Solución Microsoft Sentinel para aplicaciones SAP®: libro de trabajo de controles de auditoría SAP (Vista previa)

En este artículo se describe el libro Controles de auditoría de SAP, que se le proporciona como parte de la Solución Microsoft Sentinel para aplicaciones SAP®.

Importante

El libro Controles de auditoría de SAP de Microsoft Sentinel se encuentra actualmente en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Este libro le ayuda a comprobar los controles de seguridad de su entorno SAP® para el cumplimiento de su marco de control elegido, ya sea SOX, NIST, o un marco personalizado de su elección.

El libro proporciona herramientas para asignar reglas de análisis en su entorno a controles de seguridad específicos y familias de control, supervisar y clasificar los incidentes generados por las reglas de análisis basadas en soluciones de SAP e informar sobre su cumplimiento.

El libro proporciona las siguientes funcionalidades para el programa de cumplimiento:

• Consulte las recomendaciones sobre qué reglas de análisis habilitar y habilítelas en contexto con una configuración preconfigurada adecuada.
• Asocie sus reglas de análisis al marco de control SOX o NIST, o aplique su propio marco de control personalizado.
• Revise los incidentes y alertas resumidos por control, según el marco de control seleccionado.
• Exporte incidentes pertinentes para su posterior análisis, con fines de auditoría e informes.

Uso del libro

1. En el portal de Microsoft Sentinel, seleccione Libros en el menú Administración de amenazas.

2. En la galería de libros, vaya a Plantillas y escriba SAP en la barra de búsqueda, y seleccione Controles de auditoría SAP entre los resultados.

3. Seleccione Ver plantilla para usar el libro tal cual, o bien seleccione Guardar para crear una copia modificable del libro. Cuando se cree la copia, seleccione Ver libro guardado.

   

4. Seleccione los campos siguientes para filtrar los datos según sus necesidades:

   • Suscripción y área de trabajo. Seleccione el área de trabajo cuyo cumplimiento de los sistemas SAP desea auditar. Puede ser un área de trabajo diferente a la que se implementa Microsoft Sentinel.
   • Tiempo de creación de incidentes. Seleccione un intervalo entre las últimas cuatro horas y los últimos 30 días, o un intervalo personalizado que determine.
   • Otros atributos del incidente: Estado, Gravedad, Táctica, Propietario. Para cada uno de ellos, seleccione entre las opciones disponibles, las que corresponden a los valores representados en los incidentes en el intervalo de tiempo seleccionado.
   • Roles de sistema. Los roles del sistema SAP, por ejemplo: producción.
   • Uso del sistema. Por ejemplo: SAP ERP.
   • Sistemas. Puede seleccionar todos los identificadores del sistema SAP, un identificador de sistema específico o varios identificadores de sistema.
   • Marco de control, Familias de control, Identificadores de control. Selecciónelos según el marco de control por el que desea evaluar la cobertura y los controles específicos por los que desea filtrar los datos del libro.

   Los paneles de este libro permiten una vista agregada de incidentes y alertas basados en las tablas SecurityAlert y SecurityIncident, que por defecto conservan 30 días de datos. Considere la posibilidad de ampliar el período de retención de estas tablas para que coincida con los requisitos de cumplimiento de su organización. Independientemente de la elección que elija para la directiva de retención de estas tablas, los propios datos del incidente nunca se eliminan, aunque es posible que no se muestren aquí. Los datos de alerta se mantienen según la directiva de retención de la tabla.

   • La directiva de retención real de estas dos tablas puede definirse bien como algo distinto del valor predeterminado de 30 días. Vea el aviso sobre el fondo sombreado en azul en el libro (mostrado en la captura de pantalla anterior), que muestra el intervalo de tiempo real de los datos en las tablas según su directiva de retención actual.

   • Consulte Configurar una directiva de retención de datos para una tabla en un área de trabajo de Log Analytics para obtener más información.

Información general del libro

El libro se divide en tres pestañas:

• Configuración
• Supervisión
• Report

Pestaña Configurar

Creación de reglas de análisis a partir de plantillas sin usar

En la tabla Plantillas listas para usarse se muestran las plantillas de reglas de análisis, de la solución Microsoft Sentinel para aplicaciones SAP®, que aún no se han implementado como reglas activas. Es posible que tenga que crear estas reglas para lograr el cumplimiento.

• Las plantillas de solución para configurar el control muestran las soluciones instaladas cuyas reglas de análisis puede evaluar aquí para cumplir con el marco de control elegido. Por defecto, solo se selecciona la solución SAP, pero puede seleccionar cualquiera o todas las demás en este desplegable.

• Seleccione el vínculo Ver de la columna Propiedades de la línea de una plantilla de regla determinada de la tabla para ver la configuración completa de la plantilla en el panel Detalles emergente. (Esta vista es de solo lectura).

• La columna Configuración recomendada muestra el propósito de la regla: ¿está pensado para crear incidentes para la investigación? ¿O solo para crear alertas que se aparten y se agreguen a otros incidentes para utilizarlas como pruebas en sus investigaciones?

• Seleccione Activar regla (en el panel de descripción) para crear una regla de análisis a partir de la plantilla, con la configuración recomendada ya integrada. Esta funcionalidad le ahorra la molestia de tener que adivinar la configuración correcta y definirla manualmente.

Visualización o cambio de las asignaciones de control de seguridad de las reglas de análisis

En la tabla Seleccionar una regla para configurar, verá la lista de reglas de análisis activadas relevantes para SAP.

• Se muestran los recuentos y las líneas de gráfico de incidentes y alertas generados por cada regla. (Los recuentos idénticos sugieren que la agrupación de alertas está deshabilitada).

• También se muestran columnas que indican que la configuración de creación de incidentes de la regla está habilitada (la columna Incidentes) y cuál es el origen de la regla (la columna Origen ): Galería, Centro de contenido o Personalizado.

• Si la Configuración recomendada para esa regla es "Solo como alerta", debe considerar la posibilidad de deshabilitar la configuración de creación de incidentes en la regla (consulte a continuación).

• Al seleccionar una regla, aparece un panel de detalles con información sobre la regla.

  

  • La parte superior de este panel lateral tiene recomendaciones sobre cómo habilitar o deshabilitar la creación de incidentes en la configuración de la regla de análisis, como se mencionó anteriormente.

  • En la sección siguiente se muestran los controles de seguridad y las familias de control con las que se identifica la regla, para cada uno de los marcos disponibles. Para los marcos SOX y NIST, puede personalizar la asignación de controles eligiendo un control o familia de controles diferente en las listas desplegables pertinentes. Para marcos personalizados, escriba en controles y familias de controles de su elección en los cuadros de texto MyOrg. Si realiza algún cambio, seleccione Guardar cambios.

  Si no se ha asignado a una regla de análisis determinada un control de seguridad o una familia de controles para un marco determinado, aparecerá una recomendación para establecer los controles. Después de seleccionar los controles, seleccione Guardar cambios.

  • Para ver el resto de los detalles de la regla seleccionada tal y como está definida actualmente, seleccione Introducción general de la regla. Se abrirá el mismo panel Detalles descrito anteriormente en este documento.

Pestaña Supervisar

Esta pestaña contiene varias representaciones gráficas de varias agrupaciones de los incidentes de su entorno que coinciden con los filtros en la parte superior del libro.

• Un gráfico de líneas de tendencia, denominado Tendencia de incidentes, muestra el número de incidentes a lo largo del tiempo. Estos incidentes se agrupan (representados por diferentes líneas de color y sombreados) de forma predeterminada según la familia de control representada por la regla que los generó. Puede seleccionar agrupaciones alternativas para estos incidentes en la lista desplegable Detalles de incidentes.

  

• El gráfico del subárbol Incidentes muestra el número de incidentes agrupados de dos maneras. Los valores predeterminados (para el marco SOX) son primero por la familia de control SOX (la matriz de "honeycomb" de celdas) y luego por el Id. del sistema (cada celda del "honeycomb"). Puede seleccionar diferentes criterios por los que mostrar las agrupaciones, utilizando los selectores Desglosar por y Y luego por.

  Acercar el gráfico del subárbol para que el texto sea lo suficientemente grande como para leer claramente y alejar para ver todas las agrupaciones juntas. Arrastre todo el gráfico para ver diferentes partes del mismo.

  

Pestaña Informe

Por último, la pestaña Informe contiene una lista de todos los incidentes del entorno que coinciden con los filtros en la parte superior del libro.

• Los incidentes se agrupan por familia de control e Id. de control.

• El enlace de la columna URL del incidente abre una nueva ventana del navegador a la página de investigación del incidente en cuestión. Este vínculo es persistente y funcionará independientemente de la directiva de retención de la tabla SecurityIncident.

• Desplácese hacia abajo hasta el final de la ventana (la barra de desplazamiento externa) para ver la barra de desplazamiento horizontal, que puede usar para ver el resto de las columnas del informe.

• Exporte este informe a una hoja de cálculo seleccionando los puntos suspensivos (los tres puntos) en la esquina superior derecha del informe y luego seleccionando Exportar a Excel.

  

  

Pasos siguientes

Para más información, consulte:

• Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Referencia de registros de la solución Microsoft Sentinel para aplicaciones SAP®
• Supervisar el estado del sistema SAP
• Requisitos previos para la implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Solución de problemas de implementación de la solución Microsoft Sentinel para aplicaciones SAP®

Vea este vídeo de YouTube, en el canal de YouTube de la Comunidad de seguridad de Microsoft, para obtener una demostración de este libro.