久性

注意:仅适用于生产系统。

维护 SAP - 敏感函数模块播放列表中的敏感函数,并确保在 EUFUNC 表的后端激活表日志记录更改。 (SE13)
使用 SE37 直接运行敏感函数模块。

数据源:SAPcon - 表数据日志
发现、命令和控制
SAP -(预览版)HANA DB - 审核线索策略更改 标识 HANA DB 审核线索策略更改。 在安全定义中创建或更新现有审核策略。

数据源:Linux 代理 - Syslog
横向移动、防御规避、持久性
SAP -(预览版)HANA DB - 停用审核线索 标识 HANA DB 审核日志停用。 停用 HANA DB 安全定义中的审核日志。

数据源:Linux 代理 - Syslog
持久性、横向移动、防御规避
SAP - 敏感函数模块的未授权远程执行 通过将活动与用户的授权配置文件进行比较来检测敏感 FM 的未授权执行,同时忽略最近更改的授权。

SAP - 敏感函数模块播放列表中维护函数模块。
使用 RFC 运行函数模块。

数据源:SAPcon - 审核日志
执行、横向移动、发现
SAP - 系统配置更改 标识系统配置更改。 使用 SE06 事务代码来调整系统更改选项或软件组件修改。

数据源:SAPcon - 审核日志
外泄、防御规避、持久性
SAP - 调试活动 标识所有调试相关活动。

子用例:持久性
在系统中激活调试 ("/h")、调试活动进程、向源代码添加断点等。

数据源:SAPcon - 审核日志
发现
SAP - 安全审核日志配置更改 标识安全审核日志中的配置更改 使用 SM19/RSAU_CONFIG(例如筛选器、状态、录制模式等)更改任何安全审核日志配置。

数据源:SAPcon - 审核日志
持久性、外泄、防御规避
SAP - 事务已解锁 标识事务解锁。 使用 SM01/SM01_DEV/SM01_CUS 解锁事务代码。

数据源:SAPcon - 审核日志
持久性、执行
SAP - 动态 ABAP 程序 标识动态 ABAP 编程的执行。 例如,动态创建、更改或删除 ABAP 代码时。

维护 SAP - ABAP 生成事务播放列表中排除的事务代码。
创建使用 ABAP 程序生成命令(例如 INSERT REPORT)的 ABAP 报表,然后运行报表。

数据源:SAPcon - 审核日志
发现、命令和控制、影响

可疑的特权操作

规则名称 说明 源操作 策略
SAP - 敏感特权用户更改 标识敏感特权用户更改。

SAP - 特权用户播放列表中维护特权用户。
使用 SU01 更改用户详细信息/授权。

数据源:SAPcon - 审核日志
特权提升、凭据访问
SAP -(预览版)HANA DB - 分配管理员授权 标识管理员权限或角色分配。 分配具有任何管理员角色或权限的用户。

数据源:Linux 代理 - Syslog
特权提升
SAP - 已登录的敏感特权用户 标识敏感特权用户的对话框登录。

SAP - 特权用户播放列表中维护特权用户。
使用 SAP* 或其他特权用户登录后端系统。

数据源:SAPcon - 审核日志
初始访问、凭据访问
SAP - 敏感特权用户对其他用户进行更改 标识敏感特权用户对其他用户的更改。 使用 SU01 更改用户详细信息/授权。

数据源:SAPcon - 审核日志
特权提升、凭据访问
SAP - 敏感用户密码更改和登录 标识特权用户的密码更改。 为特权用户更改密码并登录系统。
SAP - 特权用户播放列表中维护特权用户。

数据源:SAPcon - 审核日志
影响、命令和控制、特权提升
SAP - 用户创建并使用新用户 标识创建和使用其他用户的用户。

子用例:持久性
使用 SU01 创建一个用户,然后使用新建用户和相同的 IP 地址登录。

数据源:SAPcon - 审核日志
发现、预攻击、初始访问
SAP - 用户解锁并使用其他用户 标识由其他用户解锁和使用的用户。

子用例:持久性
使用 SU01 解锁用户,然后使用已解锁用户和相同的 IP 地址登录。

数据源:SAPcon - 审核日志、SAPcon - 更改文档日志
发现、预攻击、初始访问、横向移动
SAP - 敏感配置文件分配 标识对用户新分配的敏感配置文件。

维护 SAP - 敏感配置文件播放列表中的敏感配置文件。
使用 SU01 向用户分配配置文件。

数据源:SAPcon - 更改文档日志
特权提升
SAP - 敏感角色分配 标识向用户新分配的敏感角色。

维护 SAP - 敏感角色播放列表中的敏感角色。
使用 SU01 / PFCG 向用户分配角色。

数据源:SAPcon - 更改文档日志、审核日志
特权提升
SAP -(预览版)关键授权分配 - 新授权值 标识向新用户分配的关键授权对象值。

维护 SAP - 关键授权对象播放列表中的关键授权对象。
使用 PFCG 在角色中分配新授权对象或更新现有授权对象。

数据源:SAPcon - 更改文档日志
特权提升
SAP - 关键授权分配 - 新用户分配 标识向新用户分配的关键授权对象值。

维护 SAP - 关键授权对象播放列表中的关键授权对象。
使用 SU01/PFCG 将新用户分配给具有关键授权值的角色。

数据源:SAPcon - 更改文档日志
特权提升
SAP - 敏感角色 标识敏感角色更改。

维护 SAP - 敏感角色播放列表中的敏感角色。
使用 PFCG 更改角色。

数据源:SAPcon - 更改文档日志、SAPcon - 审核日志
影响、特权提升、持久性

可用播放列表

下表列出了可用于适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案的监视列表,以及每个监视列表中的字段。

这些监视列表提供适用于 SAP® 应用程序的 Microsoft Sentinel 解决方案的配置。 Microsoft Sentinel GitHub 存储库提供了 SAP 监视列表

播放列表名称 说明和字段
SAP - 关键授权对象 应当控制其分配的关键授权对象。

- AuthorizationObject:SAP 授权对象,例如 S_DEVELOPS_TCODETable TOBJ
- AuthorizationField:SAP 授权字段,例如 OBJTYPTCD
- AuthorizationValue:SAP 授权字段,例如 DEBUG
- ActivityField:SAP 活动字段。 在大多数情况下,此值将为 ACTVT。 对于无活动,或仅有活动字段的授权对象,请填充 NOT_IN_USE
- 活动:SAP 活动,取决于 01:创建;02:更改;03:显示等授权对象。
- 说明:有意义的关键授权对象说明。
SAP - 排除的网络 用于已排除网络的内部维护,例如忽略 Web 调度程序、终端服务器等。

-网络:网络 IP 地址或范围,例如 111.68.128.0/17
-说明:有意义的网络说明。
SAP 排除的用户 已登录系统但必须忽略的系统用户。 例如,对同一用户进行多次登录发出警报。

- 用户:SAP 用户
-说明:有意义的用户说明。
SAP - 网络 用于标识未授权登录的内部和维护网络。

- 网络:网络 IP 地址或范围,例如 111.68.128.0/17
- 说明:有意义的网络说明。
SAP - 特权用户 受到额外限制的特权用户。

- 用户:ABAP 用户,例如 DDICSAP
- 说明:有意义的用户说明。
SAP - 敏感 ABAP 程序 应当控制其执行的敏感 ABAP 程序(报表)。

- ABAPProgram:ABAP 程序或报表,例如 RSPFLDOC
- 说明:有意义的程序说明。
SAP - 敏感函数模块 用于标识未授权登录的内部和维护网络。

- FunctionModule:ABAP 函数模块,例如 RSAU_CLEAR_AUDIT_LOG
- 说明:有意义的模块说明。
SAP - 敏感配置文件 应当控制其分配的敏感配置文件。

- 配置文件:SAP 授权配置文件,例如 SAP_ALLSAP_NEW
- 说明:有意义的配置文件说明。
SAP - 敏感表 其访问权限应当受到控制的敏感表。

- :ABAP 字典表,例如 USR02PA008
- 说明:有意义的表说明。
SAP - 敏感角色 应当控制其分配的敏感角色。

- 角色:SAP 授权角色,例如 SAP_BC_BASIS_ADMIN
- 说明:有意义的角色说明。
SAP - 敏感事务 应当控制其执行的敏感事务。

- TransactionCode:SAP 事务代码,例如 RZ11
- 说明:有意义的代码说明。
SAP - 系统 根据角色、用法和配置描述 SAP 系统的总体情况。

- SystemID:SAP 系统 ID (SYSID)
- SystemRole:SAP 系统角色,属于以下值之一:SandboxDevelopmentQuality AssuranceTrainingProduction
- SystemUsage:SAP 系统使用情况,属于以下值之一:ERPBWSolmanGatewayEnterprise Portal
- InterfaceAttributes用于 playbook 的可选动态参数。
SAPSystemParameters 用于监视可疑配置更改的参数。 根据 SAP 最佳做法,此监视列表预先填充了建议值 ,你可以扩展监视列表以包含更多参数。 如果不想接收关于某个参数的警报,请将 EnableAlerts 设置为 false

- ParameterName:参数的名称。
- 注释:SAP 标准参数说明。
- EnableAlerts:定义是否为此参数启用警报。 值为 truefalse
- 选项:定义在哪种情况下触发警报:当参数值大于或等于 (GE)、小于或等于 (LE) 或在等于 (EQ) 时。
例如,如果 login/fails_to_user_lock SAP 参数设置为 LE(小于或等于),并且值为 5,则 Microsoft Sentinel 一旦检测到此特定参数发生变化,就会比较新报告的值和预期值。 如果新值为 4,则 Microsoft Sentinel 不会触发警报。 如果新值为 6,则 Microsoft Sentinel 会触发警报。
- ProductionSeverity:生产系统的事件严重性。
- ProductionValues:生产系统允许的值。
- NonProdSeverity: 非生产系统的事件严重性。
- NonProdValues: 非生产系统允许的值。
SAP - 排除的用户 出于“用户多次登录”警报等原因,已登录且需要忽略的系统用户。

- 用户:SAP 用户
- 说明:有意义的用户说明
SAP - 排除的网络 维护已排除的内部网络,以忽略 Web 调度程序、终端服务器等。

- 网络:网络 IP 地址或范围,例如 111.68.128.0/17
- 说明:有意义的网络说明
SAP - 已过时函数模块 应当控制其执行的已过时函数模块。

- FunctionModule:ABAP 函数模块,例如 TH_SAPREL
- 说明:有意义的函数模块说明
SAP - 已过时程序 应当控制其执行的已过时 ABAP 程序(报表)。

- ABAPProgram:ABAP 程序,例如 TH_ RSPFLDOC
- 说明:有意义的 ABAP 程序说明
SAP - ABAP 生成事务 应当控制其执行的 ABAP 生成事务。

- TransactionCode:事务代码,例如 SE11
- 说明:有意义的事务代码说明
SAP - FTP 服务器 用于标识未授权连接的 FTP 服务器。

- 客户端:例如 100。
- FTP_Server_Name:FTP 服务器名称,例如 http://contoso.com/
-FTP_Server_Port:FTP 服务器端口,例如 22。
- 说明有意义的 FTP 服务器说明
SAP_Dynamic_Audit_Log_Monitor_Configuration 根据系统角色(生产、非生产)为每个消息 ID 分配所需的严重性级别,以配置 SAP 审核日志警报。 此监视列表详细介绍了所有可用的 SAP 标准审核日志消息 ID。 可对此监视列表进行扩展,使之包含你可能在 SAP NetWeaver 系统上使用 ABAP 增强功能自行创建的其他消息 ID。 通过此监视列表,还可以配置指定团队来处理每种事件类型,以及通过 SAP 角色、SAP 配置文件或 SAP_User_Config 监视列表中的标记来排除用户。 此监视列表是用于配置用于监视 SAP 审核日志的内置 SAP 分析规则的核心组件之一。

- MessageID:SAP 消息 ID 或事件类型,例如 AUD(用户主记录更改)或 AUB(授权更改)。
- DetailedDescription:要在事件窗格中显示的已启用 Markdown 的说明。
- ProductionSeverity:为生产系统创建事件所需的严重性 HighMedium。 可设置为 Disabled
- NonProdSeverity:为非生产系统创建事件所需的严重性 HighMedium。 可设置为 Disabled
- ProductionThreshold:在生成系统中会被视为“可疑”的事件的“每小时”计数 60
- NonProdThreshold:在非生成系统中会视为“可疑”的事件的“每小时”计数 10
- RolesTagsToExclude:此字段从 SAP_User_Config 监视列表接受 SAP 角色名称、SAP 配置文件名称或标记。 然后,这些内容用于从特定事件类型中排除关联用户。 请参阅此列表末尾的角色标记选项。
- RuleType:将 Deterministic 用于要发送到 SAP - 动态确定性审核日志监视器的事件类型,或使用 AnomaliesOnlySAP - 基于动态异常的审核日志监视器警报(预览版)涵盖此事件。
- TeamsChannelID用于 playbook 的可选动态参数。
- DestinationEmail用于 playbook 的可选动态参数。

对于 RolesTagsToExclude 字段:
- 如果列出 SAP 角色或 SAP 配置文件,则这会排除所列角色或配置文件来自同一 SAP 系统的这些事件类型的任何用户。 例如,如果为 RFC 相关事件类型定义 BASIC_BO_USERS ABAP 角色,则业务对象用户在进行大量 RFC 调用时不会触发事件。
- 标记某个事件类型类似于指定 SAP 角色或配置文件,但标记可以在工作区中创建,因此 SOC 团队可以在不依赖于 SAP 团队的情况下按活动排除用户。 例如,审核消息 ID AUB(授权更改)和 AUD(用户主记录更改)分配有 MassiveAuthChanges 标记。 分配有此标记的用户会被排除在针对这些活动的检查之外。 运行工作区 SAPAuditLogConfigRecommend 函数会生成要分配给用户的推荐标记列表,例如 Add the tags ["GenericTablebyRFCOK"] to user SENTINEL_SRV using the SAP_User_Config watchlist
SAP_User_Config 允许通过在特定上下文中排除/包括用户来微调警报,并且还用于配置用于监视 SAP 审核日志的内置 SAP 分析规则

- SAPUser:SAP 用户
- 标记:标记用于根据某项活动标识用户。 例如,向用户 SENTINEL_SRV 添加标记 [“GenericTablebyRFCOK”] 将阻止为此特定用户创建 RFC 相关事件
其他 Active Directory 用户标识符
- AD 用户标识符
- 用户本地 SID
- 用户主体名称

可用的 playbook

Playbook 名称 parameters 连接
SAP 事件响应 - 从 Teams 锁定用户 - 基本 - SAP-SOAP-User-Password
- SAP-SOAP-Username
- SOAPApiBasePath
- DefaultEmail
- TeamsChannel
- Microsoft Sentinel
- Microsoft Teams
SAP 事件响应 - 从 Teams 锁定用户 - 高级 - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
- Microsoft Sentinel
- Azure Monitor 日志
- Office 365 Outlook
- Microsoft Entra ID
- Azure 密钥保管库
- Microsoft Teams
SAP 事件响应 - 停用后可重新启用审核日志记录 - SAP-SOAP-KeyVault-Credential-Name
- DefaultAdminEmail
- TeamsChannel
- Microsoft Sentinel
- Azure 密钥保管库
- Azure Monitor 日志
- Microsoft Teams

后续步骤

有关详细信息,请参阅: