Intégrer SAP dans plusieurs espaces de travail
Lorsque vous configurez votre espace de travail Log Analytics activé pour Microsoft Sentinel, vous avez plusieurs options d’architecture et plusieurs facteurs à prendre en compte. En tenant compte de la géographie, de la réglementation, du contrôle d’accès et d’autres facteurs, vous pouvez choisir d’avoir plusieurs espaces de travail dans votre organisation.
Lorsque vous travaillez avec SAP, vos équipes SAP et SOC peuvent être amenées à travailler dans des espaces de travail distincts afin de maintenir les limites de sécurité. Vous ne souhaiterez peut-être pas que l’équipe SAP ait une visibilité sur tous les autres journaux de sécurité de votre organisation. Toutefois, l’équipe SAP BASIS joue un rôle essentiel dans l’implémentation et la maintenance réussies de la solution Microsoft Sentinel pour les applications SAP. Leurs connaissances techniques sont essentielles pour surveiller efficacement les systèmes SAP, configurer les paramètres de sécurité et s’assurer que les procédures de réponse aux incidents appropriées sont en place. Pour cette raison, l’équipe SAP BASIS doit avoir accès à l’espace de travail Log Analytics activé pour Microsoft Sentinel, ce qui leur permet de collaborer avec l’équipe SOC tout en se concentrant spécifiquement sur la surveillance de la sécurité liée à SAP.
Cet article explique comment utiliser la solution Microsoft Sentinel pour les applications SAP dans plusieurs espaces de travail, avec une flexibilité améliorée :
- Fournisseurs de services de sécurité gérée (MSSPs) ou centre des opérations de sécurité global ou fédéré (SOC).
- Exigences de résidence des données.
- Hiérarchie organisationnelle et conception informatique.
- Contrôle d’accès en fonction du rôle (RBAC) insuffisant dans un seul espace de travail.
Important
L’utilisation de plusieurs espaces de travail est actuellement en préversion. Cette fonctionnalité est fournie sans contrat de niveau de service. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Données SAP et SOC conservées dans des espaces de travail distincts
Si vos équipes SAP et SOC ont des espaces de travail Log Analytics distincts activés pour Microsoft Sentinel où les données d’équipe sont conservées, nous vous recommandons de fournir à certains membres de l’équipe SOC ou à tous les membres de l’équipe SOC le rôle Lecteur Sentinel pour l’espace de travail de l’équipe SAP BASIS. Cela permet aux deux équipes de voir les données SAP à l’aide de requêtes inter-espaces de travail.
La gestion d’espaces de travail distincts pour les données SAP et SOC présente les avantages suivants :
| Avantage | Description |
|---|---|
| Alertes | Microsoft Sentinel peut déclencher des alertes qui incluent des données SOC et SAP, et elle peut exécuter ces alertes sur l’espace de travail SOC. |
| Isolation des données | L’équipe SAP BASIS dispose de son propre espace de travail qui comprend toutes les fonctionnalités, à l’exception des détections qui incluent à la fois des données SOC et SAP. Le SOC peut voir et examiner les incidents SAP. Si l’équipe SAP BASIS fait face à un événement qu’elle ne peut pas expliquer à l’aide de données existantes, l’équipe peut affecter l’incident au SOC. |
| Flexibilité | L’équipe SAP BASIS peut se concentrer sur le contrôle des menaces internes dans son paysage, et le SOC peut se concentrer sur les menaces externes. |
| Tarification | Il n’y a pas de frais supplémentaires pour les frais d’ingestion, car les données sont ingérées une seule fois dans Microsoft Sentinel. Toutefois, chaque espace de travail a son propre niveau tarifaire. |
Le tableau suivant mappe les données et l’accès aux fonctionnalités pour les équipes SAP et SOC lorsqu’elles conservent chacun leur propre espace de travail :
| Fonction | Équipe SOC | Équipe SAP BASIS |
|---|---|---|
| Accès à l’espace de travail SOC | ✅ | ❌ |
| Accès aux données de l’espace de travail SAP, aux règles analytiques, aux fonctions, aux watchlists et aux workbooks | ✅ | ✅* |
| Accès aux incidents SAP et collaboration | ✅ | ✅* |
* L’équipe SOC peut voir ces fonctions dans les deux espaces de travail. L’équipe SAP BASIS peut voir ces fonctions uniquement dans l’espace de travail SAP.
Remarque
L’exécution de requêtes inter-espaces de travail sur des paysages SAP plus volumineux peut affecter les performances. Pour optimiser les performances et les coûts, configurez les espaces de travail SOC et SAP sur le même cluster dédié. Pour plus d’informations, consultezCréer et gérer un cluster dédié dans les journaux Azure Monitor.
Données SAP et SOC conservées dans le même espace de travail
Vous souhaiterez peut-être conserver toutes les données dans un espace de travail unique et appliquer des contrôles d’accès pour déterminer qui sur votre équipe est en mesure d’accéder aux données.
Pour ce faire, effectuez les étapes suivantes :
Utilisez Log Analytics dans Azure Monitor pour gérer l’accès aux données par ressource. Pour plus d’informations, consultez Gérer l’accès aux données de Microsoft Sentinel par ressource.
Associez des ressources SAP à un ID de la ressource Azure. Spécifiez le champ
azure_resource_idrequis dans la section de configuration du connecteur sur le collecteur de données que vous utilisez pour ingérer des données du système SAP dans Microsoft Sentinel. Pour plus d’informations, consultez Configuration du connecteur.
Une fois que l’agent du collecteur de données est configuré avec l’ID de ressource approprié, l’équipe SAP BASIS peut accéder aux données SAP spécifiques dans l’espace de travail SOC à l’aide d’une requête étendue à la ressource. L’équipe SAP BASIS ne peut pas lire les autres types de données non SAP.
Il n’existe aucun coût associé à cette approche, car les données ne sont ingérées qu’une seule fois dans Microsoft Sentinel.
Lorsque vous gérez l’accès par ressource, l’équipe SAP BASIS voit uniquement les données brutes et non mises en forme, accessibles via Log Analytics ou Power BI. L’équipe SAP BASIS ne peut pas utiliser de fonctionnalités Microsoft Sentinel.
Contenu connexe
Pour plus d’informations, consultez Déployer la solution Microsoft Sentinel pour les applications SAP.