Connector für die SecurityBridge-Bedrohungserkennung für SAP für Microsoft Sentinel

  • Artikel

SecurityBridge ist die erste und einzige ganzheitliche, nativ integrierte Sicherheitsplattform, die alle Aspekte behandelt, die erforderlich sind, um Organisationen, die SAP ausführen, vor internen und externen Bedrohungen gegen ihren Kerngeschäftsanwendungen zu schützen. Die SecurityBridge-Plattform ist ein SAP-zertifiziertes Add-On, das von Organisationen auf der ganzen Welt verwendet wird und die Anforderungen der Kunden nach erweiterter Cybersicherheit, Echtzeitüberwachung, Compliance, Codesicherheit und Patchen zum Schutz vor internen und externen Bedrohungen abdeckt. Mit dieser Microsoft Sentinel-Lösung können Sie SecurityBridge-Bedrohungserkennungsereignisse aus all Ihren lokalen und cloudbasierten SAP-Instanzen in Ihre Sicherheitsüberwachung integrieren. Verwenden Sie diese Microsoft Sentinel-Lösung, um normalisierte und sprechende Sicherheitsereignisse, vordefinierte Dashboards und sofort einsatzbereite Vorlagen für Ihre SAP-Sicherheitsüberwachung zu erhalten.

Connector-Attribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen SecurityBridgeLogs_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Christoph Nagy

Abfragebeispiele

Die Top 10 Ereignisnamen

SecurityBridgeLogs_CL 

| extend Name = tostring(split(RawData, '
|')[5]) 

| summarize count() by Name 
| top 10 by count_

Installationsanweisungen des Anbieters

Hinweis

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie die folgenden Schritte aus, um den Kusto Functions-AliasSecurityBridgeLogs zu erstellen

Hinweis

Dieser Datenconnector wurde mit der SecurityBridge-Anwendungsplattform 7.4.0 entwickelt.

  1. Installieren und Integrieren des Agent für Linux oder Windows

Diese Lösung erfordert die Protokollsammlung über eine Installation des Microsoft Sentinel-Agents

Der Sentinel-Agent wird unter den folgenden Betriebssystemen unterstützt:

  1. Windows-Server

  2. SUSE Linux Enterprise Server

  3. Redhat Linux Enterprise Server

  4. Oracle Linux Enterprise Server

  5. Wenn Sie die SAP-Lösung unter HPUX/AIX installiert haben, müssen Sie einen Protokollsammler für eine der oben aufgeführten Linux-Optionen bereitstellen und Ihre Protokolle an diesen Sammler weiterleiten

  6. Konfigurieren der zu erfassenden Protokolle

Konfigurieren des zu sammelnden benutzerdefinierten Protokollverzeichnis

  1. Wählen Sie den obigen Link aus, um die erweiterten Einstellungen Ihres Arbeitsbereichs zu öffnen
  2. Klicken Sie auf +Benutzerdefinierte hinzufügen
  3. Klicken Sie auf Durchsuchen, um ein Beispiel einer SecurityBridge-SAP-Protokolldatei (z. B. AED_20211129164544.cef) hochzuladen. Klicken Sie dann auf Weiter >
  4. Wählen Sie Neue Zeile als Datensatztrennzeichen aus, und klicken Sie dann auf Weiter >
  5. Wählen Sie Windows oder Linux aus, und geben Sie den Pfad zu den SecurityBridge-Protokollen entsprechend Ihrer Konfiguration ein. Beispiel:
  • „/usr/sap/tmp/sb_events/*.cef“

HINWEIS: Sie können in der Konfiguration beliebig viele Pfade hinzufügen.

  1. Nachdem Sie den Pfad eingegeben haben, klicken Sie auf das Symbol „+“, um den Pfad anzuwenden, und klicken Sie dann auf Weiter >

  2. Fügen Sie SecurityBridgeLogs als benutzerdefinierten Protokollnamen hinzu, und klicken Sie auf Fertig

  3. Überprüfen von Protokollen in Microsoft Sentinel

Öffnen Sie Log Analytics, um mithilfe der benutzerdefinierten SecurityBridgeLogs_CL-Protokolltabelle zu überprüfen, ob die Protokolle empfangen werden.

HINWEIS: Es kann bis zu 30 Minuten dauern, bis neue Protokolle in der SecurityBridgeLogs_CL-Tabelle angezeigt werden.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.