Condividi tramite

Monitorare e tenere traccia dell'attività di controllo degli utenti nei sistemi SAP

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Questo articolo descrive la cartella di lavoro SAP - Security Audit log (Log di controllo della sicurezza) e Initial Access (Accesso iniziale), usata per il monitoraggio e il monitoraggio delle attività di controllo degli utenti nei sistemi SAP. Usare la cartella di lavoro per ottenere una visualizzazione oculare dell'attività di controllo utente, proteggere meglio i sistemi SAP e ottenere una rapida visibilità sulle azioni sospette. Eseguire il drill-down in eventi sospetti in base alle esigenze.

Usare la cartella di lavoro per il monitoraggio continuo dei sistemi SAP o per esaminare i sistemi in seguito a un evento imprevisto di sicurezza o ad altre attività sospette.

Ad esempio:

Screenshot della parte superiore del log di controllo di SAP -Security e della cartella di lavoro Di accesso iniziale.

Il contenuto di questo articolo è destinato al team di sicurezza .

Prerequisiti

Prima di iniziare a usare il log di controllo sap - sicurezza e la cartella di lavoro Di accesso iniziale, è necessario disporre di:

  • Una soluzione Microsoft Sentinel per SAP installata e un connettore dati configurato. Per altre informazioni, vedere Distribuire una soluzione Microsoft Sentinel per le applicazioni SAP.

  • La cartella di lavoro SAP - Security Audit log e Initial Access installata nell'area di lavoro Log Analytics abilitata per Microsoft Sentinel. Per altre informazioni, vedere Visualizzare e monitorare i dati usando cartelle di lavoro in Microsoft Sentinel.

    Importante

    La cartella di lavoro SAP - Security Audit log and Initial Access è ospitata dall'area di lavoro in cui è stata installata la soluzione Microsoft Sentinel per le applicazioni SAP. Per impostazione predefinita, si presuppone che i dati SAP e SOC siano nell'area di lavoro che ospita la cartella di lavoro.

    Se i dati SOC si trova in un'area di lavoro diversa dall'area di lavoro che ospita la cartella di lavoro, assicurarsi di includere la sottoscrizione per tale area di lavoro e selezionare l'area di lavoro SOC dall'area di lavoro di controllo e attività di Azure.

  • Almeno un evento imprevisto nell'area di lavoro di Microsoft Sentinel, con almeno una voce disponibile nella SecurityIncident tabella. Questo non deve essere un evento imprevisto SAP ed è possibile generare un evento imprevisto demo usando una regola di analisi di base se non si ha un altro evento imprevisto.

  • Se i dati di Microsoft Entra si trovano in un'area di lavoro Log Analytics diversa, assicurarsi di selezionare le sottoscrizioni e le aree di lavoro pertinenti nella parte superiore della cartella di lavoro, in Controllo e attività di Azure.

È consigliabile configurare il controllo per tutti i messaggi del log di controllo, anziché solo per i log specifici. Le differenze dei costi di inserimento sono in genere minime e i dati sono utili per i rilevamenti di Microsoft Sentinel e nelle indagini e nella ricerca post-compromissione. Per altre informazioni, vedere Configurare il controllo SAP.

Filtri supportati

La cartella di lavoro SAP - Security Audit log e Initial Access supporta i filtri seguenti per concentrarsi sui dati necessari:

  • Intervallo di tempo. Da quattro ore a 90 giorni.
  • Ruoli di sistema. Ruoli del sistema SAP, ad esempio: Sviluppo.
  • Utilizzo del sistema. Ad esempio: SAP GTS.
  • Sistemi SAP. È possibile selezionare tutti i sistemi, un sistema specifico o selezionare più sistemi.

Se si selezionano sistemi non configurati nell'elenco di controllo dei sistemi SAP, la cartella di lavoro visualizza un errore, specificando i sistemi con problemi. In questo caso, configurare l'elenco di controllo per includere correttamente questi sistemi.

Dati del report di analisi dell'accesso

La scheda Report di analisi dell'accesso nella cartella di lavoro SAP - Security Audit e Initial Access mostra i dati sugli errori di accesso, ad esempio dati anomali, dati di Microsoft Entra e altro ancora.

I dati si basano sull'elenco di controllo dei sistemi SAP.

La scheda Report di analisi accesso include le aree seguenti:

Analisi dell'accesso

L'area di analisi dell'accesso mostra informazioni sugli accessi utente. Per esempio:

Screenshot dell'area Analisi accesso della cartella di lavoro di CONTROLLO SAP.

La tabella seguente descrive ogni metrica nell'area Analisi accesso:

Area Descrizione
Accessi utente univoci per sistema Mostra il numero di accessi univoci per ogni sistema SAP e un grafico con le tendenze di accesso nel tempo selezionato per ogni sistema.

Ad esempio: il sistema 012 ha tentativi di accesso univoci di 1,4 K negli ultimi 14 giorni e in questi 14 giorni il grafico mostra una tendenza di accesso relativamente crescente.
Tendenza dei tipi di accesso Mostra una tendenza del numero di accessi in base al tipo, ad esempio l'accesso tramite la finestra di dialogo.

Passare il puntatore del mouse sul grafico per visualizzare il numero di accessi per date diverse.
Errori di accesso Vs. Esito positivo da parte di utenti univoci - Tendenza Mostra una tendenza di accessi riusciti e non riusciti nel periodo selezionato.

Passare il puntatore del mouse sul grafico per visualizzare la quantità di accessi riusciti e non riusciti per date diverse.

Errori di accesso - Rilevamento anomalie

Le aree in Rilevamento anomalie- filtrando i tentativi di accesso non riusciti rumorosi mostrano i dati degli errori di accesso per i sistemi e gli utenti SAP. Per visualizzare solo i dati contrassegnati da, selezionare Anomalo solo accanto a Accessi non riusciti a destra.

Per altre informazioni, vedere Monitorare il log di controllo SAP.

Ad esempio:

Screenshot delle sezioni nell'area Errori di accesso della cartella di lavoro di Controllo SAP che è possibile filtrare in base a dati anomali.

La tabella seguente descrive ogni metrica nell'area rilevamento anomalie:

Area Descrizione
Frequenza errori di accesso Anomalie>di accesso Errori di accesso Accesso Accessi utente univoco non riuscito per ogni sistema SAP> Mostra il numero di accessi univoci non riusciti per ogni sistema SAP.
SAP e Active Directory sono migliori insieme La tabella Errori di accesso anomali mostra una combinazione di dati di Microsoft Sentinel e Microsoft Entra, elencando gli utenti in base al rischio, con gli utenti più rischiosi nella parte superiore.

Per ogni utente, la tabella mostra:
- Sequenza temporale dei tentativi di accesso non riusciti
- Sequenza temporale che mostra il punto in cui si è verificato un tentativo anomalo non riuscito
- Tipo di anomalia
- Indirizzo di posta elettronica dell'utente
- Indicatore di rischio di Microsoft Entra
- Numero di eventi imprevisti e avvisi in Microsoft Sentinel

Selezionare la riga di un utente per visualizzare un elenco di avvisi e eventi imprevisti correlati. Gli eventi di rischio di Microsoft Entra sono elencati in Controllo di Azure e rischi di accesso per l'utente.
Frequenza degli errori di accesso per sistema Mostra i sistemi SAP selezionati, raggruppati per tipo, con il numero di errori nel periodo selezionato.

Il colore del sistema indica il numero di tentativi non riusciti: verde per alcuni tentativi di accesso sospetti e rosso per altro.

Selezionare un sistema per visualizzare un elenco di accessi non riusciti, con informazioni dettagliate sugli errori.

Nello screenshot seguente si notino i dati visualizzati quando viene selezionata la prima riga nella tabella Errori di accesso anomali. Gli URL di eventi imprevisti e gli avvisi specifici sono visualizzati nella panoramica degli eventi imprevisti/avvisi per la tabella degli utenti .

Screenshot dei dati visualizzati quando viene selezionata una riga nella tabella Errori di accesso anomali.

Nello screenshot seguente il controllo di Azure e i rischi di accesso per la tabella degli utenti mostrano i dati relativi al rischio di accesso correlato a questo utente.

Screenshot dei dati di controllo e rischio di accesso visualizzati quando viene selezionata una riga nella tabella Errori di accesso anomali.

Nello screenshot seguente si noti la frequenza degli errori di accesso per ogni area di sistema , in cui è selezionato il sistema 84e nel gruppo Test . Gli accessi non riusciti per l'area di sistema a destra mostrano gli eventi di errore per questo sistema.

Screenshot della frequenza degli errori di accesso per area di sistema della cartella di lavoro sap Audit.

Errori di accesso - Tendenze

L'area Tendenze degli errori di accesso mostra le tendenze e il numero di accessi non riusciti, raggruppati in base a diversi tipi di dati. Ad esempio:

Screenshot dell'area Tendenze degli errori di accesso della cartella di lavoro sap Audit.

La tabella seguente descrive ogni metrica nell'area Tendenze errori di accesso:

Area Descrizione
Errore di accesso per causa Mostra la tendenza del numero di errori di accesso in base alla causa dell'errore, ad esempio dati di accesso non corretti.
Errore di accesso per tipo Mostra la tendenza del numero di errori di accesso in base al tipo, ad esempio l'accesso ha attivato un processo in background o l'accesso è stato tramite HTTP.
Errore di accesso per metodo Mostra la tendenza del numero di errori di accesso in base al metodo, ad esempio SNC o un ticket di accesso.

Scheda Report avvisi log di controllo

La scheda Avvisi del log di controllo mostra i dati sugli eventi del log di controllo SAP controllati dalla soluzione Microsoft Sentinel per le applicazioni SAP. I dati sono basati sull'elenco di controllo SAP_Dynamic_Audit_Log_Monitor_Configuration.

La scheda Avvisi del log di controllo mostra le tendenze di gravità e controllo per ogni sistema e utente SAP. Tutte le aree di questa scheda mostrano solo i dati contrassegnati dal rilevamento anomalie. Per tutti gli eventi, selezionare Tutti accanto a Accessi non riusciti a destra.

Per altre informazioni, vedere Monitorare il log di controllo SAP.

Ad esempio:

Screenshot dell'area Avvisi log di controllo della cartella di lavoro sap Audit.

La tabella seguente descrive ogni metrica nella scheda Avvisi del log di controllo:

Area Descrizione
Tendenze di gravità degli avvisi per ID sistema Mostra un elenco di sistemi, con un grafico delle tendenze degli eventi di gravità medio e alto per sistema.

Ad esempio, il sistema 012 ha avuto molti eventi di gravità elevata per l'intero periodo e alcuni eventi di gravità media , con un picco che mostra più eventi di gravità media nel corso del periodo.
Tendenza di controllo per utente Mostra una combinazione di dati di Microsoft Sentinel e Microsoft Entra, elencando gli utenti in base al rischio, con gli utenti più rischiosi nella parte superiore.

Per ogni utente la cartella di lavoro mostra i dati seguenti:
- Sequenza temporale degli eventi di gravità alta e media
- Indirizzo di posta elettronica dell'utente
- Indicatore di rischio di Microsoft Entra
- Numero di eventi imprevisti e avvisi in Microsoft Sentinel

Selezionare una riga per visualizzare un elenco di avvisi e eventi imprevisti per l'utente in Panoramica degli eventi imprevisti/avvisi per l'utente.

Visualizzare gli eventi di rischio di Microsoft Entra in Controllo di Azure e rischi di accesso per l'utente.
Punteggio di rischio per sistema Rappresenta visivamente ogni sistema in una forma di cella, che mostra il punteggio di rischio per ogni sistema e sistemi di raggruppamento per tipo.

Il colore del sistema indica il punteggio di rischio del sistema: verde per un punteggio di rischio inferiore e rosso per un punteggio di rischio superiore.

Selezionare un sistema per visualizzare un elenco di eventi SAP per sistema.
Eventi di MITRE ATT&CK tattiche Mostra un elenco di eventi SAP raggruppati per tattiche MITRE ATT&CK, ad esempio l'accesso iniziale o l'evasione della difesa.

Passare il puntatore del mouse sul grafico per visualizzare il numero di accessi per date diverse.
Eventi per categoria Mostra un elenco di tendenze degli eventi SAP raggruppate per categoria, ad esempio Inizio RFC o Accesso.

Passare il puntatore del mouse sul grafico per visualizzare il numero di accesso per date diverse.
Eventi per gruppo di autorizzazioni Mostra un elenco delle tendenze degli eventi SAP raggruppate in base al gruppo di autorizzazioni SAP, ad esempio USER o SUPER.

Passare il puntatore del mouse sul grafico per visualizzare il numero di accessi per date diverse.
Eventi per tipo di utente Mostra un elenco delle tendenze degli eventi SAP raggruppate in base al tipo di utente SAP, ad esempio Dialog o System.

Passare il puntatore del mouse sul grafico per visualizzare il numero di accessi per date diverse.

Nello screenshot seguente si notino i dati visualizzati quando viene selezionata la prima riga nella tabella Controlla tendenze per utente . Gli URL di eventi imprevisti e gli avvisi specifici sono visualizzati nella panoramica degli eventi imprevisti/avvisi per la tabella degli utenti .

Screenshot dei dati visualizzati quando viene selezionata una riga nella tabella Controlla tendenze per utente.

Nello screenshot seguente si noti il punteggio di rischio per area di sistema, in cui è selezionato il sistema cb7 nel gruppo UAT. Gli eventi SAP per l'area di sistema sotto la visualizzazione del sistema mostrano l'evento SAP per questo sistema.

Screenshot del punteggio di rischio per area di sistema della cartella di lavoro sap Audit.

Nello screenshot seguente si notino aree con eventi e tendenze degli eventi raggruppati in base a diversi tipi di dati: tattiche MITRE ATT&CK, gruppo di autorizzazioni SAP e tipo di utente.

Screenshot dei diversi dati dell'evento nella cartella di lavoro di SAP Audit.

Contenuto correlato

Per altre informazioni, vedere Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP dall'hub del contenuto e dalla soluzione Microsoft Sentinel per le applicazioni SAP: informazioni di riferimento sul contenuto di sicurezza.