Integrace SAP do více pracovních prostorů
Když nastavíte pracovní prostor služby Log Analytics povolený pro Microsoft Sentinel, máte několik možností architektury a faktorů, které je potřeba zvážit. Při zohlednění zeměpisné oblasti, regulace, řízení přístupu a dalších faktorů se můžete rozhodnout mít ve vaší organizaci více pracovních prostorů.
Při práci se sapem možná týmy SAP a SOC budou muset pracovat v samostatných pracovních prostorech, aby zachovaly hranice zabezpečení. Možná nechcete, aby tým SAP měl přehled o všech ostatních protokolech zabezpečení ve vaší organizaci. Tým SAP BASIS ale hraje důležitou roli při úspěšné implementaci a údržbě řešení Microsoft Sentinel pro aplikace SAP. Jejich technické znalosti jsou nezbytné pro efektivní monitorování systémů SAP, konfiguraci nastavení zabezpečení a zajištění toho, aby byly zavedeny správné postupy reakce na incidenty. Z tohoto důvodu musí mít tým SAP BASIS přístup k pracovnímu prostoru služby Log Analytics povolený pro Microsoft Sentinel, který jim umožňuje spolupracovat s týmem SOC a zaměřit se konkrétně na monitorování zabezpečení související se SAP.
Tento článek popisuje, jak pracovat s řešením Microsoft Sentinel pro aplikace SAP ve více pracovních prostorech s vylepšenou flexibilitou pro:
- Poskytovatelé spravovaných služeb zabezpečení (MSSP) nebo globální nebo federované centrum operací zabezpečení (SOC).
- Požadavky na rezidenci dat
- Organizační hierarchie a návrh IT
- V jednom pracovním prostoru není dostatek řízení přístupu na základě role (RBAC).
Důležité
Práce s více pracovními prostory je aktuálně ve verzi Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.
Data SAP a SOC udržovaná v samostatných pracovních prostorech
Pokud mají týmy SAP a SOC povolené samostatné pracovní prostory služby Log Analytics pro Microsoft Sentinel, kde se uchovávají týmová data, doporučujeme, abyste některým nebo všem členům týmu SOC poskytli roli Čtenář služby Sentinel pro pracovní prostor týmu SAP BASIS. To umožňuje oběma týmům zobrazit data SAP pomocí dotazů mezi pracovními prostory.
Udržování samostatných pracovních prostorů pro data SAP a SOC má následující výhody:
| Výhoda | Popis |
|---|---|
| Výstrahy | Microsoft Sentinel může aktivovat výstrahy, které zahrnují data SOC i SAP, a může tyto výstrahy spouštět v pracovním prostoru SOC. |
| Izolace dat | Tým SAP BASIS má vlastní pracovní prostor, který zahrnuje všechny funkce kromě detekcí, které zahrnují data SOC i SAP. SOC může zobrazit a prošetřit incidenty SAP. Pokud se tým SAP BASIS setká s událostí, kterou nedokáže vysvětlit pomocí existujících dat, tým může incident přiřadit soc. |
| Flexibilita | Tým SAP BASIS se může zaměřit na kontrolu vnitřních hrozeb v jeho prostředí a SOC se může zaměřit na vnější hrozby. |
| Ceny | Za poplatky za příjem dat se neúčtují žádné další poplatky, protože data se do Služby Microsoft Sentinel ingestují jenom jednou. Každý pracovní prostor má ale vlastní cenovou úroveň. |
Následující tabulka mapuje přístup k datům a funkcím pro týmy SAP a SOC, když si každý udržuje vlastní pracovní prostor:
| Function | Tým SOC | Tým SAP BASIS |
|---|---|---|
| Přístup k pracovnímu prostoru SOC | ✅ | ❌ |
| Data pracovního prostoru SAP, pravidla analýzy, funkce, seznamy ke zhlédnutí a přístup k sešitům | ✅ | ✅* |
| Přístup a spolupráce incidentů SAP | ✅ | ✅* |
* Tým SOC může tyto funkce zobrazit v obou pracovních prostorech. Tým SAP BASIS vidí tyto funkce jenom v pracovním prostoru SAP.
Poznámka:
Spouštění dotazů napříč pracovními prostory ve větších prostředích SAP může ovlivnit výkon. Pokud chcete zvýšit výkon a optimalizaci nákladů, zvažte možnost mít pracovní prostory SOC i SAP ve stejném vyhrazeném clusteru. Další informace najdete v tématu Vytvoření a správa vyhrazeného clusteru v protokolech služby Azure Monitor.
Data SAP a SOC udržovaná ve stejném pracovním prostoru
Možná budete chtít zachovat všechna data v jednom pracovním prostoru a použít řízení přístupu, abyste zjistili, kdo má ve vašem týmu přístup k datům.
Můžete to provést pomocí následujících kroků:
Pomocí Log Analytics ve službě Azure Monitor můžete spravovat přístup k datům podle prostředků. Další informace najdete v tématu Správa přístupu k datům Microsoft Sentinelu podle prostředků.
Přidružte prostředky SAP k ID prostředku Azure. Tato možnost se podporuje jenom pro agenta datového konektoru nasazeného prostřednictvím rozhraní příkazového řádku. Zadejte požadované
azure_resource_idpole v části konfigurace konektoru v kolektoru dat, který používáte k ingestování dat ze systému SAP do Microsoft Sentinelu. Další informace najdete v tématu Nasazení agenta datového konektoru SAP z příkazového řádku a konfigurace konektoru.
Jakmile je agent kolektoru dat nakonfigurovaný se správným ID prostředku, může tým SAP BASIS přistupovat ke konkrétním datům SAP v pracovním prostoru SOC pomocí dotazu v oboru prostředků. Tým SAP BASIS nemůže číst žádné jiné datové typy, které nejsou sap.
K tomuto přístupu nejsou spojené žádné náklady, protože data se ingestují jenom jednou do Služby Microsoft Sentinel.
Když spravujete přístup podle prostředků, tým SAP BASIS uvidí jenom nezpracovaná a neformátovaná data přístupná přes Log Analytics nebo Power BI. Tým SAP BASIS nemůže používat žádné funkce Microsoft Sentinelu.
Související obsah
Další informace najdete v tématu Nasazení řešení Microsoft Sentinel pro aplikace SAP.