Trabajar con la Solución Microsoft Sentinel para aplicaciones SAP en varias áreas de trabajo

  • Artículo

Al configurar el área de trabajo de Microsoft Sentinel, tiene que considerar varios factores y opciones de arquitectura. Teniendo en cuenta la geografía, la regulación, el control de acceso y otros factores, podría optar por tener varias áreas de trabajo de Microsoft Sentinel en su organización.

En este artículo se describe cómo trabajar con la Solución Microsoft Sentinel para aplicaciones SAP en varias áreas de trabajo en distintos escenarios de implementación.

La solución Microsoft Sentinel para aplicaciones SAP admite de forma nativa una arquitectura entre áreas de trabajo para admitir una mayor flexibilidad para:

  • Proveedores de servicios de seguridad administrada (MSSP) o un centro de operaciones de seguridad (SOC) global o federado.
  • Requisitos de residencia de datos.
  • Diseño de la jerarquía y TI de la organización.
  • Control de acceso basado en roles (RBAC) insuficiente en una sola área de trabajo.

Importante

El trabajo con varias áreas de trabajo se encuentra actualmente en versión preliminar. Esta característica se proporciona sin un Acuerdo de Nivel de Servicio. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Puede definir varias áreas de trabajo al implementar el contenido de seguridad de SAP.

Colaboración entre los equipos de SOC y SAP de su organización

Un caso de uso común es uno en el que la colaboración entre los equipos de SOC y SAP de su organización requieren una configuración de varias áreas de trabajo.

El equipo de SAP de su organización tiene conocimientos técnicos que son fundamentales para implementar correctamente y eficazmente la solución de Microsoft Sentinel para aplicaciones SAP. Por lo tanto, es importante que el equipo de SAP vea los datos pertinentes para colaborar con el SOC sobre los procedimientos de configuración y respuesta a incidentes necesarios.

Hay dos escenarios posibles para la colaboración de equipos de SOC y SAP en función de las necesidades de su organización:

  • Escenario 1: los datos de SAP y SOC se mantienen en áreas de trabajo independientes. Ambos equipos pueden ver los datos de SAP mediante consultas entre áreas de trabajo.

  • Escenario 2: los datos de SAP se mantienen solo en el área de trabajo de SOC. El equipo de SAP puede consultar los datos mediante consultas de contexto de recursos.

Escenario 1: los datos de SAP y SOC se mantienen en áreas de trabajo independientes

En este escenario, el equipo de SAP y el equipo de SOC tienen áreas de trabajo independientes de Microsoft Sentinel en las que se conservan los datos del equipo.

Diagram that shows working with the Microsoft Sentinel solution for SAP applications in separate workspaces for SAP and SOC data.

Cuando la organización implemente la solución de Microsoft Sentinel para aplicaciones SAP, cada equipo especificará su área de trabajo de SAP.

Una práctica habitual es proporcionar a algunos o todos los miembros del equipo de SOC el rol Lector de Sentinel en el área de trabajo de SAP.

La creación de áreas de trabajo independientes para los datos de SAP y SOC tiene estas ventajas:

  • Microsoft Sentinel puede desencadenar alertas que incluyan datos de SOC y SAP, y puede ejecutar esas alertas en el área de trabajo de SOC.

    Nota:

    Para entornos de SAP más grandes, la ejecución de consultas realizadas por el SOC en los datos del área de trabajo de SAP puede afectar al rendimiento. Los datos de SAP deben viajar al área de trabajo de SOC cuando se consulta. Para mejorar el rendimiento y las optimizaciones de costes, considere la posibilidad de tener las áreas de trabajo de SOC y SAP en el mismo clúster dedicado.

  • El equipo de SAP tiene su propia área de trabajo de Microsoft Sentinel, que incluye todas las características, excepto las detecciones que incluyen datos de SOC y SAP.

  • Flexibilidad. El equipo de SAP puede centrarse en el control de amenazas internas de su entorno, mientras que el SOC puede centrarse en las amenazas externas.

  • No hay ningún cargo adicional por las tarifas de ingesta, ya que los datos solo se ingerirán una vez que estén en Microsoft Sentinel. Sin embargo, cada área de trabajo tiene su propio plan de tarifa.

  • El SOC puede ver e investigar incidentes de SAP. Si el equipo de SAP se enfrenta a un evento que no puede explicar mediante datos existentes, el equipo puede asignar el incidente al SOC.

En la siguiente tabla se asigna el acceso de datos y características a los equipos de SAP y SOC en este escenario:

Función Equipo de SOC Equipo de SAP
Acceso al área de trabajo del SOC
Acceso a datos del área de trabajo de SAP, reglas de análisis, funciones, listas de reproducción y libros 1
Colaboración y acceso a incidentes de SAP 1

1 El equipo de SOC puede ver estas funciones en ambas áreas de trabajo. El equipo de SAP solo puede ver estas funciones en el área de trabajo de SAP.

Escenario 2: los datos de SAP se mantienen solo en el área de trabajo de SOC

En este escenario, necesitará conservar todos los datos de una área de trabajo y aplicar controles de acceso. Es posible hacerlo mediante el análisis de registros en Azure Monitor para administrar el acceso a los datos por recurso. También es posible asociar recursos de SAP con un identificador de recursos de Azure especificando el campo azure_resource_id necesario en la sección de configuración del conector del recopilador de datos que usó para ingerir datos del sistema SAP en Microsoft Sentinel.

Diagram that shows how to work with the Microsoft Sentinel solution for SAP applications by using the same workspace for SAP and SOC data.

Una vez configurado el agente del recopilador de datos con el identificador de recurso correcto, el equipo de SAP podrá acceder a los datos de SAP específicos en el área de trabajo de SOC mediante una consulta con ámbito de recurso. El equipo de SAP no podrá leer ninguno de los otros tipos de datos que no sean de SAP.

No hay ningún coste asociado a este enfoque porque los datos solo se ingerirán una vez en Microsoft Sentinel. Cuando se usa este modo de acceso, el equipo de SAP solo ve datos sin formato. El equipo de SAP no puede usar ninguna característica de Microsoft Sentinel. Además de acceder a los datos sin procesar a través de Log Analytics, el equipo de SAP puede acceder a los mismos datos a través de Power BI.

Paso siguiente

En este artículo, aprendió a trabajar con la solución Microsoft Sentinel para aplicaciones SAP en varias áreas de trabajo para distintos escenarios de implementación. A continuación, obtenga información sobre cómo implementar la solución:

Implementación de la solución Microsoft Sentinel para aplicaciones de SAP