Arbeiten mit der Microsoft Sentinel-Lösung für SAP-Anwendungen in mehreren Arbeitsbereichen
Wenn Sie Ihren Microsoft Sentinel-Arbeitsbereich einrichten, gibt es mehrere Architekturoptionen und zu berücksichtigende Faktoren. Unter Berücksichtigung von Geografie, Regulierungen, Zugriffssteuerung und anderen Faktoren möchten Sie möglicherweise mehrere Microsoft Sentinel-Arbeitsbereiche in Ihrer Organisation einrichten.
In diesem Artikel wird erläutert, wie Sie mit der Microsoft Sentinel-Lösung für SAP-Anwendungen in mehreren Arbeitsbereichen für verschiedene Szenarien arbeiten.
Die Microsoft Sentinel-Lösung für SAP-Anwendungen unterstützt nativ eine arbeitsbereichsübergreifende Architektur und eine verbesserte Flexibilität für Folgendes:
- Verwaltete Sicherheitsdienstanbieter (Managed Security Service Providers, MSSPs) oder ein globales oder Verbund-SOC (Security Operations Center).
- Anforderungen an die Datenresidenz.
- Organisationshierarchie und IT-Entwurf.
- Unzureichende rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in einem einzelnen Arbeitsbereich.
Wichtig
Das Arbeiten mit mehreren Arbeitsbereichen befindet sich derzeit in der Vorschauversion. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.
Sie können mehrere Arbeitsbereiche definieren, wenn Sie SAP-Sicherheitsinhalt bereitstellen.
Zusammenarbeit zwischen den SOC- und SAP-Teams in Ihrer Organisation
Ein gängiger Anwendungsfall ist ein Anwendungsfall, bei dem für die Zusammenarbeit zwischen den SOC- und SAP-Teams in Ihrer Organisation eine Einrichtung mit mehreren Arbeitsbereichen erforderlich ist.
Das SAP-Team Ihrer Organisation verfügt über technisches Wissen, das für die erfolgreiche und effektive Implementierung der Microsoft Sentinel-Lösung für SAP-Anwendungen von entscheidender Bedeutung ist. Daher ist es wichtig, dass das SAP-Team die relevanten Daten einsehen kann und mit dem SOC bei der erforderlichen Konfiguration und den Verfahren zur Reaktion auf Vorfälle zusammenarbeitet.
Für die Zusammenarbeit von SOC- und SAP-Team gibt es zwei mögliche Szenarien, die von den Anforderungen Ihrer Organisation abhängen:
Szenario 1: SAP- und SOC-Daten werden in separaten Arbeitsbereichen aufbewahrt Beide Teams können die SAP-Daten mithilfe von arbeitsbereichsübergreifenden Abfragen anzeigen.
Szenario 2: SAP-Daten werden nur im SOC-Arbeitsbereich aufbewahrt. Das SAP-Team kann die Daten mithilfe von Ressourcenkontextabfragenabfragen.
Szenario 1: SAP- und SOC-Daten werden in separaten Arbeitsbereichen aufbewahrt
In diesem Szenario verfügen das SAP-Team und das SOC-Team über separate Microsoft Sentinel-Arbeitsbereiche, in denen Teamdaten aufbewahrt werden.
Wenn Ihre Organisation die Microsoft Sentinel-Lösung für SAP-Anwendungen bereitstellt, gibt jedes Team seinen SAP-Arbeitsbereich an.
Eine gängige Vorgehensweise besteht darin, einigen oder allen SOC-Teammitgliedern die Rolle „Sentinel-Leser“ für den SAP-Arbeitsbereich bereitzustellen.
Das Erstellen separater Arbeitsbereiche für die SAP- und SOC-Daten hat folgende Nutzen:
Microsoft Sentinel kann Warnungen auslösen, die sowohl SOC- als auch SAP-Daten enthalten, und diese Warnungen im SOC-Arbeitsbereich ausführen.
Hinweis
Bei größeren SAP-Landschaften kann sich das Ausführen von Abfragen vom SOC an Daten aus dem SAP-Arbeitsbereich auf die Leistung auswirken. Die SAP-Daten müssen in den SOC-Arbeitsbereich übertragen werden, wenn sie abgefragt werden. Für verbesserte Leistung und Kostenoptimierungen sollten Sie erwägen, sowohl den SOC- als auch den SAP-Arbeitsbereich im selben dedizierten Cluster zu platzieren.
Das SAP-Team verfügt über einen eigenen Microsoft Sentinel-Arbeitsbereich, einschließlich aller Features, mit Ausnahme von Erkennungen, die sowohl SOC- als auch SAP-Daten enthalten.
Flexibilität. Das SAP-Team kann sich auf die Steuerung interner Bedrohungen in seiner Landschaft konzentrieren, während sich das SOC auf externe Bedrohungen konzentrieren kann.
Es fallen keine zusätzlichen Gebühren für die Erfassung an, da Daten nur einmal in Microsoft Sentinel erfasst werden. Jeder Arbeitsbereich verfügt jedoch über seinen eigenen Tarif.
Der SOC kann SAP-Vorfälle sehen und untersuchen. Wenn das SAP-Team mit einem Ereignis konfrontiert ist, das nicht mithilfe vorhandener Daten erläutert werden kann, kann das Team den Vorfall dem SOC zuweisen.
Die folgende Tabelle zeigt den Zugriff auf Daten und Features für die SAP- und SOC-Teams in diesem Szenario:
| Funktion | SOC-Team | SAP-Team |
|---|---|---|
| SOC-Arbeitsbereichszugriff | ✅ | ❌ |
| Zugriff auf SAP-Arbeitsbereichsdaten, Analyseregeln, Funktionen, Watchlists und Arbeitsmappen | ✅ | ✅1 |
| Zugriff auf SAP-Vorfälle und Zusammenarbeit | ✅ | ✅1 |
1 Das SOC-Team kann diese Funktionen in beiden Arbeitsbereichen sehen. Das SAP-Team kann diese Funktionen nur im SAP-Arbeitsbereich sehen.
Szenario 2: SAP-Daten werden nur im SOC-Arbeitsbereich aufbewahrt
In diesem Szenario wollen Sie alle Daten in einem Arbeitsbereich aufbewahren und Zugriffssteuerungen anwenden. Dazu können Sie Log Analytics in Azure Monitor verwenden, um den Zugriff auf Daten nach Ressource zu verwalten. Sie können SAP-Ressourcen auch einer Azure-Ressourcen-ID zuordnen, indem Sie das erforderliche azure_resource_id-Feld im Abschnitt Connectorkonfiguration für den Datensammler angeben, der zum Erfassen von Daten aus dem SAP-System in Microsoft Sentinel verwendet wird.
Nachdem der Datensammler-Agent mit der richtigen Ressourcen-ID konfiguriert wurde, kann das SAP-Team mithilfe einer ressourcenbezogenen Abfrage auf die spezifischen SAP-Daten im SOC-Arbeitsbereich zugreifen. Das SAP-Team kann keinen der anderen Nicht-SAP-Datentypen lesen.
Bei diesem Ansatz fallen keine Kosten an, da die Daten nur einmal in Microsoft Sentinel erfasst werden. Wenn Sie diesen Zugriffsmodus verwenden, sieht das SAP-Team nur rohe und unformatierte Daten. Das SAP-Team kann keine Microsoft Sentinel-Features verwenden. Neben dem Zugriff auf die Rohdaten über Log Analytics kann das SAP-Team über Power BI auf dieselben Daten zugreifen.
Nächster Schritt
In diesem Artikel haben Sie erfahren, wie Sie mit der Microsoft Sentinel-Lösung für SAP-Anwendungen in mehreren Arbeitsbereichen für verschiedene Bereitstellungsszenarien arbeiten können. Anschließend erfahren Sie, wie Sie die Lösung bereitstellen: