مشاركة عبر

العمل مع حل Microsoft Sentinel لتطبيقات SAP في مساحات عمل متعددة

  • مقالة

عند إعداد مساحة عمل Microsoft Sentinel، لديك خيارات وعوامل بنية متعددة يجب مراعاتها. مع مراعاة الجغرافيا والتنظيم والتحكم في الوصول وعوامل أخرى، قد تختار أن يكون لديك العديد من مساحات عمل Microsoft Sentinel في مؤسستك.

تتناول هذه المقالة كيفية العمل مع حل Microsoft Sentinel لتطبيقات SAP في مساحات عمل متعددة لسيناريوهات توزيع مختلفة.

يدعم حل Microsoft Sentinel لتطبيقات SAP في الأصل بنية مساحات العمل المشتركة لدعم المرونة المحسنة من أجل:

  • موفرو خدمات الأمان المدارة (MSSPs) أو مركز عمليات أمان عالمي أو متحد (SOC).
  • متطلبات موقع البيانات.
  • التدرج الهرمي التنظيمي وتصميم تكنولوجيا المعلومات.
  • التحكم في الوصول المستند إلى الدور (RBAC) غير كاف في مساحة عمل واحدة.

هام

العمل مع مساحات عمل متعددة قيد المعاينة حاليا. يتم توفير هذه الميزة دون اتفاقية على مستوى الخدمة. لمزيد من المعلومات، راجع ⁧⁩شروط الاستخدام التكميلية لمعاينات Microsoft Azure⁧⁩.

يمكنك تعريف مساحات عمل متعددة عند نشر محتوى أمان SAP.

التعاون بين فرق SOC وSAP في مؤسستك

حالة الاستخدام الشائعة هي الحالة التي يتطلب فيها التعاون بين فرق SOC وSAP في مؤسستك إعداد مساحة عمل متعددة.

يتمتع فريق SAP الخاص بمؤسستك بمعرفة تقنية ضرورية لتنفيذ حل Microsoft Sentinel لتطبيقات SAP بنجاح وفعالية. لذلك، من المهم لفريق SAP رؤية البيانات ذات الصلة والتعاون مع SOC حول إجراءات التكوين والاستجابة للحوادث المطلوبة.

هناك سيناريوهان محتملان لتعاون فريق SOC وSAP، اعتمادا على احتياجات مؤسستك:

  • السيناريو 1: بيانات SAP وبيانات SOC التي يتم الاحتفاظ بها في مساحات عمل منفصلة. يمكن لكلا الفريقين رؤية بيانات SAP باستخدام استعلامات عبر مساحة العمل.

  • السيناريو 2: يتم الاحتفاظ ببيانات SAP فقط في مساحة عمل SOC. يمكن لفريق SAP الاستعلام عن البيانات باستخدام استعلامات سياق المورد.

السيناريو 1: بيانات SAP وبيانات SOC التي يتم الاحتفاظ بها في مساحات عمل منفصلة

في هذا السيناريو، لدى فريق SAP وفريق SOC مساحات عمل Microsoft Sentinel منفصلة حيث يتم الاحتفاظ ببيانات الفريق.

Diagram that shows working with the Microsoft Sentinel solution for SAP applications in separate workspaces for SAP and SOC data.

عندما تنشر مؤسستك حل Microsoft Sentinel لتطبيقات SAP، يحدد كل فريق مساحة عمل SAP الخاصة به.

من الممارسات الشائعة تزويد بعض أعضاء فريق SOC أو جميعهم بدور Sentinel Reader لمساحة عمل SAP.

إنشاء مساحات عمل منفصلة لبيانات SAP وS SOC له هذه الفوائد:

  • يمكن ل Microsoft Sentinel تشغيل التنبيهات التي تتضمن بيانات SOC وSAP، ويمكنه تشغيل هذه التنبيهات على مساحة عمل SOC.

    إشعار

    بالنسبة إلى مناظر SAP الأفقية الأكبر، يمكن أن يؤثر تشغيل الاستعلامات التي يتم إجراؤها بواسطة SOC على البيانات من مساحة عمل SAP على الأداء. يجب أن تنتقل بيانات SAP إلى مساحة عمل SOC عند الاستعلام عنها. لتحسين الأداء وتحسين التكلفة، ضع في اعتبارك وجود مساحات عمل SOC وSAP على نفس المجموعة المخصصة.

  • يمتلك فريق SAP مساحة عمل Microsoft Sentinel الخاصة به والتي تتضمن جميع الميزات باستثناء عمليات الكشف التي تتضمن كل من بيانات SOC وSAP.

  • المرونة. يمكن لفريق SAP التركيز على التحكم في التهديدات الداخلية في مشهده، ويمكن ل SOC التركيز على التهديدات الخارجية.

  • لا توجد رسوم إضافية لرسوم الاستيعاب، لأنه يتم استيعاب البيانات مرة واحدة فقط في Microsoft Sentinel. ومع ذلك، كل مساحة عمل لها مستوى التسعير الخاص بها.

  • يمكن ل SOC رؤية أحداث SAP والتحقيق فيها. إذا واجه فريق SAP حدثا لا يمكنه شرحه باستخدام البيانات الموجودة، يمكن للفريق تعيين الحدث إلى SOC.

يعين الجدول التالي الوصول إلى البيانات والميزات لفرق SAP وS SOC في هذا السيناريو:

الدالة فريق SOC فريق SAP
الوصول إلى مساحة عمل SOC
الوصول إلى بيانات مساحة عمل SAP وقواعد التحليلات والوظائف وقوائم المشاهدة والمصنفات 1
الوصول إلى الحوادث والتعاون في SAP 1

1 يمكن لفريق SOC رؤية هذه الوظائف في كلتا مساحات العمل. يمكن لفريق SAP رؤية هذه الوظائف فقط في مساحة عمل SAP.

السيناريو 2: يتم الاحتفاظ ببيانات SAP فقط في مساحة عمل SOC

في هذا السيناريو، تريد الاحتفاظ بكافة البيانات في مساحة عمل واحدة وتطبيق عناصر التحكم في الوصول. يمكنك القيام بذلك باستخدام Log Analytics في Azure Monitor لإدارة الوصول إلى البيانات حسب المورد. يمكنك أيضا إقران موارد SAP بمعرف مورد Azure عن طريق تحديد الحقل المطلوب azure_resource_id في قسم تكوين الموصل في مجمع البيانات الذي تستخدمه لاستيعاب البيانات من نظام SAP إلى Microsoft Sentinel.

Diagram that shows how to work with the Microsoft Sentinel solution for SAP applications by using the same workspace for SAP and SOC data.

بعد تكوين عامل جامع البيانات بمعرف المورد الصحيح، يمكن لفريق SAP الوصول إلى بيانات SAP المحددة في مساحة عمل SOC باستخدام استعلام نطاق المورد. لا يمكن لفريق SAP قراءة أي من أنواع البيانات الأخرى غير SAP.

لا توجد تكاليف مقترنة بهذا الأسلوب لأن البيانات يتم استيعابها مرة واحدة فقط في Microsoft Sentinel. عند استخدام وضع الوصول هذا، يرى فريق SAP البيانات الأولية وغير المنسقة فقط. لا يمكن لفريق SAP استخدام أي ميزات Microsoft Sentinel. بالإضافة إلى الوصول إلى البيانات الأولية عبر Log Analytics، يمكن لفريق SAP الوصول إلى نفس البيانات عبر Power BI.

الخطوة التالية

في هذه المقالة، تعرفت على كيفية العمل مع حل Microsoft Sentinel لتطبيقات SAP في مساحات عمل متعددة لسيناريوهات توزيع مختلفة. بعد ذلك، تعرف على كيفية نشر الحل:

نشر حل Microsoft Sentinel لتطبيقات SAP