Integrieren von SAP in mehrere Arbeitsbereiche
Wenn Sie Ihren für Microsoft Sentinel aktivierten Log Analytics-Arbeitsbereich einrichten, gibt es mehrere Architekturoptionen und zu berücksichtigende Faktoren. Unter Berücksichtigung von Geografie, Regulierungen, Zugriffssteuerung und anderen Faktoren möchten Sie möglicherweise mehrere Arbeitsbereiche in Ihrer Organisation einrichten.
Wenn Sie mit SAP arbeiten, müssen Ihre SAP- und SOC-Teams möglicherweise in separaten Arbeitsbereichen arbeiten, um Sicherheitsgrenzen einzuhalten. Möglicherweise möchten Sie nicht, dass das SAP-Team Einblick in alle anderen Sicherheitsprotokolle in Ihrer Organisation erhält. Das SAP BASIS-Team spielt jedoch eine wichtige Rolle bei der erfolgreichen Implementierung und Wartung der Microsoft Sentinel-Lösung für SAP-Anwendungen. Sein technisches Wissen ist unerlässlich, um SAP-Systeme effektiv zu überwachen, Sicherheitseinstellungen zu konfigurieren und sicherzustellen, dass geeignete Verfahren zur Reaktion auf Vorfälle vorhanden sind. Aus diesem Grund benötigt das SAP BASIS-Team Zugriff auf den Log Analytics-Arbeitsbereich, der für Microsoft Sentinel aktiviert ist, sodass es mit dem SOC-Team zusammenarbeiten und sich speziell auf die SAP-bezogene Sicherheitsüberwachung konzentrieren kann.
In diesem Artikel wird erläutert, wie Sie mit Microsoft Sentinel-Lösung für SAP-Anwendungen in mehreren Arbeitsbereichen für verschiedene Szenarien arbeiten. Dies bietet auch mehr Flexibilität für Folgendes:
- Verwaltete Sicherheitsdienstanbieter (Managed Security Service Providers, MSSPs) oder ein globales oder Verbund-SOC (Security Operations Center).
- Anforderungen an die Datenresidenz.
- Organisationshierarchie und IT-Entwurf.
- Unzureichende rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in einem einzelnen Arbeitsbereich.
Wichtig
Das Arbeiten mit mehreren Arbeitsbereichen befindet sich derzeit in der Vorschauversion. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.
SAP- und SOC-Daten, die in separaten Arbeitsbereichen verwaltet werden
Wenn Ihre SAP- und SOC-Teams separate Log Analytics-Arbeitsbereiche für Microsoft Sentinel aktiviert haben, in denen Teamdaten gespeichert werden, wird empfohlen, einigen oder allen SOC-Teammitgliedern die Rolle Sentinel-Leser für den Arbeitsbereich des SAP BASIS-Teams zuzuweisen. Auf diese Weise können beide Teams SAP-Daten mithilfe von arbeitsbereichsübergreifenden Abfragen anzeigen.
Die Aufrechterhaltung separater Arbeitsbereiche für SAP- und SOC-Daten bietet die folgenden Vorteile:
| Vorteil | Beschreibung |
|---|---|
| Warnungen | Microsoft Sentinel kann Warnungen auslösen, die sowohl SOC- als auch SAP-Daten enthalten, und diese Warnungen im SOC-Arbeitsbereich ausführen. |
| Datenisolation | Das SAP BASIS-Team verfügt über einen eigenen Arbeitsbereich, einschließlich aller Features, mit Ausnahme von Erkennungen, die sowohl SOC- als auch SAP-Daten umfassen. Der SOC kann SAP-Vorfälle sehen und untersuchen. Wenn das SAP BASIS-Team mit einem Ereignis konfrontiert ist, das nicht mithilfe vorhandener Daten erklärt werden kann, kann das Team den Vorfall dem SOC-Team zuweisen. |
| Flexibilität | Das SAP BASIS-Team kann sich auf die Kontrolle interner Bedrohungen in seiner Umgebung konzentrieren, während sich das SOC-Team auf externe Bedrohungen konzentrieren kann. |
| Preise | Es fallen keine zusätzlichen Gebühren für die Erfassung an, da die Daten nur einmal in Microsoft Sentinel erfasst werden. Jeder Arbeitsbereich verfügt jedoch über seinen eigenen Tarif. |
In der folgenden Tabelle werden Daten- und Featurezugriff den SAP- und SOC-Teams zugewiesen, wenn beide jeweils einen eigenen Arbeitsbereich nutzen:
| Funktion | SOC-Team | SAP BASIS-Team |
|---|---|---|
| SOC-Arbeitsbereichszugriff | ✅ | ❌ |
| Zugriff auf SAP-Arbeitsbereichsdaten, Analyseregeln, Funktionen, Watchlists und Arbeitsmappen | ✅ | ✅* |
| Zugriff auf SAP-Vorfälle und Zusammenarbeit | ✅ | ✅* |
* Das SOC-Team kann diese Funktionen in beiden Arbeitsbereichen sehen. Das SAP BASIS-Team kann diese Funktionen nur im SAP-Arbeitsbereich sehen.
Hinweis
Das Ausführen von arbeitsbereichsübergreifenden Abfragen in größeren SAP-Umgebungen kann sich auf die Leistung auswirken. Für verbesserte Leistung und Kostenoptimierungen sollten Sie erwägen, sowohl den SOC- als auch den SAP-Arbeitsbereich im selben dedizierten Cluster zu platzieren. Weitere Informationen finden Sie unter Erstellen und Verwalten eines dedizierten Clusters in Azure Monitor-Protokollen.
SAP- und SOC-Daten, die im selben Arbeitsbereich verwaltet werden
Möglicherweise möchten Sie alle Daten in einem einzigen Arbeitsbereich aufbewahren und Zugriffssteuerungen anwenden, um festzulegen, wer in Ihrem Team auf die Daten zugreifen darf.
Gehen Sie dazu folgendermaßen vor:
Verwenden Sie Log Analytics in Azure Monitor, um den Zugriff auf Daten nach Ressource zu verwalten. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel-Daten nach Ressource.
Ordnen Sie SAP-Ressourcen einer Azure-Ressourcen-ID zu. Diese Option wird nur für einen Datenconnector-Agent unterstützt, der über CLI bereitgestellt wird. Geben Sie das erforderliche Feld
azure_resource_idim Abschnitt zur Connectorkonfiguration für den Datensammler an, den Sie zum Erfassen von Daten aus dem SAP-System in Microsoft Sentinel verwenden. Weitere Informationen finden Sie unter Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile und die Connector-Konfiguration.
Nachdem der Datensammler-Agent mit der richtigen Ressourcen-ID konfiguriert wurde, kann das SAP BASIS-Team mithilfe einer ressourcenbezogenen Abfrage auf die spezifischen SAP-Daten im SOC-Arbeitsbereich zugreifen. Das SAP BASIS-Team kann keinen der anderen Nicht-SAP-Datentypen lesen.
Bei diesem Ansatz fallen keine Kosten an, da die Daten nur einmal in Microsoft Sentinel erfasst werden.
Wenn Sie den Zugriff nach Ressource verwalten, sieht das SAP BASIS-Team nur rohe und unformatierte Daten, auf die über Log Analytics oder Power BI zugegriffen werden kann. Das SAP BASIS-Team kann keine Microsoft Sentinel-Features verwenden.
Zugehöriger Inhalt
Weitere Informationen finden Sie unter Bereitstellen der Microsoft Sentinel-Lösung für SAP-Anwendungen.