Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie Ihren Log Analytics-Arbeitsbereich einrichten, der für Microsoft Sentinel aktiviert ist, müssen Sie mehrere Architekturoptionen und -faktoren berücksichtigen. Unter Berücksichtigung von Geografie, Regulierung, Zugriffssteuerung und anderen Faktoren können Sie mehrere Arbeitsbereiche in Ihrem organization verwenden.
Wenn Sie mit SAP arbeiten, müssen Ihre SAP- und SOC-Teams möglicherweise in separaten Arbeitsbereichen arbeiten, um Sicherheitsgrenzen aufrechtzuerhalten. Möglicherweise möchten Sie nicht, dass das SAP-Team Einblick in alle anderen Sicherheitsprotokolle in Ihrem organization hat. Das SAP BASIS-Team spielt jedoch eine wichtige Rolle bei der erfolgreichen Implementierung und Wartung der Microsoft Sentinel Lösung für SAP-Anwendungen. Ihre technischen Kenntnisse sind für die effektive Überwachung von SAP-Systemen, die Konfiguration von Sicherheitseinstellungen und die Sicherstellung, dass geeignete Verfahren zur Reaktion auf Vorfälle vorhanden sind, von entscheidender Bedeutung. Aus diesem Grund muss das SAP BASIS-Team Zugriff auf den Log Analytics-Arbeitsbereich haben, der für Microsoft Sentinel aktiviert ist, sodass es mit dem SOC-Team zusammenarbeiten kann, während es sich speziell auf die SAP-bezogene Sicherheitsüberwachung konzentriert.
In diesem Artikel wird erläutert, wie Sie mit der Microsoft Sentinel-Lösung für SAP-Anwendungen in mehreren Arbeitsbereichen arbeiten, mit verbesserter Flexibilität für:
- Managed Security Service Providers (MSSPs) oder ein globales oder verbundiertes Security Operations Center (SOC).
- Anforderungen an die Datenresidenz.
- Organisationshierarchie und IT-Entwurf.
- Unzureichende rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in einem einzelnen Arbeitsbereich.
Wichtig
Die Arbeit mit mehreren Arbeitsbereichen befindet sich derzeit in der Vorschauphase. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbedingungen für Microsoft Azure-Vorschauversionen.
SAP- und SOC-Daten, die in separaten Arbeitsbereichen verwaltet werden
Wenn Für Ihre SAP- und SOC-Teams separate Log Analytics-Arbeitsbereiche für Microsoft Sentinel aktiviert sind, in denen Teamdaten gespeichert werden, wird empfohlen, einigen oder allen SOC-Teammitgliedern die Rolle "Sentinel Leser" für den Arbeitsbereich des SAP BASIS-Teams bereitzustellen. Dadurch können beide Teams SAP-Daten mithilfe von arbeitsbereichsübergreifenden Abfragen anzeigen.
Die Verwaltung separater Arbeitsbereiche für die SAP- und SOC-Daten hat die folgenden Vorteile:
| Nutzen | Beschreibung |
|---|---|
| Benachrichtigungen | Microsoft Sentinel können Warnungen auslösen, die sowohl SOC- als auch SAP-Daten enthalten, und diese Warnungen im SOC-Arbeitsbereich ausführen. |
| Datentrennung | Das SAP BASIS-Team verfügt über einen eigenen Arbeitsbereich, der alle Features mit Ausnahme von Erkennungen enthält, die sowohl SOC- als auch SAP-Daten enthalten. Das SOC kann SAP-Vorfälle anzeigen und untersuchen. Wenn das SAP BASIS-Team mit einem Ereignis konfrontiert ist, das es nicht mithilfe vorhandener Daten erklären kann, kann das Team den Incident dem SOC zuweisen. |
| Flexibilität | Das SAP BASIS-Team kann sich auf die Kontrolle interner Bedrohungen in seiner Landschaft konzentrieren, und das SOC kann sich auf externe Bedrohungen konzentrieren. |
| Preise | Es fallen keine zusätzlichen Gebühren für die Erfassung an, da Daten nur einmal in Microsoft Sentinel erfasst werden. Jeder Arbeitsbereich verfügt jedoch über einen eigenen Tarif. |
In der folgenden Tabelle sind Daten- und Featurezugriffe für SAP- und SOC-Teams aufgeführt, wenn sie jeweils ihren eigenen Arbeitsbereich verwalten:
| Funktion | SOC-Team | SAP BASIS-Team |
|---|---|---|
| SOC-Arbeitsbereichszugriff | ✅ | ❌ |
| Zugriff auf SAP-Arbeitsbereichsdaten, Analyseregeln, Funktionen, Watchlists und Arbeitsmappen | ✅ | ✅* |
| SAP-Incidentzugriff und Zusammenarbeit | ✅ | ✅* |
* Das SOC-Team kann diese Funktionen in beiden Arbeitsbereichen anzeigen. Das SAP BASIS-Team kann diese Funktionen nur im SAP-Arbeitsbereich anzeigen.
Hinweis
Das Ausführen von arbeitsbereichsübergreifenden Abfragen in größeren SAP-Landschaften kann sich auf die Leistung auswirken. Für verbesserte Leistungs- und Kostenoptimierungen sollten Sie erwägen, sowohl die SOC- als auch die SAP-Arbeitsbereiche im selben dedizierten Cluster zu verwenden. Weitere Informationen finden Sie unter Erstellen und Verwalten eines dedizierten Clusters in Azure Überwachungsprotokollen.
SAP- und SOC-Daten, die im selben Arbeitsbereich verwaltet werden
Möglicherweise möchten Sie alle Daten in einem einzigen Arbeitsbereich speichern und Zugriffssteuerungen anwenden, um zu bestimmen, wer in Ihrem Team auf die Daten zugreifen kann.
Führen Sie hierzu folgende Schritte aus:
Verwenden Sie Log Analytics in Azure Monitor, um den Zugriff auf Daten nach Ressource zu verwalten. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel Daten nach Ressource.
Ordnen Sie SAP-Ressourcen einer Azure-Ressourcen-ID zu. Diese Option wird nur für einen Datenconnector-Agent unterstützt, der über die CLI bereitgestellt wird. Geben Sie das erforderliche
azure_resource_idFeld im Abschnitt Connectorkonfiguration des Datensammlers an, den Sie zum Erfassen von Daten aus dem SAP-System in Microsoft Sentinel verwenden. Weitere Informationen finden Sie unter Bereitstellen eines SAP-Datenconnector-Agents über die Befehlszeile und Connectorkonfiguration.
Nachdem der Datensammler-Agent mit der richtigen Ressourcen-ID konfiguriert wurde, kann das SAP BASIS-Team mithilfe einer ressourcenbezogenen Abfrage auf die spezifischen SAP-Daten im SOC-Arbeitsbereich zugreifen. Das SAP BASIS-Team kann keine der anderen Nicht-SAP-Datentypen lesen.
Bei diesem Ansatz fallen keine Kosten an, da die Daten nur einmal in Microsoft Sentinel erfasst werden.
Wenn Sie den Zugriff nach Ressource verwalten, sieht das SAP BASIS-Team nur unformatierte und unformatierte Daten, auf die über Log Analytics oder Power BI zugegriffen werden kann. Das SAP BASIS-Team kann keine Microsoft Sentinel Features verwenden.
Verwandte Inhalte
Weitere Informationen finden Sie unter Bereitstellen Microsoft Sentinel Lösung für SAP-Anwendungen.