Práce s řešením Microsoft Sentinel pro aplikace SAP v několika pracovních prostorech

  • Článek

Při nastavování pracovního prostoru Služby Microsoft Sentinel máte k dispozici několik možností architektury a faktorů, které je potřeba zvážit. Při zohlednění zeměpisné oblasti, regulace, řízení přístupu a dalších faktorů můžete mít ve vaší organizaci více pracovních prostorů Služby Microsoft Sentinel.

Tento článek popisuje, jak pracovat s řešením Microsoft Sentinel pro aplikace SAP ve více pracovních prostorech pro různé scénáře nasazení.

Řešení Microsoft Sentinel pro aplikace SAP nativně podporuje architekturu mezi pracovními prostory, která podporuje vylepšenou flexibilitu pro:

  • Poskytovatelé spravovaných služeb zabezpečení (MSSP) nebo globální nebo federované centrum operací zabezpečení (SOC).
  • Požadavky na rezidenci dat
  • Organizační hierarchie a návrh IT
  • V jednom pracovním prostoru není dostatek řízení přístupu na základě role (RBAC).

Důležité

Práce s více pracovními prostory je aktuálně ve verzi Preview. Tato funkce je poskytována bez smlouvy o úrovni služeb. Další informace najdete v dodatečných podmínkách použití pro verze Preview v Microsoft Azure.

Při nasazování obsahu zabezpečení SAP můžete definovat více pracovních prostorů.

Spolupráce mezi týmy SOC a SAP ve vaší organizaci

Běžným případem použití je spolupráce mezi týmy SOC a SAP ve vaší organizaci, která vyžaduje nastavení více pracovních prostorů.

Tým SAP vaší organizace má technické znalosti, které jsou nezbytné k úspěšnému a efektivnímu implementaci řešení Microsoft Sentinel pro aplikace SAP. Proto je důležité, aby tým SAP viděl relevantní data a spolupracoval s SOC ohledně požadovaných postupů konfigurace a reakce na incidenty.

Existují dva možné scénáře pro týmovou spolupráci SOC a SAP v závislosti na potřebách vaší organizace:

  • Scénář 1: Data SAP a data SOC udržovaná v samostatných pracovních prostorech Oba týmy vidí data SAP pomocí dotazů napříč pracovními prostory.

  • Scénář 2: Data SAP uložená pouze v pracovním prostoru SOC Tým SAP může dotazovat data pomocí dotazů kontextu prostředků.

Scénář 1: Data SAP a data SOC udržovaná v samostatných pracovních prostorech

V tomto scénáři má tým SAP a tým SOC samostatné pracovní prostory Microsoft Sentinelu, ve kterých se uchovávají týmová data.

Diagram that shows working with the Microsoft Sentinel solution for SAP applications in separate workspaces for SAP and SOC data.

Když vaše organizace nasadí řešení Microsoft Sentinel pro aplikace SAP, každý tým určí svůj pracovní prostor SAP.

Běžným postupem je poskytnout některým nebo všem členům týmu SOC roli Čtenář služby Sentinel pro pracovní prostor SAP.

Vytváření samostatných pracovních prostorů pro data SAP a SOC má tyto výhody:

  • Microsoft Sentinel může aktivovat výstrahy, které zahrnují data SOC i SAP, a může tyto výstrahy spouštět v pracovním prostoru SOC.

    Poznámka:

    U větších prostředí SAP může spouštění dotazů vytvořených soc na data z pracovního prostoru SAP ovlivnit výkon. Data SAP musí při dotazování do pracovního prostoru SOC cestovat. Pokud chcete zvýšit výkon a optimalizaci nákladů, zvažte možnost mít pracovní prostory SOC i SAP ve stejném vyhrazeném clusteru.

  • Tým SAP má vlastní pracovní prostor Microsoft Sentinelu, který obsahuje všechny funkce s výjimkou detekcí, které zahrnují data SOC i SAP.

  • Flexibilita Tým SAP se může zaměřit na kontrolu vnitřních hrozeb v jeho prostředí a SOC se může zaměřit na vnější hrozby.

  • Za poplatky za příjem dat se neúčtují žádné další poplatky, protože data se ingestují jenom jednou do Služby Microsoft Sentinel. Každý pracovní prostor má ale vlastní cenovou úroveň.

  • SOC může zobrazit a prošetřit incidenty SAP. Pokud tým SAP čelí události, kterou nedokáže vysvětlit pomocí existujících dat, tým může incident přiřadit soc.

Následující tabulka mapuje přístup k datům a funkcím pro týmy SAP a SOC v tomto scénáři:

Function Tým SOC Tým SAP
Přístup k pracovnímu prostoru SOC
Data pracovního prostoru SAP, pravidla analýzy, funkce, seznamy ke zhlédnutí a přístup k sešitům 1
Přístup a spolupráce incidentů SAP 1

1 Tým SOC může tyto funkce zobrazit v obou pracovních prostorech. Tým SAP vidí tyto funkce jenom v pracovním prostoru SAP.

Scénář 2: Data SAP uložená pouze v pracovním prostoru SOC

V tomto scénáři chcete zachovat všechna data v jednom pracovním prostoru a použít řízení přístupu. Můžete to provést pomocí Log Analytics ve službě Azure Monitor ke správě přístupu k datům podle prostředků. Prostředky SAP můžete také přidružit k ID prostředku Azure zadáním požadovaného azure_resource_id pole v části konfigurace konektoru v kolektoru dat, který používáte k ingestování dat ze systému SAP do Microsoft Sentinelu.

Diagram that shows how to work with the Microsoft Sentinel solution for SAP applications by using the same workspace for SAP and SOC data.

Jakmile je agent kolektoru dat nakonfigurovaný se správným ID prostředku, může tým SAP přistupovat ke konkrétním datům SAP v pracovním prostoru SOC pomocí dotazu v oboru prostředků. Tým SAP nemůže číst žádné jiné datové typy, které nejsou sap.

K tomuto přístupu nejsou spojené žádné náklady, protože data se ingestují jenom jednou do Služby Microsoft Sentinel. Když použijete tento režim přístupu, tým SAP uvidí jenom nezpracovaná a neformátovaná data. Tým SAP nemůže používat žádné funkce Microsoft Sentinelu. Kromě přístupu k nezpracovaných datům přes Log Analytics má tým SAP přístup ke stejným datům prostřednictvím Power BI.

Další krok

V tomto článku jste se dozvěděli o práci s řešením Microsoft Sentinel pro aplikace SAP ve více pracovních prostorech pro různé scénáře nasazení. Dále se dozvíte, jak nasadit řešení:

Nasazení řešení Microsoft Sentinel pro aplikace SAP