Kontrola dodržování předpisů pro ovládací prvky zabezpečení SAP pomocí sešitu SAP – Kontrolní mechanismy auditu zabezpečení
Tento článek popisuje, jak můžete pomocí sešitu SAP – Security Audit Controls monitorovat a sledovat dodržování předpisů architektury řízení zabezpečení v systémech SAP, včetně následujících funkcí:
- Podívejte se na doporučení, která analytická pravidla se mají povolit, a povolte je místně s správnou přednastavenou konfigurací.
- Přidružte analytická pravidla k rozhraní pro kontrolu SOX nebo NIST nebo použijte vlastní architekturu ovládacích prvků.
- Zkontrolujte incidenty a výstrahy shrnuté podle ovládacího prvku podle vybrané architektury řízení.
- Export relevantních incidentů pro účely další analýzy pro účely auditování a generování sestav.
Příklad:
Obsah v tomto článku je určený pro váš bezpečnostní tým.
Požadavky
Než začnete používat sešit SAP – Protokol auditu zabezpečení a počáteční přístup , musíte mít:
Řešení Microsoft Sentinel pro aplikace SAP nainstalované a nasazený agent datového konektoru. Další informace najdete v tématu Nasazení řešení Microsoft Sentinel pro aplikace SAP.
Sešit ovládacích prvků auditu SAP nainstalovaný v pracovním prostoru služby Log Analytics povolený pro Microsoft Sentinel Další informace najdete v tématu a vizualizaci a monitorování dat pomocí sešitů v Microsoft Sentinelu.
Alespoň jeden incident v pracovním prostoru s alespoň jednou položkou dostupnou
SecurityIncidentv tabulce. Nemusí to být incident SAP a pokud ho nemáte, můžete vygenerovat ukázkový incident pomocí základního analytického pravidla.
Zobrazení ukázky
Prohlédněte si ukázku tohoto sešitu:
Další informace najdete v kanálu Microsoft Security Community YouTube:
Podporované filtry
Sešit SAP Audit Controls podporuje následující filtry, které vám pomůžou soustředit se na potřebná data:
| Možnost filtru | Popis |
|---|---|
| Předplatné a pracovní prostor | Vyberte pracovní prostor, jehož systémy SAP dodržují předpisy, které chcete auditovat. Může to být jiný pracovní prostor, než kde je nasazená služba Microsoft Sentinel. |
| Čas vytvoření incidentu | Vyberte rozsah od posledních čtyř hodin až po posledních 30 dnů nebo vlastní rozsah, který určíte. |
| Další atributy incidentu, včetně stavu, závažnosti, taktiky, vlastníka | Pro každou z těchto možností vyberte z dostupných možností, které odpovídají hodnotám znázorněným v incidentech ve vybraném časovém rozsahu. |
| Systémové role | Systémové role SAP, například Produkční. |
| Využití systému | Využití systému SAP, jako je SAP ERP. |
| Systémy | Vyberte všechna ID systému SAP, konkrétní ID systému nebo více systémových ID. |
| Architektura řízení, rodiny ovládacích prvků, ID ovládacích prvků | Vyberte řídicí architekturu, podle které chcete vyhodnotit pokrytí, a konkrétní ovládací prvky, podle kterých chcete filtrovat data sešitu. |
Doporučení k uchovávání dat
Řídicí panely ovládacích prvků auditu SAP poskytují agregované zobrazení incidentů a výstrah na základě tabulek SecurityAlert a SecurityIncident , které ve výchozím nastavení uchovávají 30 dnů dat.
Zvažte prodloužení doby uchovávání těchto tabulek tak, aby odpovídaly požadavkům vaší organizace na dodržování předpisů. Bez ohledu na to, kterou zvolíte pro zásady uchovávání těchto tabulek, se data incidentů nikdy neodstraní, i když se tady nemusí zobrazovat. Data výstrah se uchovávají podle zásad uchovávání informací v tabulce.
Skutečné zásady uchovávání dat tabulek SecurityAlert a SecurityIncident mohou být definovány jako něco jiného než výchozí 30 dnů. Podívejte se na oznámení na modrém pozadí v sešitu a zobrazte skutečný časový rozsah dat v tabulkách podle aktuálních zásad uchovávání informací.
Další informace najdete v tématu Konfigurace zásad uchovávání dat pro tabulku v pracovním prostoru služby Log Analytics.
Karta Konfigurace – vytváření analytických pravidel z dosud nepoužívaných šablon
Šablony připravené k použití na kartě Konfigurace zobrazují šablony analytických pravidel z řešení Microsoft Sentinel pro aplikace SAP, které ještě nebyly implementovány jako aktivní pravidla. Možná budete muset vytvořit tato pravidla, abyste dosáhli dodržování předpisů. Příklad:
Ve výchozím nastavení se tato tabulka filtruje pro SAP a sap je vybraná v šablonách řešení a konfiguruje rozevírací seznam. V tomto rozevíracím seznamu vyberte libovolná nebo všechna další řešení a vyplňte šablonu připravenou k dalšímu použití tabulky.
Pro každý řádek v tabulce vyberte Zobrazit další podrobnosti o konfiguraci pravidla jen pro čtení.
Sloupec Doporučená konfigurace zobrazuje účel pravidla: má se vytvořit incidenty pro šetření? Nebo pouze vytvořit výstrahy, které mají být odloženy a přidány do jiných incidentů, které se mají použít jako důkazy v jejich vyšetřování?
Výběrem možnosti Aktivovat pravidlo v bočním podokně vytvořte analytické pravidlo ze šablony s již integrovanou doporučenou konfigurací. Tato funkce vám ušetří potíže s tím, že budete muset odhadnout správnou konfiguraci a definovat ji ručně.
Karta Konfigurace – Zobrazení nebo změna přiřazení ovládacích prvků zabezpečení analytických pravidel
The Select a rule to configure table on the Configure tab shows a list of activated analytics rules relevant to SAP. Příklad:
V tabulce zkontrolujte:
Čáry počtu a grafů vygenerované jednotlivými pravidly ve sloupcích Incidenty a Výstrahy Identické počty naznačují, že seskupení výstrah je zakázané.
Hodnoty sloupce Incidenty a Zdroj , abyste pochopili, jestli je pravidlo nastavené na vytváření incidentů .
Určuje, jestli je doporučená konfigurace pravidla pouze jako výstraha. Pokud ano, zvažte vypnutí nastavení vytvoření incidentu v pravidle.
Výběrem pravidla zobrazíte podokno podrobností s dalšími informacemi. Příklad:
Horní část tohoto bočního panelu obsahuje doporučení týkající se povolení nebo zakázání vytváření incidentů v konfiguraci analytického pravidla.
Další část bočního podokna ukazuje, se kterými ovládacími prvky zabezpečení a rodinami ovládacích prvků je pravidlo identifikováno pro každou z dostupných architektur.
- Pro architektury SOX a NIST můžete přiřazení ovládacích prvků přizpůsobit výběrem jiné řady ovládacích prvků nebo ovládacích prvků z příslušných rozevíracích nabídek.
- Pro vlastní architektury zadejte ovládací prvky a ovládacího prvku volby do textových polí MyOrg . Pokud provedete nějaké změny, vyberte Uložit změny.
Pokud pro danou architekturu nebylo přiřazeno konkrétní analytické pravidlo, zobrazí se výzva k ručnímu nastavení ovládacích prvků. Po výběru ovládacích prvků vyberte Uložit změny.
Pokud chcete zobrazit zbývající podrobnosti vybraného pravidla, jak je aktuálně definováno, vyberte Přehled pravidla.
Karta Sledování
Karta Monitorování obsahuje několik grafických znázornění různých seskupení incidentů ve vašem prostředí, které odpovídají filtrům v horní části sešitu:
Graf spojnice trendu, označený trend incidentů, zobrazuje počet incidentů v průběhu času. Tyto incidenty jsou seskupeny a ve výchozím nastavení jsou reprezentovány různými barevnými čárami a stínováním podle řady ovládacích prvků představovaných pravidlem, které je vygenerovalo. V rozevíracím seznamu Podrobnosti vyberte alternativní seskupení těchto incidentů. Příklad:
Graf Hive Incidents zobrazuje počet incidentů seskupených dvěma způsoby. Výchozí hodnoty pro architekturu SOX jsou nejprve podle řady ovládacích prvků SOX, což je pole honeycomb buněk a potom podle ID systému, což je každá buňka v medokomu. Vyberte různá kritéria, podle kterých chcete zobrazit seskupení pomocí přechodu k podrobnostem a potom pomocí selektorů.
Přibližte graf Hive, aby byl text dostatečně velký, aby byl srozumitelný, a oddálit zobrazením všech seskupení. Přetažením celého grafu zobrazíte různé části grafu. Příklad:
Karta Sestava
Karta Sestava obsahuje seznam všech incidentů ve vašem prostředí, které odpovídají filtrům v horní části sešitu.
Incidenty jsou seskupené podle řady ovládacích prvků a ID ovládacího prvku.
Odkaz ve sloupci Adresa URL incidentu otevře nové okno prohlížeče, které se otevře na stránce šetření incidentu pro daný incident. Tento odkaz je trvalý a bude fungovat bez ohledu na zásady uchovávání informací pro tabulku SecurityIncident .
Posuňte se dolů na konec okna (vnější posuvník), abyste viděli vodorovný posuvník, který můžete použít k zobrazení zbývajících sloupců v sestavě.
Export této sestavy do tabulky výběrem tří teček (tři tečky) v pravém horním rohu sestavy a následným výběrem možnosti Exportovat do Excelu.
Související obsah
Další informace najdete v tématu Nasazení řešení Microsoft Sentinel pro aplikace SAP z centra obsahu a řešení Microsoft Sentinel pro aplikace SAP: referenční informace k obsahu zabezpečení.